fortigate firmware versionup 手順書...[ipsec vip] fortios v2.8 は config vpn ipsec vip...

Fortigate Firmware VersionUp手順書 Ver.2.80 → Ver.3.0MR7

2010/02/17

Confidential and Proprietary

Network Value Components. Ltd

2

改訂履歴初版 : 2009年 8月 21日 2版 : 2010年 2月 17日


3

目次

1. アップグレード、ダウングレード方法について ................................................................................ 5 2. v2.8MRxからのアップグレード ........................................................................................................ 6 3. 設定情報の引継ぎ(MR11未満)........................................................................................................... 7 4. 設定情報の引継ぎ(v2.8から v3.0MR7).............................................................................................. 8 5. Configの保存、リストア ................................................................................................................. 18

5.1. 準備 ........................................................................................................................................ 18 5.2. PCの設定............................................................................................................................... 18 5.3. 接続 ........................................................................................................................................ 18 5.4. Configの保存 (赤枠) ........................................................................................................... 18

6. WebUIでのアップグレード ............................................................................................................. 19 6.1. 準備 ........................................................................................................................................ 19 6.2. PCの設定............................................................................................................................... 19 6.3. 接続 ........................................................................................................................................ 19 6.4. アップグレード ...................................................................................................................... 19

7. CLIでのアップグレード、ダウングレード ..................................................................................... 21 7.1. 準備 ........................................................................................................................................ 21 7.2. PCの設定............................................................................................................................... 21 7.3. 接続 ........................................................................................................................................ 21 7.4. アップグレード、ダウングレード ......................................................................................... 21

8. v3.0MRxからのアップグレード ...................................................................................................... 23 9. 設定情報の引継ぎ(v3.0MR5未満).................................................................................................... 24 10. 設定情報の引継ぎ(v3.0MR5 or MR6からMR7) ......................................................................... 26 11. Configの保存、リストア.............................................................................................................. 33

11.1. 準備..................................................................................................................................... 33 11.2. PCの設定 ........................................................................................................................... 33 11.3. 接続..................................................................................................................................... 33 11.4. Configの保存 (赤枠)........................................................................................................ 33

12. WebUIでのアップグレード、ダウングレード ............................................................................ 34 12.1. 準備..................................................................................................................................... 34 12.2. PCの設定 ........................................................................................................................... 34 12.3. 接続..................................................................................................................................... 34 12.4. アップグレード .................................................................................................................. 34

13. CLIでのアップグレード............................................................................................................... 36 13.1. 準備..................................................................................................................................... 36 13.2. PCの設定 ........................................................................................................................... 36 13.3. 接続..................................................................................................................................... 36 13.4. アップグレード、ダウングレード ..................................................................................... 36

14. HA構成時のアップグレード ........................................................................................................ 38


4

14.1. 準備..................................................................................................................................... 38 14.2. PCの設定 ........................................................................................................................... 38 14.3. HAステータスの確認 ........................................................................................................ 38 14.4. FortiGate02をネットワークから切り離し ....................................................................... 38 14.5. FortiGate02のアップグレード ......................................................................................... 38 14.6. FortiGate02と FortiGate01の入れ替え .......................................................................... 38 14.7. FortiGate01のアップグレード ......................................................................................... 39 14.8. FortiGate01のネットワークへの導入 .............................................................................. 39

15. 付録資料 A ― IPSグループ設定アップグレード.......................................................................... 42


5

はじめに本マニュアルは Fortigateの OSバージョンを Version2.8MRx又は、Version3.0MRxから弊社推奨バージョン Version3.0MR7(Patch8)へアップグレードを行うための各種操作方法について記載しています。

1. アップグレード、ダウングレード方法について FortiGateでのアップグレード・ダウングレードはWebUIと CLIの 2通りが使用されます。 [WebUI] 設定を引き継ぎつつ OSの Versionを上げる事が可能。*一部引き継がれない設定がございます。 [CLI] 工場出荷状態になります。 [WebUI] ほぼ全ての設定が失われます。 [CLI] 工場出荷状態になります。


6

2. v2.8MRxからのアップグレード v2.8MR11未満からv3.0MR7以上へは直接アップグレードができません。そのため現在使用しているバージョンが該当する場合には一度v2.8MR11にアップグレードを行なった後v3.0MR7以上へとアップグレードを行ないます。使用しているバージョンがv2.8MR5未満の場合では一度v2.8MR5以上にアップグレードを行ないその後v2.8MR11にアップグレードする必要が御座います。アップグレードパス [v2.8の場合]

v2.8MR5未満→v2.8MR5にアップグレード v2.8MR5以上→v2.8MR11にアップグレード v2.8MR11以上→v3.0MR7以上にアップグレード


7

3. 設定情報の引継ぎ(MR11未満) 注意：下記は2.8MRｘｘから2.8MR11へアップグレードする際に発生する項目です。 Protection Profiles

Protection ProfilesをMR9からMR11にアップグレードするときには設定を引き継ぎつがれません。アップグレード後に設定を入力しなおす必要があります。

Protection Profiles and AV Buffer-to-Disk

MR4以前からのアップグレードの場合には AVバッファからディスクに書き込まれるオプションを disabledにする必要があります。disabledにすることにより AVスキャンのオプションが不正になるのを防ぎます。 Spam Filter Lists

スパムフィルタの形式が MR3 で変更になりましたので MR4 以前のリストをアップグレードする際には 1度サポートにご連絡ください。 User Domain and Firewall Policies

User Domain 機能はMR3以降のアップグレードでは設定が消去されます。User Domain 機能はUser Group 機能に置き換わりました。 HA Cluster Upgrade

High Availability Clusterをアップグレードする際にはMaster機のアップグレードのみで Slave機のアップグレードを自動的に行なってくれます。 IPSec Phase1 Peer ID Configuration Reset

MR7からアップグレードを行なう際には· IPSecの Phase1 Peer IDを” accept any peer ID”にリセットする必要があります。これはMR7以前では PeerIDの設定をメモリに保存してないことが原因になります。

Web Pattern Block Entries with Special Character

MR6以前からWeb Pattern Blockのエントリーを引き継ぐときには特殊文字『< > ( ) # " '』が含まれる場合にはコンフィグから削除されますので確認の上アップグレードを行なってください。 Static NAT VIPs

MR9で新たな機能のStatic NAT VIPsは下記の設定を行なうことにより機能を反映します。 1. static NAT VIPを設定します。 2. ファイアウォールポリシーを追加します。 3. 現在の設定を再適応します。仮に手順3を行なわなかった場合にはStatic NAT VIPは動作しません。


8

4. 設定情報の引継ぎ(v2.8から v3.0MR7) 注意：現在動作している OSが v2.80MR11未満である場合、FortiOS v2.80 MR11から FortiOS v3.00 MR7 Patch8へアップグレードする前に FortiOS v2.80 MR11にアップグレードを行う必要が御座います。以下の記載はメーカ発行のリリースノートを翻訳した文を使用している箇所がございます。原文を確認

されたい場合はメーカ発行のリリースノートをご確認下さい。 [IPSグループの仕様変更] FortiOS v2.80に見られるいくつかの IPSグループは削除され、それらに対応するシグネチャはその他の IPSグループにマージされます。その為、FortiOS v3.00 MR7 Patch8へアップグレードするのに伴いその IPS グループは失われます。失われた IPS グループのシグネチャ設定を再設定するには、以下の手順を実施して下さい。 1. 付録資料 A(P42.)にあるリストから、現在ある FortiOS v2.80の設定から「失われる」IPSグループを確認して下さい。 2. FortiOS v2.80 のグループに含まれるシグネチャ設定を書き留め、そのシグネチャを含む FortiOS v3.00の(複数の)グループを付録資料 Aから特定して下さい。 3.「失われる」IPSグループの分だけステップ 1-2を繰り返して下さい。 4. FortiOS v3.00 MR7 Patch8へアップグレード後、FortiOS v3.00の IPSグループに、失われたそれぞれの IPSグループに相当するシグネチャ設定を構成して下さい。 [IPSec VIP] FortiOS v2.8は config vpn ipsec vip という VIPの設定をサポートしておりますが、FortiOS v3.00でコマンドが削除され config system proxy-arp というコマンドに置き換えられています。 FortiOS v3.00 MR7 Patch8 のアップグレードスクリプトはこの変更をサポートしていないため、FortiOS v3.00にて system proxy-arpコマンドを使用して FortiOS v2.80の IPSec VIPを再設定する必要があります。コマンドはNATモードの Vdom毎に有効です。以下は CLI設定の例となります。 config system proxy-arp edit 1 set ip 192.168.5.111 set interface "port1" next


9

edit 2 set ip 192.168.5.110 set interface "port3" nex end [FortiOS v2.80 PING Generators] FortiOS v2.80の PING generatorsは自動的に二つのトンネルをアップさせることができます。しかし FortiOS v3.00では auto-negotiateコマンドに機能が置き換えられています。この機能はデフォルトで無効となり、IPSecトンネルと IPSecインタフェースの両方で IPSec phase 2の設定にて利用可能です。 [Web Filter and Spam Filter Lists] FortiOS v2.80 では以下のリストのバックアップ及びリストアが個別に可能です。しかし、FortiOS v3.00ではリストはシステム設定ファイルに含まれているためリストアすることは出来ません。 · Web Filtering · Web Content Block · Web URL Block List · Web URL Exempt List · Spam Filtering · IP Address · RBL & ORDBL · Email Address · MIME Headers · Banned Word

FortiOS v3.00はCLIコマンドをファイルからインポートする為の機能があります。もしFortiOS v2.80のリストが FortiOS v3.00の CLIコマンドに変換されテキストファイルとして保存されている場合は、ファイルは Bulk CLI Importを使用してインポートすることが可能です。 [ActiveX, Cookie, and Java Applet Filter] FortiOS v2.80での ActiveX, Cookie, Java AppletのフィルタリングはWeb Filter > Script Filterページと、プロテクションプロファイル以下の Web Filtering が有効になっていなくてはいけません。FortiOS v3.00ではWeb Filter > Script Filterページ以下の Web Filteringを有効にする必要性は無くなっています。それは現在プロテクションプロファイルを経るだけとなり完成されています。FortiOS v2.80から FortiOS v3.00へアップグレードする上で、もし ActiveX, Cookie, JavaAppletのフィルタリングのどれかがWeb Filter > Script Filter以下で有効となっている場合は、設定はすべてのプロテクションプロファイルに反映されます。


10

[Static Routes without Device Setting Configured] FortiOS v2.80では static routeの device設定はオプションです。FortiOS v3.00 MR4はこの設定が強制となりました。device設定が設定されていない static routeは FortiOS v3.00 MR7 Patch8へアップグレードする上で失われます。 [Log Filtering Changes] FortiOS v2.80では、デバイスへのログフィルタリング(例えば FortiAnalyzer、hard disk, memoryなど)は 1つの設定項目のみで設定が行われており、一旦イベントのログフィルタリングが有効になると、どの firewall policyでもログが作成されデバイスへと送られます。 FortiOS v3.00では、ログフィルタリングは二つの方法でコントロールされます。 1. On a per-device basis config log filter 2. On a per-protection profile basis config firewall profile edit デバイスベースのフィルタはデバイスへログメッセージを送るかどうかをコントロールします。プロテ

クションプロファイルベースのフィルタはプロテクションプロファイル毎にログメッセージをデバイ

スへ送るかどうかを制御します。 FortiOS v2.80から FortiOS v3.00へアップグレードする上でデバイスベースのログフィルタのみ保持されますので、プロテクションプロファイルはアップグレード後、必要に応じてロギングを有効にしま

す。 [Vdom Licensing] FortiOS v2.80は、Vdomを追加するのに予め追加の Vdomを含む FortiOSイメージを使用する方法でvirtual domainの追加をサポートしております。 FortiOS v3.00は FGT-3000以上のハイエンドモデルでVdomの数をアップグレードするのにVdomライセンスキーを使用します。FortiOS v2.80からアップグレードする上で Vdom及びすべての関連するコンフィグは保持されます。しかし、factory reset 及びコンフィグのリストアのイベントにより、FortiGateはすべての Vdomの追加が失敗します。もしデフォルトの Vdom数より多い FortiOS v2.80で動作している場合は、FortiOS v3.00へアップグレードする時に以下のステップを行います。 1.FortiOS v2.80のコンフィグのバックアップ 2.FortiOS v3.00へアップグレード


11

3.FortiOS v3.00のコンフィグのバックアップ 4. FortiOS v3.00 Vdomライセンスキーを入手する為カスタマーサポートへ連絡して下さい。もしHAクラスタにて動作している場合は、クラスタ内それぞれのユニットにライセンスキーが必要となります。 5.コンフィグのリロードが必要なイベントの場合、設定の最初に Vdomライセンスキーが必要となります。以下状況に該当する場合、FortiOS v2.80で追加の Vdomを含むイメージでアップグレードするのに違う方法が発生する場合もあります。・FortiGateが 25個の追加 Vdomで動作している場合。・すべての Vdomが設定されていない場合。 FortiOS v3.00へのアップグレード後、もし FortiGateが 16個の Vdomを加えることができない場合、カスタマーサポートへ連絡をして FortiOS v3.00 Vdomライセンスキーを入手し、追加 Vdomを登録して下さい。 [Alert E-mail Replacement Messages] Alert E-mailは FortiOS v3.00 MR4で変更があるため、FortiOS v3.00MR4へアップグレードする上で既存の設定は引き継がれません。 [Alert E-mail Filter] Alert E-mail Filter機能は FortiOS v3.00 MR4で変更されカテゴリ毎または、重要度の閾値ベースで送信されます。 [Administrative Users] FortiOS v3.00 MR7へアップグレード後、v2.80の admin権限保有のユーザは root Vdomにアサインされます。その為、root Vdomがマネジメント Vdomでない場合、デフォルトの”admin”ユーザを除くadmin権限を保有するユーザ全てがマネジメント Vdomへのアクセスに失敗することになります。 [Policy Routing] “input-device”と ”output-device”の両方とも FortiOS v3.00 MR2 から必須の設定となりますが"output-device"は FortiOS v2.8では必須の設定ではありません。その為、"output-device"が設定されていない policy routeは FortiOS v3.00 MR4以降にアップグレード後設定が失われます。 [VLANs Under WLAN Interfaces] FortiOS v3.00 MR7はWLANインタフェースの VLANはサポートしていない為、VLANを参照する設定も VLAN自身も FortiOS v3.00 MR4以降へアップグレードする上で失われます。


12

[IPSec Related Settings] ポリシーベース IPSecトンネルのphase1の以下のパラメータはFortiOS v2.8からFortiOS v3.00 MR7 Patch8へアップグレードする上で保持されません：

config vpn ipsec phase1 set dpd [enable|disable] set dpd-idleworry set dpd-idlecleanup

ポリシーベース IPSec トンネルの以下の phase2 のパラメータは FortiOS v2.80 から FortiOS v3.00 MR7 Patch8へアップグレードする上で保持されません： config vpn ipsec phase2 set bindtoif set internetbrowsing [System DHCP Exclude Range] FortiOS v2.80 MR11及びMR12の” system dhcp exclude_range”は DHCPの address poolから除外される IPアドレスを示す独立したセクションのコマンドです。FortiOS v3.00 MR7 Patch8では、この機能は"config system dhcp server"セクション以下の"config exclude-range"の設定により実装されます。これらの設定は FortiOS v2.80から FortiOS v3.00 MR7へのアップグレードに伴いすべての DHCPサーバ設定へコピーされます。 config system dhcp server

config exclude-range edit 1

set start-ip 192.168.1.100 set end-ip 192.168.1.200

next [Firewall Profiles/Schedule] FortiOS v2.80では、firewall profile及び firewallのワンタイムまたは、繰り返しスケジュールの設定は共通設定です。FortiOS v3.00 MR5 からこれらの設定は Vdom 毎に移行されました。この設定はFortiOS v2.80からFortiOS v3.00 MR7へのアップグレードに伴いすべてのVdomへコピーされます。


13

[Firewall Service Custom] FortiOS v2.80では、firewall service customは共通設定です。FortiOS v3.00 MR5 からこれらの設定は Vdom毎に移行されました。この設定は FortiOS v2.80から FortiOS v3.00 MR7へのアップグレードに伴いすべての Vdomへコピーされます。 [IPSec DPD Setting] Policy Base IPSecトンネルの Phase1の DPDの設定値は FortiOS v2.80から FortiOS v3.00 MR7へアップグレードに伴い失われます。 [IPS Predefined Signatures] 定義済み IPS signature の重要度は推奨レベルにセットされており、修正することはできません。FortiOS v3.00 MR3以下から FortiOS v3.00 MR4以上へアップグレードする上で、重要度は推奨値へリセットされます。 [IPSec Manual Keys in a Vdom Configuration] IPSec Manual Keys を使用している IPSecトンネルが root Vdomではない Vdomで設定されていてfirewall policy によりトンネルが参照されていない場合、アップグレードを行う上で使用しているmanual keyは保持されません。 [Static Routes without Device Setting Configured] FortiOS v2.80では、static route の device設定はオプションです。FortiOS v3.00 MR2は必須の設定にされております。もし device設定を設定していない場合は、アップグレードする上で static routeは保持されません。 [HA Monitor Interfaces WLAN] WLANインタフェースは FortiOS v3.00 MR4以降monitored interfaceとして使用することはできません。その為、FortiOS v2.80から FortiOS v3.00 MR4以降へアップグレードする上で、この設定は保持されません。 [SSL-VPN Firewall Policies Without Groups] グループを持たない SSL-VPN Firewall Policyは FortiOS v3.00 MR7 Patch8へアップグレード後保持されません。


14

[VPN IPSec Phase1 with Type DDNS] FortiOS v3.00 MR4より以前は以下の IPSec Phase 1設定はFortiGateの設定が不正であっても受け入れられます。 config vpn ipsec phase1 set type ddns set peertype one set peerid aaa FortiOS v3.00 MR4からは上記設定は受け入れられません。その為、FortiOS v2.80から FortiOS v3.00 MR7 Patch8へアップグレードする上で上記設定は保持されません。 [VPN PPTP Non-Firewall User Group] PPTPを設定する際に firewallでないユーザグループが選ばれている場合、FortiOS v2.80から FortiOS v3.00 MR7 Patch8へアップグレードする上で設定は保持されません。 [DDNS Server ‒ vavic.com] DDNS serviceの"vavic.com"は FortiOS v3.00 MR5で変更されました。ドメインはユーザアカウントに基づき自動的に取得します。その為 FortiOS v2.80から FortiOS v3.00 MR7 Patch8へアップグレードする上でこの設定は保持されません。 [Firewall IP Pools with Class D IP Addresses] Class D IP addressを使用する Firewall IP poolは FortiOS v3.00 MR7 Patch8へアップグレードする上で保持されません。現在の設定が 224.0.0.0未満であることを確かめて下さい。 [Firewall VPN Policies Sharing the Same Manual Key] FortiOS v2.80では VPNトンネルは複数の firewall policyをまたいで共有させることが可能です。しかし、FortiOS v3.00では一つのインタフェースにアサインされます。アップグレードスクリプトが一つのインタフェースにアサインする為、その後の VPNトンネルを使用しているポリシーは失われます。 [Oversize File Limit] FortiOS v2.8 MR12から FortiOS v3.00 MR7 Patch8へアップグレード後 oversize file limitの設定値は「0」に変更されるかもしれません。


15

[PPPoE Unnumbered (複数 IPアドレス割り当て)] FortiOS3.00では、PPPoEのインタフェース（インターネット側）と、DMZや Internalインタフェースに、同一のサブネットに属する IP アドレスをアサインすることを許可していません。ISP から複数の固定 IPアドレスが割り当てられていて、割り当てられている IPアドレスを、DMZ等、PPPoEのインタフェース以外にアサインしている場合はアップグレードの前に CLIにより、明示的にサブネットの重複を許可する設定をする必要があります。下記 CLIコマンドにより、サブネットの重複を明示的に許可します。 # config sys global (global)# set allow-interface-subnet-overlap enable (global)# end [ADLSなどの利用で回線遅延が大きい場合] ADLSなどで遅延の大きな（実行速度がおよそ 5Mbps以下の場合に考慮が必要です）PPPoE回線では、FortiOS3.00の LCPエコータイムアウト値が短いため、PPPoEの開設に失敗する場合があります。遅延の大きな回線では、アップグレードの前にエコーインターバルを 30 秒ほどに調整することが推奨されます。

下記の CLIコマンドにより、LCPエコーインターバルを 30秒（推奨）にします。 # config system interface

# edit (インタフェース名)

#set lcp-echo-interval 30 (インタフェース名)

#end

[スタティックルート]

FortiOS 2.80 では、スタティックルートの設定はオプション扱いでしたが、FortiOS3.00 では設定が必

須となります。アップグレード前にスタティックルートが（１つも）設定されていない場合、アップグ

レード後、工場出荷状態のスタティックルートが自動的に追加される為、このスタティックルートの削

除が必要となります。

アップグレード前のスタティックルートの設定内容を確認し、設定されていない場合は、アップグレー

ド後に以下の手順を実施します。

アップグレードによって追加された Factory Default のスタティックルートを GUI より削除します。「ルータ」->「スタティック」->「スタティックルート」より該当スタティックルートの「ゴミ箱」アイコンをクリック


16

[IPSプロテクションプロファイル] IPS のシグネチャ、アノマリ機能は、それぞれ、IPS Sensor、DoS Sensor という機能となり、よりユーザフレンドリにIPSシグネチャの設定を実施することができるように拡張されています。v2.80でIPS のシグネチャ、アノマリを選択（チェック）していた場合、v3.00へアップグレード後、IPS Sensor にリストは作成されますが、プロテクションプロファイルには適用されていません。また、IPSアノマリの設定は引き継がれません。 v2.80で IPSのシグネチャ、アノマリを選択(チェック)していた場合は以下の手順を実施します。アップグレード前にアノマリが設定されている場合は、アノマリが適用されているプロファイルを指定

したファイアウォールポリシのソース IPアドレス、宛先 IPアドレスと宛先サービス（ポート番号）をメモします。アップグレード後以下の手順にて再設定します。 GUI上で「ファイアウォール」→「プロテクションプロファイル」→「プロテクションプロファイル」タグを選択し、IPS の設定が必要なプロテクションプロファイルの『編集』アイコンをクリックし、「プロテクションプロファイルの編集」画面を表示します。プロテクションプロファイルの編集」画面で、

IPS項目の中から使用するリストを選択します。 DoS Sensor機能（FortiOS2.80では IPSアノマリ機能）を利用する場合は、GUI上の「侵入検知」→「DoS Sensor」画面で新たに設定を追加します。

[TPモードとマルチキャスト] FortiOS3.00 には、マルチキャストポリシが拡張されています。トランスペアレントモード環境下で

OSPF ルーターの間に Fortigate を設置する場合などに、ファイアウォールポリシで src=any, dst=any,

port=any を許可していてもOSPF やVRRP 等のマルチキャストパケットがFortiGate でブロックされま

す。

マルチキャストパケットを通す必要がある場合は、マルチキャストアドレスを確認し以下の例ように

CLIでファイアウォールのマルチキャストポリシを追加設定します。

例１）ソース IP アドレス、OSPF や VRRP 等に関連する宛先アドレス(224.0.0.5, 224.0.0.6 など)の指定されたマルチキャストポリシを追加する。 config firewall multicast-policy

edit 1

set dstaddr 224.0.0.0 255.255.255.0

next

end

例２）ソースインタフェースと宛先インタフェースを指定してマルチキャストポリシを追加する。


17

config firewall multicast-policy

edit 2

set dstintf "port7"

set srcintf "port6"

next

end

[FDS Push-update Settings] 'config system autoupdate push-update'の下の addressと portの設定は FortiOS v3.00 MR7へのアップグレード後失われるかもしれません。


18

5. Configの保存、リストア 5.1. 準備

以下のものを準備します。・ネットワーク接続可能な PC(Internet Explorer 4.0以上がインストールされていること)

5.2. PCの設定

WebUIでは、ブラウザを利用して Configの保存を行います。その為、作業は FortiGateに対してアクセス制限の無い PCで行います。

5.3. 接続

(1) PCのブラウザより FortiGateにアクセス (https://xxx.xxx.xxx.xxxもしくはhttp://xxx.xxx.xxx.xxxそれぞれFortiGateの IPを指定)

(2) ユーザ名・パスワードを入力してログイン 5.4. Configの保存 (赤枠)

(1) ブラウザ内の左側にある System >> Maintenanceをクリック (2) Backup and restore >> System Configuration Files>> Backupをクリック (3) BackUP ボタンをクリックするとファイルのダウンロードが開始されるので保存します。 (4) Debug Log除く情報も同様にバックアップします。

＊Configのリストア (青枠) (1) ブラウザ内の左側にある System >> Maintenanceをクリック (2) Backup and restore >> System Configuration Files>> Restoreをクリック (3) 青枠内全ての情報も同様にリストアします。

（バックアップリストア画面）


19

6. WebUIでのアップグレード 6.1. 準備

以下のものを準備します。・ネットワーク接続可能な PC(Internet Explorer 4.0以上がインストールされていること) ・アップグレードするファームウェア

6.2. PCの設定

WebUIでは、ブラウザを利用してアップグレードを行います。その為、作業は FortiGateに対してアクセス制限の無い PCで行います。

6.3. 接続


(2) ユーザ名・パスワードを入力してログイン 6.4. アップグレード

(1) ブラウザ内の左側にある Systemをクリック (2) System の下に現れた Status をクリック (3) ブラウザの中央にある Firmware Version で現在のバージョンを確認（図１参照）

（図１．バージョン情報確認画面）


20

(4) Firmware Version の右端にあるUpdateボタンをクリック（図 2参照）

（図２．アップデートボタン確認画面）

(5) 画面が切り替わった後 Upload File: の右端にある“参照”をクリックしアップグレード

するファイルを選択(図 3参照)

（図３．アップデートボタン確認画面）

(6) “OK”をクリックするとアップグレードが始まり、自動的にリブートします。 (7) リブート後、再ログインをしてファームウェアバージョンの確認

7. CLIでのアップグレード、ダウングレード注意: CLIでアップグレード・ダウングレードの場合、Configやユーザー名、パスワードは工場出荷時状態になります。 7.1. 準備

以下のものを準備する・ネットワーク接続可能な PC(TeraTerm等のターミナルソフト、TFTPServerがインストールされていること)

・クロス LANケーブル・クロスシリアルケーブル (FortiGateに付属) ・アップグレードするファームウェア・ダウングレードするファームウェア・適用するコンフィグ(ある場合)

7.2. PCの設定

CLIでは、TFTPサーバを利用してアップグレード行います。そのため、PCの設定は IPアドレスの設定とターミナルソフトの設定が必要になります。

(1) PCの IPアドレスを設定する(例:192.168.1.10/24) (2) TeraTermの設定を以下の通りに設定します。

・ボーレート：9600 (FG-300の場合は 115200) ・データ：8ビット・パリティ：なし・ストップ：1 ・フロー制御：なし

(3) TFTPServerではファームウェアを保存してあるフォルダを指定します。 7.3. 接続

(1) ターミナルソフトよりより FortiGateにアクセス (2) ユーザ名・パスワードを入力してログイン

7.4. アップグレード、ダウングレード

(1) 現在のバージョンを確認する。get sys status で確認します。 (2) exe reboot と入力し、リブートを行います。 (3) リブート後 Press Any Key To Download Boot Image.と表示されたら何かキーを押します。

Enter G,F,B,Q,or H：と表示されるので G を入力する ※機体によっては何かキーを押した後、Gを押さず(4)へ移行するものもあります＊次ページ実際のリブートしたときのプロンプト


22

FortiCLI画面 Fortigate-800 # execute reboot Please stand by while rebooting the system.

FGT800 (11:03-06.01.2005)

Ver:04000001

Serial number:FGT800260550****

RAM activation

Total RAM: 1024MB

Enabling cache...Done.

Scanning PCI bus...Done.

Allocating PCI resources...Done.

Enabling PCI resources...Done.

Zeroing IRQ settings...Done.

Verifying PIRQ tables...Done.

Boot up, boot device capacity: 61MB.

Press any key to display configuration menu... ←ここで何かキーを押す

..

[G]: Get firmware image from TFTP server.

[F]: Format boot device.

[B]: Boot with backup firmware and set as default.

[C]: Configuration and information.

[Q]: Quit menu and continue to boot with default firmware.

[H]: Display this list of options.

Enter G,F,B,C,Q,or H: ← G を入力する

(4) Enter tftp server address [192.168.1.168]: と表示されるので PCの IPアドレスを入力します。 (例: Enter tftp server address [192.168.1.168]: 192.168.1.10)

(5) Enter local address [192.168.1.188]: と表示されるので FGの IPアドレスを入力します。 (例: Enter local address [192.168.1.188]: 192.168.1.99)

(6) Enter firmware image file name [image.out]: と表示されるのでFirmwareのファイル名を入力します。 (例: Enter firmware image file name [image.out]:FGT_800-v280-build489-FORTINET.out)

(7) その後、Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]? と確認メッセージが表示されるので D キーを押す。 *モデルによっては”B”が表示されません。

(8) 自動的にリブートされるのでログイン後、アップグレードの確認を行います。ダウングレードの場合は、保存していたコンフィグをリストアします。


23

8. v3.0MRxからのアップグレード v3.0MR5未満からv3.0MR7以上へは直接アップグレードができません。そのため現在使用しているバージョンが該当する場合には一度v3.0MR5にアップグレードを行なった後v3.0MR7以上へとアップグレードを行ないます。アップグレードパス

v3.0MR5未満→v3.0MR5にアップグレード v3.0MR5以上→v3.0MR7にアップグレード

FortiGate50B/60Bのモデルで以下のOSを使用していた場合は下記順序にてアップグレードする必要がございます。該当する場合は一度弊社サポートまでご連絡下さい。

・FGT-50B

[MR3の場合]

MR3 B0413 Patch Release 9 (br300_fgt50b/build_tag_5020) ↓ MR3 B0415 Patch Release 10 (br300_fgt50b/build_tag_5059) ↓ MR5 B0559 [MR4の場合] MR4 B0477 (br300_mr4_fwf50b/build_tag_5011) ↓ MR4 B0483 Patch8 (br300_mr4_fwf50b/build_tag_6281) ↓ MR5 B0559

・FGT-60B

MR4 B0479 (br300_fgt60b/build_tag_5040) ↓ MR4 B0479 (br300_fgt60b/build_tag_5060) ↓ MR5 B0559 (br300_mr5_60b/build_tag_5062)


24

9. 設定情報の引継ぎ(v3.0MR5未満) 注意：下記は3.0MR5xxから3.0MR5へアップグレードする際に発生する項目です。 3.0MRxx から 3.0MR5 へアップグレードするのに伴い仕様の変更などにより、設定情報引継がれない点が有ります。

以下の記載はメーカ発行のリリースノートを翻訳した文を使用している箇所がございます。原文を確認

されたい場合はメーカ発行のリリースノートをご確認下さい。 [VPN PPTP Non-Firewall User Group] PPTPの設定にtypeがfirewallでないユーザグループが選択されていた場合FortiOS v2.80からFortiOS v3.0 MR5へのアップグレードに伴い設定が失われます。 [DDNS Server ‒ vavic.com] DDNS serviceの"vavic.com"は FortiOS v3.00 MR5で変更されました。ドメインはユーザアカウントに基づき自動的に取得します。その為 FortiOS v2.80から FortiOS v3.00 MR5へアップグレードする上でこの設定は保持されません。 [Firewall IP Pools with Class D IP Addresses] Class D IP addressを使用するFirewall IP poolはFortiOS v3.00 MR5へアップグレードする上で保持されません。現在の設定が 224.0.0.0未満であることを確かめて下さい。 [Web Activity Report Configuration] "config log report"の下のいくつかのweb activity reportの設定はFortiOS v3.00 MR5へのアップグレードに伴い失われるかもしれません。 · wf-block-user · wf-tu-hit · wf-cat-url · wf-pa-date · wf-pa-month · wf-pa-hour · wf-pa-date · wf-pa-month [User Peers] certificate authority (ca)または、件名が設定されていないUser peerはFortiOS v3.00 MR5へのアップグレードに伴い保持されません。MR5ではこれらのフィールドの少なくとも一つの設定が必要となります。


25

[Antivirus File Pattern] アンチウィルスのファイルパターンリストはFortiOS v3.00 MR5へのアップグレードに伴い保持されません。これはデフォルトのリストは含みません。以下例となります。 edit 10 set comment "Files not to be downloaded." config entries edit "badfile.txt" set action allow set active imap smtp pop3 http ftp im nntp next end set name "EngineeingList" next After upgrading, the lines from "config entries" to "end" may not appear.


26

10. 設定情報の引継ぎ(v3.0MR5 or MR6から MR7) 注意：下記は3.0MR5もしくはMR6から3.0MR7へアップグレードする際に発生する項目です。 3.0MR5もしくは MR6から 3.0MR7へアップグレードするのに伴い仕様の変更などにより、設定情報引継がれない点が有ります。

以下の記載はメーカ発行のリリースノートを翻訳した文を使用している箇所がございます。原文を確認

されたい場合はメーカ発行のリリースノートをご確認下さい。 [FG-3016B Upgrade] FGT-3016Bの interface名はフェイスプレート上のポート名に対応するように FortiOS v3.00 MR7で変更されています。 MR7 Patch8 へアップグレード後、設定内のすべてのポート名は下記の表のように変更されます。 Old port names before upgrading New port names after upgrading port1 mgmt1 port2 mgmt2 port3 port1 port4 port2 port5 port3 port6 port4 port7 port5 port8 port6 port9 port7 port10 port8 port11 port9 port12 port10 port13 port11 port14 port12 port15 port13 port16 port14 port17 port15 port18 port16 注記：FGT-3016Bの新しい修正は FortiOS v3.00 MR7のファームウェアでフェイスプレート左側二つのポートの名前を変更するものを含んでいました。以前それらは 1、2 と呼ばれていましたが現在はMGMT 1、MGMT 2と呼ばれています。しかしながら、BIOSはまだMGMT 1、MGMT 2ポートをport 1および port 2と呼びます。


27

[FortiManager Acting as a FortiGuard Server] もし FortiManagerが現地で FortiGuardサーバ(IPS、AV のアップデートを提供)として使用されている場合、サービスが途絶えることが無いように FortiGate をアップグレードする前に FortiMnager をMR7へ“必ず”アップグレードしてください。 [Firewall IP Pools with Class D IP Addresses] Class D IP addressを使用する Firewall IP poolは FortiOS v3.00 MR7 Patch8へアップグレードする上で保持されません。現在の設定が 224.0.0.0未満であることを確かめて下さい。 [IPS Related Settings] FortiOS v3.00 MR6で IPS設定に大きな変更が加えられています。前もって fierwall profileの"high critical"のシグネチャが有効になっている場合、アップグレードに伴い IPS フィルタの重要度"high critical"が選択された sensor が生成されます。この sensor は firewall profile に加えます。各々の重要度の組み合わせの分だけ sensor が生成されます。もしデフォルトのシグネチャ設定を変更している場合、そのシグネチャはそれらすべての sensorに IPS overrideとして加えられます。以下例となります。 FortiOS MR6未満の設定 config firewall profile

edit test1 set ips-signature info low medium high critical

next edit test2

set ips-signature high critical next

end config ips group abc

config rule xyz123 set status enable set action drop set id 1234567

end config rule xyz456

set status enable set action pass set id 7654321

end end


28

FortiOS v3.00 MR7の設定 config firewall profile

edit test1 set ips-sensor-status enable set ips-sensor fw_prof_upg_test1

next edit test2

set ips-sensor-status enable set ips-sensor fw_prof_upg_test2

next end config ips sensor

edit fw_prof_upg_test1 config filter

edit 1 set severity info low medium high critical

next end config override

edit 1234567 set status enable set action block

next edit 7654321

set status enable set action pass

next end

next edit fw_prof_upg_test2

config filter edit 1

set severity high critical next

end config override

edit 1234567 set status enable set action block

next


29

edit 7654321 set status enable set action pass

next end

next end 以下のセクションは v3.00 MR5、MR6からMR7 Patch8へのアップグレードに伴い削除されます。 config ips anomaly * config ips group * config system autoupdate ips 以下のコマンドは v3.00 MR5、MR6からMR7 Patch8へのアップグレードに伴い削除されます。 config system global set local-anomaly [enable|disable] config ips global set ip-protocol [enable|disable] FortiOS v3.00 MR4、MR5で共通設定である“config ips custom”は v3.00 MR7 Patch8 へアップグレードするのに伴い全ての VDomへコピーされます。 [IM and P2P] FortiOS v3.00 MR5では共通設定であるセクション“config imp2p aim-user | icq-user | yahoo-user | msn-user | old-version | policy”は v3.00 MR7 Patch8へのアップグレードに伴い全ての VDomへコピーされます。 [Spam Filter] FortiOS v3.00 MR5では共通設定であるセクション“config spamfilter bword | emailbwl | ipbwl | ipstrust | mhaeder”はv3.00 MR7 Patch8へのアップグレードに伴い全てのVDomへコピーされます。また、FortiOS v3.00 MR7 Patch8へのアップグレードに伴いセクション“config spamfilter rbl”は“config spamfilter dnsbl”になり、このセクションは全ての VDomへコピーされます。 [Web Filter] FortiOS v3.00 MR5 では共通設定であるセクション“ config webfilter bword | exmword | ftgd-local-cat | ftgd-local-rating | ftgd-ovrd | ftgd-ovrd-user | urlfilter”は v3.00 MR7 Patch8へア


30

ップグレードに伴い全ての VDomへコピーされます。 [FortiManager] FortiOS v3.00 MR5、MR6のセクション“config system fm”はMR7 Patch8へのアップグレードに伴い失われるかもしれません。この状況下では、“config system fortimanager”セクション以下のFortiManagerのパラメータをリセットする必要があります： config system fortimanager set ip 192.168.100.100 set vdom root end [User Setting] FortiOS v3.00 MR5 の system global 設定下に 3 つのパラメータがあり、VDom 毎に“config user setting”と呼ばれる新しいセクションへ移動しています。それらは以下のようになります。 set auth-cert set auth-secure-http [enable|disable] set auth-timeout set auth-type [ftp | http | https | telnet ] [SNMP Interface Index] FortiOS v3.00 MR6から新しい SSL インタフェース(ssl.root)が加わりました。FortiOS v3.00 MR5からMR7 Patch8へのアップグレードに伴いssl root インタフェースがリスト中の物理インタフェースの直後に加わる為 SNMP interface indexが増加します。 [NTP Configuration] 下記の NTPに関連する設定コマンドはMR7 Patch8で"config system ntp"の下に移動されました。 config ntpserver set ntpsync set syncinterval [DNS Server Override] "dns-server-override"コマンドは管理 Vdomに設定されているインタフェースのみで利用できます。 [Switch Interface and Vlan Support in TP mode]


31

FortiOS v3.00 MR7では vlanインタフェースは FortiGateの switchインタフェースに作成することができません。(例：FGT60の Internal interface) MR7 Patch8へのアップグレード後、switch インタフェースの vlanは失われます。 [VPN PPTP Non-Firewall User Group] PPTPの設定に typeが firewallでないユーザグループが選択されている場合、FortiOS v3.00 MR5から FortiOS v3.00 MR7 Patch8へアップグレードに伴い設定は失われます。 [Report Configuration] FortiOS v3.00 MR7 Patch8の"Report Config"機能はFortiAnalyzer Report Engine v2をサポートするように作り直されました。"config log report"コマンドは FortiOS v3.00 MR7 Patch8では削除されています。"config log report"以下の全ての設定は FortiOS v3.00 MR7 Patch8へのアップグレードに伴い失われるかもしれません。 [User Peers] User peerが certificate authority (ca)または、subjectを除いて設定されている場合は FortiOS v3.00 MR7 Patch8 へアップグレードする上で保持されません。MR7 ではこれらのフィールドのどちらか一方が強制の設定となるかもしれません。 [FortiGuard Configuration] "central-mgmt-auto-backup"コマンドのデフォルト設定は FortiOS v3.00 MR7 Patch8では enableに変更されています。 [Firewall Policy] "auth-path" "auth-cert" "auth-redirect-addr" の設定は認証グループが firewall policyで選択されていない場合 FOrtiOS v3.00 MR7 Patch8へのアップグレードに伴い失われるかもしれません。 [System IPv6] セクション"config system ipv6-tunnel"は v3.00 MR7 Patch8 へのアップグレードに伴い"config system sit-tunnel"の下へ移動されます。 [Global Setting] FortiOS v3.00 MR5、MR6では共通設定であるセクション"allow-interface-subnet-overlap"は、v3.00 MR7 Patch8へアップグレード後、全ての VDomの"config system settings"の下へコピーされます。


32

[VPN IPSec User Group Settings] FortiOS v3.00 MR7 Patch8で Xauthと Peer groupのユーザグループ設定は typeが firewallのユーザグループのみを参照するように変更されております。もし type が firewall ではないユーザグループが使用されている場合、VPNの設定はMR7 Patch8へアップグレードするのに伴い失われるかもしれません。 [Fortinet Local Certificate] FortiOS MR7 では"Fortinet_Local"の rsa 証明書は削除されました。その為、"Fortinet_Local"の rsa証明書を使用している全ての設定は MR7 Patch8 へのアップグレード後失われるかもしれません。”Fortinet_Local”の代わりに”Fortinet Factory”の rsa証明書を使用してください。 [IPSec Quick Mode Selector] IPSec Phase2 の quick mode selector のプロトコル設定は FortiOS v2.8 から FortiOS v3.0 Patch Release 2へのアップグレード後失われます。 [FDS Push-update Settings] 'config system autoupdate push-update'の下の addressと portの設定は FortiOS v3.00 MR7へのアップグレード後失われるかもしれません。 [System Modem Settings] 'config system modem'の設定は FortiOS v3.00 MR6から FortiOS v3.00 MR7 Patch8へのアップグレード後失われるかもしれません。 [FGT-224B Firewall Mode Support] FortiOS v3.00 MR7は FGT-224Bの firewallモードのオペレーティングのみをサポートしています。


33

11. Configの保存、リストア 11.1. 準備

以下のものを準備する。・ネットワーク接続可能な PC(Internet Explorer 4.0以上がインストールされていること) ・アップグレードするファームウェア

11.2. PCの設定

WebUIでは、ブラウザを利用してアップグレードを行います。その為、作業は FortiGateに対してアクセス制限の無い PCで行います。

11.3. 接続

(1) FGの”Internal(Port1)”ポートに PCの LANケーブルを接続する。 (2) PCのブラウザより FortiGateにアクセスする

(https://xxx.xxx.xxx.xxx もしくは http://xxx.xxx.xxx.xxx xは FortiGateの IPを指定) (3) ユーザ名・パスワードを入力してログイン

11.4. Configの保存 (赤枠)

(1) ブラウザ内の左側にある System >> Maintenanceをクリック (2) Backup and restore >> Backupをクリックするとファイルのダウンロードが開始される

ので保存する＊Configのリストア (青枠)

(1) ブラウザ内の左側にある System >> Maintenanceをクリック (2) Backup and restore >> Filename: の右端にある“参照”をクリックしアップグレード

するファイルを選択します。 (3) Restoreをクリックし、コンフィグをリストアします。

（バックアップリストア画面）


34

12. WebUIでのアップグレード、ダウングレード 12.1. 準備

以下のものを準備します。・ネットワーク接続可能な PC(Internet Explorer 4.0以上がインストールされていること) ・アップグレードするファームウェア

12.2. PCの設定

WebUIでは、ブラウザを利用して Configの保存を行います。その為、作業は FortiGateに対してアクセス制限の無い PCで行います。

12.3. 接続


(2) ユーザ名・パスワードを入力してログイン 12.4. アップグレード

(1) ブラウザ内の左側にある Systemをクリック (2) System の下に現れた Status をクリック (3) ブラウザの中央にある Firmware Version で現在のバージョンを確認（図１参照）

（図１．バージョン情報確認画面）


35

(4) Firmware Version の右端にある[変更]ボタンをクリック。（図 2参照）

（図２．アップデートボタン確認画面）

(5) 画面が切り替わった後 Upload File: の右端にある“参照”をクリックしアップグレード

するファイルを選択します。(図 3参照)

（図３．アップデートボタン確認画面）

(6) “OK”をクリックするとアップグレードが始まり、自動的にリブートします。 (7) リブート後、再ログインをしてファームウェアバージョンの確認を行います。


36

13. CLIでのアップグレード注意２: CLIでアップグレードの場合、Configやユーザー名、パスワードは工場出荷時状態になります。

13.1. 準備

以下のものを準備する・ネットワーク接続可能な PC(TeraTerm等のターミナルソフト、TFTPServerがインストールされていること)

・クロス LANケーブル・クロスシリアルケーブル (FortiGateに付属) ・アップグレードするファームウェア・ダウングレードするファームウェア・適用するコンフィグ(ある場合)

13.2. PCの設定

CLIでは、TFTPサーバを利用してアップグレード行います。そのため、PCの設定は IPアドレスの設定とターミナルソフトの設定が必要になります。

(1) PCの IPアドレスを設定する(例:192.168.1.10/24) (2) TeraTermの設定を以下の通りに設定します。


(3) TFTPServerではファームウェアを保存してあるフォルダを指定します。 13.3. 接続

(1) ターミナルソフトよりより FortiGateにアクセス (2) ユーザ名・パスワードを入力してログイン

13.4. アップグレード、ダウングレード

(1) 現在のバージョンを確認する。get sys status で確認します。 (2) exe reboot と入力し、リブートを行います。 (3) リブート後 Press Any Key To Download Boot Image.と表示されたら何かキーを押します。

Enter G,F,B,Q,or H：と表示されるので G を入力する ※機体によっては何かキーを押した後、Gを押さず(4)へ移行するものもあります＊次ページ実際のリブートしたときのプロンプト


37

FortiCLI画面 Fortigate-800 # execute reboot Please stand by while rebooting the system.

FGT800 (11:03-06.01.2005)

Ver:04000001

Serial number:FGT800260550****

RAM activation

Total RAM: 1024MB

Enabling cache...Done.

Scanning PCI bus...Done.

Allocating PCI resources...Done.

Enabling PCI resources...Done.

Zeroing IRQ settings...Done.

Verifying PIRQ tables...Done.

Boot up, boot device capacity: 61MB.

Press any key to display configuration menu... ←ここで何かキーを押す

..

[G]: Get firmware image from TFTP server.

[F]: Format boot device.

[B]: Boot with backup firmware and set as default.

[C]: Configuration and information.

[Q]: Quit menu and continue to boot with default firmware.

[H]: Display this list of options.

Enter G,F,B,C,Q,or H: ← G を入力する

(4) Enter tftp server address [192.168.1.168]: と表示されるので PCの IPアドレスを入力 (例: Enter tftp server address [192.168.1.168]: 192.168.1.10)

(5) Enter local address [192.168.1.188]: と表示されるので FGの IPアドレスを入力 (例: Enter local address [192.168.1.188]: 192.168.1.99)

(6) Enter firmware image file name [image.out]: と表示されるのでFirmwareのファイル名を入力 (例: Enter firmware image file name [image.out]: FGT_800-v300-build0400-FORTINET.out)

(7) その後、Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]? と確認メッセージが表示されるので D キーを押す *モデルによっては”B”が表示されません。

(8) 自動的にリブートされるのでログイン後、アップグレードの確認を行います。ダウングレードの場合は、保存していたコンフィグをリストアします。


38

14. HA構成時のアップグレード HA構成時に通信断を少なくするアップグレード作業の流れについて解説いたします。 ※注意：Active-Passiveの HA 構成時の手順について解説いたします。Active-Active の HA 構成の場

合は弊社サポートへご連絡下さい。 14.1. 準備

以下のものを準備します。・ネットワーク接続可能な PC(TeraTerm等のターミナルソフトがインストールされていること)

・クロスシリアルケーブル 14.2. PCの設定

CLIでは、ターミナルソフトを利用してコマンドを実行します。 (1) TeraTermの設定を以下の通りに設定します。(コンソールから実施する場合)


14.3. HAステータスの確認主系の FortiGateを FortiGate01、従系の FortiGateを FortiGate02として解説致します。 FortiGate02の HAステータスがMasterであった場合は作業対象の機器が逆となります。

(1) ターミナルソフトより FortiGate01にアクセス (2) ユーザ名・パスワードを入力してログイン (3) HAステータスの確認。diagnose sys ha statusにより確認します。(注:P40参照 (4) ターミナルソフトよりより FortiGate02にアクセス (5) ユーザ名・パスワードを入力してログイン (6) HAステータスの確認。diagnose sys ha statusにより確認します。(注:P40参照

14.4. FortiGate02をネットワークから切り離し (1) FortiGate02の実通信を行っているケーブルを取り外します。 (2) FortiGate02の HAの同期を行っているケーブルを取り外します。

14.5. FortiGate02のアップグレード別項のバージョンアップ手順を参照します。 v2.80→v3.0 MR7 Patch8の場合 P6.「2. v2.8MRxからのアップグレード」を参照

v3.00→v3.0 MR7 Patch8の場合 P23.「8. v3.0MRxからのアップグレード」を参照

14.6. FortiGate02と FortiGate01の入れ替え (1) FortiGate01の実通信ケーブルとHAケーブルを取り外します。

※通信断が発生いたします。


39

(2) FortiGate02の実通信ケーブルとHAケーブルを取り付けます。 (3) exe update-now コマンドにより自動アップデートを実行します。 (4) 実通信に問題が発生していないことを確認します。

バージョンアップによる問題の有無を確認します。問題が発生した場合は設定等を見直し

問題を修正します。注：OSバージョンを v2.8から v3.0へアップグレードした場合、バーチャルMACアドレスが変更され

ます。その為対向機器のMACアドレステーブルが更新されるまで通信が行えない可能性がございます。

14.7. FortiGate01のアップグレード

別項のバージョンアップ手順を参照します。 v2.80→v3.0 MR7 Patch8の場合 P6.「2. v2.8MRxからのアップグレード」を参照

v3.00→v3.0 MR7 Patch8の場合 P23.「8. v3.0MRxからのアップグレード」を参照

14.8. FortiGate01のネットワークへの導入 (1) FortiGate01の HAケーブルを取り付けます。 (2) diagnose sys ha statusによりネゴシエーションが行えていることを確認します。(注:P40参

照 (3) FortiGate01、FortiGate02それぞれで diagnose sys ha showcsumを実行してコンフィグ

が同期していることを確認します。(注:P40参照 OSv2.8の場合は diagnose sys ha diffcsumを slave側で実行してコンフィグが同期していることを確認します。(注:P40参照

(4) FortiGate01の実通信ケーブルを取り付けます。 (5) 実通信に問題が発生していないことを確認します。


40

以下コマンドの実行例となります。注：diagnoseコマンドはメーカ開発コマンドであるため詳細にはお答え致しかねますので予めご了承頂きたくお願い致します。 ▼FortiOS v2.8 FortiGate01 # diagnose sys ha status HA information

Statistics

・

中略

・

id / ip / ldb_priority / cluster_idx = FG500A39075XXXXX / 10.0.0.1 / -150 / 0

id / ip / ldb_priority / cluster_idx = FG500A39085XXXXX/ 10.0.0.2 / -150 / 1

FortiGate02 $ diagnose sys ha diffcsum Config in slave and master is synced!

▼FortiOS v3.0

FortiGate01 # diagnose sys ha status HA information

Statistics

traffic.local = s:208814 p:1890370 b:182008613

traffic.total = s:208811 p:1890359 b:182008238

activity.sess = c:0 u:0 d:0

activity.fdb = c:0 q:0

Model=500, Mode=2 Group=0 Debug=0

nvcluster=1, ses_pickup=0, load_balance=0, schedule=3.

HA group member information: is_manage_master=1.

FG500A39075XXXXX, 1. Master:200 FortiGate01

FG500A39085XXXXX, 0. Slave:100 FortiGate02

出力結果一番下から二行に表示さ

れている S/N と右端の数字を確認します。右端の数字が「0」がMaster 右端の数字が「1」が Slave となります。また、両機器の S/Nが表示されていることでネゴシエーションが行え

ていることを確認します。

コンフィグが同期している場合、左

記の結果が表示されます。

出力結果一番下から二行に表示さ

れている S/N、ホスト名、HA ステータスを確認します。また、両機器の S/Nが表示されていることでネゴシエーションが行え

ていることを確認します。


41

FortiGate01 # diagnose sys ha showcsum is_manage_master()=1, is_root_master()=1

debugzone

global: 11 01 d8 33 6f 65 d2 7d 15 05 ca c1 19 33 a2 85

root: e8 e3 18 64 fd 54 27 71 43 5a b0 5c f4 b4 4c 16

all: 88 da d1 54 7d cd f1 32 28 b0 d5 2a c7 ae 2b e8

checksum

global: 11 01 d8 33 6f 65 d2 7d 15 05 ca c1 19 33 a2 85

root: e8 e3 18 64 fd 54 27 71 43 5a b0 5c f4 b4 4c 16

FortiGate02 # diagnose sys ha showcsum is_manage_master()=0, is_root_master()=0

debugzone

global: 11 01 d8 33 6f 65 d2 7d 15 05 ca c1 19 33 a2 85

root: e8 e3 18 64 fd 54 27 71 43 5a b0 5c f4 b4 4c 16

all: 88 da d1 54 7d cd f1 32 28 b0 d5 2a c7 ae 2b e8

checksum

global: 11 01 d8 33 6f 65 d2 7d 15 05 ca c1 19 33 a2 85

root: e8 e3 18 64 fd 54 27 71 43 5a b0 5c f4 b4 4c 16

実行した機器のコンフィグのハッ

シュ値が表示されます。 FortiGate01のハッシュ値と FortiGate02のハッシュ値に差異が無いかを確認します。


42

15. 付録資料 A ― IPSグループ設定アップグレード FortiOS v2.80 MR11から FortiOS v3.00 MR1以上へアップグレードするのに伴い、以下の IPSグループが失われます。以下のリストから現在 v2.80 MR11の設定で定義されている IPSグループを確認し、対応する FortiOS v3.00での IPSグループ名を確認して下さい。アップグレード後、各 IPSグループのシグネチャ設定を手動で構成してください。

FortiOS v2.80 IPS Group Name FortiOS v3.00 IPS Group Name ips group "apache" ips group web_server ips group "cgi" ips group web_app ips group "coldfusion" ips group web_app ips group "compromise" ips group web_server

ips group backdoor ips group applications ips group database ips group remote_access

ips group "dns" ips group name_server ips group "exploit" ips group applications

ips group database ips group email ips group name_server ips group operating_system ips group remote_access ips group web_app

ips group "frontpage" ips group web_app ips group "ftp" ips group file_transfer ips group "iis" ips group web_server ips group "imap" ips group email ips group "misc" ips group applications

ips group database ips group email ips group operating_system ips group p2p ips group remote_access ips group tools ips group VoIP


43

ips group web_app ips group web_server

ips group "netscape" ips group web_app ips group "php" ips group web_app ips group "policy" ips group policy ips group "pop2" ips group email ips group "pop3" ips group email ips group "rlogin" ips group remote_access ips group "rpc" ips group rpc ips group "scan" ips group tools ips group "shell" ips group operating_system ips group "smtp" ips group email ips group "sql" ips group database ips group "telnet" ips group remote_access ips group "tftp" ips group file_transfer ips group "web-client" ips group web_client ips group "web-misc" ips group applications

ips group backdoor ips group database ips group email ips group misc ips group operating_system ips group tools ips group web_app ips group web_client ips group web_server

ips group "web-server" ips group web_server ips group "icmp_decoder" ips group protocol_decoder ips group "im" ips group im ips group "imap_decoder" ips group imap_decoder ips group "ip_decoder" ips group protocol_decoder ips group "p2p" ips group p2p


44

ips group "pop_decoder" ips group pop3_decoder ips group "tcp_decoder" ips group protocol_decoder ips group "tcp_reassembler" ips group tcp_reassembler ips group "tfn" ips group DOS ips group "udp_decoder" ips group protocol_decoder

以上

fortigate firmware versionup 手順書...[ipsec vip] fortios v2.8 は config vpn ipsec vip...

Documents