安装/升级Checkpoint Full HA(网关和管理) 是用于安装或升级到R77.10的旧文章。记录该帖子是为了R77.30升级目的,其中包含更多详细信息,尽管所有步骤都与以前的版本几乎相同。
1.独立的Check Point网关升级
Check Point产品升级并不那么复杂,Check Point提供了两种方法:
1.1 CPUSE(WebUI)
您将需要有效的许可证,并且网关将需要Internet访问才能连接到Check Point用户中心以更新可用的修补程序/软件包列表。您也可以导入从Check Point支持站点手动下载的软件包,然后从CPUSE / WebUI界面进行安装。
1.2 CLI
命令行也是安装Check Point Hotfix /升级包的流行方法。这是用于执行R77.30升级的命令。
|
[[电子邮件 protected]]#tar -zxvf Check_Point_R77.30_T204.Gaia.tgz
[[电子邮件 protected]]#./UnixInstallScript
|
2. Check Point网关群集升级
这些方法非常适合独立检查点实现。如果您的实施是群集(ClusterXL),则过程会有所不同。您将不得不考虑升级期间的停机时间。
Check Point具有SK107042来列出群集升级的所有方式:
- 最小的努力(将需要最大的停机时间)
- 零停机时间(用于断开旧连接的短停机时间)
- 最佳服务升级(停机时间极短,可删除旧连接)
- 连接升级(无停机时间,无连接断开)
- 全面连接升级(R75GA之后不支持)
|
升级方式
|
描述
|
网络影响
|
升级期限
|
|
(简单升级)
|
群集成员可以升级到任何版本。
每个群集成员都将升级为独立的安全网关。
现有连接已中断。
|
没有连通性,因为所有集群成员都无法维护。
需要一个实质性的维护窗口.
|
只要需要升级所有群集成员。
|
|
群集成员可以升级到任何版本。
在这种类型的升级过程中,始终至少有一个活动群集成员来处理流量。
运行不同Check Point软件版本的群集成员之间的连接不同步。
升级后的集群成员处于“就绪”状态,直到停止运行先前版本的集群成员为止(使用 止血, 要么 cpstop command).
|
当集群成员升级到新版本时,将删除在运行先前版本的集群成员上启动的连接。
需要相对较短的维护时间以删除旧连接.
|
比较短。
|
|
|
群集成员可以根据下面的“升级路径”表进行升级。
新建立的连接将转发给已升级的群集成员,而运行先前版本的群集成员将继续检查旧的现有连接。
升级过程花费的时间越多,存在的旧连接就越少,并且在停止运行先前版本的集群成员时,连接丢失的可能性很小。
尽管此升级过程需要很长的时间,但仍可以完全保持安全性和连接性。
|
升级之后,将删除在升级之前启动但在升级过程中未关闭的最小连接数。
需要非常短的维护时间以删除旧的连接 .
|
长。
这种升级过程的性质要求关闭旧连接的时间,同时将新建立的连接转移到升级提示器成员进行检查。
|
|
|
也指
|
群集成员可以根据下面的“升级路径”表升级到R77.20及更高版本。
连接故障转移得到保证。
该过程与“零宕机时间”非常相似,另外还同步了与升级后的集群成员的连接。
|
没有连接断开。
无需维护窗口.
|
短。
|
|
此升级方法被认为已过时, 不 自R75 GA起受支持。
|
|||
升级方式实际上,即使您阅读了所有这些文档,也可能仍然使我困惑。哪个最适合此升级?
Check Point解释了这些方法的一些情况:
高效且省时的升级,但失去一些连接
- 简单升级(带停机时间) –如果您有一段时间允许网络停机,请选择此选项。此方法最简单,因为每个群集成员都被升级为独立的网关。
- 零停机时间 –如果您没有网络停机时间,并且需要以最少的掉线连接数量快速完成升级,请选择此选项。在这种类型的升级期间,始终至少有一个活动成员来处理流量。运行不同Check Point软件版本的群集成员之间的连接不同步。
注意 –当集群成员升级到新版本时,在运行旧版本的集群成员上启动的连接将被丢弃。但是,网络连接在升级过程中仍然可用,并且升级的群集成员上启动的连接不会丢失。
升级确保最小的连接丢失
- 最佳服务升级(OSU) –如果最关注安全性,请选择此选项。在这种类型的升级过程中,两个群集成员处理网络流量。升级过程中启动的连接会一直持续到升级。在升级后,删除在升级之前启动的最小连接数。
- 连接升级(CU) –如果需要将Security Gateway或VSX群集升级到任何版本,并保证连接故障转移,请选择此选项。升级之前启动的连接将与升级的安全网关和群集成员同步,因此不会丢失任何连接。
根据我的经验,零停机时间通常适用于大多数情况。如果不需要停机,则连接升级将是唯一的选择。
无论采用哪种方式,备份始终都是您必须要做的第一件事。升级过程中发生意外故障时,快照或备份都将为您提供帮助。
 |
| 快照 |
 |
| 后备 |
这是我正在从R77.10升级到R77.30的集群的步骤。
2.1查找并下载Check Point升级包 升级向导
您将下载升级包 Check_Point_R77.30_T204.Gaia.tgz,其大小约为1.5G。
2.2将图像上传到Check Point网关
您可能需要使用命令将用户cli shell从Clish更改为Bash,因此您可以使用sftp将这个1.5G大小的文件上传到安装文件夹中。
|
主机名> 设置用户admin shell / bin / bash
主机名> 保存配置 |
要将其改回,可以从专家模式使用以下命令:
|
[[电子邮件 protected]:0]# chsh -s /etc/cli.sh管理员
为管理员更改外壳。 外壳已更改。 |
将用户CLI Shell更改为bash之后,您将能够使用sftp软件(例如WinSCP)上载它。
2.3安装上传的软件包
|
[[电子邮件 protected]:0]# tar -zxvf Check_Point_R77.30_T204.Gaia.tgz [[电子邮件 protected]:0]# ./UnixInstallScript ****************************************************** ********* 欢迎使用Check Point R77.30安装 ****************************************************** ********* 验证R77.30的安装环境…完成! 将安装以下组件: * R77.30 安装程序将停止所有Check Point进程。 您要继续吗(y / n)? ÿ 停止检查点流程…完成! 安装安全网关/安全管理R77.30…完成! 安装Mobile Access R77.30…完成! 安装Performance Pack R77.30…完成! UserAuthority服务器 未安装。跳过安装。 INIT:2.86版重新加载 正在安装GAIA R77.30…完成! ****************************************************** ********************** 包裹名字 Status ———— —— 安全网关/安全管理R77.30 成功 移动访问R77.30 Succeeded 性能包R77.30 成功 UserAuthority服务器R77.30 Skipped 盖亚R77.30 成功 ****************************************************** ********************** 安装程序成功完成。 您是否要重新启动计算机(是/否)? ÿ 来自管理员的广播消息(pts / 2)(2016年1月28日星期四15:22:02): 系统正在关闭以立即重新启动! 来自管理员的广播消息(pts / 2)(2016年1月28日星期四15:22:02): 系统正在关闭以立即重新启动! INIT:发送过程TERM signalhu 1月28日 [[电子邮件 protected]:0]#正在停止sshd:[ OK ] 停止ARP:<not configured> 停止xinetd:[ OK ] 停止acpi守护程序:[ OK ] 停止crond:[ OK ] CPshell关闭: [ OK ] 停止审核:[ OK ] 关闭内核记录器:[ OK ] 关闭系统记录器:[ OK ] 开始killall: [ OK ] 启动bypass_on: [ OK ] 发送所有进程的TERM信号…xpand [6routed [4874]:task_terminate:经理退出 routed [4874]:退出routed [4874]版本routed-06.21.2015-13:44:30 发送所有进程的KILL信号… 保存随机种子: 将硬件时钟同步到系统时间 关闭交换: 卸载文件系统: 挂载:/ proc忙 重新启动系统时请等待... 正在重启系统。 € |
控制台输出以重新引导:
|
PCI:BIOS错误:e0000000的MCFG区域未保留E820 PCI:不使用MMCONFIG。 ACPI:获取acpiid 0x31.80GHz的cpuindex ACPI:获取acpiid 0x4的cpuindex ÿ 读取所有物理卷。 可能还要等一下… 使用元数据类型lvm2找到了卷组“ vg_splat” 卷组“ vg_splat”中的8个逻辑卷现在处于活动状态 设定时钟 (utc):2016年1月28日星期四15:22:41 [ OK ] 启动udev:[ OK ]CA 设置主机名FW-CP1: [ OK ] 设置逻辑卷管理: 卷组“ vg_splat”中的8个逻辑卷现在处于活动状态 [ OK ] 检查文件系统 检查所有文件系统。 [/sbin/fsck.ext3(1)— /] fsck.ext3 -a / dev / mapper / vg_splat-lv_current / dev / mapper / vg_splat-lv_current:干净,41374/4194304文件,2589690/8388608块 [/sbin/fsck.ext3(1)-/ boot] fsck.ext3 -a / dev / sda1 / boot:干净,230/38152文件,96780/152584块 [/sbin/fsck.ext3(1)-/ var / log] fsck.ext3 -a / dev / mapper / vg_splat-lv_log / dev / mapper / vg_splat-lv_log:干净,2503/15728640文件,3081118/15728640块 [ OK ]硬件时钟到系统时间 以读写模式重新挂载根文件系统: [ OK ] 挂载本地文件系统: [ OK ] vm.balance_pgdat_limit = 20 vm.balance_pgdat_zone = 2正在为系统… grep: /etc/udev/rules.d//00-OS-XX.rules: No such file or directory vm.max_map_count = 524288 启用/ etc / fstab交换: [ OK ] INIT:输入运行级别:3 正在应用英特尔CPU微代码更新:[ OK ] 启动sysstat: 调用系统活动数据收集器(sadc): [ OK ] 运行UP加速驱动程序检查。 IP系列驱动程序不存在 开始后台预读:[ OK ] 检查硬件更改[ OK ] 配置ipv6内核支持: ipv6_xlate [4451]:ipv6_xlate:固件ipv6状态为OFF [ OK ] 启动kdump:[ OK ] 插入ipsctlmod.2.6.18.cp.i686:[ OK ] CKP:加载SecureXL: [ OK ] 机器上没有ixgbe接口 机器上没有igb接口 CKP:加载FW-1 IPv4实例0: [ OK ] CKP:加载VPN-1 Instance 0: [ OK ] CKP:加载FW-1 IPv4实例1: [ OK ] CKP:加载VPN-1 Instance 1: [ OK ] FW1:启动cpWatchDog fwha_read_boot_conf:警告:ha_boot.conf中未设置cluster_id。 启动wrp: [ OK ] 开始审核:[ OK ] 启动系统记录器:[ OK ] 启动内核记录器:[ OK ] 未安装支点开关 启动upgrade_db: [ OK ] 更新数据库中的接口: 导入了0个绑定 [ OK ] 生成vrfs: [ OK ] 配置NetAccess: [ OK ] 生成NTP配置: [ OK ] 生成时区配置: [ OK ] 生成域名配置: [ OK ] 生成键盘映射配置: [ OK ] 生成主机名配置: [ OK ] 配置接口: [ OK ] 生成/ etc / monitor_mode: [ OK ] 生成/ etc / fonic_pairs: [ OK ] 配置NDP: [ OK ] 生成hosts.conf: [ OK ] 生成resolv.conf: [ OK ] 生成dhclient.conf: [ OK ] 生成pwcontrol.conf [ OK ] 生成passwd + shadow [ OK ] 生成组+ gshadow [ OK ] 生成routed.conf [ OK ] 生成routed0.conf [ OK ] 生成扩展命令: [ OK ] 生成MOTD: [ OK ] 生成横幅消息: [ OK ] 生成/ etc / raddb / server: [ OK ] 生成TACACS +配置: [ OK ] 生成/etc/msmtp.conf: [ OK ] 生成/etc/pam.d/system-auth: [ OK ] 生成/etc/sysconfig/external.if: [ OK ] 生成/etc/lldpd.conf: [ OK ] 生成DHCP服务器配置: Write DSTATE called ServerConfigured = 1 DdnsConfigured = 0 [ OK ] 生成/ etc / adjust_radius: [ OK ] 运行/ bin / arp_xlate: [ OK ] 生成SNMP配置: [ OK ] 生成SNMP监视器配置: [ OK ] 生成Job Scheduler配置: [ OK ] 更新常规配置文件: [ OK ] 更新syslogd配置: Reloading syslogd…[ OK ] 正在重新加载klogd…[ OK ] [ OK ] 更新httpd2配置: [ OK ] 更新httpd-ssl配置: [ OK ] 应用NetFlow配置[ OK ] 配置PPPoE: [ OK ] 配置主机访问: [ OK ] CPshell初始化: [ OK ] 初始化CP Process Manager。 从cp_pm_rl2开始: [ OK ] 从cp_pm_rl3开始: [ OK ] 从cp_pm_rl4开始: [ OK ] 启动acpi守护程序:[ OK ] 启动sshd:[ OK ] 启动ARP:<not configured> 开始xinetd:[ OK ] 从bp_init开始: [ OK ] 开始bypass_off: [ OK ] 起始crond:[ OK ] 启动cpri_d: cpridstart:启动cprid [1] 7362 [ OK ] 启动cpboot: cpstart:开机自检成功通过 cpstart:起始产品– SVN Foundation SVN Foundation:cpWatchDog已在运行 启动cpviewd 启动历史记录守护程序 cpwd_admin: 进程HISTORYD成功启动(pid = 7428) SVN Foundation:启动cpd SVN Foundation:启动PostgreSQL数据库 多端口守护程序:启动mpdaemon SVN基金会成立 cpstart:起始产品– 虚拟专用网-1 FireWall-1:启动外部VPN模块-确定 fwha_read_boot_conf:警告:ha_boot.conf中未设置cluster_id。 cpwd_admin: 进程CPHAMCSET成功启动(pid = 7728) FireWall-1:开始转发 禁用SecureXL,不能使用关联命令 加载策略后,将启动SecureXL。 FireWall-1:提取政策 在以下位置安装安全策略FW_1 [电子邮件 protected] 从本地主机获取安全策略成功 SIM:使用任意CPU 0 从以下位置获取FW1安全策略:10.4.2.5 本地策略是最新的。 未安装该策略,因为它与安全网关上已存在的策略相同。 从-n安装威胁防护策略 从以下位置获取威胁防护安全策略:10.4.20.50 未加载威胁防护安全策略 提取威胁防护策略失败 反恶意软件未启动 FireWall-1:启用网桥转发 防火墙1开始 SIM:使用任意CPU 0 cpstart:起始产品– FloodGate-1 FloodGate-1已禁用。如果您想启动该服务,请运行“ etmstart enable”。 cpstart:起始产品– SmartView Monitor SmartView Monitor:不活动 cpstart:起始产品– SmartLog cpstart:起始产品–移动访问 移动访问服务已禁用。 如果要启动Mobile Access,请在SmartDashboard中启用Mobile Access刀片服务器并配置Mobile Access策略。 cpstart:起始产品–部署代理 cpwd_admin: 进程DASERVICE已成功启动(pid = 9527) [ OK ] 启动cpboot_refetch: [ OK ] 插入vrrp_lkm.2.6.18.cp.i686:[ OK ] 该系统仅供授权使用。 登录: |
登录到网关以验证已安装的软件包。
|
[[电子邮件 protected]:0]# 固件版本
|
2.4 Check Point Mgmt服务器更改
2.4.1将网关版本更改为R77.30
2.4.2安装策略,清除选项“对于在所有成员上安装网关集群,如果失败,则根本不要安装”
由于将在活动但未升级的网关(R77.10)上安装失败,因此将成功安装到升级的网关(R77.30),并显示一些警告通知。您可以放心地忽略它。
2.5将另一个群集成员从R77.10升级到R77.30
在左侧的R77.10网关上,可以执行cpstop将活动角色故障转移到新的R77.30网关,然后在2.4上执行相同的步骤,将R77.10升级到r77.30。
在将第二个网关升级到R77.30之后,您可以再次推送策略,但是这次您将不会收到有关策略推送状态的警告通知。
2.6 Verify 状态
|
[[电子邮件 protected]:0]# cphaprob统计
集群模式: 具有IGMP成员资格的高可用性(活动启动) 数 Unique Address Assigned Load State 1(本地) 10.9.9.15 0% Ready (*)“就绪”状态可能是由于成员之间的配置不一致引起的: 32位/ 64位/用户模式,CoreXL实例数或不同的软件版本。 [[电子邮件 protected]:0]# cphaprob统计 集群模式: 具有IGMP成员资格的高可用性(活动启动) 数 Unique Address Assigned Load State 1(本地) 10.9.9.15 100% Active [[电子邮件 protected]:0]# 防火墙统计 主办 POLICY DATE 本地主机FW_Policy_1 2016年1月28日15:42:36: [>eth1] [<eth1] [>eth2] [<eth2] [>eth3] [>Mgmt] [<Mgmt] [[电子邮件 protected]:0]# |
参考:
- sk107042 – ClusterXL升级方法和路径
- CP_R77_Gaia_Installation_and_Upgrade_Guide
- 安装/升级Checkpoint Full HA(网关和管理)
获取此错误消息。你能帮我吗?您从哪个目录运行该命令?
./UnixInstallScript
bash:./UnixInstallScript:没有这样的文件或目录