安装/升级Checkpoint Full HA(网关和管理) 是用于安装或升级到R77.10的旧文章。记录该帖子是为了R77.30升级目的,其中包含更多详细信息,尽管所有步骤都与以前的版本几乎相同。 
1.独立的Check Point网关升级
Check Point产品升级并不那么复杂,Check Point提供了两种方法:
1.1 CPUSE(WebUI)
您将需要有效的许可证,并且网关将需要Internet访问才能连接到Check Point用户中心以更新可用的修补程序/软件包列表。您也可以导入从Check Point支持站点手动下载的软件包,然后从CPUSE / WebUI界面进行安装。

1.2 CLI
命令行也是安装Check Point Hotfix /升级包的流行方法。这是用于执行R77.30升级的命令。

[[电子邮件 protected]]#tar -zxvf Check_Point_R77.30_T204.Gaia.tgz
[[电子邮件 protected]]#./UnixInstallScript

2. Check Point网关群集升级
这些方法非常适合独立检查点实现。如果您的实施是群集(ClusterXL),则过程会有所不同。您将不得不考虑升级期间的停机时间。

Check Point具有SK107042来列出群集升级的所有方式:

  • 最小的努力(将需要最大的停机时间)
  • 零停机时间(用于断开旧连接的短停机时间)
  • 最佳服务升级(停机时间极短,可删除旧连接)
  • 连接升级(无停机时间,无连接断开)
  • 全面连接升级(R75GA之后不支持)
升级方式
描述
网络影响
升级期限
(简单升级)
群集成员可以升级到任何版本。
每个群集成员都将升级为独立的安全网关。
现有连接已中断。
没有连通性,因为所有集群成员都无法维护。
需要一个实质性的维护窗口.
只要需要升级所有群集成员。
群集成员可以升级到任何版本。
在这种类型的升级过程中,始终至少有一个活动群集成员来处理流量。
运行不同Check Point软件版本的群集成员之间的连接不同步。
升级后的集群成员处于“就绪”状态,直到停止运行先前版本的集群成员为止(使用 止血, 要么 cpstop command).
当集群成员升级到新版本时,将删除在运行先前版本的集群成员上启动的连接。
需要相对较短的维护时间以删除旧连接.
比较短。
群集成员可以根据下面的“升级路径”表进行升级。
新建立的连接将转发给已升级的群集成员,而运行先前版本的群集成员将继续检查旧的现有连接。
升级过程花费的时间越多,存在的旧连接就越少,并且在停止运行先前版本的集群成员时,连接丢失的可能性很小。
尽管此升级过程需要很长的时间,但仍可以完全保持安全性和连接性。
升级之后,将删除在升级之前启动但在升级过程中未关闭的最小连接数。
需要非常短的维护时间以删除旧的连接 .
长。
这种升级过程的性质要求关闭旧连接的时间,同时将新建立的连接转移到升级提示器成员进行检查。
也指
群集成员可以根据下面的“升级路径”表升级到R77.20及更高版本。
连接故障转移得到保证。
该过程与“零宕机时间”非常相似,另外还同步了与升级后的集群成员的连接。
没有连接断开。
无需维护窗口.
短。
此升级方法被认为已过时,  自R75 GA起受支持。

升级方式实际上,即使您阅读了所有这些文档,也可能仍然使我困惑。哪个最适合此升级?

Check Point解释了这些方法的一些情况:

高效且省时的升级,但失去一些连接

  • 简单升级(带停机时间) –如果您有一段时间允许网络停机,请选择此选项。此方法最简单,因为每个群集成员都被升级为独立的网关。
  • 零停机时间 –如果您没有网络停机时间,并且需要以最少的掉线连接数量快速完成升级,请选择此选项。在这种类型的升级期间,始终至少有一个活动成员来处理流量。运行不同Check Point软件版本的群集成员之间的连接不同步。
    注意 –当集群成员升级到新版本时,在运行旧版本的集群成员上启动的连接将被丢弃。但是,网络连接在升级过程中仍然可用,并且升级的群集成员上启动的连接不会丢失。


升级确保最小的连接丢失

  • 最佳服务升级(OSU) –如果最关注安全性,请选择此选项。在这种类型的升级过程中,两个群集成员处理网络流量。升级过程中启动的连接会一直持续到升级。在升级后,删除在升级之前启动的最小连接数。
  • 连接升级(CU) –如果需要将Security Gateway或VSX群集升级到任何版本,并保证连接故障转移,请选择此选项。升级之前启动的连接将与​​升级的安全网关和群集成员同步,因此不会丢失任何连接。

根据我的经验,零停机时间通常适用于大多数情况。如果不需要停机,则连接升级将是唯一的选择。

无论采用哪种方式,备份始终都是您必须要做的第一件事。升级过程中发生意外故障时,快照或备份都将为您提供帮助。

快照

后备

这是我正在从R77.10升级到R77.30的集群的步骤。
2.1查找并下载Check Point升级包 升级向导

您将下载升级包 Check_Point_R77.30_T204.Gaia.tgz,其大小约为1.5G。

2.2将图像上传到Check Point网关

您可能需要使用命令将用户cli shell从Clish更改为Bash,因此您可以使用sftp将这个1.5G大小的文件上传到安装文件夹中。

主机名> 设置用户admin shell / bin / bash
主机名> 保存配置

要将其改回,可以从专家模式使用以下命令:

[[电子邮件 protected]:0]# chsh -s /etc/cli.sh管理员
为管理员更改外壳。

外壳已更改。
Pub-cp2> 设置用户管理员外壳 
shell:指定用户的命令解释器,该命令解释器在登录时调用。

       范围:无范围。请参阅文件/ etc / shells以获取有效的登录shell。
       默认值:/etc/cli.sh。

Pub-cp2> 设置用户admin shell /etc/cli.sh

Pub-cp2> 保存配置

将用户CLI Shell更改为bash之后,您将能够使用sf​​tp软件(例如WinSCP)上载它。

2.3安装上传的软件包


[[电子邮件 protected]:0]# tar -zxvf Check_Point_R77.30_T204.Gaia.tgz

[[电子邮件 protected]:0]# ./UnixInstallScript 


****************************************************** *********
欢迎使用Check Point R77.30安装 
****************************************************** *********
验证R77.30的安装环境…完成!
将安装以下组件:
* R77.30
安装程序将停止所有Check Point进程。
您要继续吗(y / n)? ÿ
停止检查点流程…完成!
安装安全网关/安全管理R77.30…完成!

安装…完成!

安装Performance Pack R77.30…完成!

UserAuthority服务器 未安装。跳过安装。

INIT:2.86版重新加载

正在安装GAIA R77.30…完成!


****************************************************** **********************

包裹名字                                                   Status
————                                                   ——
安全网关/安全管理R77.30                  成功

移动访问R77.30                                           Succeeded


性能包R77.30                                        成功


UserAuthority服务器R77.30                                     Skipped


盖亚R77.30                                                    成功



****************************************************** **********************


安装程序成功完成。
您是否要重新启动计算机(是/否)? ÿ

来自管理员的广播消息(pts / 2)(2016年1月28日星期四15:22:02):

系统正在关闭以立即重新启动!

来自管理员的广播消息(pts / 2)(2016年1月28日星期四15:22:02):

系统正在关闭以立即重新启动!

INIT:发送过程TERM signalhu 1月28日
[[电子邮件 protected]:0]#正在停止sshd:[ OK  ]
停止ARP:<not configured> 
停止xinetd:[ OK  ]
停止acpi守护程序:[ OK  ]
停止crond:[ OK  ]
CPshell关闭: [  OK  ]
停止审核:[ OK  ]
关闭内核记录器:[  OK  ]
关闭系统记录器:[ OK  ]
开始killall: [  OK  ]
启动bypass_on: [  OK  ]
发送所有进程的TERM信号…xpand [6routed [4874]:task_terminate:经理退出
routed [4874]:退出routed [4874]版本routed-06.21.2015-13:44:30

发送所有进程的KILL信号… 
保存随机种子: 
将硬件时钟同步到系统时间 
关闭交换: 
卸载文件系统: 
挂载:/ proc忙
重新启动系统时请等待...
正在重启系统。

控制台输出以重新引导:

                                                                                  
PCI:BIOS错误:e0000000的MCFG区域未保留E820                      
PCI:不使用MMCONFIG。                                                       
ACPI:获取acpiid 0x31.80GHz的cpuindex                                   
ACPI:获取acpiid 0x4的cpuindex                                          
ÿ  读取所有物理卷。 可能还要等一下…                     
 使用元数据类型lvm2找到了卷组“ vg_splat”                       
 卷组“ vg_splat”中的8个逻辑卷现在处于活动状态                     
设定时钟 (utc):2016年1月28日星期四15:22:41 [ OK  ]                     
启动udev:[ OK  ]CA                                                       
设置主机名FW-CP1: [  OK  ]                                         
设置逻辑卷管理: 卷组“ vg_splat”中的8个逻辑卷现在处于活动状态
[  OK  ]                                                                        
检查文件系统                                                           
检查所有文件系统。                                                     
[/sbin/fsck.ext3(1)— /] fsck.ext3 -a / dev / mapper / vg_splat-lv_current        
/ dev / mapper / vg_splat-lv_current:干净,41374/4194304文件,2589690/8388608块
[/sbin/fsck.ext3(1)-/ boot] fsck.ext3 -a / dev / sda1                          
/ boot:干净,230/38152文件,96780/152584块                             
[/sbin/fsck.ext3(1)-/ var / log] fsck.ext3 -a / dev / mapper / vg_splat-lv_log     
/ dev / mapper / vg_splat-lv_log:干净,2503/15728640文件,3081118/15728640块
[  OK  ]硬件时钟到系统时间 
以读写模式重新挂载根文件系统: [  OK  ]
挂载本地文件系统: [  OK  ]
vm.balance_pgdat_limit = 20
vm.balance_pgdat_zone = 2正在为系统…
grep: /etc/udev/rules.d//00-OS-XX.rules: No such file or directory
vm.max_map_count = 524288
启用/ etc / fstab交换: [  OK  ]
INIT:输入运行级别:3
正在应用英特尔CPU微代码更新:[ OK  ]
启动sysstat: 调用系统活动数据收集器(sadc): 
[  OK  ]
运行UP加速驱动程序检查。
IP系列驱动程序不存在
开始后台预读:[ OK  ]
检查硬件更改[ OK  ]
配置ipv6内核支持: ipv6_xlate [4451]:ipv6_xlate:固件ipv6状态为OFF
[  OK  ]
启动kdump:[  OK  ]
插入ipsctlmod.2.6.18.cp.i686:[ OK  ]
CKP:加载SecureXL: [  OK  ]
机器上没有ixgbe接口
机器上没有igb接口
CKP:加载FW-1 IPv4实例0: [  OK  ]
CKP:加载VPN-1    Instance 0:  [  OK  ]
CKP:加载FW-1 IPv4实例1: [  OK  ]
CKP:加载VPN-1    Instance 1:  [  OK  ]
FW1:启动cpWatchDog
fwha_read_boot_conf:警告:ha_boot.conf中未设置cluster_id。
启动wrp: 
[  OK  ]
开始审核:[ OK  ]
启动系统记录器:[ OK  ]
启动内核记录器:[ OK  ]
未安装支点开关
启动upgrade_db: [  OK  ]
更新数据库中的接口: 导入了0个绑定
[  OK  ]
生成vrfs: [  OK  ]
配置NetAccess: [  OK  ]
生成NTP配置: [  OK  ]
生成时区配置: [  OK  ]
生成域名配置: [  OK  ]
生成键盘映射配置: [  OK  ]
生成主机名配置: [  OK  ]
配置接口: [  OK  ]
生成/ etc / monitor_mode: [  OK  ]
生成/ etc / fonic_pairs: [  OK  ]
配置NDP: [  OK  ]
生成hosts.conf: [  OK  ]
生成resolv.conf: [  OK  ]
生成dhclient.conf: [  OK  ]
生成pwcontrol.conf [ OK  ]
生成passwd + shadow [ OK  ]
生成组+ gshadow [ OK  ]
生成routed.conf [ OK  ]
生成routed0.conf [ OK  ]
生成扩展命令: [  OK  ]
生成MOTD: [  OK  ]
生成横幅消息: [  OK  ]
生成/ etc / raddb / server: [  OK  ]
生成TACACS +配置: [  OK  ]
生成/etc/msmtp.conf: [  OK  ]
生成/etc/pam.d/system-auth: [  OK  ]
生成/etc/sysconfig/external.if: [  OK  ]
生成/etc/lldpd.conf: [  OK  ]
生成DHCP服务器配置: Write DSTATE called 
ServerConfigured = 1 
DdnsConfigured = 0 
[  OK  ]
生成/ etc / adjust_radius: [  OK  ]
运行/ bin / arp_xlate: [  OK  ]
生成SNMP配置: [  OK  ]
生成SNMP监视器配置: [  OK  ]
生成Job Scheduler配置: [  OK  ]
更新常规配置文件: [  OK  ]
更新syslogd配置: Reloading syslogd…[  OK  ]
正在重新加载klogd…[ OK  ]
[  OK  ]
更新httpd2配置: [  OK  ]
 更新httpd-ssl配置: [  OK  ]
应用NetFlow配置[ OK  ]
配置PPPoE: [  OK  ]
配置主机访问: [  OK  ]
CPshell初始化: [  OK  ]
初始化CP Process Manager。
从cp_pm_rl2开始: [  OK  ]
从cp_pm_rl3开始: [  OK  ]
从cp_pm_rl4开始: [  OK  ]
启动acpi守护程序:[ OK  ]
启动sshd:[ OK  ]
启动ARP:<not configured> 
开始xinetd:[ OK  ]
从bp_init开始: [  OK  ]
开始bypass_off: [  OK  ]
起始crond:[ OK  ]
启动cpri_d: cpridstart:启动cprid
[1] 7362
[  OK  ]
启动cpboot: cpstart:开机自检成功通过

cpstart:起始产品– SVN Foundation

SVN Foundation:cpWatchDog已在运行
启动cpviewd
启动历史记录守护程序
cpwd_admin: 
进程HISTORYD成功启动(pid = 7428) 
SVN Foundation:启动cpd
SVN Foundation:启动PostgreSQL数据库
多端口守护程序:启动mpdaemon
SVN基金会成立

cpstart:起始产品– 虚拟专用网-1

FireWall-1:启动外部VPN模块-确定
fwha_read_boot_conf:警告:ha_boot.conf中未设置cluster_id。
cpwd_admin: 
进程CPHAMCSET成功启动(pid = 7728) 
FireWall-1:开始转发

禁用SecureXL,不能使用关联命令
加载策略后,将启动SecureXL。 
FireWall-1:提取政策

在以下位置安装安全策略FW_1 [电子邮件 protected]
从本地主机获取安全策略成功
SIM:使用任意CPU 0

从以下位置获取FW1安全策略:10.4.2.5

 本地策略是最新的。
 未安装该策略,因为它与安全网关上已存在的策略相同。
从-n安装威胁防护策略

从以下位置获取威胁防护安全策略:10.4.20.50 

未加载威胁防护安全策略
提取威胁防护策略失败
反恶意软件未启动
FireWall-1:启用网桥转发
防火墙1开始
SIM:使用任意CPU 0

cpstart:起始产品– FloodGate-1

FloodGate-1已禁用。如果您想启动该服务,请运行“ etmstart enable”。

cpstart:起始产品– SmartView Monitor

SmartView Monitor:不活动

cpstart:起始产品– SmartLog


cpstart:起始产品–移动访问

移动访问服务已禁用。
如果要启动Mobile Access,请在SmartDashboard中启用Mobile Access刀片服务器并配置Mobile Access策略。

cpstart:起始产品–部署代理

cpwd_admin: 
进程DASERVICE已成功启动(pid = 9527) 
[  OK  ]
启动cpboot_refetch: [  OK  ]
插入vrrp_lkm.2.6.18.cp.i686:[ OK  ]


该系统仅供授权使用。
登录: 



登录到网关以验证已安装的软件包。

[[电子邮件 protected]:0]# 固件版本
这是Check Point的软件版本R77.30 – Build 503
[[电子邮件 protected]:0]#

2.4 Check Point Mgmt服务器更改

2.4.1将网关版本更改为R77.30

2.4.2安装策略,清除选项“对于在所有成员上安装网关集群,如果失败,则根本不要安装”

由于将在活动但未升级的网关(R77.10)上安装失败,因此将成功安装到升级的网关(R77.30),并显示一些警告通知。您可以放心地忽略它。

2.5将另一个群集成员从R77.10升级到R77.30
在左侧的R77.10网关上,可以执行cpstop将活动角色故障转移到新的R77.30网关,然后在2.4上执行相同的步骤,将R77.10升级到r77.30。

在将第二个网关升级到R77.30之后,您可以再次推送策略,但是这次您将不会收到有关策略推送状态的警告通知。

2.6 Verify 状态

[[电子邮件 protected]:0]# cphaprob统计

集群模式: 具有IGMP成员资格的高可用性(活动启动)

数    Unique Address  Assigned Load   State       

1(本地) 10.9.9.15     0%              Ready            

(*)“就绪”状态可能是由于成员之间的配置不一致引起的:
   32位/ 64位/用户模式,CoreXL实例数或不同的软件版本。

[[电子邮件 protected]:0]# cphaprob统计

集群模式: 具有IGMP成员资格的高可用性(活动启动)

数    Unique Address  Assigned Load   State       

1(本地) 10.9.9.15     100%            Active          


[[电子邮件 protected]:0]# 防火墙统计
主办     POLICY     DATE            
本地主机FW_Policy_1 2016年1月28日15:42:36: [>eth1] [<eth1] [>eth2] [<eth2] [>eth3] [>Mgmt] [<Mgmt] 
[[电子邮件 protected]:0]#  

参考:

通过 约翰

关于“升级Check Point网关群集(R77.30)”的一种思考
  1. 获取此错误消息。你能帮我吗?您从哪个目录运行该命令?
    ./UnixInstallScript
    bash:./UnixInstallScript:没有这样的文件或目录

发表评论