Fanavaozana ny Check Point manomboka amin'ny R77.30 ka hatramin'ny 80.20

Tamin'ny faran'ny taona 2019, ny Check Point dia nijanona tsy nanohana ny dikan-teny R77.XX, ary ilaina ny manavao. Be dia be ny efa voalaza momba ny maha samy hafa ny dikan, ny mahatsara sy maharatsy ny mifampiresaka amin'ny R80. Andao hiresaka bebe kokoa momba ny fomba hanavaozana marina ny fitaovana virtoaly Check Point (CloudGuard ho an'ny VMware ESXi, Hyper-V, KVM Gateway NGTP) ary inona no mety ho diso.

Noho izany, nanana injeniera CCSE 2 izahay, cluster virtoaly Check Point R77.30 ampolony mahery, rahona maromaro, fanamboarana mafana vitsivitsy ary ranomasina feno bibikely isan-karazany, glitches ary izany rehetra izany, amin'ny loko sy habe rehetra, ary fe-potoana tery ihany koa. Andao!

Hevitra ato Anatiny:

Fiomanana
Fanavaozana ny mpizara fitantanana
Fanavaozana ny cluster

Toy izao ny fotodrafitrasa rahona an'ny mpanjifa mahazatra miaraka amin'ny Check Point virtoaly

Fiomanana

Ny dingana voalohany dia ny manamarina raha ampy ny loharanon-karena ho an'ny fanavaozana. Ny fepetra takiana ambany indrindra ho an'ny R80.20 amin'izao fotoana izao dia toy izao:

Device

Unité centrale

ram

HDD

Security Gateway

2 fototra

4 Gb

Avy amin'ny 15 GB

SMS

2 fototra

6 Gb

-

Ny soso-kevitra dia voalaza ao amin'ny antontan-taratasy CP_R80.20_GA_Release_Notes.

Kanefa isika dia ho tena zava-misy. Raha ampy izany amin'ny fanamafisana faran'izay kely indrindra, dia, araka ny asehon'ny fanazaran-tena, matetika isika dia manana fanaraha-maso https, SmartEvent mandeha amin'ny SMS, sns., izay mazava ho azy fa mitaky fahaiza-manao hafa tanteraka. Saingy amin'ny ankapobeny, tsy mihoatra ny R77.30.

Saingy misy ny nuances. Ary izy ireo dia mifandray, voalohany indrindra, amin'ny haben'ny fitadidiana ara-batana. Ny asa maro mivantana mandritra ny fizotran'ny fanavaozana dia mitaky habaka kapila mafy.

Ho an'ny mpizara fitantanana, ny haben'ny habaka kapila maimaim-poana dia hiankina be amin'ny habetsahan'ny diary ankehitriny (raha te-hitahiry azy ireo isika) sy ny isan'ny fanavaozana ny angon-drakitra voatahiry, na dia tsy mila azy ireo be dia be aza isika. Mazava ho azy, ho an'ny kluster nodes (raha tsy hoe mitahiry logs eo an-toerana ihany koa ianao) dia tsy maninona izany rehetra izany. Ity ny fomba hijerena raha manana ny toerana ilainao ianao:

1. Mifandray amin'ny Smart Management Server amin'ny alàlan'ny ssh izahay, mandehana amin'ny fomba manam-pahaizana ary ampidiro ny baiko:

   [Expert@cp-sms:0]# df -h

2. Amin'ny famoahana dia hahita zavatra toy izao manaraka izao isika:

   Haben'ny Filesystem Fampiasana Mampiasa % Mipetaka amin'ny
   /dev/mapper/vg_splat-lv_current 30G 7.4G 21G 27% /
   /dev/sda1 289M 24M 251M 9% /boot
   tmpfs 2.0G 0 2.0G 0% /dev/shm
   /dev/mapper/vg_splat-lv_log 243G 177G 53G 78% /var/log

3. Liana amin'ny fizarana izahay amin'izao fotoana izao / Var / log

Mariho fa miankina amin'ny politikan'ny fitehirizana sy famafana ny rakitra lozisialy taloha, ary koa ny haben'ny angon-drakitra naondrana, dia mety mila toerana bebe kokoa. Raha toa ka, rehefa mamorona arisiva, dia kely kokoa ny toerana malalaka noho ny voatondro ao amin'ny politikan'ny fitehirizana rakitra log, ny rafitra dia hanomboka hamafa ireo logs taloha ary TSY hampiditra azy ireo ao amin'ny arsiva.

Ary koa, ho an'ny fizotran'ny fanavaozana, ny rafitra dia mila farafahakeliny 13 GB amin'ny habaka kapila mafy tsy voazara. Azonao atao ny manamarina ny fisiany amin'ny baiko:

[Expert@cp-sms:0]# pvs

Hahita zavatra toy izao isika:

PV VG Fmt Attr PSize PFree
/dev/sda3 vg_splat lvm2 a- 141.69G 43.69G

Amin'ity tranga ity dia manana 43 GB izahay. Misy loharanon-karena ampy. Afaka manomboka manavao ianao.

Fanavaozana ny serivisy fitantanana SMS Check Point

Alohan'ny hanombohana asa dia mila manao izao manaraka izao ianao:

1. Apetraho eo amin'ny lohamilina fitantanana ny fonosana Migration Tools. Mba hanaovana izany, dia mila maka ny sary avy amin'ny vavahadin-tserasera Check Point.
2. Alefaso any amin'ny mpizara fitantanana amin'ny alàlan'ny WinSCP ao anaty lahatahiry ny arisiva /var/log/UpgradeR77.30_R80.20 (raha ilaina dia mamorona lahatahiry aloha).
3. Mifandraisa amin'ny mpizara fitantanana amin'ny alàlan'ny SSH ary mandehana any amin'ny lahatahiry miaraka amin'ny arisiva:cd /var/log/UpgradeR77.30_R80.20/
4. Sokafy ny rakitra:tar -zxvf ./<anaran'ny rakitra>.tgz
5. Manokatra ny pre_upgrade_verifier utility izahay miaraka amin'ny baiko: ./pre_upgrade_verifier -p $FWDIR -c R77 -t R80.20
6. Rehefa vita ny baiko dia hisy tatitra momba ny toe-javatra tsy mifanaraka. Misy amin'ny: /opt/CPsuite-R77/fw1/log/pre_upgrade_verification_report.(xls, html, txt). Mora kokoa ny mampakatra azy amin'ny SCP ary mijery azy amin'ny alàlan'ny navigateur.
   Mba hamahana izay toe-javatra tsy mifanaraka, ampiasao SK117237.
7. Avy eo dia avereno avereno indray ny fampiasa pre_upgrade_verifier mba hahazoana antoka fa nesorina avokoa ny antony tsy mifanaraka.
8. Manaraka izany, manangona vaovao momba ny fifandraisana amin'ny tambajotra, ny latabatra fandalovana ary mampakatra ny tefy GAIA:
   ip a > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   ip r > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
   clish -c "asehoy ny configuration" > /var/log/UpgradeR77.30_R80.20/cp-sms-config.txt
9. Alefaso amin'ny SCP ny rakitra vokarina.
10. Maka sary amin'ny ambaratonga virtoaly izahay.
11. Ampitomboinay ho 8 ora ny fiatoan'ny fotoam-pivoriana SSH. Miankina amin'ny vintanao izany: miankina amin'ny haben'ny angon-drakitra aondrana, afaka maharitra minitra maromaro ka hatramin'ny ora maromaro. Ho an'ity: 
    [Expert@HostName]# clish -c "asehoy ny tsy fahavitrihana-fotoana" jereo ny fifandonana amin'izao fotoana izao,

    [Expert@HostName]# clish -c "mametraka fotoana tsy mavitrika 720" mamaritra ny fifandonana amin'ny fe-potoana vaovao (amin'ny minitra),

    [Expert@HostName]# echo $TMOUT jereo ny fomba manam-pahaizana amin'izao fotoana izao,

    [Expert@HostName] # fanondranana TMOUT=3600 mariho ny fomba vaovao manam-pahaizana momba ny fe-potoana (ao anatin'ny segondra), raha apetrakao amin'ny 0 ny sandany, dia ho voakitika ny fotoana fiatoana.

12. Misintona sy mametraka ny sary fametrahana SMS.iso amin'ny milina virtoaly.

    Alohan'ny dingana manaraka, ATAOVY fa jereo indray fa manana toerana tsy voatanisa ao amin'ny kapila mafy ianao (tadidio fa mila 13 GB ianao). 

13. Alohan'ny hanombohan'ny fanondranana ny config dia ovay ny rakitra log miaraka amin'ny baiko: fw logswitch

Fanondranana fanondranana sy logs

1. Alefaso ny fampitaovana migrate_export mba hisintonana ny fanitsiana. Mba hanaovana izany, mandehana any amin'ny lahatahiry noforonina teo aloha: cd /var/log/UpgradeR77.30_R80.20/ ary ampiasao ny baiko: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

   na

   mandehana any amin'ny lahatahiry: cd $FWDIR/bin/upgrade_tools/ и
   araho ny baiko avy eo: ./migrate export -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

2. Esory ny checksum amin'ny arisiva: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz
3. Tehirizo ao amin'ny notepad ny sanda vokarina.
4. Mifandray amin'ny SMS amin'ny alàlan'ny SCP izahay ary mampakatra ny arisiva miaraka amin'ny fanamafisana mankany amin'ny toeram-piasana. Aza hadino ny mampiasa ny famindrana rakitra amin'ny endrika binary.

Export SmartEvent database

Eto isika dia mila ny SMS efa napetraka R80. Ny fitsapana rehetra dia ho vita. 

1. Avy amin'ny SMS dia mila script eto isika:$RTDIR/bin/eva_db_backup.csh
2. Alefaso amin'ny SCP ny script eva_db_backup.csh amin'ny lahatahiry: /var/log/UpgradeR77.30_R80.20/
3. Mifandraisa amin'ny SMS amin'ny SSH. Adikao amin'ny lahatahiry: cp /var/log/UpgradeR77.30_R80.20/eva_db_backup.csh
   $RTDIR/bin/eva_db_backup.csh
4. Fanovana ny encoding: dos2unix $RTDIR/bin/eva_db_backup.csh
5. Manampy ny tompony: chown -v admin:root $RTDIR/bin/eva_db_backup.csh
6. Hanampy zo: chmod -v 0755 $RTDIR/bin/eva_db_backup.csh
7. Andao hanomboka hanondrana ny angona SmartEvent: $RTDIR/bin/eva_db_backup.csh
8. Alefaso amin'ny SCP ireo rakitra voaray: $RTDIR/bin/<daty>-db-backup.backup и $RTDIR/bin/eventiaUpgrade.tar mankany amin'ny toeram-piasana.

vaovao farany

1. Mandeha WebUI GAIA SMS → CPUSE → Asehoy ny fonosana rehetra.
2. Raha manome hadisoana mifandray amin'ny rahona Check Point ny CPUSE dia jereo ny fikandrana DGW, DNS ary Proxy.
3. Raha marina ny zava-drehetra, ary tsy hanjavona ny fahadisoana, dia mila manavao ny CPUSE amin'ny tanana ianao, tarihin'ny sk92449.
4. Ampidino ny sary ary mandehana Verifier. Raha ilaina dia esorinay ny tsy fitoviana.

   Vokatr'izany dia tokony ho hitanao ity hafatra ity:

   

5. Mifidy isika R80.20 Fametrahana sy fanavaozana vaovao ho an'ny fitantanana fiarovana.
6. Rehefa mametraka ny fanavaozana dia mifidiana Clean Install. Aorian'ny fametrahana dia hanomboka indray ny rafitra.
7. Mandalo voalohany isika Magicien.
8. Aorian'ny fahazoana miditra dia manamarina ny kaonty izahay.
9. Mifandray amin'ny SMS amin'ny alàlan'ny SSH izahay ary manova ny akoran'ny mpampiasa anay ho /bin/bash/:

   mametraka mpampiasa <username> shell /bin/bash/

   save config (raha toa ka te hiala amin'ny bin/bash/ ho shell default isika aorian'ny reboot).

10. Manaraka, mifandray amin'ny SMS amin'ny alàlan'ny SCP izahay ary mamindra ny rakitra miaraka amin'ny fanamafisana amin'ny fomba binary SMS_w_logs_export_r77_r80.tgz fampirimana /var/log/UpgradeR77.30_R80.20/
    
11. Esory ny checksum amin'ny arisiva: md5sum /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz ary ampitahao amin'ny sanda teo aloha. Tsy maintsy mifanaraka ny Checksum.
12. Ampitomboinay ho 8 ora ny fiatoan'ny fotoam-pivoriana SSH. Ho an'ity:

    [Expert@HostName]# clish -c "asehoy ny tsy fahavitrihana-fotoana" jereo ny fifandonana amin'izao fotoana izao,

    [Expert@HostName]# clish -c "mametraka fotoana tsy mavitrika 720" mamaritra ny fifandonana amin'ny fe-potoana vaovao (amin'ny minitra),

    [Expert@HostName]# echo $TMOUT jereo ny fomba manam-pahaizana amin'izao fotoana izao,

    [Expert@HostName] # fanondranana TMOUT=3600 mamaritra ny fomba vaovao manam-pahaizana momba ny fotoana (ao anatin'ny segondra). Raha apetrakao amin'ny 0 ny sandany, dia ho foana ny fotoana fiatoana.

13. Raha te-hanafatra fanovana dia mandehana ny fampiasa migrate import. Mba hanaovana izany, mandehana any amin'ny lahatahiry: cd $FWDIR/bin/upgrade_tools/ary tanteraho ny import: ./migrate imp
    ort -l /var/log/UpgradeR77.30_R80.20/SMS_w_logs_export_r77_r80.tgz

Andao hankafy ny fiainana mandritra ny ora roa manaraka. AZA ATAONAO ny SSH SESION mandritra ny dingana. Amin'ny farany, ny fizotry ny fifindra-monina dia hampiseho hafatra fahombiazana na fahadisoana. 

Lisitra aorian'ny fanavaozana

1. Ny fisian'ny loharanon-karena.
2. SIC miaraka amin'ny GW.
3. Licenses. Raha diso ny fahazoan-dàlana na tsy aseho amin'ny SMS dia araho ny baiko vsec_central_licence ho an'ny fizarana fahazoan-dàlana.
4. Fametrahana ny politika. 

Manafatra angona SmartEvent

1. Alefaso ny blade SmartEvent.
2. Mifandray amin'ny SMS amin'ny WinSCP izahay ary mamindra rakitra efa nalaina teo aloha amin'ny fomba binary <daty>-db-backup.backup и eventiaUpgrade.tar fampirimana /var/log/UpgradeR77.30_R80.20/
3. Mandeha ny script miaraka amin'ny baiko izahay: $RTDIR/bin/eventiaUpgrade.sh -upgrade /var/log/UpgradeR77.30_R80.20/eventiaUpgrade.tar
4. Fanamarinana ny sata: watch -n 10 eventiaUpgrade.sh
5. Fanamarinana ny logs ao amin'ny SmartEvent. NOFY!

Fanavaozana ny cluster Check Point GW (Active/Backup)

Alohan'ny hanombohan'ny asa

1. Tehirizinay amin'ny rakitra iray ny fandrindrana GAIA avy amin'ny node cluster tsirairay, mba hanaovana izany dia ampiasao ny baiko: clish -c "show configuration" > ./<File name>.txt
2. Mampakatra rakitra mampiasa WinSCP.
3. Mifandraisa amin'ny WebUI amin'ny node roa ary mandehana amin'ny tabilao CPUSE → Asehoy ny fonosana rehetra.
4. Mitady ny fonosana fanavaozana ho an'ny dikan-teny R80.20 Fametrahana vaovao, gazety Download.
5. Hamarininay fa miasa amin'ny maody ny protocole CCP fampitanaMba hanaovana izany, ampidiro ny baiko: cphaprob -a raha
   Raha voafidy ny fomba Multicast, soloy amin'ny baiko: cphaconf set_ccp broadcast (Ny baiko dia tanterahina amin'ny node tsirairay).
6. Mametraka Downtime ho an'ireo node tafiditra ao amin'ny rafitra fanaraha-maso anao izahay.
7. Hamarininay fa alefa amin'ny ambaratonga virtoaly ny paramètre Fiovana adiresy MAC и Forged Transmits ho an'ny tambajotra sync.

vaovao farany

1. Mifandray amin'ny alàlan'ny ssh mankany amin'ny node Active izahay ary mitantana ny baiko hanaraha-maso ny toetry ny cluster: watch -n 2 cphaprob stat
2. Miverena amin'ny tabilao WebUI Stanby nodes CPUSE ary ho an'ny fonosana voafantina R80.20 Fametrahana vaovao fandefasana Verifier.
3. Andeha hodinihintsika ny tatitra Verifier. Raha avela ny fametrahana dia mandrosoa.
4. Mifidiana fonosana R80.20 Fametrahana vaovao ary fandefasana fanavaozana. Mandritra ny dingana Fanavaozana, dia hamerina ny rafitra. Voatahiry ny kira GAIA. Amin'ny fotoana reboot dia manara-maso ny toetry ny cluster izahay. Aorian'ny fandefasana dia tokony hiova ho READY ny satan'ny node nohavaozina. Amin'ny toe-javatra maromaro, dia nifanena tamin'ny fotoana iray izay nisy node mbola tsy nohavaozina nivadika ho toeran'ny Active Attention ary nijanona tsy nampiseho ny satan'ny node nohavaozina. Aza taitra - azo ekena ihany koa ity safidy ity.
5. Rehefa vita ny fanavaozana dia sokafy SmartDashboard.
6. Sokafy ny zavatra cluster ary ovay ny version cluster avy amin'ny R77.30 ho R80.20. Tsindrio OK. Raha misy hadisoana miseho rehefa mitahiry fanovana:
   Nisy hadisoana anatiny nitranga. (Kaody: 0x8003001D, Tsy afaka niditra ny rakitra hanaovana asa fanoratana),
   Araho SK119973. Aorian'izay, tehirizo ireo fanovana ary tsindrio Install Policy.
7. Ao amin'ny toe-javatra, esory ny safidy Ho an'ny kluster vavahady, raha tsy mahomby ny fametrahana amin'ny mpikambana kluster, aza apetraka amin'io kluster io.
8. Nametraka ny politika izahay. Ny rafitra dia hiteraka hadisoana ho an'ny node Active izay mbola tsy nohavaozina.
9. Mifandray amin'ny node nohavaozina amin'ny alàlan'ny ssh izahay ary mitantana ny baiko hanaraha-maso ny toetry ny cluster: watch -n 2 cphaprob stat
10. Mifandraisa amin'ny node WebUI Active ary mandehana amin'ny tabilao CPUSE → Asehoy ny fonosana rehetra.Mitady ny fonosana fanavaozana ho an'ny dikan-teny R80.20 Fametrahana vaovao, tsindrio Download.
11. Mametraka Downtime ho an'ireo node tafiditra ao amin'ny rafitra fanaraha-maso anao izahay.
12. Miverena amin'ny tabilao WebUI Active nodes CPUSE ary ho an'ny fonosana voafantina R80.20 Fametrahana vaovao fandefasana Verifier.
13. Andeha hodinihintsika ny tatitra Verifier. Raha avela ny fametrahana dia mandrosoa.
14. Mifidiana fonosana R80.20 Fametrahana vaovao ary fandefasana Hanatsarana. Mandritra ny fizotran'ny Fanavaozana, dia hamerina ny rafitra. Ny firafitry ny GAIA dia voatahiry. Amin'ny fotoana reboot dia manara-maso ny toetry ny cluster amin'ny node efa nohavaozina izahay. Aorian'ny famerenana indray dia hiova avy amin'ny READY ho ACTIVE ny toetry ny cluster ao amin'ny node nohavaozina.
15. Rehefa vita ny dingana Fanavaozana, sokafy ny SmartDashboard ary apetraho ny politika.

Lisitra aorian'ny fanavaozana

• Diarin'ny hetsika ao amin'ny SmartLog, satan'ny tonelina VPN.
• GAIA Settings.
• Famerenana cluster taorian'ny fitsapana Failover.
• Fahazoan-dàlana sy fifanarahana. Raha diso ny fahazoan-dàlana na tsy aseho amin'ny SMS dia araho ny baiko. vsec_central_licence ho an'ny fizarana fahazoan-dàlana.
• CoreXL.
• SecureXL.
• Hotfix sy CPinfo amin'ny node roa.

famaranana

Amin'ny ankapobeny, izany rehetra izany amin'izao fotoana izao - nohavaozina ianao.

Ho anay, ny dingana manontolo dia naharitra 6 ka hatramin'ny 12 ora, arakaraka ny haben'ny angon-drakitra aondrana. Roa alina no nanaovana ny asa: ny iray ho an'ny fanavaozana SMS, ny faharoa ho an'ny cluster.

Tsy nisy fiatoana ny fifamoivoizana, na dia nijery ny fahadisoana rehetra voalaza etsy ambony aza izahay.

Mazava ho azy fa indraindray dia mety hisy fahasahiranana vaovao tanteraka mandritra ny fizotran'ny fanavaozana, fa ity no Check Point, ary araka ny fantatsika rehetra dia misy foana ny hotfix!

Arahabaina ny alina mainty sy mavokely ary fanavaozana!

Source: www.habr.com