Процедура обновления Check Point с R80.20/R80.30 до R80.40
4) Для начала следует так же обновить до последней версии CDT — пункты 5, 6, 7 из раздела «Обновление с помощью CPUSE».
5) Установите пакет Migration Tools необходимый для миграции политик с сервера управления. По данной ссылке можно найти Migration Tools для версий: R80.20, R80.20 M1, R80.20 M2, R80.30, R80.40. Скачивать следует Migration Tools той версии, на которую вы хотите обновиться, а не той, которая у вас сейчас! В нашем случае это R80.40.
6) Далее в веб-интерфейсе SMS идем во вкладку Upgrades (CPUSE) > Status and Actions > Import Package > Browse > Выбираем скачанный файл > Import.
Рисунок 7. Импорт Migration Tools
7) Из экспертного режима на SMS проверьте, что пакет Migration Tools установлен с помощью команды (вывод команды должен совпадать с числом в названии архива Migration Tools):
cpprod_util CPPROD_GetValue CPupgrade-tools-R80.40 BuildNumber 1
Рисунок 8. Проверка установки Migration Tools
8) Перейдите в папку $FWDIR/scripts на сервере управления:
cd $FWDIR/scripts
9) Запустите pre-upgrade verifier (проверочный скрипт) с помощью команды (если есть ошибки, исправьте их перед дальнейшими шагами):
./migrate_server verify -v R80.40
Примечание: если видите ошибку «Failed to retrieve Upgrade Tools package», но вы проверили, что архив успешно импортирован (см. пункт 4), используйте команду:
./migrate_server verify -v R80.40 -skip_upgrade_tools_check
Рисунок 9. Запуск скрипта проверки
10) Экспортируйте политики безопасности с помощью команды:
./migrate_server export -v R80.40 /
Рисунок 10. Экспорт политики безопасности
Примечание: если видите ошибку «Failed to retrieve Upgrade Tools package», но вы проверили, что архив успешно импортирован (пункт 7), используйте команду:
./migrate_server export -skip_upgrade_tools_check -v R80.40 /
11) Посчитайте MD5 хэш-сумму и сохраните себе вывод команды:
md5sum /
Рисунок 11. Высчитывание MD5 хэш-суммы
12) С помощью WinSCP переместите данный файл к себе на компьютер.
13) Введите команду df -h и сохраните себе процентное соотношение директорий, исходя из занимаемого места.
Рисунок 12. Процентное соотношение директорий на SMS
14.1) В случае, если у вас реальный SMS
14.1.1) С помощью Isomorphic Tool создается загрузочная USB флешка с образом Gaia R80.40.
14.1.2) Рекомендую подготовить минимум 2 загрузочные флешки, так как бывает, что не всегда читается флешка.
14.1.3) От имени администратора на компьютере запустите ISOmorphic.exe. В пункте 1 выбираете скачанный образ Gaia R80.40, в пункте 4 флешку. Пункты 2 и 3 изменять не надо!
Рисунок 13. Создание загрузочной флешки
14.1.4) Выбираете пункт «Install automatically without confirmation» и важно указать модель вашего сервера управления. В случае с SMS следует выбрать 3 или 4 строка.
Рисунок 14. Выбор модели устройства для создания загрузочной флешки
14.1.5) Далее вы выключаете аплайнс, вставляете флешку в USB порт, подключаетесь консольным кабелем через COM порт к устройству и включаете SMS. Процесс установки происходит сам собой. IP-адрес по умолчанию — 192.168.1.1/24, а данные для входа admin / admin.
14.1.6) Следующим шагом следует подключение к веб интерфейсу на Gaia Portal (адрес по умолчанию https://192.168.1.1), где вы проходите инициализацию устройства. Во время инициализации вы в основном нажимаете Next, ибо почти все настройки можно поменять в будущем. Однако вы можете изменить сразу IP-адрес, настройки DNS и hostname.
14.2) В случае, если у вас виртуальный SMS
14.2.1) Ни в коем случае не следует удалять старый SMS, создайте новую виртуальную машину с такими же ресурсами (CPU, RAM, HDD) с тем же IP-адресом. Кстати, RAM и HDD можете добавить, так как версия R80.40 чуть более требовательна. Дабы не было конфликта IP-адресов, выключите старый SMS и начните установку нового.
14.2.2) Во время установки Gaia настройте актуальный IP-адрес и выделите под директорию /root адекватное количество места. Процентное соотношение директорий у вас должно примерно сохраниться, используйте вывод df -h.
15) На моменте выбора типа установки «Installation Type» выбирайте первый вариант, так как, скорее всего, у вас не MDS (Multi-Domain Server). Если MDS, то значит вы управляли многими доменами из под разных сущностей SMS одновременно. Выбирать в это случае следует второй пункт.
Рисунок 15.Выбор типа установки Gaia
16) Самый важный момент, который нельзя исправить без переустановки — выбор сущности. Следует выбрать Security Management и нажать Next. Далее все по умолчанию.
Рисунок 16. Выбор типа сущности при установке Gaia
17) Как только устройство перезагрузится, подключитесь к веб интерфейсу по https://192.168.1.1 или другому IP-адресу, если вы меняли его.
18) Перенесите настройки из скриншотов во все вкладки Gaia Portal, в которых что-то было настроено или же из clish выполните команду load configuration
Примечание: ввиду того, что ОС новая, WinSCP не даст подключиться под админом, смените пользователю shell на /bin/bash либо в веб-интерфейсе во вкладке Users, либо введя командуchsh –s /bin/bash
19) Закиньте в любую директорию файл с экспортированными политиками со старого сервера управления. Затем зайдите в консоль к экспертный режим и проверьте, что MD5 хэш сумма совпадает с прежней. В противном случае экспорт следует делать заново:
md5sum /
20) Повторите пункт 6 и установите Upgrade Tools на новый SMS в Gaia Portal во вкладке Upgrades (CPUSE) > Status and Actions.
21) Введите команду в экспертном режиме:
./migrate_server import -v R80.40 -skip_upgrade_tools_check /
Рисунок 17. Импорт политики безопасности на новый SMS
22) Включите сервисы командой cpstart.
23) Скачайте новую SmartConsole R80.40 и подключитесь к серверу управления. Зайдите в Menu > Manage Licenses and Packages (SmartUpdate) и проверьте, что у вас сохранилась лицензия.
Рисунок 18. Проверка установленных лицензий
24) Установите политику безопасности на шлюз или кластер — Install Policy.
