2023年6月6日 / 最終更新日時 : 2023年6月6日 テクバン ネットワークソリューション担当 Fortigate

Fortigateリプレース手順

こんにちは。ネットワークソリューション特集 編集部です。
今回は、Fortigateリプレース手順についてご紹介します。

リプレース手順

準備

  • リプレース元機器OSからリプレース先機器OSへのアップグレードパスを確認する
    例えば、Fortigate 200Eから200Fへリプレースする場合は200Fの最小OS6.2.4のため200Eが6.2.4以下だった場合は6.2.4のコンフィグが必要で場合によっては中間バージョンの機器も用意がいります

  • 該当のファーム入手してアップグレードパスにしたがってバージョンアップを実施します
    リプレース先機器と同じバージョンまでアップグレードします。

リプレース手順

1.移行元のconfigを暗号化せずにバックアップ取得します。GUI の画面右上のユーザ名の部分をクリックし、[設定]→[バックアップ] をクリックします。以下の画面となるため、PC暗号化 → OFFを指定して [OK] をクリックします。

2.バックアップしたConfigをリプレース移行先機器へリストア用のconfigに編集します。

 ①ハードウェアが異なるため設定ファイル内のモデルを書き換える。バックアップした設定ファイルの最初の行ににハードウェアのモデル (型番) が書いてあるため、この型番がリストアする先の機器と一致しないと設定ファイルを読み込みません。

 以下例:

 [#config-version=FG200E-7.2.4-FW-build1396-230131]を

 [#config-version=FG201F-7.2.4-FW-build1396-230131]へ修正

 ②インタフェース名の変更

 存在しないインターフェース名は引き継ぐことができないためあらかじめ修正しておくことが必要となります。[FG200E]では、[WAN1][WAN2]が存在するが、移行先の[FG201F]には存在しないため、インターフェース名をほかのインターフェース名へ変更しておく

3.移行先機器に接続します

GUIとCLI画面を開いておきます

※エラー発生時にエラー文を確認するため、コンソール接続しておくこと.移行先機器 GUI の画面右上のユーザ名の部分をクリックし、[設定]→[リストア] をクリック

ファイルアップロードを選択し、移行元configをアップロードします

※再起動が発生するので、再起動完了まで待ちます

4.再起動完了後、GUIにログインし設定が想定通り、エラーメッセージが出力されていないことを確認します。これにて移行作業は完了となります。

異機種間でのコンフィグインポート注意点

インターフェース名

存在しないインターフェース名は引き継ぐことができないためあらかじめコンバート前にconfigを修正しておくことが必要です。
今回のケースでは、リプレース元機器では、[WAN1][WAN2]が存在するがリプレース先機器では[WAN1][WAN2]ではないためリプレース先機器と同じインターフェース名へ変更しておく必要があります。

コンフィグインポートでエラーが出るときは下記のコマンドで確認

diagnose debug config-error-log read

下記のようにエラーが出ます

>>>  "next" @ 53:system.interface.wan1:failed command (error 1)
>>>  "next" @ 61:system.interface.wan2:failed command (error 1)

再起動時にも下記のエラーが出ます

The config file may contain errors. 
Please see details by the command 'diagnose debug config-error-log read'.

中継機器

リプレース元機器とリプレース先機器で同一バージョンに出来ないケースがあります。

※リプレース元機器(ver6.2まで)、リプレース先機器(ver6.4から)など

その場合は、中継機器を用いてアップデートを実施します。上記の例だとver6.2からver6.4に対応している機器となります。

参考サイト

アップグレードパスツール

docs.fortinet.com
 
Fortinet Documentation Library
https://docs.fortinet.com/upgrade-tool
Fortinet Document Library | Upgrade Tools

Technical Tip: How to load/convert a FortiGate configuration file from one unit to another (file conversion for a different model)

community.fortinet.com
 
Technical Tip: How to load/convert a FortiGate configuration file from one un...
https://community.fortinet.com/t5/FortiGate/Technical-Tip-How-to-load-convert-a-FortiGate-configuration-file/ta-p/197247?externalId=FD30056
Description Importing the configuration file from one FortiGate to a different FortiGate model or firmware. Fortinet Support for the import of a configuration file between different hardware models or firmware versions. It is only officially supported to import configuration files between the sam...

まとめ

  • リプレース先へのアップグレードパスを確認する
  • リプレース先と同じバージョンにしたらconfigを加工してインポートする
  • 再起動後にconfig差分やエラーメッセージ有無を確認する

今回はFortigateリプレース手順についてご紹介しました。

関連記事:

Fortigate SSL-VPN脆弱性(CVE-2022-42475) CUCM 12.5でのDRSバックアップ失敗事例 Fortigate 管理インターフェイスのバッファ アンダーライト  (「バッファ アンダーフロー」) の脆弱性(CVE-2023-25610) Terastation(NAS)でのUPS連動をしてみた
カテゴリー
Fortigate
タグ
Cisco

前の記事

Cisco IOS XE Smart Licensing Using Policy利用環境でCPU、メモリ使用率が高くなる可能性
2023年6月2日
Zscaler

次の記事

Zscaler Internet Access(ZIA)でのインラインCASB設定
2023年6月8日