Migrazione da NethSecurity 7.9 con HA

Migrazione da NethSecurity 7.9 con HA#

Questo documento descrive la procedura per migrare un sistema NethSecurity 7.9 configurato con High Availability (HA) a NethSecurity 8, mantenendo attiva la configurazione HA. Sono possibili diversi approcci per questa migrazione; questa guida illustra un metodo consigliato.

Il processo di migrazione consiste in due fasi principali:

  • aggiornamento del sistema NethSecurity 7.9 alla versione 8,

  • riconfigurazione del servizio High Availability tra i due firewall che eseguono NethSecurity 8.

Durante la migrazione, i due firewall vengono trattati come sistemi indipendenti. Un dispositivo verrà aggiornato a NethSecurity 8 tramite la migrazione della sua configurazione, mentre l’altro verrà ripristinato alle impostazioni di fabbrica e riconfigurato come nodo secondario HA.

Una volta completata la migrazione e la validazione del nodo primario, il servizio di High Availability verrà nuovamente abilitato tra i due firewall NethSecurity 8.

Prerequisiti#

  • Prendere nota degli indirizzi IP utilizzati per l’interfaccia HA: primario, secondario e VIP.

  • Esaminare la configurazione di rete, in particolare per le interfacce locali (non-WAN). Ognuna di queste interfacce richiede ora tre indirizzi IP: in precedenza ne veniva utilizzato solo uno, ma in NethSecurity 8 anche le interfacce LAN aggiuntive sono gestite tramite VIP, garantendo il failover in caso di problemi che interessano tali interfacce.

  • Prendere nota di tutti gli indirizzi IP necessari per le interfacce aggiuntive non-WAN.

  • Eseguire un backup di entrambi i firewall come precauzione.

  • Verificare la compatibilità hardware con NethSecurity 8.

Procedura di migrazione#

  1. Spegnere il firewall secondario

    Prima di iniziare la migrazione, spegnere il firewall secondario per evitare conflitti durante l’aggiornamento del nodo primario.

  2. Scegliere il metodo di migrazione

    Accedere allo strumento Firewall Migration su NethSecurity 7.9. È possibile:

    • Scaricare un’immagine migrata per creare una chiavetta USB da utilizzare per testare e verificare le configurazioni prima di eseguire la migrazione effettiva, oppure

    • Eseguire una migrazione in-place direttamente sul sistema.

    Scegliere l’opzione che meglio si adatta alle proprie esigenze: la prima è più sicura, mentre la seconda è più veloce. In caso di problemi, è sufficiente accendere il firewall secondario con la versione 7.9, che mantiene ancora la configurazione originale.

  3. Eseguire la migrazione

    • Se si utilizza la migrazione in-place, una volta completato il processo, verificare che il firewall stia ora eseguendo NethSecurity 8 e che tutte le funzionalità funzionino come previsto.

    • Se si utilizza l’immagine USB, crearla e avviare il firewall primario da essa. Verificare che tutte le funzionalità siano operative. Successivamente, scrivere lo storage dell’appliance utilizzando il comando ns-install, quindi riavviare l’hardware senza la chiave USB.

  4. Configurare l’indirizzo VIP

    Aggiungere il VIP (IP alias HA) per consentire agli host LAN di accedere correttamente alla rete. Questo garantisce che tutti i client LAN possano raggiungere Internet mentre si procede con il processo di ripristino, senza interrompere la connettività degli utenti. Ricordarsi di fare lo stesso per ogni altra interfaccia non-WAN.

  5. Ripristinare e riconfigurare il nodo secondario

    Dopo aver confermato che il firewall primario funziona come previsto:

    • Scollegare tutti i cavi di rete dal firewall secondario per evitare conflitti con quello primario.

    • Ripristinare il firewall secondario alle impostazioni di fabbrica.

    • Ricreare la configurazione di rete, assicurandosi che anche le interfacce LAN aggiuntive siano gestite utilizzando i VIP.

    • Riconfigurare l’Alta Affidabilità tra i due sistemi NethSecurity 8.