domingo, 2 de septiembre de 2012

Plan de migración de SMART Center a Provider-1


Hola a todos, debido a que surgió un proyecto de migración aP1 y no había encontrado información relevante con respecto a este tema, decidíhacer un laboratorio relacionado a esta actividad y compartir el plan demigración con ustedes.

En este lab se reflejan los pasos utilizados para migrar unSMART Center Server usando VSX a un ambiente de provider-1.

El esquema utilizado es el siguiente:
  1. Doschasis Crossbeam corriendo XOS 9.5.2
  2. Uncluster con 4 apms corriendo VSX R65 HFA_20
  3. Losdos chasis en VRRP
  4. Unesquema donde no se tenga impacto en la red, afectando primero el chasis debackup y mediante vrrp probar una vez que se migro a P1 que todo trabajecorrectamente.
Este plan ya fue probado en ambientes de producción y todotrabaja correctamente, solo antes de realizar cualquier movimiento es necesariocontar con contrato de soporte con Checkpoint y Crossbeam.

Antes del cambio:

  1. Obtenerla foto de los chasis afectados mediante un “show tech-support”.
  2. Obteneruna copia de las licencias cargadas en el ambiente, usando el SMART Update.
  3. Obtenerun cpinfo de toda la plataforma, para tener una foto del ambiente por si senecesita abrir un caso con Checkpoint.
  4. Tenerla versión de las políticas firewall más recientes.
  5. Verificaren el P1 que las licencias que se tienen son correctas.
  6. Obtenerla última versión del archivo local.arp de todos los firewalls.
  7. Tenerla última versión de cada APM de los archivos /var/opt/fw.boot/modules/fwkern.confy /etc/ppk.boot/boot/modules/simkern.conf
  8. Tenermigradas las políticas al Provider-1 antes de la ventana de mantenimiento.
Actividades durante la ventana:
  1. Instalarla licencia correspondiente al P1 y al CMA a utilizar.
  2. Obtenerla tabla de ruteo de los firewalls virtuales (Hay veces que al reiniciar loschasis estas se pierden esto es un bug del XOS).
  3. Obtenerdel vap-group un backup mediante archive-vap-group.
  4. Nuevamenteen el chasis del backup en cada apm relacionada con el vap-group, usaremos elcomando reset_gw y regresamos nuestro VSX Gateway a un estado inicial, con estoperderemos comunicación con el SMART Center.
  5. Entramosa nuestro Provider-1 dentro de la CMA creada para contener a esta consolausando el comando mdsenv .
  6. Cerramostodas las instancias de SMART Dashboard.
  7. Usamosla herramienta vsx_util reconfigure, para re configurar las apms.
  8. Llenamoslos datos usando la cuenta que administra esta consola por ejemplo un usuariofwadmin.
  9. Unavez que nos pregunte lo siguiente: “EnterVSX gateway/member object name to reconfigure:"
  10. Ponemosel nombre del objeto a configurar, en este caso lo podemos obtener en eldashboard en las propiedades del cluster.
  12. Enmi caso el objeto referenciando al clúster de VSX es el siguiente:FW-VSX_Test_fw1.
  13. Unavez que obtenemos un mensaje como este podemos reiniciar la apm mediante elcomando reboot o usando el comando “reload vap-group ”.
  15. Sipor algún motivo no funciono el reconfigure, pues tendrás que hacertroubleshooting o hablar a Checkpoint, en mi caso con el troubleshooting fuesuficiente.
  16. Unavez que el vap-group vaya a Active usando, observamos a este vap-group medianteel comando “show ap-vap-mapping.
  17. Entramosa nuestra nueva consola mediante el dashboard en modo escritura y en cadaobjeto relacionado al cluster de VSX presionamos el botón de OK, para que lasconfiguraciones del VFW, sean enviadas a las instancias de VSX correspondiente.
  20. Removemoslas viejas licencias debido a que nuestra CMA cuenta con una dirección ipdiferente al SMART Center Server.
  21. Instalamoslas nuevas licencias regeneradas con la nueva ip.
  22. Generamosnuevamente nuestro archivo local.arp por cada instancia de firewall virtual, sies que usamos este archivo.
  23. Unavez hecho esto podemos instalar políticas en nuestros firewalls virtualesusando la consola de P1, no olvidemos deshabilitar la siguiente opción.
  25. Despuesde la instalación, verificamos que las rutas sigan igual en cada contexto, solopor si acaso si algo cambio es necesario hacer troubleshooting por el bugcomentado arriba.
  26. Verificarque el arp se esté propagando mediante “fw ctl –vs vsid arp”.
  27. Unpunto muy importante es verificar que los archivos /var/opt/fw.boot/modules/fwkern.conf y /etc/ppk.boot/boot/modules/simkern.conf,tengan el mismo contenido que antes de hacer la ventana, si no es así esnecesario ajustarlos y reiniciar nuevamente el vap-group.
  28. Switcheamosel tráfico a este chasis administrado por el equipo P1 mediante un “vrrp-relinquish-master”,si queremos que este comando funcione correctamente es necesario tener elchasis 100% saludable en la configuración de VRRP.
  29. Usandoel SMART View tracker verificamos que el tráfico nuevo fluya sobre este chasis.
  30. Realizamosel mismo set de operaciones en el otro equipo.
Publicado por en
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)