ネットワーク機器(Cisco / Juniper / Fortinet機器等)をバージョンアップする際の、 バージョンアップの段取りと確認ポイントについて記述します。
事前準備
商用環境をバージョンアップする前の、事前検証作業では主に下記を行います。 実務においては、作業手順の検証や手順書の作成も必要です。
なお、大幅にバージョンを上げる場合は、段階的にバージョンアップする必要がある場合もあるので、 推奨のバージョンアップ手順を保守窓口経由でメーカに確認しておきましょう。
OSをダウンロードしてmd5値を確認
md5値は、正しくダウンロードできていなかった場合別の文字列になるので、 バージョンアップが失敗した場合の切り分けになります。 事前に確認しておきましょう。
OSのファイルは契約形態によって異なりますが、 直接ダウンロードできる場合や、 購入先の保守窓口から提供を受ける場合があります。
Ciscoのサイトから直接ダウンロードできる場合は、
下記のようにOSのファイル名をクリックするとmd5値が表示されます。
囲まれた部分をクリックしてコピーすることもできます。
直接ダウンロードできない場合は、「md5値を教えてください」と伝えれば大丈夫です。
機器にOSを格納し、md5値を確認
OSの格納については、作業用端末でTFTPサーバを起動し、 主に下記のコマンドを使用します。
copy tftp: bootflash:
使用するTFTPアプリについては任意ですが、 検証用でよく使用される3CDeamonは32Mbyteまでしか転送できないことがあり、 最近のOSには不向きなので別のツールを検討してみてください。
OSを正しくダウンロードできていても、 機器に正しく格納できていなければバージョンアップは失敗するので、 格納後にmd5値を確認することが望ましいです。
Cisco IOS / IOS-XEは下記のコマンドで確認できます。
verify /md5 bootflash:<OS ファイル名>
Nexus(NX-OS)は下記のコマンドで確認できます。
show file bootflash:<OS ファイル名> md5sum
Powershellで確認することもできますが、 こちらは正しくダウンロードできたことを確認するだけです。 正しく格納できた確認にはなりませんのでご注意ください。
Get-FileHash -Algorithm md5 <OS ファイル名>
バージョンアップ前のConfigを取得
バージョンアップ前後でConfigに変更が無いか確認するために、 事前に取得しておきます。 念のため、all キーワード付きのものも取得しておきましょう。
show running-config show running-config all
バージョンアップ作業
boot system で起動するOSを変更して保存し、再起動を行います。 起動後に、show version で想定するバージョンが適用されたことを確認します。
Configの差分を確認
Configを取得し、WinMerge等のツールで差分を確認します。 差分がある場合はリファレンスを参照して内容を確認します。 もともとの動作に変更がないかを確認するために、保守窓口に問い合わせても良いでしょう。
異なるOS間で冗長構成が組めるか確認
商用機器は冗長化されていることが多く、 以下の点から片系を切り離して1台ずつバージョンアップを行うことが多いです。
- 再起動に伴う通信断時間を短くすること
- 切り戻し作業を迅速に行うこと
そのため、以下のような組み合わせでもHA構成や、 VRRP / HSRP等の切り替えが問題ないことを確認しましょう。
種別 | OSバージョンの内容 |
---|---|
正系 | 旧バージョン |
副系 | 新バージョン |
その他の動作試験
以下のような試験を行うことも多いです。
- 新バージョン同士で冗長構成が正常であること
- ルーティングテーブルが正常であること
- NTPによる時刻同期ができること
- Syslogサーバにログが転送できること
- SNMP等、監視サーバからこれまでどおりに監視できること
- 性能劣化がないこと(Avalanche等の負荷装置を使って確認)
他には、FortiGate等のUTM装置であれば、アンチウイルス検知ができることを確認したり、 BIG-IP等のロードバランサであれば、ロードバランスできることを確認したりします。 お使いの機器によって試験項目は変わりますので組織内で相談の上、決定することをおすすめします。
バージョン戻しが行えるか確認
旧バージョンに戻せることを確認します。 バージョンを戻した後、もともとのConfigに戻っていれば問題ないでしょう。
実作業
ここからは実作業の段取りになります。 実際には関係者への連絡や正常性確認作業が入りますが省略しています。
副系を切り離し
副系に接続されたネットワークケーブルを全て抜線します。
副系バージョンアップ
バージョンアップ作業を行います。
切り替え(正→副)
通信断が発生します。 副系に接続されていたネットワークケーブルを全て結線し、 通信が副系を通過するように切り替えます。
正系にしか接続されていないケーブルがあれば、 副系に接続変更しても問題ないようにするための設定変更や、 接続変更が必要です。
そして、正系に接続されたネットワークケーブルを全て抜線します。
正系バージョンアップ
バージョンアップ作業を行います。
切り戻し(副→正)
通信断が発生します。 正系に接続されていたネットワークケーブルを全て結線し、 通信が正系を通過するように切り替えます。 副系に接続変更したケーブルがあれば元に戻します。
まとめ
HA構成の場合はまとめてバージョンアップできる機能を持っている機器もありますが、 実務では当該機能の採用はせず、片系ずつ手堅くバージョンアップしていくことが多い印象です。 夜間作業となることも多く、あまり気乗りしない作業ではありますが、安定したネットワークの維持管理には必須の業務です。 事故なく完遂できるよう、全力を尽くしましょう!