Drehbuch FW Change

<ServiceNow CHG Link>

<Jira Link>

Vorbereitung Firewall (1-2 Wochen vor Migration)

1	IPAM Reservationen	Temporäre Fortigate IP's reservieren	zh-TEMP-vl[VLAN ID].infra.migros.net aa-TEMP-vl[VLAN ID].infra.migros.net
2	Interfaces und Routen konfigurieren	Interfaces(VLANs) Routen
3	Vlans auf dem Trunk aufschalten	DC Team die entsprechenden Vlan zur Aufschaltung benennen VLAN's konfiguriert	Auf Checkpoint Interfaces prüfen für die VLAN's
4	Checkpoint Konfiguration mit FortiConverter konvertieren	Checkpoint Migrations Files herunterladen FortiConverter laufen lassen Convertierte Konfig prüfen Namen länge Updatable Objects InLine Rules NAT (SNAT und DNAT trennen) Kein SNAT auf VIP's!!!!!	Checkpoint \| Konfiguration exportieren - Network Engineering - Migros-Wiki https://forticonverter.mnet3.ch:8000/ CheckPoint \| Konvertieren - Network Engineering - Migros-Wiki
5	Konfiguration auf FGT einspielen	Konvertierte Konfiguration in den Cluster ZH einspielen Konfig in dieser Abfolge einspielen Address / Services / Address Groups / Service Groups VIP Policy IPPool Central NAT Importierte Daten auf Plausibilität prüfen
6	Konfiguration von FGT auf den Manager importieren	Auf Fortimanager Konfiguration von Cluster ZH importieren Bei Konflikten source von Manager wählen Policypackage policy Target auf beide Cluster(AA & ZH) setzten Policy Package auf beide Cluster installieren
7	Global Policy	Global Policy vorhanden Global Policy dem Policy Package zuweisen
8	Logicmonitor prüfen	Firewall VDOM im LogicMonitor prüfen	Konfiguration wird durch ein Script von Patrik gemacht. Prüfen ob das funktioniert hat
9	FAZ Berechtigung	Partner anfragen wer Berechtigung braucht auf Log's

Vorbereitung Migration (1-2 Tage vor der Migration)

1	Konfiguration prüfen	Policy vergleich Script ausführen Checkpoint last policy installation prüfen
2	Interface & Routen kontrollieren	Interfaces nochmals prüfen Routen nochmals prüfen
3	Test vor Migration	Pings Devices definieren Ping Devices testen	In einigen wichtigen Subnetzen ping Devices definieren. "PingInfoView" ist ein nützliches Tool um mehrere IP's gleichzeitig zu Pingen. IP's: IP1 IP2
4	IPAM Checkpoint neue IP	Neue IP für Checkpoint nach der Migration eintragen	So kurz wie möglich vor der Migration
5	Logicmonitor SDT	ServiceDownTime eintragen für den Migrationszeitraum	Ab Start Migration etwas 1h

Migrationstag

T+0 = Zeitpunkt der Umschaltung

1 / T-20m	Ping Devices prüfen	Pings unmittelbar vor dem Change nochmals testen Pings laufen lassen für Migration Interfaces Pingen	Falls Geräte abgeschaltet wurden dies unmittelbar vor der Migration nochmals testen um falsche Messungen zu verhindern.
2 / T-15m	Logs öffnen	Checkpoint SmartConsole Logserver öffnen Fortigate FAZ Logs auf Vdom filtern
3 / T-10m	Fortigate WebGUI öffnen	Master Cluster ZH Master Cluster AA
4 / T-10m	Pufferzeit
5 / T-5m	Wartungs-Start Meldung	Start Wartungsinfo in Change Log Webex
6 / T+0m	Firewall IP Adressen ändern	Checkpoint IP auf beiden Cluster auf die neue im IPAM definierte IP ändern Fortigate IP auf beiden Cluster auf die neue im IPAM definierte IP ändern	Traffic läuft nun immernoch weiter auf der Checkpoint, da ARP noch nicht aktualisiert wurde
7 / T+5m	Fortigate Interface flappen	Interfaces Cluster ZH DOWN (1-2 Sekunden warten) Interfaces Cluster ZH UP Interfaces Cluster AA DOWN (1-2 Sekunden warten) Interfaces Cluster AA UP	Traffic schaltet jetzt um!!! ARP Tabelle wird erst aktualisiert sobald das Interface DOWN geschaltet wird Unterbruch beträgt in etwa solange wie man wartet bis man die Interfaces wieder UP geschaltet hat
8 / T+10m	Funktionskontrolle und Tests der Applikationen	Prüfen ob alle Ping devices noch immer aktiv sind Logs Checkpoint prüfen (keine Logs) Logs Fortigate auf FAZ prüfen (alle Logs) Entspricht das Traffic Volumen den Erwartungen	Partner erst nach den eigenen Test informieren, sobald sicher ist das nun die Fortigate den Traffic bekommt
9 / T+15m	Partner Informieren Partner kann mit den Tests starten	Funktionieren die kritischen Applikationen
10 / xx:xx	Ende Migration	NOC Ende der Migration melden Wartungsabschlussmeldung im Change Log Webex	Mit @xxx abzustimmen (Dauer der Validierung)
11 / xx:xx	Freigabe HypercarePhase durch Partner	Entscheid Rollback / Hypercare	Durch @xxx nach der Validierung und eventuell Nachkorrekturen
12 / xx:xx- xx:xxUhr	Hypercare	NOC und Network Security auf Abruf beim Hochfahren des Tagesbetriebs nach der Migration für aufkommende Probleme	Über den Teamschat aus dem Migrationstermin, oder über das NOC, 044 277 36 00
13 / xx:xxUhr	Ende Hypercare	Email Bestätigung dass die Migration aus Sicht Partner erfolgreich abgeschlossen ist und der Betrieb stabil ist.	Durch @xxx an Walthard, Florian-MGB

Rollback Scenario (In gemeinsamer Absprache)

1	Ping Devices starten	Ping auf definierte Devices starten Interfaces Pingen
2	Logs öffnen	FAZ Checkpoint Log	Überblick über Log menge für vorher nachher vergleich
3	Fortigate IP ändern	Die IP's auf den Interfaces der FGT auf eine freie IP im VLAN konfigurieren	Die temporäre Adresse der Fortigate konfigurieren (Siehe IPAM).Der Traffic geht nach wie vor durch die Fortigate (ARP wird nicht aktualisiert).
2	Checkpoint IP zurück stellen	Die originale IP wieder auf der Checkpoint konfigurieren	Die Interface der Checkpoint auf die Produktiven IP Adressen ändern.
4	Funktionskontrolle	Prüfen ob alle Ping devices noch immer aktiv sind Logs Checkpoint prüfen (alle Logs) Logs Fortigate auf FAZ prüfen (keine Logs) Entspricht das Traffic Volumen den Erwartungen
5	IPAM dokumentieren	IP's im IPAM dokumentieren	Alle Änderungen im IPAM nach dokumentieren und prüfen

Nacharbeiten

1	LogicMonitor Alerts	LogicMonitor Alerts prüfen
2	Dokumentation IP Schema	Schema Verteilung IP Adressen.vsdx anpassen
3	IPAM bereinigen	IPAM temporäre IP's löschen IPAM Forti und Checkoint eingetragen
4	Tufin	Fortigate im Tufin hinzugefügt Checkpoint im Tufin Rückbauen
6	Lokale Global Policy löschen	Lokale Global Policy mit no Hits löschen
7	FAZ Berechtigung	User auf dem FAZ Berechtigt

No comments to display

Back to top