过期 License 强制升级
过期 License 强制升级
触发条件
在 7.4.8、7.6.4、8.0.0 及以后版本,以下情况会触发强制自动升级(FortiGate 所有型号),不受有效 License 自动升级设置的影响:
过期的 Firmware & General Updates 合同:若设备未绑定有效的 FMGR 合同(Firmware & General Updates)或该合同已过期,系统将强制升级至最新补丁版本(主次版本号保持不变,例如 7.4.X 会升级到 7.4 最新的版本,而不会升级到 7.6.X)。
固件版本支持周期终止:当设备固件达到官方工程支持终止日期(End of Engineering Support,简称 EOES,该时间可以登录 https://support.fortinet.com/support/#/lifecycle 查询)时,系统将强制升级至最新版本(主次版本号保持不变,例如 7.4.X 会升级到 7.4 最新的版本,而不会升级到 7.6.X)。
提示
注意 EOES 时间并非 EOS(End of Support)时间,通常比 EOS 时间要早:
- EOES 指 Fortinet 不再对该版本做代码更新(除非是 critical 级别的问题)。
- EOS 指 Fortinet 不再对该版本提供技术支持。
- 关于产品生命周期的更多信息请参考系统管理 → 固件与配置管理 → 固件版本管理 → 产品生命周期章节。
如果设备已经加入了 FortiManager 管理,强制升级机制会被禁用。
避免强制升级的 Workaround
将设备加入 FortiManager 管理(推荐)。
config system central-management set type fortimanager end The Serial Number for FortiManager is not entered. In order to verify identity of FortiManager serial number is needed. If serial number is not set, connection will be set as unverified. FortiGate can establish a connection to obtain the serial number now.Do you want to try to connect now? (y/n)n提示
配置中不需要填写实际的 FortiManager IP 地址。只要启用了 FortiManager 管理类型,强制升级机制就会被禁用。
在执行上述命令后,系统可能会弹出确认信息,键入
n以提交配置。启用
fortimanager模式并不会自动开放防火墙的入站端口。接口的访问权限是由接口下的fgfm选项独立控制的。如果实际环境中并不使用 FortiManager,建议检查并确保所有网络接口上的
fgfm选项已被禁用(该选项仅用于 FortiManager 主动连接 FortiGate 的模式,如果是 FortiGate 主动连接 FortiManager,也不需要开启fgfm)。FortiGate # show sys int | grep fgfm -f config system interface edit "wan1" set vdom "root" set ip 192.168.100.99 255.255.255.0 set allowaccess ping https ssh http fgfm <--- set type physical set snmp-index 3 next end config system interface edit wan1 unselect allowaccess fgfm next end
将设备加入 Security Fabric 中。
延迟强制升级
强制自动升级可以手动延迟(一周),但无法取消。
提示
尽管可以手动延迟,但一旦新版本升级被确认,升级必须在 14 天内完成。
execute auto-upgrade delay-installation查看当前强制自动升级的状态。
execute auto-upgrade statusGUI 的升级页面会显示与常规自动升级相似但不同的提示信息,以便用户明确识别当前为强制自动升级。