过期 License 升级限制
过期 License 升级限制
功能介绍
FortiGate 的固件升级能力由 Firmware & General Updates (FMWR) 合同控制。
从 FortiOS 7.4.2 开始,系统会阻止“支持合同已过期”的设备升级到不满足许可条件的目标版本(主要版本、次要版本以及相关补丁版本)。
版本号概念说明
FortiOS 版本通常写作 x.y.z,例如 7.6.3:
x:主要版本(Major),例如7.x到8.x。y:次要版本(Minor),例如7.4.x到7.6.x。z:补丁版本(Patch),例如7.6.1到7.6.2。
本文提到的“相关补丁版本”,指的是属于某个主/次版本分支的补丁版本。例如在 7.6.x 分支中,7.6.1、7.6.2、7.6.3 都是该分支的相关补丁版本。
重要
本文中的 GA 日期示例用于解释许可证校验机制,不代表 FortiOS 官方发布时间计划。
许可证校验规则
设备升级到目标版本前,会比较以下两个时间:
- 当前 FMWR 合同到期日期。
- 目标版本所属主/次版本的首个
GA .0发布日期。
判定规则如下:
- 到期日期 晚于或等于目标
GA .0发布日期:允许升级。 - 到期日期 早于目标
GA .0发布日期:拒绝升级。
例如,目标版本是 7.6.3,实际对比的是 7.6.0 GA 的发布日期,而不是 7.6.3 的发布日期。
升级权限示例
假设各次版本首个 GA 版本发布日期如下(示例):
| 版本 | 首个 GA 版本 | 发布日期 |
|---|---|---|
| 7.4.x | 7.4.0 GA | 2023-05-08 |
| 7.6.x | 7.6.0 GA | 2024-03-31 |
| 7.8.x | 7.8.0 GA | 2025-03-31 |
不同许可证到期日期下的升级权限示例:
| FMWR 到期日期 | 可升级到 7.4.x | 可升级到 7.6.x | 可升级到 7.8.x |
|---|---|---|---|
| 2025-03-31 或之后 | 是 | 是 | 是 |
| 2025-03-25 | 是 | 是 | 否 |
| 2024-03-25 | 是 | 否 | 否 |
| 2023-05-02 | 否 | 否 | 否 |
合同状态对应行为
合同有效
支持合同有效时,可进行以下操作:
- 主版本升级(例如
7.0 -> 8.0)。 - 次版本升级(例如
7.4 -> 7.6)。 - 补丁版本升级(例如
7.6.1 -> 7.6.2)。 - 版本降级。
合同无效、过期或版本达到 EOES
在支持合同无效、过期,或版本达到 EOES(End of Engineering Support)时:
- 强制升级会升级到 当前次版本的最新补丁版本,不会自动跨次版本升级(例如不会从
7.4.x自动升级到7.6.x)。 - FortiGuard 在线升级按钮会受限(
Confirm and Backup Config置灰)。 - GUI 文件上传升级与 CLI 升级会按许可证规则被拒绝。
相关信息
自动升级的详细行为请参考:
降级说明
跨主/次版本降级通常不会被阻止,因为目标旧版本的 GA .0 发布时间通常早于当前许可证到期日期。
禁止升级提示信息
GUI 文件上传升级
当合同到期日期早于目标版本所属 GA .0 发布日期时,升级会被拒绝并显示错误提示。
CLI 文件上传升级
# execute restore image tftp FGT_101F-v7.6.6.M-build3652-FORTINET.out 172.16.200.55
......
Firmware update licence is expired! Please update to a valid licence.
Command fail. Return code -180GUI 通过 FortiGuard 升级
合同未续费前,FortiGuard 升级不可执行,但仍可查看 Latest、All Upgrades、All Downgrades 列表中的固件信息。
CLI 通过 FortiGuard 升级
# execute restore image management-station 07006000FIMG0023906006
Firmware updates from Management Station is not available.
node_check_object fail! for management-station 07006000FIMG0023906006
value parse error before '07006000FIMG0023906006'
Command fail. Return code -651排查方法
查看 FMWR 合同到期日期
CLI
FortiGate # diagnose test update info contract | grep FMWR
FMWR,Fri Apr 1 2022
SerialNumber=FG101FTK20007637|Contract=AVDB-1-06-20220402:0:1:1:0*AVEN-1-06-20220402:0:1:1:0*NIDS-1-06-20220402:0:1:1:0*SPRT-1-20-20220402:0:1:1:0*FMWR-1-06-20220402:0:1:1:0*FRVS-1-06-20220402:0:1:1:0*FURL-1-06-20220402:0:1:1:0*HDWR-1-05-20220402:0:1:1:0*SBCL-1-06-20220402:0:1:1:0*SPAM-1-06-20220402:0:1:1:0*ZHVO-1-06-20220402:0:1:1:0*ENHN-1-20-20220402:0:1:1:0*COMP-1-20-20220402:0:1:1:0|AccountID=bbai@fortinet.com|Industry=Technology|Company=Fortinet|UserID=1134101|
SupportTypeDesc=AVDB:Advanced Malware Protection*COMP:*ENHN:*FMWR:Firmware & General Updates*FRVS:Vulnerability Management*FURL:FortiGuard URL, DNS & Video Filtering Service*HDWR:Hardware*NIDS:FortiGuard IPS Service*SBCL:FortiSandbox Cloud*SPAM:AntiSpam*SPRT:*ZHVO:FortiGuard Virus Outbreak Protection ServiceGUI
系统管理 → FortiGuard。
仪表盘 → 状态(鼠标悬停在“许可”小部件的“更新”部分)。
检查 FMWR 合同是否存在
使用
diagnose test update info contract命令,在输出的System contracts段确认存在FMWR。System contracts: ENHN,Thu May 1 2025 COMP,Thu May 1 2025 FMWR,Thu May 1 2025若 FMWR 信息缺失,FortiGate 也不允许执行固件升级。该场景常见于 EVAL 许可证(不支持 FMWR)。