ترقية زوج FTD HA على أجهزة FirePOWER
المحتويات
المقدمة
يصف هذا المستند عملية ترقية "الدفاع عن تهديد الطاقة النارية (FTD)" في وضع التوفر العالي (HA) على أجهزة FirePOWER.
المتطلبات الأساسية
المتطلبات
توصي Cisco بمعرفة الموضوعات التالية:
- مركز إدارة Firepower (FMC)
- نظام Firepower Threat Defense (FTD)
- أجهزة FirePOWER (FXOS)
المكونات المستخدمة
- منفذا FPR4150
- فتحة FS4000 واحدة
- جهاز كمبيوتر واحد
إصدارات صورة البرنامج قبل الترقية:
- FMC 6.1.0-330
- الإصدار الأساسي من FTD 6.1.0-330
- FTD الثانوي 6.1.0-330
- النظام الأساسي FXOS 2.0.1-37
- الثانوي FXOS 2.0.1-37
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
الرسم التخطيطي للشبكة
خطة عمل
المهمة 1: التحقق من المتطلبات الأساسية
المهمة 2: تحميل الصور إلى FMC و SSP
المهمة 3: ترقية أول هيكل FXOS (2.0.1-37 -> 2.0.1-86)
المهمة 4: تبديل تجاوز فشل برنامج الإرسال فائق السرعة (FTD)
المهمة 5: ترقية الهيكل الثاني لنظام التشغيل FXOS (2.0.1-37 -> 2.0.1-86)
المهمة 6: ترقية FMC (6.1.0-330 -> 6.1.0.1)
المهمة 7: ترقية زوج FTD HA (6.1.0-330 -> 6.1.0.1)
المهمة 8: نشر سياسة من FMC إلى زوج HA في FTD
المهمة 1. التحقق من المتطلبات الأساسية
راجع دليل توافق FXOS لتحديد التوافق بين:
- إصدار برنامج FTD الهدف وإصدار برنامج FXOS
- نظام Firepower HW الأساسي وإصدار برنامج FXOS
توافق Cisco Firepower 4100/9300 FXOS
تحقق من ملاحظات إصدار FXOS الخاصة بالإصدار الهدف لتحديد مسار ترقية FXOS:
ملاحظات الإصدار Cisco Firepower 4100/9300 FXOS، 2.0(1)
راجع ملاحظات إصدار FTD الهدف لتحديد مسار ترقية FTD:
ملاحظات حول إصدار نظام Firepower، الإصدار 6.0.1.2
المهمة 2. تحميل صور البرامج
على نظامي FCMs، قم بتحميل صور FXOS (fxos-k9.2.0.1.86.SPA).
على FMC، قم بتحميل حزم ترقية FMC و FTD:
- لترقية FMC: Sourcefire_3d_defense_center_s3_patch-6.1.0.1-53.sh
- لترقية FTD: Cisco_FTD_SSP_PATCH-6.1.0.1-53.sh
المهمة 3. ترقية أول هيكل FXOS
قبل الترقية:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
بدء ترقية FXOS:
تتطلب ترقية FXOS إعادة تمهيد الهيكل:
يمكنك مراقبة ترقية FXOS من واجهة سطر الأوامر (CLI) fxos. يتعين ترقية المكونات الثلاثة جميعها (FPRM، ووصلة ربط البنية، والهيكل):
FPR4100-4-A# scope system
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
بعد خمس دقائق تقريبا، تكتمل ترقية مكون FPRM:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
بعد حوالي 10 دقائق، وكجزء من عملية ترقية FXOS، تتم إعادة تشغيل جهاز FirePOWER:
Please stand by while rebooting the system...
... Restarting system.
بعد إستئناف عملية الترقية:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
بعد إجمالي 30 دقيقة تقريبا، تكتمل ترقية FXOS:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.86),2.0(1.37)
Upgrade-Status: Ready
المهمة 4. تبديل حالات تجاوز فشل برنامج الإرسال فائق السرعة (FTD)
قبل تبديل حالات تجاوز الفشل، تأكد من أن وحدة FTD الموجودة على الهيكل بحالة تشغيل كاملة:
FPR4100-4-A# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 15:08:47 UTC Dec 17 2016
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Primary - Active
Active time: 5163 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 65 0 68 4
sys cmd 65 0 65 0
...
تبديل حالات تجاوز فشل برنامج الإرسال (FTD). من واجهة سطر الأوامر (CLI) الخاصة ب FTD النشطة:
> no failover active
Switching to Standby
>
المهمة 5. ترقية الهيكل الثاني لنظام التشغيل FXOS
مثل المهمة 2، قم بترقية جهاز FXOS حيث يكون FTD الاحتياطي الجديد مثبتا. قد يستغرق هذا الأمر حوالي 30 دقيقة أو أكثر للاكتمال.
المهمة 6. ترقية برنامج FMC
قم بترقية FMC، في هذا السيناريو من 6.1.0-330 إلى 6.1.0.1.
المهمة 7. ترقية زوج FTD HA
قبل الترقية:
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 15:51:08 UTC Dec 17 2016
This host: Primary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Active
Active time: 1724 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 6 0 9 0
sys cmd 6 0 6 0
...
من قائمة نظام FMC > تحديثات، ابدأ عملية الترقية إلى FTD HA:
أولا، تمت ترقية FTD الأساسي/الاحتياطي:
تتم إعادة تمهيد وحدة FTD الاحتياطية باستخدام الصورة الجديدة:
يمكنك التحقق من حالة FTD من وضع FXOS BootCLI:
FPR4100-3-A# connect module 1 console Firepower-module1> show services status Services currently running: Feature | Instance ID | State | Up Since ----------------------------------------------------------- ftd | 001_JAD201200R4WLYCWO6 | RUNNING | :00:00:33
تظهر واجهة سطر أوامر (CLI) بروتوكول FTD الثانوي/النشط رسالة تحذير بسبب عدم تطابق إصدار البرنامج بين وحدات FTD:
firepower# ************WARNING****WARNING****WARNING******************************** Mate version 9.6(2) is not identical with ours 9.6(2)4 ************WARNING****WARNING****WARNING******************************** Beginning configuration replication: Sending to mate. End Configuration Replication to mate
توضح FMC أنه تمت ترقية جهاز FTD بنجاح:
بدء ترقية الوحدة النمطية الثانية ل FTD:
في نهاية العملية يتم تمهيد FTD باستخدام الصورة الجديدة:
في الخلفية، تستخدم وحدة التحكم في إدارة اللوحة الأساسية (FMC) المستخدم الداخلي enable_1، وتقوم باستبدال حالات تجاوز فشل FTD، وتزيل تكوين تجاوز الفشل مؤقتا من FTD:
firepower# show logging Dec 17 2016 16:40:14: %ASA-5-111008: User 'enable_1' executed the 'no failover active' command. Dec 17 2016 16:40:14: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'no failover active' Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'clear configure failover' command. Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'clear configure failover' Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'copy /noconfirm running-config disk0:/modified-config.cfg' command. Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'copy /noconfirm running-config
disk0:/modified-config.cfg' firepower# Switching to Standby firepower#
في هذه الحالة، استغرقت ترقية برنامج الإرسال فائق السرعة (FTD) بالكامل (كلتا الوحدتين) حوالي 30 دقيقة.
التحقق
يوضح هذا المثال التحقق من واجهة سطر الأوامر (CLI) ل FTD من جهاز FTD الأساسي:
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 16:40:14 UTC Dec 17 2016
This host: Primary - Active
Active time: 1159 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 68 0 67 0
...
>
يوضح هذا المثال التحقق من واجهة سطر الأوامر (CLI) ل FTD من الجهاز الثانوي/الاحتياطي ل FTD:
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 16:52:43 UTC Dec 17 2016
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Primary - Active
Active time: 1169 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 38 0 41 0
...
>
المهمة 8. نشر سياسة إلى زوج FTD HA
بعد اكتمال الترقية، تحتاج إلى نشر سياسة إلى زوج HA. وهذا موضح في واجهة مستخدم FMC:
نشر النهج:
التحقق
تم ترقية زوج FTD HA كما يظهر من واجهة مستخدم FMC:
تم ترقية زوج FTD HA كما يظهر من واجهة مستخدم FCM:
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
2.0 |
08-May-2023 |
تقويم |
1.0 |
17-Dec-2016 |
الإصدار الأولي |
التعليقات