ترقية FTD HA المدارة بواسطة FDM
المقدمة
يصف هذا المستند عملية ترقية حماية تهديد جدار الحماية الآمن من Cisco في حالة توفر عال المدارة بواسطة مدير أجهزة FirePOWER.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- مفاهيم التوفر العالي (HA) والتهيئة
- تكوين Cisco Secure Firepower Device Manager (FDM)
- تكوين الدفاع الآمن عن تهديد جدار الحماية (FTD) من Cisco
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى الإصدار 7.2.8 من Cisco FTD الظاهري.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
نظرة عامة
تتمثل طريقة عمل إدارة قاعدة بيانات المحول (FDM) في ترقية نظير واحد في كل مرة. في البداية، ثم في حالة "الاستعداد"، ثم في حالة "نشط"، يتم إجراء تجاوز الفشل قبل بدء الترقية النشطة.
معلومات أساسية
يجب تنزيل حزمة الترقية من software.cisco.com قبل الترقية.
على واجهة سطر أوامر (CLI)، قم بتشغيل الأمر show high-availability في FTD النشط للتحقق من حالة HA.
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: failover-link GigabitEthernet0/2 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 311 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.18(3)53, Mate 9.18(3)53
Serial Number: Ours 9A1QUNFWPK1, Mate 9A45VNEHB5C
Last Failover at: 11:57:26 UTC Oct 8 2024
This host: Primary - Active
Active time: 507441 (sec)
slot 0: ASAv hw/sw rev (/9.18(3)53) status (Up Sys)
Interface diagnostic (0.0.0.0): Normal (Waiting)
Interface inside (192.168.45.1): Normal (Waiting)
Interface outside (192.168.1.10): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Standby Ready
Active time: 8 (sec)
Interface diagnostic (0.0.0.0): Normal (Waiting)
Interface inside (0.0.0.0): Normal (Waiting)
Interface outside (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
إذا لم تكن هناك أخطاء ظاهرة، فتابع الترقية.
التكوين
الخطوة 1. تحميل حزمة الترقية
- قم بتحميل حزمة ترقية FTD على FDM باستخدام واجهة المستخدم الرسومية (GUI).
يجب تنزيل هذا الإجراء مسبقا من موقع برامج Cisco استنادا إلى طراز FTD والإصدار المطلوب. انتقل إلى الجهاز > التحديثات > ترقية النظام.
تحديثات
- تصفح بحثا عن الصورة التي تم تنزيلها سابقا، ثم أخترUpload.
ملاحظة: قم بتحميل الصورة على كل من العقد النشطة والعقدة الاحتياطية.
تشغيل فحص الاستعداد
الخطوة 2. تحقق من الاستعداد
تؤكد عمليات فحص الاستعداد ما إذا كانت الأجهزة جاهزة لمتابعة الترقية.
-
أختر تشغيل فحص جاهزية الترقية.
تشغيل فحص الاستعداد
تشغيل فحص الاستعداد
تشغيل فحص الاستعداد
يمكن التحقق من التقدم من خلال الانتقال إلى النظام > ترقية.
تشغيل فحص الاستعداد
يمكن إجراء الترقية عند إكمال التحقق من الاستعداد في كل من FTD والنتيجة هي النجاح.
الخطوة 3. ترقية FTD في HA
- أخترت إستعداد fdm وطقطقة تحسين الآن.
ترقية الآن
قبل بدء الترقية:
- لا تقم ببدء إستعادة نظام في نفس الوقت الذي تقوم فيه ترقية النظام.
- لا تقم بإعادة تشغيل النظام أثناء الترقية. يقوم النظام تلقائيا بإعادة التمهيد في الوقت المناسب أثناء الترقية، إذا كان ذلك ضروريا.
- لا تقم بإيقاف تشغيل إجراء الترقية. قد يؤدي مقاطعة الترقية إلى جعل النظام غير قابل للاستخدام.
يتم تسجيل خروجك من النظام عند بدء الترقية.
بعد اكتمال التثبيت، تتم إعادة تمهيد الجهاز.
متابعة
ملاحظة: تستغرق الترقية حوالي 20 دقيقة لكل FTD.
في CLI، يستطيع كنت فحصت تقدم في التحسين مجلد /ngfw/var/log/sf؛ نقل إلى Expert Modeand Enterprise Access.
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/home/admin# cd /ngfw/var/log/sf
root@firepower:/ngfw/var/log/sf# ls
Cisco_FTD_Upgrade-7.2.8.
root@firepower:/ngfw/var/log/sf/Cisco_FTD_Upgrade-7.2.8# ls -lrt
root@firepower:/ngfw/var/log/sf/Cisco_FTD_Upgrade-7.2.8# tail -f status.log
ui: Upgrade in progress: ( 8% done.22 mins to reboot). Preparing to upgrade... (200_pre/011_check_self.sh)
ui: Upgrade in progress: ( 8% done.22 mins to reboot). Preparing to upgrade... (200_pre/015_verify_rpm.sh)
ui: Upgrade in progress: ( 8% done.22 mins to reboot). Preparing to upgrade... (200_pre/100_check_dashboards.pl)
ui: Upgrade in progress: ( 8% done.22 mins to reboot). Preparing to upgrade... (200_pre/100_get_snort_from_dc.pl)
ui: Upgrade in progress: (12% done.21 mins to reboot). Preparing to upgrade... (200_pre/110_setup_upgrade_ui.sh)
ui: Upgrade in progress: (12% done.21 mins to reboot). Preparing to upgrade... (200_pre/120_generate_auth_for_upgrade_ui.pl)
ui: Upgrade in progress: (12% done.21 mins to reboot). Preparing to upgrade... (200_pre/152_save_etc_sf.sh)
ui: Upgrade in progress: (79% done. 5 mins to reboot). Finishing the upgrade... (999_finish/999_zz_install_bundle.sh)
ui: Upgrade in progress: (83% done. 4 mins to reboot). Finishing the upgrade... (999_finish/999_zzz_complete_upgrade_message.sh)
ui: Upgrade complete
ui: The system will now reboot.
ui: System will now reboot.
Broadcast message from root@firepower (Mon Oct 14 12:01:26 2024):
System will reboot in 5 seconds due to system upgrade.
Broadcast message from root@firepower (Mon Oct 14 12:01:31 2024):
System will reboot now due to system upgrade.
Broadcast message from root@firepower (Mon Oct 14 12:01:39 2024):
The system is going down for reboot NOW!
ترقية الوحدة الثانية.
تبديل الأدوار لجعل هذا الجهاز نشطا: أخترت أداة>عالي توفر، بعد ذلك أخترت مفتاح أسلوب من العتاد قائمة. انتظر حالة الوحدة للتغيير إلى نشط وتأكد من تدفق حركة المرور بشكل طبيعي. ثم قم بتسجيل الخروج.
الترقية: كرر الخطوات السابقة لتسجيل الدخول إلى الاستعداد الجديد، وتحميل الحزمة، وترقية الجهاز، ومراقبة التقدم، والتحقق من النجاح.
الإتاحة العالية
الإتاحة العالية
في واجهة سطر الأوامر (CLI)، انتقل إلى LINA (System Support Diagnostic-CLI) وتحقق من حالة تجاوز الفشل في FTD في وضع الاستعداد باستخدام حالة تجاوز الفشل في CommandShow.
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
primary_ha> enable
Password:
primary_ha# show failover state
State Last Failure Reason Date/Time
This host - Primary
Standby Ready None
Other host - Secondary
Active None
====Configuration State===
Sync Skipped - STANDBY
====Communication State===
Mac set
primary_ha#
الخطوة 4. تبديل النظير النشط (إختياري)
ملاحظة: إذا كان الجهاز الثانوي نشطا، فلن يكون له أي تأثير عملياتي.
إن جعل الجهاز الأساسي نشطا وثانويا ك "الاستعداد" هو أفضل ممارسة تساعد على تعقب أي تجاوز فشل يمكن أن يحدث.
في هذه الحالة، يكون FTD Active الآن في وضع الاستعداد، ويمكن إستخدام تجاوز الفشل اليدوي لتعيينه مرة أخرى إلى Active.
- انتقل إلى الأجهزة > الإتاحة العالية.
الإتاحة العالية
- وضع ChooseSwitch.
وضع المحول
- أختر موافق لتأكيد تجاوز الفشل.
النظير النشط
التحقق من حالة HA في نهاية الترقية وتجاوز الفشل.
الأجهزة
الخطوة 5. النشر النهائي
-
قم بنشر النهج على الأجهزة عن طريق النقر فوق نشر الآن ضمن علامة التبويب التوزيع.
نشر السياسة
التحقق من الصحة
للتحقق من اكتمال حالة HA وترقيتها، يجب تأكيد الحالة:
أساسي: نشط
الثانوي: الاستعداد
كلاهما ضمن الإصدار الذي تم تغييره مؤخرا (7.2.8 في هذا المثال).
تجاوز الفشل
- عبر واجهة سطر الأوامر (CLI)، تحقق من حالة تجاوز الفشل باستخدام الأمر show failover state show failed overoveroverver للحصول على مزيد من المعلومات التفصيلية.
نظام التشغيل الموسع Cisco Firepower (FX-OS) الإصدار 2.12.1 (بنية 73)
برنامج الدفاع ضد تهديد FirePOWER لبرنامج VMware الإصدار 7.2.8 (بنية 25) من Cisco
> show failover state
State Last Failure Reason Date/Time
This host - Primary
Active None
Other host - Secondary
Standby Ready None
====Configuration State===
Sync Skipped
====Communication State===
Mac set
> show failover
Failover On
Failover unit Primary
Failover LAN Interface: failover-link GigabitEthernet0/2 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 311 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.18(4)210, Mate 9.18(4)210
Serial Number: Ours 9A1QUNFWPK1, Mate 9A45VNEHB5C
Last Failover at: 14:13:56 UTC Oct 15 2024
This host: Primary - Active
Active time: 580 (sec)
slot 0: ASAv hw/sw rev (/9.18(4)210) status (Up Sys)
Interface diagnostic (0.0.0.0): Normal (Waiting)
Interface inside (192.168.45.1): Normal (Waiting)
Interface outside (192.168.1.10): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Standby Ready
Active time: 91512 (sec)
Interface diagnostic (0.0.0.0): Normal (Waiting)
Interface inside (0.0.0.0): Normal (Waiting)
Interface outside (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : failover-link GigabitEthernet0/2 (up)
Stateful Obj xmit xerr rcv rerr
General 11797 0 76877 0
sys cmd 11574 0 11484 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 0 0
UDP conn 176 0 60506 0
ARP tbl 45 0 4561 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 0 0 0 0
VPN IKEv1 SA 0 0 0 0
VPN IKEv1 P2 0 0 0 0
VPN IKEv2 SA 0 0 0 0
VPN IKEv2 P2 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
SIP Tx 0 0 0 0
SIP Pinhole 0 0 0 0
Route Session 1 0 0 0
Router ID 0 0 0 0
User-Identity 0 0 30 0
CTS SGTNAME 0 0 0 0
CTS PAC 0 0 0 0
TrustSec-SXP 0 0 0 0
IPv6 Route 0 0 0 0
STS Table 0 0 0 0
Umbrella Device-ID 0 0 0 0
Rule DB B-Sync 0 0 30 0
Rule DB P-Sync 1 0 266 0
Rule DB Delete 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 31 123591
Xmit Q: 0 1 12100
إذا كان كلا من FTD على نفس الإصدار، وكانت حالة HA سليمة، فإن الترقية تكون كاملة.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
2.0 |
08-Jan-2025 |
تسميات توضيحية للصور تم تحديثها. |
1.0 |
06-Jan-2025 |
الإصدار الأولي |
التعليقات