تتم إدارة برنامج FTD HA من قبل FMC

المقدمة

يصف هذا المستند عملية ترقية حماية تهديد جدار الحماية الآمن من Cisco في حالة توفر عال المدارة بواسطة مركز إدارة جدار الحماية.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• مفاهيم التوفر العالي (HA) والتهيئة
• تكوين مركز إدارة جدار الحماية الآمن (FMC)
• تكوين الدفاع الآمن عن تهديد جدار الحماية (FTD) من Cisco

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى:

• مركز إدارة جدار الحماية الظاهري (FMC)، الإصدار 7.2.4
• برنامج الدفاع ضد تهديد جدار الحماية (FTD) الظاهري من Cisco، الإصدار 7.0.1

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

نظرة عامة

تتمثل الطريقة التي تعمل بها وحدة التحكم في إدارة الهيكل (FMC) في ترقية نظير واحد في كل مرة. في البداية، يتم إجراء عملية "الاستعداد"، ثم "النشط"، لتجاوز الفشل قبل إكمال الترقية النشطة.

معلومات أساسية

يجب تنزيل حزمة الترقية من software.cisco.com قبل الترقية.

على واجهة سطر أوامر (CLI)، قم بتشغيل الأمر show high-availability config في FTD النشط للتحقق من حالة التوفر العالي.

> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FAILOVER_LINK GigabitEthernet0/0 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1285 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.16(2)5, Mate 9.16(2)5
Serial Number: Ours 9AJJSEGJS2T, Mate 9AVLW3FSSK8
Last Failover at: 00:37:48 UTC Jul 20 2023

        This host: Secondary - Standby Ready
                Active time: 4585 (sec)
                slot 0: ASAv hw/sw rev (/9.16(2)5) status (Up Sys)
                  Interface INSIDE (10.10.153.2): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                  Interface OUTSIDE (10.20.153.2): Normal (Monitored)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

        Other host: Primary - Active
                Active time: 60847 (sec)
                  Interface INSIDE (10.10.153.1): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                  Interface OUTSIDE (10.20.153.1): Normal (Monitored)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics

        Link : FAILOVER_LINK GigabitEthernet0/0 (up)
        Stateful Obj    xmit       xerr       rcv        rerr     
        General         9192       0          10774      0        
        sys cmd         9094       0          9092       0        
…
        Rule DB B-Sync  0          0          0          0        
        Rule DB P-Sync  0          0          204        0        
        Rule DB Delete  0          0          1          0        

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       9       45336
        Xmit Q:         0       11      11572

إذا لم تكن هناك أخطاء ظاهرة، فتابع الترقية.

التكوين

الخطوة 1. تحميل حزمة الترقية

• قم بتحميل حزمة ترقية FTD إلى FMC باستخدام واجهة المستخدم الرسومية (GUI).
  يجب تنزيل هذا الإجراء مسبقا من موقع برامج Cisco استنادا إلى طراز FTD وإصدار الرغبة.

النظام > التحديثات

• حدد تحديث التحميل.

• تصفح بحثا عن الصورة التي تم تنزيلها سابقا، ثم حدد تحميل.

الخطوة 2. فحص الاستعداد

تؤكد عمليات فحص الاستعداد ما إذا كانت الأجهزة جاهزة لمتابعة الترقية.

• حدد خيار التثبيت في حزمة الترقية الصحيحة.

حدد الترقية التي تفضلها. في هذه الحالة، يكون التحديد ل:

• الإلغاء التلقائي عند فشل الترقية والعودة إلى الإصدار السابق.
• تمكين الإرجاع بعد الترقية الناجحة.
• ترقية البرنامج 2 إلى snort 3.

• حدد مجموعة HA الخاصة ب FTD وانقر فوق التحقق من الاستعداد.

يمكن التحقق من التقدم في رسائل مركز الرسائل > المهام.

عندما يتم إكمال التحقق من الاستعداد في كل من FTD والنتيجة هي "نجاح"، يمكن إجراء الترقية.

الخطوة 3. ترقية FTD في توفر عال

• حدد زوج HA وانقر فوق تثبيت.

تحذير لمتابعة الترقية، يقوم النظام بإعادة التمهيد لإكمال الترقية. حدد OK.

يمكن التحقق من التقدم في رسائل مركز الرسائل > المهام.

إذا نقرت فوق FirePOWER: عرض التفاصيل، يتم عرض التقدم بطريقة رسومية وسجلات status.log.

في CLI، تقدم يستطيع كنت فحصت في تحسين مجلد /ngfw/var/log/sf؛ انتقل إلى خبير أسلوب وأدخل الجذر منفذ.

> expert
admin@firepower:~$ sudo su
Password: 
root@firepower:/home/admin# cd /ngfw/var/log/sf

root@firepower:/ngfw/var/log/sf# ls
Cisco_FTD_Upgrade-7.2.4

root@firepower:/ngfw/var/log/sf# cd Cisco_FTD_Upgrade-7.2.4

root@firepower:/ngfw/var/log/sf/Cisco_FTD_Upgrade-7.2.4# ls
000_start  AQ_UUID  DBCheck.log  finished_kickstart.flag  flags.conf  main_upgrade_script.log  status.log  status.log.202307201832  upgrade_readiness  upgrade_status.json  upgrade_status.log  upgrade_version_build

root@firepower:/ngfw/var/log/sf/Cisco_FTD_Upgrade-7.2.4# tail -f status.log
state:running
ui:Upgrade has begun.
ui: Upgrade in progress: ( 0% done.14 mins to reboot). Checking device readiness... (000_start/000_00_run_cli_kick_start.sh)
…
ui: Upgrade in progress: (64% done. 5 mins to reboot). Finishing the upgrade... (999_finish/999_zzz_complete_upgrade_message.sh)
ui: Upgrade complete
ui: The system will now reboot.
ui:System will now reboot.

Broadcast message from root@firepower (Thu Jul 20 19:05:20 2023):

System will reboot in 5 seconds due to system upgrade.

Broadcast message from root@firepower (Thu Jul 20 19:05:25 2023):

System will reboot now due to system upgrade.

Broadcast message from root@firepower (Thu Jul 20 19:05:34 2023):

The system is going down for reboot NOW!

يتم وضع علامة "مكتمل" على حالة الترقية على واجهة المستخدم الرسومية (GUI)، وتظهر الخطوات التالية.

بعد اكتمال الترقية في الجهاز الاحتياطي، تبدأ في الجهاز النشط.

في واجهة سطر الأوامر (CLI)، انتقل إلى LINA (واجهة سطر الأوامر التشخيصية لدعم النظام) وتحقق من حالة تجاوز الفشل في FTD في وضع الاستعداد باستخدام الأمر show failure over state.

> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

firepower> enable
Password:
firepower# show failover state

               State          Last Failure Reason      Date/Time
This host  -   Secondary
               Standby Ready  None
Other host -   Primary
               Active         None

====Configuration State===
        Sync Done - STANDBY
====Communication State===
        Mac set

firepower# 
        Switching to Active

عند اكتمال الترقية، يلزم إعادة التشغيل:

الخطوة 4. تبديل النظير النشط (إختياري)

في هذه الحالة، يكون FTD Active الآن في وضع الاستعداد، ويمكن إستخدام تجاوز الفشل اليدوي لتعيينه مرة أخرى إلى Active.

• انتقل إلى النقاط الثلاث المجاورة لعلامة التحرير.

• حدد نظير المحول النشط.

• حدد نعم لتأكيد تجاوز الفشل.

التحقق من حالة التوفر العالي في نهاية الترقية وتجاوز الفشل.
أجهزة > إدارة الأجهزة

الخطوة 5. النشر النهائي

• نشر سياسة على الأجهزة نشر > نشر على هذا الجهاز.

التحقق من الصحة

للتحقق من اكتمال حالة التوفر العالي والترقية، تحتاج إلى تأكيد الحالة:
أساسي: نشط
المستوى الثانوي: الاستعداد
كلاهما ضمن الإصدار الذي تم تغييره مؤخرا (7.2.4 في هذا المثال).

• في واجهة المستخدم الرسومية FMC، انتقل إلى الأجهزة > إدارة الأجهزة.

• عبر واجهة سطر الأوامر (CLI)، تحقق من حالة تجاوز الفشل باستخدام الأمر show حالة تجاوز الفشل وإظهار تجاوز الفشل للحصول على معلومات أكثر تفصيلا.

Cisco Firepower Extensible Operating System (FX-OS) v2.12.0 (build 499)
Cisco Firepower Threat Defense for VMware v7.2.4 (build 165)

> show failover state

               State          Last Failure Reason      Date/Time
This host  -   Primary
               Active         None
Other host -   Secondary
               Standby Ready  None

====Configuration State===
====Communication State===
        Mac set

> show failover
Failover On 
Failover unit Primary
Failover LAN Interface: FAILOVER_LINK GigabitEthernet0/0 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1285 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.18(3)39, Mate 9.18(3)39
Serial Number: Ours 9AVLW3FSSK8, Mate 9AJJSEGJS2T
Last Failover at: 19:56:41 UTC Jul 20 2023
        This host: Primary - Active 
                Active time: 181629 (sec)
                slot 0: ASAv hw/sw rev (/9.18(3)39) status (Up Sys)
                  Interface INSIDE (10.10.153.1): Normal (Monitored)
                  Interface OUTSIDE (10.20.153.1): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Secondary - Standby Ready 
                Active time: 2390 (sec)
                  Interface INSIDE (10.10.153.2): Normal (Monitored)
                  Interface OUTSIDE (10.20.153.2): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FAILOVER_LINK GigabitEthernet0/0 (up)
        Stateful Obj    xmit       xerr       rcv        rerr      
        General         29336      0          24445      0         
        sys cmd         24418      0          24393      0         
...       

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       11      25331
        Xmit Q:         0       1       127887

إذا كان كل من FTD على نفس الإصدار وكانت حالة التوفر العالي سليمة، حينئذ تكون الترقية مكتملة.