FTD HA-Paar auf FirePOWER-Appliances aktualisieren

Download-Optionen

  • PDF     (1.0 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (897.6 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (837.2 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:8. Mai 2023
Dokument-ID:200896

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    Dieses Dokument beschreibt den Upgrade-Prozess von Firepower Threat Defense (FTD) im Hochverfügbarkeitsmodus (HA) auf Firepower-Appliances.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, sich mit folgenden Themen vertraut zu machen:

    • Firepower Management Center (FMC)
    • FTD
    • FirePOWER-Appliances (FXOS)

    Verwendete Komponenten

    • 2 x FPR4150
    • 1 x FS4000
    • 1 x PC

    Versionen des Software-Images vor dem Upgrade:

    • FMC 6.1.0-330
    • FTD Primär 6.1.0-330
    • FTD Sekundär 6.1.0-330
    • FXOS Primary 2.0.1-37
    • FXOS Sekundär 2.0.1-37

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konfigurieren

    Netzwerkdiagramm

    Network topology

    Aktionsplan

    Aufgabe 1: Überprüfen der Voraussetzungen

    Schritt 2: Hochladen der Images auf FMC und SSP

    Schritt 3: Upgrade des ersten FXOS-Chassis (2.0.1-37 -> 2.0.1-86)

    Schritt 4: FTD-Failover austauschen

    Schritt 5: Upgrade des zweiten FXOS-Chassis (2.0.1-37 -> 2.0.1-86)

    Schritt 6: FMC aktualisieren (6.1.0-330 -> 6.1.0.1)

    Aufgabe 7: Upgrade des FTD HA-Paares (6.1.0-330 -> 6.1.0.1)

    Aufgabe 8: Implementierung einer Richtlinie vom FMC für das FTD HA-Paar

    Aufgabe 1: Überprüfen der Voraussetzungen

    Ermitteln Sie im FXOS-Kompatibilitätsleitfaden die Kompatibilität zwischen:

    • FTD-Zielversion und FXOS-Softwareversion
    • FirePOWER-Hardwareplattform und FXOS-Softwareversion

    Kompatibilität mit Cisco FirePOWER 4100/9300 FXOS

    Hinweis: Dieser Schritt gilt nicht für FP21xx- und frühere Plattformen.

    Überprüfen Sie die FXOS-Versionshinweise der Zielversion, um den FXOS-Upgrade-Pfad zu ermitteln:

    Cisco Firepower 4100/9300 FXOS - Versionshinweise, 2.0(1)

    Hinweis: Dieser Schritt gilt nicht für FP21xx- und frühere Plattformen.

    Informieren Sie sich in den Versionshinweisen zur FTD-Zielversion über den FTD-Upgrade-Pfad:

    Versionshinweise für FirePOWER-Systeme, Version 6.0.1.2

    Aufgabe 2: Software-Images hochladen

    Laden Sie die FXOS-Images auf die beiden FCMs hoch (fxos-k9.2.0.1.86.SPA).

    Laden Sie auf dem FMC die folgenden FMC- und FTD-Upgrade-Pakete hoch:

    • Für das FMC-Upgrade: Sourcefire_3D_Defense_Center_S3_Patch-6.1.0.1-53.sh
    • Für das FTD-Upgrade: Cisco_FTD_SSP_Patch-6.1.0.1-53.sh

    Aufgabe 3: Upgrade des ersten FXOS-Chassis

    Hinweis: Wenn Sie ein FXOS-Upgrade von 1.1.4.x auf 2.x durchführen, müssen Sie zunächst die logische FTD-Einheit herunterfahren, das FXOS aktualisieren und anschließend wieder aktivieren.

    Hinweis: Dieser Schritt gilt nicht für FP21xx- und frühere Plattformen.

    Vor dem Upgrade:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Ready

    Starten Sie das FXOS-Upgrade:

    Available Updates

    Das FXOS-Upgrade erfordert einen Neustart des Gehäuses:

    Update Bundle Image

    Sie können das FXOS-Upgrade über die FXOS-CLI überwachen. Alle drei Komponenten (FPRM, Fabric Interconnect und Chassis) müssen aktualisiert werden:

    FPR4100-4-A# scope system
FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Ready

    Hinweis: Wenige Minuten nach dem Start des FXOS-Upgrade-Prozesses ist die Verbindung zur FXOS-CLI und zur GUI getrennt. Sie müssen sich nach einigen Minuten wieder anmelden können.

    Nach ca. fünf Minuten ist das FPRM-Komponenten-Upgrade abgeschlossen:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Upgrading

    Nach ca. 10 Minuten und als Teil des FXOS-Upgrade-Prozesses startet das FirePOWER-Gerät neu:

    Please stand by while rebooting the system...
    ...    
Restarting system.

    Nach dem Neustart wird der Upgrade-Prozess fortgesetzt:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Upgrading

    Nach insgesamt ca. 30 Minuten ist das FXOS-Upgrade abgeschlossen:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.86),2.0(1.37)
        Upgrade-Status: Ready

    Aufgabe 4: FTD-Failover-Zustände austauschen

    Hinweis: Dieser Schritt gilt nicht für FP21xx- und frühere Plattformen.

    Bevor Sie die Failover-Zustände ändern, stellen Sie sicher, dass das FTD-Modul im Gehäuse voll aktiv ist:

    FPR4100-4-A# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI

> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 15:08:47 UTC Dec 17 2016
        This host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Primary - Active
                Active time: 5163 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         65         0          68         4
        sys cmd         65         0          65         0
      ...

    Vertauschen Sie die FTD-Failover-Zustände. Über die aktive FTD-CLI:

    > no failover active
        Switching to Standby

>

    Aufgabe 5: Upgrade des zweiten FXOS-Chassis

    Führen Sie wie bei Aufgabe 2 ein Upgrade der FXOS-Appliance durch, auf der die neue Standby-FTD installiert ist. Dieser Vorgang kann etwa 30 Minuten oder länger dauern.

    Hinweis: Dieser Schritt gilt nicht für FP21xx- und frühere Plattformen.

    Aufgabe 6: FMC-Software aktualisieren

    Aktualisieren Sie das FMC in diesem Szenario von 6.1.0-330 auf 6.1.0.1.

    Aufgabe 7: FTD HA-Paar aktualisieren

    Vor dem Upgrade:

    > show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 15:51:08 UTC Dec 17 2016
        This host: Primary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Secondary - Active
                Active time: 1724 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         6          0          9          0
        sys cmd         6          0          6          0
    ...

    Starten Sie im Menü FMC System > Updates (FMC-System > Updates) das FTD HA-Upgrade:

    Updates

    Updates

    Zuerst wird das primäre/Standby-FTD aktualisiert:

    System

    Das Standby-FTD-Modul wird mit dem neuen Image neu gestartet:

    Remote Install

    Sie können den FTD-Status im FXOS BootCLI-Modus überprüfen:

    FPR4100-3-A# connect module 1 console
Firepower-module1> show services status
Services currently running:
Feature   | Instance ID    |     State  |          Up Since
-----------------------------------------------------------
ftd     | 001_JAD201200R4WLYCWO6 |   RUNNING  | :00:00:33

    Die sekundäre/aktive FTD-CLI zeigt eine Warnmeldung an, wenn die Softwareversionen zwischen den FTD-Modulen nicht übereinstimmen:

    firepower#
************WARNING****WARNING****WARNING********************************
Mate version 9.6(2) is not identical with ours 9.6(2)4
************WARNING****WARNING****WARNING********************************
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate

    Das FMC zeigt an, dass das FTD-Gerät erfolgreich aktualisiert wurde:

    Remote Install

    Die Aktualisierung des zweiten FTD-Moduls beginnt:

    Remote Install

    Am Ende des Vorgangs wird die FTD mit dem neuen Image gestartet:

    Remote Install

    Im Hintergrund verwendet das FMC den internen Benutzer enable_1, tauscht die FTD-Failover-Zustände aus und entfernt vorübergehend die Failover-Konfiguration aus dem FTD:

    firepower# show logging
Dec 17 2016 16:40:14: %ASA-5-111008: User 'enable_1' executed the 'no failover active' command.
Dec 17 2016 16:40:14: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'no failover active'
Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'clear configure failover' command.
Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'clear configure failover'
Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'copy /noconfirm running-config disk0:/modified-config.cfg' command.
Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'copy /noconfirm running-config
     disk0:/modified-config.cfg'
        
firepower#
        Switching to Standby

firepower#

    In diesem Fall dauerte das gesamte FTD-Upgrade (beide Einheiten) etwa 30 Minuten.

    Verifizierung

    Dieses Beispiel zeigt die FTD-CLI-Verifizierung des primären FTD-Geräts:

    > show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 16:40:14 UTC Dec 17 2016
        This host: Primary - Active
                Active time: 1159 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         68         0          67         0
...
>

    Dieses Beispiel zeigt die FTD-CLI-Überprüfung vom sekundären/Standby-FTD-Gerät:

    > show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 16:52:43 UTC Dec 17 2016
        This host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Primary - Active
                Active time: 1169 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         38         0          41         0
    ...
>

    Aufgabe 8: Bereitstellen einer Richtlinie für das FTD HA-Paar

    Nach Abschluss des Upgrades müssen Sie eine Richtlinie für das HA-Paar bereitstellen. Dies wird in der Benutzeroberfläche des FMC angezeigt:

    Apply Update

    Bereitstellen der Richtlinien:

    Deploy Policies

    Verifizierung

    Das aktualisierte FTD HA-Paar aus Sicht der FMC-Benutzeroberfläche:

    Device Management

    Das aktualisierte FTD HA-Paar, wie es von der FCM-Benutzeroberfläche aus gesehen wird:

    Logical Devices

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    08-May-2023
    Rezertifizierung
    1.0
    17-Dec-2016
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Mikis Zafeiroudis
      Cisco TAC Engineer
    • Dinkar Sharma
      Cisco TAC Engineer
    • Edited by Olha Yakovenko
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.