Upgrade von FMC auf Hochverfügbarkeit

Einleitung

In diesem Dokument werden die Schritte zum Upgrade einer Umgebung von Secure Firewall Management Center (FMC) in High Availability (HA) beschrieben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in den folgenden Bereichen verfügen:

• Hochverfügbarkeitskonzepte
• Sichere FMC-Konfiguration

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf Virtual Secure FMC, Version 7.1.0.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

Beim Upgrade muss es sich jeweils um einen Peer handeln.

Halten Sie zunächst die Synchronisierung zwischen den Peers an.

Anschließend muss das Upgrade zuerst im Standby-Modus durchgeführt werden, gefolgt vom aktiven FMC.

Vor dem Upgrade

1. Planen Sie Ihren Upgrade-Pfad. Bei FMC-Bereitstellungen aktualisieren Sie in der Regel das FMC und dann dessen verwaltete Geräte. Sie sollten immer wissen, welches Upgrade Sie gerade durchgeführt haben und welches das nächste ist.

2. Lesen Sie alle Upgrade-Richtlinien, und planen Sie Konfigurationsänderungen.
3. Überprüfen der Bandbreite Stellen Sie sicher, dass Ihr Verwaltungsnetzwerk über die erforderliche Bandbreite für große Datenübertragungen verfügt.

4. Wartungsfenster planen
5. Sichern Sie die Konfiguration vor und nach dem Upgrade. System > Sichern/Wiederherstellen > FirePOWER Management-Sicherung. Laden Sie die Sicherung auf Ihren lokalen Computer herunter.

6. Aktualisieren des virtuellen Hosting Dies ist erforderlich, wenn Sie eine ältere Version von VMware ausführen.
7. Überprüfen Sie die Konfigurationen.
8. Aktivieren Sie die NTP-Synchronisierung.
   FMC: Wählen Sie System > Configuration > Time (System > Konfiguration > Zeit).
   Geräte: Verwenden Sie den CLI-Befehl show time.

9. Überprüfen Sie den Speicherplatz.
10. Bereitstellung von Konfigurationen Bei FMC-Bereitstellungen mit hoher Verfügbarkeit müssen Sie nur den aktiven Peer bereitstellen.
11. Überprüfen Sie die ausgeführten Aufgaben. Stellen Sie sicher, dass keine ausstehenden Bereitstellungen vorhanden sind.

Upgrade-Verfahren

Schritt 1: Synchronisierung anhalten

Navigieren Sie auf der aktiven Einheit zur Registerkarte Hochverfügbarkeit des FMC.

System > Integration > Hochverfügbarkeit

Synchronisierung anhalten. System und Integration auswählen

Synchronisierung anhalten. Hohe Verfügbarkeit auswählen

Wählen Sie Synchronisierung anhalten aus.

Synchronisierung anhalten

Warten Sie, bis die Synchronisierung angehalten wurde. Der Status muss nach Abschluss des Vorgangs vom Benutzer angehalten werden.
Synchronisierungsstatus muss pro Benutzer angehalten werden

Schritt 2: Hochladen des Upgrade-Pakets

Melden Sie sich bei der Standby-Einheit an, und laden Sie das Upgrade-Paket hoch.

System > Updates > Update hochladen

Hochladen des Upgrade-Pakets

Durchsuchen Sie das zuvor heruntergeladene Paket der zu aktualisierenden Version.

Upgrade-Datei auswählen

Schritt 3: Bereitschaftsprüfung

Führen Sie eine Bereitschaftsprüfung für die Appliance durch, die aktualisiert werden soll.

Klicken Sie auf das Symbol Install (Installieren) neben dem entsprechenden Upgrade-Paket.

Installation des Upgrade-Pakets für die Bereitschaftsprüfung

Wählen Sie die Appliance aus, die Sie überprüfen möchten, und klicken Sie auf Check Readiness.

Wählen Sie Check Readiness aus

Der Fortschritt kann im Nachrichtencenter überprüft werden.

Nachrichten > Aufgaben > Wird ausgeführt

Bereitschafts-Check wird durchgeführt

Nach Abschluss dieses Vorgangs wird der Status in den Ergebnissen der Bereitschaftsprüfung angezeigt.

Wenn dies erfolgreich ist, können Sie mit der Installation des Pakets fortfahren.

Schritt 4: Installieren des Upgrade-Pakets

Wählen Sie die Appliance aus, die aktualisiert werden soll. Klicken Sie auf Install (Installieren).

Installieren des Upgrade-Pakets

Warnung für das gespaltene Gehirn, klicken Sie auf OK.

Warnung vor Split Brain

Der Fortschritt kann unter Nachrichten > Aufgaben überprüft werden.

Installation überwachen

Wenn Sie über CLI-Zugriff verfügen, kann der Fortschritt im Aktualisierungsordner /var/log/sf überprüft werden. Wechseln Sie in den Expertenmodus, und wechseln Sie in den Root-Zugriff.

> expert
admin@firepower:~$ sudo su
Password: 
root@firepower:/Volume/home/admin# cd /var/log/sf/

root@firepower:/var/log/sf# ls
Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4 

root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# ls
000_start  AQ_UUID  DBCheck.log  exception.log  flags.conf  main_upgrade_script.log  status.log  status.log.202307180405  upgrade_readiness  upgrade_status.json  upgrade_status.log  upgrade_version_build

root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# tail -f status.log 

Nach Abschluss des Upgrades wird das FMC neu gestartet.

ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
ui:[100%] [1 mins to go for reboot] Upgrade complete
ui:[100%] [1 mins to go for reboot] The system will now reboot.
ui:System will now reboot.

Broadcast message from root@firepower (Tue Jul 18 05:08:57 2023):

System will reboot in 5 seconds due to system upgrade.

Broadcast message from root@firepower (Tue Jul 18 05:09:02 2023):

System will reboot now due to system upgrade.

ui:[100%] [1 mins to go for reboot] Installation completed successfully.
ui:Upgrade has completed.
state:finished

Broadcast message from root@firepower (Tue Jul 18 05:09:25 2023):

The system is going down for reboot NOW!

Nach dem Neustart muss das physische FMC das richtige Modell im FMC anzeigen.

GUI > Hilfe > Info

Modell- und Versionsinformationen in FMC

Integration > Hochverfügbarkeit

HA-Zusammenfassung, wenn nur das Standby-FMC aktualisiert wird

Die Version kann über die CLI überprüft werden, nachdem die EULA akzeptiert wurde.

Copyright 2004-2023, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.

Cisco Firepower Extensible Operating System (FX-OS) v2.12.0 (build 499)
Cisco Secure Firewall Management Center for VMware v7.2.4 (build 169)

>
> show version
-------------------[ firepower ]--------------------
Model                     : Secure Firewall Management Center for VMware (66) Version 7.2.4 (Build 169)
UUID                      : 1c71ae24-1e60-11ed-8459-9758e19f1a24
Rules update version      : 2023-01-09-001-vrt
LSP version               : lsp-rel-20220511-1540
VDB version               : 353
----------------------------------------------------

Schritt 5: Aktiven Peer aktualisieren

Wiederholen Sie die Schritte zwei bis vier in der aktiven Einheit:

1. Laden Sie das Upgrade-Paket hoch.

2. Bereitschaftsprüfung:

3. Installieren Sie das Upgrade-Paket.

Schritt 6: Aktivieren des gewünschten FMC

Wenn die Aktualisierung auf beiden FMCs abgeschlossen ist, melden Sie sich bei dem FMC an, das Sie zur Aktiven Einheit machen möchten, und wählen Sie die Option Aktiv machen aus.


Integration > Hochverfügbarkeit > Make Me Active


Aktivieren des gewünschten FMC


Wenn Sie Warnungen zu Prozessen erhalten und eine Konfiguration im Standby-Peer überschreiben möchten, wählen Sie JA aus, um fortzufahren.

Warnung vor aktiver Überschreibungskonfiguration auf Standby-Peer

OK auswählen

Auflösung eines geteilten Gehirns

Warten Sie, bis die Synchronisierung neu gestartet wird und das andere FMC den Standby-Modus aktiviert.

FMC-Synchronisierung

Bereitstellen ausstehender Änderungen auf der aktiven FMC-Einheit, um den Upgrade-Prozess abzuschließen

Validierung

Wenn beide FMCs in derselben Version sind und die Synchronisierung abgeschlossen ist, muss die Registerkarte "HA-Zusammenfassung" wie folgt aussehen:
Integration > Hochverfügbarkeit

Upgrade-Validierung in FMC