Actualización de FMC en alta disponibilidad

Opciones de descarga

  • PDF     (1.3 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.1 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:31 de mayo de 2024
ID del documento:220602

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe los pasos para actualizar un entorno de Secure Firewall Management Center (FMC) en alta disponibilidad (HA).

    Prerequisites

    Requirements

    Cisco recomienda tener conocimientos de estos temas:

    • Conceptos de alta disponibilidad
    • Configuración segura de FMC

    Componentes Utilizados

    La información de este documento se basa en Virtual Secure FMC, versión 7.1.0.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    La actualización debe ser de un par a la vez.

    En primer lugar, detenga la sincronización entre los pares.

    A continuación, la actualización debe realizarse primero en el modo de espera, seguida del FMC activo.

    icono de advertencia

    Advertencia: Mientras el par en espera está trabajando en comprobaciones previas/instalación, ambos pares cambian a activo; esto se denomina split-brain.
    Se espera totalmente durante la actualización. Durante este tiempo, no debe realizar ni implementar ningún cambio en la configuración.
    Si realiza algún cambio en la configuración, se puede perder después de reiniciar la sincronización.

    Pre-actualización

    1. Planifique su ruta de actualización. En las implementaciones de FMC, normalmente se actualiza el FMC y, a continuación, sus dispositivos administrados. Sepa siempre qué actualización acaba de realizar y cuál es la siguiente.
    1. Lea todas las directrices de actualización y planifique los cambios de configuración.
    2. Compruebe el ancho de banda. Asegúrese de que la red de gestión dispone del ancho de banda necesario para realizar transferencias de datos de gran tamaño.
    1. Programar ventanas de mantenimiento.
    2. Realice una copia de seguridad de la configuración antes y después de la actualización. System > Back up / Restore > Copia de seguridad de Firepower Management. Descargue la copia de seguridad en el equipo local.
    1. Actualice el alojamiento virtual. Esto es necesario cuando se ejecuta una versión anterior de VMware.
    2. Compruebe las configuraciones.
    3. Verifique la sincronización NTP.
      FMC: Elija System > Configuration > Time.
      Dispositivos: utilice el comando CLI show time.
    1. Compruebe el espacio en disco.
    2. Implemente configuraciones. En las implementaciones de alta disponibilidad de FMC, solo es necesario realizar la implementación desde el par activo.
    3. Marque las tareas en ejecución. Asegúrese de que no hay implementaciones pendientes.

    Procedimiento de actualización

    Paso 1. Pausar sincronización

    En la unidad activa, vaya a la pestaña High Availability en el FMC.

    System > Integration > High Availability

    Pausar sincronización. Seleccionar sistema e integraciónPausar sincronización. Seleccionar sistema e integración

    Pausar sincronización. Seleccione Alta disponibilidadPausar sincronización. Seleccionar alta disponibilidad

    Seleccione Pausar sincronización.

    Seleccione Pausar sincronizaciónPausar sincronización

    Espere a que se detenga la sincronización. El estado debe ser Pausado por el usuario una vez finalizado.
    El estado de sincronización debe ser En pausa por usuarioEl estado de sincronización debe ser En pausa por usuario

    Paso 2. Cargar el paquete de actualización

    Inicie sesión en la unidad en espera y cargue el paquete de actualización.

    System > Updates > Upload Update

    Cargar el paquete de actualizaciónCargar el paquete de actualización

    Examine el paquete descargado anteriormente de la versión que se va a actualizar.

    Seleccionar archivo de actualizaciónSeleccionar archivo de actualización

    Paso 3. Comprobación de preparación

    Realice una comprobación de disponibilidad en el dispositivo que se va a actualizar.

    Haga clic en el icono install junto al paquete de actualización correspondiente.

    Instalar paquete de actualización para comprobación de preparaciónInstalar paquete de actualización para comprobación de preparación

    Seleccione el dispositivo que desea comprobar y haga clic en Comprobar preparación.

    Seleccione Comprobar preparaciónSeleccione Comprobar preparación

    El progreso se puede comprobar en el centro de mensajes.

    Mensajes > Tareas > En ejecución

    Comprobación de preparación en curso en TareasComprobación de preparación en curso

    Una vez completado, puede ver el estado en los resultados de la comprobación de preparación.

    Si tiene éxito, puede continuar con la instalación del paquete.

    Paso 4. Instalación del paquete de actualización

    Seleccione el dispositivo que desea actualizar. Haga clic en Instale.

    Instalar el paquete de actualización en el dispositivo seleccionadoInstalación del paquete de actualización

    Advertencia para el cerebro partido, haga clic en Aceptar.

    Advertencia sobre la división del cerebroAdvertencia sobre la división del cerebro

    El progreso se puede verificar en Mensajes > Tareas.

    Supervisión de la instalación en TareasInstalación del monitor

    icono de nota

    Nota: La instalación tarda unos 30 minutos en completarse.

    Si tiene acceso CLI, el progreso se puede verificar en la carpeta de actualización /var/log/sf; pase al modo experto e ingrese al acceso raíz.

    > expert
    admin@firepower:~$ sudo su
    Password: 
    root@firepower:/Volume/home/admin# cd /var/log/sf/

    root@firepower:/var/log/sf# ls
    Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4 

root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# ls
000_start  AQ_UUID  DBCheck.log  exception.log  flags.conf  main_upgrade_script.log  status.log  status.log.202307180405  upgrade_readiness  upgrade_status.json  upgrade_status.log  upgrade_version_build

root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# tail -f status.log 

    Una vez completada la actualización, el FMC se reinicia.

    ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
    ui:[100%] [1 mins to go for reboot] Upgrade complete
    ui:[100%] [1 mins to go for reboot] The system will now reboot.
    ui:System will now reboot.

    Broadcast message from root@firepower (Tue Jul 18 05:08:57 2023):

    System will reboot in 5 seconds due to system upgrade.

    Broadcast message from root@firepower (Tue Jul 18 05:09:02 2023):

    System will reboot now due to system upgrade.

    ui:[100%] [1 mins to go for reboot] Installation completed successfully.
    ui:Upgrade has completed.
    state:finished

    Broadcast message from root@firepower (Tue Jul 18 05:09:25 2023):

    The system is going down for reboot NOW!

    Después del reinicio, el FMC físico debe mostrar el modelo correcto en el FMC.

    GUI > Ayuda > Acerca de

    Información de modelo y versión en la GUI de FMCInformación de modelo y versión en FMC

    Integración > Alta disponibilidad

    Resumen de HA cuando solo se actualiza el FMC en esperaResumen de HA cuando solo se actualiza el FMC en espera

    A través de CLI, la versión se puede comprobar después de aceptar el CLUF.

    Copyright 2004-2023, Cisco and/or its affiliates. All rights reserved.
    Cisco is a registered trademark of Cisco Systems, Inc.
    All other trademarks are property of their respective owners.

    Cisco Firepower Extensible Operating System (FX-OS) v2.12.0 (build 499)
    Cisco Secure Firewall Management Center for VMware v7.2.4 (build 169)

    >
    > show version
    -------------------[ firepower ]--------------------
    Model                     : Secure Firewall Management Center for VMware (66) Version 7.2.4 (Build 169)
    UUID                      : 1c71ae24-1e60-11ed-8459-9758e19f1a24
    Rules update version      : 2023-01-09-001-vrt
    LSP version               : lsp-rel-20220511-1540
    VDB version               : 353
    ----------------------------------------------------

    Paso 5. Actualizar par activo

    Repita los pasos dos a cuatro en la unidad Activa:

    1. Cargue el paquete de actualización.

    2. Comprobación de preparación.

    3. Instale el paquete de actualización.

      4.

    Paso 6. Active el CSP deseado

    Una vez completada la actualización en ambos FMC, inicie sesión en el FMC que desea convertir en unidad activa y seleccione la opción Make Me Active (Activar).

    Integración > Alta disponibilidad > Activar

    Active el CSP deseadoActive el CSP deseado

    Advertencias sobre procesos y sobrescribir cualquier configuración realizada en el par en espera, seleccione YES para continuar.

    Advertencia sobre configuración de sobrescritura activa en par en esperaAdvertencia sobre configuración de sobrescritura activa en par en espera

    Seleccione Aceptar para activar el par deseadoSeleccione Aceptar

    Advertencia sobre la resolución del cerebro partidoResolviendo la división del cerebro

    Espere hasta que se reinicie la sincronización y el otro FMC active el modo de espera.

    Sincronización de FMC en cursoSincronización de FMC

    icono de nota

    Nota: la sincronización puede tardar hasta 20 minutos en completarse.

    Implemente los cambios pendientes en la unidad activa de FMC para completar el proceso de actualización.

    Validación

    Una vez que ambos FMC estén en la misma versión y la sincronización haya finalizado, la ficha Resumen de HA debe tener el siguiente aspecto:
    Integración > Alta disponibilidad

    Validación de actualización en FMCValidación de actualización en FMC

    icono de advertencia

    Advertencia: si el estado de sincronización final muestra un estado degradado u otro resultado distinto de OK, póngase en contacto con el TAC.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    31-May-2024
    Texto alternativo actualizado, subtítulos de imágenes, renuncia legal, ortografía y formato.
    1.0
    21-Jul-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Marlene Preciado
      Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos