Mise à niveau de FMC en haute disponibilité

Options de téléchargement

  • PDF     (1.3 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.1 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:31 mai 2024
ID du document:220602

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit les étapes pour mettre à niveau un environnement de Secure Firewall Management Center (FMC) en haute disponibilité (HA).

    Conditions préalables

    Exigences

    Cisco recommande de posséder des connaissances sur ces sujets :

    • Concepts de haute disponibilité
    • Configuration FMC sécurisée

    Composants utilisés

    Les informations contenues dans ce document sont basées sur la version 7.1.0 de Virtual Secure FMC.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    La mise à niveau doit être un homologue à la fois.

    Commencez par interrompre la synchronisation entre les homologues.

    Ensuite, la mise à niveau doit d’abord être effectuée dans le mode veille, puis dans le mode FMC actif.

    icône d'avertissement

    Avertissement : pendant que l'homologue en veille travaille sur les pré-vérifications / l'installation, les deux homologues passent en mode actif ; cela s'appelle le split-brain.
    Il est totalement attendu pendant la mise à niveau. Pendant ce temps, vous ne devez apporter ni déployer aucune modification de configuration.
    Si vous modifiez la configuration, elle peut être perdue après le redémarrage de la synchronisation.

    Pré-mise à niveau

    1. Planifiez votre mise à niveau. Dans les déploiements FMC, vous mettez généralement à niveau le FMC, puis ses périphériques gérés. Sachez toujours quelle mise à niveau vous venez d'effectuer et quelle est la suivante.
    1. Lisez toutes les consignes de mise à niveau et planifiez les modifications de configuration.
    2. Vérifiez la bande passante. Assurez-vous que votre réseau de gestion dispose de la bande passante nécessaire pour effectuer des transferts de données volumineux.
    1. Planifier les fenêtres de maintenance.
    2. Sauvegardez la configuration avant et après la mise à niveau. Système > Sauvegarde / Restauration > Sauvegarde de la gestion Firepower. Téléchargez la sauvegarde sur votre ordinateur local.
    1. Mettez à niveau l'hébergement virtuel. Cette opération est nécessaire lorsque vous exécutez une version antérieure de VMware.
    2. Vérifiez les configurations.
    3. Vérifiez la synchronisation NTP.
      FMC : choisissez System > Configuration > Time.
      Périphériques : utilisez la commande show time CLI.
    1. Vérifiez l'espace disque.
    2. Déployez les configurations. Dans les déploiements FMC haute disponibilité, vous n'avez besoin de déployer qu'à partir de l'homologue actif.
    3. Vérifiez les tâches en cours. Assurez-vous qu'aucun déploiement n'est en attente.

    Procédure De Mise À Niveau

    Étape 1. Suspendre la synchronisation

    Dans l'unité active, accédez à l'onglet Haute disponibilité du FMC.

    Système > Intégration > Haute disponibilité

    Suspendre la synchronisation. Sélectionnez Système et intégrationSuspendre la synchronisation. Sélectionnez Système et intégration

    Suspendre la synchronisation. Sélectionner la haute disponibilitéSuspendre la synchronisation. Sélectionner la haute disponibilité

    Sélectionnez Pause Synchronization.

    Sélectionner Suspendre la synchronisationSuspendre la synchronisation

    Attendez que la synchronisation soit suspendue. L'état doit être Suspendu par l'utilisateur une fois terminé.
    L'état de synchronisation doit être Suspendu par utilisateurL'état de synchronisation doit être Suspendu par utilisateur

    Étape 2. Télécharger le package de mise à niveau

    Connectez-vous à l'unité en veille et téléchargez le package de mise à niveau.

    Système > Mises à jour > Télécharger la mise à jour

    Télécharger le package de mise à niveauTélécharger le package de mise à niveau

    Parcourez le package précédemment téléchargé de la version à mettre à niveau.

    Sélectionner un fichier de mise à niveauSélectionner un fichier de mise à niveau

    Étape 3. Vérification De L'État De Préparation

    Exécutez une vérification de la préparation de l'appliance à mettre à niveau.

    Cliquez sur l'icône install à côté du package de mise à niveau approprié.

    Installer le package de mise à niveau pour la vérification du niveau de préparationInstaller le package de mise à niveau pour la vérification du niveau de préparation

    Sélectionnez l'appliance que vous souhaitez vérifier et cliquez sur Check Readiness.

    Sélectionnez Vérifier le niveau de préparationSélectionnez Vérifier le niveau de préparation

    La progression peut être vérifiée dans le centre de messagerie.

    Messages > Tâches > En cours

    Vérification du niveau de préparation en cours sous les tâchesVérification de l'état de préparation en cours

    Une fois terminé, vous pouvez voir l'état dans les résultats de la vérification de l'état de préparation.

    En cas de succès, vous pouvez poursuivre l'installation du package.

    Étape 4. Installer le package de mise à niveau

    Sélectionnez l'appliance à mettre à niveau. Cliquez sur Install.

    Installer le package de mise à niveau dans le périphérique sélectionnéInstaller le package de mise à niveau

    Avertissement pour le split brain, cliquez sur OK.

    Avertissement sur le Split BrainAvertissement sur le Split Brain

    La progression peut être vérifiée dans Messages > Tâches.

    Surveiller l'installation sous TâchesInstallation du moniteur

    note-icon

    Remarque : l'installation prend environ 30 minutes.

    Si vous disposez d'un accès CLI, la progression peut être vérifiée dans le dossier de mise à niveau /var/log/sf ; passez en mode expert et entrez root access.

    > expert
    admin@firepower:~$ sudo su
    Password: 
    root@firepower:/Volume/home/admin# cd /var/log/sf/

    root@firepower:/var/log/sf# ls
    Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4 

root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# ls
000_start  AQ_UUID  DBCheck.log  exception.log  flags.conf  main_upgrade_script.log  status.log  status.log.202307180405  upgrade_readiness  upgrade_status.json  upgrade_status.log  upgrade_version_build

root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# tail -f status.log 

    Une fois la mise à niveau terminée, le FMC redémarre.

    ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
    ui:[100%] [1 mins to go for reboot] Upgrade complete
    ui:[100%] [1 mins to go for reboot] The system will now reboot.
    ui:System will now reboot.

    Broadcast message from root@firepower (Tue Jul 18 05:08:57 2023):

    System will reboot in 5 seconds due to system upgrade.

    Broadcast message from root@firepower (Tue Jul 18 05:09:02 2023):

    System will reboot now due to system upgrade.

    ui:[100%] [1 mins to go for reboot] Installation completed successfully.
    ui:Upgrade has completed.
    state:finished

    Broadcast message from root@firepower (Tue Jul 18 05:09:25 2023):

    The system is going down for reboot NOW!

    Après le redémarrage, le FMC physique doit afficher le modèle correct dans le FMC.

    GUI > Aide > À propos de

    Informations sur le modèle et la version dans la GUI FMCInformations sur le modèle et la version dans FMC

    Intégration > Haute disponibilité

    Résumé HA lorsque seul le FMC de secours est mis à niveauRésumé HA lorsque seul le FMC de secours est mis à niveau

    Sur CLI, la version peut être vérifiée après acceptation du CLUF.

    Copyright 2004-2023, Cisco and/or its affiliates. All rights reserved.
    Cisco is a registered trademark of Cisco Systems, Inc.
    All other trademarks are property of their respective owners.

    Cisco Firepower Extensible Operating System (FX-OS) v2.12.0 (build 499)
    Cisco Secure Firewall Management Center for VMware v7.2.4 (build 169)

    >
    > show version
    -------------------[ firepower ]--------------------
    Model                     : Secure Firewall Management Center for VMware (66) Version 7.2.4 (Build 169)
    UUID                      : 1c71ae24-1e60-11ed-8459-9758e19f1a24
    Rules update version      : 2023-01-09-001-vrt
    LSP version               : lsp-rel-20220511-1540
    VDB version               : 353
    ----------------------------------------------------

    Étape 5. Mettre à niveau le pair actif

    Répétez les étapes 2 à 4 dans l'unité active :

    1. Téléchargez le package de mise à niveau.

    2. Vérification de préparation.

    3. Installez le package de mise à niveau.

      4.

    Étape 6. Activez le FMC souhaité.

    Une fois la mise à niveau effectuée sur les deux FMC, connectez-vous au FMC dont vous souhaitez activer l'unité et sélectionnez l'option Me rendre actif.

    Intégration > Haute disponibilité > M'activer

    Activez le FMC souhaité.Activez le FMC souhaité.

    Avertissements relatifs aux processus et écrasement de toute configuration effectuée dans l'homologue de secours, sélectionnez YES pour continuer.

    Avertissement sur la configuration de remplacement active sur l'homologue en veilleAvertissement sur la configuration de remplacement active sur l'homologue en veille

    Cliquez sur OK pour activer l'homologue souhaitéCliquez sur OK

    Avertissement sur la résolution du problème du « split cerveau »Résoudre le Split Brain

    Attendez que la synchronisation redémarre et que l'autre FMC passe en mode veille.

    Synchronisation FMC en coursSynchronisation FMC

    note-icon

    Remarque : la synchronisation peut prendre jusqu'à 20 minutes.

    Déployez les modifications en attente sur l'unité FMC active pour terminer le processus de mise à niveau.

    Validation

    Une fois que les deux FMC sont dans la même version et que la synchronisation est terminée, l'onglet Résumé de la haute disponibilité doit ressembler à ceci :
    Intégration > Haute disponibilité

    Validation de la mise à niveau dans FMCValidation de la mise à niveau dans FMC

    icône d'avertissement

    Avertissement : si l'état final de la synchronisation indique un état dégradé ou un résultat différent de OK, contactez le TAC.

    Historique de révision

    Révision Date de publication Commentaires
    2.0
    31-May-2024
    Texte de remplacement, légendes d'image, avertissement légal, orthographe et mise en forme mis à jour.
    1.0
    21-Jul-2023
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Marlene Preciado
      Ingénieur-conseil technique

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits