Aggiornamento della coppia FTD HA su appliance Firepower
Sommario
Introduzione
In questo documento viene descritto il processo di aggiornamento di Firepower Threat Defense (FTD) in modalità alta disponibilità (HA) sugli accessori Firepower.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Firepower Management Center (FMC)
- FTD
- Appliance Firepower (FXOS)
Componenti usati
- 2 x FPR4150
- 1 FS4000
- 1 PC
Versioni dell'immagine software prima dell'aggiornamento:
- FMC 6.1.0-330
- FTD primario 6.1.0-330
- FTD secondario 6.1.0-330
- FXOS Primary 2.0.1-37
- FXOS Secondary 2.0.1-37
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
Esempio di rete
Piano d'azione
Task 1: verificare i prerequisiti
Task 2: caricare le immagini in FMC e SSP
Task 3: aggiornare il primo chassis FXOS (2.0.1-37 -> 2.0.1-86)
Task 4: sostituire il failover FTD
Task 5: aggiornare il secondo chassis FXOS (2.0.1-37 -> 2.0.1-86)
Task 6: aggiornare FMC (6.1.0-330 -> 6.1.0.1)
Task 7: aggiornare la coppia FTD HA (6.1.0-330 -> 6.1.0.1)
Attività 8: distribuire un criterio da FMC alla coppia HA FTD
Attività 1. Verifica dei prerequisiti
Consultare la Guida alla compatibilità FXOS per determinare la compatibilità tra:
- Versione software FTD di destinazione e versione software FXOS
- Piattaforma Firepower HW e versione software FXOS
Cisco Firepower 4100/9300 FXOS Compatibilità
Controllare le note di rilascio FXOS della versione di destinazione per determinare il percorso di aggiornamento di FXOS:
Note sulla release di Cisco Firepower 4100/9300 FXOS, 2.0(1)
Per determinare il percorso di aggiornamento FTD, consultare le note sulla versione di destinazione FTD:
Note sulla release di Firepower System, versione 6.0.1.2
Attività 2. Caricamento delle immagini software
Sui due FCM, caricare le immagini FXOS (fxos-k9.2.0.1.86.SPA).
Nel CCP, caricare i pacchetti di aggiornamento del CCP e del FTD:
- Per l'aggiornamento FMC: Sourcefire_3D_Defense_Center_S3_Patch-6.1.0.1-53.sh
- Per l'aggiornamento FTD: Cisco_FTD_SSP_Patch-6.1.0.1-53.sh
Attività 3. Aggiornamento del primo chassis FXOS
Prima dell'aggiornamento:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Avviare l'aggiornamento di FXOS:
L'aggiornamento di FXOS richiede il riavvio dello chassis:
È possibile monitorare l'aggiornamento di FXOS dalla CLI di FXOS. Tutti e tre i componenti (FPRM, interconnessione fabric e chassis) devono essere aggiornati:
FPR4100-4-A# scope system
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Dopo circa cinque minuti, l'aggiornamento del componente FPRM viene completato:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Dopo circa 10 minuti e come parte del processo di aggiornamento di FXOS, il dispositivo Firepower si riavvia:
Please stand by while rebooting the system...
... Restarting system.
Dopo il riavvio, il processo di aggiornamento riprende:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Dopo circa 30 minuti, l'aggiornamento di FXOS è completato:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.86),2.0(1.37)
Upgrade-Status: Ready
Attività 4. Scambia stati di failover FTD
Prima di scambiare gli stati di failover, verificare che il modulo FTD sullo chassis sia completamente ATTIVO:
FPR4100-4-A# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 15:08:47 UTC Dec 17 2016
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Primary - Active
Active time: 5163 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 65 0 68 4
sys cmd 65 0 65 0
...
Scambia gli stati di failover FTD. Dalla CLI FTD attiva:
> no failover active
Switching to Standby
>
Attività 5. Aggiornamento del secondo chassis FXOS
Analogamente al Task 2, aggiornare l'accessorio FXOS in cui è installato il nuovo FTD di standby. Il completamento di questa operazione può richiedere circa 30 minuti o più.
Attività 6. Aggiornare il software FMC
In questo scenario, aggiornare FMC dalla versione 6.1.0-330 alla 6.1.0.1.
Attività 7. Aggiornare la coppia FTD HA
Prima dell'aggiornamento:
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 15:51:08 UTC Dec 17 2016
This host: Primary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Active
Active time: 1724 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 6 0 9 0
sys cmd 6 0 6 0
...
Dal menu Sistema FMC > Aggiornamenti, avviare il processo di aggiornamento FTD HA:
Innanzitutto, viene aggiornato l'FTD Principale/Standby:
Il modulo FTD di standby si riavvia con la nuova immagine:
È possibile verificare lo stato FTD dalla modalità FXOS BootCLI:
FPR4100-3-A# connect module 1 console Firepower-module1> show services status Services currently running: Feature | Instance ID | State | Up Since ----------------------------------------------------------- ftd | 001_JAD201200R4WLYCWO6 | RUNNING | :00:00:33
La CLI FTD secondaria/attiva visualizza un messaggio di avviso a causa di una mancata corrispondenza delle versioni software tra i moduli FTD:
firepower# ************WARNING****WARNING****WARNING******************************** Mate version 9.6(2) is not identical with ours 9.6(2)4 ************WARNING****WARNING****WARNING******************************** Beginning configuration replication: Sending to mate. End Configuration Replication to mate
Il CCP indica che il dispositivo FTD è stato aggiornato:
Viene avviato l'aggiornamento del secondo modulo FTD:
Al termine del processo, l'FTD si avvia con la nuova immagine:
In background, il FMC utilizza l'utente interno enable_1, scambia gli stati di failover del FTD e rimuove temporaneamente la configurazione di failover dal FTD:
firepower# show logging Dec 17 2016 16:40:14: %ASA-5-111008: User 'enable_1' executed the 'no failover active' command. Dec 17 2016 16:40:14: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'no failover active' Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'clear configure failover' command. Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'clear configure failover' Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'copy /noconfirm running-config disk0:/modified-config.cfg' command. Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'copy /noconfirm running-config
disk0:/modified-config.cfg' firepower# Switching to Standby firepower#
In questo caso l'intero aggiornamento FTD (entrambe le unità) ha richiesto circa 30 minuti.
Verifica
L'esempio mostra come viene eseguita la verifica FTD CLI dal dispositivo FTD principale:
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 16:40:14 UTC Dec 17 2016
This host: Primary - Active
Active time: 1159 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 68 0 67 0
...
>
L'esempio mostra come viene eseguita la verifica FTD CLI dal dispositivo FTD secondario/standby:
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 16:52:43 UTC Dec 17 2016
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Primary - Active
Active time: 1169 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 38 0 41 0
...
>
Attività 8. Distribuire un criterio alla coppia HA FTD
Al termine dell'aggiornamento, è necessario distribuire un criterio alla coppia HA. Questa condizione viene illustrata nell'interfaccia utente del CCP:
Distribuire i criteri:
Verifica
Coppia HA FTD aggiornata rilevata dall'interfaccia utente del CCP:
Coppia HA FTD aggiornata rilevata dall'interfaccia utente di FCM:
Informazioni correlate
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
2.0 |
08-May-2023 |
Certificazione |
1.0 |
17-Dec-2016 |
Versione iniziale |
Feedback