firepowerアプライアンスでのFTD HAペアのアップグレード
はじめに
このドキュメントでは、Firepowerアプライアンスのハイアベイラビリティ(HA)モードでのFirepower Threat Defense(FTD)のアップグレードプロセスについて説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Firepower Management Center(FMC)
- FTD
- Firepowerアプライアンス(FXOS)
使用するコンポーネント
- FPR4150 X 2
- 1 X FS4000
- PC X 1
アップグレード前のソフトウェアイメージのバージョン
- FMC 6.1.0-330
- FTD プライマリ 6.1.0-330
- FTD セカンダリ 6.1.0-330
- FXOS プライマリ 2.0.1-37
- FXOS セカンダリ 2.0.1-37
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
ネットワーク図
アクション プラン
作業1:前提条件の確認
タスク2:FMCおよびSSPへのイメージのアップロード
タスク3:最初のFXOSシャーシのアップグレード(2.0.1-37 -> 2.0.1-86)
タスク4:FTDフェールオーバーの切り替え
タスク5:2番目のFXOSシャーシのアップグレード(2.0.1-37 -> 2.0.1-86)
タスク6:FMCのアップグレード(6.1.0-330 -> 6.1.0.1)
タスク7:FTD HAペアのアップグレード(6.1.0-330 -> 6.1.0.1)
タスク8:FMCからFTD HAペアへのポリシーの導入
タスク 1.前提条件の確認
次の間の互換性を確認するには、『FXOS Compatibility Guide』を参照してください。
- ターゲット FTD ソフトウェア バージョンと FXOS ソフトウェア バージョン
- Firepower HW プラットフォームと FXOS ソフトウェア バージョン
CiscoFirepower4100/9300 FXOSの互換性
FXOSのアップグレードパスを確認するには、ターゲットバージョンのFXOSリリースノートを確認します。
CiscoFirepower4100/9300 FXOSリリースノート、2.0(1)
FTDのアップグレードパスを確認するには、FTDターゲットバージョンのリリースノートを参照してください。
Firepower システム リリース ノート、バージョン 6.0.1.2
タスク 2.ソフトウェアイメージのアップロード
2つのFCMで、FXOSイメージ(fxos-k9.2.0.1.86.SPA)をアップロードします。
FMCで、FMCとFTDのアップグレードパッケージをアップロードします。
- FMCのアップグレード:Sourcefire_3D_Defense_Center_S3_Patch-6.1.0.1-53.sh
- FTDのアップグレード:Cisco_FTD_SSP_Patch-6.1.0.1-53.sh
タスク 3.最初のFXOSシャーシのアップグレード
アップグレード前:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
FXOS アップグレードを開始します。
FXOSのアップグレードには、シャーシのリブートが必要です。
FXOS CLI から FXOS アップグレードをモニタできます。3つのコンポーネント(FPRM、ファブリックインターコネクト、およびシャーシ)はすべてアップグレードする必要があります。
FPR4100-4-A# scope system
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
約5分後に、FPRMコンポーネントのアップグレードが完了します。
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
約10分後に、FXOSアップグレードプロセスの一部として、Firepowerデバイスが再起動します。
Please stand by while rebooting the system...
... Restarting system.
再起動後にアップグレード プロセスが再開します。
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
合計で約30分が経過すると、FXOSのアップグレードが完了します。
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.86),2.0(1.37)
Upgrade-Status: Ready
タスク 4. FTD フェールオーバーの状態のスワップ
フェールオーバーの状態を切り替える前に、シャーシのFTDモジュールが完全にUPになっていることを確認します。
FPR4100-4-A# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 15:08:47 UTC Dec 17 2016
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Primary - Active
Active time: 5163 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 65 0 68 4
sys cmd 65 0 65 0
...
FTD フェールオーバーの状態をスワップします。アクティブな FTD CLI から次のコマンドを入力します。
> no failover active
Switching to Standby
>
タスク 5.2つ目のFXOSシャーシのアップグレード
タスク2と同様に、新しいスタンバイFTDがインストールされているFXOSアプライアンスをアップグレードします。この処理には約30分以上かかります。
タスク 6.FMC ソフトウェアのアップグレード
このシナリオでは、FMC を 6.1.0-330 から 6.1.0.1 にアップグレードします。
タスク 7.FTD HA ペアのアップグレード
アップグレード前:
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 15:51:08 UTC Dec 17 2016
This host: Primary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Active
Active time: 1724 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 6 0 9 0
sys cmd 6 0 6 0
...
FMCのSystem > Updatesメニューから、FTD HAアップグレードプロセスを開始します。
まず、プライマリ/スタンバイFTDがアップグレードされます。
スタンバイ FTD モジュールが新しいイメージでリブートされます。
FXOS BootCLI モードから FTD のステータスを確認できます。
FPR4100-3-A# connect module 1 console Firepower-module1> show services status Services currently running: Feature | Instance ID | State | Up Since ----------------------------------------------------------- ftd | 001_JAD201200R4WLYCWO6 | RUNNING | :00:00:33
セカンダリ/アクティブFTD CLIは、FTDモジュール間のソフトウェアバージョンの不一致による警告メッセージを表示します。
firepower# ************WARNING****WARNING****WARNING******************************** Mate version 9.6(2) is not identical with ours 9.6(2)4 ************WARNING****WARNING****WARNING******************************** Beginning configuration replication: Sending to mate. End Configuration Replication to mate
FMC には、FTD デバイスが正常にアップグレードされたことが表示されます。
セカンダリ FTD モジュールのアップグレードが開始されます。
プロセスの最後に、FTDは新しいイメージでブートします。
バックグラウンドでは、FMCは内部ユーザenable_1を使用してFTDフェールオーバー状態をスワップし、FTDからフェールオーバー設定を一時的に削除します。
firepower# show logging Dec 17 2016 16:40:14: %ASA-5-111008: User 'enable_1' executed the 'no failover active' command. Dec 17 2016 16:40:14: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'no failover active' Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'clear configure failover' command. Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'clear configure failover' Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'copy /noconfirm running-config disk0:/modified-config.cfg' command. Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'copy /noconfirm running-config
disk0:/modified-config.cfg' firepower# Switching to Standby firepower#
この場合、FTDのアップグレード全体(両方のユニット)に約30分かかりました。
検証
次の例は、プライマリFTDデバイスからのFTD CLIの検証を示しています。
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 16:40:14 UTC Dec 17 2016
This host: Primary - Active
Active time: 1159 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 68 0 67 0
...
>
次の例は、セカンダリ/スタンバイFTDデバイスからのFTD CLIの検証を示しています。
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 16:52:43 UTC Dec 17 2016
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Primary - Active
Active time: 1169 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 38 0 41 0
...
>
タスク 8.FTD HA ペアへのポリシーの展開
アップグレードが完了したら、HAペアにポリシーを導入する必要があります。FMC UI にその旨が表示されます。
ポリシーを展開します。
検証
FMC UI に表示されたアップグレード済みの HTD HA ペア:
FCM UI に表示されたアップグレード済みの FTD HA ペア:
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
08-May-2023 |
再認定 |
1.0 |
17-Dec-2016 |
初版 |
フィードバック