に関するガイドラインと警告 バージョン 6.4.0
このチェックリストには、バージョン 6.4.0 に関する新しい重要なアップグレードガイドラインと警告が含まれています。「以前に公開されたガイドラインと警告」および「一般的なガイドラインと警告」も確認する必要があります。
✓ | ガイドライン | プラットフォーム | アップグレード元 | 直接アップグレード先 |
---|---|---|---|---|
Firepower 1010 デバイス上の EtherChannel で出力トラフィックがブラックホール化される場合がある |
Firepower 1010 |
6.4.0 |
6.4.0.3 ~ 6.4.0.5 |
|
Firepower 4100/9300 |
6.3.0 ~ 6.4.0.x |
6.3.0.1 ~ 6.5.0 |
||
Firepower 7000/8000 シリーズ ASA FirePOWER NGIPSv |
6.2.3 ~ 6.3.0.x |
6.4.0 のみ |
||
Firepower 2100 シリーズ Firepower 4100/9300 |
6.1.0 ~ 6.3.0.x |
6.4.0 以降 |
||
Firepower 4100/9300 |
6.1.0.x |
6.4.0 のみ |
Firepower 1010 デバイス上の EtherChannel で出力トラフィックがブラックホール化される場合がある
展開:FTD を搭載した Firepower 1010
影響を受けるバージョン:バージョン 6.4.0 ~ 6.4.0.5
関連するバグ:CSCvq81354
FTD バージョン 6.4.0 ~ 6.4.0.5 を実行している Firepower 1010 デバイスでは EtherChannel を設定しないことを強くお勧めします(バージョン 6.4.0.1 および 6.4.0.2 はこのモデルではサポートされていないことに注意してください)。
内部トラフィックハッシュの問題により、Firepower 1010 デバイス上の EtherChannel では出力トラフィックがブラックホール化されることがあります。ハッシュは送信元 IP アドレスと宛先 IP アドレスに基づくため、特定の送信元 IP と宛先 IP のペアで一貫性のある動作になります。つまり、一部のトラフィックは常に機能し、一部のトラフィックは常に失敗します。
この問題は、次回の 6.4.0.x パッチで修正される予定です。また、バージョン 6.5.0 でも修正されます。
アップグレードの失敗:コンテナインスタンスのディスク容量不足
展開:FTD を搭載した Firepower 4100/9300
アップグレード元:バージョン 6.3.0 ~ 6.4.0.x
直接アップグレード先:バージョン 6.3.0.1 ~ 6.5.0
多くの場合はメジャーアップグレード時に(場合によってはパッチ適用時に)、コンテナインスタンスを使用して設定された FTD デバイスが、ディスク容量不足のエラーにより事前チェック段階で失敗することがあります。
この問題が発生した場合には、空きディスク容量を増やしてみてください。それでも解決しない場合は、Cisco TAC にお問い合わせください。
アップグレードの失敗:以前のバージョンが 6.2.3.12 の NGIPS デバイス
展開:7000/8000 シリーズ、ASA FirePOWER、NGIPSv
関連するバグ:CSCvp42398
アップグレード元:バージョン 6.2.3 ~ 6.3.0.x
直接アップグレード先:バージョン 6.4.0 のみ
次の場合、NGIPS デバイスをバージョン 6.4.0 にアップグレードすることはできません。
-
デバイスが以前にバージョン 6.2.3.12 を実行していて、その後、次を実行した。
-
バージョン 6.2.3.12 パッチをアンインストールしたか、バージョン 6.3.0.x にアップグレードした。
これには、バージョン 6.2.3.12 パッチをアンインストールしてから、バージョン 6.3.0.x にアップグレードしたシナリオも含まれています。
上記が現在の状況である場合は、Cisco TAC にお問い合わせください。
TLS 暗号化アクセラレーションの有効化/無効にすることは不可
展開:Firepower 2100 シリーズ、Firepower 4100/9300 シャーシ
アップグレード元:バージョン 6.1.0 ~ 6.3.x
直接アップグレード先:バージョン 6.4.0 以降
SSL ハードウェア アクセラレーションは、TLS 暗号化アクセラレーションに名前が変更されました。
デバイスによっては、TLS 暗号化アクセラレーションがソフトウェアまたはハードウェアで実行される場合があります。アップグレードでは、この機能を手動で無効にした場合でも、すべての対象デバイスでアクセラレーションが自動的に有効になります。ほとんどの場合、この機能を設定することはできません。この機能は自動的に有効になり、無効にすることはできません。
バージョン 6.4.0 へのアップグレード: Firepower 4100/9300 シャーシのマルチインスタンス機能を使用している場合は、FXOS CLI を使用して、モジュール/セキュリティエンジンごとに、1 つのコンテナインスタンスに対して TLS 暗号アクセラレーションを有効にすることができます。他のコンテナインスタンスに対してアクセラレーションは無効になっていますが、ネイティブインスタンスには有効になっています。
バージョン 6.5.0 以降へのアップグレード:Firepower 4100/9300 シャーシのマルチインスタンス機能を使用している場合は、FXOS CLI を使用して、Firepower 4100/9300 シャーシ上の複数のコンテナインスタンス(最大 16 個)に対して TLS 暗号アクセラレーションを有効にすることができます。新しいインスタンスでは、この機能がデフォルトで有効になっています。ただし、アップグレードによって既存のインスタンスのアクセラレーションが有効になることは「ありません」。代わりに、 config hwCrypto enable CLI コマンドを使用してください。
Firepower 4100/9300 のアップグレードにはバージョン 6.2.0 が必要
展開:FTD を搭載した Firepower 4100/9300
アップグレード元:バージョン 6.1.x
直接アップグレード先:バージョン 6.4.0 のみ
他の FMC 管理対象デバイスとは異なり、Firepower 4100/9300 シリーズ デバイスでは、Firepower Threat Defense ソフトウェアをバージョン 6.1 から 6.4 に直接アップグレードすることはできません。これは、FXOS 2.6.1 は FTD バージョン 6.1 と互換性がないが、バージョン 6.4 では必要であるからです。
FXOS 2.3.1 では中間バージョンとしてバージョン 6.2.3 を使用することを推奨します。FXOS を最初にアップグレードする必要があることに注意してください。バージョン 6.3 を中間リリースとして使用しないでください。『Firepower ReleaseNotes, Version 6.3.0』のガイドラインと警告を参照してください。