Firepower Management Center 用Cisco Firepower Threat Defense アップグレードガイド(バージョン7.1)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Firepower Management Center 用Cisco Firepower Threat Defense アップグレードガイド(バージョン7.1)

Chapter Title

アップグレードを元に戻すまたはアンインストールする

検索結果

Updated:
2023年7月19日

章のタイトル: アップグレードを元に戻すまたはアンインストールする

アップグレードを元に戻すまたはアンインストールする

アップグレードに成功したにもかかわらず、システムが期待どおりに機能しない場合は、復元またはアンインストールが可能な場合があります。

  • メジャーおよびメンテナンスアップグレードの FTD への復元がサポートされています。

  • アンインストールは、FTD へのパッチと FMC へのパッチでサポートされています。

これが機能せず、以前のバージョンに戻す必要がある場合、イメージを再作成する必要があります。

Threat Defense の復元

FTD を復元すると、ソフトウェアは、最後のメジャーアップグレードまたはメンテナンスアップグレードの直前の状態に戻ります。パッチ適用後に復元すると、パッチも必然的に削除されます。システムが復元スナップショットを保存できるように、デバイスをアップグレードするときに復元を有効にする必要があります。

FTD の復元について

元に戻る設定

次の設定が元に戻ります。

  • Snort バージョン。

  • デバイス固有の設定。

    一般的なデバイス設定、ルーティング、インターフェース、インラインセット、DHCP、SNMPなど、[デバイス(Devices)] > [デバイス管理(Device Management)]ページで設定するものすべて。

  • デバイス固有の設定で使用されるオブジェクト。

    アクセスリスト、AS パス、キーチェーン、インターフェイス、ネットワーク、ポート、ルートマップ、SLA モニターオブジェクトなどが含まれます。デバイスのアップグレード後にこれらのオブジェクトを編集した場合、システムは新しいオブジェクトを作成するか、元に戻されたデバイスが使用するオブジェクトのオーバーライドを設定します。これにより、他のデバイスは現在の設定に従ってトラフィックを処理し続けることができます。

    復元に成功したら、復元したデバイスで使用されているオブジェクトを調べ、必要な調整を行うことをお勧めします。

元に戻されない設定

次の設定は元に戻りません。

  • 複数のデバイスで使用できる共有ポリシー。たとえば、プラットフォーム設定やアクセス コントロール ポリシーなどです。

    正常に元に戻されたデバイスは期限切れとしてマークされているため、設定を再展開する必要があります。

  • Firepower 4100/9300 の場合、Firepower Chassis Manager または FXOS CLI を使用して行ったインターフェイスの変更。

    復元に成功した後にインターフェイスの変更を同期します。

  • Firepower 4100/9300 の場合、FXOS およびファームウェア。

    推奨される FXOS と FTD の組み合わせを実行する必要がある場合は、完全な再イメージ化が必要になる場合があります。FTD の復元ガイドラインを参照してください。

FTD の復元ガイドライン

システム要件

FTD を復元するには、デバイスと FMC にバージョン 7.1 以降が必要です。たとえば、バージョン 7.1 の FMC はデバイスをバージョン 6.5 までさかのぼって管理でき、そのバージョン 7.1 の FMC を使用してデバイスを中間バージョン(6.6、6.7、7.0)までアップグレードできる場合であっても、デバイスをバージョン 7.1 にアップグレードするまで、復元はサポートされません。

以下では復元機能はサポートされていません。

  • パッチとホットフィックス

  • FTD コンテナインスタンス

  • FMC

高可用性またはクラスタ化デバイスの復元

FMC Web インターフェイスを使用して FTD を復元する場合、個々の高可用性ユニットまたはクラスタ化されたノードを選択することはできません。 システムは、それらを自動的に同時に復元します。つまり、復元中のトラフィックフローとインスペクションの中断は、すべてのデバイスがスタンドアロンであるかのように、インターフェイス設定に依存します。

完全または部分的にアップグレードされたグループで復元がサポートされていることに注意してください。部分的にアップグレードされたグループの場合、システムはアップグレードされたユニットとノードからのみアップグレードを削除します。元に戻しても高可用性やクラスタが壊れることはありませんが、グループを分解してその新しいスタンドアロンデバイスを復元することができます。

復元しても FXOS はダウングレードされない

Firepower 4100/9300 の場合、FTD のメジャーバージョンには特別に認定および推奨されている付随の FXOS バージョンがあります。FTD の以前のバージョンに戻った後、推奨されていないバージョンの FXOS(新しすぎる)を実行している可能性があります。

新しいバージョンの FXOS は旧バージョンの FTD と下位互換性がありますが、シスコでは推奨の組み合わせについて拡張テストを実施しています。FXOS を手動ではダウングレードできないため、このような状況下で推奨の組み合わせを稼働するには、完全な再イメージ化が必要になります。

復元を妨げるシナリオ

次のいずれかの状況で復元を試みると、システムはエラーを表示します。

表 1. 復元を妨げるシナリオ

シナリオ

解決方法

FMC とデバイス間の通信が中断されます。

FTD を復元するには FMC を使用する必要があります。デバイス CLI は使用できません。

次の理由により、スナップショットを復元することはできません。

  • デバイスをアップグレードしたときに、復元を有効にしていませんでした。

  • FMC またはデバイスからスナップショットを削除したか、スナップショットの期限が切れました。

  • 別の FMC でデバイスをアップグレードしました。

なし。

アップグレード完了後に元に戻す必要が生じる可能性がある場合は、システム[システム歯車(system gear}] アイコン > [更新(Updates)] を使用して FTD をアップグレードします。これは、[アップグレードの成功後に復元を有効にする(Enable revert after successful upgrade)] オプション()を設定する唯一の方法であり、Threat Defense のアップグレードウィザードを使用するという通常の推奨事項とは対照的です。

復元スナップショットは、FMC デバイスに 30 日間保存され、その後自動的に削除され、復元できなくなります。ディスク容量を節約するためにどのアプライアンスからでもスナップショットを手動で削除できますが、復元の機能が失われます。

最後のアップグレードに失敗しました。

アップグレードをキャンセルして、デバイスをアップグレード前の状態に戻します。または、問題を修正して再試行してください。

復元は、アップグレードは成功したものの、アップグレードされたシステムが期待どおりに機能しない場合に使用します。復元は、失敗または進行中のアップグレードをキャンセルすることとは異なります。元に戻すこともキャンセルすることもできない場合は、イメージを再作成する必要があります。

アップグレード以降に、管理アクセスインターフェイスが変更されています。

元に戻して、もう一度お試しください。

クラスタのユニットが異なるバージョンからアップグレードされました。

すべて一致するまでユニットを削除し、クラスタメンバーを調整してから、小さなクラスタを復元します。新しくスタンドアロンユニットを復元することもできます。

クラスタでのアップグレード後に 1 つ以上のユニットがクラスタに追加されました。

新しいユニットを削除し、クラスタメンバーを調整してから、小さなクラスタを復元します。新しくスタンドアロンユニットを復元することもできます。

クラスタで FMC と FXOS が異なる数のクラスタユニットを識別しています。

クラスタメンバーを調整して再試行しますが、すべてのユニットを復元することはできない場合があります。

FMC を使用して FTD を復元する

FTD を復元するには FMC を使用する必要があります。デバイス CLI は使用できません。

Threat Defense の履歴:

  • 7.1:初期サポート。

始める前に

  • 復元がサポートされていることを確認してください。ガイドラインを読んで理解してください。

  • 安全な外部の場所にバックアップします。復元に失敗した場合、再イメージ化が必要になることがあります。再イメージ化を行うと、ほとんどの設定が工場出荷時の状態に戻ります。

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)]を選択します。

ステップ 2

復元するデバイスの横にある その他[その他(More)] アイコン をクリックして、[アップグレードの復元(Revert Upgrade)] を選択します。

ハイ アベイラビリティペアとクラスタを除き、複数のデバイスを選択して復元することはできません。

ステップ 3

復元して再起動することを確認します。

復元中のトラフィックフローとインスペクションの中断は、すべてのデバイスがスタンドアロンであるかのように、インターフェイス設定に依存します。 これは、高可用性/スケーラビリティ展開であっても、システムがすべてのユニットを同時に復元するためです。

ステップ 4

復元の進行状況を監視します。

高可用性/スケーラビリティ展開では、最初のユニットがオンラインに戻ると、トラフィックフローとインスペクションが再開されます。数分間にわたり進展がない場合、または復元が失敗したことを示している場合は、Cisco TAC にお問い合わせください。

ステップ 5

復元が成功したことを確認します。

復元が完了したら、[デバイス(Devices)] > [デバイス管理(Device Management)] を選択し、復元したデバイスのソフトウェアバージョンが正しいことを確認します。

ステップ 6

(Firepower 4100/9300)Firepower Chassis Manager または FXOS CLI を使用して、FTD 論理デバイスに加えたインターフェイスの変更を同期します。

FMC[デバイス(Devices)] > [デバイス管理(Device Management)] を選択し、デバイスを編集して [同期(Sync)] をクリックします。

ステップ 7

その他に必要となる復元後の構成変更を完了します。

たとえば、デバイスのアップグレード後にデバイス固有の設定で使用されるオブジェクトを編集した場合、システムは新しいオブジェクトを作成するか、復元されたデバイスが使用するオブジェクトのオーバーライドを設定します。復元したデバイスで使用されるオブジェクトを調べ、必要な調整を行うことをお勧めします。

ステップ 8

復元したデバイスに構成を再度展開します。

正常に復元されたデバイスは期限切れとしてマークされます。デバイスは古いバージョンを実行することになるため、展開が成功した後でも、新しい構成がサポートされない場合があります。

パッチのアンインストール

パッチをアンインストールするとアップグレード前のバージョンに戻り、設定は変更されません。FMC では、管理対象デバイスと同じかより新しいバージョンを実行する必要があるため、最初にデバイスからパッチをアンインストールします。アンインストールは、ホットフィックスではサポートされていません。

アンインストールに対応するパッチ

特定のパッチをアンインストールすると、アンインストールが成功した場合でも、問題が発生する可能性があります。次のような問題があります。

  • アンインストール後に設定変更を展開できない

  • オペレーティングシステムと ソフトウェアの間に互換性がなくなる

  • セキュリティ認定コンプライアンスが有効な状態(CC/UCAPL モード)でそのパッチが適用されていた場合、アプライアンスの再起動時に FSIC(ファイル システム整合性チェック)が失敗する


注意    

セキュリティ認定の遵守が有効な場合に FSIC が失敗すると、ソフトウェアは起動せず、リモート SSH アクセスが無効になるため、ローカルコンソールを介してのみアプライアンスにアクセスできます。この問題が発生した場合は、Cisco TACにお問い合わせください。

アンインストールに対応したバージョン 7.1 のパッチ

現在、すべてのバージョン 7.1 パッチがアンインストールに対応しています。

アンインストールに対応したバージョン 6.7 のパッチ

現在、すべてのバージョン 6.7 パッチがアンインストールに対応しています。

高可用性/拡張性のアンインストール順序

高可用性/拡張性の展開では、一度に 1 つのアプライアンスからアンインストールすることで中断を最小限に抑えます。アップグレードとは異なり、システムはこの操作を行いません。次に移る前に、パッチが 1 つのユニットから完全にアンインストールされるまで待ちます。

表 2. FMC 高可用性のアンインストール順序

設定

アンインストール順序

FMC ハイ アベイラビリティ

同期を一時停止した状態(「スプリットブレイン」と呼びます)で、ピアから一度に 1 つずつアンインストールします。ペアが split-brain の状況で、構成の変更または展開を行わないでください。

  1. 同期を一時停止します(スプリットブレインに移行します)。

  2. スタンバイからアンインストールします。

  3. アクティブからアンインストールします。

  4. 同期を再開します(スプリットブレインから抜けます)。
表 3. FTD 高可用性およびクラスタのアンインストール順序

設定

アンインストール順序

FTD ハイ アベイラビリティ

ハイ アベイラビリティ用に設定されたデバイスからパッチをアンインストールすることはできません。先にハイ アベイラビリティを解除する必要があります。

  1. ハイ アベイラビリティを解除します。

  2. 以前のスタンバイからアンインストールします。

  3. 以前のアクティブからアンインストールします。

  4. ハイ アベイラビリティを再確立します。

FTD クラスタ

一度に 1 つのユニットからアンインストールし、制御ユニットを最後に残します。クラスタ化されたユニットは、パッチのアンインストール中はメンテナンス モードで動作します。

  1. データモジュールから一度に 1 つずつアンインストールします。

  2. データモジュールの 1 つを新しい制御モジュールに設定します。

  3. 以前のコントロールからアンインストールします。

Threat Defense パッチのアンインストール

Linux シェル(エキスパートモード)を使用してパッチをアンインストールします。デバイスの admin ユーザーとして、または CLI 設定アクセス権を持つ別のローカル ユーザーとして、デバイス シェルにアクセスできる必要があります。FMC ユーザーアカウントは使用できません。 シェルアクセスを無効にした場合は、 ロックダウンを元に戻すために Cisco TAC にご連絡ください。


注意    

アンインストール中に設定の変更を行ったり、展開したりしないでください。システムが非アクティブに見えても、進行中のアンインストールを手動で再起動、シャットダウン、または再起動しないでください。システムが使用できない状態になり、再イメージ化が必要になる場合があります。アンインストールに失敗する、アプライアンスが応答しないなど、アンインストールで問題が発生した場合には、Cisco TAC にお問い合わせください。

始める前に

手順

ステップ 1

デバイスの設定が古い場合は、この時点で FMC から展開します。

アンインストールする前に展開すると、失敗する可能性が減少します。展開とその他の必須のタスクが完了していることを確認してください。アンインストールの開始時に実行中だったタスクは停止され、失敗したタスクとなって再開できなくなります。後で失敗ステータス メッセージを手動で削除できます。

ステップ 2

デバイスの FTD CLI にアクセスします。admin として、または設定アクセス権を持つ別の CLI ユーザーとしてログインします。

デバイスの管理インターフェイスに SSH 接続するか(ホスト名または IP アドレス)、コンソールを使用できます。コンソールを使用する場合、一部のデバイスではデフォルトでオペレーティングシステムの CLI に設定されていて、FTD CLI にアクセスする場合は、次の表に示すような、追加の手順が必要になります。

Firepower 1000 シリーズ

connect ftd

Firepower 2100 シリーズ

connect ftd

Secure Firewall 3100 シリーズ

connect ftd

Firepower 4100/9300

connect module slot_number console、次に connect ftd(最初のログインのみ)

ステップ 3

expert コマンドを使用して Linux シェルにアクセスします。

ステップ 4

アップグレードディレクトリにアンインストールパッケージがあることを確認します。

ls /var/sf/updates

パッチのアンインストーラには、アップグレードパッケージと同様に名前が付けられていますが、ファイル名には Patch ではなく Patch_Uninstaller が含まれています。デバイスにパッチを適用すると、そのパッチ用のアンインストーラがアップグレードディレクトリに自動的に作成されます。アンインストーラがない場合は、Cisco TAC までお問い合わせください。

ステップ 5

uninstall コマンドを実行し、プロンプトが表示されたらパスワードを入力します。

sudo install_update.pl --detach /var/sf/updates/uninstaller_name

注意    

 

確認を求められることはありません。このコマンドを入力すると、デバイスの再起動を含むアンインストールが開始されます。アンインストール時のトラフィック フローとインスペクションの中断は、アップグレード時に発生する中断と同じです。準備が整っていることを確認してください。--detach オプションを使用すると、SSH セッションがタイムアウトした場合にアンインストールプロセスが強制終了されなくなり、デバイスが不安定な状態になる可能性があることに注意してください。

ステップ 6

ログアウトするまでアンインストールを監視します。

個別のアンインストールの場合は、tailtailf を使用してログを表示します。

tail /ngfw/var/log/sf/update.status

それ以外の場合は、コンソールか端末で進行状況を監視します。

ステップ 7

アンインストールが成功したことを確認します。

アンインストールが完了したら、デバイスのソフトウェアバージョンが正しいことを確認します。FMC で、[デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。

ステップ 8

高可用性/スケーラビリティの展開では、ユニットごとに手順 2 から 6 を繰り返します。

クラスタの場合、制御ユニットからアンインストールしないでください。すべてのデータユニットからアンインストールしたら、そのうちの 1 つを新しい制御ユニットに設定し、以前の制御ユニットからアンインストールします。

ステップ 9

構成を再展開します。

例外:複数のバージョンが構成されている高可用性ペアまたはデバイスクラスタには展開しないでください。展開は最初のデバイスからアンインストールする前に行いますが、すべてのグループメンバーからパッチのアンインストールを終えるまでは再度展開しないでください。

次のタスク

  • 高可用性については、高可用性を再確立します。

  • クラスタについては、特定のデバイスに優先するロールがある場合は、それらの変更をすぐに行います。

スタンドアロン FMC パッチのアンインストール

FMC パッチのアンインストールには Web インターフェイスを使用することをお勧めします。Web インターフェイスを使用できない場合は、Linux シェルを、シェルの admin ユーザーまたはシェル アクセス権を持つ外部ユーザーのどちらかとして 使用できます。シェルアクセスを無効にした場合は、 ロックダウンを元に戻すために Cisco TAC にご連絡ください。


注意    

アンインストール中に設定の変更を行ったり、展開したりしないでください。システムが非アクティブに見えても、進行中のアンインストールを手動で再起動、シャットダウン、または再起動しないでください。システムが使用できない状態になり、再イメージ化が必要になる場合があります。アンインストールに失敗する、アプライアンスが応答しないなど、アンインストールで問題が発生した場合には、Cisco TAC にお問い合わせください。

始める前に

  • アンインストールによって FMC のパッチレベルが管理対象デバイスより低くなる場合は、最初にデバイスからパッチをアンインストールします。

  • 正常に展開され、通信が確立されていることを確認します。

手順

ステップ 1

構成が古い管理対象デバイスに展開します。

アンインストールする前に展開すると、失敗する可能性が減少します。

ステップ 2

[利用可能なアップデート(Available Updates)] で該当するアンインストールパッケージの横にある [インストール(Install)] アイコンをクリックして、FMC を選択します。

パッチのアンインストーラには、アップグレードパッケージと同様に名前が付けられていますが、ファイル名には Patch ではなく Patch_Uninstaller が含まれています。FMC にパッチを適用すると、そのパッチ用のアンインストーラが自動的に作成されます。アンインストーラがない場合は、Cisco TAC までお問い合わせください。

ステップ 3

[インストール(Install)] をクリックしてから、アンインストールすることを確認して再起動します。

ログアウトするまで、メッセージセンターでアンインストールの進行状況を確認します。

ステップ 4

可能なときに再度ログインし、アンインストールが成功したことを確認します。

ログイン時にアンインストールの成功メッセージが表示されない場合は、[ヘルプ(Help)] > [バージョン情報(About)] の順に選択して、現在のソフトウェアのバージョン情報を表示します。

ステップ 5

管理対象デバイスに構成を再展開します。

高可用性 FMC パッチのアンインストール

FMC パッチのアンインストールには Web インターフェイスを使用することをお勧めします。Web インターフェイスを使用できない場合は、Linux シェルを、シェルの admin ユーザーまたはシェル アクセス権を持つ外部ユーザーのどちらかとして 使用できます。シェルアクセスを無効にした場合は、 ロックダウンを元に戻すために Cisco TAC にご連絡ください。

高可用性ピアから一度に 1 つずつアンインストールします。同期を一時停止した状態で、先にスタンバイからアンインストールし、次にアクティブからアンインストールします。スタンバイでアンインストールが開始されると、ステータスがスタンバイからアクティブに切り替わり、両方のピアがアクティブになります。この一時的な状態のことを「スプリットブレイン」と呼び、アップグレード中とアンインストール中を除き、サポートされていません。


注意    

ペアが split-brain の状況で、構成の変更または展開を行わないでください。同期の再開後は変更内容が失われます。 アンインストール中に設定の変更を行ったり、展開したりしないでください。システムが非アクティブに見えても、進行中のアンインストールを手動で再起動、シャットダウン、または再起動しないでください。システムが使用できない状態になり、再イメージ化が必要になる場合があります。アンインストールに失敗する、アプライアンスが応答しないなど、アンインストールで問題が発生した場合には、Cisco TAC にお問い合わせください。

始める前に

  • アンインストールによって FMC のパッチレベルが管理対象デバイスより低くなる場合は、最初にデバイスからパッチをアンインストールします。

  • 正常に展開され、通信が確立されていることを確認します。

手順

ステップ 1

アクティブな FMC で、構成が古い管理対象デバイスに展開します。

アンインストールする前に展開すると、失敗する可能性が減少します。

ステップ 2

アクティブ状態の FMC で、同期を一時停止します。

  1. [システム(System)] > [統合(Integration)] の順に選択します。

  2. [ハイ アベイラビリティ(High Availability)] タブで、[同期の一時停止(Pause Synchronization)] をクリックします。

ステップ 3

ピアからパッチを一度に 1 つずつアンインストールします。先にスタンバイで行い、次はアクティブで行います。

スタンドアロン FMC パッチのアンインストール」の手順に従います。ただし、初期の展開は省略し、各ピアでアンインストールが成功したことを確認したら停止します。要約すると、各ピアで次の手順を実行します。

  1. [システム(System)] > [更新(Updates)] ページで、パッチをアンインストールします。

  2. ログアウトするまで進行状況を確認し、ログインできる状態になったら再びログインします。

  3. アンインストールが成功したことを確認します。

ステップ 4

アクティブ ピアにする FMC で、同期を再開します。

  1. [システム(System)] > [統合(Integration)] の順に選択します。

  2. [ハイ アベイラビリティ(High Availability)] タブで、[アクティブにする(Make-Me-Active)] をクリックします。

  3. 同期が再開し、その他の FMC がスタンバイ モードに切り替わるまで待ちます。

ステップ 5

管理対象デバイスに構成を再展開します。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ