Threat Defense のアップグレード チェックリスト
計画と実現可能性
誤りを避けるには、注意深い計画と準備が役立ちます。
✓ |
アクション/チェック |
詳細 |
---|---|---|
展開を評価します。 |
状況を理解することにより、目的を達成する方法を決定します。現在のバージョンとモデル情報に加えて、展開が高可用性/拡張性を実現するように設定されているかどうか、デバイスが IPS またはファイアウォールとして展開されているかどうかなどを確認します。 |
|
アップグレードパスを計画します。 |
これは、大規模展開、マルチホップアップグレード、またはオペレーティングシステムまたはホスティング環境をアップグレードする必要がある状況では特に重要です。次を参照してください。 |
|
アップグレードガイドラインを読み、設定の変更を計画します。 |
主要なアップグレードでは特に、アップグレードの前または後に、アップグレードにより重要な設定変更が発生することがあります。リリースノートを使用して開始します。 |
|
アプライアンスへのアクセスを確認します。 |
デバイスは、アップグレード中、またはアップグレードが失敗した場合に、トラフィックを渡すことを停止できます。アップグレードする前に、ユーザーの位置からのトラフィックがデバイスの管理インターフェイスにアクセスするためにデバイス自体を通過する必要がないことを確認してください。 デバイスを経由せずに Management Center の管理インターフェイスにアクセスできる必要もあります。 |
|
帯域幅を確認します。 |
管理ネットワークに大量のデータ転送を実行するための帯域幅があることを確認します。可能な場合は常に、アップグレードパッケージを事前にアップロードしてください。アップグレードパケージをアップグレード時に管理対象デバイスに転送する場合は、帯域幅が不十分だとアップグレード時間が長くなったり、アップグレードがタイムアウトする原因となったりする可能性があります。 『Firepower Management Center から管理対象装置へのデータをダウンロードするためのガイドライン』(トラブルシューティング テクニカルノーツ)を参照してください。 |
|
メンテナンス時間帯をスケジュールします。 |
影響が最小限になるメンテナンス時間帯をスケジュールします。トラフィックフローおよびインスペクションへの影響、およびアップグレードにかかる可能性がある時間を考慮してください。また、この時間帯で実行する必要があるタスクと、事前に実行できるタスクを検討します。 Threat Defense アップグレードのトラフィックフローとインスペクションおよび時間とディスク容量のテストを参照してください。 |
バックアップ
アップグレードの前後に、安全な遠隔地にバックアップし、正常に転送が行われることを確認することを強くお勧めします。
-
アップグレード前:アップグレードが致命的な失敗であった場合は、再イメージ化を実行し、復元する必要がある場合があります。再イメージ化によって、システムパスワードを含むほとんどの設定が工場出荷時の初期状態に戻ります。最近のバックアップがある場合は、通常の操作にすばやく戻ることができます。
-
アップグレード後:これにより、新しくアップグレードされた展開のスナップショットが作成されます。新しい Management Center バックアップファイルがデバイスがアップグレードされたことを「認識」するように、管理対象デバイスをアップグレードした後に Management Center をバックアップしてください。
✓ |
アクション/チェック |
詳細 |
---|---|---|
Threat Defense をバックアップします。 |
サポートされている場合は、Management Center を使用して Threat Defense 構成をバックアップします。Cisco Secure Firewall Management Center アドミニストレーション ガイドの「バックアップ/復元」の章を参照してください。 Firepower 9300 で Threat Defense および ASA 論理デバイスが別のモジュールで実行されている場合、ASDM または ASA CLI を使用して、構成やその他の重要なファイルをバックアップしてください(特に ASA 構成の移行がある場合)。『Cisco ASA Series General Operations Configuration Guide』の「Software and Configurations」の章を参照してください。 |
|
Firepower 4100/9300 の FXOS をバックアップします。 |
Chassis Manager または FXOS CLI を使用して、論理デバイス設定およびプラットフォーム設定を含むシャーシ設定をエクスポートします。 詳細については、『Cisco Firepower 4100/9300 FXOS コンフィギュレーション ガイド』の「コンフィギュレーションのインポート/エクスポート」を参照してください。 |
アップグレードパッケージ
アップグレードパッケージは シスコ サポートおよびダウンロード サイト で入手できます。アップグレードの前にアップグレードパッケージをシステムにアップロードすると、メンテナンス時間が短縮されます。
✓ |
アクション/チェック |
詳細 |
---|---|---|
アップグレードパッケージをアップロードします。 |
Management Center またはデバイスがアクセスできる内部サーバーに Threat Defense アップグレードパッケージをアップロードします。アップグレードパッケージのアップロード を参照してください。 Firepower 4100/9300 の場合、FXOS アップロード手順は FXOS アップグレード手順に含まれています。 |
関連するアップグレード
オペレーティングシステムとホスティング環境のアップグレードはトラフィックフローとインスペクションに影響を与える可能性があるため、メンテナンス時間帯で実行してください。
✓ |
アクション/チェック |
詳細 |
---|---|---|
仮想ホスティングをアップグレードします。 |
必要に応じて、ホスティング環境をアップグレードします。通常、古いバージョンの VMware を実行していて、メジャーアップグレードを実行している場合、アップグレードが必要です。 |
|
Firepower 4100/9300 の FXOS をアップグレードします。 |
FXOS のアップグレードは通常、メジャーアップグレードの要件ですが、メンテナンスリリースやパッチの場合は要件になるのは非常にまれです。トラフィックフローとインスペクションでの中断を防ぐには、Threat Defense 高可用性ペアおよびシャーシ間クラスタの FXOS を一度に 1 つずつアップグレードします。 Firepower 4100/9300 の FXOS アップグレード を参照してください。 |
最終チェック
一連の最終チェックにより、ソフトウェアをアップグレードする準備が整います。
✓ |
アクション/チェック |
詳細 |
---|---|---|
設定を確認します。 |
必要なアップグレード前の設定変更を行っていることを確認し、必要なアップグレード後の設定変更を行う準備をします。 |
|
NTP 同期を確認します。 |
時刻の提供に使用している NTP サーバーとすべてのアプライアンスが同期していることを確認します。時刻のずれが 10 秒を超えている場合、ヘルスモニターからアラートが発行されますが、手動で確認する必要もあります。同期されていないと、アップグレードが失敗する可能性があります。 時刻を確認するには、次の手順を実行します。
|
|
ディスク容量を確認します。 |
ソフトウェアアップグレードに関する ディスク容量チェックを実行します。空きディスク容量が十分でない場合、アップグレードは失敗します。 時間とディスク容量のテスト を参照してください。 |
|
設定を展開します。 |
アップグレードする前に設定を展開すると、失敗する可能性が減少します。これは、トラフィックフローとインスペクションに影響を与える可能性があります。Threat Defense アップグレードのトラフィックフローとインスペクションを参照してください。 |
|
準備状況チェックを実行します。 |
互換性と準備状況のチェックに合格すると、アップグレードが失敗する可能性が低くなります。 Threat Defense のアップグレード準備状況チェックを参照してください。 |
|
実行中のタスクを確認します。 |
重要なタスク(最終展開を含む)が完了していることを確認します。アップグレードの開始時に実行中のタスクは停止し、失敗したタスクとなり、再開できません。 バージョン 6.6.3+ からのアップグレードは、スケジュールされたタスクを自動的に延期します。 アップグレード中に開始するようにスケジュールされたタスクは、アップグレード後の再起動の 5 分後に開始されます。これが起こらないようにするには(または以前のバージョンからアップグレードする場合)、アップグレード中に実行するようにスケジュールされているタスクを確認し、それらをキャンセルまたは延期します。 |