Firepower Management Center에서 자동 다운로드 업데이트 실패

소개

이 문서에서는 Cisco Firepower Management Center를 업데이트하는 예약된 작업이 실패할 수 있는 이유를 설명합니다. Cisco Firepower Management Center를 수동 또는 자동으로 업데이트할 수 있습니다. 자동 소프트웨어 업데이트를 수행하려면 Management Center에서 나중에 실행할 예약 작업을 생성할 수 있습니다. 

가능한 실패 이유

네트워크에서 다음 작업 중 하나가 발생할 경우 Firepower Management Center에서 Cisco Download Update Infrastructure에서 업데이트 파일을 다운로드하지 못할 수 있습니다.

• 회사의 보안 정책이 DNS(Domain Name System) 트래픽을 차단합니다.
• Management Center 외부의 컨피그레이션은 다운로드에 영향을 미칩니다. 예를 들어 방화벽 규칙에서는 support.sourcefire.com에 대해 하나의 IP 주소만 허용할 수 있습니다.

주의: Cisco는 로드 밸런싱, 내결함성 및 업타임을 위해 라운드 로빈 DNS를 활용합니다. 따라서 DNS 서버의 IP 주소가 변경될 수 있습니다.

영향

이 방법을 사용하는 경우	작업 항목
자동 다운로드를 위한 시스템 기본 컨피그레이션	필요한 조치 없음
업데이트 파일을 수동으로 다운로드하여 Firepower Management Center에 업로드합니다.	필요한 조치 없음
Cisco 관리 다운로드 업데이트 인프라에 대한 액세스를 필터링하는 방화벽 규칙	해결 방법 준수

• 세 번의 재시도와 다음 예약 실행에 의해 장애가 부분적으로 완화됩니다. 반복된 장애는 방화벽 또는 인프라 중단과 같은 외부 요인을 나타낼 가능성이 있습니다.
• 라운드 로빈 DNS가 도메인 이름에 있으므로, 간헐적인 다운로드 오류가 발생하지 않도록 하려면 단계를 수행해야 합니다.

확인

DNS 설정 확인

Firepower Management Center에서 DNS 서버를 사용하도록 구성되었는지 확인합니다.

주의: Cisco에서는 기본 설정을 유지하는 것이 좋습니다.

Network 섹션 아래의 System > Local > Configuration에서 DNS 설정을 구성할 수 있습니다. Shared Settings(공유 설정) 섹션에서 최대 3개의 DNS 서버를 지정할 수 있습니다.

참고: Configuration 드롭다운 목록에서 DHCP를 선택한 경우 Shared Settings를 수동으로 지정할 수 없습니다.

연결 확인

텔넷, nslookup, dig와 같은 다양한 명령을 사용하여 DNS 서버의 상태와 Firepower Management Center의 DNS 설정을 확인할 수 있습니다. 예를 들면 다음과 같습니다.

telnet support.sourcefire.com 443

nslookup support.sourcefire.com

dig support.sourcefire.com

참고: support.sourcefire.com에 대한 ping이 작동하지 않습니다. 따라서 연결 테스트로 사용해서는 안 됩니다.

어플라이언스에서 지원 사이트에 대한 연결(업데이트 다운로드 등)을 테스트하려면 SSH 또는 직접 콘솔 액세스를 통해 어플라이언스에 로그인하고 다음 명령을 사용할 수 있습니다.

admin@Firepower:~# sudo openssl s_client -connect support.sourcefire.com:443

이 명령은 인증서 협상을 표시하고 포트 80 웹 서버에 대한 텔넷 세션과 동등한 권한을 제공합니다. 다음은 명령 출력의 예입니다.

New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: 44A18130176C9171F50F33A367B55F5CFD10AA0FE87F9C5C1D8A7A7E519C695B
Session-ID-ctx:
Master-Key: D406C5944B9462F1D6CB15D370E884B96B82049300D50E74F9B8332F84786F05C35BF3FD806672630BE26C2218AE5BDE
Key-Arg : None
Start Time: 1398171146
Timeout : 300 (sec)
Verify return code: 0 (ok)
---

이 시점에서는 프롬프트가 없어야 합니다. 그러나 세션이 입력을 기다리고 있으므로 다음 명령을 입력할 수 있습니다.

GET /

지원 사이트 로그인 페이지인 원시 HTML을 수신해야 합니다.

문제 해결

옵션 1: 방화벽에서 고정 IP 주소를 도메인 이름 support.sourcefire.com으로 교체합니다. 고정 IP 주소를 사용해야 하는 경우 이 주소가 올바른지 확인하십시오. 다음은 Firepower 시스템에서 사용하는 다운로드 서버의 세부 정보입니다.

• 도메인: support.sourcefire.com
• 포트: 443/tcp(양방향)
• IP 주소: 50.19.123.95, 50.16.210.129

support.sourcefire.com(라운드 로빈 방식)에서도 사용되는 추가 IP 주소는 다음과 같습니다.

54.221.210.248
54.221.211.1
54.221.212.60
54.221.212.170
54.221.212.241
54.221.213.96
54.221.213.209
54.221.214.25
54.221.214.81

옵션 2: 웹 브라우저로 수동으로 업데이트를 다운로드한 다음 유지 관리 기간 중에 수동으로 설치할 수 있습니다.

옵션 3: DNS 서버에 support.sourcefire.com의 A 레코드를 추가합니다.

관련 문서

• Firepower 시스템에 설치할 수 있는 업데이트 유형
• AMP(Advanced Malware Protection) 작업에 필요한 서버 주소
• Firepower 시스템 작업에 필요한 통신 포트
• 기술 지원 및 문서 − Cisco Systems