在高可用性中升级FMC
简介
本文档介绍在高可用性(HA)中升级安全防火墙管理中心(FMC)环境的步骤。
先决条件
要求
Cisco 建议您了解以下主题:
- 高可用性概念
- 安全FMC配置
使用的组件
本文档中的信息基于虚拟安全FMC 7.1.0版。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
升级一次必须是一个对等体。
首先,暂停对等体之间的同步。
然后,需要首先在备用模式下完成升级,然后再在主用FMC中完成升级。
警告:当备用对等体处理预检查/安装时,两个对等体都切换到活动状态;这称为裂脑。
升级时完全可以预料到。在此期间,不得进行或部署任何配置更改。
如果您进行了任何配置更改,则同步重新启动后可能会丢失配置。
升级前
- 规划升级路径。在FMC部署中,通常先升级FMC,然后升级其受管设备。请始终知道您刚才执行了哪个升级,接下来执行哪个升级。
- 阅读所有升级指南并规划配置更改。
- 检查带宽。确保您的管理网络具有执行大型数据传输所需的带宽。
- 计划维护窗口。
- 在升级前后备份配置。System > Backup / Restore > Firepower Management backup。将备份下载到本地计算机。
- 升级虚拟托管。当您运行较旧版本的VMware时,这是必需的。
- 检查配置。
- 检查NTP同步。
FMC:选择System > Configuration > Time。
设备:使用show time CLI命令。
- 检查磁盘空间。
- 部署配置。在FMC高可用性部署中,您只需从活动对等体进行部署。
- 检查正在运行的任务。确保没有挂起的部署。
升级 程序
步骤1:暂停同步
在活动单元上,导航到FMC上的High Availability选项卡。
系统>集成>高可用性
暂停同步。选择系统和集成
暂停同步。选择高可用性
选择Pause Synchronization。
暂停同步
等待同步暂停。完成时,用户必须处于“暂停”状态。
每个用户的同步状态必须为“暂停”
第二步:上传升级包
登录到备用设备并上传升级包。
System > Updates > Upload Update
上传升级包
浏览之前下载的要升级版本的软件包。
选择升级文件
第三步:就绪性检查
对要升级的设备运行就绪性检查。
点击适当升级软件包旁边的install图标。
安装升级包以进行就绪性检查
选择要检查的设备并单击Check Readiness。
选择检查就绪性
可在消息中心检查进度。
消息>任务>运行
就绪性检查正在进行
完成后,您可以在就绪性检查结果中查看状态。
如果成功,则您可以继续安装软件包。
第四步:安装升级包
选择要升级的设备。单击 Install。
安装升级包
对于裂纹,请单击OK。
有关大脑分裂的警告
可使用Messages > Tasks中检查进度。
监视器安装
注意:完成安装大约需要30分钟。
如果您可以访问CLI,则可以在升级文件夹/var/log/sf中检查进度;转到expert模式并输入root access。
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/Volume/home/admin# cd /var/log/sf/
root@firepower:/var/log/sf# ls
Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4 root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# ls 000_start AQ_UUID DBCheck.log exception.log flags.conf main_upgrade_script.log status.log status.log.202307180405 upgrade_readiness upgrade_status.json upgrade_status.log upgrade_version_build root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# tail -f status.log
升级完成后,FMC重新启动。
ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
ui:[100%] [1 mins to go for reboot] Upgrade complete
ui:[100%] [1 mins to go for reboot] The system will now reboot.
ui:System will now reboot.
Broadcast message from root@firepower (Tue Jul 18 05:08:57 2023):
System will reboot in 5 seconds due to system upgrade.
Broadcast message from root@firepower (Tue Jul 18 05:09:02 2023):
System will reboot now due to system upgrade.
ui:[100%] [1 mins to go for reboot] Installation completed successfully.
ui:Upgrade has completed.
state:finished
Broadcast message from root@firepower (Tue Jul 18 05:09:25 2023):
The system is going down for reboot NOW!重新启动后,物理FMC必须在FMC中显示正确的型号。
GUI > Help > About
FMC中的模型和版本信息
集成>高可用性
仅升级备用FMC时的高可用性摘要
在CLI上,接受EULA后可以检查版本。
Copyright 2004-2023, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Firepower Extensible Operating System (FX-OS) v2.12.0 (build 499)
Cisco Secure Firewall Management Center for VMware v7.2.4 (build 169)
>
> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.2.4 (Build 169)
UUID : 1c71ae24-1e60-11ed-8459-9758e19f1a24
Rules update version : 2023-01-09-001-vrt
LSP version : lsp-rel-20220511-1540
VDB version : 353
----------------------------------------------------第五步:升级活动对等体
第五步:升级活动对等体在主用设备上重复步骤2到步骤4:
- 上传升级包。
-
就绪性检查。
-
安装升级包。
第六步:激活所需的FMC
第六步:激活所需的FMC在两个FMC上完成升级后,登录到想要使主用设备成为主用设备的FMC,并选择使我成为主用设备选项。
集成>高可用性>激活我
激活所需的FMC
有关进程和覆盖备用对等体中完成的任何配置的警告,请选择YES继续。
有关备用对等体上的活动覆盖配置的警告
选择确定
解决裂脑
等待同步重新启动,然后另一个FMC会打开备用模式。
FMC同步
注意:完成同步最多可能需要20分钟。
在FMC主用设备上部署挂起的更改,以完成升级过程。
验证
验证在两个FMC处于相同版本且同步完成之后,HA Summary选项卡必须如下所示:
集成>高可用性
FMC中的升级验证
警告:如果最终同步状态显示降级或其他结果不是“正常”,请与TAC联系。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
2.0 |
31-May-2024 |
已更新替代文本、图像字幕、法律免责声明、拼写和格式。 |
1.0 |
21-Jul-2023 |
初始版本 |
反馈