步骤 1 |
通过控制台端口(首选)或使用 SSH,连接到辅助 设备上的 FXOS CLI。
|
步骤 2 |
使两个故障切换组在主设备上均处于活动状态。
-
使用控制台连接或 Telnet 连接来连接至模块 CLI。
connect module slot_number { console | telnet}
要连接至不支持多个安全模块的设备的安全引擎,请使用 1 作为 slot_number 。
Firepower# connect module 1 console
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'.
CISCO Serial Over LAN:
Close Network Connection to Exit
Firepower-module1>
-
连接到应用控制台。
Firepower-module1> connect asa
Connecting to asa(asa1) console... hit Ctrl + A + D to return to bootCLI
[...]
asa>
-
使两个故障切换组在主设备上均处于活动状态。
no failover active group 1
no failover active group 2
asa> enable
Password: <blank>
asa# no failover active group 1
asa# no failover active group 2
|
步骤 3 |
退出应用控制台到 FXOS 模块 CLI。
|
步骤 4 |
返回 FXOS CLI 的管理引擎层。
-
输入 ~
-
要退出 Telnet 应用,请输入:
-
输入 Ctrl-], .
|
步骤 5 |
在包含辅助 ASA 逻辑设备的 Firepower 安全设备上,下载新的 FXOS 平台捆绑包映像和 ASA 软件映像:
-
连接到 FXOS CLI。
-
进入固件模式:
-
下载 FXOS 平台捆绑包软件映像:
download image URL
使用以下语法之一,为正在导入的文件指定 URL:
-
ftp://用户名@服务器/ 路径/ image_name
-
scp://用户名@服务器/ 路径/ image_name
-
sftp://用户名@服务器/ 路径/ image_name
-
tftp://服务器: 端口号/ 路径/ image_name
-
要监控下载过程,请执行以下操作:
scope download-task image_name
show detail
以下示例使用 SCP 协议复制映像:
Firepower-chassis # scope firmware
Firepower-chassis /firmware # download image scp://user@192.168.1.1/images/fxos-k9.2.3.1.58.SPA
Firepower-chassis /firmware # scope download-task fxos-k9.2.3.1.58.SPA
Firepower-chassis /firmware/download-task # show detail
Download task:
File Name: fxos-k9.2.3.1.58.SPA
Protocol: scp
Server: 192.168.1.1
Userid:
Path:
Downloaded Image Size (KB): 853688
State: Downloading
Current Task: downloading image fxos-k9.2.3.1.58.SPA from 192.168.1.1(FSM-STAGE:sam:dme:FirmwareDownloaderDownload:Local)
|
步骤 6 |
成功下载新的 FXOS 平台捆绑包映像后,升级 FXOS 捆绑包:
-
如有必要,请返回到固件模式:
-
记下要安装的 FXOS 平台捆绑包的版本号:
-
进入自动安装模式:
-
安装 FXOS 平台捆绑包:
install platform platform-vers version_number
version_number 是您要安装的 FXOS 平台捆绑包的版本号,例如 2.3(1.58)。
-
系统将首先验证想要安装的软件包。它会告知您当前已安装的应用程序与指定的 FXOS 平台软件包之间的所有不兼容问题。此外,它还会警告您,在升级过程中,任何现有会话都将终止,系统将需要重启。只要 ASA 版本在兼容性表中列为可升级版本,就可以忽略这些警告。
-
输入 yes 确认您想要继续安装,或者输入 no 取消安装。
-
要监控升级流程,请参阅监控升级进度:
|
步骤 7 |
成功升级所有组件后,验证安全模块/安全引擎和任何已安装的应用程序的状态(请参阅确认安装)。
|
步骤 8 |
将新的 ASA 软件映像下载到机箱:
-
进入安全服务模式:
-
进入应用软件模式:
-
下载逻辑设备软件映像:
download image URL
使用以下语法之一,为正在导入的文件指定 URL:
-
ftp://用户名@服务器/路径
-
scp://用户名@服务器/路径
-
sftp://用户名@服务器/路径
-
tftp://服务器:端口号/路径
-
要监控下载过程,请执行以下操作:
-
要查看已下载的应用,请执行以下操作:
up
show app
记下您下载的软件包的 ASA 版本。在后面的步骤中,您将需要使用准确的版本字符串来启用应用程序。
以下示例使用 SCP 协议复制映像:
Firepower-chassis # scope ssa
Firepower-chassis /ssa # scope app-software
Firepower-chassis /ssa/app-software # download image scp://user@192.168.1.1/images/cisco-asa.9.4.1.65.csp
Firepower-chassis /ssa/app-software # show download-task
Downloads for Application Software:
File Name Protocol Server Userid State
------------------------------ ---------- -------------------- --------------- -----
cisco-asa.9.4.1.65.csp Scp 192.168.1.1 user Downloaded
Firepower-chassis /ssa/app-software # up
Firepower-chassis /ssa # show app
Application:
Name Version Description Author Deploy Type CSP Type Is Default App
---------- ---------- ----------- ---------- ----------- ----------- --------------
asa 9.4.1.41 N/A Native Application No
asa 9.4.1.65 N/A Native Application Yes
|
步骤 9 |
升级 ASA 逻辑设备映像:
-
进入安全服务模式:
-
将范围设置为您正在更新的安全模块:
-
将范围设置为 ASA 应用程序:
对于 FXOS 2.3.1 及更低版本: scope app-instance asa
对于 FXOS 2.4.1 及更高版本:scope app-instance asa instance_name
-
将入门版本设置为想要更新的版本:
set startup-version version_number
-
提交配置:
commit-buffer
提交系统配置任务。应用映像已更新,应用重新启动。
|
步骤 10 |
要验证安全模块/安全引擎和任何已安装的应用程序的状态,请参阅确认安装。
|
步骤 11 |
使两个故障切换组在辅助 设备上均处于活动状态。
-
使用控制台连接或 Telnet 连接来连接至模块 CLI。
connect module slot_number { console | telnet}
要连接至不支持多个安全模块的设备的安全引擎,请使用 1 作为 slot_number 。
Firepower# connect module 1 console
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'.
CISCO Serial Over LAN:
Close Network Connection to Exit
Firepower-module1>
-
连接到应用控制台。
Firepower-module1> connect asa
Connecting to asa(asa1) console... hit Ctrl + A + D to return to bootCLI
[...]
asa>
-
使两个故障切换组在辅助 设备上均处于活动状态。
failover active group 1
failover active group 2
asa> enable
Password: <blank>
asa# failover active group 1
asa# failover active group 2
|
步骤 12 |
退出应用控制台到 FXOS 模块 CLI。
|
步骤 13 |
返回 FXOS CLI 的管理引擎层。
-
输入 ~
-
要退出 Telnet 应用,请输入:
-
输入 Ctrl-], .
|
步骤 14 |
在包含主 ASA 逻辑设备的 Firepower 安全设备上,下载新的 FXOS 平台捆绑包映像和 ASA 软件映像:
-
连接到 FXOS CLI。
-
进入固件模式:
-
下载 FXOS 平台捆绑包软件映像:
download image URL
使用以下语法之一,为正在导入的文件指定 URL:
-
ftp://用户名@服务器/ 路径/ image_name
-
scp://用户名@服务器/ 路径/ image_name
-
sftp://用户名@服务器/ 路径/ image_name
-
tftp://服务器: 端口号/ 路径/ image_name
-
要监控下载过程,请执行以下操作:
scope download-task image_name
show detail
以下示例使用 SCP 协议复制映像:
Firepower-chassis # scope firmware
Firepower-chassis /firmware # download image scp://user@192.168.1.1/images/fxos-k9.2.3.1.58.SPA
Firepower-chassis /firmware # scope download-task fxos-k9.2.3.1.58.SPA
Firepower-chassis /firmware/download-task # show detail
Download task:
File Name: fxos-k9.2.3.1.58.SPA
Protocol: scp
Server: 192.168.1.1
Userid:
Path:
Downloaded Image Size (KB): 853688
State: Downloading
Current Task: downloading image fxos-k9.2.3.1.58.SPA from 192.168.1.1(FSM-STAGE:sam:dme:FirmwareDownloaderDownload:Local)
|
步骤 15 |
成功下载新的 FXOS 平台捆绑包映像后,升级 FXOS 捆绑包:
-
如有必要,请返回到固件模式:
-
记下要安装的 FXOS 平台捆绑包的版本号:
-
进入自动安装模式:
-
安装 FXOS 平台捆绑包:
install platform platform-vers version_number
version_number 是您要安装的 FXOS 平台捆绑包的版本号,例如 2.3(1.58)。
-
系统将首先验证想要安装的软件包。它会告知您当前已安装的应用程序与指定的 FXOS 平台软件包之间的所有不兼容问题。此外,它还会警告您,在升级过程中,任何现有会话都将终止,系统将需要重启。只要 ASA 版本在兼容性表中列为可升级版本,就可以忽略这些警告。
-
输入 yes 确认您想要继续安装,或者输入 no 取消安装。
-
要监控升级流程,请参阅监控升级进度:
|
步骤 16 |
成功升级所有组件后,验证安全模块/安全引擎和任何已安装的应用程序的状态(请参阅确认安装)。
|
步骤 17 |
将新的 ASA 软件映像下载到机箱:
-
进入安全服务模式:
-
进入应用软件模式:
-
下载逻辑设备软件映像:
download image URL
使用以下语法之一,为正在导入的文件指定 URL:
-
ftp://用户名@服务器/路径
-
scp://用户名@服务器/路径
-
sftp://用户名@服务器/路径
-
tftp://服务器:端口号/路径
-
要监控下载过程,请执行以下操作:
-
要查看已下载的应用,请执行以下操作:
up
show app
记下您下载的软件包的 ASA 版本。在后面的步骤中,您将需要使用准确的版本字符串来启用应用程序。
以下示例使用 SCP 协议复制映像:
Firepower-chassis # scope ssa
Firepower-chassis /ssa # scope app-software
Firepower-chassis /ssa/app-software # download image scp://user@192.168.1.1/images/cisco-asa.9.4.1.65.csp
Firepower-chassis /ssa/app-software # show download-task
Downloads for Application Software:
File Name Protocol Server Userid State
------------------------------ ---------- -------------------- --------------- -----
cisco-asa.9.4.1.65.csp Scp 192.168.1.1 user Downloaded
Firepower-chassis /ssa/app-software # up
Firepower-chassis /ssa # show app
Application:
Name Version Description Author Deploy Type CSP Type Is Default App
---------- ---------- ----------- ---------- ----------- ----------- --------------
asa 9.4.1.41 N/A Native Application No
asa 9.4.1.65 N/A Native Application Yes
|
步骤 18 |
升级 ASA 逻辑设备映像:
-
进入安全服务模式:
-
将范围设置为您正在更新的安全模块:
-
将范围设置为 ASA 应用程序:
对于 FXOS 2.3.1 及更低版本: scope app-instance asa
对于 FXOS 2.4.1 及更高版本:scope app-instance asa instance_name
-
将入门版本设置为想要更新的版本:
set startup-version version_number
-
提交配置:
commit-buffer
提交系统配置任务。应用映像已更新,应用重新启动。
|
步骤 19 |
要验证安全模块/安全引擎和任何已安装的应用程序的状态,请参阅确认安装。
|
步骤 20 |
如果故障切换组被配置为“启用抢占”,在抢占延迟过后,它们会在其指定设备上自动变为活动状态。如果故障切换组未被配置为“启用抢占”,则可以使用监控 > 故障切换 > 故障切换组号窗格使其在指定设备上恢复为活动状态。
|