思科 Firepower 发行说明,版本 6.4.0.1、 6.4.0.2、6.4.0.3、 6.4.0.4、6.4.0.5 和 6.4.0.6

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

当地语言翻译版本说明

思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。

Book Contents
Find Matches in This Book
语言选择
Download Options

Book Title

思科 Firepower 发行说明,版本 6.4.0.1、 6.4.0.2、6.4.0.3、 6.4.0.4、6.4.0.5 和 6.4.0.6

Chapter Title

卸载版本 6.4.0.x 修补程序

Results

已更新:
2020年6月16日

Chapter: 卸载版本 6.4.0.x 修补程序

卸载版本 6.4.0.x 修补程序

您可以从以下位置卸载 Firepower 修补程序:

  • FMC 及其受管设备

  • 通过 ASDM 管理的 ASA FirePOWER 模块

卸载修补程序会导致设备运行您升级之前的版本。
不能从 FDM 管理的 FTD 设备卸载修补程序。也不能从任何设备卸载主版本的 Firepower 软件。在这些情况下,您必须重新安装。

有关详情,请参阅:

卸载的指引和限制

这些重要的准则和限制适用于卸载。

验证您的补丁是否支持卸载

卸载特定的修补程序可能会在 Firepower 设备上造成问题,包括:

  • 操作系统与 Firepower 软件之间的不兼容性。

  • 如果您在启用安全认证合规性的情况下安装修补程序(CC/UCAPL 模式),则设备重新启动时 FSIC(文件系统完整性检查)失败。


小心
如果启用了安全认证合规性并且 FSIC 失败,则 Firepower 软件无法启动,远程 SSH 访问会被禁用,并且您只能通过本地控制台访问该设备。如果出现此情况,请联系思科 TAC

在这些情况下,如果您需要恢复到较早的补丁,我们建议您重新映像,然后再进行升级。

下表列出了不应卸载的情况。

表 1. 版本 6.4.0.x 的修补程序,在卸载时会出现后续问题
平台 卸载起始版本 升级起始版本

FMC/FMCv

Firepower 7000/8000 系列

ASA FirePOWER

NGIPSv

6.4.0.2+

6.4.0 至 6.4.0.1

FMC/FMCv

Firepower 7000/8000 系列

ASA FirePOWER

NGIPSv

6.4.0.3+

6.4.0 至 6.4.0.2

任意

6.4.0.4 +

6.4.0. 至 6.4.0.3

使用外壳程序先从设备卸载

FMC 部署中,先从受管设备卸载修补程序。我们建议 FMC 运行比其受管设备更高的版本。

要卸载设备修补程序,必须使用 Linux 外壳程序,也称为“专家模式”。这意味着您可以单独本地从设备卸载。换句话说:

  • 不能从群集、堆叠或高可用性 (HA) Firepower 设备批量卸载修补程序,也不能通过 FirePOWER 服务设备将其从群集或故障转移 ASA 批量卸载。要规划最大限度减少中断的卸载顺序,请参阅高可用性/可扩展性部署的卸载顺序

  • 您不能使用 FMC、ASDM 或 FDM 从设备卸载修补程序,也不能在 7000/8000 系列设备上使用本地 Web 界面。

  • 您不能使用 FMC 用户帐户登录并从其受管设备之一卸载修补程序。Firepower 设备会维护自己的用户帐户。

  • 您必须能够以设备的管理员用户或者具有 CLI 配置访问权限的其他本地用户身份访问设备外壳程序。如果禁用了外壳程序访问,则无法卸载设备修补程序。联系思科 TAC以撤销设备锁定。

从设备卸载后再从 FMC 卸载

从受管设备卸载后,再从 FMC 卸载修补程序。与升级一样,必须从高可用性 FMC 一次卸载一个;请参阅高可用性/可扩展性部署的卸载顺序

我们建议您使用 FMC web 界面卸载 FMC 修补程序。您必须有管理员访问权限。如果无法使用 Web 界面,可以作为外壳的管理员用户或者具有外壳访问权限的外部用户使用 Linux 外壳程序。如果禁用了外壳程序访问,请联系思科 TAC以撤销FMC锁定。

设备访问

Firepower 设备可以在卸载期间或在卸载失败时停止传输流量(具体取决于接口配置)。从 Firepower 设备卸载修补程序之前,请确保来自您所在位置的流量不必遍历设备本身即可访问设备的管理界面。在 Firepower 管理中心部署中,您还必须能够访问 FMC 管理界面而不遍历设备。

在 ASA FirePOWER 设备上禁用 ASA REST API

在卸载 ASA FirePOWER 修补程序之前,请确保禁用 ASA REST API。否则,卸载可能会失败。从 ASA CLI:no rest api agent。可以在卸载后重新启用:rest-api agent

卸载无响应

将更改部署到正在卸载的设备或从其部署更改,手动重启正在卸载的设备,或者关闭正在卸载的设备。请重启正在进行的卸载。卸载过程有时可能会显示为非活动状态;这是预期行为。如果您遇到卸载问题,包括卸载失败或设备无响应,请联系思科 TAC

失败的卸载可能需要重新映像,从而让大多数设置恢复为出厂默认设置。因此,在重新映像之前,我们强烈建议您将事件和配置数据备份到外部位置。

流量、检查和设备行为

卸载期间的流量和检查中断与升级期间发生的中断相同。我们强烈建议在维护窗口或者中断对部署的影响最小时执行卸载。有关详细信息,请参阅流量、检查和设备行为

高可用性/可扩展性部署的卸载顺序

您可以单独从 Firepower 设备卸载修补程序,甚至是作为一个单元升级的修补程序。特别是在高可用性 (HA) 和可扩展性部署中,您应该规划好卸载顺序,以最大限度地减少中断。与升级不同,系统不会为您执行此操作。下表列出了适用于高可用性/可扩展性部署的卸载顺序。

请注意,在大多数情况下,您将:

  • 先从辅助/备用/从设备卸载,然后是主要/主用/主设备。

  • 一次卸载一个。等到修补程序从一个设备完全卸载后,再转到下一个设备。

表 2. HA 中 FMC 的卸载顺序
FMC 部署 卸载顺序

FMC 高可用性

同步暂停后(即一种称为裂脑的状态),每次从 FMC 对等设备卸载一个。请勿在对处于群集脑裂的情况下执行或部署配置更改。

  1. 暂停同步(进入裂脑)。

  2. 从备用设备卸载。

  3. 从主用设备卸载。

  4. 重启同步(退出裂脑)。
表 3. HA 或群集中 FTD 设备的卸载顺序
FTD 部署 卸载顺序

FTD 高可用性

不能从配置为高可用性的 FTD 设备卸载修补程序。必须先中断高可用性。

  1. 中断高可用性。

  2. 从先前的备用设备卸载。

  3. 从先前的主用设备卸载。

  4. 重新建立高可用性。

FTD 群集

一次从一个单元卸载,将主单元留到最后。卸载修补程序时,群集单元在维护模式下运行。

  1. 从从模块逐一卸载。

  2. 让其中一个从模块成为新的主模块。

  3. 从先前的主模块卸载。
表 4. HA 或堆栈中 7000/8000 系列设备的卸载顺序
7000/8000 系列部署 卸载顺序

7000/8000 系列高可用性

始终从备用设备卸载。卸载修补程序时,HA 对中的 7000/8000 系列设备在维护模式下运行。

  1. 从备用设备卸载。

  2. 切换角色。

  3. 从新的备用设备卸载。

8000 系列堆栈

同时从堆栈中的所有设备卸载。在从堆栈中的所有设备卸载修补程序之前,堆栈以有限的混合版本状态运行。
表 5. ASA 故障转移对/群集中带 FirePOWER 服务设备的 ASA 的卸载顺序
ASA 部署 卸载顺序

ASA 主用/备用故障转移对,带 ASA FirePOWER

始终从备用设备卸载。

  1. 从备用 ASA 设备上的 ASA FirePOWER 模块卸载。

  2. 故障转移。

  3. 从新备用 ASA 设备上的 ASA FirePOWER 模块卸载。

ASA 主用/主用故障转移对,带 ASA FirePOWER

在您未卸载的设备上使两个故障转移组均处于主用状态。

  1. 使两个故障转移组在主要 ASA 设备上均处于主用状态。

  2. 从辅助 ASA 设备上的 ASA FirePOWER 模块卸载。

  3. 使两个故障转移组在辅助 ASA 设备上均处于主用状态。

  4. 从主要 ASA 设备上的 ASA FirePOWER 模块卸载。

ASA 群集,带 ASA FirePOWER

卸载前,在每个单元上禁用群集。一次从一个单元卸载,将主单元留到最后。

  1. 在从单元上禁用群集。

  2. 从该单元上的 ASA FirePOWER 模块卸载。

  3. 重新启用群集。等待单元重新加入群集。

  4. 对每个从属设备重复上述操作。

  5. 在主单元上禁用群集。等待新的主设备接管。

  6. 从先前主设备上的 ASA FirePOWER 模块卸载。

  7. 重新启用群集。

卸载说明

以下各节说明如何从符合条件的设备卸载 Firepower 修补程序。

从独立的 FMC 卸载

遵照此程序从独立的 Firepower 管理中心(包括 Firepower 管理中心虚拟)卸载修补程序。

开始之前

从受管设备卸载修补程序。我们建议 FMC 运行比其受管设备更高的版本。

过程

步骤 1

部署到其配置已过期的受管设备。

在卸载之前进行部署可减少失败的可能性。
步骤 2

执行预先检查。

  • 检查运行状况:使用 FMC 上的消息中心(单击菜单栏上的“系统状态”图标)。确保部署中的设备能够成功通信,并且运行状况监控器未报告任何问题。

  • 正在运行的任务:此项也位于消息中心中,用于确保完成重要任务。在卸载开始时运行的任务已停止,成为失败的任务,且不能恢复。您可以稍后手动删除具有失败状态的消息。
步骤 3

依次选择系统 (System) > 更新 (Updates)
步骤 4

单击 FMC 卸载软件包旁边的安装图标,然后选择 FMC

如果没有正确的卸载软件包,请联系思科 TAC
步骤 5

单击安装以开始卸载。

确认要卸载并重新启动 FMC
步骤 6

在消息中心中监控进度,直到注销。

在卸载修补程序期间,不进行配置更改或部署到任何设备。即使消息中心在数分钟内不显示进度,或指示卸载失败,请重新开始卸载或重启 FMC。相反,请联系思科 TAC
步骤 7

在修补程序卸载完成且 FMC 重新启动后,重新登录 FMC
步骤 8

验证是否成功。

选择帮助 > 关于以显示当前的软件版本信息。

步骤 9

使用消息中心重新检查部署运行状况。
步骤 10

重新部署配置。

从高可用性 FMC 卸载

遵照此程序从高可用性对中的 Firepower 管理中心卸载修补程序。

每次从对等设备卸载一个。在暂停同步的情况下,首先从备用设备卸载,然后是主用设备。当备用 FMC 开始卸载时,其状态从备用切换到主用,以便两个对等设备都处于主用状态。此临时状态称为裂脑在升级和卸载期间受支持。请在对处于群集脑裂的情况下执行或部署配置更改。重启同步后,您所做的更改将丢失。

开始之前

从受管设备卸载修补程序。我们建议 FMC 运行比其受管设备更高的版本。

过程

步骤 1

在主用 FMC上,部署到其配置已过期的受管设备。

在卸载之前进行部署可减少失败的可能性。
步骤 2

在暂停同步之前,使用消息中心检查部署运行状况。

单击 FMC菜单上的“系统状态”图标以显示消息中心。确保部署中的设备能够成功通信,并且运行状况监控器未报告任何问题。

步骤 3

暂停同步。

  1. 选择系统 > 集成

  2. 高可用性选项卡,单击暂停同步
步骤 4

每次从 FMC 卸载一个修补程序 - 先是备用设备,再是主用设备。

请按照从独立的 FMC 卸载中的说明进行操作,但省略初始部署,并在验证每个 FMC 上的更新均成功后停止。总而言之,对于每个 FMC

  1. 执行预先检查(运行状况、正在运行的任务)。

  2. 系统 > 更新页面上,卸载修补程序。

  3. 监控进度,直到您注销,然后在可以时重新登录。

  4. 验证卸载是否成功。

在对处于群集脑裂的情况下执行或部署配置更改。

步骤 5

在您想要设为主用对等设备的 FMC上,重新开始同步。

  1. 选择系统 > 集成

  2. 高可用性选项卡,单击设为主用

  3. 等待直至同步重新开始,并且其他 FMC 切换到备用模式。

步骤 6

使用消息中心重新检查部署运行状况。
步骤 7

重新部署配置。

从任意设备卸载(FMC 管理)

遵照此程序从 Firepower 管理中心部署中的单个受管设备卸载修补程序。这包括物理和虚拟设备、安全模块以及 ASA FirePOWER 模块

开始之前

  • 确保您从正确的设备卸载,尤其是在高可用性/可扩展性部署中。请参阅高可用性/可扩展性部署的卸载顺序

  • 对于 ASA FirePOWER 模块,确保禁用 ASA REST API。从 ASA CLI:no rest api agent。可以在卸载后重新启用:rest-api agent

过程

步骤 1

如果设备的配置过期,请立即从 FMC 部署。

在卸载之前进行部署可减少失败的可能性。

例外:不要部署到混合版本的堆栈、群集或 HA 对。在高可用性/可扩展性部署中,先部署,然后从第一个设备卸载,但在您从所有成员卸载修补程序之前,不要再继续。

步骤 2

执行预先检查。

  • 检查运行状况:使用 FMC 上的消息中心(单击菜单栏上的“系统状态”图标)。确保部署中的设备能够成功通信,并且运行状况监控器未报告任何问题。

  • 正在运行的任务:此项也位于消息中心中,用于确保完成重要任务。在卸载开始时运行的任务已停止,成为失败的任务,且不能恢复。您可以稍后手动删除具有失败状态的消息。
步骤 3

在设备上访问 Firepower CLI。使用配置访问权限作为管理员或其他 Firepower CLI 用户登录。

您可以通过 SSH 登录到设备的管理界面(主机名或 IP 地址),也可以使用控制台。 请注意,ASA 5585-X 系列设备有专用的 ASA FirePOWER 控制台端口。

如果使用控制台,有些设备默认使用操作系统 CLI,并且需要完成额外的步骤才能访问 Firepower CLI。

Firepower 1000/2100 系列

connect ftd

Firepower 4100/9300 机箱

连接模块 slot_number 控制台,然后连接 ftd(仅限首次登录)

ASA FirePOWER,ASA 5585-X 系列除外

session sfr
步骤 4

Firepower CLI 提示时,使用 expert 命令访问 Linux 外壳程序。
步骤 5

运行卸载命令,在系统提示时输入密码。

sudo install_update.pl --detach /var/sf/updates/uninstall_package_name

软件包名称因平台而异;请参阅卸载软件包不要解压签名的 (.tar) 包。

除非您从控制台运行卸载,否则使用 --detach 选项确保在用户会话超时的情况下卸载不会停止。否则,卸载将作为用户外壳程序的子进程运行。如果终止连接,此进程也会中止,检查将中断,而且设备可能处于不稳定状态。

小心 
系统不会要求您确认是否要卸载。输入此命令将启动卸载,其中包括设备重新启动。卸载期间的流量和检查中断与升级期间发生的中断相同。确保您已准备就绪。
步骤 6

监控卸载。

如果未分离卸载,进度会显示在控制台或终端上。如果已经分离,则可以使用 tailtailf 来显示日志:

  • FTD 设备:tail /ngfw/var/log/sf/update.status

  • 所有其他设备:tail /var/log/sf/update.status
步骤 7

验证是否成功。

在修补程序卸载完成并且设备重新启动后,确认设备的软件版本正确。在 FMC 上,选择设备 > 设备管理
步骤 8

使用消息中心重新检查部署运行状况。
步骤 9

重新部署配置。

例外:在高可用性/可扩展性部署中,不要部署到混合版本的堆栈、群集或 HA 对。仅在对所有成员重复此程序后才部署。

下一步做什么

  • 对于高可用性/可扩展性部署,对计划序列中的每个设备重复此程序。然后,进行最终调整。例如,在 FTD HA 部署中,从两个对等设备卸载后重新建立 HA。

  • 对于 ASA FirePOWER 模块,重新启用 ASA REST API(如果其之前被禁用)。从 ASA CLI:rest-api agent.

从 ASA FirePOWER 卸载(ASDM 管理)

遵照此程序从本地管理的 ASA FirePOWER 模块卸载修补程序。如果使用 FMC 管理 ASA FirePOWER,请参阅从任意设备卸载(FMC 管理)

开始之前

  • 确保您从正确的设备卸载,尤其是 ASA 故障转移/群集部署。请参阅高可用性/可扩展性部署的卸载顺序

  • 确保禁用 ASA REST API。从 ASA CLI:no rest api agent。可以在卸载后重新启用:rest-api agent

过程

步骤 1

如果设备的配置过期,请立即从 ASDM 部署。

在卸载之前进行部署可减少失败的可能性。
步骤 2

执行预先检查。

  • 系统状态:选择监控 > ASA FirePOWER 监控 > 统计信息并确保一切都跟预期一样。

  • 正在运行的任务:选择监控 > ASA FirePOWER 监控 > 任务并确保完成必要任务。在卸载开始时运行的任务已停止,成为失败的任务,且不能恢复。您可以稍后手动删除具有失败状态的消息。

步骤 3

访问 ASA FirePOWER 模块上的 Firepower CLI。使用配置访问权限作为管理员或其他 Firepower CLI 用户登录。

您可以通过 SSH 登录到模块的管理界面(主机名或 IP 地址),也可以使用控制台。如果使用控制台,请注意,ASA 5585-X 系列设备有专用的 ASA FirePOWER 控制台端口。在其他 ASA 模型上,控制台端口默认为 ASA CLI,您必须使用 session sfr 命令访问 Firepower CLI。

步骤 4

Firepower CLI 提示时,使用 expert 命令访问 Linux 外壳程序。
步骤 5

运行卸载命令,在系统提示时输入密码。

sudo install_update.pl --detach /var/sf/updates/Cisco_Network_Sensor_Patch_Uninstaller-版本-内部版本.sh.REL.tar

不要解压签名的 (.tar) 包。

除非您从控制台运行卸载,否则使用 --detach 选项确保在用户会话超时的情况下卸载不会停止。否则,卸载将作为用户外壳程序的子进程运行。如果终止连接,此进程也会中止,检查将中断,而且设备可能处于不稳定状态。

小心 
系统不会要求您确认是否要卸载。输入此命令将启动卸载,其中包括设备重新启动。卸载期间的流量和检查中断与升级期间发生的中断相同。确保您已准备就绪。
步骤 6

监控卸载。

如果未分离卸载,进度会显示在控制台或终端上。如果已经分离,则可以使用 tailtailf 来显示日志:

tail /var/log/sf/update.status

在修补程序卸载过程中,不要将配置部署到设备。即使日志在数分钟内不显示进度,或指示升级失败,请勿重新开始卸载或重启设备。相反,请联系思科 TAC
步骤 7

验证是否成功。

在修补程序卸载完成并且模块重新启动后,确认模块的软件版本正确。选择配置 > ASA FirePOWER 配置 > 设备管理 > 设备
步骤 8

重新部署配置。

下一步做什么

  • 对于 ASA 故障转移/群集部署,对计划序列中的每个设备重复此程序。

  • 对于 ASA FirePOWER 模块,重新启用 ASA REST API(如果其之前被禁用)。从 ASA CLI:rest-api agent.

卸载软件包

在 Firepower 设备上安装修补程序时,升级目录中会自动创建该修补程序的卸载程序:

  • FTD上的 /ngfw/var/sf/updates

  • FMC 和所有其他设备(7000/8000 系列、ASA FirePOWER、NGIPSv)上的 /var/sf/updates

如果程序包不在升级目录中(例如,您手动将其删除了),请联系思科 TAC不要解压签名的 (.tar) 包。

平台 数据包

FMC/FMCv

Cisco_Firepower_Mgmt_Center_Patch_Uninstaller-版本-内部版本.sh.REL.tar

Firepower 1000 系列

Cisco_FTD_SSP_FP1K_Patch_Uninstaller-版本-内部版本.sh.REL.tar

Firepower 2100 系列

Cisco_FTD_SSP_FP2K_Patch_Uninstaller-版本-内部版本.sh.REL.tar

Firepower 4100/9300 机箱

Cisco_FTD_SSP_Patch_Uninstaller-版本-内部版本.sh.REL.tar

ASA 5500-X 系列,含 FTD

ISA 3000,含 FTD

FTDv

Cisco_FTD_Patch_Uninstaller-版本-内部版本.sh.REL.tar

Firepower 7000/8000 系列

Cisco_Firepower_NGIPS_Appliance_Patch_Uninstaller-版本-内部版本.sh.REL.tar

NGIPSv

Cisco_Firepower_NGIPS_Virtual_Patch_Uninstaller-版本-内部版本.sh.REL.tar

ASA FirePOWER

Cisco_Network_Sensor_Patch_Uninstaller-版本-内部版本.sh.REL.tar

此文档是否有帮助?

Feedback反馈

联系我们