关于固件升级

固件升级过程用于升级 Firepower 4100/9300 机箱 监督器上的 ROMMON 和 FPGA,以及在已安装的网络模块上升级 FPGA。

准备工作

在升级 Firepower 4100/9300 机箱 上的固件之前,您应执行以下准备工作:

  • 查看所有当前的紧急故障和主要故障。

  • 备份配置。

重要说明

Firepower 4100/9300 机箱 会在固件升级过程重新启动,系统可能会关闭几分钟,甚至 20 分钟,具体取决于所升级的软件。请相应地规划您的升级活动。

在升级过程中,确保系统不断电很重要。升级过程中断电可能会损坏系统,还将需要 RMA。

如果因任何原因导致升级失败,请联系 Cisco TAC (https://www.cisco.com/c/en/us/support/index.html)。请勿重启设备。

固件升级包

下表列出了 Firepower 4100/9300 机箱 的可用固件升级包。


固件包中的组件版本号不一定与固件包本身的版本号匹配。
表 1. Firepower 4100/9300 固件升级包

版本

支持的型号

包文件名和内容

说明

1.0.18

Firepower 4150

Firepower 4145

Firepower 4140

Firepower 4125

Firepower 4120

Firepower 4115

Firepower 4110

固件包:fxos-k9-fpr4k-firmware.1.0.18.SPA

  • ROMMON:fxos-k9-fpr4k-rommon.1.0.15.SPA

  • 监督器 FPGA:fxos-k9-fpr4k-fpga.2.00.SPA

  • 网络模块 FPGA:N/A

包含一些重要修复,用于解决以下所述的 PSIRT 问题:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot

包括以下修复:

  • CSCvo46085 - FP9300/4100 监督器 Rommon:PSIRT 漏洞修复

  • CSCvn77249 - Cisco 安全启动硬件篡改漏洞

  • CSCvp21914 - 安全启动失败时,控制台将阻止用户输入

 

此固件升级是全面的系统级升级,与之前的固件升级相比,需要更长的时间才能完成。整个升级过程可能需要长达 20 分钟。

Firepower 9300

固件包:fxos-k9-fpr9k-firmware.1.0.18.SPA

  • ROMMON:fxos-k9-fpr9k-rommon.1.0.15.SPA

  • 监督器 FPGA:fxos-k9-fpr9k-fpga.2.00.SPA

  • 网络模块 FPGA:fxos-k9-fpr-dnm-2x100g-epm-fpga.1.2.0.SPA

1.0.17

Firepower 9300

固件包:fxos-k9-fpr9k-firmware.1.0.17.SPA

  • ROMMON:fxos-k9-fpr9k-rommon.1.0.14.SPA

  • 监督器 FPGA:fxos-k9-fpr9k-fpga.1.06.SPA

  • 网络模块 FPGA:fxos-k9-fpr-dnm-2x100g-epm-fpga.1.2.0.SPA

包含 Firepower 2 端口 100G 网络模块的重要修复。有关详情,请参阅:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-firpwr-dos

1.0.16

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

固件包:fxos-k9-fpr4k-firmware.1.0.16.SPA

  • ROMMON:fxos-k9-fpr4k-rommon.1.0.14.SPA

  • 监督器 FPGA:fxos-k9-fpr4k-fpga.1.06.SPA

  • 网络模块 FPGA:N/A

提供对监督器 FPGA 的改进,包括一个修复,以便在每次重启机箱时,Firepower 4100 系列安全设备上的安全引擎都重新启动。1.0.16 固件包还包括对监督器 ROMMON 的更新,以支持在制造 Firepower 4100/9300 安全设备中使用的新 SPI 闪存部件。所有使用新 SPI 闪存的 Firepower 4100/9300 安全设备均随附更新后的固件。

必须具备,然后您才能将 Firepower 2 端口 100G 网络模块 (FPR9K-NM-2X100G) 或 Firepower 4 端口 100G 网络模块 (FPR9K-NM-4X100G) 与 Firepower 9300 安全设备配合使用。

Firepower 9300

固件包:fxos-k9-fpr9k-firmware.1.0.16.SPA

  • ROMMON:fxos-k9-fpr9k-rommon.1.0.14.SPA

  • 监督器 FPGA:fxos-k9-fpr9k-fpga.1.06.SPA

  • 网络模块 FPGA:N/A

1.0.12

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

固件包:fxos-k9-fpr4k-firmware.1.0.12.SPA

  • ROMMON:fxos-k9-fpr4k-rommon.1.0.12.SPA

  • 监督器 FPGA:fxos-k9-fpr4k-fpga.1.05.SPA

  • 网络模块 FPGA:N/A

必须具备,然后您才能使用安全解锁功能。

Firepower 9300

固件包:fxos-k9-fpr9k-firmware.1.0.12.SPA

  • ROMMON:fxos-k9-fpr9k-rommon.1.0.12.SPA

  • 监督器 FPGA:fxos-k9-fpr9k-fpga.1.05.SPA

  • 网络模块 FPGA:N/A

1.0.10

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

固件包:fxos-k9-fpr4k-firmware.1.0.10.SPA

  • ROMMON:fxos-k9-fpr4k-rommon.1.0.10.SPA

  • 监督器 FPGA:fxos-k9-fpr4k-fpga.1.05.SPA

  • 网络模块 FPGA:N/A

必须具备,然后您才能将 Firepower 2 端口 100G 双宽网络模块 (FPR9K-DNM-2X100G) 与 Firepower 9300 安全设备配合使用。

Firepower 9300

固件包:fxos-k9-fpr9k-firmware.1.0.10.SPA

  • ROMMON:fxos-k9-fpr9k-rommon.1.0.10.SPA

  • 监督器 FPGA:fxos-k9-fpr9k-fpga.1.05.SPA

  • 网络模块 FPGA:N/A

从 Cisco.com 下载固件升级包

使用以下步骤可从 Cisco.com 为您的 Firepower 4100/9300 机箱 下载固件升级包。

过程

步骤 1

在 Cisco.com 上打开设备对应的“软件下载”页面。
步骤 2

选择软件类型下,单击 Firepower 可扩展操作系统
步骤 3

选择所有版本 > 固件,然后从 Cisco.com 选择一个固件包并将其下载到您可以从 Firepower 4100/9300 机箱 访问的服务器。

将固件升级包传输到 Firepower 4100/9300 机箱

使用以下步骤将固件升级包传输到您的 Firepower 4100/9300 机箱

过程

步骤 1

使用 Firepower 机箱管理器FXOS CLI 将固件升级包传输到 Firepower 4100/9300 机箱

Firepower 机箱管理器

  1. Firepower 机箱管理器中,选择系统 > 更新

  2. 单击上传映像,可打开“上传映像”对话框。

  3. 单击浏览以导航到您要上传的固件升级包,并且将其选中。

  4. 单击上传

    所选的固件升级包将上传到 Firepower 4100/9300 机箱
     

    固件升级包不会显示在“可用更新”列表中。

FXOS CLI

  1. 进入固件模式:

    Firepower-chassis # scope firmware

  2. FXOS 固件映像下载到 Firepower 4100/9300 机箱

    Firepower-chassis /firmware # download image URL

    使用以下语法之一,为正在导入的文件指定 URL:

    • ftp://username@hostname/ path/ image_name

    • scp://username@hostname/ path/ image_name

    • sftp://username@hostname/ path/ image_name

    • tftp://hostname: port-num/ path/ image_name

  3. 要监控下载过程,请执行以下操作:

    Firepower-chassis /firmware # show download-task image_name detail

示例:

Firepower-chassis# scope firmware 
Firepower-chassis /firmware # download image tftp://10.10.10.1/fxos-k9-fpr9k-firmware.1.0.10.SPA 
Firepower-chassis /firmware # show download-task fxos-k9-fpr9k-firmware.1.0.10.SPA detail

Download task:
    File Name: fxos-k9-fpr9k-firmware.1.0.10.SPA
    Protocol: Tftp
    Server: 10.10.10.1
    Port: 0
    Userid:
    Path:
    Downloaded Image Size (KB): 2104
    Time stamp: 2015-12-04T23:51:57.846
    State: Downloading
    Transfer Rate (KB/s): 263.000000
    Current Task: unpacking image fxos-k9-fpr9k-firmware.1.0.10.SPA on primary(
FSM-STAGE:sam:dme:FirmwareDownloaderDownload:UnpackLocal)
步骤 2

确认已将固件升级包成功上传到 Firepower 4100/9300 机箱

scope firmware

show package

示例:

firepower-chassis# scope firmware
firepower-chassis /firmware # show package
Name                                          Version
--------------------------------------------- -------
fxos-k9-fpr9k-firmware.1.0.10.SPA             1.0.10
fxos-k9-fpr9k-firmware.1.0.12.SPA             1.0.12
fxos-k9-fpr9k-firmware.1.0.16.SPA             1.0.16
fxos-k9-fpr9k-firmware.1.0.17.SPA             1.0.17
fxos-k9-fpr9k-firmware.1.0.18.SPA             1.0.18
fxos-k9.2.6.1.157.SPA                         2.6(1.157)
firepower-chassis /firmware #
步骤 3

您可以输入以下命令以查看固件包的内容:

show package image_name expand

 

固件包中的组件版本号不一定与固件包本身的版本号匹配。有关详细信息,请参阅固件升级包

示例:

firepower-chassis /firmware # show package fxos-k9-fpr9k-firmware.1.0.18.SPA expand
Package fxos-k9-fpr9k-firmware.1.0.18.SPA:
    Images:
        fxos-k9-fpr9k-fpga.2.00.SPA
        fxos-k9-fpr9k-rommon.1.0.15.SPA
firepower-chassis /firmware #

安装固件升级包

使用 FXOS CLI 升级您的 Firepower 4100/9300 机箱 固件。

过程

步骤 1

Firepower 4100/9300 机箱上,进入固件模式:

scope firmware

示例:

firepower-chassis# scope firmware
firepower-chassis /firmware #
步骤 2

输入以下命令以查看固件包的版本号:

show package

当安装固件包时,在以下步骤中使用此版本号:

示例:

firepower-chassis /firmware # show package
Name                                          Version
--------------------------------------------- -------
fxos-k9-fpr9k-firmware.1.0.10.SPA             1.0.10
fxos-k9-fpr9k-firmware.1.0.12.SPA             1.0.12
fxos-k9-fpr9k-firmware.1.0.16.SPA             1.0.16
fxos-k9-fpr9k-firmware.1.0.17.SPA             1.0.17
fxos-k9-fpr9k-firmware.1.0.18.SPA             1.0.18
fxos-k9.2.6.1.157.SPA                         2.6(1.157)
firepower-chassis /firmware #
步骤 3

要安装固件包:

  1. 进入固件安装模式:

    scope firmware-install

  2. 安装固件包:

    install firmware pack-version version_number

    系统将验证固件包,并通知您验证过程可能需要几分钟才能完成。

  3. 输入yes 继续验证。

    固件包验证完成后,系统将通知您安装过程可能需要几分钟才能完成,并且系统在更新过程中将重启。

  4. 输入yes 继续安装。升级流程中请勿重启 Firepower 4100/9300 机箱

示例:

firepower-chassis /firmware # scope firmware-install
firepower-chassis /firmware/firmware-install # install firmware pack-version 1.0.18
Verifying FXOS firmware package 1.0.18. Verification could take several minutes.
Do you want to proceed? (yes/no):yes
FXOS SUP ROMMON: Upgrade from 1.0.14 to 1.0.15
FXOS SUP FPGA: Upgrade from 1.06 to 2.00
FXOS SUP NM FPGA(slot:2): NM FPGA image not part of package

This operation upgrades SUP firmware on Security Platform.
Here is the checklist of things that are recommended before starting the install operation
(1) Review current critical/major faults
(2) Initiate a configuration backup

Attention:
   The system will be reboot to upgrade the SUP firmware.
   The upgrade operation will take several minutes to complete.
   PLEASE DO NOT POWER RECYCLE DURING THE UPGRADE.
Do you want to proceed? (yes/no):yes

Upgrading FXOS SUP firmware software package version 1.0.18

command executed
步骤 4

要监控升级流程,请执行以下操作:

show detail

成功完成升级过程后,固件升级过程应显示升级成功完成升级状态。

示例:

firepower-chassis /firmware/firmware-install # show detail

Firmware Pack Install:
    Upgrade Package Version: 1.0.18
    Oper State: In Progress
    Upgrade Status:
    Current Task: Waiting for Deploy to begin(FSM-STAGE:sam:dme:FirmwareSupFirmwareDeploy:WaitForDeploy)

firepower-chassis /firmware/firmware-install # show detail

Firmware Pack Install:
    Upgrade Package Version: 1.0.18
    Oper State: Ready
    Upgrade Status: Upgrade Complete Successful
    Current Task:
firepower-chassis /firmware/firmware-install #
步骤 5

安装完成后,可输入以下命令查看当前固件版本:

top

scope chassis 1

show sup version

show nm-fpga-version

示例:

firepower-chassis /firmware/firmware-install # top
firepower-chassis# scope chassis 1
firepower-chassis /chassis # show sup version
SUP FIRMWARE:
    ROMMON:
        Running-Vers: 1.0.15
        Package-Vers: 1.0.18
        Activate-Status: Ready
    FPGA:
        Running-Vers: 2.00
        Package-Vers: 1.0.18
        Activate-Status: Ready

firepower-chassis /chassis # show nm-fpga-version

Network Module Version:
    Network Module Slot: 2
    Running-Vers: 1.2.0
    Package-Vers: 1.0.17
    Activate-Status: Ready
firepower-chassis /chassis #