在高可用性中升級FMC

簡介

本檔案介紹以高可用性(HA)升級Secure Firewall Management Center (FMC)環境的步驟。

必要條件

需求

思科建議您瞭解以下主題：

• 高可用性概念
• 安全FMC配置

採用元件

本文檔中的資訊基於虛擬安全FMC 7.1.0版。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

升級必須同時是一個對等體。

首先，暫停對等體之間的同步。

然後，需要首先在備用模式下完成升級，然後再在活動FMC中完成升級。

升級前

1. 規劃升級路徑。在FMC部署中，通常先升級FMC，然後升級其受管裝置。請務必知道您剛才執行了哪個升級，以及下一個升級。

2. 閱讀所有升級指南並規劃配置更改。
3. 檢查頻寬。確保您的管理網路具有執行大型資料傳輸所需的頻寬。

4. 排定維護時段。
5. 在升級前後備份組態。System > Backup / Restore > Firepower Management backup。將備份下載到本地電腦。

6. 升級虛擬主機。當您運行較舊版本的VMware時，這是必需的。
7. 檢查配置。
8. 檢查NTP同步。
   FMC：選擇System > Configuration > Time。
   裝置：使用show time CLI命令。

9. 檢查磁碟空間。
10. 部署配置。在FMC高可用性部署中，您只需要從活動對等體進行部署。
11. 檢查正在執行的工作。確保沒有掛起的部署。

升級程式

步驟 1.暫停同步

在活動單元上，導航到FMC上的High Availability頁籤。

系統>整合>高可用性

暫停同步。選取系統與整合

暫停同步。選擇高可用性

選擇Pause Synchronization。

暫停同步

等待同步暫停。完成時，狀態必須為使用者暫停。
每個使用者的[同步化狀態]必須為[暫停]

步驟 2.上傳升級套件

登入到備用裝置並上傳升級包。

System > Updates > Upload Update

上傳升級套件

瀏覽先前下載的要升級版本的套件。

選擇升級檔案

步驟 3.準備程度檢查

對要升級的裝置運行就緒性檢查。

點選適當升級軟體套件旁邊的安裝圖示。

安裝升級包以進行就緒檢查

選擇要檢查的裝置，然後按一下Check Readiness。

選擇檢查就緒性

可在消息中心中檢查進度。

消息>任務>運行

準備程度檢查進行中

完成後，您可以在就緒性檢查結果中檢視狀態。

如果成功，則您可以繼續安裝套裝軟體。

步驟 4.安裝升級套件

選擇要升級的裝置。按一下Install。

安裝升級套件

對於分割大腦的警告，請按一下OK。

大腦分裂警告

進度可以簽入消息>任務。

顯示器安裝

如果您可以訪問CLI，則可以在升級資料夾/var/log/sf中檢查進度；請轉到expert模式並輸入root access。

> expert
admin@firepower:~$ sudo su
Password: 
root@firepower:/Volume/home/admin# cd /var/log/sf/

root@firepower:/var/log/sf# ls
Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4 

root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# ls
000_start  AQ_UUID  DBCheck.log  exception.log  flags.conf  main_upgrade_script.log  status.log  status.log.202307180405  upgrade_readiness  upgrade_status.json  upgrade_status.log  upgrade_version_build

root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# tail -f status.log 

升級完成後，FMC重新啟動。

ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
ui:[100%] [1 mins to go for reboot] Upgrade complete
ui:[100%] [1 mins to go for reboot] The system will now reboot.
ui:System will now reboot.

Broadcast message from root@firepower (Tue Jul 18 05:08:57 2023):

System will reboot in 5 seconds due to system upgrade.

Broadcast message from root@firepower (Tue Jul 18 05:09:02 2023):

System will reboot now due to system upgrade.

ui:[100%] [1 mins to go for reboot] Installation completed successfully.
ui:Upgrade has completed.
state:finished

Broadcast message from root@firepower (Tue Jul 18 05:09:25 2023):

The system is going down for reboot NOW!

重新啟動後，物理FMC必須在FMC中顯示正確的型號。

GUI >「幫助」 >「關於」

FMC中的模型與版本資訊

整合>高可用性

僅升級備用FMC時的HA摘要

在CLI上，接受EULA後可以檢查版本。

Copyright 2004-2023, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.

Cisco Firepower Extensible Operating System (FX-OS) v2.12.0 (build 499)
Cisco Secure Firewall Management Center for VMware v7.2.4 (build 169)

>
> show version
-------------------[ firepower ]--------------------
Model                     : Secure Firewall Management Center for VMware (66) Version 7.2.4 (Build 169)
UUID                      : 1c71ae24-1e60-11ed-8459-9758e19f1a24
Rules update version      : 2023-01-09-001-vrt
LSP version               : lsp-rel-20220511-1540
VDB version               : 353
----------------------------------------------------

步驟 5.升級活動對等體

在活動單元中重複步驟2到步驟4：

1. 上傳升級套件。

2. 準備情況檢查。

3. 安裝升級套件。

步驟 6.啟用所需的FMC

在兩個FMC上完成升級後，登入要啟用裝置的FMC並選擇Make Me Active選項。


整合>高可用性>啟用我


啟用所需的FMC


進程警告並覆蓋在備用對等體中完成的任何配置，選擇是繼續。

有關備用對等體上的活動覆蓋配置的警告

選取確定

解決大腦分裂

等待直到同步重新啟動，並且其他FMC會切換為待命模式。

FMC同步

在FMC Active裝置上部署掛起的更改以完成升級過程。

驗證

在兩個FMC處於相同版本且同步完成後，HA Summary頁籤必須如下所示：
整合>高可用性

FMC中的升級驗證