Firepower Management Center 用Cisco Firepower Threat Defense アップグレードガイド(バージョン7.1)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Firepower Management Center 用Cisco Firepower Threat Defense アップグレードガイド(バージョン7.1)

Chapter Title

FMCのアップグレード

検索結果

Updated:
2023年7月19日

章のタイトル: FMCのアップグレード

FMCのアップグレード

この章では、お客様が導入した FMCバージョン 7.1 から新しいバージョンにアップグレードする方法について説明します。

クラウド提供型の Management Center を使用している場合、この章は必要ありません。その場合は、シスコが Management Center の機能更新を担当します。ユーザーは Firepower Management Center 用 Cisco Firepower Threat Defense アップグレードガイド の最新のリリースバージョンを使用してデバイスをアップグレードできます。

FMC のアップグレード チェックリスト

計画と実現可能性

誤りを避けるには、注意深い計画と準備が役立ちます。

アクション/チェック

詳細

展開を評価します。

状況を理解することにより、目的を達成する方法を決定します。現在のバージョンとモデル情報に加えて、展開が高可用性/拡張性を実現するように設定されているかどうか、デバイスが IPS またはファイアウォールとして展開されているかどうかなどを確認します。

アップグレードパスを計画します。

これは、大規模展開、マルチホップアップグレード、またはオペレーティングシステムまたはホスティング環境をアップグレードする必要がある状況では特に重要です。次を参照してください。

アップグレードガイドラインを読み、設定の変更を計画します。

主要なアップグレードでは特に、アップグレードの前または後に、アップグレードにより重要な設定変更が発生することがあります。以下を参照してください。

帯域幅を確認します。

管理ネットワークに大量のデータ転送を実行するための帯域幅があることを確認します。可能な場合は常に、アップグレードパッケージを事前にアップロードしてください。

メンテナンス時間帯をスケジュールします。

影響が最小限になるようにメンテナンス時間帯をスケジュールします。特にアップグレードにかかる可能性がある時間を考慮してください。また、この時間帯で実行する必要があるタスクと、事前に実行できるタスクを検討します。

時間とディスク容量のテストを参照。

バックアップ

アップグレードの前後に、安全な遠隔地にバックアップし、正常に転送が行われることを確認することを強くお勧めします。

  • アップグレード前:アップグレードが致命的な失敗であった場合は、再イメージ化を実行し、復元する必要がある場合があります。再イメージ化によって、システムパスワードを含むほとんどの設定が工場出荷時の初期状態に戻ります。最近のバックアップがある場合は、通常の操作にすばやく戻ることができます。

  • アップグレード後:これにより、新しくアップグレードされた展開のスナップショットが作成されます。新しい FMC バックアップファイルがデバイスがアップグレードされたことを「認識」するように、管理対象デバイスをアップグレードした後に FMC をバックアップしてください。

アクション/チェック

詳細

設定およびイベントをバックアップします。

Firepower Management Center アドミニストレーション ガイドの「バックアップ/復元」の章を参照してください。

Firepower 4100/9300 の FXOS をバックアップします。

Firepower Chassis Manager または FXOS CLI を使用して、論理デバイス設定およびプラットフォーム設定を含むシャーシ設定をエクスポートします。

詳細については、『Cisco Firepower 4100/9300 FXOS コンフィギュレーション ガイド』の「コンフィギュレーションのインポート/エクスポート」を参照してください。

アップグレードパッケージ

アップグレードの前にアップグレードパッケージをシステムにアップロードすると、メンテナンス時間が短縮されます。

アクション/チェック

詳細

シスコからアップグレードパッケージをダウンロードして、FMC にアップロードします。

アップグレードパッケージは シスコ サポートおよびダウンロード サイト で入手できます。FMC を使用して直接ダウンロードを実行することもできます。

FMC の高可用性では、FMC アップグレードパッケージを両方のピアにアップロードし、パッケージをスタンバイに転送する前に同期を一時停止する必要があります。同期の中断を制限するには、アップグレードの準備段階でパッケージをアクティブのピアに転送し、同期を一時停止した後に、実際のアップグレードプロセスの一環としてスタンバイのピアに転送します。

FMC のアップグレードパッケージのアップロード を参照してください。

関連するアップグレード

メンテナンス時間帯にホスティング環境のアップグレードを実行することをお勧めします。

アクション/チェック

詳細

仮想ホスティングをアップグレードします。

必要に応じて、ホスティング環境をアップグレードします。通常、古いバージョンの VMware を実行していて、メジャーアップグレードを実行している場合、アップグレードが必要です。

最終チェック

一連の最終チェックにより、ソフトウェアをアップグレードする準備が整います。

アクション/チェック

詳細

設定を確認します。

必要なアップグレード前の設定変更を行っていることを確認し、必要なアップグレード後の設定変更を行う準備をします。

NTP 同期を確認します。

時刻の提供に使用している NTP サーバーとすべてのアプライアンスが同期していることを確認します。時刻のずれが 10 秒を超えている場合、ヘルスモニターからアラートが発行されますが、手動で確認する必要もあります。同期されていないと、アップグレードが失敗する可能性があります。

時刻を確認するには、次の手順を実行します。

  • FMC:[システム(System)] > [設定(Configuration)] > [時刻(Time)] を選択します。

  • FTDshow time CLI コマンドを使用します。

設定を展開します。

アップグレードする前に設定を展開すると、失敗する可能性が減少します。展開により、トラフィックフローとインスペクションが影響を受ける可能性があります。FTD アップグレードのトラフィックフローとインスペクションを参照してください。

準備状況チェックを実行します。

 互換性と準備状況のチェックに合格すると、アップグレードが失敗する可能性が低くなります。

FMC で準備状況チェックを実行します。を参照してください。

のディスク容量を確認します。

準備状況チェックには、ディスク容量チェックが含まれます。空きディスク容量が十分でない場合、アップグレードは失敗します。

Management Center で使用可能なディスク容量を確認するには、 システム[システム歯車(system gear}] アイコン > [モニタリング(Monitoring)] > [統計(Statistics)] を選択してから FMC を選択します。[ディスク使用率(Disk Usage)] で、[By Partition] の詳細を展開します。

実行中のタスクを確認します。

重要なタスク(最終展開を含む)が完了していることを確認します。アップグレードの開始時に実行中のタスクは停止し、失敗したタスクとなり、再開できません。

バージョン 6.6.3+ からのアップグレードは、スケジュールされたタスクを自動的に延期します。 アップグレード中に開始するようにスケジュールされたタスクは、アップグレード後の再起動の 5 分後に開始されます。これが起こらないようにするには(または以前のバージョンからアップグレードする場合)、アップグレード中に実行するようにスケジュールされているタスクを確認し、それらをキャンセルまたは延期します。

FMC のアップグレードパス

お客様が導入した FMC のアップグレードパスを次の表に示します。

顧客が展開した FMC はその管理対象デバイスと同じかまたはより新しいバージョンを実行する必要があります。FMC よりも新しいバージョンのデバイスをアップグレードすることはできません。メンテナンス(3 桁)リリースの場合でも、最初に FMC をアップグレードする必要があります。

現在の FTD/FMC のバージョンが対象のバージョンより後の日付にリリースされた場合、期待どおりにアップグレードできない可能性があります。このような場合、アップグレードはすぐに失敗し、2 つのバージョン間にデータストアの非互換性があることを説明するエラーが表示されます。現在のバージョンと対象のバージョンの両方のに関するリリースノートには、特定の制限が掲載されています。

表 1. FMC の直接アップグレード

現在のバージョン

ターゲットバージョン

7.3

→ 任意の後続リリース 7.3.x

7.2

次のいずれかです。

→ 7.3.x

→ 任意の後続リリース 7.2.x

7.1

次のいずれかです。

→ 7.3.x

→ 7.2.x

→ 任意の後続リリース 7.1.x

7.0

FMC 1000、2500、4500 に対する最後のサポート

次のいずれかです。

→ 7.3.x

→ 7.2.x

→ 7.1.x

→ 任意の後続リリース 7.0.x

(注)  

 

データストアの非互換性のため、 をバージョン 7.0.4 以降からバージョン 7.1.0 にアップグレードすることができません。バージョン 7.2 以降に直接アップグレードすることをお勧めします。

6.7

次のいずれかです。

→ 7.2.x

→ 7.1.x

→ 7.0.x

→ 任意の後続リリース 6.7.x

6.6

FMC 2000 および 4000 の最後のサポート。

次のいずれかです。

→ 7.2.x

→ 7.1.x

→ 7.0.x

→ 6.7.x

→ 任意の後続リリース 6.6.x

(注)  

 

データストアの非互換性のため、FMC をバージョン 6.6.5 以降からバージョン 6.7.0 にアップグレードすることができません。バージョン 7.0 以降に直接アップグレードすることをお勧めします。

6.5

次のいずれかです。

→ 7.1.x

→ 7.0.x

→ 6.7.x

→ 6.6.x

6.4

FMC 750、1500、および 3500 の最後のサポート。

次のいずれかです。

→ 7.0.x

→ 6.7.x

→ 6.6.x

→ 6.5

6.3

次のいずれかです。

→ 6.7.x

→ 6.6.x

→ 6.5

→ 6.4

6.2.3

次のいずれかです。

→ 6.6.x

→ 6.5

→ 6.4

→ 6.3

FMC のアップグレードパッケージのアップロード

この手順を使用すると、アップグレードパッケージを FMC に手動でアップロードできます。


ヒント

一部のアップグレードパッケージは、リリースが手動でダウンロードできるようになってからしばらくすると、直接ダウンロードできるようになります。遅延の長さは、リリースの種類、リリースの選択、およびその他の要因によって異なります。FMC がインターネットにアクセスできる場合は、 [アップデートのダウンロード(Download Updates)] ボタンをクリックして、FMC とすべての管理対象デバイス向けの最新の VDB、最新のメンテナンスリリース、および最新の重要パッチをすぐにダウンロードできます。

アップグレードパッケージは、署名付きの tar アーカイブ(.tar)です。署名付きのパッケージをアップロードした後、パッケージが確認されるため、FMC の [システムの更新(System Updates)] ページのロードに数分かかることがあります。表示を迅速化するには、不要なアップグレードパッケージを削除してください。署名付きのパッケージは解凍しないでください。

始める前に

高可用性ペアのスタンバイの FMC をアップグレードしている場合は、同期を一時停止します。

FMC の高可用性では、FMC アップグレードパッケージを両方のピアにアップロードし、パッケージをスタンバイに転送する前に同期を一時停止する必要があります。同期の中断を制限するには、アップグレードの準備段階でパッケージをアクティブのピアに転送し、同期を一時停止した後に、実際のアップグレードプロセスの一環としてスタンバイのピアに転送します。

手順

ステップ 1

シスコ サポートおよびダウンロード サイト から適切なアップグレードパッケージをダウンロードします。https://www.cisco.com/go/firepower-software

ファミリまたはシリーズのすべてのモデルに同じソフトウェア アップグレード パッケージを使用します。適切なソフトウェアを見つけるには、使用しているモデルを選択または検索し、適切なバージョンのソフトウェアのダウンロードページを参照します。使用可能なアップグレードパッケージは、インストールパッケージ、ホットフィックス、およびその他の該当するダウンロードとともに表示されます。

アップグレードパッケージのファイル名には、次のように、プラットフォーム、パッケージタイプ(アップグレード、パッチ、ホットフィックス)、ソフトウェアバージョン、およびビルドが反映されています。

Cisco_Firepower_Mgmt_Center_Upgrade-7.1-999.sh.REL.tar

ステップ 2

FMC で、システム[システム歯車(system gear}] アイコン > [更新(Updates)] を選択します。

ステップ 3

[更新のアップロード(Upload Update)] をクリックします。

ステップ 4

[アクション(Action)] については、[ローカル ソフトウェア アップデート パッケージのアップロード(Upload local software update package)] オプションボタンをクリックします。

ステップ 5

[ファイルの選択(Choose File)] をクリックします。

ステップ 6

パッケージを参照し、[アップロード(Upload)] をクリックします。

FMC で準備状況チェックを実行します。

FMC 準備状況チェックを実行するには、次の手順を使用します。

準備状況チェックでは、メジャーアップグレードとメンテナンスアップグレードの準備状況を評価します。準備状況チェックで不合格になると、問題を修正するまでアップグレードできません。準備状況チェックの実行に必要な時間は、モデルとデータベースのサイズによって異なります。 準備状況チェックを行っている間は、手動で再起動またはシャットダウンしないでください。

始める前に

アップグレードパッケージを FMC にアップロードします。

手順

ステップ 1

FMC で、システム[システム歯車(system gear}] アイコン > [更新(Updates)] を選択します。

ステップ 2

[利用可能なアップデート(Available Updates)] で該当するアップグレードパッケージの横にある [インストール(Install)] アイコンをクリックして、FMC を選択します。

ステップ 3

[準備状況の確認(Check Readiness)] をクリックします。

メッセージセンターで準備状況チェックの進行状況をモニターできます。

次のタスク

システム[システム歯車(system gear}] アイコン > [更新(Updates)] で [準備状況チェック(Readiness Checks)] をクリックすると、チェック進行中やチェック不合格など、アップグレード環境全体の準備状況チェックのステータスが表示されます。また、このページを使用して、不合格となった後にチェックを簡単に再実行することもできます。

FMC のアップグレード:スタンドアロン

この手順を使用して、スタンドアロンの FMC をアップグレードします。


注意    

アップグレード中は、設定の変更の実施または展開を行わないでください。システムが非アクティブに見えても、進行中のアップグレードを手動で再起動、シャットダウン、または再起動しないでください。システムが使用できない状態になり、再イメージ化が必要になる場合があります。アップグレードに失敗する、アプライアンスが応答しないなど、アップグレードで問題が発生した場合には Cisco TAC にお問い合わせください。

始める前に

事前アップグレードのチェックリストを完了します。正常に展開され、通信が確立されていることを確認します。

手順

ステップ 1

FMC で、システム[システム歯車(system gear}] アイコン > [更新(Updates)] を選択します。

ステップ 2

[利用可能なアップデート(Available Updates)] で該当するアップグレードパッケージの横にある [インストール(Install)] アイコンをクリックして、FMC を選択します。

ステップ 3

[インストール(Install)] をクリックし、アップグレードして再起動することを確認します。

ログアウトするまで、メッセージセンターで事前チェックの進行状況をモニターできます。

ステップ 4

可能なときに、再度ログインします。

  • メジャーアップグレードとメンテナンスアップグレード:アップグレードが完了する前にログインできます。アップグレードの進行状況をモニターし、アップグレードログとエラーメッセージを確認するために使用できるページが表示されます。アップグレードが完了し、システムが再起動すると再度ログアウトされます。リブート後に、再ログインしてください。

  • パッチとホットフィックス:アップグレードと再起動が完了した後にログインできます。

ステップ 5

アップグレードが成功したことを確認します。

ログイン時にアップグレードの成功メッセージが表示されない場合は、[ヘルプ(Help)] > [バージョン情報(About)] を選択して、現在のソフトウェアのバージョン情報を表示します。

ステップ 6

侵入ルール(SRU/LSP)および脆弱性データベース(VDB)を更新します。

シスコ サポートおよびダウンロード サイト で利用可能なコンポーネントが現在実行中のバージョンより新しい場合は、新しいバージョンをインストールします。侵入ルールを更新する場合、ポリシーを自動的に再適用する必要はありません。後で適用します。

ステップ 7

アップグレード後に必要な構成変更があれば、実行します。

ステップ 8

管理対象デバイスに構成を再展開します。

FMC のアップグレード:ハイアベイラビリティ

ハイアベイラビリティ FMC を 1 つずつアップグレードします。同期を一時停止して、まずスタンバイをアップグレードしてから、アクティブにします。スタンバイのアップグレードが開始されると、ステータスがスタンバイからアクティブに切り替わり、両方のピアがアクティブになります。この一時的な状態のことを「スプリットブレイン」と呼び、アップグレード中(およびパッチのアンインストール中)を除き、サポートされていません。


注意    

ペアが split-brain の状況で、構成の変更または展開を行わないでください。同期の再開後は変更内容が失われます。 アップグレード中は、設定の変更の実施または展開を行わないでください。システムが非アクティブに見えても、進行中のアップグレードを手動で再起動、シャットダウン、または再起動しないでください。システムが使用できない状態になり、再イメージ化が必要になる場合があります。アップグレードに失敗する、アプライアンスが応答しないなど、アップグレードで問題が発生した場合には Cisco TAC にお問い合わせください。

始める前に

両方のピアの事前アップグレード チェックリストを完了します。正常に展開され、通信が確立されていることを確認します。

手順

ステップ 1

アクティブ状態の FMC で、同期を一時停止します。

  1. [システム(System)] > [統合(Integration)] の順に選択します。

  2. [ハイ アベイラビリティ(High Availability)] タブで、[同期の一時停止(Pause Synchronization)] をクリックします。

ステップ 2

アップグレードパッケージをスタンバイにアップロードします。

FMC の高可用性では、FMC アップグレードパッケージを両方のピアにアップロードし、パッケージをスタンバイに転送する前に同期を一時停止する必要があります。同期の中断を制限するには、アップグレードの準備段階でパッケージをアクティブのピアに転送し、同期を一時停止した後に、実際のアップグレードプロセスの一環としてスタンバイのピアに転送します。

ステップ 3

ピアを一度に 1 つずつアップグレード:最初はスタンバイ、次はアクティブです。

FMC のアップグレード:スタンドアロン」の手順に従います。各ピアで更新が成功したことを確認したら停止します。要約すると、各ピアで次の手順を実行します。

  1. [システム(System)] > [更新(Updates)] ページで、アップグレードをインストールします。

  2. ログアウトするまで進行状況をモニターし、ログインできる状態になったら再度ログインします(これは 2 回行われる場合があります)。

  3. アップグレードが成功したことを確認します。

ステップ 4

アクティブ ピアにする FMC で、同期を再開します。

  1. [システム(System)] > [統合(Integration)] の順に選択します。

  2. [ハイ アベイラビリティ(High Availability)] タブで、[アクティブにする(Make-Me-Active)] をクリックします。

  3. 同期が再開し、その他の FMC がスタンバイ モードに切り替わるまで待ちます。

ステップ 5

侵入ルール(SRU/LSP)および脆弱性データベース(VDB)を更新します。

シスコ サポートおよびダウンロード サイト で利用可能なコンポーネントが現在実行中のバージョンより新しい場合は、新しいバージョンをインストールします。侵入ルールを更新する場合、ポリシーを自動的に再適用する必要はありません。後で適用します。

ステップ 6

アップグレード後に必要な構成変更があれば、実行します。

ステップ 7

管理対象デバイスに構成を再展開します。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ