Cisco Firepower 管理中心升级指南,版本 6.0–7.0

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

当地语言翻译版本说明

思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。

Book Contents
Find Matches in This Book
语言选择
Download Options

Book Title

Cisco Firepower 管理中心升级指南,版本 6.0–7.0

Chapter Title

升级具备 FirePOWER 服务的 ASA

Results

已更新:
2023年4月14日

Chapter: 升级具备 FirePOWER 服务的 ASA

升级具备 FirePOWER 服务的 ASA

升级核对表:带有 FMC 的 ASA FirePOWER

请在升级 具备 FirePOWER 服务的 ASA 之前填写此核对表。


在此过程中的任何时候,请确保保持部署通信和运行状况。请重启正在进行的 ASA FirePOWER 升级。升级过程在预检查期间可能会显示为非活动;这是预期行为。如果您遇到升级问题,升级失败的升级或无响应的设备,请联系 Cisco TAC

规划和可行性

认真规划和准备可以帮助您避免失误。

表 1.

操作/检查

计划升级路径。

这对于多设备部署、多跳升级或需要升级操作系统或托管环境,同时还要保持部署兼容性的情况尤其重要。始终了解已经完成的升级和即将执行的升级。

 

在 FMC 部署中,通常先升级 FMC,然后再升级其受管设备。但是,在某些情况下,您可能需要先升级设备。

请参阅升级路径

阅读所有升级指南和计划配置更改。

尤其是对于主要版本升级而言,升级可能会导致您或需要您在升级前或升级后的重大配置更改。从版本说明开始,版本说明包含重要且特定于版本的信息,包括升级警告、行为更改、新功能和弃用的功能以及已知问题。

检查设备访问。

设备可以在升级期间或在升级失败时停止传输流量(具体取决于接口配置)。升级之前,请确保来自您所在位置的流量不必遍历设备本身即可访问设备的管理界面。在 FMC 部署中,您还必须能够访问 FMC 管理界面而不遍历设备。

检查带宽。

确保管理网络具有执行大型数据传输的带宽。在 FMC 部署中,如果您在升级时将升级包传输到托管设备,则带宽不足会延长升级时间,甚至导致升级超时。如有可能,请在启动设备升级之前将升级软件包复制到受管设备。

请参阅将数据从 Firepower 管理中心下载到受管设备的准则(故障排除技术说明)。

安排维护窗口。

考虑对流量和检查的任何影响以及升级可能需要的时间,将维护窗口安排在影响最小的时候。此外,还要考虑您必须在该维护窗口中执行的任务,以及可以提前执行的任务。例如,不要等到维护窗口将升级包复制到设备,运行就绪性检查,执行备份等操作。

升级程序包

思科支持和下载站点上可以获取升级包。

表 2.

操作/检查

将升级包上传到 FMC。

请参阅上传到 Firepower 管理中心

将升级包复制到设备。

如果 FMC 运行的是版本 6.2.3+,我们建议您在启动设备升级之前将软件包复制(推送)到受管设备。

请参阅复制到托管设备

备份

灾难恢复能力是任何系统维护计划的重要组成部分。

备份和恢复可能是一个复杂的过程。您不想跳过任何步骤或忽略安全或许可问题。有关备份和恢复的要求、指南、限制和最佳实践的详细信息,请参阅适用于您的部署的配置指南。


小心

我们强烈建议在升级前和升级后,备份到安全的远程位置并验证传输是否成功。

表 3.

操作/检查

备份 ASA。

在升级之前使用 ASDM 或 ASA CLI 备份配置和其他关键文件,尤其是在有 ASA 配置迁移的情况下。

关联升级

由于操作系统和托管环境升级会影响流量和检查,因此请在维护窗口中执行。

表 4.

操作/检查

升级具备 FirePOWER 服务的 。

如果需要,请升级 ASA。 ASA 与 ASA FirePOWER 版本之间有广泛的兼容性。但通过升级,您可以利用新功能和已解决的问题。

对于独立 ASA 设备,升级 ASA 立即升级 ASA FirePOWER 模块,然后重新加载。

ASA 集群和故障转移对:为避免流量和检查出现中断,请逐一完全升级这些设备。在重新加载每个设备以升级 ASA 之前,使用升级 ASA FirePOWER 模块。

 

在升级 ASA 之前,请确保阅读所有升级指南并计划配置更改。从 ASA 版本说明开始:Cisco ASA 发行说明

最终检查

一系列最终检查可确保您已准备好升级。

表 5.

操作/检查

检查配置。

确保您已进行任何必要的升级前配置更改,并准备进行必要的升级后配置更改。

检查 NTP 同步。

确保所有设备与您正在使用提供时间的 NTP 服务器进行同步。不同步可能会导致升级失败。在 FMC 部署中,如果时钟不同步超过 10 秒,运行状况模块会发出警报,但您仍应手动进行检查。

要检查时间,请执行以下操作:

  • FMC:选择系统 > 配置 > 时间

  • 设备:使用 show time CLI 命令。

检查硬盘空间。

运行磁盘空间检查进行软件升级。如果可用磁盘空间不足,会导致升级失败。

请参阅目标版本的Cisco Firepower 发行说明中的升级软件一章。

部署配置。

在升级前部署配置可减少失败的可能性。在某些部署中,如果您的配置已过期,您可能会被阻止升级。在 FMC 高可用性部署中,您只需从主用对等设备进行部署。

在部署时,资源需求可能会导致少量数据包未经检测而被丢弃。 此外,部署某些配置会重启 Snort,这会中断流量检测,并且根据您的设备处理流量的方式,可能会中断流量,直至重启完成。

请参阅目标版本的Cisco Firepower 发行说明中的升级软件一章。

在旧服务上禁用 ASA REST API。

在升级当前运行 6.3.0 或更早版本的 ASA FirePOWER 模块之前,确保禁用 ASA REST API。否则,升级可能会失败。从 ASA CLI:no rest api agent。可以在升级后重新启用:rest-api agent

运行就绪性检查。

如果 FMC 运行的是版本 6.1.0+,我们建议进行兼容性和就绪性检查。这些检查会评估您是否准备好进行软件升级。

请参阅 Firepower 软件就绪性检查

检查正在运行的任务。

在升级之前,请确保设备上的基本任务已完成,包括最终部署。在升级开始时运行的任务会停止,成为失败的任务,且不能恢复。我们还建议您检查计划在升级期间运行的任务,并取消或推迟这些任务。

升级 ASA

使用本部分中的程序为独立、故障转移或集群部署升级 ASA 和 ASDM。

升级独立设备

使用 CLI 或 ASDM 升级独立设备。

使用 CLI 升级独立设备

本部分介绍如何安装 ASDM 和 ASA 映像,以及何时升级 ASA FirePOWER 模块。

开始之前

此程序使用 FTP。对于 TFTP、HTTP 或其他服务器类型,请参阅 ASA 命令参考中的 copy 命令。

过程

步骤 1

在特权 EXEC 模式下,将 ASA 软件复制到闪存。

copy ftp://[[用户[:密码]@]服务器[/路径]/asa_image_name diskn:/[路径/]asa_image_name

示例:

ciscoasa# copy ftp://jcrichton:aeryn@10.1.1.1/asa-9-12-1-smp-k8.bin disk0:/asa-9-12-1-smp-k8.bin

步骤 2

将 ASDM 映像复制到闪存中。

copy ftp://[[用户[:密码]@]服务器[/路径]/asdm_image_name diskn:/[路径/]asdm_image_name

示例:

ciscoasa# copy ftp://jcrichton:aeryn@10.1.1.1/asdm-7121.bin disk0:/asdm-7121.bin

步骤 3

访问全局配置模式。

configure terminal

示例:

ciscoasa# configure terminal
ciscoasa(config)#

步骤 4

显示当前配置的启动映像(最多 4 个):

show running-config boot system

ASA 按列示顺序使用映像;如果第一个映像不可用,则使用下一个映像,以此类推。不能在列表顶部插入新映像 URL;要将新的映像指定为第一个映像,必须删除所有现有条目,再根据后续步骤按所需顺序输入映像 URL。

示例:

ciscoasa(config)# show running-config boot system
boot system disk0:/cdisk.bin
boot system disk0:/asa931-smp-k8.bin

步骤 5

删除所有现有的引导映像配置,以便将新的引导映像作为首选输入:

no boot system diskn:/[路径/]asa_image_name

示例:

ciscoasa(config)# no boot system disk0:/cdisk.bin
ciscoasa(config)# no boot system disk0:/asa931-smp-k8.bin

步骤 6

将 ASA 映像设置为引导映像(您刚上传的映像):

boot system diskn:/[路径/]asa_image_name

如果此映像不可用,请对要使用的任何备份映像重复执行此命令。例如,您可以重新输入以前删除的映像。

示例:

ciscoasa(config)# boot system disk0:/asa-9-12-1-smp-k8.bin

步骤 7

设置要使用的 ASDM 映像(您刚上传的映像):

asdm image diskn:/[路径/]asdm_image_name

您只能配置一个要使用的 ASDM 映像,因此您不需要先删除现有配置。

示例:

ciscoasa(config)# asdm image disk0:/asdm-7121.bin

步骤 8

将新设置保存至启动配置:

write memory

步骤 9

重新加载 ASA:

reload

步骤 10

如果您要升级 ASA FirePOWER 模块,请禁用 ASA REST API,否则升级将失败。

no rest-api agent

您可以在升级后重新启用它:

rest-api agent

 

如果您运行的是 FirePOWER 模块 6.0 或更高版本,则 ASA 5506-X 系列不支持 ASA REST API。

步骤 11

升级 ASA FirePOWER 模块。

使用 ASDM 从本地计算机升级独立设备

使用本地计算机中的升级软件工具,可将映像文件从计算机上传到闪存文件系统来升级 ASA。

过程

步骤 1

在主 ASDM 应用窗口中,依次选择工具 > 从本地计算机升级软件

系统将显示升级软件对话框。

步骤 2

要上传的映像下拉列表中选择 ASDM

步骤 3

本地文件路径字段中,点击浏览本地文件以查找您的 PC 上的文件。

步骤 4

闪存文件系统路径字段中,点击浏览闪存以在闪存文件系统中查找目录或文件。

步骤 5

点击上传映像

上传过程可能需要数分钟。

步骤 6

系统会提示您将此映像设置为 ASDM 映像。点击

步骤 7

系统会提示您退出 ASDM 并保存配置。点击确定

您会退出 Upgrade 工具。注意:在升级 ASA 软件之后,您将保存配置并重新连接到 ASDM。

步骤 8

重复上述步骤,从要上传的映像下拉列表中选择 ASA。您也可以使用此程序上传其他文件类型。

步骤 9

依次选择工具 > 重新加载系统以重新加载 ASA。

系统将显示新窗口,要求您确认重新加载的详细信息。

  1. 点击重新加载时保存运行配置单选按钮(默认)。

  2. 选择重新加载的时间(例如,默认值 Now)。

  3. 点击计划重新加载

重新加载开始后,系统将显示重新加载状态窗口,指示正在执行重新加载。系统还提供了退出 ASDM 的选项。

步骤 10

在 ASA 重新加载后,重启 ASDM。

您可以从控制台端口检查重新加载状态,也可以等待几分钟,并尝试使用 ASDM 进行连接,直到成功。

步骤 11

如果要升级 ASA FirePOWER 模块,请通过选择工具 > 命令行界面,然后输入 no rest-api agent 以禁用 ASA REST API。

如果不禁用 REST API,ASA FirePOWER 模块升级将会失败。您可以在升级后重新启用它:

rest-api agent

 

如果您运行的是 FirePOWER 模块 6.0 或更高版本,则 ASA 5506-X 系列不支持 ASA REST API。

步骤 12

升级 ASA FirePOWER 模块。

使用 ASDM Cisco.com 向导升级独立设备

Cisco.com 向导中的升级软件工具允许您将 ASDM 和 ASA 自动升级至更加新的版本。

在此向导中,您可以执行以下操作:

  • 选择 ASA 映像文件和/或 ASDM 映像文件以执行升级。


    ASDM 会下载最新的映像版本,其版本号包括内部版本号。例如,如果要下载 9.9(1),则下载可能是 9.9(1.2)。这是预期行为,因此您可以继续执行计划的升级。

  • 查看您所做的升级更改。

  • 下载一个或多个映像,并进行安装。

  • 查看安装的状态。

  • 如果安装成功完成,请重新加载 ASA 以保存配置并完成升级。

开始之前

由于内部更改,此向导仅支持使用 ASDM 7.10(1) 及更高版本;此外,由于映像命名更改,您必须使用 ASDM 7.12(1) 或更高版本以升级到 ASA 9.10(1) 及更高版本。由于 ASDM 向后兼容较早的 ASA 版本,因此您可以升级 ASDM,无论您运行的是哪个 ASA 版本。

过程

步骤 1

依次选择工具 > 检查 ASA/ASDM 更新

在多情景模式中,从“系统”访问此菜单。

系统将显示 Cisco.com 身份验证对话框。

步骤 2

输入 Cisco.com 用户名和密码,然后点击 Login

系统将显示 Cisco.com 升级向导

 

如果无可用升级,系统将显示对话框。点击确定退出向导。

步骤 3

点击下一步显示选择软件屏幕。

系统将显示当前的 ASA 版本和 ASDM 版本。

步骤 4

如要升级 ASA 版本和 ASDM 版本,请执行以下步骤:

  1. ASA 区域,选中升级到复选框,然后从下拉列表中选择要升级的目标 ASA 版本。

  2. ASDM 区域,选中升级到复选框,然后从下拉列表中选择要升级的目标 ASDM 版本。

步骤 5

点击下一步,显示检查更改屏幕。

步骤 6

请验证以下项目:

  • 已下载的文件是正确的 ASA 映像文件和/或 ASDM 映像文件。

  • 希望上传的文件是正确的 ASA 映像文件和/或 ASDM 映像文件。

  • 已选择正确的 ASA 启动映像。

步骤 7

点击下一步,开始升级安装。

然后,您可以在升级安装过程中查看其状态。

系统将显示结果屏幕,其中提供详细信息,如升级安装状态(成功或失败)。

步骤 8

如果升级安装成功,为了使升级版本生效,请选中 Save configuration and reload device now 复选框来重新启动 ASA,然后重新启动 ASDM。

步骤 9

点击完成,退出向导,保存对配置的更改。

 

如要升级到下一个较高版本(如可用),您必须重新启动向导。

步骤 10

在 ASA 重新加载后,重启 ASDM。

您可以从控制台端口检查重新加载状态,也可以等待几分钟,并尝试使用 ASDM 进行连接,直到成功。

步骤 11

如果要升级 ASA FirePOWER 模块,请通过选择工具 > 命令行界面,然后输入 no rest-api agent 以禁用 ASA REST API。

如果不禁用 REST API,ASA FirePOWER 模块升级将会失败。您可以在升级后重新启用它:

rest-api agent

 

如果您运行的是 FirePOWER 模块 6.0 或更高版本,则 ASA 5506-X 系列不支持 ASA REST API。

步骤 12

升级 ASA FirePOWER 模块。

升级主用/备用故障转移对

使用 CLI 或 ASDM 升级主用/备用故障转移对,以实现零停机升级。

使用 CLI 升级主用/备用故障转移对

要升级主用/备用故障转移对,请执行以下步骤。

开始之前

  • 在主用设备上执行以下步骤。对于 SSH 访问,请连接到主用 IP 地址;主用设备始终拥有此 IP 地址。当连接到 CLI 时,通过查看 ASA 提示符确定故障转移状态;您可以配置 ASA 提示符以显示故障转移状态和优先级(主设备或辅助设备),这可用于确定连接到的设备。请参阅 prompt 命令。或者,输入 show failover 命令,以查看此设备的状态和优先级(主设备或辅助设备)。

  • 此程序使用 FTP。对于 TFTP、HTTP 或其他服务器类型,请参阅 ASA 命令参考中的 copy 命令。

过程

步骤 1

在主用设备的特权 EXEC 模式下,将 ASA 软件复制到主用设备闪存:

copy ftp://[[用户[:密码]@]服务器[/路径]/asa_image_name diskn:/[路径/]asa_image_name

示例:

asa/act# copy ftp://jcrichton:aeryn@10.1.1.1/asa9829-15-1-smp-k8.bin disk0:/asa9829-15-1-smp-k8.bin

步骤 2

将软件复制到备用设备;请确保指定与主用设备相同的路径:

failover exec mate copy /noconfirm ftp://[[用户[:密码]@]服务器[/路径]/asa_image_name diskn:/[路径/]asa_image_name

示例:

asa/act# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asa9829-15-1-smp-k8.bin disk0:/asa9829-15-1-smp-k8.bin

步骤 3

将 ASDM 映像复制至主用设备闪存:

copy ftp://[[用户[:密码]@]服务器[/路径]/asdm_image_name diskn:/[路径/]asdm_image_name

示例:

asa/act# copy ftp://jcrichton:aeryn@10.1.1.1/asdm-77178271417151.bin disk0:/asdm-77178271417151.bin

步骤 4

将 ASDM 映像复制至备用设备;请确保指定与主用设备相同的路径:

failover exec mate copy /noconfirm ftp://[[用户[:密码]@]服务器[/路径]/asdm_image_name diskn:/[路径/]asdm_image_name

示例:

asa/act# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asdm-77178271417151.bin disk0:/asdm-77178271417151.bin

步骤 5

如果您当前未处于全局配置模式,请访问全局配置模式:

configure terminal

步骤 6

显示当前配置的启动映像(最多 4 个):

show running-config boot system

示例:

asa/act(config)# show running-config boot system
boot system disk0:/cdisk.bin
boot system disk0:/asa931-smp-k8.bin

ASA 按列示顺序使用映像;如果第一个映像不可用,则使用下一个映像,以此类推。不能在列表顶部插入新映像 URL;要将新的映像指定为第一个映像,必须删除所有现有条目,再根据后续步骤按所需顺序输入映像 URL。

步骤 7

删除所有现有的引导映像配置,以便将新的引导映像作为首选输入:

no boot system diskn:/[路径/]asa_image_name

示例:

asa/act(config)# no boot system disk0:/cdisk.bin
asa/act(config)# no boot system disk0:/asa931-smp-k8.bin

步骤 8

将 ASA 映像设置为引导映像(您刚上传的映像):

boot system diskn:/[路径/]asa_image_name

示例:

asa/act(config)# boot system disk0://asa9829-15-1-smp-k8.bin

如果此映像不可用,请对要使用的任何备份映像重复执行此命令。例如,您可以重新输入以前删除的映像。

步骤 9

设置要使用的 ASDM 映像(您刚上传的映像):

asdm image diskn:/[路径/]asdm_image_name

示例:

asa/act(config)# asdm image disk0:/asdm-77178271417151.bin

您只能配置一个要使用的 ASDM 映像,因此您不需要先删除现有配置。

步骤 10

将新设置保存至启动配置:

write memory

这些配置更改会自动保存到备用设备上。

步骤 11

如果您要升级 ASA FirePOWER 模块,请禁用 ASA REST API,否则升级将失败。

no rest-api agent

步骤 12

升级备用设备上的 ASA FirePOWER 模块。

对于 ASDM 管理的 ASA FirePOWER 模块,请将 ASDM 连接到备用 管理 IP 地址。等待升级完成。

步骤 13

重新加载备用设备,以便启动新映像:

failover reload-standby

等待备用设备完成加载。使用 show failover 命令确认备用设备处于备用就绪状态。

步骤 14

强行要求主用设备故障转移至备用设备。

no failover active

如果您从 SSH 会话中断开连接,请重新连接到主 IP 地址(现位于新的主用/以前的备用设备上)。

步骤 15

升级以前主用设备上的 ASA FirePOWER 模块。

对于 ASDM 管理的 ASA FirePOWER 模块,请将 ASDM 连接到备用 管理 IP 地址。等待升级完成。

步骤 16

在新的主用设备上,重新加载以前的主用设备(现为新的备用设备)。

failover reload-standby

示例:

asa/act# failover reload-standby

 

如果连接到以前的主用设备控制台端口,应改为输入 reload 命令来重新加载以前的主用设备。

使用 ASDM 升级主用/备用故障转移对

要升级主用/备用故障转移对,请执行以下步骤。

开始之前

将 ASA 和 ASDM 映像放置在本地管理计算机上。

过程

步骤 1

通过连接到备用 IP 地址,在备用 设备上启动 ASDM。

步骤 2

在主 ASDM 应用窗口中,依次选择工具 (Tools) > 从本地计算机升级软件 (Upgrade Software from Local Computer)

系统将显示升级软件对话框。

步骤 3

要上传的映像下拉列表中选择 ASDM

步骤 4

本地文件路径 (Local File Path) 字段中,输入指向计算机中文件的本地路径,或者点击浏览本地文件 (Browse Local Files) 在计算机中查找该文件。

步骤 5

Flash 文件系统路径 (Flash File System Path) 字段中,输入闪存文件系统的路径,或者点击浏览 Flash (Browse Flash) 在 Flash 文件系统中查找目录或文件。

步骤 6

点击上传映像 (Upload Image)。上传过程可能需要数分钟。

系统提示您将此映像设置为 ASDM 映像时,点击否 (No)。您会退出 Upgrade 工具。

步骤 7

重复这些步骤,从要上传的映像下拉列表中选择 ASA

当系统提示您将此映像设置为 ASA 映像时,点击否 (No)。您会退出 Upgrade 工具。

步骤 8

通过连接到主 IP 地址,将 ASDM 连接到主用 设备,然后使用与您用于备用设备相同的文件位置上传 ASDM 软件。

步骤 9

当系统提示您将该映像设置为 ASDM 映像时,点击是 (Yes)

系统会提示您退出 ASDM 并保存配置。点击确定 (OK)。您会退出 Upgrade 工具。注意:在升级 ASA 软件之后,您将保存配置并重新加载 ASDM。

步骤 10

使用与备用设备相同的文件位置上传 ASA 软件。

步骤 11

当系统提示您将该映像设置为 ASA 映像时,点击是 (Yes)

系统将提示您重新加载 ASA 以使用新映像。点击确定 (OK)。您会退出 Upgrade 工具。

步骤 12

点击工具栏上的保存图标,保存配置更改。

这些配置更改将自动保存在备用设备上。

步骤 13

如果要升级 ASA FirePOWER 模块,请选择工具 > 命令行界面,然后输入 no rest-api enable 以禁用 ASA REST API。

如果不禁用 REST API,ASA FirePOWER 模块升级将会失败。

步骤 14

升级备用设备上的 ASA FirePOWER 模块。

对于 ASDM 管理的 ASA FirePOWER 模块,请将 ASDM 连接到备用 管理 IP 地址。等待升级完成后,将 ASDM 连接回主用设备。

步骤 15

通过依次选择监控 (Monitoring) > 属性 (Properties) > 故障转移 (Failover) > 状态 (Status),然后点击重新加载备用 (Reload Standby),重新加载备用设备。

留在系统窗格中,以监控备用设备何时重新加载。

步骤 16

重新加载备用设备后,强制主用设备执行故障转移到备用设备,方法为:选择监控 (Monitoring) > 属性 (Properties) > 故障转移 (Failover) > 状态 (Status),然后点击设为备用 (Make Standby)

ASDM 将自动重新连接到新主用设备。

步骤 17

升级以前主用设备上的 ASA FirePOWER 模块。

对于 ASDM 管理的 ASA FirePOWER 模块,请将 ASDM 连接到备用 管理 IP 地址。等待升级完成后,将 ASDM 连接回主用设备。

步骤 18

重新加载(新)备用设备,方法为:选择监控 (Monitoring) > 属性 (Properties) > 故障转移 (Failover) > 状态 (Status),然后点击重新加载备用 (Reload Standby)

升级主用/主用故障转移对

使用 CLI 或 ASDM 升级主用/主用故障转移对,以实现零停机升级。

使用 CLI 升级主用/主用故障转移对

要升级主用/主用故障转移配置中的两台设备,请执行以下步骤。

开始之前

  • 在主设备上执行这些步骤。

  • 在系统执行空间中执行以下步骤。

  • 此程序使用 FTP。对于 TFTP、HTTP 或其他服务器类型,请参阅 ASA 命令参考中的 copy 命令。

过程

步骤 1

在主设备的特权 EXEC 模式下,将 ASA 软件复制到闪存:

copy ftp://[[用户[:密码]@]服务器[/路径]/asa_image_name diskn:/[路径/]asa_image_name

示例:

asa/act/pri# copy ftp://jcrichton:aeryn@10.1.1.1/asa9829-15-1-smp-k8.bin disk0:/asa9829-15-1-smp-k8.bin

步骤 2

将软件复制至辅助设备;请确保指定与主设备相同的路径:

failover exec mate copy /noconfirm ftp://[[用户[:密码]@]服务器[/路径]/asa_image_name diskn:/[路径/]asa_image_name

示例:

asa/act/pri# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asa9829-15-1-smp-k8.bin disk0:/asa9829-15-1-smp-k8.bin

步骤 3

将 ASDM 映像复制至主设备闪存:

copy ftp://[[用户[:密码]@]服务器[/路径]/asdm_image_name diskn:/[路径/]asdm_image_name

示例:

asa/act/pri# ciscoasa# copy ftp://jcrichton:aeryn@10.1.1.1/asdm-77178271417151.bin disk0:/asdm-77178271417151.bin

步骤 4

将 ASDM 映像复制到辅助设备中;务必指定与主设备相同的路径:

failover exec mate copy /noconfirm ftp://[[用户[:密码]@]服务器[/路径]/asdm_image_name diskn:/[路径/]asdm_image_name

示例:

asa/act/pri# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asdm-77178271417151.bin disk0:/asdm-77178271417151.bin

步骤 5

如果您当前未处于全局配置模式,请访问全局配置模式:

configure terminal

步骤 6

显示当前配置的启动映像(最多 4 个):

show running-config boot system

示例:

asa/act/pri(config)# show running-config boot system
boot system disk0:/cdisk.bin
boot system disk0:/asa931-smp-k8.bin

ASA 按列示顺序使用映像;如果第一个映像不可用,则使用下一个映像,以此类推。不能在列表顶部插入新映像 URL;要将新的映像指定为第一个映像,必须删除所有现有条目,再根据后续步骤按所需顺序输入映像 URL。

步骤 7

删除所有现有的引导映像配置,以便将新的引导映像作为首选输入:

no boot system diskn:/[路径/]asa_image_name

示例:

asa/act/pri(config)# no boot system disk0:/cdisk.bin
asa/act/pri(config)# no boot system disk0:/asa931-smp-k8.bin

步骤 8

将 ASA 映像设置为引导映像(您刚上传的映像):

boot system diskn:/[路径/]asa_image_name

示例:

asa/act/pri(config)# boot system disk0://asa9829-15-1-smp-k8.bin

如果此映像不可用,请对要使用的任何备份映像重复执行此命令。例如,您可以重新输入以前删除的映像。

步骤 9

设置要使用的 ASDM 映像(您刚上传的映像):

asdm image diskn:/[路径/]asdm_image_name

示例:

asa/act/pri(config)# asdm image disk0:/asdm-77178271417151.bin

您只能配置一个要使用的 ASDM 映像,因此您不需要先删除现有配置。

步骤 10

将新设置保存至启动配置:

write memory

这些配置更改会自动保存到辅助设备上。

步骤 11

如果您要升级 ASA FirePOWER 模块,请禁用 ASA REST API,否则升级将失败。

no rest-api agent

步骤 12

使两个故障转移组在主设备上均处于活动状态:

failover active group 1

failover active group 2

示例:

asa/act/pri(config)# failover active group 1
asa/act/pri(config)# failover active group 2

步骤 13

升级辅助设备上的 ASA FirePOWER 模块。

对于 ASDM 管理的 ASA FirePOWER 模块,请将 ASDM 连接到故障转移组 1 或 2 的备用管理 IP 地址。等待升级完成。

步骤 14

重新加载辅助设备,以便启动新映像:

failover reload-standby

等待辅助设备完成加载。使用 show failover 命令确认两个故障转移组均处于备用就绪状态。

步骤 15

强行要求两个故障转移组在辅助设备上变为活动状态:

no failover active group 1

no failover active group 2

示例:

asa/act/pri(config)# no failover active group 1
asa/act/pri(config)# no failover active group 2
asa/stby/pri(config)#

如果您从 SSH 会话中断开连接,请重新连接到故障转移组 1 IP 地址(现位于辅助设备上)。

步骤 16

升级主设备上的 ASA FirePOWER 模块。

对于 ASDM 管理的 ASA FirePOWER 模块,请将 ASDM 连接到故障转移组 1 或 2 的备用管理 IP 地址。等待升级完成。

步骤 17

重新加载主设备:

failover reload-standby

示例:

asa/act/sec# failover reload-standby

 

如果已连接到主设备控制台端口,应改为输入 reload 命令来重新加载主设备。

您可能从 SSH 会话中断开连接。

步骤 18

如果故障转移组配置了 preempt 命令,则抢占延迟过后,它们将在其指定设备上自动变为主用状态。

使用 ASDM 升级主用/主用故障转移对

要升级主用/主用故障转移配置中的两台设备,请执行以下步骤。

开始之前

  • 在系统执行空间中执行以下步骤。

  • 将 ASA 和 ASDM 映像放置在本地管理计算机上。

过程

步骤 1

通过连接到故障转移组 2 中的管理地址,在辅助 设备上启动 ASDM。

步骤 2

在主 ASDM 应用窗口中,依次选择工具 > 从本地计算机升级软件

系统将显示升级软件对话框。

步骤 3

要上传的映像下拉列表中选择 ASDM

步骤 4

本地文件路径 (Local File Path) 字段中,输入指向计算机中文件的本地路径,或者点击浏览本地文件 (Browse Local Files) 在 PC 中查找文件。

步骤 5

Flash 文件系统路径 (Flash File System Path) 字段中,输入闪存文件系统的路径,或者点击浏览 Flash (Browse Flash) 在闪存文件系统中查找目录或文件。

步骤 6

点击上传映像 (Upload Image)。上传过程可能需要数分钟。

系统提示您将此映像设置为 ASDM 映像时,点击否 (No)。您会退出 Upgrade 工具。

步骤 7

重复上述步骤,从要上传的映像下拉列表中选择 ASA

当系统提示您将此映像设置为 ASA 映像时,点击否 (No)。您会退出 Upgrade 工具。

步骤 8

通过连接至故障转移组 1 中的管理 IP 地址,将 ASDM 连接至设备,并使用辅助设备上所用的相同文件位置上传 ASDM 软件。

步骤 9

当系统提示您将该映像设置为 ASDM 映像时,点击是 (Yes)

系统会提示您退出 ASDM 并保存配置。点击确定 (OK)。您会退出 Upgrade 工具。注意:在升级 ASA 软件之后,您将保存配置并重新加载 ASDM。

步骤 10

使用与辅助设备相同的文件位置上传 ASA 软件。

步骤 11

当系统提示您将该映像设置为 ASA 映像时,点击是 (Yes)

系统将提示您重新加载 ASA 以使用新映像。点击确定 (OK)。您会退出 Upgrade 工具。

步骤 12

点击工具栏上的保存图标,保存配置更改。

这些配置更改在辅助设备上会自动保存。

步骤 13

如果要升级 ASA FirePOWER 模块,请选择工具 > 命令行界面,然后输入 no rest-api enable 以禁用 ASA REST API。

如果不禁用 REST API,ASA FirePOWER 模块升级将会失败。

步骤 14

通过选择监控 (Monitoring) > 故障转移 (Failover) > 故障转移组号 (Failover Group #)(其中组号是您要移动至主设备的故障转移组的编号)并点击设为主用 (Make Active),使两个故障转移组在主设备上均处于活动状态。

步骤 15

升级辅助设备上的 ASA FirePOWER 模块。

对于 ASDM 管理的 ASA FirePOWER 模块,请将 ASDM 连接到故障转移组 1 或 2 的备用管理 IP 地址。等待升级完成后,将 ASDM 连接回主设备。

步骤 16

重新加载辅助设备,方法为:选择监控 (Monitoring) > 故障转移 (Failover) > 系统 (System),然后点击重新加载备用 (Reload Standby)

保持在系统窗格上,以监控辅助设备何时加载。

步骤 17

辅助设备启动后,通过选择监控 (Monitoring) > 故障转移 (Failover) > 故障转移组号 (Failover Group #)(其中组号是您要移动至辅助设备的故障转移组的编号)并点击设为备用 (Make Standby),使两个故障转移组在辅助设备上均处于活动状态。

ASDM 将自动重新连接到辅助设备上的故障转移组 1 IP 地址。

步骤 18

升级主设备上的 ASA FirePOWER 模块。

对于 ASDM 管理的 ASA FirePOWER 模块,请将 ASDM 连接到故障转移组 1 或 2 的备用管理 IP 地址。等待升级完成后,将 ASDM 连接回辅助设备。

步骤 19

重新加载主设备,方法为:选择监控 (Monitoring) > 故障转移 (Failover) > 系统 (System),然后点击重新加载备用 (Reload Standby)

步骤 20

如果故障转移组被配置为“启用抢占”,在抢占延迟过后,它们会在其指定设备上自动变为活动状态。ASDM 将自动重新连接到主设备上的故障转移组 1 IP 地址。

升级 ASA 集群

使用 CLI 或 ASDM 升级 ASA 集群,以实现零停机升级。

使用 CLI 升级 ASA 集群

要升级 ASA 集群中的所有设备,请执行以下步骤。此程序使用 FTP。对于 TFTP、HTTP 或其他服务器类型,请参阅 ASA 命令参考中的 copy 命令。

开始之前

  • 在控制单元上执行这些步骤。如果您还要升级 ASA FirePOWER 模块,则需要在每台数据单元上访问控制台或 ASDM。您可以将 ASA 提示符配置为显示集群设备和状态(控制或数据),这些信息有助于确定您连接的目标设备。请参阅 prompt 命令。或者,输入 show cluster info 命令以查看每台设备的角色。

  • 您必须使用控制台端口;不能通过远程 CLI 连接启用或禁用集群。

  • 对于多情景模式,在系统执行空间中执行以下步骤。

过程

步骤 1

在特权 EXEC 模式下,将控制单元的上的 ASA 软件复制到集群中的所有设备。

cluster exec copy /noconfirm ftp://[[用户[:密码]@]服务器[/路径]/asa_image_name diskn:/[路径/]asa_image_name

示例:

asa/unit1/master# cluster exec copy /noconfirm 
ftp://jcrichton:aeryn@10.1.1.1/asa9829-15-1-smp-k8.bin disk0:/asa9829-15-1-smp-k8.bin

步骤 2

将 ASDM 映像复制至集群中的所有设备:

cluster exec copy /noconfirm ftp://[[用户[:密码]@]服务器[/路径]/asdm_image_name diskn:/[路径/]asdm_image_name

示例:

asa/unit1/master# cluster exec copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asdm-77178271417151.bin disk0:/asdm-77178271417151.bin

步骤 3

如果您当前未处于全局配置模式,请立即访问该模式。

configure terminal

示例:

asa/unit1/master# configure terminal
asa/unit1/master(config)#

步骤 4

显示当前配置的引导映像(最多 4 个)。

show running-config boot system

示例:

asa/unit1/master(config)# show running-config boot system
boot system disk0:/cdisk.bin
boot system disk0:/asa931-smp-k8.bin

ASA 按列示顺序使用映像;如果第一个映像不可用,则使用下一个映像,以此类推。不能在列表顶部插入新映像 URL;要将新的映像指定为第一个映像,必须删除所有现有条目,再根据后续步骤按所需顺序输入映像 URL。

步骤 5

删除所有现有的引导映像配置,以便将新的引导映像作为首选输入:

no boot system diskn:/[路径/]asa_image_name

示例:

asa/unit1/master(config)# no boot system disk0:/cdisk.bin
asa/unit1/master(config)# no boot system disk0:/asa931-smp-k8.bin

步骤 6

将 ASA 映像设置为引导映像(您刚上传的映像):

boot system diskn:/[路径/]asa_image_name

示例:

asa/unit1/master(config)# boot system disk0://asa9829-15-1-smp-k8.bin

如果此映像不可用,请对要使用的任何备份映像重复执行此命令。例如,您可以重新输入以前删除的映像。

步骤 7

设置要使用的 ASDM 映像(您刚上传的映像):

asdm image diskn:/[路径/]asdm_image_name

示例:

asa/unit1/master(config)# asdm image disk0:/asdm-77178271417151.bin

您只能配置一个要使用的 ASDM 映像,因此您不需要先删除现有配置。

步骤 8

将新设置保存至启动配置:

write memory

这些配置更改会自动保存到数据单元。

步骤 9

如果您要升级 ASA FirePOWER 模块,请禁用 ASA REST API,否则 ASA FirePOWER 模块升级将失败。

no rest-api agent

步骤 10

如果您要升级由 ASDM 管理的 ASA FirePOWER 模块,就需要将 ASDM 连接到单个 管理 IP 地址,因此您需要记下每台设备的 IP 地址。

show running-config interface management_interface_id

记下使用的 cluster-pool 池名称。

show ip[v6] local pool 池名称

记下集群设备的 IP 地址。

示例:

asa/unit2/slave# show running-config interface gigabitethernet0/0
!
interface GigabitEthernet0/0
 management-only
 nameif inside
 security-level 100
 ip address 10.86.118.1 255.255.252.0 cluster-pool inside-pool
asa/unit2/slave# show ip local pool inside-pool
Begin           End             Mask            Free     Held     In use
10.86.118.16    10.86.118.17    255.255.252.0       0        0        2

Cluster Unit                    IP Address Allocated
unit2                           10.86.118.16
unit1                           10.86.118.17
asa1/unit2/slave#

步骤 11

升级数据单元。

选择下面的程序,具体取决于您是否还要升级 ASA FirePOWER 模块。如果也需要升级 ASA FirePOWER 模块,ASA FirePOWER 程序可以最大限度地减少 ASA 重新加载的次数。您可以在执行这些程序时选用数据单元控制台或 ASDM。如果您还无权访问所有控制台端口,但可以通过网络访问 ASDM,则可能需要使用 ASDM 而不是控制台。

 

在升级过程中,切勿使用 cluster master unit 命令强制将某个数据单元变为控制单元;否则可能导致网络连接和集群稳定相关的问题。您必须先升级并重新加载所有数据单元,然后继续此过程以确保从当前控制单元顺利地过渡到新的控制单元。

如果不进行 ASA FirePOWER 模块升级:

  1. 在控制单元上,要查看成员名称,请输入 cluster exec unit ? ,或输入 show cluster info 命令。

  2. 重新加载数据单元。

    cluster exec unit data-unit reload noconfirm

    示例:
    
asa/unit1/master# cluster exec unit unit2 reload noconfirm

  3. 对每个从属数据单元上述操作。

    为避免失去连接并使流量稳定下来,请等待每个设备恢复运行并重新加入集群(大约需要 5 分钟),然后再对下一个设备重复执行上述步骤。要查看设备何时重新加入集群,请输入 show cluster info

如果还要进行 ASA FirePOWER 模块升级(使用数据控制台):

  1. 连接到数据单元的控制台端口,然后进入全局配置模式。

    enable

    configure terminal

    示例:
    
asa/unit2/slave> enable
Password: 
asa/unit2/slave# configure terminal
asa/unit2/slave(config)#

  2. 禁用集群。

    cluster group name

    no enable

    不保存此配置;您希望在重新加载时启用集群。您需要禁用集群,以避免在升级过程中出现多次失败和重新加入;此设备应仅在所有升级和重新加载过程完成后才进行重新加入。

    示例:
    
asa/unit2/slave(config)# cluster group cluster1
asa/unit2/slave(cfg-cluster)# no enable
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either enable clustering or remove cluster group configuration.

Cluster unit unit2 transitioned from SLAVE to DISABLED
asa/unit2/ClusterDisabled(cfg-cluster)#

  3. 在此数据单元上升级 ASA FirePOWER 模块。

    对于 ASDM 管理的 ASA FirePOWER 模块,请将 ASDM 连接到您之前记下的单个 管理 IP 地址。等待升级完成。

  4. 重新加载数据单元。

    reload noconfirm

  5. 对每个从属数据单元上述操作。

    为避免失去连接并使流量稳定下来,请等待每个设备恢复运行并重新加入集群(大约需要 5 分钟),然后再对下一个设备重复执行上述步骤。要查看设备何时重新加入集群,请输入 show cluster info

如果还要进行 ASA FirePOWER 模块升级(使用 ASDM):

  1. 将 ASDM 连接到您之前记下的此数据单元的单个 管理 IP 地址。

  2. 依次选择配置 > 设备管理高可用性和可扩展性 > ASA 集群 > 集群配置 >

  3. 取消选中加入 ASA 集群复选框。

    您需要禁用集群,以避免在升级过程中出现多次失败和重新加入;此设备应仅在所有升级和重新加载过程完成后才进行重新加入。

    请勿取消选中配置 ASA 集群设置复选框,此操作会清除所有集群配置并关闭所有接口,包括 ASDM 连接到的管理接口。在此情况下,要恢复连接,您需要在控制台端口上访问 CLI。

     

    某些旧版本的 ASDM 不支持在此屏幕上禁用集群;在此情况下,请使用工具 > 命令行界面工具,点击多行单选按钮,然后输入 cluster group 名称 no enable 。您可以在主页 > 设置控制面板 > 设备信息 > ASA 集群区域中查看集群组名称。

  4. 点击应用

  5. 系统会提示您退出 ASDM。将 ASDM 重新连接到相同的 IP 地址。

  6. 升级 ASA FirePOWER 模块。

    等待升级完成。

  7. 在 ASDM 中,选择工具 > 系统重新加载

  8. 点击重新加载而不保存运行配置单选按钮。

    请勿保存配置;在主设备重新加载后,您需要在其上启用集群。

  9. 点击计划重新加载

  10. 请点击继续重新加载。

  11. 对每个从属数据单元上述操作。

    为避免失去连接并使流量稳定下来,请等待每个设备恢复运行并重新加入集群(大约需要 5 分钟),然后再对下一个设备重复执行上述步骤。要查看设备重新加入集群的时间,请查看控制单元上的监控 > ASA 集群 > 集群摘要窗格。

步骤 12

升级控制单元。

  1. 禁用集群。

    cluster group name

    no enable

    最多等待 5 分钟,以便选择新的控制单元且流量稳定下来。

    不保存此配置;您希望在重新加载时启用集群。

    我们建议在控制单元上手动禁用集群(如果可能),以便尽可能快速顺畅地选择新的控制单元。

    示例:
    
asa/unit1/master(config)# cluster group cluster1
asa/unit1/master(cfg-cluster)# no enable
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either enable clustering or remove cluster group configuration.

Cluster unit unit1 transitioned from MASTER to DISABLED
asa/unit1/ClusterDisabled(cfg-cluster)#

  2. 在此设备上升级 ASA FirePOWER 模块。

    对于 ASDM 管理的 ASA FirePOWER 模块,请将 ASDM 连接到您之前记下的单个 管理 IP 地址。主集群 IP 地址现在属于新的控制单元;此以前的控制单元仍可通过其单独的管理 IP 地址进行访问。

    等待升级完成。

  3. 重新加载此设备。

    reload noconfirm

    当以前的控制单元重新加入集群时,它将成为数据单元。

使用 ASDM 升级 ASA 集群

要升级 ASA 集群中的所有设备,请执行以下步骤。

开始之前

  • 在控制单元上执行这些步骤。如果您还要升级 ASA FirePOWER 模块,则需要 ASDM 访问每台数据单元。

  • 对于多情景模式,在系统执行空间中执行以下步骤。

  • 将 ASA 和 ASDM 映像放置在本地管理计算机上。

过程

步骤 1

通过连接到主集群 IP 地址,在控制单元上启动 ASDM。

此 IP 地址始终属于控制单元。

步骤 2

在主 ASDM 应用窗口中,依次选择工具 > 从本地计算机升级软件

系统将显示从本地计算机升级软件对话框。

步骤 3

点击集群中的所有设备 (All devices in the cluster) 单选按钮。

系统将显示升级软件对话框。

步骤 4

要上传的映像下拉列表中选择 ASDM

步骤 5

本地文件路径 (Local File Path) 字段中,点击浏览本地文件 (Browse Local Files) 以查找您计算机上的文件。

步骤 6

(可选) 在 Flash 文件系统路径 (Flash File System Path) 字段中,输入闪存文件系统的路径,或者点击浏览 Flash (Browse Flash) 在闪存文件系统中查找目录或文件。

默认情况下,此字段预先填充有以下路径:disk0:/filename

步骤 7

点击上传映像 (Upload Image)。上传过程可能需要数分钟。

步骤 8

系统会提示您将此映像设置为 ASDM 映像。点击是 (Yes)

步骤 9

系统会提示您退出 ASDM 并保存配置。点击确定 (OK)

您会退出 Upgrade 工具。注意:在升级 ASA 软件之后,您将保存配置并重新加载 ASDM。

步骤 10

重复上述步骤,从要上传的映像下拉列表中选择 ASA

步骤 11

点击工具栏上的保存图标,保存配置更改。

这些配置更改会自动保存到数据单元。

步骤 12

请记下配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 集群成员上每个设备的单独管理 IP 地址,以便您以后可以将 ASDM 直接连接到数据单元。

步骤 13

如果要升级 ASA FirePOWER 模块,请选择工具 > 命令行界面,然后输入 no rest-api enable 以禁用 ASA REST API。

如果不禁用 REST API,ASA FirePOWER 模块升级将会失败。

步骤 14

升级数据单元。

选择下面的程序,具体取决于您是否还要升级 ASA FirePOWER 模块。ASA FirePOWER 程序最大程度减少了升级 ASA FirePOWER 模块时的 ASA 重新加载次数。

 

在升级过程中,请勿使用监控 > ASA 集群 > 集群摘要将控制单元更改为页面强制数据单元成为控制单元;否则会导致网络连接性和集群稳定性相关的问题。您必须先重新加载所有数据单元,然后继续此过程以确保从当前控制单元顺利地过渡到新的控制单元。

如果不进行 ASA FirePOWER 模块升级:

  1. 在控制单元上,选择工具 > 系统重新加载

  2. 设备下拉列表中,选择数据单元名称。

  3. 点击计划重新加载 (Schedule Reload)

  4. 请点击是 (Yes) 继续重新加载。

  5. 对每个从属数据单元上述操作。

    为避免失去连接并使流量稳定下来,请等待每个设备恢复运行并重新加入集群(大约需要 5 分钟),然后再对下一个设备重复执行上述步骤。要查看设备重新加入集群的时间,请查看监控 > ASA 集群 > 集群摘要窗格。

如果还要进行 ASA FirePOWER 模块升级:

  1. 在控制单元上,选择配置 > 设备管理 > 高可用性和稳定性 > ASA 集群 > 集群成员

  2. 选择要升级的数据单元,然后点击删除 (Delete)

  3. 点击应用 (Apply)

  4. 退出 ASDM,然后通过连接到您之前记下的单个管理 IP 地址,将 ASDM 连接到数据单元。

  5. 升级 ASA FirePOWER 模块。

    等待升级完成。

  6. 在 ASDM 中,选择工具 > 系统重新加载

  7. 点击重新加载而不保存运行配置 (Reload without saving the running configuration) 单选按钮。

    请勿保存配置;在主设备重新加载后,您需要在其上启用集群。

  8. 点击计划重新加载 (Schedule Reload)

  9. 请点击是 (Yes) 继续重新加载。

  10. 对每个从属数据单元上述操作。

    为避免失去连接并使流量稳定下来,请等待每个设备恢复运行并重新加入集群(大约需要 5 分钟),然后再对下一个设备重复执行上述步骤。要查看设备重新加入集群的时间,请查看监控 > ASA 集群 > 集群摘要窗格。

步骤 15

升级控制单元。

  1. 在控制单元上的 ASDM 中,选择配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 集群配置窗格。

  2. 取消选中加入 ASA 集群 (Participate in ASA cluster) 复选框,然后点击应用 (Apply)

    系统会提示您退出 ASDM。

  3. 最多等待 5 分钟,以便选择新的控制单元且流量稳定下来。

    当以前的控制单元重新加入集群时,它将成为数据单元。

  4. 通过连接到您之前记下的单个 管理 IP 地址,将 ASDM 重新连接到之前的控制单元。

    主集群 IP 地址现在属于新的控制单元;此以前的控制单元仍可通过其单独的管理 IP 地址进行访问。

  5. 升级 ASA FirePOWER 模块。

    等待升级完成。

  6. 依次选择工具 > 重新加载系统

  7. 点击重新加载而不保存运行配置 (Reload without saving the running configuration) 单选按钮。

    请勿保存配置;在主设备重新加载后,您需要在其上启用集群。

  8. 点击计划重新加载 (Schedule Reload)

  9. 请点击是 (Yes) 继续重新加载。

    系统会提示您退出 ASDM。在主集群 IP 地址上重启 ASDM;您将重新连接到新的控制单元。

升级带有 FMC 的 ASA FirePOWER 模块

使用此程序升级由 FMC 管理的 ASA FirePOWER 模块。何时升级模块取决于是否升级 ASA,以及 ASA 部署。

  • 独立 ASA 设备:如果您同时还在升级 ASA,请在升级 ASA 立即升级 ASA FirePOWER 模块,然后重新加载。

  • ASA 集群和故障转移对:为避免流量和检查出现中断,请逐一完全升级这些设备。如果还要升级 ASA,请在重新加载每个单元以升级 ASA 之前升级 ASA FirePOWER 模块

有关详细信息,请参阅 升级路径: ASA FirePOWER 和 ASA 升级程序。

开始之前

完成预升级核对表。确保部署中的设备保持正常运行,并且能够成功通信。

过程

步骤 1

选择系统 > 更新

步骤 2

点击您想要使用的升级软件包旁边的安装图标,然后选择要升级的设备。

如果您想要升级的设备未列出,则表示您选择了错误的升级软件包。

 

我们强烈 建议同时从“系统更新”页面升级的设备数不超过五个。不能在所有选定设备完成升级过程之前停止升级。如果任何一个设备升级存在问题,则必须等待所有设备均完成升级,然后才可以解决该问题。

步骤 3

点击安装 (Install),然后确认您要升级并重启设备。

流量在整个升级过程中丢弃还是不进行检测就穿过网络,取决于您的设备的配置和部署方式。有关详细信息,请参阅目标版本的Cisco Firepower 发行说明中的升级软件一章。

步骤 4

监控升级进度。

小心

 

将更改部署到正在升级的设备或部署更改到,手动重启正在升级的设备,或者关闭正在升级的设备。请勿重启正在进行的设备升级。升级过程在预检查期间可能会显示为非活动;这是预期行为。如果您遇到升级问题,升级失败的升级或无响应的设备,请联系 Cisco TAC

步骤 5

验证升级是否成功。

升级过程完成后,选择设备 > 设备管理,并确认您升级的设备具有正确的软件版本。

步骤 6

更新入侵规则 (SRU/LSP) 和漏洞数据库 (VDB)。

如果 思科支持和下载站点 上提供的组件比当前运行的版本新,请安装新版本。请注意,在更新入侵规则时,不需要自动重新应用策略。您可以稍后执行该操作。

步骤 7

完成发行说明中所述的任何升级后配置更改。

步骤 8

将配置重新部署到将刚才升级的设备。

此文档是否有帮助?

Feedback反馈

联系我们