Actualización de FTD HA gestionado por FMC

Opciones de descarga

  • PDF     (1.4 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.2 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.2 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:8 de abril de 2024
ID del documento:220668

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe el proceso de actualización para Cisco Secure Firewall Threat Defense en alta disponibilidad administrado por un centro de administración de firewall.

    Prerequisites

    Requirements

    Cisco recomienda tener conocimientos de estos temas:

    • Conceptos y configuración de alta disponibilidad (HA)
    • Configuración de Secure Firewall Management Center (FMC)
    • Configuración de Cisco Secure Firewall Threat Defence (FTD)

    Componentes Utilizados

    La información de este documento se basa en:

    • Virtual Firewall Management Center (FMC), versión 7.2.4
    • Virtual Cisco Firewall Threat Defence (FTD), versión 7.0.1

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Overview

    El funcionamiento del FMC consiste en actualizar un par cada vez. Primero el Standby, luego el Active, haciendo una conmutación por fallas antes de que la actualización Active se complete.

    Antecedentes

    El paquete de actualización se debe descargar de software.cisco.com antes de la actualización.

    En el clish de CLI, ejecute el comando show high-availability config en el FTD activo para verificar el estado de High Availability.

    > show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FAILOVER_LINK GigabitEthernet0/0 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1285 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.16(2)5, Mate 9.16(2)5
Serial Number: Ours 9AJJSEGJS2T, Mate 9AVLW3FSSK8
Last Failover at: 00:37:48 UTC Jul 20 2023

        This host: Secondary - Standby Ready
                Active time: 4585 (sec)
                slot 0: ASAv hw/sw rev (/9.16(2)5) status (Up Sys)
                  Interface INSIDE (10.10.153.2): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                  Interface OUTSIDE (10.20.153.2): Normal (Monitored)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

        Other host: Primary - Active
                Active time: 60847 (sec)
                  Interface INSIDE (10.10.153.1): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                  Interface OUTSIDE (10.20.153.1): Normal (Monitored)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics

        Link : FAILOVER_LINK GigabitEthernet0/0 (up)
        Stateful Obj    xmit       xerr       rcv        rerr     
        General         9192       0          10774      0        
        sys cmd         9094       0          9092       0        
…
        Rule DB B-Sync  0          0          0          0        
        Rule DB P-Sync  0          0          204        0        
        Rule DB Delete  0          0          1          0        

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       9       45336
        Xmit Q:         0       11      11572

    Si no hay errores visibles, continúe con la actualización.

    Configurar

    Paso 1. Cargar paquete de actualización

    • Cargue el paquete de actualización del FTD en el FMC mediante la interfaz gráfica de usuario (GUI).
      Esto debe descargarse previamente del sitio de software de Cisco en función del modelo de FTD y de la versión deseada.
    icono de advertencia

    Advertencia: Asegúrese de que la versión del FMC es superior o igual a la nueva versión del FTD que se va a actualizar.

    Sistema > Actualizaciones

    Paquete de actualización de carga de FMC

    • Seleccione Cargar actualización.

    Cargar paquete de actualización

    • Busque la imagen descargada anteriormente y, a continuación, seleccione Cargar.

    Seleccionar imagen para cargar

    Paso 2. Comprobar preparación

    Las comprobaciones de preparación confirman si los dispositivos están preparados para continuar con la actualización.

    • Seleccione la opción Install en el paquete de actualización correcto.

    Cargar mensaje correcto

    Seleccione la actualización que prefiera. En este caso, la selección es para:

    • Cancelar automáticamente en caso de fallo de actualización y revertir a la versión anterior.
    • Habilitar la reversión después de una actualización correcta.
    • Actualice Snort 2 a Snort 3.
    • Seleccione el grupo HA de FTD y haga clic en Check Readiness.

    Comprobar preparación

    El progreso se puede verificar en el centro de mensajes Mensajes > Tareas.

    Comprobación de preparación finalizada

    Una vez completada la comprobación de preparación en FTD y obtenido el resultado con éxito, se puede realizar la actualización.

    Comprobación de preparación correcta

    Paso 3. Actualización de FTD en alta disponibilidad

    • Seleccione el par HA y haga clic en Install.

    Instalar actualización del paquete

    Advertencia para continuar con la actualización, el sistema se reinicia para completar la actualización. Seleccione Aceptar.

    Advertencia Reinicio

    El progreso se puede verificar en el centro de mensajes Mensajes > Tareas.

    Actualizar Ver detalles

    Si hace clic en firepower: Ver detalles, el progreso se muestra de forma gráfica y los registros de status.log.

    Progreso de actualización 2

    icono de nota

    Nota: La actualización tarda unos 20 minutos por FTD.

    En CLI, el progreso se puede verificar en la carpeta de actualización /ngfw/var/log/sf; pase al modo experto e ingrese al acceso raíz.

    > expert
admin@firepower:~$ sudo su
Password: 
root@firepower:/home/admin# cd /ngfw/var/log/sf

root@firepower:/ngfw/var/log/sf# ls
Cisco_FTD_Upgrade-7.2.4

root@firepower:/ngfw/var/log/sf# cd Cisco_FTD_Upgrade-7.2.4

root@firepower:/ngfw/var/log/sf/Cisco_FTD_Upgrade-7.2.4# ls
000_start  AQ_UUID  DBCheck.log  finished_kickstart.flag  flags.conf  main_upgrade_script.log  status.log  status.log.202307201832  upgrade_readiness  upgrade_status.json  upgrade_status.log  upgrade_version_build

root@firepower:/ngfw/var/log/sf/Cisco_FTD_Upgrade-7.2.4# tail -f status.log
state:running
ui:Upgrade has begun.
ui: Upgrade in progress: ( 0% done.14 mins to reboot). Checking device readiness... (000_start/000_00_run_cli_kick_start.sh)
…
ui: Upgrade in progress: (64% done. 5 mins to reboot). Finishing the upgrade... (999_finish/999_zzz_complete_upgrade_message.sh)
ui: Upgrade complete
ui: The system will now reboot.
ui:System will now reboot.

Broadcast message from root@firepower (Thu Jul 20 19:05:20 2023):

System will reboot in 5 seconds due to system upgrade.

Broadcast message from root@firepower (Thu Jul 20 19:05:25 2023):

System will reboot now due to system upgrade.

Broadcast message from root@firepower (Thu Jul 20 19:05:34 2023):

The system is going down for reboot NOW!

    El estado de actualización se marca como completado en la GUI y muestra los siguientes pasos.

    Actualización completa de GUI

    Una vez completada la actualización en el dispositivo en espera, se inicia en el dispositivo activo.

    Actualización en FTD activo

    En CLI, vaya a LINA (system support diagnostic-cli) y verifique el estado de conmutación por fallas en el FTD en espera mediante el comando show failover state.

    > system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

firepower> enable
Password:
firepower# show failover state

               State          Last Failure Reason      Date/Time
This host  -   Secondary
               Standby Ready  None
Other host -   Primary
               Active         None

====Configuration State===
        Sync Done - STANDBY
====Communication State===
        Mac set

firepower# 
        Switching to Active
    icono de nota

    Nota: La conmutación por fallo se produce automáticamente como parte de la actualización. Antes de que el FTD activo se reinicie y complete la actualización.

    Una vez completada la actualización, es necesario reiniciar:

    Actualización de GUI completa

    Paso 4. Switch Active Peer (Opcional)

    icono de nota

    Nota: si el dispositivo secundario está activo, no tiene ningún impacto en el funcionamiento.
    Tener un dispositivo principal tan activo y secundario como en espera es una práctica recomendada que ayuda a realizar un seguimiento de cualquier fallo que se pueda producir.

    En este caso, el FTD activo está ahora en espera, se puede utilizar una conmutación por fallo manual para volver a activarlo.

    • Desplácese hasta los tres puntos situados junto al signo de edición.

    Par de switch

    • Seleccione Switch Active Peer.

    Par activo del switch

    • Seleccione YES para confirmar la conmutación por error.

    Switch Active Peer 2

    Validación del estado de alta disponibilidad al final de la actualización y conmutación por fallo realizada.
    Devices > Device Management

    Aspecto final

    Paso 5. Implementación final

    • Implementar una política en dispositivos Implementar > Implementar en este dispositivo.

    ImplementaciónImplementación completa

    Validar

    Para validar que el estado de alta disponibilidad y la actualización han finalizado, debe confirmar el estado:
    Primario: Activo
    Secundario: preparado en espera
    Ambos se encuentran en la versión que es la que se ha cambiado recientemente (7.2.4 en este ejemplo).

    • En FMC GUI, navegue hasta Devices > Device Management.

    Validación FINAL

    • Durante el clish de CLI, verifique el estado de failover usando el comando show failover state y show failover para obtener información más detallada.
    Cisco Firepower Extensible Operating System (FX-OS) v2.12.0 (build 499)
Cisco Firepower Threat Defense for VMware v7.2.4 (build 165)

> show failover state

               State          Last Failure Reason      Date/Time
This host  -   Primary
               Active         None
Other host -   Secondary
               Standby Ready  None

====Configuration State===
====Communication State===
        Mac set

> show failover
Failover On 
Failover unit Primary
Failover LAN Interface: FAILOVER_LINK GigabitEthernet0/0 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1285 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.18(3)39, Mate 9.18(3)39
Serial Number: Ours 9AVLW3FSSK8, Mate 9AJJSEGJS2T
Last Failover at: 19:56:41 UTC Jul 20 2023
        This host: Primary - Active 
                Active time: 181629 (sec)
                slot 0: ASAv hw/sw rev (/9.18(3)39) status (Up Sys)
                  Interface INSIDE (10.10.153.1): Normal (Monitored)
                  Interface OUTSIDE (10.20.153.1): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Secondary - Standby Ready 
                Active time: 2390 (sec)
                  Interface INSIDE (10.10.153.2): Normal (Monitored)
                  Interface OUTSIDE (10.20.153.2): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FAILOVER_LINK GigabitEthernet0/0 (up)
        Stateful Obj    xmit       xerr       rcv        rerr      
        General         29336      0          24445      0         
        sys cmd         24418      0          24393      0         
...       

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       11      25331
        Xmit Q:         0       1       127887

    Si ambos FTD se encuentran en la misma versión y el estado de alta disponibilidad es correcto, la actualización ha finalizado.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    3.0
    08-Apr-2024
    Texto alternativo, ortografía y formato actualizados.
    2.0
    02-Aug-2023
    Versión inicial
    1.0
    28-Jul-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Marlene Preciado
      Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos