Aggiorna FMC in alta disponibilità

Opzioni per il download

  • PDF     (1.3 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (1.1 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:31 maggio 2024
ID documento:220602

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come aggiornare un ambiente di Centro gestione firewall sicuro (FMC) in alta disponibilità (HA).

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Concetti sull'alta disponibilità
    • Configurazione FMC sicura

    Componenti usati

    Le informazioni fornite in questo documento si basano sulla versione 7.1.0 di Virtual Secure FMC.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    L'aggiornamento deve essere un peer alla volta.

    Sospendere innanzitutto la sincronizzazione tra i peer.

    Quindi, l'aggiornamento deve essere eseguito prima in modalità Standby, seguito dal FMC attivo.

    icona di avviso

    Avviso: mentre il peer in standby sta lavorando ai controlli preliminari/all'installazione, entrambi i peer passano ad attivo; questo processo è detto split-brain.
    È totalmente previsto durante l'aggiornamento. Durante questo periodo, non è necessario apportare o distribuire alcuna modifica alla configurazione.
    Se si apportano modifiche alla configurazione, è possibile che queste vadano perse dopo il riavvio della sincronizzazione.

    Pre-aggiornamento

    1. Pianificare il percorso di aggiornamento. Nelle distribuzioni di FMC, in genere si aggiorna il FMC e quindi i relativi dispositivi gestiti. Individuare sempre l'aggiornamento appena eseguito e quello successivo.
    1. Leggere tutte le linee guida per l'aggiornamento e pianificare le modifiche alla configurazione.
    2. Controllare la larghezza di banda. Verificare che la rete di gestione disponga della larghezza di banda necessaria per eseguire trasferimenti di dati di grandi dimensioni.
    1. Pianificare le finestre di manutenzione.
    2. Eseguire il backup della configurazione prima e dopo l'aggiornamento. Sistema > Backup/Ripristino > Firepower Management backup. Scaricare il backup nel computer locale.
    1. Aggiornare l'hosting virtuale. Questa operazione è necessaria quando si esegue una versione precedente di VMware.
    2. Controllare le configurazioni.
    3. Controllare la sincronizzazione NTP.
      FMC: scegliere Sistema > Configurazione > Tempo.
      Devices: usare il comando show time CLI.
    1. Controllare lo spazio su disco.
    2. Distribuire le configurazioni. Nelle distribuzioni ad alta disponibilità di FMC, è necessario eseguire la distribuzione solo dal peer attivo.
    3. Controllare le attività in esecuzione. Verificare che non vi siano distribuzioni in sospeso.

    Procedura di aggiornamento

    Passaggio 1. Sospendi sincronizzazione

    Nell'unità attiva passare alla scheda Alta disponibilità nel CCP.

    Sistema > Integrazione > Alta disponibilità

    Sospendi sincronizzazione. Seleziona sistema e integrazioneSospendi sincronizzazione. Seleziona sistema e integrazione

    Sospendi sincronizzazione. Seleziona alta disponibilitàSospendi sincronizzazione. Seleziona alta disponibilità

    Selezionare Sospendi sincronizzazione.

    Seleziona Sospendi sincronizzazioneSospendi sincronizzazione

    Attendere la sospensione della sincronizzazione. Al termine, lo stato deve essere sospeso dall'utente.
    Lo stato della sincronizzazione deve essere sospeso per utenteLo stato della sincronizzazione deve essere sospeso per utente

    Passaggio 2. Carica il pacchetto di aggiornamento

    Accedere all'unità di standby e caricare il pacchetto di aggiornamento.

    Sistema > Aggiornamenti > Carica aggiornamento

    Carica il pacchetto di aggiornamentoCarica il pacchetto di aggiornamento

    Sfogliare il pacchetto scaricato in precedenza della versione da aggiornare.

    Seleziona file di aggiornamentoSeleziona file di aggiornamento

    Passaggio 3. Verifica preparazione

    Eseguire un controllo di idoneità sull'accessorio da aggiornare.

    Fare clic sull'icona install (installa) accanto al pacchetto di aggiornamento appropriato.

    Installa pacchetto di aggiornamento per verifica preparazioneInstalla pacchetto di aggiornamento per verifica preparazione

    Selezionare l'accessorio da controllare e fare clic su Verifica preparazione.

    Selezionare Verifica preparazioneSelezionare Verifica preparazione

    L'avanzamento può essere controllato nel centro messaggi.

    Messaggi > Task > Esecuzione

    Verifica preparazione in corso sotto i taskVerifica preparazione in corso

    Una volta completato, è possibile visualizzare lo stato in Risultati controllo preparazione.

    Se l'operazione ha esito positivo, è possibile continuare con l'installazione del pacchetto.

    Passaggio 4. Installa il pacchetto di aggiornamento

    Selezionare l'accessorio da aggiornare. Fare clic su Install (Installa).

    Installa il pacchetto di aggiornamento nel dispositivo selezionatoInstalla il pacchetto di aggiornamento

    Avvertenza per il cervello diviso, fare clic su OK.

    Avvertenza sulla divisione del cervelloAvvertenza sulla divisione del cervello

    Lo stato di avanzamento può essere controllato in Messaggi > Attività.

    Monitoraggio dell'installazione in OperazioniInstallazione monitor

    note-icon

    Nota: l'installazione richiede circa 30 minuti.

    Se si dispone dell'accesso CLI, è possibile verificare lo stato nella cartella di aggiornamento /var/log/sf; passare alla modalità Expert e accedere alla directory principale di accesso.

    > expert
    admin@firepower:~$ sudo su
    Password: 
    root@firepower:/Volume/home/admin# cd /var/log/sf/

    root@firepower:/var/log/sf# ls
    Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4 

root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# ls
000_start  AQ_UUID  DBCheck.log  exception.log  flags.conf  main_upgrade_script.log  status.log  status.log.202307180405  upgrade_readiness  upgrade_status.json  upgrade_status.log  upgrade_version_build

root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# tail -f status.log 

    Al termine dell'aggiornamento, il FMC viene riavviato.

    ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
    ui:[100%] [1 mins to go for reboot] Upgrade complete
    ui:[100%] [1 mins to go for reboot] The system will now reboot.
    ui:System will now reboot.

    Broadcast message from root@firepower (Tue Jul 18 05:08:57 2023):

    System will reboot in 5 seconds due to system upgrade.

    Broadcast message from root@firepower (Tue Jul 18 05:09:02 2023):

    System will reboot now due to system upgrade.

    ui:[100%] [1 mins to go for reboot] Installation completed successfully.
    ui:Upgrade has completed.
    state:finished

    Broadcast message from root@firepower (Tue Jul 18 05:09:25 2023):

    The system is going down for reboot NOW!

    Dopo il riavvio, il CCP fisico deve visualizzare il modello corretto nel CCP.

    GUI > Aiuto > Informazioni su

    Informazioni su modelli e versioni nell'interfaccia utente di FMCInformazioni su modelli e versioni in FMC

    Integrazione > Alta disponibilità

    Riepilogo HA quando viene aggiornato solo il FMC in standbyRiepilogo HA quando viene aggiornato solo il FMC in standby

    Dalla CLI, è possibile controllare la versione dopo aver accettato il contratto di licenza.

    Copyright 2004-2023, Cisco and/or its affiliates. All rights reserved.
    Cisco is a registered trademark of Cisco Systems, Inc.
    All other trademarks are property of their respective owners.

    Cisco Firepower Extensible Operating System (FX-OS) v2.12.0 (build 499)
    Cisco Secure Firewall Management Center for VMware v7.2.4 (build 169)

    >
    > show version
    -------------------[ firepower ]--------------------
    Model                     : Secure Firewall Management Center for VMware (66) Version 7.2.4 (Build 169)
    UUID                      : 1c71ae24-1e60-11ed-8459-9758e19f1a24
    Rules update version      : 2023-01-09-001-vrt
    LSP version               : lsp-rel-20220511-1540
    VDB version               : 353
    ----------------------------------------------------

    Passaggio 5. Aggiorna peer attivo

    Ripetere i punti da 2 a 4 nell'unità attiva:

    1. Caricare il pacchetto di aggiornamento.

    2. Verifica della fattibilità.

    3. Installare il pacchetto di aggiornamento.

      4.

    Passaggio 6. Attivare il CCP desiderato

    Al termine dell'aggiornamento di entrambi i CCP, accedere al CCP che si desidera rendere attivo e selezionare l'opzione Rendi attivo.

    Integrazione > Alta disponibilità > Rendi attivo

    Attivare il CCP desideratoAttivare il CCP desiderato

    Avvisi sui processi e sovrascrittura di eventuali configurazioni eseguite nel peer in standby, selezionare per continuare.

    Avviso relativo alla sovrascrittura attiva della configurazione sul peer in standbyAvviso relativo alla sovrascrittura attiva della configurazione sul peer in standby

    Selezionare OK per rendere attivo il peer desideratoSelezionare OK

    Avvertenza sulla risoluzione del cervello divisoRisoluzione di [PROD143]e del cervello

    Attendere il riavvio della sincronizzazione e l'altro FMC passa alla modalità standby.

    Sincronizzazione FMC in corsoSincronizzazione FMC

    note-icon

    Nota: la sincronizzazione può richiedere fino a 20 minuti.

    Distribuire le modifiche in sospeso nell'unità attiva del CCP per completare il processo di aggiornamento.

    Convalida

    Dopo che entrambi i CCP sono nella stessa versione e la sincronizzazione è stata completata, la scheda Riepilogo disponibilità elevata deve avere il seguente aspetto:
    Integrazione > Alta disponibilità

    Convalida aggiornamento in FMCConvalida aggiornamento in FMC

    icona di avviso

    Avviso: se lo stato di sincronizzazione finale indica una versione danneggiata o un risultato diverso da OK, contattare TAC.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    2.0
    31-May-2024
    Testo alternativo, didascalie delle immagini, dichiarazione di non responsabilità, ortografia e formattazione aggiornati.
    1.0
    21-Jul-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Marlene Preciado
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti