Introduzione
In questo documento viene descritto come aggiornare un ambiente di Centro gestione firewall sicuro (FMC) in alta disponibilità (HA).
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Concetti sull'alta disponibilità
- Configurazione FMC sicura
Componenti usati
Le informazioni fornite in questo documento si basano sulla versione 7.1.0 di Virtual Secure FMC.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
L'aggiornamento deve essere un peer alla volta.
Sospendere innanzitutto la sincronizzazione tra i peer.
Quindi, l'aggiornamento deve essere eseguito prima in modalità Standby, seguito dal FMC attivo.
Avviso: mentre il peer in standby sta lavorando ai controlli preliminari/all'installazione, entrambi i peer passano ad attivo; questo processo è detto split-brain.
È totalmente previsto durante l'aggiornamento. Durante questo periodo, non è necessario apportare o distribuire alcuna modifica alla configurazione.
Se si apportano modifiche alla configurazione, è possibile che queste vadano perse dopo il riavvio della sincronizzazione.
Pre-aggiornamento
- Pianificare il percorso di aggiornamento. Nelle distribuzioni di FMC, in genere si aggiorna il FMC e quindi i relativi dispositivi gestiti. Individuare sempre l'aggiornamento appena eseguito e quello successivo.
- Leggere tutte le linee guida per l'aggiornamento e pianificare le modifiche alla configurazione.
- Controllare la larghezza di banda. Verificare che la rete di gestione disponga della larghezza di banda necessaria per eseguire trasferimenti di dati di grandi dimensioni.
- Pianificare le finestre di manutenzione.
- Eseguire il backup della configurazione prima e dopo l'aggiornamento. Sistema > Backup/Ripristino > Firepower Management backup. Scaricare il backup nel computer locale.
- Aggiornare l'hosting virtuale. Questa operazione è necessaria quando si esegue una versione precedente di VMware.
- Controllare le configurazioni.
- Controllare la sincronizzazione NTP.
FMC: scegliere Sistema > Configurazione > Tempo.
Devices: usare il comando show time CLI.
- Controllare lo spazio su disco.
- Distribuire le configurazioni. Nelle distribuzioni ad alta disponibilità di FMC, è necessario eseguire la distribuzione solo dal peer attivo.
- Controllare le attività in esecuzione. Verificare che non vi siano distribuzioni in sospeso.
Procedura di aggiornamento
Passaggio 1. Sospendi sincronizzazione
Nell'unità attiva passare alla scheda Alta disponibilità nel CCP.
Sistema > Integrazione > Alta disponibilità
Sospendi sincronizzazione. Seleziona sistema e integrazione
Sospendi sincronizzazione. Seleziona alta disponibilità
Selezionare Sospendi sincronizzazione.
Sospendi sincronizzazione
Attendere la sospensione della sincronizzazione. Al termine, lo stato deve essere sospeso dall'utente.
Lo stato della sincronizzazione deve essere sospeso per utente
Passaggio 2. Carica il pacchetto di aggiornamento
Accedere all'unità di standby e caricare il pacchetto di aggiornamento.
Sistema > Aggiornamenti > Carica aggiornamento
Carica il pacchetto di aggiornamento
Sfogliare il pacchetto scaricato in precedenza della versione da aggiornare.
Seleziona file di aggiornamento
Passaggio 3. Verifica preparazione
Eseguire un controllo di idoneità sull'accessorio da aggiornare.
Fare clic sull'icona install (installa) accanto al pacchetto di aggiornamento appropriato.
Installa pacchetto di aggiornamento per verifica preparazione
Selezionare l'accessorio da controllare e fare clic su Verifica preparazione.
Selezionare Verifica preparazione
L'avanzamento può essere controllato nel centro messaggi.
Messaggi > Task > Esecuzione
Verifica preparazione in corso
Una volta completato, è possibile visualizzare lo stato in Risultati controllo preparazione.
Se l'operazione ha esito positivo, è possibile continuare con l'installazione del pacchetto.
Passaggio 4. Installa il pacchetto di aggiornamento
Selezionare l'accessorio da aggiornare. Fare clic su Install (Installa).
Installa il pacchetto di aggiornamento
Avvertenza per il cervello diviso, fare clic su OK.
Avvertenza sulla divisione del cervello
Lo stato di avanzamento può essere controllato in Messaggi > Attività.
Installazione monitor
Nota: l'installazione richiede circa 30 minuti.
Se si dispone dell'accesso CLI, è possibile verificare lo stato nella cartella di aggiornamento /var/log/sf; passare alla modalità Expert e accedere alla directory principale di accesso.
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/Volume/home/admin# cd /var/log/sf/
root@firepower:/var/log/sf# ls
Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4
root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# ls
000_start AQ_UUID DBCheck.log exception.log flags.conf main_upgrade_script.log status.log status.log.202307180405 upgrade_readiness upgrade_status.json upgrade_status.log upgrade_version_build
root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# tail -f status.log
Al termine dell'aggiornamento, il FMC viene riavviato.
ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
ui:[100%] [1 mins to go for reboot] Upgrade complete
ui:[100%] [1 mins to go for reboot] The system will now reboot.
ui:System will now reboot.
Broadcast message from root@firepower (Tue Jul 18 05:08:57 2023):
System will reboot in 5 seconds due to system upgrade.
Broadcast message from root@firepower (Tue Jul 18 05:09:02 2023):
System will reboot now due to system upgrade.
ui:[100%] [1 mins to go for reboot] Installation completed successfully.
ui:Upgrade has completed.
state:finished
Broadcast message from root@firepower (Tue Jul 18 05:09:25 2023):
The system is going down for reboot NOW!
Dopo il riavvio, il CCP fisico deve visualizzare il modello corretto nel CCP.
GUI > Aiuto > Informazioni su
Informazioni su modelli e versioni in FMC
Integrazione > Alta disponibilità
Riepilogo HA quando viene aggiornato solo il FMC in standby
Dalla CLI, è possibile controllare la versione dopo aver accettato il contratto di licenza.
Copyright 2004-2023, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Firepower Extensible Operating System (FX-OS) v2.12.0 (build 499)
Cisco Secure Firewall Management Center for VMware v7.2.4 (build 169)
>
> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.2.4 (Build 169)
UUID : 1c71ae24-1e60-11ed-8459-9758e19f1a24
Rules update version : 2023-01-09-001-vrt
LSP version : lsp-rel-20220511-1540
VDB version : 353
----------------------------------------------------
Passaggio 5. Aggiorna peer attivo
Ripetere i punti da 2 a 4 nell'unità attiva:
- Caricare il pacchetto di aggiornamento.
-
Verifica della fattibilità.
-
Installare il pacchetto di aggiornamento.
Passaggio 6. Attivare il CCP desiderato
Al termine dell'aggiornamento di entrambi i CCP, accedere al CCP che si desidera rendere attivo e selezionare l'opzione Rendi attivo.
Integrazione > Alta disponibilità > Rendi attivo
Attivare il CCP desiderato
Avvisi sui processi e sovrascrittura di eventuali configurazioni eseguite nel peer in standby, selezionare SÌ per continuare.
Avviso relativo alla sovrascrittura attiva della configurazione sul peer in standby
Selezionare OK
Risoluzione di [PROD143]e del cervello
Attendere il riavvio della sincronizzazione e l'altro FMC passa alla modalità standby.
Sincronizzazione FMC
Nota: la sincronizzazione può richiedere fino a 20 minuti.
Distribuire le modifiche in sospeso nell'unità attiva del CCP per completare il processo di aggiornamento.
Convalida
Dopo che entrambi i CCP sono nella stessa versione e la sincronizzazione è stata completata, la scheda Riepilogo disponibilità elevata deve avere il seguente aspetto:
Integrazione > Alta disponibilità
Convalida aggiornamento in FMC
Avviso: se lo stato di sincronizzazione finale indica una versione danneggiata o un risultato diverso da OK, contattare TAC.