Aggiorna FTD HA gestito da FMC

Introduzione

In questo documento viene descritto il processo di aggiornamento di Cisco Secure Firewall Threat Defense in High Availability gestito da un centro di gestione dei firewall.

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Concetti e configurazione dell'alta disponibilità (HA, High Availability)
• Configurazione di Centro gestione firewall sicuro
• Configurazione Cisco Secure Firewall Threat Defense (FTD)

Componenti usati

Le informazioni fornite in questo documento si basano su:

• Virtual Firewall Management Center (FMC), versione 7.2.4
• Virtual Cisco Firewall Threat Defense (FTD), versione 7.0.1

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Panoramica

Il funzionamento del CCP prevede l'aggiornamento di un peer alla volta. Prima lo standby, quindi lo stato Attivo, eseguendo un failover prima del completamento dell'aggiornamento Attivo.

Premesse

Il pacchetto di aggiornamento deve essere scaricato da software.cisco.com prima dell'aggiornamento.

Dalla CLI, eseguire il comando show high-availability config nel file FTD attivo per controllare lo stato dell'elevata disponibilità.

> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FAILOVER_LINK GigabitEthernet0/0 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1285 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.16(2)5, Mate 9.16(2)5
Serial Number: Ours 9AJJSEGJS2T, Mate 9AVLW3FSSK8
Last Failover at: 00:37:48 UTC Jul 20 2023

        This host: Secondary - Standby Ready
                Active time: 4585 (sec)
                slot 0: ASAv hw/sw rev (/9.16(2)5) status (Up Sys)
                  Interface INSIDE (10.10.153.2): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                  Interface OUTSIDE (10.20.153.2): Normal (Monitored)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

        Other host: Primary - Active
                Active time: 60847 (sec)
                  Interface INSIDE (10.10.153.1): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                  Interface OUTSIDE (10.20.153.1): Normal (Monitored)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics

        Link : FAILOVER_LINK GigabitEthernet0/0 (up)
        Stateful Obj    xmit       xerr       rcv        rerr     
        General         9192       0          10774      0        
        sys cmd         9094       0          9092       0        
…
        Rule DB B-Sync  0          0          0          0        
        Rule DB P-Sync  0          0          204        0        
        Rule DB Delete  0          0          1          0        

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       9       45336
        Xmit Q:         0       11      11572

Se non sono visibili errori, procedere con l'aggiornamento.

Configurazione

Passaggio 1. Carica pacchetto di aggiornamento

• Caricare il pacchetto di aggiornamento FTD nel FMC utilizzando l'interfaccia utente grafica (GUI).
  Questa versione deve essere precedentemente scaricata dal sito del software Cisco in base al modello FTD e alla versione desiderata.

Sistema > Aggiornamenti

• Selezionare Upload Update.

• Cercare l'immagine scaricata in precedenza, quindi selezionare Upload (Carica).

Passaggio 2. Verifica preparazione

I controlli di idoneità confermano se gli accessori sono pronti per l'aggiornamento.

• Selezionare l'opzione Install (Installa) nel pacchetto di aggiornamento corretto.

Selezionare l'aggiornamento desiderato. In questo caso, la selezione è per:

• Annulla automaticamente in caso di errore di aggiornamento e ripristina la versione precedente.
• Abilitare il ripristino dopo l'aggiornamento.
• Aggiornare Snort 2 a Snort 3.

• Selezionare il gruppo HA di FTD e fare clic su Verifica preparazione.

L'avanzamento può essere controllato nel centro messaggi Messaggi > Attività.

Quando il controllo di fattibilità viene completato sia in FTD che in caso di esito positivo, è possibile eseguire l'aggiornamento.

Passaggio 3. Aggiorna FTD in alta disponibilità

• Selezionare la coppia HA e fare clic su Installa.

Avviso per continuare l'aggiornamento. Il sistema si riavvia per completare l'aggiornamento. Selezionare OK.

L'avanzamento può essere controllato nel centro messaggi Messaggi > Attività.

Se si fa clic su firepower: Visualizza dettagli, l'avanzamento viene visualizzato graficamente e i log di status.log.

Dalla CLI, lo stato può essere controllato nella cartella di aggiornamento /ngfw/var/log/sf; passare alla modalità Expert e accedere alla directory principale.

> expert
admin@firepower:~$ sudo su
Password: 
root@firepower:/home/admin# cd /ngfw/var/log/sf

root@firepower:/ngfw/var/log/sf# ls
Cisco_FTD_Upgrade-7.2.4

root@firepower:/ngfw/var/log/sf# cd Cisco_FTD_Upgrade-7.2.4

root@firepower:/ngfw/var/log/sf/Cisco_FTD_Upgrade-7.2.4# ls
000_start  AQ_UUID  DBCheck.log  finished_kickstart.flag  flags.conf  main_upgrade_script.log  status.log  status.log.202307201832  upgrade_readiness  upgrade_status.json  upgrade_status.log  upgrade_version_build

root@firepower:/ngfw/var/log/sf/Cisco_FTD_Upgrade-7.2.4# tail -f status.log
state:running
ui:Upgrade has begun.
ui: Upgrade in progress: ( 0% done.14 mins to reboot). Checking device readiness... (000_start/000_00_run_cli_kick_start.sh)
…
ui: Upgrade in progress: (64% done. 5 mins to reboot). Finishing the upgrade... (999_finish/999_zzz_complete_upgrade_message.sh)
ui: Upgrade complete
ui: The system will now reboot.
ui:System will now reboot.

Broadcast message from root@firepower (Thu Jul 20 19:05:20 2023):

System will reboot in 5 seconds due to system upgrade.

Broadcast message from root@firepower (Thu Jul 20 19:05:25 2023):

System will reboot now due to system upgrade.

Broadcast message from root@firepower (Thu Jul 20 19:05:34 2023):

The system is going down for reboot NOW!

Lo stato dell'aggiornamento è contrassegnato come completato sulla GUI e mostra i passaggi successivi.

Al termine dell'aggiornamento nel dispositivo di standby, l'aggiornamento viene avviato nel dispositivo attivo.

Dalla CLI, passare a LINA (system support diagnostic-cli) e controllare lo stato di failover sull'FTD in standby usando il comando show failover state.

> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

firepower> enable
Password:
firepower# show failover state

               State          Last Failure Reason      Date/Time
This host  -   Secondary
               Standby Ready  None
Other host -   Primary
               Active         None

====Configuration State===
        Sync Done - STANDBY
====Communication State===
        Mac set

firepower# 
        Switching to Active

Al termine dell'aggiornamento, è necessario riavviare il sistema:

Passaggio 4. Switch Active Peer (opzionale)

In questo caso, l'FTD attivo è ora Standby e può essere utilizzato un failover manuale per reimpostarlo su Attivo.

• Passare ai tre punti accanto al segno di modifica.

• Selezionare Switch Active Peer.

• Selezionare YES per confermare il failover.

Convalida dello stato di elevata disponibilità al termine dell'aggiornamento e del failover.
Dispositivi > Gestione dispositivi

Passaggio 5. Installazione finale

• Distribuisci un criterio ai dispositivi Distribuisci > Distribuisci al dispositivo.

Convalida

Per convalidare lo stato dell'alta disponibilità e il completamento dell'aggiornamento, è necessario confermare lo stato:
Primario: attivo
Secondario: Pronto per standby
Entrambi si trovano nella versione modificata di recente (7.2.4 in questo esempio).

• Nell'interfaccia utente di FMC, selezionare Devices > Device Management (Dispositivi > Gestione dispositivi).

• Dalla CLI, controllare lo stato del failover usando il comando show failover state e show failover per informazioni più dettagliate.

Cisco Firepower Extensible Operating System (FX-OS) v2.12.0 (build 499)
Cisco Firepower Threat Defense for VMware v7.2.4 (build 165)

> show failover state

               State          Last Failure Reason      Date/Time
This host  -   Primary
               Active         None
Other host -   Secondary
               Standby Ready  None

====Configuration State===
====Communication State===
        Mac set

> show failover
Failover On 
Failover unit Primary
Failover LAN Interface: FAILOVER_LINK GigabitEthernet0/0 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1285 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.18(3)39, Mate 9.18(3)39
Serial Number: Ours 9AVLW3FSSK8, Mate 9AJJSEGJS2T
Last Failover at: 19:56:41 UTC Jul 20 2023
        This host: Primary - Active 
                Active time: 181629 (sec)
                slot 0: ASAv hw/sw rev (/9.18(3)39) status (Up Sys)
                  Interface INSIDE (10.10.153.1): Normal (Monitored)
                  Interface OUTSIDE (10.20.153.1): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Secondary - Standby Ready 
                Active time: 2390 (sec)
                  Interface INSIDE (10.10.153.2): Normal (Monitored)
                  Interface OUTSIDE (10.20.153.2): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FAILOVER_LINK GigabitEthernet0/0 (up)
        Stateful Obj    xmit       xerr       rcv        rerr      
        General         29336      0          24445      0         
        sys cmd         24418      0          24393      0         
...       

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       11      25331
        Xmit Q:         0       1       127887

Se entrambi gli FTD si trovano nella stessa versione e lo stato di elevata disponibilità è integro, l'aggiornamento è completato.