Upgrade FTD/HA-paar op FirePOWER-applicaties
Inhoud
Inleiding
In dit document wordt het upgradeproces beschreven van Firepower Threat Defence (FTD) in de modus High Availability (HA) op FirePOWER-apparaten.
Voorwaarden
Vereisten
Cisco raadt kennis van deze onderwerpen aan:
- Firepower Management Center (FMC)
- FTD
- FirePOWER-apparaten (FXOS)
Gebruikte componenten
- 2 x FPR4150
- 1 x FS4000
- 1 x PC
De versies van het softwarebeeld vóór de upgrade:
- VCC 6.1.0-330
- FTD Primair 6.1.0-330
- FTD secundair product 6.1.0-330
- FXOS primair 2.0.1-37
- FXOS secundaire 2.0.1-37
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
Netwerkdiagram
Actieplan
Taak 1: Controleer de vereisten
Taak 2: De beelden uploaden naar FMC en SSP
Taak 3: Upgrade het eerste FXOS-chassis (2.0.1-37 -> 2.0.1-86)
Taak 4: Swap de FTD failover
Taak 5: Upgrade het tweede FXOS-chassis (2.0.1-37 -> 2.0.1-86)
Taak 6: Upgrade het VCC (6.1.0-330 -> 6.1.0.1)
Taak 7: Upgrade het FTD HA-paar (6.1.0-330 -> 6.1.0.1)
Taak 8: Een beleid van het VCC naar het FTD HA-paar implementeren
Taak 1. Controleer de vereisten
Raadpleeg de FXOS-compatibiliteitsgids om de compatibiliteit te bepalen tussen:
- Doel FTD softwareversie en FXOS softwareversie
- Firepower HW platform en FXOS softwareversie
Cisco Firepower 4100/9300 FXOS-compatibiliteit
Controleer de FXOS Releaseopmerkingen van de doelversie om het FXOS-upgradepad te bepalen:
Cisco Firepower 4100/9300 FXOS release opmerkingen, 2.0(1)
Raadpleeg de Releaseopmerkingen van de FTD-doelversie om het FTD-upgradepad te bepalen:
Firepower System release opmerkingen, versie 6.0.1.2
Taak 2. De softwareafbeeldingen uploaden
Upload op de twee FCM's de FXOS-afbeeldingen (fxos-k9.2.0.1.86.SPA).
Upgradepakketten voor het VCC en het VCC uploaden:
- Voor de FMC upgrade: Sourcefire_3D_Defense_Center_S3_Patch-6.1.0.1-53.sh
- Voor de FTD-upgrade: Cisco_FTD_SSP_Patch-6.1.0.1-53.sh
Taak 3. Upgrade het eerste FXOS-chassis
Voor de upgrade:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Start de FXOS upgrade:
De FXOS-upgrade vereist een herstart van het chassis:
U kunt de FXOS-upgrade bewaken vanuit de FXOS CLI. Alle drie de componenten (FPRM, fabric interconnect en chassis) moeten worden bijgewerkt:
FPR4100-4-A# scope system
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Na ongeveer vijf minuten is de FPRM-componentupgrade voltooid:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Na ongeveer 10 minuten en als onderdeel van het FXOS-upgradeproces start het Firepower-apparaat opnieuw:
Please stand by while rebooting the system...
... Restarting system.
Na het opnieuw opstarten wordt het upgradeproces hervat:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Na een totaal van ongeveer 30 minuten is de FXOS upgrade voltooid:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.86),2.0(1.37)
Upgrade-Status: Ready
Taak 4. Verwissel de FTD-failover-staten
Zorg ervoor dat de FTD-module op het chassis volledig UP is voordat u de failover-toestanden verwisselt:
FPR4100-4-A# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 15:08:47 UTC Dec 17 2016
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Primary - Active
Active time: 5163 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 65 0 68 4
sys cmd 65 0 65 0
...
Verwissel de FTD-failover-statussen. Van de actieve FTD CLI:
> no failover active
Switching to Standby
>
Taak 5. Upgrade het tweede FXOS-chassis
Net als bij Taak 2 moet u het FXOS-apparaat upgraden waar de nieuwe Standby FTD is geïnstalleerd. Dit kan ongeveer 30 minuten of langer duren.
Taak 6. Upgrade de FMC-software
Verhoging van het VCC in dit scenario van 6.1.0-330 tot 6.1.0.1.
Taak 7. Upgrade het FTD HA-paar
Voor de upgrade:
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 15:51:08 UTC Dec 17 2016
This host: Primary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Active
Active time: 1724 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 6 0 9 0
sys cmd 6 0 6 0
...
Start het FTD HA-upgradeproces vanuit het menu FMC System > Updates:
Eerst wordt de primaire/stand-by FTD bijgewerkt:
De Standby FTD module start op met de nieuwe afbeelding:
U kunt de FTD-status controleren in de FXOS BootCLI-modus:
FPR4100-3-A# connect module 1 console Firepower-module1> show services status Services currently running: Feature | Instance ID | State | Up Since ----------------------------------------------------------- ftd | 001_JAD201200R4WLYCWO6 | RUNNING | :00:00:33
De secundaire/actieve FTD CLI geeft een waarschuwingsbericht weer vanwege een softwareversie-mismatch tussen de FTD-modules:
firepower# ************WARNING****WARNING****WARNING******************************** Mate version 9.6(2) is not identical with ours 9.6(2)4 ************WARNING****WARNING****WARNING******************************** Beginning configuration replication: Sending to mate. End Configuration Replication to mate
Uit het VCC blijkt dat het FTD-apparaat met succes is geüpgraded:
De upgrade van de tweede FTD-module begint:
Aan het eind van het proces start de FTD op met de nieuwe afbeelding:
Op de achtergrond gebruikt het FMC de interne gebruiker enable_1, verwisselt het de FTD failover status en verwijdert het tijdelijk de failover configuratie uit het FTD:
firepower# show logging Dec 17 2016 16:40:14: %ASA-5-111008: User 'enable_1' executed the 'no failover active' command. Dec 17 2016 16:40:14: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'no failover active' Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'clear configure failover' command. Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'clear configure failover' Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'copy /noconfirm running-config disk0:/modified-config.cfg' command. Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'copy /noconfirm running-config
disk0:/modified-config.cfg' firepower# Switching to Standby firepower#
In dit geval duurde de volledige FTD-upgrade (beide eenheden) ongeveer 30 minuten.
Verificatie
Dit voorbeeld toont FTD CLI-verificatie van het primaire FTD-apparaat:
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 16:40:14 UTC Dec 17 2016
This host: Primary - Active
Active time: 1159 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 68 0 67 0
...
>
Dit voorbeeld toont FTD CLI verificatie van het Secundaire/Standby FTD apparaat:
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 16:52:43 UTC Dec 17 2016
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Primary - Active
Active time: 1169 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 38 0 41 0
...
>
Taak 8. Een beleid implementeren in het FTD HA-paar
Nadat de upgrade is voltooid, moet u een beleid op het HA-paar implementeren. Dit wordt getoond in de FMC UI:
Implementeer het beleid:
Verificatie
Het verbeterde FTD HA-paar zoals het gezien van de FMC UI:
Het geüpgradede FTD HA-paar zoals het gezien van de FCM UI:
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
2.0 |
08-May-2023 |
Hercertificering |
1.0 |
17-Dec-2016 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)