このセクションでは、FTD を搭載した Firepower 4100/9300 シャーシをアップグレードするときのデバイスとトラフィックの動作を説明します。
Firepower 4100/9300 シャーシ:FXOS のアップグレード
シャーシ間クラスタリングまたはハイアベイラビリティペアの構成がある場合でも、各シャーシの FXOS を個別にアップグレードします。アップグレードの実行方法により、FXOS のアップグレード時にデバイスがトラフィックを処理する方法が決定されます。
表 8. FXOS アップグレード中のトラフィックの動作
展開 |
方法 |
トラフィックの動作 |
スタンドアロン
|
—
|
ドロップされる
|
ハイアベイラビリティ
|
ベストプラクティス:スタンバイで FXOS を更新し、アクティブピアを切り替えて新しいスタンバイをアップグレードします。
|
影響なし
|
スタンバイでアップグレードが終了する前に、アクティブピアで FXOS をアップグレードします。
|
1 つのピアがオンラインになるまでドロップされる
|
シャーシ間クラスタ(6.2 以降)
|
ベストプラクティス:少なくとも 1 つのモジュールを常にオンラインにするため、一度に 1 つのシャーシをアップグレードします。
|
影響なし
|
ある時点ですべてのモジュールを停止するため、シャーシを同時にアップグレードします。
|
少なくとも 1 つのモジュールがオンラインになるまでドロップされる
|
シャーシ内クラスタ(Firepower 9300 のみ)
|
Fail-to-wire 有効:[バイパス:スタンバイ(Bypass: Standby)] または [バイパス:強制(Bypass‑Force)] (6.1 以降)
|
インスペクションなしで転送
|
Fail-to-wire 無効:[バイパス:無効(Bypass: Disabled)] (6.1 以降)
|
少なくとも 1 つのモジュールがオンラインになるまでドロップされる
|
fail-to-wire モジュールなし。
|
少なくとも 1 つのモジュールがオンラインになるまでドロップされる
|
スタンドアロン FTD デバイス:Firepower ソフトウェアのアップグレード
インターフェイスの設定により、アップグレード中にスタンドアロンデバイスがトラフィックを処理する方法が決定されます。
表 9. Firepower ソフトウェアアップグレード中のトラフィックの動作:スタンドアロン FTD デバイス
インターフェイスの設定 |
トラフィックの動作 |
ファイアウォール インターフェイス
|
EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド
スイッチドインターフェイスは、ブリッジグループまたはトランスペアレント インターフェイスとしても知られています。
|
ドロップされる
|
IPS のみのインターフェイス
|
インラインセット、fail-to-wire が有効:[バイパス:スタンバイ(Bypass: Standby)] または [バイパス:強制(Bypass‑Force)](6.1 以降)
|
次のいずれかを行います。
-
ドロップ(6.1 から 6.2.2.x)
-
インスペクションなしで転送(6.2.3 以降)
|
インラインセット、fail-to-wire が無効:[バイパス:無効(Bypass: Disabled)](6.1 以降)
|
ドロップされる
|
インラインセット、fail-to-wire モジュールなし
|
ドロップされる
|
インラインセット、タップモード
|
パケットをただちに出力、コピーへのインスペクションなし
|
パッシブ、ERSPAN パッシブ
|
中断なし、インスペクションなし
|
ハイアベイラビリティペア:FirePOWER ソフトウェアアップグレード
ハイアベイラビリティペアのデバイスの FirePOWER ソフトウェアをアップグレードする間に、トラフィックフローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンスモードで稼働します。
スタンバイ側のデバイスが最初にアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレードプロセスによって元の役割に切り替わります。
クラスタ:FirePOWER ソフトウェアアップグレード
Firepower Threat Defense クラスタのデバイスで FirePOWER ソフトウェアをアップグレードする間に、トラフィックフローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンスモードで稼働します。
スレーブ セキュリティ モジュールを最初にアップグレードして、その後マスターをアップグレードします。アップグレード中、セキュリティモジュールはメンテナンスモードで稼働します。
マスター セキュリティ モジュールをアップグレードする間、通常トラフィック インスペクションと処理は続行しますが、システムはロギングイベントを停止します。ロギングダウンタイム中に処理されるトラフィックのイベントは、アップグレードが完了した後、非同期のタイムスタンプ付きで表示されます。ただし、ロギングダウンタイムが大きい場合、システムはログ記録する前に最も古いイベントをプルーニングすることがあります。
(注) |
バージョン 6.2.0、6.2.0.1、または 6.2.0.2 からシャーシ間クラスタをアップグレードすると、各モジュールがクラスタから削除されるときに、トラフィック インスペクションで 2 ~ 3 秒のトラフィック中断が発生します。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、デバイスがトラフィックを処理する方法に応じて異なります。
|
ハイアベイラビリティとクラスタリング ヒットレス アップグレードの要件
ヒットレスアップグレードの実行には、次の追加要件があります。
フローオフロード:フローオフロード機能でのバグ修正により、FXOS と FTD のいくつかの組み合わせはフローオフロードをサポートしていません。『Cisco Firepower Compatibility Guide』を参照してください。ハイアベイラビリティまたはクラスタ化された展開でヒットレスアップグレードを実行するには、常に互換性のある組み合わせを実行していることを確認する必要があります。
アップグレードパスに FXOS の2.2.2.91、2.3.1.130、またはそれ以降のアップグレード(FXOS 2.4.1. x、2.6.1 などを含む)が含まれている場合、次のパスを使用します。
1. FTD を 6.2.2.2 以降にアップグレードします。
2. FXOS を 2.2.2.91、2.3.1.130、またはそれ以降にアップグレードします。
3. FTD を最終バージョンにアップグレードします。
たとえば、FXOS 2.2.2.17/FTD 6.2.2.0 を実行していて、FXOS 2.6.1/FTD 6.4.0 にアップグレードする場合は、次を実行できます。
1. FTD を 6.2.2.5 にアップグレードします。
2. FXOS を 2.6.1 にアップグレードします。
3. FTD を 6.4.0 にアップグレードします。
バージョン 6.1.0 へのアップグレード:FTD ハイアベイラビリティペアのバージョン 6.1.0 へのヒットレスアップグレードを実行するには、プレインストールパッケージが必要です。詳細については、『Firepower System Release Notes Version 6.1.0 Preinstallation Package』を参照してください。
展開時のトラフィックの動作
アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。
展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、Snort プロセスを再起動すると、HA/スケーラビリティ用に設定されたものを含め、すべての Firepower デバイスでトラフィック
インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。
表 10. FTD 展開時のトラフィックの動作
インターフェイスの設定 |
トラフィックの動作 |
ファイアウォール インターフェイス
|
EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド
スイッチドインターフェイスは、ブリッジグループまたはトランスペアレント インターフェイスとしても知られています。
|
ドロップされる
|
IPS のみのインターフェイス
|
インラインセット、[フェールセーフ(Failsafe)] が有効または無効(6.0.1 ~ 6.1.0.x)
|
インスペクションなしで転送
[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。
|
インラインセット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:無効(6.2 以降)
|
ドロップされる
|
インラインセット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:有効(6.2+)
|
インスペクションなしで転送
|
インラインセット、タップモード
|
パケットをただちに出力、コピーへのインスペクションなし
|
パッシブ、ERSPAN パッシブ
|
中断なし、インスペクションなし
|