このセクションでは、FTD を搭載した Firepower 4100/9300 シャーシをアップグレードするときのデバイスとトラフィックの動作を説明します。
Firepower 4100/9300 シャーシ:FXOS のアップグレード
シャーシ間クラスタリングまたはハイアベイラビリティペアの構成がある場合でも、各シャーシの FXOS を個別にアップグレードします。アップグレードの実行方法により、FXOS のアップグレード時にデバイスがトラフィックを処理する方法が決定されます。
表 13. FXOS アップグレード中のトラフィックの動作
導入
|
メソッド
|
トラフィックの動作
|
スタンドアロン
|
—
|
廃棄
|
ハイアベイラビリティ
|
ベストプラクティス:スタンバイで FXOS を更新し、アクティブピアを切り替えて新しいスタンバイをアップグレードします。
|
影響なし。
|
スタンバイでアップグレードが終了する前に、アクティブ ピアで FXOS をアップグレードします。
|
1 つのピアがオンラインになるまでドロップされる。
|
シャーシ間クラスタ(6.2 以降)
|
ベストプラクティス:少なくとも 1 つのモジュールを常にオンラインにするため、一度に 1 つのシャーシをアップグレードします。
|
影響なし。
|
ある時点ですべてのモジュールを停止するため、シャーシを同時にアップグレードします。
|
少なくとも 1 つのモジュールがオンラインになるまでドロップされる。
|
シャーシ内クラスタ(Firepower 9300 のみ)
|
ハードウェアバイパス有効:[Bypass: Standby] または [Bypass‑Force]。(6.1 以降)
|
検査なしで受け渡される。
|
ハードウェアバイパス無効:[Bypass: Disabled]。(6.1 以降)
|
少なくとも 1 つのモジュールがオンラインになるまでドロップされる。
|
ハードウェア バイパス モジュールなし。
|
少なくとも 1 つのモジュールがオンラインになるまでドロップされる。
|
スタンドアロン FTD デバイス:Firepower ソフトウェアのアップグレード
アップグレード中、Firepower デバイス/セキュリティモジュールはメンテナンスモードで稼働します。アップグレードの開始時にメンテナンスモードを開始すると、トラフィック インスペクションが 2 〜 3 秒中断します。インターフェイスの構成により、その時点とアップグレード中の両方のスタンドアロンデバイスによるトラフィックの処理方法が決定されます。
表 14. Firepower ソフトウェアアップグレード中のトラフィックの動作:スタンドアロン FTD デバイス
インターフェイス コンフィギュレーション |
トラフィックの動作 |
ファイアウォール インターフェイス
|
EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド。
スイッチドインターフェイスは、ブリッジグループまたはトランスペアレント インターフェイスとしても知られています。
|
廃棄
|
IPS のみのインターフェイス
|
インラインセット、ハードウェアバイパス強制が有効:[Bypass: Force](6.1 以上)。
|
ハードウェアバイパスを無効にするか、スタンバイモードに戻すまで、インスペクションなしで合格。
|
インラインセット、ハードウェア バイパス スタンバイ モード:[Bypass: Standby](6.1 以上)。
|
デバイスがメンテナンスモードの場合、アップグレード中にドロップされます。その後、デバイスがアップグレード後の再起動を完了する間、インスペクションなしで合格します。
|
インラインセット、ハードウェアバイパスが無効:[Bypass: Disabled](6.1 以上)。
|
廃棄
|
インラインセット、ハードウェア バイパス モジュールなし。
|
廃棄
|
インラインセット、タップモード。
|
パケットをただちに出力、コピーへのインスペクションなし。
|
パッシブ、ERSPAN パッシブ。
|
中断なし、インスペクションなし。
|
ハイアベイラビリティペア:FirePOWER ソフトウェアアップグレード
ハイ アベイラビリティ ペアのデバイスの FirePOWER ソフトウェアをアップグレードする間に、トラフィック フローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンス
モードで稼働します。
スタンバイ側のデバイスが最初にアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレード
プロセスによって元の役割に切り替わります。
クラスタ:FirePOWER ソフトウェア アップグレード
Firepower Threat Defense クラスタのデバイスで FirePOWER ソフトウェアをアップグレードする間に、トラフィック フローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。データ セキュリティ モジュールを最初にアップグレードして、その後コントロールモジュールをアップグレードします。アップグレード中、セキュリティモジュールはメンテナンスモードで稼働します。
コントロール セキュリティ モジュールをアップグレードする間、通常トラフィック インスペクションと処理は続行しますが、システムはロギングイベントを停止します。ロギングダウンタイム中に処理されるトラフィックのイベントは、アップグレードが完了した後、非同期のタイムスタンプ付きで表示されます。ただし、ロギングダウンタイムが大きい場合、システムはログ記録する前に最も古いイベントをプルーニングすることがあります。
(注) |
バージョン 6.2.0、6.2.0.1、または 6.2.0.2 からシャーシ間クラスタをアップグレードすると、各モジュールがクラスタから削除されるときに、トラフィック インスペクションで 2 ~ 3 秒のトラフィック中断が発生します。
|
ハイアベイラビリティとクラスタリング ヒットレス アップグレードの要件
ヒットレスアップグレードの実行には、次の追加要件があります。
フローオフロード:フローオフロード機能でのバグ修正により、FXOS と FTD のいくつかの組み合わせはフローオフロードをサポートしていません。『Cisco Firepower Compatibility Guide』を参照してください。ハイアベイラビリティまたはクラスタ化された展開でヒットレスアップグレードを実行するには、常に互換性のある組み合わせを実行していることを確認する必要があります。
アップグレードパスに FXOS の2.2.2.91、2.3.1.130、またはそれ以降のアップグレード(FXOS 2.4.1. x、2.6.1 などを含む)が含まれている場合、次のパスを使用します。
1. FTD を 6.2.2.2 以降にアップグレードします。
2. FXOS を 2.2.2.91、2.3.1.130、またはそれ以降にアップグレードします。
3. FTD を最終バージョンにアップグレードします。
たとえば、FXOS 2.2.2.17/FTD 6.2.2.0 を実行していて、FXOS 2.6.1/FTD 6.4.0 にアップグレードする場合は、次を実行できます。
1. FTD を 6.2.2.5 にアップグレードします。
2. FXOS を 2.6.1 にアップグレードします。
3. FTD を 6.4.0 にアップグレードします。
バージョン 6.1.0 へのアップグレード:FTD ハイアベイラビリティペアのバージョン 6.1.0 へのヒットレスアップグレードを実行するには、プレインストールパッケージが必要です。詳細については、『Firepower System Release Notes Version 6.1.0 Preinstallation Package』を参照してください。
展開時のトラフィックの動作
アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center 構成ガイド』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。
展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、Snort プロセスを再起動すると、HA/スケーラビリティ用に設定されたものを含め、すべての Firepower デバイスでトラフィック
インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。
表 15. FTD 展開時のトラフィックの動作
インターフェイス コンフィギュレーション
|
トラフィックの動作
|
ファイアウォール インターフェイス
|
EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド。
スイッチドインターフェイスは、ブリッジグループまたはトランスペアレント インターフェイスとしても知られています。
|
廃棄
|
IPS のみのインターフェイス
|
インラインセット、[Failsafe] が有効または無効(6.0.1 ~ 6.1)。
|
検査なしで受け渡される。
[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。
|
インラインセット、[Snort Fail Open: Down]:無効(6.2 以降)
|
廃棄
|
インラインセット、[Snort Fail Open: Down]:有効(6.2 以降)
|
検査なしで受け渡される。
|
インラインセット、タップモード。
|
パケットをただちに出力、コピーへのインスペクションなし。
|
パッシブ、ERSPAN パッシブ。
|
中断なし、インスペクションなし。
|