Actualización de FMC en alta disponibilidad

Actualizado:20 de julio de 2023
ID del documento:220602

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe los pasos para actualizar un entorno de Firewall Management Center (FMC) en alta disponibilidad (HA).

    Requirements

    Cisco recomienda tener conocimientos de estos temas:

    • Conceptos de alta disponibilidad
    • configuración de FMC

    Componentes Utilizados

    La información de este documento se basa en:

    • Virtual Firewall Management Center (FMC), versión 7.1.0

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Overview

    La actualización debe ser de un par a la vez. En primer lugar, detenga la sincronización entre los pares.

    A continuación, la actualización debe realizarse primero en el modo de espera, seguida del FMC activo.

    warning-icon

    Advertencia: Mientras el par en espera está trabajando en comprobaciones previas/instalación, ambos pares cambian a activo; esto se denomina split-brain. Se espera totalmente durante la actualización. Durante este tiempo, no debe realizar ni implementar ningún cambio en la configuración. Si realiza algún cambio en la configuración, se puede perder después de reiniciar la sincronización.

    Pre actualización

    1. Planifique su ruta de actualización.

        En las implementaciones de FMC, normalmente se actualiza el FMC y, a continuación, sus dispositivos administrados.

        Sepa siempre qué actualización acaba de realizar y cuál es la siguiente.

    1. Lea todas las directrices de actualización y planifique los cambios de configuración.
    2. Compruebe el ancho de banda.

        Asegúrese de que la red de gestión dispone del ancho de banda necesario para realizar transferencias de datos de gran tamaño.

    1. Programar ventanas de mantenimiento.
    2. Realice una copia de seguridad de la configuración antes y después de la actualización.

       System > Back up / Restore > Copia de seguridad de Firepower Management

       Descargue la copia de seguridad en el equipo local.

    1. Actualice el alojamiento virtual. Esto es necesario cuando se ejecuta una versión anterior de VMware.
    2. Comprobar configuraciones
    3. Comprobar sincronización NTP
    • FMC: Seleccione Sistema > Configuración > Hora.
    • Dispositivos: utilice el comando show time CLI.
    1. Compruebe el espacio en disco.
    2. Implemente configuraciones. En las implementaciones de alta disponibilidad de FMC, solo es necesario realizar la implementación desde el par activo.
    3. Marque las tareas en ejecución. Asegúrese de que no hay implementaciones pendientes.

    Procedimiento de actualización

    Paso 1. Pausar sincronización

    Vaya a la pestaña Alta disponibilidad en el FMC en el peer activo

    • System > Integration > High Availability

    Upgrade dialog GUI

    Upgrade dialog GUI

    • Seleccione Pausar sincronización

    Upgrade dialog GUI

    • Espere a que se detenga la sincronización; el estado debe ser Pausado por el usuario cuando se haya completado.
      Synchronization status should be Paused per userEl estado de sincronización debe ser En pausa por usuario

    Paso 2. Cargar el paquete de actualización

    Inicie sesión en la unidad en espera y cargue el paquete de actualización

    • System > Updates > Upload Update

    Upgrade dialog GUI

    • Examine el paquete descargado anteriormente de la versión que se va a actualizar.

    Upgrade dialog GUI

    Paso 3. Comprobación de preparación

    Realice una comprobación de disponibilidad en el dispositivo que se va a actualizar.

    • Haga clic en el icono de instalación situado junto al paquete de actualización correspondiente.

    Upgrade dialog GUI

    • Seleccione el dispositivo que desea comprobar y haga clic en Comprobar preparación

    Upgrade dialog GUI

    El progreso se puede comprobar en el centro de mensajes

    Mensajes > Tareas > En ejecución

    Upgrade dialog GUI

    Una vez completado, puede ver el estado en los resultados de la comprobación de preparación.

    Si es exitoso, entonces podemos continuar con la instalación del paquete.

    Paso 4. Instalar el paquete de actualización

    • Seleccione el dispositivo que desea actualizar. Haga clic en Instale

    Upgrade dialog GUI

    • Advertencia para el cerebro partido, haga clic en Aceptar

    Upgrade dialog GUI

    El progreso se puede comprobar en Mensajes > Tareas

    Upgrade dialog GUI

    note-icon

    Nota: La instalación tarda unos 30 minutos en completarse.

    Si tiene acceso CLI, el progreso se puede verificar en la carpeta de actualización /var/log/sf; pase al modo experto e ingrese al acceso raíz

    > expert
    admin@firepower:~$ sudo su
    Password: 
    root@firepower:/Volume/home/admin# cd /var/log/sf/

    root@firepower:/var/log/sf# ls
    Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4 

root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# ls
000_start  AQ_UUID  DBCheck.log  exception.log  flags.conf  main_upgrade_script.log  status.log  status.log.202307180405  upgrade_readiness  upgrade_status.json  upgrade_status.log  upgrade_version_build

root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# tail -f status.log 

    Una vez completada la actualización, el FMC se reinicia

    ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
    ui:[100%] [1 mins to go for reboot] Upgrade complete
    ui:[100%] [1 mins to go for reboot] The system will now reboot.
    ui:System will now reboot.

    Broadcast message from root@firepower (Tue Jul 18 05:08:57 2023):

    System will reboot in 5 seconds due to system upgrade.

    Broadcast message from root@firepower (Tue Jul 18 05:09:02 2023):

    System will reboot now due to system upgrade.

    ui:[100%] [1 mins to go for reboot] Installation completed successfully.
    ui:Upgrade has completed.
    state:finished

    Broadcast message from root@firepower (Tue Jul 18 05:09:25 2023):

    The system is going down for reboot NOW!

    Después del reinicio, el FMC físico debe mostrar el modelo correcto en FMC GUI > Help > About.

    Upgrade dialog GUI

    CLI, después de aceptar el CLUF

    Copyright 2004-2023, Cisco and/or its affiliates. All rights reserved.
    Cisco is a registered trademark of Cisco Systems, Inc.
    All other trademarks are property of their respective owners.

    Cisco Firepower Extensible Operating System (FX-OS) v2.12.0 (build 499)
    Cisco Secure Firewall Management Center for VMware v7.2.4 (build 169)

    >
    > show version
    -------------------[ firepower ]--------------------
    Model                     : Secure Firewall Management Center for VMware (66) Version 7.2.4 (Build 169)
    UUID                      : 1c71ae24-1e60-11ed-8459-9758e19f1a24
    Rules update version      : 2023-01-09-001-vrt
    LSP version               : lsp-rel-20220511-1540
    VDB version               : 353
    ----------------------------------------------------

    HA Summary when only Standby FMC is upgratedResumen de HA cuando solo se actualiza el FMC en espera

    Paso 5. Actualizar par activo.

    Repita los pasos 2 a 4 en el dispositivo activo.

    Paso 6. Active el FMC deseado

    • Inicie sesión en el FMC que desea convertir en el peer activo.

    Integration (Integración) > High Availability (Alta disponibilidad) > Make Me Active option

    Upgrade dialog GUI

    • Advertencias sobre procesos y sobrescribir cualquier configuración realizada en el par en espera, seleccione YES para continuar.

    Upgrade dialog GUI

    Upgrade dialog GUI

    Upgrade dialog GUI

    • Espere hasta que se reinicie la sincronización y el otro FMC active el modo de espera.

    Upgrade dialog GUI

    note-icon

    Nota: El progreso puede tardar hasta 20 minutos.

    Después de que ambos FMC estén en la misma versión y la sincronización haya finalizado, la pestaña Resumen de HA debe tener el siguiente aspecto:

    Upgrade dialog GUI

    warning-icon

    Advertencia: si el estado de sincronización final muestra un estado degradado u otro resultado distinto de OK, póngase en contacto con el TAC

    Implementar cambios pendientes desde FMC.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    21-Jul-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Marlene Preciado
      Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos