Einleitung
In diesem Dokument werden die Schritte zum Upgrade einer Umgebung von Firewall Management Center (FMC) in High Availability (HA) beschrieben.
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in den folgenden Bereichen verfügen:
- Hochverfügbarkeitskonzepte
- FMC-Konfiguration
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf:
- Virtual Firewall Management Center (FMC), Version 7.1.0
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Überblick
Das Upgrade muss jeweils nur einen Peer umfassen. Halten Sie zunächst die Synchronisierung zwischen den Peers an.
Anschließend muss das Upgrade zuerst im Standby-Modus durchgeführt werden, gefolgt vom aktiven FMC.
Warnung: Während der Standby-Peer an Vorprüfungen/Installationen arbeitet, schalten beide Peers auf "aktiv". Dies wird als Split-Brain bezeichnet. Es wird während des Upgrades vollständig erwartet. Während dieser Zeit dürfen Sie keine Konfigurationsänderungen vornehmen oder bereitstellen. Wenn Sie Konfigurationsänderungen vornehmen, können diese verloren gehen, nachdem die Synchronisierung neu gestartet wurde.
Vor dem Upgrade
- Planen Sie Ihren Upgrade-Pfad.
Bei FMC-Bereitstellungen aktualisieren Sie in der Regel das FMC und dann dessen verwaltete Geräte.
Sie sollten immer wissen, welches Upgrade Sie gerade durchgeführt haben und welches das nächste ist.
- Lesen Sie alle Upgrade-Richtlinien, und planen Sie Konfigurationsänderungen.
- Überprüfen der Bandbreite
Stellen Sie sicher, dass Ihr Verwaltungsnetzwerk über die erforderliche Bandbreite für große Datenübertragungen verfügt.
- Wartungsfenster planen
- Sichern Sie die Konfiguration vor und nach dem Upgrade.
System > Sichern/Wiederherstellen > FirePOWER Management-Sicherung
Laden Sie die Sicherung auf Ihren lokalen Computer herunter.
- Aktualisieren des virtuellen Hosting Dies ist erforderlich, wenn Sie eine ältere Version von VMware ausführen.
- Konfigurationen überprüfen
- NTP-Synchronisierung überprüfen
- FMC: Wählen Sie System > Configuration > Time (System > Konfiguration > Zeit).
- Geräte: Verwenden Sie den CLI-Befehl show time.
- Überprüfen Sie den Speicherplatz.
- Bereitstellung von Konfigurationen Bei FMC-Bereitstellungen mit hoher Verfügbarkeit müssen Sie nur den aktiven Peer bereitstellen.
- Überprüfen Sie die ausgeführten Aufgaben. Stellen Sie sicher, dass keine ausstehenden Bereitstellungen vorhanden sind.
Upgrade-Verfahren
Schritt 1: Synchronisierung anhalten
Navigieren Sie zur Registerkarte High Availability (Hochverfügbarkeit) im FMC auf aktivem Peer.
- System > Integration > Hochverfügbarkeit
- Pausensynchronisierung auswählen
- Warten Sie, bis die Synchronisierung angehalten wird. Der Status muss nach Abschluss des Vorgangs vom Benutzer angehalten werden.
Der Synchronisierungsstatus muss pro Benutzer angehalten werden.
Schritt 2: Laden Sie das Upgrade-Paket hoch.
Melden Sie sich beim Standby-Gerät an, und laden Sie das Upgrade-Paket hoch.
- System > Updates > Update hochladen
- Durchsuchen Sie das zuvor heruntergeladene Paket der zu aktualisierenden Version.
Schritt 3: Bereitschaftsprüfung
Führen Sie eine Bereitschaftsprüfung für die Appliance durch, die aktualisiert werden soll.
- Klicken Sie auf das Installationssymbol neben dem entsprechenden Upgrade-Paket.
- Wählen Sie die Appliance aus, die Sie überprüfen möchten, und klicken Sie auf Check Readiness
Der Fortschritt kann im Nachrichtencenter überprüft werden.
Nachrichten > Aufgaben > Wird ausgeführt
Nach Abschluss dieses Vorgangs wird der Status in den Ergebnissen der Bereitschaftsprüfung angezeigt.
Wenn erfolgreich, dann können wir mit der Installation des Pakets fortfahren.
Schritt 4: Installieren Sie das Upgrade-Paket.
- Wählen Sie die Appliance aus, die aktualisiert werden soll. Klicken Sie auf „Install“ (Installieren)
- Warnung für das gespaltene Gehirn, klicken Sie auf OK
Fortschritt kann in Nachrichten einchecken > Aufgaben
Hinweis: Die Installation dauert etwa 30 Minuten.
Wenn Sie über CLI-Zugriff verfügen, kann der Fortschritt im Aktualisierungsordner/var/log/sf überprüft werden. Wechseln Sie in den Expertenmodus, und wechseln Sie in den Root-Zugriff
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/Volume/home/admin# cd /var/log/sf/
root@firepower:/var/log/sf# ls
Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4
root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# ls
000_start AQ_UUID DBCheck.log exception.log flags.conf main_upgrade_script.log status.log status.log.202307180405 upgrade_readiness upgrade_status.json upgrade_status.log upgrade_version_build
root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# tail -f status.log
Nach Abschluss des Upgrades wird das FMC neu gestartet
ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
ui:[100%] [1 mins to go for reboot] Upgrade complete
ui:[100%] [1 mins to go for reboot] The system will now reboot.
ui:System will now reboot.
Broadcast message from root@firepower (Tue Jul 18 05:08:57 2023):
System will reboot in 5 seconds due to system upgrade.
Broadcast message from root@firepower (Tue Jul 18 05:09:02 2023):
System will reboot now due to system upgrade.
ui:[100%] [1 mins to go for reboot] Installation completed successfully.
ui:Upgrade has completed.
state:finished
Broadcast message from root@firepower (Tue Jul 18 05:09:25 2023):
The system is going down for reboot NOW!
Nach dem Neustart muss das physische FMC das richtige Modell in der FMC-GUI > Hilfe > Info anzeigen.
CLI nach Annahme der EULA
Copyright 2004-2023, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Firepower Extensible Operating System (FX-OS) v2.12.0 (build 499)
Cisco Secure Firewall Management Center for VMware v7.2.4 (build 169)
>
> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.2.4 (Build 169)
UUID : 1c71ae24-1e60-11ed-8459-9758e19f1a24
Rules update version : 2023-01-09-001-vrt
LSP version : lsp-rel-20220511-1540
VDB version : 353
----------------------------------------------------
HA-Zusammenfassung, wenn nur das Standby-FMC aktualisiert wird
Schritt 5: Aktiven Peer aktualisieren.
Wiederholen Sie die Schritte 2 bis 4 für die aktive Appliance.
Schritt 6: Aktivierung des gewünschten FMC
- Melden Sie sich beim FMC an, das Sie als aktiven Peer festlegen möchten.
Integration > Hochverfügbarkeit > Make Me Active-Option
- Wenn Sie Warnungen zu Prozessen erhalten und eine Konfiguration im Standby-Peer überschreiben möchten, wählen Sie JA aus, um fortzufahren.
- Warten Sie, bis die Synchronisierung neu gestartet wird und das andere FMC den Standby-Modus aktiviert.
Hinweis: Der Vorgang kann bis zu 20 Minuten dauern.
Nachdem beide FMCs in derselben Version sind und die Synchronisierung abgeschlossen ist, muss die Registerkarte HA-Übersicht wie folgt aussehen:
Warnung: Wenn der endgültige Synchronisierungsstatus herabgesetzt ist oder ein anderes Ergebnis als OK angezeigt wird, wenden Sie sich an das TAC.
Bereitstellung ausstehender Änderungen von FMC