Upgrade von FMC auf Hochverfügbarkeit
Inhalt
Einleitung
In diesem Dokument werden die Schritte zum Upgrade einer Umgebung von Secure Firewall Management Center (FMC) in High Availability (HA) beschrieben.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in den folgenden Bereichen verfügen:
- Hochverfügbarkeitskonzepte
- Sichere FMC-Konfiguration
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf dem virtuellen Secure Firewall Management Center, Version 7.4.2.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Beim Upgrade muss es sich jeweils um einen Peer handeln.
Halten Sie zunächst die Synchronisierung zwischen den Peers an.
Anschließend muss das Upgrade zuerst im Standby-Modus durchgeführt werden, gefolgt vom aktiven FMC.
Warnung: Während der Standby-Peer an Vorabprüfungen/Installationen arbeitet, wechseln beide Peers in den aktiven Modus. Das nennt man Split-Brain.
Es wird während des Upgrades vollständig erwartet. Während dieser Zeit dürfen Sie keine Konfigurationsänderungen vornehmen oder bereitstellen.
Wenn Sie Konfigurationsänderungen vornehmen, können diese verloren gehen, nachdem die Synchronisierung neu gestartet wurde.
Vor dem Upgrade
- Planen Sie Ihren Upgrade-Pfad. Bei FMC-Bereitstellungen aktualisieren Sie in der Regel das FMC und dann dessen verwaltete Geräte. Sie sollten immer wissen, welches Upgrade Sie gerade durchgeführt haben und welches das nächste ist.
- Lesen Sie alle Upgrade-Richtlinien, und planen Sie Konfigurationsänderungen.
- Überprüfen der Bandbreite Stellen Sie sicher, dass Ihr Verwaltungsnetzwerk über die erforderliche Bandbreite für große Datenübertragungen verfügt.
- Wartungsfenster planen
- Sichern Sie die Konfiguration vor und nach dem Upgrade. System > Tools - Sichern/Wiederherstellen > FirePOWER Management-Sicherung. Laden Sie die Sicherung auf Ihren lokalen Computer herunter.
- Aktualisieren des virtuellen Hosting Dies ist erforderlich, wenn Sie eine ältere Version von VMware ausführen.
- Überprüfen Sie die Konfigurationen.
- Aktivieren Sie die NTP-Synchronisierung.
FMC: Wählen Sie System > Configuration > Time (System > Konfiguration > Zeit).
Geräte: Verwenden Sie den CLI-Befehl show time.
- Überprüfen Sie den Speicherplatz.
- Bereitstellung von Konfigurationen Bei FMC-Bereitstellungen mit hoher Verfügbarkeit müssen Sie nur den aktiven Peer bereitstellen.
- Überprüfen Sie die ausgeführten Aufgaben. Stellen Sie sicher, dass keine ausstehenden Bereitstellungen vorhanden sind.
Upgrade-Verfahren
Schritt 1: Synchronisierung anhalten
Unterbrechen Sie auf der primären (aktiven) Einheit die Hochverfügbarkeits-Synchronisierung zwischen Peers.
Integration > Weitere Integrationen:
Synchronisierung anhalten. Ausgewählte Integration, sonstige Integration, hohe Verfügbarkeit
Registerkarte Hohe Verfügbarkeit auswählen:
Abschnitt "FMC High Availability"
Wählen Sie Pause-Synchronisierung aus:
Synchronisierung anhalten auswählen
Warten Sie, bis die Synchronisierung angehalten wurde. Der Status muss nach Abschluss des Vorgangs vom Benutzer angehalten werden.
Warnung bei herabgestufter Synchronisierung. Vom Benutzer angehalten
Schritt 2: Hochladen des Upgrade-Pakets
Melden Sie sich beim sekundären Gerät (Standby) an, und vergewissern Sie sich, dass die Synchronisierung angehalten wurde.
Integration > Weitere Integrationen > Hochverfügbarkeit:
Auf Standby-Gerät. Vom Benutzer angehaltene Synchronisierung
Fahren Sie nach der Bestätigung mit dem Hochladen des Upgrade-Pakets fort.
System > Produkt-Upgrade:
System- und Produkt-Upgrades
Upgrade-Paket auswählen
Durchsuchen Sie das zuvor heruntergeladene Paket der zu aktualisierenden Version.
Upgrade-Paket durchsuchen, Upload auswählen
Schritt 3: Bereitschaftsprüfung
Wählen Sie in der Liste Verfügbare Upgrade-Pakete die gewünschte Version aus. Option Upgrade fortsetzen:
Verfügbare Upgrade-Pakete. Upgrade fortsetzen
Wählen Sie Weiter, wenn die Vorabprüfung abgeschlossen ist:
Vorabprüfung
Klicken Sie auf Run Readiness Check (Bereitschaftsprüfung ausführen). Der Prozess muss auf der zu aktualisierenden Appliance gestartet werden:
Bereitschaftsprüfungen durchführen
Nach Abschluss dieses Vorgangs wird der Status in den Ergebnissen der Bereitschaftsprüfung angezeigt.
Bei Erfolg können Sie Weiter auswählen:
Bereitschaftsprüfung bestanden, Nächstes wählen
Schritt 4: Upgrade des FMC
Wählen Sie Upgrade, um mit dem Upgrade-Prozess zu beginnen:
Aktualisierung starten
Der Fortschritt des Upgrades ist auf der FMC-Website zu sehen:
Aktualisierungsfortschritt
Die GUI kann abgemeldet werden, sich erneut anmelden und der Fortschritt des Upgrades wird angezeigt:
Upgrade-Fortschritt in GUI
Anmerkung: Die Installation dauert etwa 30 Minuten.
Wenn Sie über CLI-Zugriff verfügen, kann der Fortschritt im Aktualisierungsordner /var/log/sf überprüft werden. Wechseln Sie in den Expertenmodus, und wechseln Sie in den Root-Zugriff.
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/Volume/home/admin# cd /var/log/sf/
root@firepower:/var/log/sf# ls
Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2 root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2# ls 000_start AQ_UUID DBCheck.log exception.log flags.conf main_upgrade_script.log status.log status.log.202307180405 upgrade_readiness upgrade_status.json upgrade_status.log upgrade_version_build root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2# tail -f status.log
Nach Abschluss des Upgrades wird das FMC neu gestartet.
ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
ui:[100%] [1 mins to go for reboot] Upgrade complete
ui:[100%] [1 mins to go for reboot] The system will now reboot.
ui:System will now reboot.
Broadcast message from root@firepower (Fri Oct 10 20:23:08 2025):
System will reboot in 5 seconds due to system upgrade.
Broadcast message from root@firepower (Fri Oct 10 20:23:13 2025):
System will reboot now due to system upgrade.
ui:[100%] [1 mins to go for reboot] Installation completed successfully.
ui:Upgrade has completed.
state:finished
Broadcast message from root@firepower (Fri Oct 10 20:23:25 2025):
The system is going down for reboot NOW!
Melden Sie sich nach dem Neustart wieder bei der FMC-GUI an, und akzeptieren Sie die Benutzervereinbarung:
Akzeptieren Sie die Benutzervereinbarung.
Die neue Version kann auf FMC bestätigt werden.
Hilfe > Info:
Bestätigung der neuen Version
In der CLI kann die Version überprüft werden, nachdem die Benutzervereinbarung akzeptiert wurde.
Copyright 2004-2025, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Firepower Extensible Operating System (FX-OS) v2.16.0 (build 4006)
Cisco Secure Firewall Management Center for VMware v7.6.2 (build 329)
>
> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.6.2 (build 329)
UUID : 1c71ae24-1e60-11ed-8459-9758e19f1a24
Rules update version : 2022-01-06-001-vrt
LSP version : lsp-rel-20240417-2110
VDB version : 392
----------------------------------------------------
FMC High Availability nach dem Upgrade geht zu Split Brain, Lokaler Peer (Sekundär) ist jetzt ein abgeschlossenes Upgrade.
Integration > Weitere Integration > Hochverfügbarkeit:
Split Brain bei hoher Verfügbarkeit
Schritt 5: Upgrade des primären (aktiven) Peers
Melden Sie sich bei der primären Einheit an, und stellen Sie sicher, dass der lokale Peer der mit der ältesten Version ist.
Integration > Weitere Integration > Hochverfügbarkeit:
Lokale Peer-Version bestätigen
Wiederholen Sie die Schritte zwei bis vier in diesem Peer:
- Laden Sie das Upgrade-Paket hoch.
-
Bereitschaftsprüfung:
-
Gerät aktualisieren.
Schritt 6: Aktivieren des gewünschten FMC
Wenn das Upgrade auf beiden FMC abgeschlossen wurde, lMelden Sie sich beim FMC an, in dem Sie die Aktive Einheit aktivieren möchten, und wählen Sie die Option Aktiv machen aus.
Integration > Hochverfügbarkeit > Make Me Active:
Wählen Sie die gewünschte Einheit als aktiv aus.
Wenn Sie Warnungen zu Prozessen erhalten und eine Konfiguration im Standby-Peer überschreiben möchten, wählen Sie JA aus, um fortzufahren.
Warnung vor aktiver Überschreibungskonfiguration auf Standby-Peer
OK auswählen
Auflösung eines geteilten Gehirns
Warten Sie, bis die Synchronisierung abgeschlossen ist. Der Remote-Peer muss als Standby angezeigt werden.
Hohe Verfügbarkeit vorübergehend herabgesetzt
Anmerkung: Die Synchronisierung kann bis zu 20 Minuten dauern.
Bereitstellen ausstehender Änderungen auf der aktiven FMC-Einheit, um den Upgrade-Prozess abzuschließen
Validierung
Wenn beide FMCs in derselben Version sind und die Synchronisierung abgeschlossen ist, muss die Registerkarte HA-Übersicht wie folgt aussehen.
Integration > Weitere Integration > Hochverfügbarkeit:
Synchronisierung abgeschlossen
Warnung: Wenn der abschließende Synchronisierungsstatus eine herabgesetzte oder ein anderes Ergebnis als OK anzeigt, wenden Sie sich an das TAC.
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
3.0 |
17-Oct-2025
|
Rechtschreibung, Formatierung, Alternativer Text. |
2.0 |
31-May-2024
|
Aktualisierter Alternativtext, Bildbeschriftungen, Haftungsausschluss, Rechtschreibung und Formatierung. |
1.0 |
21-Jul-2023
|
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)