FXOS 2.1.1.77 的新增功能

除了早期版本中的功能以外，思科 Firepower 可扩展操作系统2.1.1.77 还推出了以下新功能：

■各种问题的修复补丁（请参阅 FXOS 2.1.1.77 中已解决的漏洞）。

FXOS 2.1.1.73 的新增功能

除了早期版本中的功能以外，思科 Firepower 可扩展操作系统2.1.1.73 还推出了以下新功能：

■所有 Firepower 4100 和 9300 设备均支持配备了 Firepower 威胁防御的 Radware DefensePro (vDP) 服务链。

注意： FXOS 2.1.1.64 及更高版本支持配备了 Firepower 威胁防御的 Radware DefensePro (vDP)，但需要使用与 FXOS 2.1.1.73 同时发布的 Radware vDP 版本 8.10.01.17-2。有关版本兼容性的更多信息，请参阅思科 FXOS 兼容性 (http://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/compatibility/fxos-compatibility.html)。

■各种问题的修复补丁（请参阅 FXOS 2.1.1.73 中已解决的漏洞）。

FXOS 2.1.1.64 的新增功能

思科 Firepower 可扩展操作系统2.1.1.64 推出了以下新功能：

■用于通过 Firepower 机箱管理器或 FXOS CLI 删除 Call Home URL 的新选项。

■现在，可以使用 Firepower 机箱管理器配置控制台身份验证。

■现在，可以使用 Firepower 机箱管理器查看和配置 AAA 身份验证回退方法。

■现在，FXOS 将验证系统上安装的 CSP 文件的完整性。

■支持 Firepower 威胁防御 6.2。

■支持 ASA 9.7(1)。

■所有 Firepower 4100 和 9300 设备均支持配备了 Firepower 威胁防御的 Radware DefensePro (vDP) 服务链。

■Firepower 4100 系列安全设备支持 1GB FTW 网络模块。

■Firepower 9300 安全设备支持高压直流 (HVDC) 电源模块。

■支持使用 Firepower 威胁防御 6.2 及更高版本进行机箱内集群。

■改进了站点间的集群。

■现在，可以使用 FXOS 机箱管理器启用 FIPS/通用标准模式，以为符合 FIPS（联邦信息处理标准）140-2 及通用标准安全认证提供支持。

■FXOS 2.1(1) 包含多项新功能以及大量增强功能，以为符合 UC-APL（统一功能获准产品清单）安全认证提供支持：

– 通过 Firepower 机箱管理器启用/禁用 FIPS/CC 模式

– 通过 Firepower 机箱管理器配置管理 ACL（ip 块）

– 通过 Firepower 机箱管理器配置 SSH 服务器 – MAC 身份验证

– 通过 Firepower 机箱管理器配置 SSH 服务器 – 加密算法

– 登录通知

– CRL 列表定期更新

– 客户端证书身份验证

■现在可以启用 NTP 服务器身份验证。

■FXOS 现在设有一个绝对超时值，达到该值即会关闭 Firepower 机箱管理器会话，而不管会话使用状况如何。该绝对超时值默认为 60 分钟，可使用 FXOS CLI 进行更改。要了解更多信息，请参阅《FXOS CLI 配置指南》。

■现在，数据端口通道内联对的相关信息可从 Firepower 威胁防御传播到 FXOS。

■现在，可以使用 Firepower 机箱管理器删除不属于逻辑设备的应用实例。

■数据包捕获功能的增强：

– 根据 IPv6 地址进行过滤。

– 指定会话的快照长度。

– 支持 1 MB 至 2 GB 的会话大小。以前的版本中，支持的大小为 256 MB 至 2 GB。

– 用于删除所有数据包捕获会话的命令。

■QoS 增强功能：

– 通过 LACP 控制 FXOS 中配置的端口通道的流量优先排序。

– 通过修改 MIO CPU 端口队列设置，来优化内部控制平面流量的优先排序。

■ASA 故障切换对的许可发生变化。只有活动设备请求许可证授权。过去，两种设备都请求许可证授权。

■各种问题的修复补丁（请参阅 FXOS 2.1.1.64 中已解决的漏洞）。

升级运行独立 ASA 逻辑设备或 ASA 机箱内集群的 Firepower 安全设备

执行以下步骤将系统更新到 2.1(1)：

1. 将 FXOS 2.1.(1) 映像下载到本地计算机（请参阅软件下载）。

2. 将 FXOS 2.1(1) 平台捆绑包映像上传至 Firepower 安全设备。有关说明，请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题（请参阅 相关文档 ）。

3. 使用 FXOS 2.1(1) 平台捆绑包映像升级 Firepower 安全设备。有关说明，请参阅《 思科 Firepower 机箱管理器配置指南 》中的“升级 Firepower 可扩展操作系统平台捆绑包”主题。

4. 将 ASA CSP 映像上传至 Firepower 安全设备。有关说明，请参阅 思科 Firepower 机箱管理器配置指南 中的“将映像上传至 Firepower 设备”主题。

5. 使用 ASA CSP 映像升级所有 ASA 逻辑设备（独立设备或机箱内集群）。有关说明，请参阅 思科 Firepower 机箱管理器配置指南 中的“更新逻辑设备的映像版本”主题。

使用增强的零停机流程升级 ASA 故障切换对

注意： 只有从 FXOS 2.0(1.129) 或更高版本升级至 FXOS 2.1(1.64) 或从 FXOS 2.1(1.64) 或更高版本升级至 FXOS 2.1(1.77) 时，才支持此流程。若要从 FXOS 2.0(1.37)-2.0(1.86) 升级至 FXOS 2.1(1.64)，请参阅升级 ASA 故障切换对。

1. 将 FXOS 2.1(1) 映像下载到本地计算机（请参阅软件下载）。

2. 升级包含 备用 ASA 逻辑设备的 Firepower 安全设备上的 Firepower 可扩展操作系统捆绑包：

a. 将 FXOS 2.1(1) 平台捆绑包映像上传至 Firepower 安全设备。有关说明，请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题（请参阅 相关文档 ）。

b. 使用 FXOS 2.1(1) 平台捆绑包映像升级 Firepower 安全设备。有关说明，请参阅《 思科 Firepower 机箱管理器配置指南 》中的“升级 Firepower 可扩展操作系统平台捆绑包”主题。

3. 等待机箱重新启动并成功升级：

a. 使用 scope system 下的 show firmware monitor 命令来监控升级过程。

b. 升级过程完成后，使用 scope ssa 下的 show slot 命令来验证插槽是否已恢复“在线”状态。

c. 使用 scope ssa 下的 show app-instance 命令来验证应用是否已恢复“在线”状态。

4. 升级 ASA 和 vDP 逻辑设备映像：

a. 将 ASA CSP 映像上传至 Firepower 安全设备。如果 Radware DefensePro (vDP) 被配置为此 ASA 应用的修饰器，并且存在可用更新，请同时上传 vDP CSP 映像。

有关说明，请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题（请参阅 相关文档 ）。

b. 使用 ASA CSP 映像升级逻辑设备映像：

top （将范围设置为模式层次结构的最顶层）
scope ssa
scope slot x （其中 x 为配置 ASA 逻辑设备所依据的插槽 ID）
scope app-instance asa
set startup-version <版本>
exit

c. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器，请升级 vDP 映像：

scope app-instance vdp
set startup-version <版本>
exit

d. 确认配置：

commit-buffer

e. 如果 Firepower 安全设备上配置了多个故障切换对（无论是否配备 Radware DefensePro 修饰器），请使用步骤 b-d 升级它们。

5. 升级过程完成后，验证应用是否处于在线状态：

scope ssa
show app-instance

6. 将刚才升级的设备设为 活动 设备，以使流量流向已升级的设备：

a. 连接到包含 备用 ASA 逻辑设备的 Firepower 安全设备上的 ASA 控制台。

b. 将此设备设为活动状态：

failover active

c. 保存配置：

write memory

d. 验证设备是否处于 活动 状态：

show failover

7. 升级包含 新备用 ASA 逻辑设备的 Firepower 安全设备上的 Firepower 可扩展操作系统捆绑包：

a. 将 FXOS 2.1(1) 平台捆绑包映像上传至 Firepower 安全设备。有关说明，请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题（请参阅 相关文档 ）。

b. 使用 FXOS 2.1(1) 平台捆绑包映像升级 Firepower 安全设备。有关说明，请参阅《 思科 Firepower 机箱管理器配置指南 》中的“升级 Firepower 可扩展操作系统平台捆绑包”主题。

8. 等待机箱重新启动并成功升级：

a. 使用 scope system 下的 show firmware monitor 命令来监控升级过程。

b. 升级过程完成后，使用 scope ssa 下的 show slot 命令来验证插槽是否已恢复“在线”状态。

c. 使用 scope ssa 下的 show app-instance 命令来验证应用是否已恢复“在线”状态。

9. 升级 ASA 和 vDP 逻辑设备映像：

a. 将 ASA CSP 映像上传至 Firepower 安全设备。如果 Radware DefensePro (vDP) 被配置为此 ASA 应用的修饰器，并且存在可用更新，请同时上传 vDP CSP 映像。

有关说明，请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题（请参阅 相关文档 ）。

b. 使用 ASA CSP 映像升级逻辑设备映像：

top （将范围设置为模式层次结构的最顶层）
scope ssa
scope slot x （其中 x 为配置 ASA 逻辑设备所依据的插槽 ID）
scope app-instance asa
set startup-version <版本>
exit

c. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器，请升级 vDP 映像：

scope app-instance vdp
set startup-version <版本>
exit

d. 确认配置：

commit-buffer

e. 如果 Firepower 安全设备上配置了多个故障切换对（无论是否配备 Radware DefensePro 修饰器），请使用步骤 b-d 升级它们。

10. 升级过程完成后，验证应用是否处于在线状态：

scope ssa
show app-instance

11. 将刚才升级的设备设为 活动 设备，同升级前一样：

a. 连接到包含 新备用 ASA 逻辑设备的 Firepower 安全设备的 ASA 控制台。

b. 将此设备设为活动状态：

failover active

c. 保存配置：

write memory

d. 验证设备是否处于 活动 状态：

show failover

升级 ASA 故障切换对

注意： 只有从 FXOS 2.0(1.37)-2.0(1.86) 升级至 FXOS 2.1(1.64) 时，才支持此流程。若要从 FXOS 2.0(1.129) 或更高版本升级至 FXOS 2.1(1.64) 或从 FXOS 2.1(1.64) 或更高版本升级至 FXOS 2.1(1.77)，请参阅使用增强的零停机流程升级 ASA 故障切换对。

1. 将 FXOS 2.1(1) 映像下载到本地计算机（请参阅软件下载）。

2. 禁用备用 ASA 逻辑设备上的应用：

a. 连接到包含备用 ASA 逻辑设备的 Firepower 安全设备上的 FXOS CLI。有关说明，请参阅《 思科 FXOS CLI 配置指南 》或《 思科 FXOS Firepower 机箱管理器配置指南 》中的“访问 FXOS CLI”主题（请参阅 相关文档 ）。

b. 关闭 ASA 应用：

scope ssa
scope slot x （其中 x 为配置 ASA 逻辑设备所依据的插槽 ID）
scope app-instance asa
disable
exit

c. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器，则将其禁用。否则，请继续执行步骤 d。

scope app-instance vdp
disable
exit

d. 确认配置：

commit-buffer

e. 验证应用是否处于离线状态：

show app-instance

注意： 可能需要 2-5 分钟，所有应用才会变为“离线”状态，因为 vDP 在 ASA 停止且安全模块重启后才会开始停止。如果任何停止作业失败，请重复步骤 b-d。

f. 如果 Firepower 安全设备上配置了多个故障切换对（无论是否配备 Radware DefensePro 修饰器），请执行步骤 b-e 禁用它们并进行验证。

3. 升级包含 备用 ASA 逻辑设备的 Firepower 安全设备上的 Firepower 可扩展操作系统捆绑包：

a. 将 FXOS 2.1(1) 平台捆绑包映像上传至 Firepower 安全设备。有关说明，请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题（请参阅 相关文档 ）。

b. 使用 FXOS 2.1(1) 平台捆绑包映像升级 Firepower 安全设备。有关说明，请参阅《 思科 Firepower 机箱管理器配置指南 》中的“升级 Firepower 可扩展操作系统平台捆绑包”主题。

4. 等待机箱重新启动并成功升级：

a. 使用 scope system 下的 show firmware monitor 命令来监控升级过程。

b. 升级过程完成后，使用 scope ssa 下的 show slot 命令来验证插槽是否已恢复“在线”状态。

5. 升级 ASA 和 vDP 逻辑设备映像：

a. 将 ASA CSP 映像上传至 Firepower 安全设备。如果 Radware DefensePro (vDP) 被配置为此 ASA 应用的修饰器，并且存在可用更新，请同时上传 vDP CSP 映像。

有关说明，请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题（请参阅 相关文档 ）。

b. 使用 ASA CSP 映像升级逻辑设备映像：

top （将范围设置为模式层次结构的最顶层）
scope ssa
scope slot x （其中 x 为配置 ASA 逻辑设备所依据的插槽 ID）
scope app-instance asa
set startup-version <版本>
exit

c. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器，请升级 vDP 映像：

scope app-instance vdp
set startup-version <版本>
exit

d. 确认配置：

commit-buffer

e. 如果 Firepower 安全设备上配置了多个故障切换对（无论是否配备 Radware DefensePro 修饰器），请使用步骤 b-d 升级它们。

6. 升级过程完成后，重新启用备用 ASA 逻辑设备上的应用：

a. 使用 scope ssa 下的 show slot 命令来确认每个插槽均处于“在线”状态。

b. 使用 scope ssa 下的 show app-instance 命令验证应用是否已成功完成升级，且目前处于“离线”状态。

c. 打开 ASA 应用：

scope ssa
scope slot x （其中 x 为配置 ASA 逻辑设备所依据的插槽 ID）
scope app-instance asa
enable
exit

d. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器，请将其启用。否则，请继续执行步骤 e。

scope app-instance vdp
enable
exit

e. 确认配置：

commit-buffer

f. 验证应用是否处于在线状态：

show app-instance

g. 如果 Firepower 安全设备上配置了多个故障切换对（无论是否配备 Radware DefensePro 修饰器），请执行步骤 a-f 启用它们并进行验证。

7. 将刚才升级的设备设为 活动 设备，以使流量流向已升级的设备：

a. 连接到包含 备用 ASA 逻辑设备的 Firepower 安全设备上的 ASA 控制台。

b. 启用故障切换并激活：

故障切换

failover active

c. 保存配置：

write memory

d. 验证设备是否处于 活动 状态：

show failover

8. 禁用新备用 ASA 逻辑设备上的应用：

a. 连接到包含新备用 ASA 逻辑设备的 Firepower 安全设备上的 FXOS CLI。有关说明，请参阅《 思科 FXOS CLI 配置指南 》或《 思科 FXOS Firepower 机箱管理器配置指南 》中的“访问 FXOS CLI”主题（请参阅 相关文档 ）。

b. 关闭 ASA 应用：

scope ssa
scope slot x （其中 x 为配置 ASA 逻辑设备所依据的插槽 ID）
scope app-instance asa
disable
exit

c. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器，则将其禁用。否则，请继续执行步骤 d。

scope app-instance vdp
disable
exit

d. 确认配置：

commit-buffer

e. 验证应用是否处于离线状态：

show app-instance

注意： 可能需要 2-5 分钟，所有应用才会变为“离线”状态，因为 vDP 在 ASA 停止且安全模块重启后才会开始停止。如果任何停止作业失败，请重复步骤 b-d。

f. 如果 Firepower 安全设备上配置了多个故障切换对（无论是否配备 Radware DefensePro 修饰器），请执行步骤 b-e 禁用它们并进行验证。

9. 升级包含 新备用 ASA 逻辑设备的 Firepower 安全设备上的 Firepower 可扩展操作系统捆绑包：

a. 将 FXOS 2.1(1) 平台捆绑包映像上传至 Firepower 安全设备。有关说明，请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题（请参阅 相关文档 ）。

b. 使用 FXOS 2.1(1) 平台捆绑包映像升级 Firepower 安全设备。有关说明，请参阅《 思科 Firepower 机箱管理器配置指南 》中的“升级 Firepower 可扩展操作系统平台捆绑包”主题。

10. 等待机箱重新启动并成功升级：

a. 使用 scope system 下的 show firmware monitor 命令来监控升级过程。

b. 升级过程完成后，使用 scope ssa 下的 show slot 命令来验证插槽是否已恢复“在线”状态。

11. 升级 ASA 和 vDP 逻辑设备映像：

a. 将 ASA CSP 映像上传至 Firepower 安全设备。如果 Radware DefensePro (vDP) 被配置为此 ASA 应用的修饰器，并且存在可用更新，请同时上传 vDP CSP 映像。

有关说明，请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题（请参阅 相关文档 ）。

b. 使用 ASA CSP 映像升级逻辑设备映像：

top （将范围设置为模式层次结构的最顶层）
scope ssa
scope slot x （其中 x 为配置 ASA 逻辑设备所依据的插槽 ID）
scope app-instance asa
set startup-version <版本>
exit

c. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器，请升级 vDP 映像：

scope app-instance vdp
set startup-version <版本>
exit

d. 确认配置：

commit-buffer

e. 如果 Firepower 安全设备上配置了多个故障切换对（无论是否配备 Radware DefensePro 修饰器），请使用步骤 b-d 升级它们。

12. 升级过程完成后，重新启用新备用 ASA 逻辑设备上的应用：

a. 使用 scope ssa 下的 show slot 命令来确认每个插槽均处于“在线”状态。

b. 使用 scope ssa 下的 show app-instance 命令验证应用是否已成功完成升级，且目前处于“离线”状态。

c. 打开 ASA 应用：

scope ssa
scope slot x （其中 x 为配置 ASA 逻辑设备所依据的插槽 ID）
scope app-instance asa
enable
exit

d. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器，请将其启用。否则，请继续执行步骤 e。

scope app-instance vdp
enable
exit

e. 确认配置：

commit-buffer

f. 验证应用是否处于在线状态：

show app-instance

g. 如果 Firepower 安全设备上配置了多个故障切换对（无论是否配备 Radware DefensePro 修饰器），请执行步骤 a-f 启用它们并进行验证。

13. 将刚才升级的设备设为 活动 设备，同升级前一样：

a. 连接到包含 新备用 ASA 逻辑设备的 Firepower 安全设备的 ASA 控制台。

b. 启用故障切换并激活：

故障切换
failover active

c. 保存配置：

write memory

d. 验证设备是否处于 活动 状态：

show failover

使用增强的零停机流程升级 ASA 机箱内集群

注意： 只有从 FXOS 2.0(1.129) 或更高版本升级至 FXOS 2.1(1.64) 或从 FXOS 2.1(1.64) 或更高版本升级至 FXOS 2.1(1.77) 时，才支持此流程。若要从 FXOS 2.0(1.37)-2.0(1.86) 升级至 FXOS 2.1(1.64)，请参阅升级 ASA 机箱内集群。

升级前检查表

1. 连接到机箱 2（应该是没有主设备的机箱）上的 FXOS CLI。有关说明，请参阅《 思科 FXOS CLI 配置指南 》或《 思科 FXOS Firepower 机箱管理器配置指南 》中的“访问 FXOS CLI”主题（请参阅 相关文档 ）。

2. 验证已安装的所有安全模块是否均处于在线状态：

scope ssa
show slot

3. 验证已安装的所有安全模块是否安装有正确的 FXOS 版本和 ASA 版本：

scope server 1/ x
show version
scope ssa
show logical-device

4. 对于安装在机箱中的所有安全模块，验证集群运行状态为“集群内”：

scope ssa
show app-instance

5. 验证安装的所有安全模块显示为集群的一部分：

connect module x console
show cluster info

6. 验证主设备不在该机箱中：

scope ssa
show app-instance

不应存在“集群角色”(Cluster Role) 设置为“主”的任何 ASA 实例。

程序

1. 将 FXOS 2.1(1) 映像下载到本地计算机（请参阅软件下载）。

2. 连接到机箱 2（应该是没有主设备的机箱）上的 FXOS CLI。有关说明，请参阅《 思科 FXOS CLI 配置指南 》或《 思科 FXOS Firepower 机箱管理器配置指南 》中的“访问 FXOS CLI”主题（请参阅 相关文档 ）。

3. 升级机箱 2 中的 Firepower 可扩展操作系统捆绑包：

a. 将 FXOS 2.1(1) 平台捆绑包映像上传至 Firepower 安全设备。有关说明，请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题（请参阅 相关文档 ）。

b. 使用 FXOS 2.1(1) 平台捆绑包映像升级 Firepower 安全设备。有关说明，请参阅《 思科 Firepower 机箱管理器配置指南 》中的“升级 Firepower 可扩展操作系统平台捆绑包”主题（请参阅 相关文档 ）。

4. 等待机箱重新引导并成功升级（大约需要 15-20 分钟）：

a. 使用 scope system 下的 show firmware monitor 命令来监控升级过程。每个组件应显示“升级状态：就绪”(Upgrade-Status: Ready)。

b. 升级过程完成后，验证安装的所有安全模块是否处于在线状态：

scope ssa
show slot

c. 验证所有 ASA 应用当前是否处于在线状态：

scope ssa
show app-instance

5. 升级 ASA 和 vDP 逻辑设备映像：

a. 将 ASA CSP 映像上传至 Firepower 安全设备。如果 Radware DefensePro (vDP) 被配置为此 ASA 应用的修饰器，并且存在可用更新，请同时上传 vDP CSP 映像。

有关说明，请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题（请参阅 相关文档 ）。

b. 使用 ASA CSP 映像升级逻辑设备映像：

top （将范围设置为模式层次结构的最顶层）
scope ssa
scope slot x （其中 x 为配置 ASA 逻辑设备所依据的插槽 ID）
scope app-instance asa
set startup-version <版本>
exit

c. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器，请升级 vDP 映像：

scope app-instance vdp
set startup-version <版本>
exit

d. 对于此安全设备上安装的逻辑设备的所有插槽，重复步骤 b-c。

e. 确认配置：

commit-buffer

6. 升级过程完成后，验证应用是否处于在线状态：

scope ssa
show app-instance

验证机箱中所有 ASA 和 vDP 应用的运行状态是否为“在线”。

验证机箱中所有 ASA 和 vDP 应用的集群运行状态是否为“集群内”。

验证机箱中所有 ASA 应用的集群角色是否为“从”。

7. 将机箱 2 中的其中一个安全模块设为主：

connect module x console
configure terminal
cluster master

将机箱 2 上的某个安全模块设置为“主”后，机箱 1 不再包含主设备，现在即可对其进行升级。

8. 针对机箱 1 重复“升级前检查表”和步骤 1-6。

9. 如果集群中包含任何其他机箱，请针对这些机箱重复“升级前检查表”和步骤 1-6。

10. 要将“主”角色返还机箱 1，请将机箱 1 上的某个安全模块设置为“主”：

connect module x console
configure terminal
cluster master

升级 ASA 机箱内集群

注意： 只有从 FXOS 2.0(1.37)-FXOS 2.0(1.86) 升级至 FXOS 2.1(1.64) 时，才支持此流程。若要从 FXOS 2.0(1.129) 或更高版本升级至 FXOS 2.1(1.64) 或从 FXOS 2.1(1.64) 或更高版本升级至 FXOS 2.1(1.77)，请参阅使用增强的零停机流程升级 ASA 机箱内集群。

升级前检查表

1. 连接到机箱 2（应该是没有主设备的机箱）上的 FXOS CLI。有关说明，请参阅《 思科 FXOS CLI 配置指南 》或《 思科 FXOS Firepower 机箱管理器配置指南 》中的“访问 FXOS CLI”主题（请参阅 相关文档 ）。

2. 验证已安装的所有安全模块是否均处于在线状态：

scope ssa
show slot

3. 验证已安装的所有安全模块是否安装有正确的 FXOS 版本和 ASA 版本：

scope server 1/ x
show version
scope ssa
show logical-device

4. 对于安装在机箱中的所有安全模块，验证集群运行状态为“集群内”：

scope ssa
show app-instance

5. 验证安装的所有安全模块显示为集群的一部分：

connect module x console
show cluster info

6. 验证主设备不在该机箱中：

scope ssa
show app-instance

不应存在“集群角色”(Cluster Role) 设置为“主”的任何 ASA 实例。

程序

1. 将 FXOS 2.1(1) 映像下载到本地计算机（请参阅软件下载）。

2. 连接到机箱 2（应该是没有主设备的机箱）上的 FXOS CLI。有关说明，请参阅《 思科 FXOS CLI 配置指南 》或《 思科 FXOS Firepower 机箱管理器配置指南 》中的“访问 FXOS CLI”主题（请参阅 相关文档 ）。

3. 关闭机箱 2 上的所有应用：

a. 关闭 ASA 应用：

scope ssa
scope slot x （其中 x 为配置 ASA 逻辑设备所依据的插槽 ID）
scope app-instance asa
disable
exit

b. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器，则将其禁用。否则，请继续执行步骤 c。

scope app-instance vdp
disable
exit

c. 对于此安全设备上安装的逻辑设备的所有插槽，重复步骤 a-b。

d. 确认配置：

commit-buffer

e. 验证应用是否处于离线状态：

top （将范围设置为模式层次结构的最顶层）
scope ssa
show app-instance

注意： 可能需要 2-5 分钟，所有应用才会变为“离线”状态。如果任何停止作业失败，请重复步骤 a-d。

4. 升级机箱 2 中的 Firepower 可扩展操作系统捆绑包：

a. 将 FXOS 2.1(1) 平台捆绑包映像上传至 Firepower 安全设备。有关说明，请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题（请参阅 相关文档 ）。

b. 使用 FXOS 2.1(1) 平台捆绑包映像升级 Firepower 安全设备。有关说明，请参阅《 思科 Firepower 机箱管理器配置指南 》中的“升级 Firepower 可扩展操作系统平台捆绑包”主题（请参阅 相关文档 ）。

5. 等待机箱重新启动并成功升级（大约需要 15-20 分钟）。

使用 scope system 下的 show firmware monitor 命令来监控升级过程。每个组件应显示“升级状态：就绪”(Upgrade-Status: Ready)。

6. 升级 ASA 和 vDP 逻辑设备映像：

a. 将 ASA CSP 映像上传至 Firepower 安全设备。如果 Radware DefensePro (vDP) 被配置为此 ASA 应用的修饰器，并且存在可用更新，请同时上传 vDP CSP 映像。

有关说明，请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题（请参阅 相关文档 ）。

b. 验证已安装的所有安全模块是否均处于在线状态：

scope ssa
show slot

c. 验证所有 ASA 应用当前是否处于离线状态：

scope ssa
show app-instance

d. 使用 ASA CSP 映像升级逻辑设备映像：

top （将范围设置为模式层次结构的最顶层）
scope ssa
scope slot x （其中 x 为配置 ASA 逻辑设备所依据的插槽 ID）
scope app-instance asa
set startup-version <版本>
exit

e. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器，请升级 vDP 映像：

scope app-instance vdp
set startup-version <版本>
exit

f. 对于此安全设备上安装的逻辑设备的所有插槽，重复步骤 d-e。

g. 确认配置：

commit-buffer

7. 升级过程完成后，重新启用机箱 2 上的应用：

a. 使用 scope ssa 下的 show slot 命令来确认每个插槽均处于“在线”状态。

b. 使用 scope ssa 下的 show app-instance 命令验证所有应用是否已成功完成升级，且目前处于“离线”状态。

c. 打开 ASA 应用：

scope ssa
scope slot x （其中 x 为配置 ASA 逻辑设备所依据的插槽 ID）
scope app-instance asa
enable
exit

d. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器，请将其启用。否则，请继续执行步骤 e。

scope app-instance vdp
enable
exit

e. 对于此安全设备上安装的逻辑设备的所有插槽，重复步骤 c-d。

f. 确认配置：

commit-buffer

成功升级并重新启用后，ASA 节点将自动重新加入现有集群。

g. 验证应用是否处于在线状态：

show app-instance

验证机箱中所有 ASA 和 vDP 应用的运行状态是否为“在线”。

验证机箱中所有 ASA 和 vDP 应用的集群运行状态是否为“集群内”。

验证机箱中所有 ASA 应用的集群角色是否为“从”。

8. 将机箱 2 中的其中一个安全模块设为主：

connect module x console
configure terminal
cluster master

将机箱 2 上的某个安全模块设置为“主”后，机箱 1 不再包含主设备，现在即可对其进行升级。

9. 针对机箱 1 重复“升级前检查表”和步骤 1-7。

10. 如果集群中包含任何其他机箱，请针对这些机箱重复“升级前检查表”和步骤 1-7。

11. 要将“主”角色返还机箱 1，请将机箱 1 上的某个安全模块设置为“主”：

connect module x console
configure terminal
cluster master

遗留漏洞

下表列出了有关 Firepower 可扩展操作系统 2.1(1) 的严重性为 3 及更高的遗留漏洞：

FXOS 2.1.1.77 中已解决的漏洞

下表列出了在 Firepower 可扩展操作系统 2.1.1.77 中已解决的问题：

FXOS 2.1.1.73 中已解决的漏洞

下表列出了在 Firepower 可扩展操作系统 2.1.1.73 中已解决的问题：

FXOS 2.1.1.64 中已解决的漏洞

下表列出了以前版本中注明的由客户发现的缺陷，这些缺陷在 Firepower 可扩展操作系统 2.1.1.64 中已得到解决：