升级运行独立 ASA 逻辑设备或 ASA 机箱内集群的 Firepower 安全设备
首次发布日期: 2017 年 1 月 23 日
最新修订日期: 2017 年 4 月 24 日
本文档包含思科 Firepower 可扩展操作系统2.1(1) 的版本信息。
http://www.cisco.com/go/firepower9300-docs
http://www.cisco.com/go/firepower4100-docs
注: 用户文档的在线版本在初始发布后有时会有更新。因此,如果 Cisco.com 上的文档中包含的信息与产品上下文相关帮助中包含的任何信息不一致,应以前者为准。
■简介
■新功能
■软件下载
■重要说明
■系统要求
■升级说明
– 安装说明
– 升级运行独立 ASA 逻辑设备或 ASA 机箱内集群的 Firepower 安全设备
– 遗留漏洞
■相关文档
思科 Firepower 安全设备是网络和内容安全解决方案的下一代平台。Firepower 安全设备是思科以应用为中心的基础设施 (ACI) 安全解决方案的一部分,并且提供为实现可扩展性、一致控制和简化管理而构建的灵活、开放、安全的平台。
■基于机箱的模块化安全系统 - 提供高性能、灵活的输入/输出配置和可扩展性。
■Firepower 机箱管理器 - 图形用户界面可简单、直观地显示当前机箱状态并支持简化的机箱功能配置。
除了早期版本中的功能以外,思科 Firepower 可扩展操作系统2.1.1.77 还推出了以下新功能:
■各种问题的修复补丁(请参阅 FXOS 2.1.1.77 中已解决的漏洞)。
除了早期版本中的功能以外,思科 Firepower 可扩展操作系统2.1.1.73 还推出了以下新功能:
■所有 Firepower 4100 和 9300 设备均支持配备了 Firepower 威胁防御的 Radware DefensePro (vDP) 服务链。
注意: FXOS 2.1.1.64 及更高版本支持配备了 Firepower 威胁防御的 Radware DefensePro (vDP),但需要使用与 FXOS 2.1.1.73 同时发布的 Radware vDP 版本 8.10.01.17-2。有关版本兼容性的更多信息,请参阅思科 FXOS 兼容性 (http://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/compatibility/fxos-compatibility.html)。
■各种问题的修复补丁(请参阅 FXOS 2.1.1.73 中已解决的漏洞)。
思科 Firepower 可扩展操作系统2.1.1.64 推出了以下新功能:
■用于通过 Firepower 机箱管理器或 FXOS CLI 删除 Call Home URL 的新选项。
■现在,可以使用 Firepower 机箱管理器配置控制台身份验证。
■现在,可以使用 Firepower 机箱管理器查看和配置 AAA 身份验证回退方法。
■现在,FXOS 将验证系统上安装的 CSP 文件的完整性。
■所有 Firepower 4100 和 9300 设备均支持配备了 Firepower 威胁防御的 Radware DefensePro (vDP) 服务链。
■Firepower 4100 系列安全设备支持 1GB FTW 网络模块。
■Firepower 9300 安全设备支持高压直流 (HVDC) 电源模块。
■支持使用 Firepower 威胁防御 6.2 及更高版本进行机箱内集群。
■现在,可以使用 FXOS 机箱管理器启用 FIPS/通用标准模式,以为符合 FIPS(联邦信息处理标准)140-2 及通用标准安全认证提供支持。
■FXOS 2.1(1) 包含多项新功能以及大量增强功能,以为符合 UC-APL(统一功能获准产品清单)安全认证提供支持:
– 通过 Firepower 机箱管理器启用/禁用 FIPS/CC 模式
– 通过 Firepower 机箱管理器配置管理 ACL(ip 块)
– 通过 Firepower 机箱管理器配置 SSH 服务器 – MAC 身份验证
– 通过 Firepower 机箱管理器配置 SSH 服务器 – 加密算法
■FXOS 现在设有一个绝对超时值,达到该值即会关闭 Firepower 机箱管理器会话,而不管会话使用状况如何。该绝对超时值默认为 60 分钟,可使用 FXOS CLI 进行更改。要了解更多信息,请参阅《FXOS CLI 配置指南》。
■现在,数据端口通道内联对的相关信息可从 Firepower 威胁防御传播到 FXOS。
■现在,可以使用 Firepower 机箱管理器删除不属于逻辑设备的应用实例。
– 支持 1 MB 至 2 GB 的会话大小。以前的版本中,支持的大小为 256 MB 至 2 GB。
– 通过 LACP 控制 FXOS 中配置的端口通道的流量优先排序。
– 通过修改 MIO CPU 端口队列设置,来优化内部控制平面流量的优先排序。
■ASA 故障切换对的许可发生变化。只有活动设备请求许可证授权。过去,两种设备都请求许可证授权。
■各种问题的修复补丁(请参阅 FXOS 2.1.1.64 中已解决的漏洞)。
可从以下某个 URL 下载 FXOS 的软件映像及受支持的应用:
■Firepower 9300 - https://software.cisco.com/download/type.html?mdfid=286287252
■Firepower 4100 - https://software.cisco.com/download/navigator.html?mdfid=286305164
有关 FXOS 特定版本支持的应用的信息,请参阅以下 URL 中的 思科 FXOS 兼容性 指南:
http://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/compatibility/fxos-compatibility.html
■自 ASA 9.7 开始,故障切换对的智能许可配置行为发生了变化。若要将 ASA 故障切换对从 9.6 及更早版本升级到 9.7 及更高版本,必须执行以下步骤来升级设备上的授权(活动设备为设备 A,备用设备为设备 B):
a. 如果当前的备用设备(设备 B)上已配置任何授权,请在备用设备中删除该配置,改为在活动设备(设备 A)上配置相同的授权。对于上下文计数,请合并活动设备和备用设备中的值,并在活动设备上请求总数。
b. 升级备用设备(设备 B),然后将其重新加入故障切换对作为备用设备。此时,设备 B 上没有智能许可证配置。有关详细信息,请参阅 升级 ASA 故障切换对 。
c. 升级活动设备(设备 A)。在升级期间,设备 A 将脱离故障切换对,而设备 B 将变成活动状态。当设备 A 升级时,需要在设备 B 上配置在设备 A 中配置的所有授权。
d. 设备 A 在完成升级后会作为备用设备重新加入故障切换对。由于设备 A 现在是备用状态,所以会释放所有授权并删除智能许可证配置。
在从设备 B(活动)向设备 A(备用)同步配置期间,设备 A 会从设备 B 接收和缓存智能许可证配置,以便在其成为活动设备后知道需要请求哪些授权。
■Firepower 9300 安全设备必须安装有固件包 1.0.10 或更高版本,才能结合使用 Firepower 100G 网络模块。有关如何验证固件包版本以及如何在需要时升级固件的说明,请参阅《 思科 FXOS CLI 配置指南,2.1(1) 》或《 思科 FXOS Firepower 机箱管理器配置指南,2.1(1) 》( http://www.cisco.com/go/firepower9300-config) 中的“固件升级”主题。
■从 FXOS 1.1(3) 开始,端口通道的行为已更改。在 FXOS 1.1(3) 和更高版本中,默认情况下,当创建端口通道时,端口通道随即会被配置为 lacp 集群分离,即使已建立物理链路,其状态也显示为断开。在下列情况下,端口通道将退出集群分离模式。
■Mozilla Firefox – 版本 42 及更高版本
■Microsoft Internet Explorer – 版本 11 及更高版本
使用 Mozilla Firefox 版本 42、Google Chrome 版本 47 和 Internet Explorer 版本 11 在 FXOS2.1(1)上执行测试。我们希望这些浏览器的未来版本也能正常运行。但是,如果您遇到任何浏览器相关问题,我们建议您恢复到其中一个经过测试的版本。
如果您的 Firepower 9300 或 Firepower 4100 系列安全设备当前运行的是任何 FXOS 2.1(1) 内部版本,可以将其升级到 FXOS 2.1(1.77)。
如果您运行的是 FXOS 的早期版本,请参阅 Firepower 9300 上的 FXOS 的升级路径,了解有关如何将系统升级到 FXOS 2.1(1.77) 的信息。
通过下表可了解从较早版本升级到此版本所需的升级路径。有关升级到特定版本的说明,请参阅该版本的版本说明文档:
http://www.cisco.com/c/en/us/support/security/firepower-9000-series/products-release-notes-list.html
升级时,可能还需要升级已安装的所有逻辑设备的应用版本。请密切关注每个 FXOS 版本所支持的应用版本。有关受支持版本的详细信息,请参阅思科 FXOS 兼容性指南,网址为: http://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/compatibility/fxos-compatibility.html
注意: 如果您当前运行的是 FXOS 1.1(4) 之前的 FXOS 版本,请参阅思科 FXOS 版本说明,1.1(4) 了解如何将系统升级至 FXOS 1.1(4)。
■同时升级 FXOS 平台捆绑包软件和应用 CSP 映像时,在升级 FXOS 平台捆绑包软件之前,请不要将应用 CSP 映像上传到您的安全设备。
■有关如何升级 Firepower 安全设备(如果正在使用 Firepower 威胁防御)的说明,请参阅您希望升级到的版本的 Firepower 系统版本说明 ( http://www.cisco.com/c/en/us/support/security/defense-center/products-release-notes-list.html)。
■有关如何升级运行独立 ASA 逻辑设备或 ASA 机箱内集群的 Firepower 安全设备的说明,请参阅 升级运行独立 ASA 逻辑设备或 ASA 机箱内集群的 Firepower 安全设备。
■要升级配置为 ASA 故障切换对的两个 Firepower 安全设备,请执行适合您当前版本和目标版本的相应程序:
– 有关如何从 FXOS 2.0(1.129) 或更高版本升级至 FXOS 2.1(1.64) 或从 FXOS 2.1(1.64) 或更高版本升级至 FXOS 2.1(1.77) 的说明,请参阅 使用增强的零停机流程升级 ASA 故障切换对 。
– 有关如何从 FXOS 2.0(1.37)-2.0(1.86) 升级至 FXOS 2.1(1.64) 的说明,请参阅 升级 ASA 故障切换对 。
■要升级配置为机箱内集群的 Firepower 安全设备,请执行适合您当前版本和目标版本的相应程序:
– 有关如何从 FXOS 2.0(1.129) 或更高版本升级至 FXOS 2.1(1.64) 或从 FXOS 2.1(1.64) 或更高版本升级至 FXOS 2.1(1.77) 的说明,请参阅 使用增强的零停机流程升级 ASA 机箱内集群 。
– 有关如何从 FXOS 2.0(1.37)-2.0(1.86) 升级至 FXOS 2.0(1.64) 的说明,请参阅 升级 ASA 机箱内集群 。
1. 将 FXOS 2.1.(1) 映像下载到本地计算机(请参阅软件下载)。
2. 将 FXOS 2.1(1) 平台捆绑包映像上传至 Firepower 安全设备。有关说明,请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题(请参阅 相关文档 )。
3. 使用 FXOS 2.1(1) 平台捆绑包映像升级 Firepower 安全设备。有关说明,请参阅《 思科 Firepower 机箱管理器配置指南 》中的“升级 Firepower 可扩展操作系统平台捆绑包”主题。
4. 将 ASA CSP 映像上传至 Firepower 安全设备。有关说明,请参阅 思科 Firepower 机箱管理器配置指南 中的“将映像上传至 Firepower 设备”主题。
5. 使用 ASA CSP 映像升级所有 ASA 逻辑设备(独立设备或机箱内集群)。有关说明,请参阅 思科 Firepower 机箱管理器配置指南 中的“更新逻辑设备的映像版本”主题。
注意: 只有从 FXOS 2.0(1.129) 或更高版本升级至 FXOS 2.1(1.64) 或从 FXOS 2.1(1.64) 或更高版本升级至 FXOS 2.1(1.77) 时,才支持此流程。若要从 FXOS 2.0(1.37)-2.0(1.86) 升级至 FXOS 2.1(1.64),请参阅升级 ASA 故障切换对。
1. 将 FXOS 2.1(1) 映像下载到本地计算机(请参阅软件下载)。
2. 升级包含 备用 ASA 逻辑设备的 Firepower 安全设备上的 Firepower 可扩展操作系统捆绑包:
a. 将 FXOS 2.1(1) 平台捆绑包映像上传至 Firepower 安全设备。有关说明,请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题(请参阅 相关文档 )。
b. 使用 FXOS 2.1(1) 平台捆绑包映像升级 Firepower 安全设备。有关说明,请参阅《 思科 Firepower 机箱管理器配置指南 》中的“升级 Firepower 可扩展操作系统平台捆绑包”主题。
a. 使用 scope system 下的 show firmware monitor 命令来监控升级过程。
b. 升级过程完成后,使用 scope ssa 下的 show slot 命令来验证插槽是否已恢复“在线”状态。
c. 使用 scope ssa 下的 show app-instance 命令来验证应用是否已恢复“在线”状态。
a. 将 ASA CSP 映像上传至 Firepower 安全设备。如果 Radware DefensePro (vDP) 被配置为此 ASA 应用的修饰器,并且存在可用更新,请同时上传 vDP CSP 映像。
有关说明,请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题(请参阅 相关文档 )。
top (将范围设置为模式层次结构的最顶层)
scope ssa
scope slot x (其中 x 为配置 ASA 逻辑设备所依据的插槽 ID)
scope app-instance asa
set startup-version <版本>
exit
c. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器,请升级 vDP 映像:
scope app-instance vdp
set startup-version <版本>
exit
e. 如果 Firepower 安全设备上配置了多个故障切换对(无论是否配备 Radware DefensePro 修饰器),请使用步骤 b-d 升级它们。
6. 将刚才升级的设备设为 活动 设备,以使流量流向已升级的设备:
a. 连接到包含 备用 ASA 逻辑设备的 Firepower 安全设备上的 ASA 控制台。
7. 升级包含 新备用 ASA 逻辑设备的 Firepower 安全设备上的 Firepower 可扩展操作系统捆绑包:
a. 将 FXOS 2.1(1) 平台捆绑包映像上传至 Firepower 安全设备。有关说明,请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题(请参阅 相关文档 )。
b. 使用 FXOS 2.1(1) 平台捆绑包映像升级 Firepower 安全设备。有关说明,请参阅《 思科 Firepower 机箱管理器配置指南 》中的“升级 Firepower 可扩展操作系统平台捆绑包”主题。
a. 使用 scope system 下的 show firmware monitor 命令来监控升级过程。
b. 升级过程完成后,使用 scope ssa 下的 show slot 命令来验证插槽是否已恢复“在线”状态。
c. 使用 scope ssa 下的 show app-instance 命令来验证应用是否已恢复“在线”状态。
a. 将 ASA CSP 映像上传至 Firepower 安全设备。如果 Radware DefensePro (vDP) 被配置为此 ASA 应用的修饰器,并且存在可用更新,请同时上传 vDP CSP 映像。
有关说明,请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题(请参阅 相关文档 )。
top (将范围设置为模式层次结构的最顶层)
scope ssa
scope slot x (其中 x 为配置 ASA 逻辑设备所依据的插槽 ID)
scope app-instance asa
set startup-version <版本>
exit
c. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器,请升级 vDP 映像:
scope app-instance vdp
set startup-version <版本>
exit
e. 如果 Firepower 安全设备上配置了多个故障切换对(无论是否配备 Radware DefensePro 修饰器),请使用步骤 b-d 升级它们。
注意: 只有从 FXOS 2.0(1.37)-2.0(1.86) 升级至 FXOS 2.1(1.64) 时,才支持此流程。若要从 FXOS 2.0(1.129) 或更高版本升级至 FXOS 2.1(1.64) 或从 FXOS 2.1(1.64) 或更高版本升级至 FXOS 2.1(1.77),请参阅使用增强的零停机流程升级 ASA 故障切换对。
1. 将 FXOS 2.1(1) 映像下载到本地计算机(请参阅软件下载)。
a. 连接到包含备用 ASA 逻辑设备的 Firepower 安全设备上的 FXOS CLI。有关说明,请参阅《 思科 FXOS CLI 配置指南 》或《 思科 FXOS Firepower 机箱管理器配置指南 》中的“访问 FXOS CLI”主题(请参阅 相关文档 )。
scope ssa
scope slot x (其中 x 为配置 ASA 逻辑设备所依据的插槽 ID)
scope app-instance asa
disable
exit
c. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器,则将其禁用。否则,请继续执行步骤 d。
scope app-instance vdp
disable
exit
注意: 可能需要 2-5 分钟,所有应用才会变为“离线”状态,因为 vDP 在 ASA 停止且安全模块重启后才会开始停止。如果任何停止作业失败,请重复步骤 b-d。
f. 如果 Firepower 安全设备上配置了多个故障切换对(无论是否配备 Radware DefensePro 修饰器),请执行步骤 b-e 禁用它们并进行验证。
3. 升级包含 备用 ASA 逻辑设备的 Firepower 安全设备上的 Firepower 可扩展操作系统捆绑包:
a. 将 FXOS 2.1(1) 平台捆绑包映像上传至 Firepower 安全设备。有关说明,请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题(请参阅 相关文档 )。
b. 使用 FXOS 2.1(1) 平台捆绑包映像升级 Firepower 安全设备。有关说明,请参阅《 思科 Firepower 机箱管理器配置指南 》中的“升级 Firepower 可扩展操作系统平台捆绑包”主题。
a. 使用 scope system 下的 show firmware monitor 命令来监控升级过程。
b. 升级过程完成后,使用 scope ssa 下的 show slot 命令来验证插槽是否已恢复“在线”状态。
a. 将 ASA CSP 映像上传至 Firepower 安全设备。如果 Radware DefensePro (vDP) 被配置为此 ASA 应用的修饰器,并且存在可用更新,请同时上传 vDP CSP 映像。
有关说明,请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题(请参阅 相关文档 )。
top (将范围设置为模式层次结构的最顶层)
scope ssa
scope slot x (其中 x 为配置 ASA 逻辑设备所依据的插槽 ID)
scope app-instance asa
set startup-version <版本>
exit
c. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器,请升级 vDP 映像:
scope app-instance vdp
set startup-version <版本>
exit
e. 如果 Firepower 安全设备上配置了多个故障切换对(无论是否配备 Radware DefensePro 修饰器),请使用步骤 b-d 升级它们。
6. 升级过程完成后,重新启用备用 ASA 逻辑设备上的应用:
a. 使用 scope ssa 下的 show slot 命令来确认每个插槽均处于“在线”状态。
b. 使用 scope ssa 下的 show app-instance 命令验证应用是否已成功完成升级,且目前处于“离线”状态。
scope ssa
scope slot x (其中 x 为配置 ASA 逻辑设备所依据的插槽 ID)
scope app-instance asa
enable
exit
d. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器,请将其启用。否则,请继续执行步骤 e。
scope app-instance vdp
enable
exit
g. 如果 Firepower 安全设备上配置了多个故障切换对(无论是否配备 Radware DefensePro 修饰器),请执行步骤 a-f 启用它们并进行验证。
7. 将刚才升级的设备设为 活动 设备,以使流量流向已升级的设备:
a. 连接到包含 备用 ASA 逻辑设备的 Firepower 安全设备上的 ASA 控制台。
a. 连接到包含新备用 ASA 逻辑设备的 Firepower 安全设备上的 FXOS CLI。有关说明,请参阅《 思科 FXOS CLI 配置指南 》或《 思科 FXOS Firepower 机箱管理器配置指南 》中的“访问 FXOS CLI”主题(请参阅 相关文档 )。
scope ssa
scope slot x (其中 x 为配置 ASA 逻辑设备所依据的插槽 ID)
scope app-instance asa
disable
exit
c. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器,则将其禁用。否则,请继续执行步骤 d。
scope app-instance vdp
disable
exit
注意: 可能需要 2-5 分钟,所有应用才会变为“离线”状态,因为 vDP 在 ASA 停止且安全模块重启后才会开始停止。如果任何停止作业失败,请重复步骤 b-d。
f. 如果 Firepower 安全设备上配置了多个故障切换对(无论是否配备 Radware DefensePro 修饰器),请执行步骤 b-e 禁用它们并进行验证。
9. 升级包含 新备用 ASA 逻辑设备的 Firepower 安全设备上的 Firepower 可扩展操作系统捆绑包:
a. 将 FXOS 2.1(1) 平台捆绑包映像上传至 Firepower 安全设备。有关说明,请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题(请参阅 相关文档 )。
b. 使用 FXOS 2.1(1) 平台捆绑包映像升级 Firepower 安全设备。有关说明,请参阅《 思科 Firepower 机箱管理器配置指南 》中的“升级 Firepower 可扩展操作系统平台捆绑包”主题。
a. 使用 scope system 下的 show firmware monitor 命令来监控升级过程。
b. 升级过程完成后,使用 scope ssa 下的 show slot 命令来验证插槽是否已恢复“在线”状态。
a. 将 ASA CSP 映像上传至 Firepower 安全设备。如果 Radware DefensePro (vDP) 被配置为此 ASA 应用的修饰器,并且存在可用更新,请同时上传 vDP CSP 映像。
有关说明,请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题(请参阅 相关文档 )。
top (将范围设置为模式层次结构的最顶层)
scope ssa
scope slot x (其中 x 为配置 ASA 逻辑设备所依据的插槽 ID)
scope app-instance asa
set startup-version <版本>
exit
c. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器,请升级 vDP 映像:
scope app-instance vdp
set startup-version <版本>
exit
e. 如果 Firepower 安全设备上配置了多个故障切换对(无论是否配备 Radware DefensePro 修饰器),请使用步骤 b-d 升级它们。
12. 升级过程完成后,重新启用新备用 ASA 逻辑设备上的应用:
a. 使用 scope ssa 下的 show slot 命令来确认每个插槽均处于“在线”状态。
b. 使用 scope ssa 下的 show app-instance 命令验证应用是否已成功完成升级,且目前处于“离线”状态。
scope ssa
scope slot x (其中 x 为配置 ASA 逻辑设备所依据的插槽 ID)
scope app-instance asa
enable
exit
d. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器,请将其启用。否则,请继续执行步骤 e。
scope app-instance vdp
enable
exit
g. 如果 Firepower 安全设备上配置了多个故障切换对(无论是否配备 Radware DefensePro 修饰器),请执行步骤 a-f 启用它们并进行验证。
注意: 只有从 FXOS 2.0(1.129) 或更高版本升级至 FXOS 2.1(1.64) 或从 FXOS 2.1(1.64) 或更高版本升级至 FXOS 2.1(1.77) 时,才支持此流程。若要从 FXOS 2.0(1.37)-2.0(1.86) 升级至 FXOS 2.1(1.64),请参阅升级 ASA 机箱内集群。
1. 连接到机箱 2(应该是没有主设备的机箱)上的 FXOS CLI。有关说明,请参阅《 思科 FXOS CLI 配置指南 》或《 思科 FXOS Firepower 机箱管理器配置指南 》中的“访问 FXOS CLI”主题(请参阅 相关文档 )。
3. 验证已安装的所有安全模块是否安装有正确的 FXOS 版本和 ASA 版本:
scope server 1/ x
show version
scope ssa
show logical-device
4. 对于安装在机箱中的所有安全模块,验证集群运行状态为“集群内”:
connect module x console
show cluster info
不应存在“集群角色”(Cluster Role) 设置为“主”的任何 ASA 实例。
1. 将 FXOS 2.1(1) 映像下载到本地计算机(请参阅软件下载)。
2. 连接到机箱 2(应该是没有主设备的机箱)上的 FXOS CLI。有关说明,请参阅《 思科 FXOS CLI 配置指南 》或《 思科 FXOS Firepower 机箱管理器配置指南 》中的“访问 FXOS CLI”主题(请参阅 相关文档 )。
3. 升级机箱 2 中的 Firepower 可扩展操作系统捆绑包:
a. 将 FXOS 2.1(1) 平台捆绑包映像上传至 Firepower 安全设备。有关说明,请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题(请参阅 相关文档 )。
b. 使用 FXOS 2.1(1) 平台捆绑包映像升级 Firepower 安全设备。有关说明,请参阅《 思科 Firepower 机箱管理器配置指南 》中的“升级 Firepower 可扩展操作系统平台捆绑包”主题(请参阅 相关文档 )。
4. 等待机箱重新引导并成功升级(大约需要 15-20 分钟):
a. 使用 scope system 下的 show firmware monitor 命令来监控升级过程。每个组件应显示“升级状态:就绪”(Upgrade-Status: Ready)。
b. 升级过程完成后,验证安装的所有安全模块是否处于在线状态:
a. 将 ASA CSP 映像上传至 Firepower 安全设备。如果 Radware DefensePro (vDP) 被配置为此 ASA 应用的修饰器,并且存在可用更新,请同时上传 vDP CSP 映像。
有关说明,请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题(请参阅 相关文档 )。
top (将范围设置为模式层次结构的最顶层)
scope ssa
scope slot x (其中 x 为配置 ASA 逻辑设备所依据的插槽 ID)
scope app-instance asa
set startup-version <版本>
exit
c. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器,请升级 vDP 映像:
scope app-instance vdp
set startup-version <版本>
exit
d. 对于此安全设备上安装的逻辑设备的所有插槽,重复步骤 b-c。
验证机箱中所有 ASA 和 vDP 应用的运行状态是否为“在线”。
验证机箱中所有 ASA 和 vDP 应用的集群运行状态是否为“集群内”。
connect module x console
configure terminal
cluster master
将机箱 2 上的某个安全模块设置为“主”后,机箱 1 不再包含主设备,现在即可对其进行升级。
9. 如果集群中包含任何其他机箱,请针对这些机箱重复“升级前检查表”和步骤 1-6。
注意: 只有从 FXOS 2.0(1.37)-FXOS 2.0(1.86) 升级至 FXOS 2.1(1.64) 时,才支持此流程。若要从 FXOS 2.0(1.129) 或更高版本升级至 FXOS 2.1(1.64) 或从 FXOS 2.1(1.64) 或更高版本升级至 FXOS 2.1(1.77),请参阅使用增强的零停机流程升级 ASA 机箱内集群。
1. 连接到机箱 2(应该是没有主设备的机箱)上的 FXOS CLI。有关说明,请参阅《 思科 FXOS CLI 配置指南 》或《 思科 FXOS Firepower 机箱管理器配置指南 》中的“访问 FXOS CLI”主题(请参阅 相关文档 )。
3. 验证已安装的所有安全模块是否安装有正确的 FXOS 版本和 ASA 版本:
scope server 1/ x
show version
scope ssa
show logical-device
4. 对于安装在机箱中的所有安全模块,验证集群运行状态为“集群内”:
connect module x console
show cluster info
不应存在“集群角色”(Cluster Role) 设置为“主”的任何 ASA 实例。
1. 将 FXOS 2.1(1) 映像下载到本地计算机(请参阅软件下载)。
2. 连接到机箱 2(应该是没有主设备的机箱)上的 FXOS CLI。有关说明,请参阅《 思科 FXOS CLI 配置指南 》或《 思科 FXOS Firepower 机箱管理器配置指南 》中的“访问 FXOS CLI”主题(请参阅 相关文档 )。
scope ssa
scope slot x (其中 x 为配置 ASA 逻辑设备所依据的插槽 ID)
scope app-instance asa
disable
exit
b. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器,则将其禁用。否则,请继续执行步骤 c。
scope app-instance vdp
disable
exit
c. 对于此安全设备上安装的逻辑设备的所有插槽,重复步骤 a-b。
top (将范围设置为模式层次结构的最顶层)
scope ssa
show app-instance
注意: 可能需要 2-5 分钟,所有应用才会变为“离线”状态。如果任何停止作业失败,请重复步骤 a-d。
4. 升级机箱 2 中的 Firepower 可扩展操作系统捆绑包:
a. 将 FXOS 2.1(1) 平台捆绑包映像上传至 Firepower 安全设备。有关说明,请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题(请参阅 相关文档 )。
b. 使用 FXOS 2.1(1) 平台捆绑包映像升级 Firepower 安全设备。有关说明,请参阅《 思科 Firepower 机箱管理器配置指南 》中的“升级 Firepower 可扩展操作系统平台捆绑包”主题(请参阅 相关文档 )。
5. 等待机箱重新启动并成功升级(大约需要 15-20 分钟)。
使用 scope system 下的 show firmware monitor 命令来监控升级过程。每个组件应显示“升级状态:就绪”(Upgrade-Status: Ready)。
a. 将 ASA CSP 映像上传至 Firepower 安全设备。如果 Radware DefensePro (vDP) 被配置为此 ASA 应用的修饰器,并且存在可用更新,请同时上传 vDP CSP 映像。
有关说明,请参阅《 思科 Firepower 机箱管理器配置指南 》中的“将映像上传至 Firepower 设备”主题(请参阅 相关文档 )。
top (将范围设置为模式层次结构的最顶层)
scope ssa
scope slot x (其中 x 为配置 ASA 逻辑设备所依据的插槽 ID)
scope app-instance asa
set startup-version <版本>
exit
e. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器,请升级 vDP 映像:
scope app-instance vdp
set startup-version <版本>
exit
f. 对于此安全设备上安装的逻辑设备的所有插槽,重复步骤 d-e。
a. 使用 scope ssa 下的 show slot 命令来确认每个插槽均处于“在线”状态。
b. 使用 scope ssa 下的 show app-instance 命令验证所有应用是否已成功完成升级,且目前处于“离线”状态。
scope ssa
scope slot x (其中 x 为配置 ASA 逻辑设备所依据的插槽 ID)
scope app-instance asa
enable
exit
d. 如果 Radware DefensePro 被配置为此 ASA 应用的修饰器,请将其启用。否则,请继续执行步骤 e。
scope app-instance vdp
enable
exit
e. 对于此安全设备上安装的逻辑设备的所有插槽,重复步骤 c-d。
验证机箱中所有 ASA 和 vDP 应用的运行状态是否为“在线”。
验证机箱中所有 ASA 和 vDP 应用的集群运行状态是否为“集群内”。
connect module x console
configure terminal
cluster master
将机箱 2 上的某个安全模块设置为“主”后,机箱 1 不再包含主设备,现在即可对其进行升级。
10. 如果集群中包含任何其他机箱,请针对这些机箱重复“升级前检查表”和步骤 1-7。
可通过思科缺陷搜索工具查看这一版本中尚未解决和已解决的缺陷。您可通过该基于 Web 的工具访问思科漏洞跟踪系统,在上面查看此产品和其他思科硬件和软件产品存在的缺陷和漏洞。
说明: 您必须使用 Cisco.com 帐户才能登录并访问思科缺陷搜索工具。如果没有,您可以 注册一个帐户 。
有关思科缺陷搜索工具的详细信息,请参阅 缺陷搜索工具帮助及常见问题 。
有关 Firepower 9300 安全设备和 Firepower 可扩展操作系统的更多信息,请参阅 思科 Firepower 9300 文档导航 。
有关获取文档、使用思科漏洞搜索工具 (BST)、提交服务请求和收集其他信息的信息,请参阅 思科产品文档更新 。
要将新的和经过修订的思科技术文档直接接收到桌面,可订阅 思科产品文档更新 RSS 源 。RSS 源是一种免费服务。
思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。要查看思科商标列表,请转至此 URL: www.cisco.com/go/trademarks 。文中提及的第三方商标为其相应所有者的财产。“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。(1110R)