Actualización de FTD HA Workflow gestionado por FMC, 7.4.2

Problema

El problema principal que se aborda es el flujo de trabajo y los requisitos técnicos para realizar una actualización de alta disponibilidad (HA) en los dispositivos Cisco Firepower Threat Defence (FTD) (en concreto, FPR1120) gestionados por un Firepower Management Center (FMC) 4700 con la versión 7.4.2. En este artículo se detallan los pasos preparatorios, las prácticas recomendadas y las consideraciones para garantizar una operación de actualización de HA de FTD correcta.

Entorno

• Tecnología: Cisco Secure Firewall Firepower: 7,4
• Subtecnología: Firepower Threat Defense (FTD): actualización de software/actualización de seguridad/recreación de imágenes/migración/copia de seguridad y restauración
• Familia de productos: FPRLOW (incluye FPR1120)
• Firepower Threat Defence (FTD) en par de alta disponibilidad (HA)
• Administrado por Firepower Management Center (FMC) 4700
• Versión del software FMC: 7.4.2
• Actividad de actualización planificada programada en una ventana de mantenimiento definida

Resolución

Siga este flujo de trabajo detallado para garantizar una correcta actualización de los pares FTD HA gestionados por FMC:

Paso 1: Prepárese para la actualización

Antes de iniciar el proceso de actualización, es fundamental generar y almacenar copias de seguridad de la configuración de los dispositivos FTD HA y FMC. Esto garantiza que las configuraciones se puedan restaurar en caso de que se produzca un error de actualización o un problema inesperado.

Para realizar una copia de seguridad de la configuración de FMC: Vaya a Sistema > Herramientas: Copia de seguridad/Restauración en la interfaz de usuario de FMC y haga clic en el botón Firewall Management Backup:

Haga clic en el botón Managed Device Backup para realizar una copia de seguridad del par FTD HA.

Para garantizar que se conserva el estado de configuración del dispositivo FTD, confirme que se ha completado la última implementación de configuración desde el FMC a ambos pares HA:

Paso 2: Verificar el estado actual del par FTD HA

Antes de continuar con la actualización, verifique el estado de HA para confirmar que ambos peers están sanos y sincronizados. CLI de FTD, utilice este comando para verificar el estado del dispositivo:

> show failover state

Ejemplo de salida:

Fecha/hora del motivo del último fallo del estado

Este host - Principal

 Ninguno activo

Otro host - Secundario

 Standby Ready None

====Estado de configuración===

 Sincronización omitida

====Estado de comunicación===

Mac setPaso 3: Programar y comunicar la ventana de mantenimiento

Asegúrese de que la ventana de mantenimiento esté claramente definida y de que se informe a todas las partes interesadas. Para este flujo de trabajo, el mantenimiento se ha programado en consecuencia:

• Hora de inicio: 18/11/2025 12:00:00 (UTC -3 Argentina/Buenos_Aires)

• Hora de finalización: 18/11/2025 14:00:00 (UTC -3 Argentina/Buenos_Aires)

Paso 4: Iniciar la actualización de FTD HA

Inicie la actualización desde el FMC, asegurándose de que se adhiere al procedimiento recomendado por Cisco para actualizar los pares FTD HA. Durante el proceso de actualización, la actualización se realiza normalmente de forma sucesiva automáticamente: 

1. Actualice el FTD en espera.

2. Conmutar por error al FTD recién actualizado y activarlo.

3. Actualice el otro FTD ahora en modo de espera.

En la GUI de FMC, navegue hasta System > Product Upgrades y seleccione la versión de destino para la actualización.

Paso 5: Supervise el proceso de actualización

Supervise de cerca el progreso de la actualización para ambas unidades. Utilice la sección de supervisión del trabajo de la GUI de FMC o la CLI para obtener actualizaciones de estado. Para comprobar el progreso de la actualización a través de CLI:

> show upgrade status

Ejemplo de salida:

Actualización en curso en la unidad en espera...

Actualización finalizada en la unidad en espera.

Iniciando conmutación por error...

Actualización en curso en la unidad activa...

Actualización completada en ambas unidades.

El par de HA está sincronizado.Paso 6: verificación posterior a la actualización

Una vez completada la actualización, compruebe que:

• Ambos dispositivos FTD ejecutan la versión de software prevista.

• El estado de HA indica que ambas unidades están sanas y sincronizadas.

• Todos los servicios y flujos de red previstos funcionan según lo previsto.

> show version

 Ejemplo de salida:

---------------[ potencia de fuego ]---------------

Modelo: Cisco Firepower Threat Defense para VMware (75) versión 7.4.2.4 (versión 9)

UUID: bc9d31e8-0517-11f0-9c89-c358b8259f96

Versión de LSP: lsp-rel-20260128-1954

Versión de VDB: 404

----------------------------------------------------

> show failover

Ejemplo de salida:

> show failover

Conmutación por error activada

Unidad de conmutación por error principal

Interfaz de LAN de conmutación por error: estado de conmutación por error GigabitEthernet0/7 (up)

Volver a conectar el tiempo de espera 0:00:00

Frecuencia de sondeo de unidad 1 segundos, tiempo de espera 15 segundos

Interface Poll frequency 5 seconds, holdtime 25 seconds

Política de interfaz 1

Interfaces supervisadas 4 de 361 como máximo

Intervalo de notificación de movimiento de dirección MAC no definido

failover replication http

Versión: nuestra 9.20(2)121, mate 9.20(2)121

Número de serie: Nuestro SERIAL, Mate SERIAL

Última conmutación por error a las: 14:29:08 UTC 31 de diciembre de 2025

 Este host: principal - activo

 Tiempo activo: 3418340 (s)

 slot 0: estado de ASAv hw/sw rev (/9.20(2)121) (Up Sys)

 Interfaz EXTERNA (DIRECCIÓN IP): Normal (Supervisada)

 Interfaz INTERNA (DIRECCIÓN IP): Normal (supervisada)

 Interfaz DMZ (DIRECCIÓN IP): Normal (supervisada)

 Gestión de interfaces (IPADDRESS): Normal (supervisada)

 slot 1: estado de snort rev (1.0) (up)

 slot 2: diskstatus rev (1.0) status (up)

 Otro host: secundario - Preparado para el modo de espera

 Tiempo activo: 0 (s)

 Interfaz EXTERNA (DIRECCIÓN IP): Normal (Supervisada)

 Interfaz INTERNA (DIRECCIÓN IP): Normal (supervisada)

 Interfaz DMZ (DIRECCIÓN IP): Normal (supervisada)

 Gestión de interfaces (IPADDRESS): Normal (supervisada)

 slot 1: estado de snort rev (1.0) (up)

slot 2: diskstatus rev (1.0) status (up)Paso 7: Asegúrese de que las copias de seguridad están actualizadas

Como paso final, genere nuevas copias de seguridad de FMC y FTD después de la actualización para capturar el estado de configuración actualizado actual.

Repita el proceso de copia de seguridad como se describe en el paso 1.

Causa

Ninguno. Se trata de un flujo de trabajo de actualización estándar para Cisco FTD HA gestionado por FMC.

Contenido relacionado

• Soporte técnico y descargas de Cisco
• Actualización de FTD HA gestionado por FMC
• Solucionar problemas de procedimientos de generación de archivos Firepower
• Release Notes