Actualizar par FTD HA en appliances Firepower

Opciones de descarga

  • PDF     (1.0 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (895.9 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (835.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:8 de mayo de 2023
ID del documento:200896

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe el proceso de actualización de Firepower Threat Defence (FTD) en modo de alta disponibilidad (HA) en appliances Firepower.

    Prerequisites

    Requirements

    Cisco recomienda conocer estos temas:

    • Centro de administración Firepower (FMC)
    • FTD
    • Dispositivos Firepower (FXOS)

    Componentes Utilizados

    • 2 FPR4150
    • 1 servidor FS4000
    • 1 x PC

    Las versiones de la imagen de software antes de la actualización:

    • FMC 6.1.0-330
    • FTD principal 6.1.0-330
    • FTD secundario 6.1.0-330
    • FXOS principal 2.0.1-37
    • FXOS secundario 2.0.1-37

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Diagrama de la red

    Network topology

    Plan de acción

    Tarea 1: Comprobar los requisitos previos

    Tarea 2: Carga de las imágenes en FMC y SSP

    Tarea 3: Actualización del primer chasis FXOS (2.0.1-37 -> 2.0.1-86)

    Tarea 4: Intercambiar la conmutación por fallo del FTD

    Tarea 5: Actualización del segundo chasis FXOS (2.0.1-37 -> 2.0.1-86)

    Tarea 6: Actualización del FMC (6.1.0-330 -> 6.1.0.1)

    Tarea 7: Actualización del par FTD HA (6.1.0-330 -> 6.1.0.1)

    Tarea 8: Implementar una política desde FMC al par FTD HA

    Tarea 1. Verifique los requisitos previos

    Consulte la Guía de compatibilidad de FXOS para determinar la compatibilidad entre:

    • Versión de software FTD objetivo y versión de software FXOS
    • Versión de software FXOS y plataforma de hardware Firepower

    Compatibilidad con Cisco Firepower 4100/9300 FXOS

    Nota: este paso no se aplica a FP21xx ni a las plataformas anteriores.

    Verifique las notas de la versión de FXOS de la versión de destino para determinar la trayectoria de actualización de FXOS:

    Notas de la versión de Cisco Firepower FXOS 4100/9300, 2.0(1)

    Nota: este paso no se aplica a FP21xx ni a las plataformas anteriores.

    Consulte las Release Notes de la versión de destino de FTD para determinar la trayectoria de actualización de FTD:

    Notas de la versión del sistema Firepower, versión 6.0.1.2

    Tarea 2. Cargue las imágenes de software

    En los dos FCM, cargue las imágenes FXOS (fxos-k9.2.0.1.86.SPA).

    En el CSP, cargue los paquetes de actualización del CSP y del FTD:

    • Para la actualización de FMC: Sourcefire_3D_Defense_Center_S3_Patch-6.1.0.1-53.sh
    • Para la actualización de FTD: Cisco_FTD_SSP_Patch-6.1.0.1-53.sh

    Tarea 3. Actualización del primer chasis FXOS

    Nota: En caso de que actualice FXOS de 1.1.4.x a 2.x, primero apague el dispositivo lógico FTD, actualice el FXOS y, a continuación, vuelva a activarlo.

    Nota: este paso no se aplica a FP21xx ni a las plataformas anteriores.

    Antes de la actualización:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Ready

    Inicie la actualización de FXOS:

    Available Updates

    La actualización de FXOS requiere un reinicio del chasis:

    Update Bundle Image

    Puede supervisar la actualización de FXOS desde la CLI de FXOS. Los tres componentes (FPRM, fabric interconnect y chasis) deben actualizarse:

    FPR4100-4-A# scope system
FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Ready

    Nota: Pocos minutos después de iniciar el proceso de actualización de FXOS, se le desconecta de la CLI de FXOS y de la GUI. Debe poder volver a iniciar sesión transcurridos unos minutos.

    Después de aproximadamente cinco minutos, se completa la actualización del componente FPRM:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Upgrading

    Después de aproximadamente 10 minutos, y como parte del proceso de actualización de FXOS, el dispositivo Firepower se reinicia:

    Please stand by while rebooting the system...
    ...    
Restarting system.

    Después de reiniciar, el proceso de actualización se reanuda:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Upgrading

    Después de un total de aproximadamente 30 minutos, se completa la actualización de FXOS:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.86),2.0(1.37)
        Upgrade-Status: Ready

    Tarea 4. Intercambiar los estados de conmutación por fallo de FTD

    Nota: este paso no se aplica a FP21xx ni a las plataformas anteriores.

    Antes de intercambiar los estados de failover, asegúrese de que el módulo FTD en el chasis esté completamente ACTIVO:

    FPR4100-4-A# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI

> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 15:08:47 UTC Dec 17 2016
        This host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Primary - Active
                Active time: 5163 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         65         0          68         4
        sys cmd         65         0          65         0
      ...

    Intercambie los estados de conmutación por fallo de FTD. Desde la CLI de FTD activa:

    > no failover active
        Switching to Standby

>

    Tarea 5. Actualización del segundo chasis FXOS

    De forma similar a la Tarea 2, actualice el dispositivo FXOS en el que está instalado el nuevo FTD en espera. Puede tardar aproximadamente 30 minutos o más en completarse.

    Nota: este paso no se aplica a FP21xx ni a las plataformas anteriores.

    Tarea 6. Actualización del software FMC

    Actualice el FMC, en este escenario de 6.1.0-330 a 6.1.0.1.

    Tarea 7. Actualización del par FTD HA

    Antes de la actualización:

    > show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 15:51:08 UTC Dec 17 2016
        This host: Primary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Secondary - Active
                Active time: 1724 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         6          0          9          0
        sys cmd         6          0          6          0
    ...

    En el menú FMC System > Updates, inicie el proceso de actualización de FTD HA:

    Updates

    Updates

    En primer lugar, se actualiza el FTD principal/en espera:

    System

    El módulo FTD en espera se reinicia con la nueva imagen:

    Remote Install

    Puede verificar el estado de FTD desde el modo BootCLI de FXOS:

    FPR4100-3-A# connect module 1 console
Firepower-module1> show services status
Services currently running:
Feature   | Instance ID    |     State  |          Up Since
-----------------------------------------------------------
ftd     | 001_JAD201200R4WLYCWO6 |   RUNNING  | :00:00:33

    La CLI de FTD secundaria/activa muestra un mensaje de advertencia debido a una discordancia de la versión del software entre los módulos FTD:

    firepower#
************WARNING****WARNING****WARNING********************************
Mate version 9.6(2) is not identical with ours 9.6(2)4
************WARNING****WARNING****WARNING********************************
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate

    El FMC muestra que el dispositivo FTD se ha actualizado correctamente:

    Remote Install

    Se inicia la actualización del segundo módulo FTD:

    Remote Install

    Al final del proceso, el FTD arranca con la nueva imagen:

    Remote Install

    En segundo plano, el FMC utiliza el usuario interno enable_1, intercambia los estados de failover del FTD y elimina temporalmente la configuración de failover del FTD:

    firepower# show logging
Dec 17 2016 16:40:14: %ASA-5-111008: User 'enable_1' executed the 'no failover active' command.
Dec 17 2016 16:40:14: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'no failover active'
Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'clear configure failover' command.
Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'clear configure failover'
Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'copy /noconfirm running-config disk0:/modified-config.cfg' command.
Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'copy /noconfirm running-config
     disk0:/modified-config.cfg'
        
firepower#
        Switching to Standby

firepower#

    En este caso, la actualización completa del FTD (ambas unidades) tardó aproximadamente 30 minutos.

    Verificación

    Este ejemplo muestra la verificación CLI de FTD desde el dispositivo FTD principal:

    > show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 16:40:14 UTC Dec 17 2016
        This host: Primary - Active
                Active time: 1159 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         68         0          67         0
...
>

    Este ejemplo muestra la verificación CLI de FTD del dispositivo FTD secundario/en espera:

    > show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 16:52:43 UTC Dec 17 2016
        This host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Primary - Active
                Active time: 1169 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         38         0          41         0
    ...
>

    Tarea 8. Implementación de una política para el par HA de FTD

    Una vez completada la actualización, debe implementar una política para el par HA. Esto se muestra en la interfaz de usuario de FMC:

    Apply Update

    Implemente las políticas:

    Deploy Policies

    Verificación

    El par FTD HA actualizado tal como se ve desde la interfaz de usuario de FMC:

    Device Management

    El par FTD HA actualizado tal como se ve desde la interfaz de usuario de FCM:

    Logical Devices

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    08-May-2023
    Recertificación
    1.0
    17-Dec-2016
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Mikis Zafeiroudis
      Cisco TAC Engineer
    • Dinkar Sharma
      Cisco TAC Engineer
    • Edited by Olha Yakovenko
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos