Pares de la actualización FTD HA en los dispositivos de FirePOWER
Contenido
Introducción
Este documento describe el proceso de actualización de la defensa de la amenaza de FirePOWER (FTD) en el modo de gran disponibilidad (HA) en los dispositivos de FirePOWER.
Prerrequisitos
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
- Centro de administración de FirePOWER (FMC)
- FTD
- Dispositivos de FirePOWER (FXO)
Componentes Utilizados
- 2 x FPR4150
- 1 x FS4000
- 1 pc x
Las versiones de la imagen del software antes de la actualización:
- FMC 6.1.0-330
- FTD 6.1.0-330 primarios
- FTD 6.1.0-330 secundarios
- FXO 2.0.1-37 primarios
- FXO 2.0.1-37 secundarios
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Configurar
Diagrama de la red
Plan de acción
Tarea 1: Verifique los requisitos previos
Tarea 2: Cargue las imágenes a FMC y al SSP
Tarea 3: Actualice el primer chasis FXO (2.0.1-37 - > 2.0.1-86)
Tarea 4: Intercambie la Conmutación por falla FTD
Tarea 5: Actualice el segundo chasis FXO (2.0.1-37 - > 2.0.1-86)
Tarea 6: Actualice el FMC (6.1.0-330 - > 6.1.0.1)
Tarea 7: Actualice los pares FTD HA (6.1.0-330 - > 6.1.0.1)
Tarea 8: Despliegue una directiva de FMC a los pares FTD HA
La tarea 1. verifica los requisitos previos
Consulte la guía de la compatibilidad FXO para determinar la compatibilidad en medio:
- Apunte la versión de software FTD y la versión de software FXO
- Plataforma de FirePOWER HW y versión de software FXO
Cisco FirePOWER 4100/9300 compatibilidad FXO
Marque los Release Note FXO de la versión de destino para determinar el trayecto de actualización FXO:
Cisco FirePOWER 4100/9300 Release Note FXO, 2.0(1)
Consulte los Release Note de la versión de destino FTD para determinar el trayecto de actualización FTD:
Notas del Sistema XX, versión de FirePOWER, versión 6.0.1.2
Carga de la tarea 2. las imágenes del software
En los dos FCMs, cargue las imágenes FXO (fxos-k9.2.0.1.86.SPA).
En el FMC, cargue los paquetes de la actualización FMC y FTD:
- Para la actualización FMC: Sourcefire_3D_Defense_Center_S3_Patch-6.1.0.1-53.sh
- Para la actualización FTD: Cisco_FTD_SSP_Patch-6.1.0.1-53.sh
Actualización de la tarea 3. el primer chasis FXO
Antes de la actualización:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Comience la actualización FXO:
La actualización FXO requiere una reinicialización del chasis:
Usted puede monitorear la actualización FXO de los FXO CLI. Los tres componentes (FPRM, interconexión de la tela, y chasis) tienen que ser actualizados:
FPR4100-4-A# scope system
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Después de aproximadamente cinco anota la actualización componente FPRM completa:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Después de aproximadamente 10 minutos, y como parte del proceso de actualización FXO, el dispositivo de FirePOWER recomienza:
Please stand by while rebooting the system...
... Restarting system.
Después del reinicio los curriculums vitae del proceso de actualización:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Después de un total de aproximadamente 30 anota la actualización FXO completa:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.86),2.0(1.37)
Upgrade-Status: Ready
Intercambio de la tarea 4. los estados de la Conmutación por falla FTD
Antes de que usted intercambie los estados de la Conmutación por falla, asegúrese de que el módulo FTD en el chasis esté completamente PARA ARRIBA:
FPR4100-4-A# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 15:08:47 UTC Dec 17 2016
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Primary - Active
Active time: 5163 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 65 0 68 4
sys cmd 65 0 65 0
...
Intercambie los estados de la Conmutación por falla FTD. Del FTD activo CLI:
> no failover active
Switching to Standby
>
Actualización de la tarea 5. el segundo chasis FXO
Similar para encargar 2, actualice el dispositivo FXO donde el nuevo recurso seguro FTD está instalado. Esto puede tomar aproximadamente 30 minutos o más para completar.
Actualización de la tarea 6. el software FMC
Actualice el FMC, en este escenario a partir del 6.1.0-330 a 6.1.0.1.
Actualización de la tarea 7. los pares FTD HA
Antes de la actualización:
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 15:51:08 UTC Dec 17 2016
This host: Primary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Active
Active time: 1724 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 6 0 9 0
sys cmd 6 0 6 0
...
Del menú del sistema > de las actualizaciones FMC, inicie el proceso de actualización FTD HA:
Primero, se actualiza el FTD primario/espera:
El módulo espera FTD reinicia con la nueva imagen:
Usted puede verificar el estatus FTD del modo FXO BootCLI:
FPR4100-3-A# connect module 1 console Firepower-module1> show services status Services currently running: Feature | Instance ID | State | Up Since ----------------------------------------------------------- ftd | 001_JAD201200R4WLYCWO6 | RUNNING | :00:00:33
El FTD secundario/activo CLI muestra un mensaje de advertencia debido a una discordancía de la versión de software entre los módulos FTD:
firepower# ************WARNING****WARNING****WARNING******************************** Mate version 9.6(2) is not identical with ours 9.6(2)4 ************WARNING****WARNING****WARNING******************************** Beginning configuration replication: Sending to mate. End Configuration Replication to mate
El FMC muestra que el dispositivo FTD fue actualizado con éxito:
La actualización del segundo módulo FTD comienza:
En el final del proceso el FTD inicia con la nueva imagen:
En el fondo, el FMC utiliza al usuario interno enable_1, intercambia los estados de la Conmutación por falla FTD, y quita temporalmente la configuración de failover del FTD:
firepower# show logging Dec 17 2016 16:40:14: %ASA-5-111008: User 'enable_1' executed the 'no failover active' command. Dec 17 2016 16:40:14: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'no failover active' Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'clear configure failover' command. Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'clear configure failover' Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'copy /noconfirm running-config disk0:/modified-config.cfg' command. Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'copy /noconfirm running-config
disk0:/modified-config.cfg' firepower# Switching to Standby firepower#
En este caso la actualización entera FTD (ambas unidades) tardó aproximadamente 30 minutos.
Verificación
Este ejemplo muestra la verificación FTD CLI del dispositivo primario FTD:
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 16:40:14 UTC Dec 17 2016
This host: Primary - Active
Active time: 1159 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 68 0 67 0
...
>
Este ejemplo muestra la verificación FTD CLI del dispositivo secundario/espera FTD:
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 16:52:43 UTC Dec 17 2016
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Primary - Active
Active time: 1169 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 38 0 41 0
...
>
La tarea 8. despliega una directiva a los pares FTD HA
Después de que se complete la actualización, usted necesita desplegar una directiva a los pares HA. Esto se muestra en el FMC UI:
Despliegue las directivas:
Verificación
Los pares actualizados FTD HA como ella vista del FMC UI:
Los pares actualizados FTD HA como él visto del FCM UI:
Información Relacionada
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)