Actualización del par FTD HA en appliances Firepower

Opciones de descarga

  • PDF     (1.0 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (890.2 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:12 de septiembre de 2019
ID del documento:200896

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe el proceso de actualización del modo Firepower Threat Defense (FTD) en modo de alta disponibilidad (HA) en appliances Firepower.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Firepower Management Center (FMC)
    • FTD
    • Dispositivos FirePOWER (FXOS)

    Componentes Utilizados

    • 2 FPR4150
    • 1 FS4000
    • 1 PC

    Las versiones de la imagen de software antes de la actualización:

    • FMC 6.1.0-330
    • FTD Primario 6.1.0-330
    • FTD Secundario 6.1.0-330
    • FXOS Primario 2.0.1-37
    • FXOS secundario 2.0.1-37

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configurar

    Diagrama de la red

    Plan de acción

    Tarea 1: Verificar los requisitos previos

    Tarea 2: Cargar las imágenes a FMC y SSP

    Tarea 3: Actualice el primer chasis FXOS (2.0.1-37 -> 2.0.1-86)

    Tarea 4: Cambiar la conmutación por fallas de FTD

    Tarea 5: Actualice el segundo chasis FXOS (2.0.1-37 -> 2.0.1-86)

    Tarea 6: Actualización del FMC (6.1.0-330 -> 6.1.0.1)

    Tarea 7: Actualice el par FTD HA (6.1.0-330 -> 6.1.0.1)

    Tarea 8: Implementar una política de FMC al par FTD HA

    Tarea 1. Verificar los requisitos previos

    Consulte la Guía de Compatibilidad de FXOS para determinar la compatibilidad entre:

    • Versión de software FTD objetivo y versión de software FXOS
    • Plataforma HW Firepower y versión de software FXOS

    Compatibilidad con FXOS Cisco Firepower 4100/9300

    Nota: Este paso no se aplica a FP21xx ni a plataformas anteriores.

    Verifique las Release Notes de FXOS de la versión de destino para determinar la trayectoria de actualización de FXOS:

    Notas de la versión de Cisco Firepower 4100/9300 FXOS, 2.0(1)

    Nota: Este paso no se aplica a FP21xx ni a plataformas anteriores.

    Consulte las Release Notes de la versión de destino de FTD para determinar la trayectoria de actualización de FTD:

    Notas de la versión del sistema Firepower, versión 6.0.1.2

    Tarea 2. Cargar las imágenes de software

    En los dos FCM, cargue las imágenes FXOS (fxos-k9.2.0.1.86.SPA).

    En FMC, cargue los paquetes de actualización FMC y FTD:

    • Para la actualización de FMC: Sourcefire_3D_Defense_Center_S3_Patch-6.1.0.1-53.sh
    • Para la actualización de FTD: Cisco_FTD_SSP_Patch-6.1.0.1-53.sh

    Tarea 3. Actualización del primer chasis FXOS

    Nota: En caso de que actualice FXOS de 1.1.4.x a 2.x, primero debe apagar el dispositivo lógico FTD, actualizar el FXOS y volver a habilitarlo.

    Nota: Este paso no se aplica a FP21xx ni a plataformas anteriores.

    Antes de la actualización:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Ready

    Inicie la actualización de FXOS:

    La actualización de FXOS requiere un reinicio del chasis:

    Puede supervisar la actualización de FXOS desde la CLI de FXOS. Hay que actualizar los tres componentes (FPRM, fabric interconnect y chasis):

    FPR4100-4-A# scope system
FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Ready

    Nota: Pocos minutos después de iniciar el proceso de actualización de FXOS se desconecta tanto de la CLI de FXOS como de la GUI. Debe poder volver a iniciar sesión después de unos minutos.

    Después de aproximadamente cinco minutos, se completa la actualización del componente FPRM:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Upgrading

    Después de aproximadamente 10 minutos, y como parte del proceso de actualización de FXOS, el dispositivo Firepower se reinicia:

    Please stand by while rebooting the system...
    ...    
Restarting system.

    Después del reinicio, el proceso de actualización continúa:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Upgrading

    Después de un total de aproximadamente 30 minutos, se completa la actualización de FXOS:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.86),2.0(1.37)
        Upgrade-Status: Ready

    Tarea 4. Cambiar los estados de conmutación por fallas de FTD

    Nota: Este paso no se aplica a FP21xx ni a plataformas anteriores.

    Antes de intercambiar los estados de failover, asegúrese de que el módulo FTD en el chasis esté completamente ACTIVO:

    FPR4100-4-A# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI

> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 15:08:47 UTC Dec 17 2016
        This host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Primary - Active
                Active time: 5163 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         65         0          68         4
        sys cmd         65         0          65         0
      ...

    Intercambie los estados de failover de FTD. Desde Active FTD CLI:

    > no failover active
        Switching to Standby

>

    Tarea 5. Actualización del segundo chasis FXOS

    De forma similar a la Tarea 2, actualice el dispositivo FXOS donde está instalado el nuevo FTD en espera. Esto puede tardar aproximadamente 30 minutos o más en completarse.

    Nota: Este paso no se aplica a FP21xx ni a plataformas anteriores.

    Tarea 6. Actualización del software FMC

    Actualice el FMC, en este escenario de 6.1.0-330 a 6.1.0.1.

    Tarea 7. Actualización del par FTD HA

    Antes de la actualización:

    > show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 15:51:08 UTC Dec 17 2016
        This host: Primary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Secondary - Active
                Active time: 1724 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         6          0          9          0
        sys cmd         6          0          6          0
    ...

    Desde el menú Sistema FMC > Actualizaciones, inicie el proceso de actualización de HA FTD:

    En primer lugar, se actualiza el FTD principal/en espera:

    El módulo FTD en espera se reinicia con la nueva imagen:

    Puede verificar el estado de FTD desde el modo FXOS BootCLI:

    FPR4100-3-A# connect module 1 console
Firepower-module1> show services status
Services currently running:
Feature   | Instance ID    |     State  |          Up Since
-----------------------------------------------------------
ftd     | 001_JAD201200R4WLYCWO6 |   RUNNING  | :00:00:33

    La CLI de FTD secundaria/activa muestra un mensaje de advertencia debido a una discordancia de versión de software entre los módulos FTD:

    firepower#
************WARNING****WARNING****WARNING********************************
Mate version 9.6(2) is not identical with ours 9.6(2)4
************WARNING****WARNING****WARNING********************************
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate

    El FMC muestra que el dispositivo FTD se actualizó correctamente:

    Se inicia la actualización del segundo módulo FTD:

    Al final del proceso, el FTD arranca con la nueva imagen:

    En segundo plano, el FMC utiliza el usuario interno enable_1, intercambia los estados de failover de FTD y elimina temporalmente la configuración de failover del FTD:

    firepower# show logging
Dec 17 2016 16:40:14: %ASA-5-111008: User 'enable_1' executed the 'no failover active' command.
Dec 17 2016 16:40:14: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'no failover active'
Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'clear configure failover' command.
Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'clear configure failover'
Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'copy /noconfirm running-config disk0:/modified-config.cfg' command.
Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'copy /noconfirm running-config
     disk0:/modified-config.cfg'
        
firepower#
        Switching to Standby

firepower#

    En este caso, la actualización completa de FTD (ambas unidades) llevó aproximadamente 30 minutos.

    Verificación

    Este ejemplo muestra la verificación FTD CLI del dispositivo FTD primario:

    > show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 16:40:14 UTC Dec 17 2016
        This host: Primary - Active
                Active time: 1159 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         68         0          67         0
...
>

    Este ejemplo muestra la verificación FTD CLI del dispositivo FTD secundario/en espera:

    > show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 16:52:43 UTC Dec 17 2016
        This host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Primary - Active
                Active time: 1169 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         38         0          41         0
    ...
>

    Tarea 8. Implementación de una Política en el Par HA de FTD

    Una vez completada la actualización, debe implementar una política en el par HA. Esto se muestra en la interfaz de usuario de FMC:

    Implemente las políticas:

    Verificación

    El par FTD HA actualizado como se ve desde la interfaz de usuario de FMC:

    El par FTD HA actualizado como se ve desde la interfaz de usuario FCM:

    Información Relacionada

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Mikis Zafeiroudis
      Cisco TAC Engineer
    • Dinkar Sharma
      Cisco TAC Engineer
    • Edited by Olha Yakovenko
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos