Introducción
Este documento describe los pasos para actualizar un entorno de Secure Firewall Management Center (FMC) en alta disponibilidad (HA).
Prerequisites
Requirements
Cisco recomienda tener conocimientos de estos temas:
- Conceptos de alta disponibilidad
- Configuración segura de FMC
Componentes Utilizados
La información de este documento se basa en la versión 7.4.2 del Secure Firewall Management Center virtual.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
La actualización debe ser de un par a la vez.
En primer lugar, detenga la sincronización entre los pares.
A continuación, la actualización debe realizarse primero en el modo de espera, seguida del FMC activo.
Advertencia: Mientras que el par en espera está trabajando en comprobaciones previas / instalación, ambos pares cambian a activo; esto se llama split-brain.
Se espera totalmente durante la actualización. Durante este tiempo, no debe realizar ni implementar ningún cambio en la configuración.
Si realiza algún cambio en la configuración, se puede perder después de reiniciar la sincronización.
Pre-actualización
- Planifique su ruta de actualización. En las implementaciones de FMC, normalmente se actualiza el FMC y, a continuación, sus dispositivos administrados. Sepa siempre qué actualización acaba de realizar y cuál es la siguiente.
- Lea todas las directrices de actualización y planifique los cambios de configuración.
- Compruebe el ancho de banda. Asegúrese de que la red de gestión dispone del ancho de banda necesario para realizar transferencias de datos de gran tamaño.
- Programar ventanas de mantenimiento.
- Realice una copia de seguridad de la configuración antes y después de la actualización. System > Tools - Back up / Restore > Copia de seguridad de Firepower Management. Descargue la copia de seguridad en el equipo local.
- Actualice el alojamiento virtual. Esto es necesario cuando se ejecuta una versión anterior de VMware.
- Compruebe las configuraciones.
- Verifique la sincronización NTP.
CSP: Elija System > Configuration > Time.
Dispositivos: Utilice el comando CLI show time.
- Compruebe el espacio en disco.
- Implemente configuraciones. En las implementaciones de alta disponibilidad de FMC, solo es necesario realizar la implementación desde el par activo.
- Marque las tareas en ejecución. Asegúrese de que no hay implementaciones pendientes.
Procedimiento de actualización
Paso 1. Pausar la sincronización
En la unidad primaria (activa), detenga la sincronización de alta disponibilidad entre pares.
Integración > Otras integraciones:
Pausar sincronización. Seleccionar integración, otra integración, alta disponibilidad
Seleccione la ficha Alta disponibilidad:
Sección Alta Disponibilidad de FMC
Seleccione Pausar sincronización:
Seleccione Pausar sincronización
Espere a que se detenga la sincronización. El usuario debe pausar el estado cuando se complete.
Alerta en sincronización degradada. Pausado por el usuario
Paso 2. Cargue el paquete de actualización
Inicie sesión en la unidad secundaria (en espera) y confirme que la sincronización está en pausa.
Integración > Otras integraciones > Alta disponibilidad:
En la unidad en espera. Sincronización pausada por el usuario
Una vez confirmado, continúe cargando el paquete de actualización.
System > Product Upgrade:
Sistema, actualizaciones de productos
Seleccionar paquete de actualización
Examine el paquete descargado anteriormente de la versión que se va a actualizar.
Examine el paquete de actualización y seleccione Cargar
Paso 3. Comprobación de la preparación
En la lista Paquetes de actualización disponibles, seleccione la versión deseada. Continúe con la opción Upgrade:
Paquetes de actualización disponibles. Continuar con la actualización
Seleccione Siguiente cuando la validación de comprobaciones previas haya finalizado:
Validación de comprobación previa
Haga clic en Run Readiness Check, el proceso debe comenzar en el dispositivo que se va a actualizar:
Ejecutar comprobaciones de preparación
Una vez completado, puede ver el estado en los resultados de la comprobación de preparación.
Si se realiza correctamente, puede seleccionar Next:
Comprobación de preparación superada, seleccione Siguiente
Paso 4. Actualización del CSP
Seleccione Upgrade para comenzar con el proceso de actualización:
Iniciar actualización
El progreso de la actualización se puede ver en el sitio de FMC:
Progreso de actualización
La GUI se puede cerrar, volver a iniciar sesión y se muestra el progreso de la actualización:
Progreso de actualización en GUI
Nota: La instalación tarda unos 30 minutos en completarse.
Si tiene acceso CLI, el progreso se puede verificar en la carpeta de actualización /var/log/sf; pase al modo experto e ingrese al acceso raíz.
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/Volume/home/admin# cd /var/log/sf/
root@firepower:/var/log/sf# ls
Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2
root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2# ls
000_start AQ_UUID DBCheck.log exception.log flags.conf main_upgrade_script.log status.log status.log.202307180405 upgrade_readiness upgrade_status.json upgrade_status.log upgrade_version_build
root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2# tail -f status.log
Una vez completada la actualización, el FMC se reinicia.
ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
ui:[100%] [1 mins to go for reboot] Upgrade complete
ui:[100%] [1 mins to go for reboot] The system will now reboot.
ui:System will now reboot.
Broadcast message from root@firepower (Fri Oct 10 20:23:08 2025):
System will reboot in 5 seconds due to system upgrade.
Broadcast message from root@firepower (Fri Oct 10 20:23:13 2025):
System will reboot now due to system upgrade.
ui:[100%] [1 mins to go for reboot] Installation completed successfully.
ui:Upgrade has completed.
state:finished
Broadcast message from root@firepower (Fri Oct 10 20:23:25 2025):
The system is going down for reboot NOW!
Después del reinicio, vuelva a iniciar sesión en la GUI de FMC y acepte las condiciones de uso:
Acepte las Condiciones de uso
La nueva versión se puede confirmar en FMC.
Ayuda > Acerca de:
Confirmación de nueva versión
En la CLI, la versión se puede comprobar después de aceptar el Acuerdo de usuario.
Copyright 2004-2025, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Firepower Extensible Operating System (FX-OS) v2.16.0 (build 4006)
Cisco Secure Firewall Management Center for VMware v7.6.2 (build 329)
>
> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.6.2 (build 329)
UUID : 1c71ae24-1e60-11ed-8459-9758e19f1a24
Rules update version : 2022-01-06-001-vrt
LSP version : lsp-rel-20240417-2110
VDB version : 392
----------------------------------------------------
FMC High Availability después de que la actualización vaya a Split Brain, el peer local (secundario) es ahora una actualización completa.
Integración > Otra integración > Alta disponibilidad:
Cerebro partido en alta disponibilidad
Paso 5. Actualizar par principal (activo)
Inicie sesión en la unidad primaria, confirme que el peer local es el que tiene la versión más antigua.
Integración > Otra integración > Alta disponibilidad:
Confirmar versión de Peer Local
Repita los pasos del dos al cuatro en este par:
- Cargue el paquete de actualización.
-
Comprobación de preparación.
-
Actualizar dispositivo.
Paso 6. Active el CSP deseado
Una vez completada la actualización en ambos CSP, lInicie sesión en el FMC que desea convertir en unidad activa y seleccione la opción Make Me Active.
Integración > Alta disponibilidad > Hacerme activo:
Seleccione la unidad deseada que se activará
Advertencias sobre procesos y sobrescribir cualquier configuración realizada en el par en espera, seleccione YES para continuar.
Advertencia sobre configuración de sobrescritura activa en par en espera
Seleccione Aceptar
Resolviendo la división del cerebro
Espere hasta que se complete la sincronización. El par remoto debe aparecer como En espera.
Alta disponibilidad degradada temporalmente
Nota: La sincronización puede tardar hasta 20 minutos en completarse.
Implemente los cambios pendientes en la unidad activa de FMC para completar el proceso de actualización.
Validación
Una vez que ambos FMC estén en la misma versión y se haya completado la sincronización, la ficha Resumen de HA debe tener este aspecto.
Integración > Otra integración > Alta disponibilidad:
Sincronización finalizada
Advertencia: Si el estado de sincronización final muestra degradado u otro resultado distinto de OK, comuníquese con el TAC.