Mise à niveau du workflow FTD HA géré par FMC exécutant la version 7.4.2
Problème
Le principal problème abordé est le workflow et les exigences techniques pour effectuer une mise à niveau de haute disponibilité (HA) sur les périphériques Cisco Firepower Threat Defense (FTD) (en particulier FPR1120) gérés par un Firepower Management Center (FMC) 4700 exécutant la version 7.4.2. Cet article détaille les étapes préparatoires, les meilleures pratiques et les considérations pour assurer une opération réussie de mise à niveau FTD HA.
Environnement
- Technologie : Cisco Secure Firewall Firepower - 7.4
- Sous-technologie : Firepower Threat Defense (FTD) - Mise à jour logicielle / Mise à jour de sécurité / Réimage / Migration / Sauvegarde et restauration
- Gamme de produits : FPRLOW (inclut FPR1120)
- Firepower Threat Defense (FTD) en paire haute disponibilité (HA)
- Géré par Firepower Management Center (FMC) 4700
- Version du logiciel FMC : 7.4.2
- Activité de mise à niveau planifiée planifiée dans une fenêtre de maintenance définie
Résolution
Respectez ce workflow détaillé pour garantir une mise à niveau réussie des paires haute disponibilité FTD gérées par FMC :
Étape 1 : Préparez la mise à niveau
Avant de commencer le processus de mise à niveau, il est essentiel de générer et de stocker des sauvegardes de configuration des périphériques FTD HA et du FMC. Cela garantit que les configurations peuvent être restaurées en cas d’échec de la mise à niveau ou de problème inattendu.
Pour sauvegarder la configuration FMC : Accédez à System > Tools : Backup/Restore dans l'interface utilisateur FMC et cliquez sur le bouton Firewall Management Backup :
image_en_ligne_0.png
image_inline_1.pngCliquez sur le bouton Managed Device Backup pour sauvegarder la paire FTD HA.
Pour vous assurer que l'état de configuration du périphérique FTD est préservé, vérifiez que le déploiement de la dernière configuration a été effectué depuis FMC vers les deux homologues HA :
image_en_ligne_2.pngÉtape 2 : vérifiez l'état actuel de la paire FTD HA
Avant de procéder à la mise à niveau, vérifiez l’état de haute disponibilité pour confirmer que les deux homologues sont en bon état et synchronisés. Dans l’interface de ligne de commande FTD, utilisez cette commande pour vérifier l’état du périphérique :
> show failover state
Exemple de rapport :
État Dernier échec Motif Date/Heure
Cet hôte - Principal
Aucun actif
Autre hôte - Secondaire
Prêt pour la veille Aucun
====État de la configuration===
Synchronisation ignorée
====État de la communication===
Mac setÉtape 3 : Planifiez et communiquez la fenêtre de maintenance
Assurez-vous que la fenêtre de maintenance est clairement définie et que toutes les parties prenantes sont informées. Pour ce workflow, la maintenance a été planifiée en conséquence :
Heure de début : 18/11/2025 12:00:00 (UTC -3 Argentine/Buenos_Aires)
Heure de fin : 11/18/2025 14:00:00 (UTC -3 Argentine/Buenos_Aires)
Étape 4 : Lancez la mise à niveau FTD HA
Lancez la mise à niveau à partir du FMC, en vous assurant que vous respectez la procédure recommandée par Cisco pour la mise à niveau des paires haute disponibilité FTD. Au cours du processus de mise à niveau, la mise à niveau est généralement effectuée automatiquement de manière progressive :
Mettez à niveau le FTD de secours.
Basculement vers le FTD récemment mis à niveau et activation.
Mettez à niveau l'autre FTD maintenant en veille.
Dans l'interface utilisateur graphique de FMC, accédez à System > Product Upgrades et sélectionnez la version cible pour la mise à niveau.
image_en_ligne_3.pngÉtape 5 : Surveillez le processus de mise à niveau
Surveillez de près la progression de la mise à niveau pour les deux unités. Utilisez la section de surveillance des travaux de l'interface utilisateur graphique FMC ou l'interface de ligne de commande pour les mises à jour de statut. Pour vérifier la progression de la mise à niveau dans l'interface de ligne de commande :
> show upgrade status
Exemple de rapport :
Mise à niveau en cours sur l'unité en veille...
Mise à niveau terminée sur l'unité en veille.
Initialisation du basculement...
Mise à niveau en cours sur l'unité active...
Mise à niveau des deux unités.
La paire HA est synchronisée.Étape 6 : Vérification après mise à niveau
Une fois la mise à niveau terminée, vérifiez que :
Les deux périphériques FTD exécutent la version logicielle prévue.
L'état de haute disponibilité indique que les deux unités sont saines et synchronisées.
Tous les services et flux réseau prévus fonctionnent comme prévu.
> afficher la version
Exemple de rapport :
---------------[ puissance de feu ]---------------
Modèle : Cisco Firepower Threat Defense pour VMware (75) version 7.4.2.4 (version 9)
UUID : bc9d31e8-0517-11f0-9c89-c358b8259f96
Version LSP : lsp-rel-20260128-1954
Version VDB : 404
----------------------------------------------------
> show failover
Exemple de rapport :
> show failover
Basculement activé
Unité de basculement principale
Interface LAN de basculement : état de basculement GigabitEthernet0/7 (up)
Délai de reconnexion 0:00:00
Fréquence d'interrogation des unités 1 secondes, durée de conservation 15 secondes
Fréquence d'interrogation d'interface 5 secondes, durée de conservation 25 secondes
Politique d'interface 1
Interfaces surveillées 4 sur 361 maximum
Intervalle de notification de déplacement d'adresse MAC non défini
réplication de basculement http
Version : Ours 9.20(2)121, Mate 9.20(2)121
Numéro de série : Ours SERIAL, Mate SERIAL
Dernier basculement à : 14:29:08 UTC 31 décembre 2025
Cet hôte : Principal - Actif
Durée active : 3418340 (s)
logement 0 : état matériel/logiciel ASAv rév (/9.20(2)121) (Up Sys)
Interface OUTSIDE (IPADDRESS) : Normal (surveillé)
Interface INSIDE (IPADDRESS) : Normal (surveillé)
Interface DMZ (IPADDRESS) : normale (surveillée)
Gestion d'interface (IPADDRESS) : normale (surveillée)
logement 1 : état snort rev (1.0) (up)
logement 2 : diskstatus rev (1.0) status (up)
Autre hôte : Secondaire - Prêt pour la veille
Durée active : 0 (s)
Interface OUTSIDE (IPADDRESS) : Normal (surveillé)
Interface INSIDE (IPADDRESS) : Normal (surveillé)
Interface DMZ (IPADDRESS) : normale (surveillée)
Gestion d'interface (IPADDRESS) : normale (surveillée)
logement 1 : état snort rev (1.0) (up)
logement 2 : diskstatus rev (1.0) status (up)
Étape 7 : Vérifiez que les sauvegardes sont à jour
Enfin, générez de nouvelles sauvegardes de FMC et de FTD après la mise à niveau pour capturer l’état de configuration actuel mis à niveau.
Répétez le processus de sauvegarde comme décrit à l'étape 1.
Motif
Aucune. Il s'agit d'un workflow de mise à niveau standard pour Cisco FTD HA géré par FMC.
Autres informations utiles
- Assistance technique de Cisco et téléchargements
- Mise à niveau FTD HA gérée par FMC
- Dépannage des procédures de génération de fichiers Firepower
- notes de version
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
4.0 |
14-Apr-2026
|
Révision et validation. Mises à jour. |
2.0 |
11-Feb-2026
|
Révision et validation. |
1.0 |
03-Feb-2026
|
Première publication |
Commentaires