Les mises à jour LSP (Lightweight Security Package) automatiques échouent sur Cisco FMC. Les mises à jour LSP ne s'installent plus automatiquement, tandis que l'installation LSP manuelle continue de fonctionner correctement. Les mises à jour VDB et les mises à jour de règle Snort continuent de fonctionner normalement via des processus automatiques.
image_en_ligne_0.png
Pour résoudre l’échec de la mise à jour automatique du LSP, vérifiez que la connectivité réseau requise est correctement configurée sur les pare-feu ou les périphériques réseau en amont susceptibles de bloquer le processus de mise à jour.
Vérifiez la version actuelle du LSP installée sur le périphérique Firepower Threat Defense :
show version
Exemple de sortie montrant la version actuelle du LSP :
--------------[ périphérique ]--------------
Modèle : Cisco Secure Firewall 3140 Threat Defense (80) Version 7.6.2.1 (Build 3)
UUID : 5fb22700-68c8-11ee-b5a0-d2e6638aec56
Version de LSP : lsp-rel-20260121-2008
Version VDB : 421
----------------------------------------------------
Assurez-vous que l'accès sortant sur le port 80 est autorisé sur tout pare-feu en amont ou périphérique de sécurité réseau pour ces destinations :
updates-dyn-talos.sco.cisco.com - Requis pour les mises à jour LSP
updates.ironport.com - Requis pour les mises à jour du contenu de sécurité
Ces destinations sont essentielles au bon fonctionnement du processus de mise à jour automatique. Tout blocage de ces connexions empêche les mises à jour LSP automatiques tout en permettant aux mises à jour manuelles de fonctionner.
root@fmc:/Volume/home/user# curl -v -k http://updates.ironport.com
<h1>Page Web bloquée</h1>
<p>La page Web que vous essayez de visiter a été bloquée conformément à la stratégie de la société. Contactez votre administrateur système si vous pensez qu'il s'agit d'une erreur.</p>
sf/talos_agent.log:TalosAgent:ERROR: updater.go:talosagent.cisco.com/pkg/updater.UpdateService:475 2026/02/13 04:11:05 Failed to download new inventory file: failed to download file: 204cf9af41f70cb30cfd3a7d41ab2f7366219cbfa805b4ec7443bb957f373b87630d8e4027491747102d060ed5e238ab rpc error: code = Internal desc = http error 503 Service Unavailable while downloading file 204cf9af41f70cb30cfd3a7d41ab2f7366219cbfa805b4ec743bb957f373b87630d8e4027491747102d060ed5e238ab
sf/talos_agent.log:TalosAgent:ERROR: updater.go:talosagent.cisco.com/pkg/updater.UpdateService:475 2026/02/24 19:18:08 Failed to download new inventory file: failed to download file: 3b1e29d5b30bd9dc79f15fad7726e616d73e93ec473e383bb08086b41d3bb571b7e08d3f0fb3fc5e839415d6c3edde0b rpc error: code = Internal desc = Download of http://updates.ironport.com:80/lsp/1/lsp/default/20260223001 failed: connection error: Connection reset by peer (erreur OS 104)
Vérifiez que les mises à jour automatiques sont correctement configurées dans le Centre de gestion du pare-feu pour les mises à jour LSP. Le fait que les mises à jour de règles VDB et Snort continuent à fonctionner automatiquement suggère que le mécanisme de mise à jour de base est fonctionnel, mais que la connectivité spécifique au LSP peut être bloquée.
Après avoir vérifié que les destinations requises sont accessibles via les périphériques de sécurité en amont, surveillez le processus de mise à jour automatique pour vérifier que les mises à jour LSP reprennent un fonctionnement normal.
root@echo-ngfw-fmcv3:/Volume/home/admin# curl -v -k http://updates.ironport.com
* Essai en cours 208.90.58.25:80...
* Connecté au port 80 de updates.ironport.com (208.90.58.25) (#0)
> GET / HTTP/1.1
> Hôte : updates.ironport.com
> User-Agent : curl/7.79.1
> Accepter : */*
>
* Marquer le bundle comme ne prenant pas en charge la multiutilisation
< HTTP/1.1 200 OK
< Serveur : nginx/1.20.1
< Date : Lun, 16 Mar 2026 20:22:35 GMT
< Content-Type : text/html
< Longueur du contenu : 689
< Dernière modification : mer, 06 sept. 2006 17:26:12 GMT
< Connexion : keep-alive
< ETag : "44ff04b4-2b1"
< Expire le : mar., 17 mars 2026 20:22:35 GMT
< Cache-Control : max-age=86400
< Plages d'acceptation : octets
<
<HTML>
<!— $En-tête : /usr/local/cvsroot/godspeed/upgrade_server/http/html/root.html,v 1.1 2004/06/25 22:43:59 Brie Exp $ —>
<EN-TÊTE>
</HEAD>
<CORPS>
<IMG SRC="http://ironport.com/media/logo.gif">
<P>
Il s'agit du serveur de mise à jour IronPort. Si vous essayez de télécharger de nouveaux
de surveillance du trafic, de merlin ou de paquets WBRS, vous avez atteint cette page par erreur.
Reportez-vous aux notes de version de Update Manager pour obtenir des instructions de téléchargement
le nouveau logiciel.
</P>
<P>
Pour toute question, n'hésitez pas à contacter le service client IronPort
au (877)641-4766 ou à l'adresse <A HREF="mailto:support@ironport.com">support@ironport.com</A>.
</P>
</BODY>
</HTML>
* La connexion #0 à l'hôte updates.ironport.com est restée intacte
Assurez-vous que le périphérique respecte les exigences requises pour la connectivité des ports et des domaines pour les autres types de mise à jour et de téléchargement, comme indiqué dans la documentation publique de Cisco :
L'échec de la mise à jour automatique du LSP est causé par une connectivité réseau bloquée aux serveurs de mise à jour requis. Plus précisément, l'accès sortant via le port 80 aux mises à jour-dyn-talos.sco.cisco.com et updates.ironport.com est restreint par des règles de pare-feu en amont ou des stratégies de sécurité réseau. Cela empêche le FMC de télécharger et d'installer automatiquement les mises à jour du LSP, tandis que les mises à jour manuelles peuvent toujours être effectuées car elles peuvent utiliser différentes méthodes de téléchargement ou du contenu mis en cache.
Toutefois, le problème peut également être affecté par la capacité du FMC à télécharger des fichiers volumineux à partir du site cloud Cisco. La limitation de la bande passante du FMC, associée à d'autres mises à jour logicielles multiples (par exemple, SRU et VDB) dans le même délai, peut entraîner une concurrence pour la bande passante, ce qui entraîne des échecs de téléchargement. Dans ce cas, séparez les durées de téléchargement du logiciel pour leur permettre de disposer de suffisamment de bande passante pour les téléchargements ou pour résoudre les problèmes de bande passante en amont.
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
15-Apr-2026
|
Première publication |