Mise à niveau de la paire FTD HA sur les appliances Firepower

Options de téléchargement

  • PDF     (1.0 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (897.5 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (837.3 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:8 mai 2023
ID du document:200896

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit le processus de mise à niveau de Firepower Threat Defense (FTD) en mode Haute disponibilité (HA) sur les appliances Firepower.

    Conditions préalables

    Exigences

    Cisco recommande de connaître les sujets suivants :

    • Firepower Management Center (FMC)
    • FTD
    • Appareils Firepower (FXOS)

    Composants utilisés

    • 2 x FPR4150
    • 1 x FS4000
    • 1 x PC

    Versions de l'image logicielle avant la mise à niveau :

    • FMC 6.1.0-330
    • FTD Principal 6.1.0-330
    • FTD Secondaire 6.1.0-330
    • FXOS Primary 2.0.1-37
    • FXOS Secondaire 2.0.1-37

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configurer

    Diagramme du réseau

    Network topology

    plan d'action

    Tâche 1 : vérification des conditions préalables

    Tâche 2 : Télécharger les images sur FMC et SSP

    Tâche 3 : Mise à niveau du premier châssis FXOS (2.0.1-37 -> 2.0.1-86)

    Tâche 4 : Permuter le basculement FTD

    Tâche 5 : Mise à niveau du deuxième châssis FXOS (2.0.1-37 -> 2.0.1-86)

    Tâche 6 : Mise à niveau du FMC (6.1.0-330 -> 6.1.0.1)

    Tâche 7 : Mise à niveau de la paire FTD HA (6.1.0-330 -> 6.1.0.1)

    Tâche 8 : Déployer une stratégie depuis FMC vers la paire FTD HA

    Tâche 1. Vérification des conditions préalables

    Consultez le Guide de compatibilité FXOS afin de déterminer la compatibilité entre :

    • Version logicielle FTD cible et version logicielle FXOS
    • Plate-forme matérielle Firepower et version du logiciel FXOS

    Compatibilité FXOS Cisco Firepower 4100/9300

    Remarque : cette étape ne s'applique pas aux plates-formes FP21xx et antérieures.

    Consultez les notes de version FXOS de la version cible afin de déterminer le chemin de mise à niveau FXOS :

    Notes de version de Cisco Firepower 4100/9300 FXOS, 2.0(1)

    Remarque : cette étape ne s'applique pas aux plates-formes FP21xx et antérieures.

    Consultez les notes de version de la version cible FTD afin de déterminer le chemin de mise à niveau FTD :

    Notes de version du système Firepower, version 6.0.1.2

    Tâche 2. Télécharger les images logicielles

    Sur les deux FCM, téléchargez les images FXOS (fxos-k9.2.0.1.86.SPA).

    Sur le FMC, téléchargez les packages de mise à niveau FMC et FTD :

    • Pour la mise à niveau FMC : Sourcefire_3D_Defense_Center_S3_Patch-6.1.0.1-53.sh
    • Pour la mise à niveau FTD : Cisco_FTD_SSP_Patch-6.1.0.1-53.sh

    Tâche 3. Mise à niveau du premier châssis FXOS

    Remarque : si vous mettez à niveau FXOS de 1.1.4.x vers 2.x, arrêtez d'abord l'appliance logique FTD, mettez à niveau FXOS, puis réactivez-le.

    Remarque : cette étape ne s'applique pas aux plates-formes FP21xx et antérieures.

    Avant la mise à niveau :

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Ready

    Démarrez la mise à niveau FXOS :

    Available Updates

    La mise à niveau de FXOS nécessite un redémarrage du châssis :

    Update Bundle Image

    Vous pouvez surveiller la mise à niveau de FXOS depuis l'interface de ligne de commande FXOS. Les trois composants (FPRM, Fabric Interconnect et Châssis) doivent être mis à niveau :

    FPR4100-4-A# scope system
FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Ready

    Remarque : quelques minutes après le démarrage du processus de mise à niveau de FXOS, vous êtes déconnecté de l'interface de ligne de commande de FXOS et de l'interface utilisateur graphique. Vous devez être en mesure de vous reconnecter après quelques minutes.

    Après environ cinq minutes, la mise à niveau du composant FPRM se termine comme suit :

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Upgrading

    Après environ 10 minutes, et dans le cadre du processus de mise à niveau de FXOS, le périphérique Firepower redémarre :

    Please stand by while rebooting the system...
    ...    
Restarting system.

    Après le redémarrage, le processus de mise à niveau reprend :

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Upgrading

    Au bout d'environ 30 minutes, la mise à niveau de FXOS est terminée :

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.86),2.0(1.37)
        Upgrade-Status: Ready

    Tâche 4. Permuter les états de basculement FTD

    Remarque : cette étape ne s'applique pas aux plates-formes FP21xx et antérieures.

    Avant d'échanger les états de basculement, assurez-vous que le module FTD du châssis est entièrement opérationnel :

    FPR4100-4-A# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI

> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 15:08:47 UTC Dec 17 2016
        This host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Primary - Active
                Active time: 5163 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         65         0          68         4
        sys cmd         65         0          65         0
      ...

    Remplacez les états de basculement FTD. À partir de la CLI FTD active :

    > no failover active
        Switching to Standby

>

    Tâche 5. Mise à niveau du second châssis FXOS

    Comme pour la tâche 2, mettez à niveau l'appliance FXOS sur laquelle le nouveau FTD de secours est installé. Cette opération peut prendre environ 30 minutes ou plus.

    Remarque : cette étape ne s'applique pas aux plates-formes FP21xx et antérieures.

    Tâche 6. Mise à niveau du logiciel FMC

    Mettez à niveau le FMC, dans ce scénario, de 6.1.0-330 à 6.1.0.1.

    Tâche 7. Mettre à niveau la paire FTD HA

    Avant la mise à niveau :

    > show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 15:51:08 UTC Dec 17 2016
        This host: Primary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Secondary - Active
                Active time: 1724 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         6          0          9          0
        sys cmd         6          0          6          0
    ...

    Dans le menu Système FMC > Mises à jour, lancez le processus de mise à niveau FTD HA :

    Updates

    Updates

    Tout d'abord, le FTD principal/de secours est mis à niveau :

    System

    Le module FTD de secours redémarre avec la nouvelle image :

    Remote Install

    Vous pouvez vérifier l'état FTD à partir du mode FXOS BootCLI :

    FPR4100-3-A# connect module 1 console
Firepower-module1> show services status
Services currently running:
Feature   | Instance ID    |     State  |          Up Since
-----------------------------------------------------------
ftd     | 001_JAD201200R4WLYCWO6 |   RUNNING  | :00:00:33

    L'interface de ligne de commande du FTD secondaire/actif affiche un message d'avertissement en raison d'une incompatibilité de version logicielle entre les modules FTD :

    firepower#
************WARNING****WARNING****WARNING********************************
Mate version 9.6(2) is not identical with ours 9.6(2)4
************WARNING****WARNING****WARNING********************************
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate

    Le FMC indique que le périphérique FTD a été mis à niveau avec succès :

    Remote Install

    La mise à niveau du deuxième module FTD démarre :

    Remote Install

    À la fin du processus, le FTD démarre avec la nouvelle image :

    Remote Install

    En arrière-plan, le FMC utilise l'utilisateur interne enable_1, permute les états de basculement FTD et supprime temporairement la configuration de basculement du FTD :

    firepower# show logging
Dec 17 2016 16:40:14: %ASA-5-111008: User 'enable_1' executed the 'no failover active' command.
Dec 17 2016 16:40:14: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'no failover active'
Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'clear configure failover' command.
Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'clear configure failover'
Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'copy /noconfirm running-config disk0:/modified-config.cfg' command.
Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'copy /noconfirm running-config
     disk0:/modified-config.cfg'
        
firepower#
        Switching to Standby

firepower#

    Dans ce cas, la mise à niveau complète du FTD (les deux unités) a pris environ 30 minutes.

    Vérification

    Cet exemple montre la vérification de l'interface de ligne de commande du FTD à partir du périphérique FTD principal :

    > show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 16:40:14 UTC Dec 17 2016
        This host: Primary - Active
                Active time: 1159 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         68         0          67         0
...
>

    Cet exemple montre la vérification de l'interface de ligne de commande du FTD à partir du périphérique FTD secondaire/veille :

    > show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 16:52:43 UTC Dec 17 2016
        This host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Primary - Active
                Active time: 1169 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         38         0          41         0
    ...
>

    Tâche 8. Déployer une stratégie pour la paire FTD HA

    Une fois la mise à niveau terminée, vous devez déployer une stratégie sur la paire haute disponibilité. Ceci est indiqué dans l'interface utilisateur FMC :

    Apply Update

    Déployez les stratégies :

    Deploy Policies

    Vérification

    La paire FTD HA mise à niveau telle qu'elle apparaît dans l'interface utilisateur FMC :

    Device Management

    La paire FTD HA mise à niveau telle qu'elle apparaît dans l'interface utilisateur FCM :

    Logical Devices

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    2.0
    08-May-2023
    Recertification
    1.0
    17-Dec-2016
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Mikis Zafeiroudis
      Ingénieur TAC Cisco
    • Dinkar Sharma
      Ingénieur TAC Cisco
    • Edité par Olha Yakovenko
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits