Introduction
Ce document décrit les étapes pour mettre à niveau un environnement de Firewall Management Center (FMC) en haute disponibilité (HA).
Exigences
Cisco recommande de posséder des connaissances sur ces sujets :
- Concepts de haute disponibilité
- configuration FMC
Composants utilisés
Les informations contenues dans ce document sont basées sur :
- Virtual Firewall Management Center (FMC) , version 7.1.0
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Aperçu
La mise à niveau doit être un homologue à la fois. Commencez par interrompre la synchronisation entre les homologues.
Ensuite, la mise à niveau doit d’abord être effectuée en veille, suivie par le FMC actif.
Avertissement : pendant que l'homologue en veille travaille sur les pré-vérifications / l'installation, les deux homologues passent en mode actif ; cela s'appelle le split-brain. Il est totalement attendu pendant la mise à niveau. Pendant ce temps, vous ne devez apporter ni déployer aucune modification de configuration. Si vous modifiez la configuration, elle peut être perdue après le redémarrage de la synchronisation.
Pré-mise à niveau
- Planifiez votre mise à niveau.
Dans les déploiements FMC, vous mettez généralement à niveau le FMC, puis ses périphériques gérés.
Sachez toujours quelle mise à niveau vous venez d'effectuer et quelle est la suivante.
- Lisez toutes les consignes de mise à niveau et planifiez les modifications de configuration.
- Vérifiez la bande passante.
Assurez-vous que votre réseau de gestion dispose de la bande passante nécessaire pour effectuer des transferts de données volumineux.
- Planifier les fenêtres de maintenance.
- Sauvegardez la configuration avant et après la mise à niveau.
Système > Sauvegarde / Restauration > Sauvegarde de la gestion Firepower
Téléchargez la sauvegarde sur votre ordinateur local.
- Mettez à niveau l'hébergement virtuel. Cette opération est nécessaire lorsque vous exécutez une version antérieure de VMware.
- Vérifier les configurations
- Vérifier la synchronisation NTP
- FMC : choisissez System > Configuration > Time.
- Périphériques : utilisez la commande show time CLI.
- Vérifiez l'espace disque.
- Déployez les configurations. Dans les déploiements FMC haute disponibilité, vous n'avez besoin de déployer qu'à partir de l'homologue actif.
- Vérifiez les tâches en cours. Assurez-vous qu'aucun déploiement n'est en attente.
Procédure De Mise À Niveau
Étape 1. Suspendre la synchronisation
Accédez à l'onglet Haute disponibilité sur le FMC sur l'homologue actif
- Système > Intégration > Haute disponibilité
- Sélectionner Suspendre la synchronisation
- Patientez jusqu'à ce que la synchronisation soit suspendue, l'état doit être Suspendu par l'utilisateur une fois la synchronisation terminée.
L'état de synchronisation doit être Suspendu par utilisateur
Étape 2. Télécharger le package de mise à niveau
Connectez-vous à l'unité en veille et téléchargez le package de mise à niveau
- Système > Mises à jour > Télécharger la mise à jour
- Parcourez le package précédemment téléchargé de la version à mettre à niveau.
Étape 3. Vérification de préparation
Exécutez une vérification de la préparation de l'appliance à mettre à niveau.
- Cliquez sur l'icône d'installation en regard du package de mise à niveau approprié.
- Sélectionnez l'appliance à vérifier et cliquez sur Vérifier l'état de préparation
La progression peut être vérifiée dans le centre de messagerie
Messages > Tâches > En cours
Une fois terminé, vous pouvez voir l'état dans les résultats de la vérification de l'état de préparation.
En cas de succès, nous pouvons poursuivre l'installation du package.
Étape 4. Installer le package de mise à niveau
- Sélectionnez l'appliance à mettre à niveau. Cliquez sur Installer
- Avertissement pour le split brain, cliquez sur OK
La progression peut être consignée dans Messages > Tâches
Remarque : l'installation prend environ 30 minutes.
Si vous disposez d'un accès CLI, la progression peut être vérifiée dans le dossier de mise à niveau /var/log/sf ; passez en mode expert et entrez l'accès racine
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/Volume/home/admin# cd /var/log/sf/
root@firepower:/var/log/sf# ls
Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4
root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# ls
000_start AQ_UUID DBCheck.log exception.log flags.conf main_upgrade_script.log status.log status.log.202307180405 upgrade_readiness upgrade_status.json upgrade_status.log upgrade_version_build
root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# tail -f status.log
Une fois la mise à niveau terminée, le FMC redémarre
ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
ui:[100%] [1 mins to go for reboot] Upgrade complete
ui:[100%] [1 mins to go for reboot] The system will now reboot.
ui:System will now reboot.
Broadcast message from root@firepower (Tue Jul 18 05:08:57 2023):
System will reboot in 5 seconds due to system upgrade.
Broadcast message from root@firepower (Tue Jul 18 05:09:02 2023):
System will reboot now due to system upgrade.
ui:[100%] [1 mins to go for reboot] Installation completed successfully.
ui:Upgrade has completed.
state:finished
Broadcast message from root@firepower (Tue Jul 18 05:09:25 2023):
The system is going down for reboot NOW!
Après le redémarrage, le FMC physique doit afficher le modèle correct dans GUI FMC > Help > About.
CLI, après acceptation du CLUF
Copyright 2004-2023, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Firepower Extensible Operating System (FX-OS) v2.12.0 (build 499)
Cisco Secure Firewall Management Center for VMware v7.2.4 (build 169)
>
> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.2.4 (Build 169)
UUID : 1c71ae24-1e60-11ed-8459-9758e19f1a24
Rules update version : 2023-01-09-001-vrt
LSP version : lsp-rel-20220511-1540
VDB version : 353
----------------------------------------------------
Résumé HA lorsque seul le FMC de secours est mis à niveau
Étape 5. Mettre à niveau l'homologue actif.
Répétez les étapes 2 à 4 dans le dispositif actif.
Étape 6. Activez le FMC souhaité
- Connectez-vous au FMC dont vous souhaitez faire l'homologue actif.
Intégration > Haute disponibilité > M'activer, option
- Avertissements relatifs aux processus et écrasement de toute configuration effectuée dans l'homologue de secours, sélectionnez YES pour continuer.
- Attendez que la synchronisation redémarre et que l'autre FMC passe en mode veille.
Remarque : la progression peut prendre jusqu'à 20 minutes.
Une fois que les deux FMC sont dans la même version et que la synchronisation est terminée, l'onglet Résumé de la haute disponibilité doit ressembler à ceci :
Avertissement : si l'état final de la synchronisation indique un état dégradé ou un résultat autre que OK, contactez le TAC
Déployez les modifications en attente depuis FMC.