Compatibilité FXOS de Cisco Firepower 4100/9300

Ce document répertorie les informations de compatibilité logicielle et matérielle pour le système d'exploitation Firepower eXtensible Operating System (FXOS), les appareils de sécurité des séries Cisco Firepower 9300 et Cisco Firepower 4100, ainsi que les périphériques logiques pris en charge.

Compatibilité du Firepower 4100/9300 avec l'ASA et Défense contre les menaces

Pour les périphériques Firepower 4100/9300, vous devez maintenir la compatibilité entre FXOS et tous les périphériques logiques ASA et défense contre les menaces . Mettez à niveau FXOS avant de mettre à niveau le logiciel . Les versions en gras dans le tableau suivant sont des versions associées spécialement qualifiées (test amélioré). Utilisez ces combinaisons chaque fois que cela est possible.

Notez que pour les autres modèles de périphériques, le travail de compatibilité FXOS est effectué pour vous. Dans la plupart des cas, la mise à niveau du logiciel met automatiquement à niveau FXOS. Pour Cisco Secure Firewall 3100/4200 en mode multi-instance, le centre de gestion vous guide tout au long de la mise à niveau de FXOS, puis défense contre les menaces .

Pour mettre à niveau :

  • FXOS : À partir de FXOS 2.2.2 et versions ultérieures, vous pouvez effectuer une mise à niveau directement vers n’importe quelle version supérieure. (FXOS 2.0.1–2.2.1 peut mettre à niveau jusqu’à 2.8.1. Pour les versions antérieures à 2.0.1, vous devez effectuer une mise à niveau à chaque version intermédiaire.) Notez que vous ne pouvez pas mettre à niveau FXOS vers une version qui ne prend pas en charge votre version de périphérique logique actuelle. Vous devrez effectuer la mise à niveau en étapes : mettez à niveau FXOS vers la version la plus élevée qui prend en charge votre périphérique logique actuel; mettez à niveau votre périphérique logique vers la version la plus élevée prise en charge avec cette version FXOS. Par exemple, si vous souhaitez effectuer une mise à niveau de FXOS 2.2/ASA 9.8 vers FXOS 2.13/ASA 9.19, vous devrez effectuer les mises à niveau suivantes :

    1. FXOS 2.2 -> FXOS 2.11 (la version la plus élevée qui prend en charge 9.8)

    2. ASA 9.8 -> ASA 9.17 (la version la plus élevée prise en charge par 2.11)

    3. FXOS 2.11 jusqu’à FXOS 2.13

    4. ASA 9.17 -> ASA 9.19

  • Défense contre les menaces : des mises à niveau provisoires peuvent être nécessaires pour défense contre les menaces , en plus des exigences FXOS ci-dessus. Pour le chemin de mise à niveau exact, consultez le centre de gestion guide de mise à niveau de votre version.

  • ASA : ASA vous permet de procéder à une mise à niveau directement de votre version actuelle vers toute version supérieure, en notant les exigences FXOS ci-dessus.


Remarque


FXOS 2.8(1.125) et les versions ultérieures ne prennent pas en charge ASA 9.14(1) ou 9.14(1.10) pour les sondages et les interruptions SNMP ASA; vous devez utiliser 9.14(1.15) ou une version ultérieure. Les autres versions, comme la version 9.13 ou 9.12, ne sont pas concernées.


Tableau 1. Compatibilité du Firepower 4100/9300 avec l'ASA et Défense contre les menaces

Version de FXOS

Modèle

Version d’ASA

Défense contre les menacesVersion

2.17

Firepower 4112

9.23 (recommandé)

9,22

9.20

9.19

9,18

7.7 (recommandé)

7.6

7.4

7.3

7.2

Firepower 4145

Firepower 4125

Firepower 4115

9.23 (recommandé)

9,22

9.20

9.19

9,18

7.7 (recommandé)

7.6

7.4

7.3

7.2

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

2.16

Firepower 4112

9.22 (recommandé)

9.20

9.19

9,18

9.17

7.6 (recommandé)

7.4

7.3

7.2

7.1

Firepower 4145

Firepower 4125

Firepower 4115

9.22 (recommandé)

9.20

9.19

9,18

9.17

7.6 (recommandé)

7.4

7.3

7.2

7.1

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

2.14(1)

Firepower 4112

9.20 (recommandé)

9.19

9,18

9.17

9.16

9.14

7.4 (recommandé)

7.3

7.2

7.1

7.0

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.20 (recommandé)

9.19

9,18

9.17

9.16

9.14

7.4 (recommandé)

7.3

7.2

7.1

7.0

6.6

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

2.13

Firepower 4112

9.19 (recommandé)

9,18

9.17

9.16

9.14

7.3 (recommandé)

7.2

7.1

7.0

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.19 (recommandé)

9,18

9.17

9.16

9.14

7.3 (recommandé)

7.2

7.1

7.0

6.6

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

2.12

Firepower 4112

9.18 (recommandé)

9.17

9.16

9.14

7.2 (recommandé)

7.1

7.0

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.18 (recommandé)

9.17

9.16

9.14

9.12

7.2 (recommandé)

7.1

7.0

6.6

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.18 (recommandé)

9.17

9.16

9.14

9.12

7.2 (recommandé)

7.1

7.0

6.6

6.4

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2,11

Firepower 4112

9.17 (recommandé)

9.16

9.14

7.1 (recommandé)

7.0

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.17 (recommandé)

9.16

9.14

9.12

7.1 (recommandé)

7.0

6.6

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.17 (recommandé)

9.16

9.14

9.12

9.8

7.1 (recommandé)

7.0

6.6

6.4

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.10

Remarque

 

Pour la compatibilité avec la version 7.0.2 et 9.16 (3.11) ou toute version ultérieure, vous avez besoin de FXOS 2.10 (1.179) ou une version ultérieure.

Firepower 4112

9.16 (recommandé)

9.14

7.0 (recommandé)

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.16 (recommandé)

9.14

9.12

7.0 (recommandé)

6.6

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.16 (recommandé)

9.14

9.12

9.8

7.0 (recommandé)

6.6

6.4

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.9

Firepower 4112

9.14

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.14

9.12

6.6

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.14

9.12

9.8

6.6

6.4

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2,8

Firepower 4112

9.14

6.6

Remarque

 

La version 6.6.1 et les versions ultérieures nécessitent FXOS 2.8(1.125) ou une version ultérieure.

Firepower 4145

Firepower 4125

Firepower 4115

9.14 (recommandé)

9.12

Remarque

 

Le Firepower 9300 SM-56 nécessite un ASA 9.12(2) ou une version ultérieure

6.6 (recommandé)

Remarque

 

La version 6.6.1 et les versions ultérieures nécessitent FXOS 2.8(1.125) ou une version ultérieure.

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.14 (recommandé)

9.12

9.8

6.6 (recommandé)

Remarque

 

La version 6.6.1 et les versions ultérieures nécessitent FXOS 2.8(1.125) ou une version ultérieure.

6.4

6.2.3

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.6(1.157)

Remarque

 

Vous pouvez désormais exécuter un ASA 9.12 et FTD 6.4 ou toute version ultérieure sur des modules distincts du même châssis Firepower 9300

Firepower 4145

Firepower 4125

Firepower 4115

9.12

Remarque

 

Le Firepower 9300 SM-56 nécessite un ASA 9.12.2 ou une version ultérieure

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.12 (recommandé)

9.8

6.4 (recommandé)

6.2.3

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.6(1.131)

Firepower 9300 SM-48

Firepower 9300 SM-40

9.12

Non pris en charge

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.12 (recommandé)

9.8

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.3(1.73)

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.8

Remarque

 

La version 9.8(2.12) ou une version ultérieure est requise pour le déchargement de flux lors de l’exécution de FXOS 2.3(1.130) ou une version ultérieure.

6.2.3 (recommandé)

Remarque

 

6.2.3.16+ nécessite FXOS 2.3.1.157 ou ultérieure.

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.3(1.66)

2.3(1.58)

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.8

Remarque

 

La version 9.8(2.12) ou une version ultérieure est requise pour le déchargement de flux lors de l’exécution de FXOS 2.3(1.130) ou une version ultérieure.

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2,2

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.8

Les versions de Défense contre les menaces sont en fin de vie

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

Compatibilité avec Radware DefensePro

Le tableau suivant répertorie les versions de Radware DefensePro prises en charge pour chaque appareil de sécurité et chaque périphérique logique associé.

Tableau 2. Compatibilité avec Radware DefensePro
Version de FXOS ASA Défense contre les menaces Radware DefensePro Modèles d'appareils de sécurité

2.16

9.22(1)

7.6

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4112

Firepower 4115

Firepower 4125

Firepower 4145

2.14(1)

9.20(1)

7.4(1)

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4112

Firepower 4115

Firepower 4125

Firepower 4145

2.13.0

9.19(1)

7.3

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4112

Firepower 4115

Firepower 4125

Firepower 4145

2.12.0

9.18(1)

7.2

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4110

Firepower 4112

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.11.1

9.17(1)

7.1

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4110

Firepower 4112

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.10.1

9.16(1)

7.0

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4110

Firepower 4112

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.10.1

9.16(1)

7.0

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4110

Firepower 4112

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.9.1

9.15(1)

6.7.0

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4110

Firepower 4112

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.8.1

9.14(1)

6.6.0

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4110

Firepower 4112

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.7(1)

9.13(1)

6.5

8.13.01.09-3

Firepower 9300

Firepower 4110

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.6(1)

9.12(1)

9.10(1)

6.4.0

6.3.0

8.13.01.09-3

Firepower 9300

Firepower 4110

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.4(1)

9.9(2)

9.10(1)

6.2.3

6.3

8.13.01.09-2

Firepower 9300

Firepower 4110

Firepower 4120

Firepower 4140

Firepower 4150

2.3(1)

9.9(1)

9.9(2)

6.2.2

6.2.3

8.13.01.09-2

Firepower 9300

Firepower 4110 (Firepower Threat Defense seulement)

Firepower 4120

Firepower 4140

Firepower 4150

2.2(2)

9.8(1)

9.8(2)

9.8(3)

6.2.0

6.2.2

8.10.01.17-2

Firepower 9300

Firepower 4110 (Firepower Threat Defense seulement)

Firepower 4120

Firepower 4140

Firepower 4150

2.2(1)

9.7(1)

9.8(1)

6.2.0 8.10.01.17-2

Firepower 9300

Firepower 4110 (Firepower Threat Defense seulement)

Firepower 4120

Firepower 4140

Firepower 4150

2.1(1)

9.6(2)

9.6(3)

9.6(4)

9.7(1)

Aucune prise en charge 8.10.01.16-5

Firepower 9300

Firepower 4120

Firepower 4140

Firepower 4150

2.0(1)

9.6(1)

9.6(2)

9.6(3)

9.6(4)

Aucune prise en charge 8.10.01.16-5

Firepower 9300

Firepower 4120

Firepower 4140

Firepower 4150

1.1(4) 9.6(1) Aucune prise en charge 1.1(2.32-3) 9300

Prise en charge du module de réseau

Le tableau suivant répertorie les modules de réseau simple largeur et double largeur pris en charge sur les appareils de sécurité Firepower 9300 et Firepower 4100.


Remarque



Module de réseau Firepower 9300 Firepower 4100
Module réseau Firepower simple largeur 10 Go à 8 ports FPR9K-NM-8X10G FPR4K-NM-8X10G
Module réseau Firepower simple largeur 40 Go à 4 ports FPR9K-NM-4X40G FPR4K-NM-4X40G
Module de réseau double largeur 100 Go de 2 ports Firepower FPR9K-DNM-2X100G

(FXOS 1.1.4 et versions ultérieures)

Remarque : Nécessite l'ensemble de micrologiciels 1.0.10 ou version ultérieure

Non pris en charge
Module réseau Firepower simple largeur à 6 ports 1G SX, FTW. Non pris en charge FPR4K-NM-6X1SX-F

(FXOS 2.0.1 et versions ultérieures)

Module réseau Firepower simple largeur à 6 ports 10G SR, FTW. FPR9K-NM-6X10SR-F

(FXOS 2.0.1 et versions ultérieures)

FPR4K-NM-6X10SR-F

(FXOS 2.0.1 et versions ultérieures)

Module réseau Firepower simple largeur à 6 ports 10G LR, FTW. FPR9K-NM-6X10LR-F

(FXOS 2.0.1 et versions ultérieures)

FPR4K-NM-6X10LR-F

(FXOS 2.0.1 et versions ultérieures)

Module réseau Firepower simple largeur à 2 ports 40G SR, FTW. FPR9K-NM-2X40G-F

(FXOS 2.0.1 et versions ultérieures)

FPR4K-NM-2X40G-F

(FXOS 2.0.1 et versions ultérieures)

Module réseau Firepower à 8 ports 1G simple largeur, FTW. Non pris en charge FPR-NM-8X1G-F

(FXOS 2.1.1 et versions ultérieures; Firepower Threat Defense 6.2 et versions ultérieures)

Module de réseau Firepower à 2 ports 100G à largeur unique FPR9K-NM-2X100G

(FXOS 2.4.1 ou versions ultérieures)

FPR4K-NM-2X100G

(FXOS 2.13 ou versions ultérieures)

Remarque

 

Uniquement pris en charge par les périphériques Firepower 4112, 4115, 4125 et 4145.

Module de réseau Firepower à 4 ports 100G à largeur unique FPR9K-NM-4X100G

(FXOS 2.4.1 et versions ultérieures)

Non pris en charge

Support du bloc d’alimentation

Le tableau suivant établit la liste des modules d’alimentation pris en charge sur les appareils de sécurité Firepower 9300 et 4100.

Tableau 3. Support du bloc d’alimentation
Bloc d’alimentation Modèle Firepower
9300 4112 4115 4125 4145
CA OUI OUI OUI OUI OUI
DC OUI OUI OUI OUI OUI
HVDC OUI

Remarque

 

Nécessite FXOS version 2.1.1 ou ultérieure

NON NON NON NON

Remarque : Pour des renseignements plus détaillés sur les modules d’alimentation des appareils de sécurité de la série 4100, consultez la section « Modules d’alimentation » dans le Guide d’installation du matériel de la gamme Cisco Firepower 4100 (http //www.cisco.com/c/en/us/ td/docs/security/firepower/4100/hw/guide/b_install_guide_4100.html). Pour en savoir plus sur les modules d’alimentation de votre appareil de sécurité 9300, consultez la section « Modules d’alimentation » dans le Guide d’installation du matériel Cisco Firepower 9300 ( http //www.cisco.com/c/en/us/td/docs/ security/firepower/9300/hw/guide/b_install_guide_9300.html).

Compatibilité des modules de sécurité

Avant la version 2.6, tous les modules de sécurité de Firepower 9300 doivent correspondre.

Dans la version 2.6 et les versions ultérieures, vous pouvez combiner différents types de modules de sécurité avec les avertissements suivants :

  • La mise en grappe n’est pas prise en charge sur les modules mixtes dans 2.6 et 2.7. Cependant, dans la version 2.8 et les versions ultérieures, vous pouvez utiliser des modules mixtes lorsque vous utilisez la mise en grappe à instances multiples (une grappe avec une instance de conteneur sur chaque module). La mise en grappe native exige que tous les modules soient du même type.

  • La haute disponibilité est uniquement prise en charge entre les modules de même type; toutefois, les deux châssis peuvent inclure des modules mixtes.

Le tableau suivant établit la liste des modules de sécurité pris en charge sur Firepower 9300.

Tableau 4. Compatibilité des modules de sécurité
Module de sécurité et ID de produit Description Version de FXOS

SM-40 (FPR9K-SM-40)

Module de sécurité central pour 40 ports physiques avec deux SSD

2.6.1 et versions ultérieures

Remarque : Nécessite ASA 9.12(1) ou FTD 6.4 ou versions ultérieures

SM-48 (FPR9K-SM-48)

Module de sécurité central pour 48 ports physiques avec deux SSD

2.6.1 et versions ultérieures

Remarque : Nécessite ASA 9.12(1) ou FTD 6.4 ou versions ultérieures

SM-56 (FPR9K-SM-56)

Module de sécurité central pour 56 ports physiques avec deux SSD

Versions 2.6.1 et ultérieures

Remarque : Nécessite ASA 9.12(2) ou FTD 6.4 ou versions ultérieures

Support pour le matériel externe ASA et Défense contre les menaces Mise en grappe

La mise en grappe fonctionnera avec les commutateurs Cisco et autres que Cisco des autres principaux fournisseurs de commutation n’ayant aucun problème d’interopérabilité connu, s’ils sont conformes aux exigences et aux recommandations suivantes. La mise en grappe est compatible avec des technologies telles que vPC (Nexus), VSS (Catalyst) et StackWise et StackWise Virtual (Catalyst).

Exigences du commutateur

  • Tous les commutateurs tiers doivent être conformes au protocole de contrôle d’agrégation de liaisons de la norme IEEE (802.3ad).

  • Le regroupement de l’EtherChannel doit être effectué dans les 45 secondes lorsqu’il est connecté aux périphériques Firepower et dans les 33 secondes lorsqu’il est connecté aux périphériques ASA.

  • Sur la liaison de commande de grappe, le commutateur doit fournir une connectivité de monodiffusion et de diffusion sans aucune entrave au niveau de la couche 2 entre tous les membres de la grappe.

  • Sur la liaison de commande de grappe, le commutateur ne doit imposer aucune limite à l’adressage IP ou au format des paquets au-dessus des en-têtes de couche 2.

  • Sur la liaison de commande de grappe, les interfaces de commutateur doivent prendre en charge les trames étendues et être configurables pour une MTU supérieure à 1600.

Recommandations de commutateur

  • Le commutateur doit fournir une répartition uniforme du trafic sur les liaisons individuelles de l’EtherChannel.

  • Le commutateur doit avoir un algorithme d’équilibrage de charge EtherChannel qui fournit la symétrie du trafic.

  • L’algorithme de hachage de l’équilibre de charge EtherChannel doit être configurable à l’aide de la valeur de cinq, de quatre ou de deux tuples pour calculer le hachage.


Remarque


Pour la grappe Firepower 9300, la mise en grappe à l’intérieur du châssis peut fonctionner avec n’importe quel commutateur, car les connexions Firepower 9300 à commutateur utilisent des types d’interface standard.



Remarque


Certains commutateurs, comme la série Nexus, ne prennent pas en charge le débit LACP rapide lors des mises à niveau logicielles en service (ISSU). Nous ne recommandons donc pas l’utilisation des ISSU avec la mise en grappe.