Pour les périphériques Firepower 4100/9300, vous devez maintenir la compatibilité entre FXOS et tous les périphériques logiques ASA et défense contre les menaces . Mettez à niveau FXOS avant de mettre à niveau le logiciel . Les versions en gras dans le tableau suivant sont des versions associées spécialement qualifiées (test amélioré). Utilisez ces combinaisons chaque fois que cela est possible.

Notez que pour les autres modèles de périphériques, le travail de compatibilité FXOS est effectué pour vous. Dans la plupart des cas, la mise à niveau du logiciel met automatiquement à niveau FXOS. Pour Cisco Secure Firewall 3100/4200 en mode multi-instance, le centre de gestion vous guide tout au long de la mise à niveau de FXOS, puis défense contre les menaces .

Pour mettre à niveau :

• FXOS : À partir de FXOS 2.2.2 et versions ultérieures, vous pouvez effectuer une mise à niveau directement vers n’importe quelle version supérieure. (FXOS 2.0.1–2.2.1 peut mettre à niveau jusqu’à 2.8.1. Pour les versions antérieures à 2.0.1, vous devez effectuer une mise à niveau à chaque version intermédiaire.) Notez que vous ne pouvez pas mettre à niveau FXOS vers une version qui ne prend pas en charge votre version de périphérique logique actuelle. Vous devrez effectuer la mise à niveau en étapes : mettez à niveau FXOS vers la version la plus élevée qui prend en charge votre périphérique logique actuel; mettez à niveau votre périphérique logique vers la version la plus élevée prise en charge avec cette version FXOS. Par exemple, si vous souhaitez effectuer une mise à niveau de FXOS 2.2/ASA 9.8 vers FXOS 2.13/ASA 9.19, vous devrez effectuer les mises à niveau suivantes :

  1. FXOS 2.2 -> FXOS 2.11 (la version la plus élevée qui prend en charge 9.8)

  2. ASA 9.8 -> ASA 9.17 (la version la plus élevée prise en charge par 2.11)

  3. FXOS 2.11 jusqu’à FXOS 2.13

  4. ASA 9.17 -> ASA 9.19

• Défense contre les menaces : des mises à niveau provisoires peuvent être nécessaires pour défense contre les menaces , en plus des exigences FXOS ci-dessus. Pour le chemin de mise à niveau exact, consultez le centre de gestion guide de mise à niveau de votre version.

• ASA : ASA vous permet de procéder à une mise à niveau directement de votre version actuelle vers toute version supérieure, en notant les exigences FXOS ci-dessus.

Remarque

FXOS 2.8(1.125) et les versions ultérieures ne prennent pas en charge ASA 9.14(1) ou 9.14(1.10) pour les sondages et les interruptions SNMP ASA; vous devez utiliser 9.14(1.15) ou une version ultérieure. Les autres versions, comme la version 9.13 ou 9.12, ne sont pas concernées.

Le tableau suivant répertorie les versions de Radware DefensePro prises en charge pour chaque appareil de sécurité et chaque périphérique logique associé.

Le tableau suivant répertorie les modules de réseau simple largeur et double largeur pris en charge sur les appareils de sécurité Firepower 9300 et Firepower 4100.

Remarque

La sortie de l’interface de ligne de commande FXOS peut afficher le PID de base du module de réseau, qui ne contient pas le préfixe 4K/9K. Par exemple, si vous utilisez l’interface de ligne de commande de FXOS pour afficher des informations sur le module de réseau FPR9K-NM-8X10G, il peut apparaître en tant que modèle : FPR-NM-8X10G. Pour obtenir des instructions sur la façon de vérifier la version de votre ensemble de micrologiciels et de mettre à niveau le micrologiciel, au besoin, reportez-vous au Guide de mise à niveau du micrologiciel Cisco Firepower 4100/9300 FXOS (https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/firmware-upgrade/fxos-firmware-upgrade.html). Pour savoir comment mettre à niveau FXOS sur votre Firepower 4100/9300, consultez le Cisco Firepower 4100/9300 Upgrade Guide (https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/upgrade/b_FXOSUpgrade.html).

Le tableau suivant établit la liste des modules d’alimentation pris en charge sur les appareils de sécurité Firepower 9300 et 4100.

Remarque : Pour des renseignements plus détaillés sur les modules d’alimentation des appareils de sécurité de la série 4100, consultez la section « Modules d’alimentation » dans le Guide d’installation du matériel de la gamme Cisco Firepower 4100 (http //www.cisco.com/c/en/us/ td/docs/security/firepower/4100/hw/guide/b_install_guide_4100.html). Pour en savoir plus sur les modules d’alimentation de votre appareil de sécurité 9300, consultez la section « Modules d’alimentation » dans le Guide d’installation du matériel Cisco Firepower 9300 ( http //www.cisco.com/c/en/us/td/docs/ security/firepower/9300/hw/guide/b_install_guide_9300.html).

Avant la version 2.6, tous les modules de sécurité de Firepower 9300 doivent correspondre.

Dans la version 2.6 et les versions ultérieures, vous pouvez combiner différents types de modules de sécurité avec les avertissements suivants :

• La mise en grappe n’est pas prise en charge sur les modules mixtes dans 2.6 et 2.7. Cependant, dans la version 2.8 et les versions ultérieures, vous pouvez utiliser des modules mixtes lorsque vous utilisez la mise en grappe à instances multiples (une grappe avec une instance de conteneur sur chaque module). La mise en grappe native exige que tous les modules soient du même type.

• La haute disponibilité est uniquement prise en charge entre les modules de même type; toutefois, les deux châssis peuvent inclure des modules mixtes.

Le tableau suivant établit la liste des modules de sécurité pris en charge sur Firepower 9300.

La mise en grappe fonctionnera avec les commutateurs Cisco et autres que Cisco des autres principaux fournisseurs de commutation n’ayant aucun problème d’interopérabilité connu, s’ils sont conformes aux exigences et aux recommandations suivantes. La mise en grappe est compatible avec des technologies telles que vPC (Nexus), VSS (Catalyst) et StackWise et StackWise Virtual (Catalyst).

Exigences du commutateur

• Tous les commutateurs tiers doivent être conformes au protocole de contrôle d’agrégation de liaisons de la norme IEEE (802.3ad).

• Le regroupement de l’EtherChannel doit être effectué dans les 45 secondes lorsqu’il est connecté aux périphériques Firepower et dans les 33 secondes lorsqu’il est connecté aux périphériques ASA.

• Sur la liaison de commande de grappe, le commutateur doit fournir une connectivité de monodiffusion et de diffusion sans aucune entrave au niveau de la couche 2 entre tous les membres de la grappe.

• Sur la liaison de commande de grappe, le commutateur ne doit imposer aucune limite à l’adressage IP ou au format des paquets au-dessus des en-têtes de couche 2.

• Sur la liaison de commande de grappe, les interfaces de commutateur doivent prendre en charge les trames étendues et être configurables pour une MTU supérieure à 1600.

Recommandations de commutateur

• Le commutateur doit fournir une répartition uniforme du trafic sur les liaisons individuelles de l’EtherChannel.

• Le commutateur doit avoir un algorithme d’équilibrage de charge EtherChannel qui fournit la symétrie du trafic.

• L’algorithme de hachage de l’équilibre de charge EtherChannel doit être configurable à l’aide de la valeur de cinq, de quatre ou de deux tuples pour calculer le hachage.

Remarque

Pour la grappe Firepower 9300, la mise en grappe à l’intérieur du châssis peut fonctionner avec n’importe quel commutateur, car les connexions Firepower 9300 à commutateur utilisent des types d’interface standard.

Remarque

Certains commutateurs, comme la série Nexus, ne prennent pas en charge le débit LACP rapide lors des mises à niveau logicielles en service (ISSU). Nous ne recommandons donc pas l’utilisation des ISSU avec la mise en grappe.

Consultez les ressources supplémentaires suivantes :

• Parcourir la documentation de Cisco Firepower 4100/9300 FXOS (feuille de route de la documentation)

• Notes de version Cisco Firepower 4100/9300 FXOS

• Compatibilité de Cisco ASA

• Compatibilité de Cisco Firepower

• Version logicielle et bulletin de soutien de la gamme de produits de pare-feu de nouvelle génération de Cisco