Planification de votre mise à niveau

Upgrade Planning Phases (Phases de planification de la mise à niveau)

Une planification et une préparation rigoureuses peuvent vous aider à éviter les erreurs. Ce tableau résume le processus de planification des mises à niveau. Pour obtenir des listes de contrôle et des procédures détaillées, consultez les chapitres de mise à niveau


Remarque

Avant la mise à niveau FXOS, si vous rencontrez la faute critique F1715 sur votre Firepower Chassis Manager ou dans la CLI FXOS avec le message Adapter 1 on Security Module 1 requires a critical firmware upgrade (L’adaptateur 1 sur le module de sécurité 1 nécessite une mise à niveau critique du microprogramme). Nous vous recommandons de mettre à niveau votre programme d’amorçage d’adaptateur, puis de poursuivre le processus de mise à niveau de FXOS. Pour des instructions détaillées de mise à niveau de l’adaptateur détaillé, consultez les notes de version de FXOS pour la version respective.

Tableau 1. Phases de planification de la mise à niveau

Phase de planification

Y compris :

Planification et faisabilité

Évaluez votre déploiement.

Planifiez votre chemin de mise à niveau.

Lisez toutes les directives de mise à niveau et prévoyez les modifications de configuration.

Vérifiez l’accès à l’appareil.

Vérifiez la bande passante.

Planifiez des périodes de maintenance.

Sauvegardes

Sauvegardez le logiciel.

Sauvegardez FXOS sur le Firepower 4100/9300.

Sauvegardez ASA pour ASA FirePOWER.

Progiciels de mise à niveau

Téléchargez les paquets de mise à niveau à partir de Cisco.

Chargez les paquets de mise à niveau sur le système.

Mises à niveau associées

Mettez à niveau l’hébergement virtuel dans les déploiements virtuels.

Mettez à niveau FXOS sur le Firepower 4100/9300.

Mettez à niveau ASA pour ASA FirePOWER.

Contrôle final

Vérifiez les configurations.

Vérifiez la synchronisation NTP.

Vérifiez l’espace disque.

Déployez des configurations.

Exécutez la vérification de l’état de préparation.

Vérifiez les tâches en cours.

Vérifiez l’intégrité et les communications dans le déploiement.

Renseignements sur la version actuelle et le modèle

Utilisez ces commandes pour trouver la version actuelle et les renseignements sur le modèle pour votre déploiement,

Tableau 2.

Composant

Renseignements

Cisco Firepower Management Center

Sur le FMC, choisissez Aide > À propos.

Périphériques gérés par Firepower

Dans le FMC, sélectionnez Devices (Périphériques) > Device Management (Gestion des périphériques).

FXOS pour Firepower 4100/9300

Firepower Chassis Manager : choisissez Aperçu.

Interface de ligne de commande de FXOS : pour la version, utilisez la commande show version . Pour le modèle, saisissez scope chassis 1 , puis show inventory .

Système d’exploitation ASA pour Pare-feu ASA avec services FirePOWER

Sur l’interface de ligne de commande d’ASA, utilisez la commande show version .

Environnement d’hébergement virtuel

Consultez la documentation correspondant à votre environnement d’hébergement virtuel.

Chemins de mise à niveau

Votre chemin de mise à niveau est un plan détaillé de ce que vous allez mettre à niveau et quand, y compris les environnements d’hébergement virtuel et les systèmes d’exploitation des appareils. Vous devez en tout temps maintenir la compatibilité de votre matériel, de vos logiciels, de votre système d’exploitation et de votre hébergement.


Astuces

Ce guide couvre le Firepower 7.0.x et les versions antérieures. Voir la section Ce guide est-il pour vous?.

Qu’est-ce que j’ai?

Avant de mettre à niveau un appareil Firepower, déterminez l’état actuel de votre déploiement. n plus des informations sur la version et le modèle actuels, déterminez si vos périphériques sont configurés pour la haute disponibilité/l’évolutivité et s’ils sont déployés en mode passif, comme IPS, comme pare-feu, etc.

Consultez Renseignements sur la version actuelle et le modèle.

Où vais-je?

Maintenant que vous savez ce que vous avez, assurez-vous de pouvoir aller là où vous le souhaitez :

  • Votre déploiement peut-il exécuter la version cible du Firepower?

  • Vos appareils requièrent-ils une mise à niveau du système d’exploitation distincte avant de pouvoir exécuter la version cible du Firepower ? Vos appareils peuvent-ils exécuter le système d’exploitation cible?

  • Vos appliances virtuelles requièrent-elles une mise à niveau de l’environnement d’hébergement avant de pouvoir exécuter la version cible du Firepower ?

Pour obtenir des réponses à toutes ces questions, consultez l’une des ressources suivantes :

Comment y arriver?

Après avoir confirmé que vos appareils peuvent exécuter la version cible, assurez-vous qu’une mise à niveau directe est possible :

  • Une mise à niveau logicielle directe de Firepower est-elle possible?

  • Une mise à niveau directe de FXOS est-elle possible pour le Firepower 4100/9300?

  • Une mise à niveau directe de l’ASA est-elle possible, pour l’ASA avec les services FirePOWER?

Pour obtenir des réponses à toutes ces questions, consultez les chemins de mise à niveau fournis dans ce guide.


Astuces

Les chemins de mise à niveau qui requièrent des versions intermédiaires peuvent prendre du temps. Surtout dans les déploiements Firepower de grande envergure où vous devez alterner les mises à niveau des FMC et des périphériques, pensez à recréer l’image des anciens périphériques au lieu de les mettre à niveau. Tout d’abord, retirez les périphériques du FMC. Ensuite, mettez à niveau le FMC, réinitialisez les périphériques et ajoutez-les au FMC.

Puis-je maintenir la compatibilité du déploiement?

Vous devez en tout temps maintenir la compatibilité de votre matériel, de vos logiciels et de votre système d’exploitation :

Chemins de mise à niveau : Cisco Firepower Management Center

Ce tableau fournit des chemins de mise à niveau pour le FMC, y compris le FMCv.

Recherchez votre version actuelle dans la colonne de gauche. Vous pouvez effectuer une mise à niveau directement vers n’importe quelle version reprise dans la colonne de droite.


Remarque

Si votre version actuelle est publiée après une date postérieure à celle de votre version cible, vous ne pourrez peut-être pas mettre à niveau comme prévu. Dans ces cas, la mise à niveau échoue rapidement et affiche une erreur expliquant qu’il existe des incompatibilités d’entrepôts de données entre les deux versions. Les notes de mise à jour de votre version actuelle et cible répertorient toutes les restrictions spécifiques.

Tableau 3. Mises à niveau directes de FMC

Version actuelle

Version cible

7.0.0

7.0.x

Dernière prise en charge de FMC 1000, 2500 et 4500

Une des versions suivantes :

→ de la version 7.1.0 à la version 7.4.x

→ toute version de maintenance 7.0.x ultérieure

Remarque

 

En raison d’incompatibilités avec le magasin de données, vous ne pouvez pas mettre à niveau de la version 7.0.4+ à la version 7.1.0. Nous vous recommandons de mettre à niveau directement vers la version 7.2+.

6.7.0

6.7.x

Une des versions suivantes :

→ de la version 7.0.0 à la version 7.2.x

→ toute version de maintenance 6.7.x ultérieure

6.6.0

6.6.x

Dernière prise en charge de FMC 2000 et 4000.

Une des versions suivantes :

→ de la version 6.7.0 à la version 7.2.x

→ toute version de maintenance 6.6.x ultérieure

Remarque

 

En raison d’incompatibilités avec l’entrepôt de données, vous ne pouvez pas passer de la version 6.6.5 ou d’une version ultérieure à la version 6.7.0. Nous vous recommandons de mettre à niveau directement vers la version 7.0.0+.

6.5.0

De la version 6.6.0 à la version 7.1.x

6.4.0

Dernière prise en charge de FMC 750, 1500 et 3500.

Une des versions suivantes :

→ de la version 6.6.0 à la version 7.0.x

→ 6.5.0

6.3.0

Une des versions suivantes :

→ de la version 6.6.0 à la version 6.7.x

→ 6.5.0

→ 6.4.0

6.2.3

Une des versions suivantes :

→ 6.6.x

→ 6.5.0

→ 6.4.0

→ 6.3.0

6.2.2

Une des versions suivantes :

→ 6.4.0

→ 6.3.0

→ 6.2.3

6.2.1

Une des versions suivantes :

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.2.0

Une des versions suivantes :

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.1.0

Une des versions suivantes :

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.0

6.0.1

Une des versions suivantes :

→ 6.1.0

6.0.0

Une des versions suivantes :

→ 6.0.1

Requiert un paquet de préinstallation : notes de mise à jour du système Firepower version 6.0.1 – préinstallation.

5.4.1.1

Une des versions suivantes :

→ 6.0.0

Requiert un paquet de préinstallation : notes de mise à jour du système FireSIGHT version 6.0.0 – préinstallation.

Chemin de mise à niveau : Firepower 4100/9300 avec périphériques logiques FTD

Ce tableau présente les chemins de mise à niveau pour le Firepower 4100/9300 avec des périphériques logiques FTD, gérés par un Firepower Management Center.


Remarque

Si vous mettez à niveau un châssis Firepower 9300 avec FTD et ASA fonctionnant sur des modules distincts, consultez Cisco Firepower 4100/9300 Upgrade Guide, Firepower 6.0.1–7.0.x ou ASA 9.4(1)–9.16(x) avec FXOS 1.1.1–2.10.1.

Recherchez votre combinaison de version actuelle dans la colonne de gauche. Vous pouvez effectuer une mise à niveau vers n’importe quelle combinaison de version reprise dans la colonne de droite. Il s’agit d’un processus en plusieurs étapes : d’abord la mise à niveau de FXOS, puis la mise à niveau des périphériques logiques.

Notez que ce tableau répertorie uniquement les combinaisons de versions spécialement qualifiées de Cisco. Comme vous devez d’abord mettre à niveau FXOS, vous exécuterez brièvement une combinaison prise en charge, mais non recommandée, dans laquelle FXOS est « en avance » sur les périphériques logiques. Pour les configurations minimales et d’autres informations détaillées sur la compatibilité, consultez Compatibilité FXOS de Cisco Firepower 4100/9300.

Tableau 4. Chemins de mise à niveau : Firepower 4100/9300 avec périphériques logiques FTD

Versions actuelles

Versions cibles

FXOS 2.9.1 avec FTD 6.7.0/6.7.x

→ FXOS 2.10.1 avec FTD 7.0.0/7.0.x

FXOS 2.8.1 avec FTD 6.6.0/6.6.x

Une des versions suivantes :

→ FXOS 2.10.1 avec FTD 7.0.0/7.0.x

→ FXOS 2.9.1 avec FTD 6.7.x

FXOS 2.7.1 avec FTD 6.5.0

Une des versions suivantes :

→ FXOS 2.10.1 avec FTD 7.0.0/7.0.x

→ FXOS 2.9.1 avec FTD 6.7.0/6.7.x

→ FXOS 2.8.1 avec FTD 6.6.0/6.6.x

FXOS 2.6.1 avec FTD 6.4.0

Une des versions suivantes :

→ FXOS 2.10.1 avec FTD 7.0.0/7.0.x

→ FXOS 2.9.1 avec FTD 6.7.0/6.7.x

→ FXOS 2.8.1 avec FTD 6.6.0/6.6.x

→ FXOS 2.7.1 avec FTD 6.5.0

FXOS 2.4.1 avec FTD 6.3.0

Une des versions suivantes :

→ FXOS 2.9.1 avec FTD 6.7.0/6.7.x

→ FXOS 2.8.1 avec FTD 6.6.0/6.6.x

→ FXOS 2.7.1 avec FTD 6.5.0

→ FXOS 2.6.1 avec FTD 6.4.0

FXOS 2.3.1 avec FTD 6.2.3

Une des versions suivantes :

→ FXOS 2.8.1 avec FTD 6.6.0/6.6.x

→ FXOS 2.7.1 avec FTD 6.5.0

→ FXOS 2.6.1 avec FTD 6.4.0

→ FXOS 2.4.1 avec FTD 6.3.0

FXOS 2.2.2 avec FTD 6.2.2

Une des versions suivantes :

→ FXOS 2.6.1 avec FTD 6.4.0

→ FXOS 2.4.1 avec FTD 6.3.0

→ FXOS 2.3.1 avec FTD 6.2.3

FXOS 2.2.2 avec FTD 6.2.0

Une des versions suivantes :

→ FXOS 2.6.1 avec FTD 6.4.0

→ FXOS 2.4.1 avec FTD 6.3.0

→ FXOS 2.3.1 avec FTD 6.2.3

→ FXOS 2.2.2 avec FTD 6.2.2
FXOS 2.2.1 avec FTD 6.2.0

→ FXOS 2.2.2 avec FTD 6.2.0 (mise à niveau de FXOS uniquement)

Une autre option consiste à effectuer une mise à niveau vers FXOS 2.2.2 avec FTD 6.2.2, qui est une combinaison recommandée. Toutefois, si vous prévoyez de faire évoluer votre déploiement, ne vous en préoccupez pas. Maintenant que vous utilisez FXOS 2.2.2, vous pouvez effectuer une mise à niveau complète vers FXOS 2.6.1 avec FTD 6.4.0.

FXOS 2.1.1 avec FTD 6.2.0

→ FXOS 2.2.1 avec FTD 6.2.0 (mise à niveau de FXOS uniquement)

FXOS 2.0.1 avec FTD 6.1.0

→ FXOS 2.1.1 avec FTD 6.2.0

FXOS 1.1.4 avec FTD 6.0.1

→ FXOS 2.0.1 avec FTD 6.1.0

Mise à niveau de FXOS avec des périphériques logiques FTD en grappes ou en paires à haute disponibilité

Dans les déploiements de Firepower Management Center, vous mettez à niveau des périphériques logiques FTD en grappe et à haute disponibilité en tant qu’unité. Cependant, vous mettez à niveau FXOS sur chaque châssis indépendamment.

Tableau 5. Commande de mise à niveau FXOS + FTD

Déploiement

Commande de mise à niveau

Périphérique autonome

Grappe, unités sur le même châssis (Firepower 9300 uniquement)

  1. Mettez à niveau FXOS.

  2. Mettre à niveau FTD.

Haute disponibilité

Pour minimiser les perturbations, mettez toujours à niveau le serveur de secours.

  1. Mettez à niveau FXOS sur l’unité de secours.

  2. Changez de rôle.

  3. Mettez à niveau FXOS sur le nouveau périphérique de secours.

  4. Mettre à niveau FTD.

Grappe, unités sur différents châssis (version 6.2 ou version ultérieure)

Pour réduire au minimum les perturbations, mettez toujours à niveau un châssis d’unités de données. Par exemple, pour une grappe à deux châssis :

  1. Mettez à niveau FXOS sur le châssis de l’unité de données.

  2. Basculez le module de contrôle sur le châssis que vous venez de mettre à niveau.

  3. Mettez à niveau FXOS sur le nouveau châssis d’unités de données.

  4. Mettre à niveau FTD.

Avec les anciennes versions, les mises à niveau transparente ont des exigences supplémentaires.

Tableau 6. Mises à niveau transparente dans les versions antérieures

Scénario

Détails
Mise à niveau de périphériques à haute disponibilité ou en grappe et vous utilisez actuellement l’un des éléments suivants :

  • FXOS de la version 1.1.4.x à la version 2.2.1.x

  • FXOS de la version 2.2.2.17 à la version 2.2.2.68

  • FXOS de la version 2.3.1.73 à la version 2.3.1.111

Avec :

  • FTD de la version 6.0.1 à la version 6.2.2.x

En raison de corrections de bogues dans la fonction de déchargement de flux, certaines combinaisons de FXOS et FTD ne prennent pas en charge le déchargement de flux; consultez le Guide de compatibilité de Cisco Firepower. Pour effectuer une mise à niveau transparente, vous devez toujours exécuter une combinaison compatible.

Si votre chemin de mise à niveau comprend la mise à niveau de FXOS vers la version 2.2.2.91, 2.3.1.130 ou une version ultérieure (y compris FXOS 2.4.1.x, 2.6.1.x, etc.), utilisez ce chemin :

1. Mettre à niveau FTD vers la version 6.2.2.2 ou une version ultérieure.

2. Mettez à niveau FXOS vers la version 2.2.2.91, 2.3.1.130 ou une version ultérieure.

3. Mettez à niveau FTD vers votre version finale.

Par exemple, si vous utilisez FXOS 2.2.2.17 avec FTD 6.2.2.0 et que vous souhaitez effectuer une mise à niveau vers FXOS 2.6.1 avec FTD 6.4.0, vous pouvez :

1. Mettre à niveau FTD vers la version 6.2.2.5.

2. Mettre à niveau FXOS vers la version 2.6.1.

3. Mettre à niveau FTD vers la version 6.4.0.

Mise à niveau de périphériques à haute disponibilité vers la version 6.1.0 de FTD

Requiert un paquet de préinstallation. Pour en savoir plus, consultez les notes de mise à jour du système Firepower version 6.1.0 – préinstallation.

Remarque sur les rétrogradations

La rétrogradation des images FXOS n’est pas officiellement prise en charge. La seule méthode prise en charge par Cisco pour rétrograder une version d’image FXOS consiste à effectuer une recréation d’image complète de l’appareil.

Chemin de mise à niveau : autres appareils Cisco Firepower Threat Defense

Ce tableau fournit des chemins de mise à niveau pour les périphériques FTD gérés par un FMC, où vous n’avez pas à mettre à jour le système d’exploitation : Firepower 1000/2100, ASA 5500-X, ISA 3000 et Firepower Threat Defense Virtual.

Recherchez votre version actuelle dans la colonne de gauche. Vous pouvez effectuer une mise à niveau directement vers n’importe quelle version reprise dans la colonne de droite.

Tableau 7. Chemins de mise à niveau : Firepower 1000/2100, ASA 5500-X, ISA 3000 et Firepower Threat Defense Virtual avec FMC

Version actuelle

Version cible

7.0.0

7.0.x

Dernière prise en charge de FTD pour ASA 5508-X et 5516-X.

→ toute version de maintenance 7.0.x ultérieure

6.7.0

6.7.x

Une des versions suivantes :

→ version 7.0.0 ou toute version de maintenance 7.0.x

→ toute version de maintenance 6.7.x ultérieure

6.6.0

6.6.x

Dernière prise en charge de FTD pour les ASA 5525-X, 5545-X et 5555-X.

Une des versions suivantes :

→ version 7.0.0 ou toute version de maintenance 7.0.x

→ version 6.7.0 ou toute version de maintenance 6.7.x

→ toute version de maintenance 6.6.x ultérieure

6.5.0

Une des versions suivantes :

→ version 7.0.0 ou toute version de maintenance 7.0.x

→ version 6.7.0 ou toute version de maintenance 6.7.x

→ version 6.6.0 ou toute version de maintenance 6.6.x

6.4.0

Dernière prise en charge de FTD pour ASA 5515-X.

Une des versions suivantes :

→ version 7.0.0 ou toute version de maintenance 7.0.x

→ version 6.7.0 ou toute version de maintenance 6.7.x

→ version 6.6.0 ou toute version de maintenance 6.6.x

→ 6.5.0

6.3.0

Une des versions suivantes :

→ version 6.7.0 ou toute version de maintenance 6.7.x

→ version 6.6.0 ou toute version de maintenance 6.6.x

→ 6.5.0

→ 6.4.0

6.2.3

Dernière prise en charge de FTD pour la série ASA 5506-X.

Une des versions suivantes :

→ version 6.6.0 ou toute version de maintenance 6.6.x

→ 6.5.0

→ 6.4.0

→ 6.3.0

6.2.2

Une des versions suivantes :

→ 6.4.0

→ 6.3.0

→ 6.2.3

6.2.1

Série Firepower 2100 uniquement.

Une des versions suivantes :

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.2.0

Une des versions suivantes :

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.1.0

Une des versions suivantes :

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.0

6.0.1

→ 6.1.0

Chemins de mise à niveau : Firepower de série 7000/8000

Ce tableau fournit les chemins de mise à niveau pour les périphériques Firepower de la série 7000/8000, gérés par un FMC.

Recherchez votre version actuelle dans la colonne de gauche. Vous pouvez effectuer une mise à niveau directement vers n’importe quelle version reprise dans la colonne de droite.

Tableau 8. Chemins de mise à niveau : Firepower de série 7000/8000 avec FMC

Version actuelle

Version cible

6.4.0

Aucun.

La version 6.4.0 est la dernière version majeure pour les périphériques Firepower de la série 7000/8000.

6.3.0

Une des versions suivantes :

→ 6.4.0

6.2.3

Une des versions suivantes :

→ 6.4.0

→ 6.3.0

6.2.2

Une des versions suivantes :

→ 6.4.0

→ 6.3.0

→ 6.2.3

6.2.1

Aucune prise en charge sur cette plateforme.

6.2.0

Une des versions suivantes :

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.1.0

Une des versions suivantes :

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.0

6.0.1

Une des versions suivantes :

→ 6.1.0

6.0.0

Une des versions suivantes :

→ 6.0.1

5.4.0.2

Une des versions suivantes :

→ 6.0.0

Requiert un paquet de préinstallation : notes de mise à jour du système FireSIGHT version 6.0.0 – préinstallation.

Chemin de mise à niveau : ASA FirePOWER

Ce tableau fournit les chemins de mise à niveau pour les Module ASA FirePOWER, gérés par un FMC.

Recherchez votre version actuelle dans la colonne de gauche. Vous pouvez effectuer une mise à niveau directement vers n’importe quelle version reprise dans la colonne de droite.

Si vous le souhaitez, vous pouvez également mettre à niveau l’ASA. Il existe une large compatibilité entre les versions d’ASA et de ASA FirePOWER. Cependant, la mise à niveau vous permet de profiter de nouvelles fonctionnalités et de la résolution de certains problèmes. Pour les chemins de mise à niveau ASA, consultez Chemin de mise à niveau : ASA pour ASA FirePOWER.

Tableau 9. Chemins de mise à niveau : ASA FirePOWER avec FMC

Version actuelle

Version cible

7.0.0

7.0.x

Dernière prise en charge d’ASA FirePOWER sur n’importe quelle plateforme.

→ toute version de maintenance 7.0.x ultérieure

6.7.0

6.7.x

Une des versions suivantes :

→ version 7.0.0 ou toute version de maintenance 7.0.x

→ toute version de maintenance 6.7.x ultérieure

6.6.0

6.6.x

Dernière prise en charge d’ASA FirePOWER pour les ASA 5525-X, 5545-X et 5555-X.

Une des versions suivantes :

→ version 7.0.0 ou toute version de maintenance 7.0.x

→ version 6.7.0 ou toute version de maintenance 6.7.x

→ toute version de maintenance 6.6.x ultérieure

6.5.0

Une des versions suivantes :

→ version 7.0.0 ou toute version de maintenance 7.0.x

→ version 6.7.0 ou toute version de maintenance 6.7.x

→ version 6.6.0 ou toute version de maintenance 6.6.x

6.4.0

Dernière prise en charge d’ASA FirePOWER pour la série ASA 5585-X et l’ASA 5515-X.

Une des versions suivantes :

→ version 7.0.0 ou toute version de maintenance 7.0.x

→ version 6.7.0 ou toute version de maintenance 6.7.x

→ version 6.6.0 ou toute version de maintenance 6.6.x

→ 6.5.0

6.3.0

Une des versions suivantes :

→ version 6.7.0 ou toute version de maintenance 6.7.x

→ version 6.6.0 ou toute version de maintenance 6.6.x

→ 6.5.0

→ 6.4.0

6.2.3

Dernière prise en charge d’ASA FirePOWER pour la série ASA 5506-X et l’ASA 5512-X.

Une des versions suivantes :

→ version 6.6.0 ou toute version de maintenance 6.6.x

→ 6.5.0

→ 6.4.0

→ 6.3.0

6.2.2

Une des versions suivantes :

→ 6.4.0

→ 6.3.0

→ 6.2.3

6.2.1

Aucune prise en charge sur cette plateforme.

6.2.0

Une des versions suivantes :

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.1.0

Une des versions suivantes :

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.0

6.0.1

Une des versions suivantes :

→ 6.1.0

6.0.0

Une des versions suivantes :

→ 6.0.1

5.4.0.2 ou 5.4.1.1

Une des versions suivantes :

→ 6.0.0

Requiert un paquet de préinstallation : notes de mise à jour du système FireSIGHT version 6.0.0 – préinstallation.

Mise à niveau d’ASA

Il existe une large compatibilité entre les versions d’ASA et de ASA FirePOWER. Cependant, la mise à niveau vous permet de profiter de nouvelles fonctionnalités et de la résolution de certains problèmes. Pour en savoir plus sur la compatibilité, consultez Compatibilité de Cisco Secure Firewall ASA.

Vous mettez à niveau l’ASA sur chaque périphérique indépendamment, même si vous avez configuré des paires de mise en grappe ou de basculements ASA. Le moment exact où vous mettez à niveau le module ASA FirePOWER (avant ou après le rechargement de l’ASA) dépend de votre déploiement. Ce tableau décrit l’ordre de mise à niveau d’ASA pour les déploiements autonomes et à haute disponibilité/évolutivité. Pour plus de renseignements sur les instructions, consultez Mettre à niveau l’ASA.

Tableau 10. Commande de mise à niveau ASA + ASA FirePOWER

Déploiement d’ASA

Commande de mise à niveau

Périphérique autonome

  1. Mettez à niveau l’ASA, y compris le rechargement.

  2. Mettez à niveau ASA FirePOWER.

Basculement de l’ASA : actif/de secours

Mettez toujours à niveau l’unité de secours.

  1. Mettez à niveau l’ASA sur l’unité de secours, mais ne rechargez pas l’unité.

  2. Mettez à niveau ASA FirePOWER sur l’unité de secours.

  3. Rechargez l’ASA sur l’unité de secours.

  4. Effectuez le basculement.

  5. Mettez à niveau l’ASA sur le nouveau périphérique de secours.

  6. Mettez à niveau ASA FirePOWER sur le nouveau périphérique de secours.

  7. Rechargez l’ASA sur la nouvelle unité de secours.

Basculement de l’ASA : actif/actif

Activez les deux groupes de basculement sur l’unité que vous ne mettez pas à niveau.

  1. Activez les deux groupes de basculement sur l’unité principale.

  2. Mettez à niveau l’ASA sur l’unité secondaire, mais ne rechargez pas l’unité.

  3. Mettez à niveau ASA FirePOWER sur l’unité secondaire.

  4. Rechargez l’ASA sur l’unité secondaire.

  5. Activez les deux groupes de basculement sur l’unité secondaire.

  6. Mettez à niveau l’ASA sur l’unité principale, mais ne rechargez pas l’unité.

  7. Mettez à niveau ASA FirePOWER sur l’unité principale.

  8. Rechargez ASA sur l’unité principale.

Grappe ASA

Désactivez la mise en grappe sur chaque unité avant d’effectuer la mise à niveau. Mettez à niveau une unité à la fois, en laissant l’unité de contrôle pour la fin.

  1. Sur une unité de données, désactivez la mise en grappe.

  2. Mettez à niveau l’ASA sur cette unité de données, mais ne rechargez pas l’unité.

  3. Mettez à niveau ASA FirePOWER sur l’unité.

  4. Rechargez l’ASA.

  5. Réactivez la mise en grappe. Attendez que l’unité rejoigne la grappe.

  6. Répétez l’opération pour chaque unité de données.

  7. Sur une unité de contrôle, désactivez la mise en grappe. Attendez qu’un nouveau contrôle prenne le relais.

  8. Mettez à niveau l’ASA sur l’ancienne unité de contrôle, mais ne rechargez pas l’unité.

  9. Mettez à niveau ASA FirePOWER sur l’ancienne unité de contrôle.

  10. Réactivez la mise en grappe.

Chemin de mise à niveau : ASA pour ASA FirePOWER

Ce tableau fournit des chemins de mise à niveau pour l’ASA sur l’ASA avec les services FirePOWER. Il existe une large compatibilité entre les versions d’ASA et de ASA FirePOWER. Cependant, la mise à niveau vous permet de profiter de nouvelles fonctionnalités et de la résolution de certains problèmes.

Recherchez votre version actuelle d’ASA dans la colonne de gauche. Vous pouvez effectuer une mise à niveau directement vers les versions cibles énumérées. Les versions recommandées sont en gras.

Tableau 11. Chemins de mise à niveau : ASA pour ASA FirePOWER

Version actuelle

Version cible

9.15(x)

Dernière prise en charge d’ASA FirePOWER sur n’importe quelle plateforme, avec la version 7.0.x du Firepower.

9.16(x)

9.14(x)

Dernière prise en charge d’ASA FirePOWER pour l’ASA 5525-X, l’ASA 5545-X et l’ASA 5555-X, avec la version 6.6.x du Firepower.

Une des versions suivantes :

9.16(x)

9.15(x)

9.13(x)

Une des versions suivantes :

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

Dernière prise en charge d’ASA FirePOWER pour l’ASA 5515-X et l’ASA 5585-X, avec la version 6.4.0 du Firepower.

Une des versions suivantes :

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

9.10(x)

Une des versions suivantes :

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

9.9(x)

Dernière prise en charge d’ASA FirePOWER pour la série ASA 5506-X et l’ASA 5512-X, avec la version 6.2.3 du Firepower.

Une des versions suivantes :

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

Une des versions suivantes :

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

9.7(x)

Une des versions suivantes :

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

9.6(x)

Une des versions suivantes :

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

→ 9.6(x)

9.5(x)

Une des versions suivantes :

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

→ 9.6(x)

9.4(x)

Une des versions suivantes :

9.16(x)

9.15(x)

9.14(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

→ 9.6(x)

9.3(x)

Une des versions suivantes :

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

→ 9.6(x)

9.2(x)

Une des versions suivantes :

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

→ 9.6(x)

Chemin de mise à niveau : NGIPSv

Ce tableau fournit les chemins de mise à niveau pour le NGIPSv, géré par un FMC.

Recherchez votre version actuelle dans la colonne de gauche. Vous pouvez effectuer une mise à niveau directement vers n’importe quelle version reprise dans la colonne de droite.

Tableau 12. Chemins de mise à niveau : NGIPSv avec FMC

Version actuelle

Version cible

7.0.0

7.0.x

Dernière prise en charge de NGIPSv.

→ toute version de maintenance 7.0.x ultérieure

6.7.0

6.7.x

Une des versions suivantes :

→ version 7.0.0 ou toute version de maintenance 7.0.x

→ toute version de maintenance 6.7.x ultérieure

6.6.0

6.6.x

Une des versions suivantes :

→ version 7.0.0 ou toute version de maintenance 7.0.x

→ version 6.7.0 ou toute version de maintenance 6.7.x

→ toute version de maintenance 6.6.x ultérieure

6.5.0

Une des versions suivantes :

→ version 7.0.0 ou toute version de maintenance 7.0.x

→ version 6.7.0 ou toute version de maintenance 6.7.x

→ version 6.6.0 ou toute version de maintenance 6.6.x

6.4.0

Une des versions suivantes :

→ version 7.0.0 ou toute version de maintenance 7.0.x

→ version 6.7.0 ou toute version de maintenance 6.7.x

→ version 6.6.0 ou toute version de maintenance 6.6.x

→ 6.5.0

6.3.0

Une des versions suivantes :

→ version 6.7.0 ou toute version de maintenance 6.7.x

→ version 6.6.0 ou toute version de maintenance 6.6.x

→ 6.5.0

→ 6.4.0

6.2.3

Une des versions suivantes :

→ version 6.6.0 ou toute version de maintenance 6.6.x

→ 6.5.0

→ 6.4.0

→ 6.3.0

6.2.2

Une des versions suivantes :

→ 6.4.0

→ 6.3.0

6.2.1

Aucune prise en charge sur cette plateforme.

6.2.0

Une des versions suivantes :

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.1.0

Une des versions suivantes :

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.0

6.0.1

Une des versions suivantes :

→ 6.1.0

6.0.0

Une des versions suivantes :

→ 6.0.1

5.4.1.1

Une des versions suivantes :

→ 6.0.0

Requiert un paquet de préinstallation : notes de mise à jour du système FireSIGHT version 6.0.0 – préinstallation.

Mises à niveau qui ne répondent pas

Évitez d’apporter ou de déployer des modifications à la configuration durant la mise à niveau. Même si le système semble inactif, ne le redémarrez pas ou ne l’éteignez pas manuellement pendant la mise à niveau. Vous risquez de mettre le système dans un état inutilisable et de nécessiter une nouvelle image..

Mise à niveau de périphérique classique ou FMC ne répondant pas

Ne pas redémarrer une mise à niveau en cours. Si vous rencontrez des problèmes avec la mise à niveau, comme son échec, ou si un appareil ne répond pas, communiquez le Centre d’assistance technique Cisco (TAC)

Mise à niveau FTD sans réponse

Pour les mises à niveau majeures et de maintenance, vous pouvez annuler manuellement les mises à niveau en cours ou ayant échoué, et réessayer les mises à niveau qui ont échoué. Dans FMC, utilisez la fenêtre contextuelle Upgrade Status (état de la mise à niveau), accessible à partir de l’onglet Mise à niveau sur la page de gestion des périphériques et à partir du centre de messages. Vous pouvez également utiliser la CLI FTD.


Remarque

Par défaut, FTD revient automatiquement à son état d’avant la mise à niveau en cas d’échec de cette dernière (« auto-cancel ») (Annulation automatique). Pour pouvoir annuler manuellement ou réessayer une mise à niveau qui a échoué, désactivez l’option d’annulation automatique lorsque vous lancez la mise à niveau. L’annulation automatique n’est pas prise en charge pour les correctifs. Dans un déploiement à haute disponibilité ou en grappe, l’annulation automatique s’applique à chaque périphérique individuellement. Autrement dit, si la mise à niveau échoue sur un périphérique, seul ce périphérique est rétabli.

Cette fonctionnalité n’est pas prise en charge pour les correctifs ou pour les mises à niveau à partir de la version 6.6 et des versions antérieures.

Tests de temps et d’espace disque

À titre de référence, nous fournissons des rapports sur les tests de temps et d’espace disque réalisés en interne pour les mises à niveau logicielles de FMC et de périphériques. Pour les rapports réels, consultez les notes de mise à jour de votre version cible.

Tests de temps

Nous signalons la durée de test la plus lente de toutes les mises à niveau logicielles testées sur une plateforme ou une série particulière. Votre mise à niveau prendra probablement plus de temps que les délais fournis pour plusieurs raisons, comme l’explique le tableau suivant. Nous vous recommandons de suivre et d’enregistrer vos propres délais de mise à niveau afin de pouvoir les utiliser comme références futures.


Mise en garde

Évitez d’apporter ou de déployer des modifications à la configuration durant la mise à niveau. Même si le système semble inactif, ne le redémarrez pas ou ne l’éteignez pas manuellement. Dans la plupart des cas, ne redémarrez pas une mise à niveau en cours. Vous risquez de mettre le système dans un état inutilisable et de nécessiter une nouvelle image. Si vous rencontrez des problèmes lors de la désinstallation, y compris une désinstallation échouée ou un appareil ne répondant plus, consultez Mises à niveau qui ne répondent pas.
Tableau 13. Conditions de test de temps pour les mises à niveau logicielles

Condition

Détails

Déploiement

Les délais de mise à niveau des périphériques sont basés sur des tests réalisés dans des déploiements FMC. Les délais de mise à niveau bruts pour les périphériques gérés à distance et localement sont similaires, compte tenu de conditions similaires.

Versions

Pour les versions majeures et de maintenance, nous testons les mises à niveau à partir de toutes les versions majeures précédentes admissibles. Pour les correctifs, nous testons les mises à niveau à partir de la version de base. Le délai de mise à niveau augmente généralement si votre mise à niveau ignore des versions.

Modèles

Dans la plupart des cas, nous effectuons les tests sur les modèles les plus bas de gamme de chaque série, et parfois sur plusieurs modèles d’une même série.

Appliances virtuelles

Nous testons avec les paramètres par défaut pour la mémoire et les ressources. Cependant, notez que le temps de mise à niveau dans les déploiements virtuels dépend fortement du matériel.

Disponibilité élevée/évolutivité

Sauf indication contraire, nous testons sur des périphériques autonomes.

Dans une configuration à haute disponibilité ou en grappe, les périphériques sont mis à niveau un par un afin de préserver la continuité des opérations, chaque périphérique fonctionnant en mode maintenance pendant sa mise à niveau. Par conséquent, la mise à niveau d’une paire de périphériques ou d’une grappe complète prend plus de temps que la mise à niveau d’un périphérique autonome.

Configurations

Nous testons sur des appareils avec une configuration et une charge de trafic minimales.

Le délai de mise à niveau peut augmenter en fonction de la complexité de vos configurations, de la taille des bases de données d’événements et de l’incidence de la mise à niveau sur ces éléments. Par exemple, si vous utilisez de nombreuses règles de contrôle d’accès et que la mise à niveau doit apporter des modifications générales à la façon dont ces règles sont stockées, la mise à niveau peut prendre plus de temps.

Composants

Nous signalons uniquement les durées nécessaires à la mise à niveau du logiciel et au redémarrage ultérieur. Cela n’inclut pas le temps pour les mises à niveau des systèmes d’exploitation, le transfert des paquets de mise à niveau, les vérifications de la préparation, les mises à jour de la VDB et des règles de prévention des intrusions (SRU/LSP), ni le déploiement des configurations.

Tests d’espace disque

Nous signalons l’espace disque le plus utilisé de toutes les mises à niveau logicielles testées sur une plateforme ou une série particulière. Cela inclut l’espace nécessaire pour copier le paquet de mise à niveau sur le périphérique.

Nous signalons également l’espace nécessaire sur le FMC (dans / Volume ou /var) pour le paquet de mise à niveau de périphérique. Si vous avez un serveur interne pour les paquets de mise à niveau FTD ou si vous utilisez FDM, ignorez ces valeurs.

Lorsque nous signalons des estimations d’espace disque pour un emplacement particulier (par exemple, /var ou /ngfw), nous signalons l’estimation d’espace disque pour la partition montée à cet emplacement. Sur certaines plateformes, ces emplacements peuvent se trouver sur la même partition.

Sans suffisamment d’espace disque libre, la mise à niveau échoue.

Tableau 14. Vérification de l’espace disque

Plateforme

Commande

FMC

Choisissez System (Système) > Monitoring (Surveillance) > Statistics (Statistiques) et sélectionnez le FMC. Sous Disk Usage (Utilisation du disque), développez les informations de By partition (Par partition).

FTD avec FMC

Choisissez System (Système) > Monitoring (Surveillance) > Statistics (Statistiques) et sélectionnez le périphérique que vous souhaitez vérifier. Sous Disk Usage (Utilisation du disque), développez les informations de By partition (Par partition).

Téléchargez les paquets de mise à niveau

Téléchargez les paquets de mise à niveau à partir de Site d’assistance et de téléchargement Cisco avant de commencer la mise à niveau. Selon la mise à niveau, vous devez placer les paquets sur votre ordinateur local ou sur un serveur auquel le périphérique peut accéder. Les listes de contrôle et les procédures de ce guide expliquent vos choix.


Remarque

Les téléchargements nécessitent un identifiant et un contrat de service Cisco.com.

Paquets logiciels Firepower

Les paquets de mise à niveau sont disponibles sur le Site d’assistance et de téléchargement Cisco.

Pour trouver le bon paquet de mise à niveau, sélectionnez ou recherchez le modèle de votre appareil, puis accédez à la page de téléchargement logiciel correspondant à votre version actuelle. Les paquets de mise à niveau disponibles sont répertoriés avec les paquets d’installation, les correctifs rapides et les autres téléchargements applicables.


Astuces

Un Cisco Firepower Management Center avec accès à Internet peut télécharger certains correctifs et versions de maintenance directement à partir de Cisco, quelque temps après qu’ils soient disponibles pour le téléchargement manuel. La durée du délai dépend du type de version, de l’adoption de la version et d’autres facteurs.

Vous utilisez le même ensemble de mises à niveau pour tous les modèles d’une famille ou d’une série. Les noms des fichiers des paquets de mise à niveau reflètent la plateforme, le type de paquet (mise à niveau, correctif, correctif rapide) et la version du logiciel. Les versions de maintenance utilisent le type de paquet « mise à niveau ».

Par exemple :

  • Paquet : Cisco_Firepower_Mgmt_Center_Upgrade--999.sh.REL.tar

  • Platforme : Firepower Management Center

  • Type de paquet : mise à niveau

  • Version et build : -999

  • Extensions de fichier : sh.REL.tar

Afin que le système vérifie que vous utilisez les bons fichiers, les paquets de mise à niveau Version 6.2.1+ sont des archives tar signées (.tar). Ne décompressez pas les paquets signés (.tar). Et n’envoyez pas les paquets de mise à niveau par courriel.


Remarque

Une fois que vous avez chargé un paquet de mise à niveau signé, l’interface graphique Cisco Firepower Management Center peut prendre plusieurs minutes pour se charger, pendant que le système vérifie le paquet. Supprimez les paquets signés une fois que vous n’en avez plus besoin pour accélérer l’affichage.

Paquets de mise à niveau du logiciel Firepower

Tableau 15.

Plateforme

Versions

Ensemble

FMC/FMCv

6.3.0 et les versions ultérieures

Cisco_Firepower_Mgmt_Center

De 5.4.0 à 6.2.3

Sourcefire_3D_Defense_Center_S3

Série Firepower 1000

N’importe lequel

Cisco_FTD_SSP-FP1K

Série Firepower 2100

N’importe lequel

Cisco_FTD_SSP-FP2K

Firepower 4100/9300

N’importe lequel

Cisco_FTD_SSP

Gamme ASA 5500-X avec FTD

ISA 3000 avec FTD

FTDv

N’importe lequel

Cisco_FTD

Série Firepower 7000/8000

Modèles AMP

De 6.3.0 à 6.4.0

Cisco_Firepower_NGIPS_Appliance

De 5.4.0 à 6.2.3

Sourcefire_3D_Device_S3

ASA FirePOWER

N’importe lequel

Cisco_Network_Sensor

NGIPSv

6.3.0 et les versions ultérieures

Cisco_Firepower_NGIPS_Virtual

6.2.2 à 6.2.3

Sourcefire_3D_Device_VMware

De 5.4.0 à 6.2.0

Sourcefire_3D_Device_Virtual64_VMware

Prologiciels FXOS

Les paquets FXOS pour les périphériques Firepower 4100/9300 sont disponibles sur le Site d’assistance et de téléchargement Cisco.

Pour trouver des progiciels FXOS, sélectionnez ou recherchez votre modèle d’appareil Firepower, puis accédez à la page de téléchargement de Firepower Extensible Operating System pour obtenir la version cible.


Remarque

Si vous prévoyez d’utiliser l’interface de ligne de commande pour mettre à niveau FXOS, copiez le paquet de mise à niveau sur un serveur auquel Firepower 4100/9300 peut accéder en utilisant le protocole SCP, SFTP, TFTP ou FTP.

Tableau 16. Paquets FXOS pour Firepower 4100/9300

Type de package

Ensemble

Image FXOS

fxos-k9.version.SPA

Récupération (démarrage)

fxos-k9-kickstart.version.SPA

Récupération (gestionnaire)

fxos-k9-manager.version.SPA

Récupération (système)

fxos-k9-system.version.SPA

Bases d’informations de gestion (MIB)

fxos-mibs-fp9k-fp4k.version.zip

Micrologiciel : Firepower 4100

fxos-k9-fpr4k-firmware.version.SPA

Micrologiciel : Firepower 9300

fxos-k9-fpr9k-firmware.version.SPA

Paquets ASA

Le logiciel ASA est disponible sur le Site d’assistance et de téléchargement Cisco.

Pour trouver un logiciel ASA, sélectionnez ou recherchez le modèle de votre appliance Firepower, puis accédez à la page de téléchargement appropriée et sélectionnez une version.


Remarque

Si vous utilisez l’assistant de mise à niveau ASDM, vous n’avez pas besoin de prétélécharger le logiciel. Sinon, téléchargez sur votre ordinateur local. Pour les mises à niveau CLI, vous devez ensuite copier le logiciel sur un serveur auquel le périphérique peut accéder par l’intermédiaire de tout protocole pris en charge par la commande ASA copy , y compris HTTP, FTP et SCP.

Tableau 17. Logiciel pour ASA

Télécharger la page

Type de logiciel

Ensemble

Logiciel pour dispositifs de sécurité adaptatifs (ASA)

Mise à niveau ASA et ASDM

asaversion-lfbff-k8.SPA

pour les ASA 5506-X, ASA 5508-X, ASA 5516-X et ISA 3000.

asaversion-smp-k8.bin

pour les ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X et ASA 5585-X.

Gestionnaire d’appareils de sécurité adaptables (ASA)

Mise à niveau ASDM seulement

asdm-version.bin

Module d’extension API REST d’appareils de sécurité adaptables

API REST ASA

asa-restapi-version-lfbff-k8.SPA

Charger des paquets de mise à niveau logicielle Firepower

Pour mettre à niveau le logiciel Firepower, le paquet de mise à niveau doit se trouver sur le périphérique.

Charger vers Cisco Firepower Management Center

Utilisez cette procédure pour charger manuellement les paquets de mise à niveau logicielle Firepower sur le Cisco Firepower Management Center, pour lui-même et les périphériques qu’il gère.

Avant de commencer

Si vous mettez à niveau le périphérique de secours Cisco Firepower Management Center dans une paire à haute disponibilité, suspendez la synchronisation.

Pour des déploiements FMC à haute disponibilité, vous devez charger le paquet de mise à niveau FMC sur les deux homologues, en suspendant la synchronisation avant de transférer le paquet sur le paquet de secours. Pour limiter les interruptions de la synchronisation à haute disponibilité, vous pouvez transférer le paquet vers l’homologue actif pendant l’étape de préparation de la mise à niveau, et vers l’homologue de secours dans le cadre du processus de mise à niveau lui-même, après avoir suspendu la synchronisation.

Procédure

Étape 1

Sur l’interface Web Cisco Firepower Management Center, choisissez Système > Mises à jour.

Étape 2

Cliquez sur Charger la mise à jour.

Astuces

 

Sélectionnez les paquets de mise à niveau disponibles pour le téléchargement direct par le Cisco Firepower Management Center quelque temps après que la version puisse être téléchargée manuellement. La durée du délai dépend du type de version, de l’adoption de la version et d’autres facteurs. Si votre Cisco Firepower Management Center dispose d’un accès à Internet, vous pouvez plutôt cliquer sur Télécharger les mises à jour pour télécharger tous les paquets admissibles pour votre déploiement, ainsi que la dernière VDB, si nécessaire.

Étape 3

(version 6.6.0 ou version ultérieure) Pour l’Action, cliquez sur le bouton radio Charger le paquet de mise à jour du logiciel local.

Étape 4

Cliquez sur Choisir le fichier.

Étape 5

Accédez au paquet et cliquez sur Charger.

Charger du contenu vers un serveur interne (version 6.6.0 ou version ultérieure de FTD avec FMC)

À partir de la version 6.6.0, les périphériques Firepower Threat Defense peuvent obtenir des paquets de mise à niveau à partir d’un serveur Web interne, plutôt que du FMC. Cela est particulièrement utile si la bande passante entre le FMC et ses périphériques est limitée. Cela permet également de gagner de la place sur le FMC.


Remarque

Cette fonctionnalité est prise en charge uniquement pour les périphériques FTD exécutant la version 6.6.0+. Elle n'est pas prise en charge pour les mises à niveau vers la version 6.6.0, ni pour les périphériques FMC ou classique.

Pour configurer cette fonctionnalité, vous enregistrez un pointeur (URL) à l’emplacement d’un paquet de mise à niveau sur le serveur Web. Le processus de mise à niveau obtiendra ensuite le paquet de mise à niveau du serveur Web au lieu du FMC. Vous pouvez également utiliser FMC pour copier le paquet avant d’effectuer la mise à niveau.

Répétez cette procédure pour chaque paquet de mise à niveau FTD. Vous ne pouvez configurer qu’un seul emplacement par paquet de mise à niveau.

Avant de commencer

  • Téléchargez les paquets de mise à niveau appropriés à partir de Site d’assistance et de téléchargement Cisco et copiez-les sur un serveur Web interne auquel vos périphériques FTD peuvent accéder.

  • Pour les serveurs Web sécurisés (HTTPS), procurez-vous le certificat numérique du serveur (format PEM). Vous devriez pouvoir obtenir le certificat de l’administrateur du serveur. Vous pouvez également utiliser votre navigateur ou un outil comme OpenSSL, pour afficher les détails du certificat du serveur et exporter ou copier le certificat.

Procédure

Étape 1

Sur l’interface Web de FMC, choisissez Système > Mises à jour.

Étape 2

Cliquez sur Charger la mise à jour.

Choisissez cette option même si vous ne chargez rien. La page suivante vous demandera de fournir une URL.

Étape 3

Pour l’action, cliquez sur le bouton radio Préciser la source des mises à jour logicielles.

Étape 4

Saisissez une URL source pour le paquet de mise à niveau.

Fournissez le protocole (HTTP/HTTPS) et le chemin complet. Par exemple :

https://internal_web_server/upgrade_package.sh.REL.tar

Les noms des fichiers de paquet de mise à niveau reflètent la plateforme, le type de paquet (mise à niveau, correctif, correctif rapide) ainsi que la version du Firepower à laquelle vous passez. Assurez-vous de saisir le bon nom de fichier.

Étape 5

Pour les serveurs HTTPS, fournissez un certificat d’autorité de certification.

Il s’agit du certificat numérique du serveur que vous avez obtenu plus tôt. Copiez et collez le bloc de texte entier, y compris les lignes BEGIN CERTIFICATE et END CERTIFICATE.

Étape 6

Cliquez sur Save (enregistrer).

Vous êtes renvoyé à la page Mises à jour de produits. Les paquets de mise à niveau chargés et les URL des paquets de mise à niveau sont listés ensemble, mais étiquetés distinctement.

Copier des données sur les périphériques gérés

Pour mettre à niveau le logiciel Firepower, le paquet de mise à niveau doit se trouver sur le périphérique. Dans la mesure du possible, nous vous recommandons d’utiliser cette procédure pour copier (pousser) les paquets sur les périphériques gérés avant de lancer la mise à niveau de ces derniers.


Remarque

Pour les périphériques Firepower 4100/9300, nous vous recommandons (et parfois demandons) de copier le paquet de mise à niveau Cisco Firepower Threat Defense avant de commencer la mise à niveau FXOS associée requise.

La prise en charge varie selon la version du Firepower :

  • La version 6.2.2 et les versions antérieures ne prennent pas en charge la copie préalable à la mise à niveau.

    Lorsque vous démarrez une mise à niveau de périphérique, le système copie le paquet de mise à niveau de Cisco Firepower Management Center sur le périphérique en tant que première tâche.

  • La version 6.2.3 ajoute la possibilité de copier manuellement les paquets de mise à niveau sur le périphérique à partir de Cisco Firepower Management Center.

    Cette action réduit la durée de la période de maintenance de votre mise à niveau.

  • La version 6.6.0 ajoute la possibilité de copier manuellement les paquets de mise à niveau d’un serveur Web interne sur les périphériques Cisco Firepower Threat Defense.

    Cela est utile si la bande passante entre le Cisco Firepower Management Center et ses périphériques Cisco Firepower Threat Defense est limitée. Cela permet également de gagner de la place sur le Cisco Firepower Management Center.

  • La version 7.0.0 présente un nouveau flux de travail de mise à niveau Cisco Firepower Threat Defense qui vous invite à copier le paquet de mise à niveau sur les périphériques Cisco Firepower Threat Defense.

    Si votre Cisco Firepower Management Center exécute la version 7.0.0 ou une version ultérieure, nous vous recommandons d’utiliser la page de mise à niveau de périphérique pour copier le paquet de mise à niveau sur les périphériques FTD ; voir Mettre à niveau Firepower Threat Defense avec FMC (version 7.0.0). Vous devez toujours utiliser cette procédure pour copier les paquets de mise à niveau dans les anciens déploiements et sur les périphériques classiques (Firepower 7000/8000, ASA FirePOWER et NGIPSv).

Notez que lorsque vous copiez manuellement, chaque périphérique obtient le paquet de mise à niveau de la source : le système ne copie pas les paquets de mise à niveau entre les unités membres de la grappe, de la pile ou de la haute disponibilité.

Avant de commencer

Assurez-vous que votre réseau de gestion dispose de la bande passante nécessaire pour effectuer des transferts de données volumineux. Consultez les Directives relatives au téléchargement de données du centre de gestion Cisco Firepower Management Center vers des périphériques gérés (Note technique de dépannage).

Procédure

Étape 1

Sur l’interface Web Cisco Firepower Management Center, choisissez Système > Mises à jour.

Étape 2

Placez le paquet de mise à niveau où le périphérique peut y accéder.

  • Cisco Firepower Management Center : chargez manuellement ou récupérez directement le paquet sur le FMC.

  • Serveur Web interne (Cisco Firepower Threat Defense version 6.6.0 ou version ultérieure) : chargez-le sur un serveur Web interne et configurez les périphériques Cisco Firepower Threat Defense pour obtenir le paquet de ce serveur.

Étape 3

Cliquez sur l’icône Push (Pousser) (version 6.5.0 ou version antérieure) ou Push or Stage update (Pousser la mise à jour ou lui attribuer une étape) (version 6.6.0 et versions ultérieures) à côté du paquet de mise à niveau que vous souhaitez pousser, puis choisissez les périphériques de destination.

Si les périphériques dans lesquels vous souhaitez pousser le paquet de mise à niveau ne sont pas répertoriés, vous avez choisi le mauvais paquet de mise à niveau.

Étape 4

Pousser le paquet

  • Cisco Firepower Management Center : cliquez sur Pousser.

  • Serveur Web internet : cliquez sur Télécharger la mise à jour vers le périphérique à partir de la source.

Vérification de l’état de préparation du logiciel Firepower

Les vérifications de l’état de préparation évaluent la préparation d’un périphérique Firepower à une mise à niveau logicielle.Si l’appareil échoue au contrôle de l’état de préparation, corrigez les problèmes et relancez ce dernier. Si le contrôle de l’état de préparation révèle des problèmes que vous ne pouvez pas résoudre, nous vous recommandons de ne pas démarrer la mise à niveau.

Le temps nécessaire pour exécuter une vérification de l’état de préparation varie en fonction du modèle d’appareil et de la taille de la base de données. Les versions ultérieures ont également des vérifications plus rapides de l’état de préparation.

Exécuter les vérifications de l’état de préparation avec FDM (FTD version 7.0.0 ou version ultérieure)

Si votre FMC exécute la version 7.0.0 ou une version ultérieure, nous vous recommandons d’utiliser la page de mise à niveau de périphérique pour vérifier l’état de préparation des périphériques FTD ; voir Mettre à niveau Firepower Threat Defense avec FMC (version 7.0.0).

Consultez les en-têtes suivantes si vous :

  • Exécutez des vérifications de préparation sur le FMC lui-même.

  • Exécutez des vérifications de préparation sur les périphériques gérés, et votre FMC exécute la version 6.7.x.

  • Exécutez des vérifications de préparation sur les appareils gérés, et votre FMC exécute la version 6.6.x ou antérieure.

Exécuter les vérifications de préparation avec FMC (version 6.7.0 et versions ultérieures )

Cette procédure est valide pour les FMC exécutant actuellement la version 6.7.0 ou une version ultérieure et leurs périphériques gérés, y compris les périphériques exécutant d’anciennes versions (6.3.0-6.6.x) et les périphériques Cisco FTD dans les déploiements à haute disponibilité et évolutivité .


Important

Si votre FMC exécute la version 7.0.0 ou une version ultérieure, nous vous recommandons d’utiliser la page de mise à niveau de périphérique pour pour vérifier l’état de préparation des périphériques FTD ; voir Mettre à niveau Firepower Threat Defense avec FMC (version 7.0.0). Vous devez toujours utiliser cette procédure pour exécuter des vérifications de la préparation sur le FMC et sur tous les périphériques Classic.

Avant de commencer

  • Mettez à niveau le FMC au moins à la version 6.7.0. Si votre FMC exécute actuellement une version plus ancienne, consultez Exécuter des vérifications de l’état de préparation avec FMC (version 6.0.1–6.6.x).

  • Chargez le paquet de mise à niveau dans le FMC, pour l’appliance que vous voulez vérifier. Si vous voulez vérifier des périphériques FTD version 6.6.0 et versions ultérieures, vous pouvez aussi indiquer l’emplacement du paquet de mise à niveau sur un serveur web interne. Ceci est requis parce que les vérifications de l’état de préparation sont incluses dans les paquets de mise à niveau.

  • (Facultatif) Si vous mettez à niveau un périphérique Classic vers n’importe quelle version, ou un périphérique Cisco FTD vers la version 6.3.0.1-6.6.x, copiez le paquet de mise à niveau sur le périphérique. Cela peut réduire le temps nécessaire pour exécuter la vérification de la disponibilité. Si vous mettez à niveau un périphérique Cisco FTD à la version 6.7.0 et ultérieures, vous pouvez ignorer cette étape. Bien que nous vous recommandions toujours de pousser le package de mise à niveau sur le périphérique avant de commencer la mise à niveau, vous n’avez plus à le faire avant d’exécuter la vérification de l’état de préparation.

Procédure

Étape 1

Sur l’interface Web de FMC, choisissez Système > Mises à jour.

Étape 2

Sous Mises à jour disponibles, cliquez sur l’icône Install (Installer) à côté du paquet de mise à niveau approprié.

Le système affiche une liste des périphériques admissibles, ainsi que leurs résultats de vérification de compatibilité préalables à la mise à niveau. À partir de la version 6.7.0, les périphériques Cisco FTD doivent réussir certaines vérifications de base avant que vous puissiez exécuter la vérification de préparation la plus complexe. Cette pré-vérification permet de détecter les problèmes qui entraîneront l’échec de votre mise à niveau, mais nous les détectons désormais plus tôt et vous empêchons de continuer.

Étape 3

Sélectionnez les périphériques que vous souhaitez vérifier et cliquez sur Launch Readiness Check (Lancer la vérification de l’état de préparation).

Si vous ne pouvez pas sélectionner un appareil autrement admissible, assurez-vous qu’il a réussi ses vérifications de compatibilité. Vous devrez peut-être mettre à niveau un système d’exploitation ou déployer des modifications de configuration .

Étape 4

Surveillez l’état de préparation de la mise à jour dans le Message Center (Centre de messages).

Si la vérification échoue, le Centre de messages fournit des journaux d’échec.

Prochaine étape

Sur la page System (Système) > Updates (Mises à jour), cliquez sur Readiness Checks (Vérifications de préparation) pour voir l’état des vérifications pour votre déploiement FTD (en cours et échouées). Vous pouvez également utiliser cette page pour réexécuter facilement les vérifications après un échec.

Exécuter des vérifications de l’état de préparation avec FMC (version 6.0.1–6.6.x)

Cette procédure est valide pour les FMC exécutant actuellement la version 6.0.1–6.6.x, et leurs périphériques gérés autonomes.


Remarque

Pour les périphériques en grappe, les périphériques empilés et les périphériques en paire à haute accessibilité, vous pouvez exécuter la vérification de l’état de préparation à partir de l’interface Shell Linux, également appelée mode expert. Pour exécuter la vérification, vous devez d’abord pousser ou copier le paquet de mise à niveau au bon emplacement sur chaque périphérique, puis utiliser cette commande : sudo install_update.pl --detach --readiness-check /var/sf/updates/upgrade_package_name. Pour en savoir plus sur les instructions, communiquez le Centre d’assistance technique Cisco (TAC).

Avant de commencer

  • (Version 6.0.1) Si vous voulez exécuter des vérifications de l’état de préparation lors d’une mise à niveau de la version 6.0.1 → 6.1.0, installez d’abord le paquet de pré-installation de la version 6.1. Vous devez le faire pour le FMC et les périphériques gérés. Reportez-vous aux notes de mise à jour du système Firepower version 6.1.0 – préinstallation.

  • Chargez le paquet de mise à niveau dans le FMC, pour l’appliance que vous voulez vérifier. Si vous voulez vérifier des périphériques FTD version 6.6.x, vous pouvez aussi indiquer l’emplacement du paquet de mise à niveau sur un serveur web interne. Ceci est requis parce que les vérifications de l’état de préparation sont incluses dans les paquets de mise à niveau.

  • (Facultatif, version 6.2.3+) Envoyez le paquet de mise à niveau vers le périphérique géré. Cela peut réduire le temps requis pour exécuter la vérification.

  • Déployez les configurations vers les périphériques gérés dont les configurations ne sont pas à jour. Sinon, la vérification de l’état de préparation peut échouer.

Procédure

Étape 1

Sur l’interface web de FMC, choisissez System (Système) > Updates (Mises à jour).

Étape 2

Cliquez sur l’icône Install (Installer) à côté du paquet de mise à niveau approprié.

Étape 3

Sélectionnez les périphériques que vous souhaitez vérifier et cliquez sur Launch Readiness Check (Lancer la vérification de l’état de préparation).

Étape 4

Surveillez la progression de la vérification de l’état de préparation dans le centre de messages.