Désinstaller un correctif

Vous pouvez désinstaller la plupart des correctifs. Si vous devez revenir à une version majeure ou de maintenance antérieure, vous devez effectuer une réinitialisation.

La désinstallation d’un correctif vous renvoie à la version à partir de laquelle vous avez mis à niveau et ne modifie pas les configurations. Étant donné que le FMC doit exécuter la même version ou une version plus récente que ses périphériques gérés, désinstallez d’abord les correctifs de ces périphériques. La désinstallation n’est pas prise en charge pour les correctifs rapides .

Correctifs qui prennent en charge la désinstallation

La désinstallation de correctifs spécifiques peut entraîner des problèmes, même lorsque la désinstallation elle-même réussit. Ces problèmes comprennent :

  • Impossibilité de déployer les modifications de configuration après la désinstallation.

  • Incompatibilités entre le système d’exploitation et le logiciel.

  • Échec du FSIC (contrôle de l’intégrité du système de fichiers) lorsque le périphérique redémarre, si vous avez appliqué des correctifs avec la conformité des certifications de sécurité activée (mode CC/UCAPL).


Mise en garde

Si la conformité aux certifications de sécurité est activée et que le FSIC échoue, le logiciel ne démarre pas, l’accès SSH à distance est désactivé et vous ne pouvez accéder au périphérique qu’à partir de la console locale. Dans ce cas, communiquez avec Centre d’assistance technique Cisco (TAC).

Correctifs de la version 7.0 qui prennent en charge la désinstallation

Ce tableau répertorie les scénarios de désinstallation pris en charge pour les correctifs de la version 7.0. La désinstallation vous ramène au niveau de correctif à partir duquel vous avez effectué la mise à niveau. Si la désinstallation vous amène plus loin que ce qui est pris en charge, nous vous recommandons de réinitialiser l’image, puis de la mettre à niveau au niveau de correctif souhaité.

Tableau 1. Correctifs de la version 7.0 qui prennent en charge la désinstallation

Version actuelle

Version la plus ancienne à désinstaller

FTD/FTDv

ASA FirePOWER

NGIPSv

FMC/FMCv

7.0.6.2 et ultérieures

7.0.6

7.0.6.1

7.0.6.1

7.0.6.1

7.0.6

Correctifs de la version 6.7 qui prennent en charge la désinstallation

La désinstallation est actuellement prise en charge pour tous les correctifs de la version 6.7.

Correctifs de la version 6.6 qui prennent en charge la désinstallation

La désinstallation est actuellement prise en charge pour tous les correctifs de la version 6.6.

Correctifs de la version 6.5 qui prennent en charge la désinstallation

Ce tableau répertorie les scénarios de désinstallation pris en charge pour les correctifs de la version 6.5. La désinstallation vous ramène au niveau de correctif à partir duquel vous avez effectué la mise à niveau. Si la désinstallation vous amène plus loin que ce qui est pris en charge, nous vous recommandons de réinitialiser l’image, puis de la mettre à niveau au niveau de correctif souhaité.

Tableau 2. Correctifs de la version 6.5.0 qui prennent en charge la désinstallation

Version actuelle

Version la plus ancienne à désinstaller

FTD/FTDv

ASA FirePOWER

NGIPSv

FMC/FMCv

6.5.0.2 et ultérieures

6.5.0

6.5.0

6.5.0.1

6.5.0.1

6.5.0

6.5.0

Correctifs de la version 6.4 qui prennent en charge la désinstallation

Ce tableau répertorie les scénarios de désinstallation pris en charge pour les correctifs de la version 6.4. La désinstallation vous ramène au niveau de correctif à partir duquel vous avez effectué la mise à niveau. Si la désinstallation vous amène plus loin que ce qui est pris en charge, nous vous recommandons de réinitialiser l’image, puis de la mettre à niveau au niveau de correctif souhaité.

Tableau 3. Correctifs de la version 6.4.0 qui prennent en charge la désinstallation

Version actuelle

Version la plus ancienne à désinstaller

FTD/FTDv

Firepower 7000/8000

ASA FirePOWER

NGIPSv

FMC/FMCv

6.4.0.5 et ultérieures

6.4.0.4

6.4.0.4

6.4.0.4

6.4.0.4

6.4.0.3

6.4.0

6.4.0.2

6.4.0

6.4.0.1

6.4.0

6.4.0

6.4.0

Correctifs de la version 6.3 qui prennent en charge la désinstallation

Ce tableau répertorie les scénarios de désinstallation pris en charge pour les correctifs de la version 6.3. La désinstallation vous ramène au niveau de correctif à partir duquel vous avez effectué la mise à niveau. Si la désinstallation vous amène plus loin que ce qui est pris en charge, nous vous recommandons de réinitialiser l’image, puis de la mettre à niveau au niveau de correctif souhaité.

Tableau 4. Correctifs de la version 6.3.0 qui prennent en charge la désinstallation

Version actuelle

Version la plus ancienne à désinstaller

6.3.0.5

De la version 6.3.0.1 à la version 6.3.0.4

6.3.0

Correctifs de la version 6.2.3 qui prennent en charge la désinstallation

Ce tableau répertorie les scénarios de désinstallation pris en charge pour les correctifs de la version 6.2.3. La désinstallation vous ramène au niveau de correctif à partir duquel vous avez effectué la mise à niveau. Si la désinstallation vous amène plus loin que ce qui est pris en charge, nous vous recommandons de réinitialiser l’image, puis de la mettre à niveau au niveau de correctif souhaité.

Tableau 5. Correctifs de la version 6.2.3 qui prennent en charge la désinstallation

Version actuelle

Version la plus ancienne à désinstaller

FTD/FTDv

Firepower 7000/8000

ASA FirePOWER

NGIPSv

FMC/FMCv

6.2.3.16 et ultérieures

6.2.3.15

6.2.3.15

6.2.3.15

6.2.3.15

De la version 6.2.3.12 à la version 6.2.3.14

6.2.3

6.2.3.11

6.2.3.11

6.2.3.11

6.2.3

De la version 6.2.3.8 à la version 6.2.3.10

6.2.3

6.2.3.7

6.2.3.7

6.2.3.7

6.2.3

De la version 6.2.3.1 à la version 6.2.3.6

6.2.3

6.2.3

6.2.3

Correctifs de la version 6.2.2 qui prennent en charge la désinstallation

Ce tableau répertorie les scénarios de désinstallation pris en charge pour les correctifs de la version 6.2.2. La désinstallation vous renvoie au correctif immédiatement précédent, même si vous avez effectué une mise à niveau à partir d’un correctif antérieur. Si la désinstallation vous amène plus loin que ce qui est pris en charge, nous vous recommandons de réinitialiser l’image, puis de la mettre à niveau au niveau de correctif souhaité.

Tableau 6. Correctifs de la version 6.2.2 qui prennent en charge la désinstallation

Version actuelle

Version la plus ancienne à désinstaller

De la version 6.2.2.3 à la version 6.2.2.5

6.2.2.2

6.2.2.2

6.2.2.1

6.2.2

Ordre de désinstallation pour la haute disponibilité/évolutivité

Dans les déploiements à haute disponibilité/évolutivité, limitez les perturbations liées à la désinstallation d’un périphérique à la fois. Contrairement à la mise à niveau, le système ne le fait pas pour vous. Attendez que le correctif soit entièrement désinstallé d’une unité avant de passer à l’autre.

Tableau 7. Ordre de désinstallation pour la haute disponibilité FMC

Configuration

Ordre de désinstallation

FMC Haute disponibilité

La synchronisation étant en pause, qui est un état appelé split-brain (déconnexion cérébrale), désinstallez des pairs à la fois. Ne pas effectuer ou déployer de changements de configuration lorsque la paire est en état split-brain (déconnexion cérébrale)

  1. Suspendez la synchronisation (entrez dans l’état split-brain).

  2. Désinstallez du périphérique en veille.

  3. Désinstallez du périphérique actif.

  4. Redémarrez la synchronisation (sortez de l’état split-brain).
Tableau 8. Ordre de désinstallation pour la haute disponibilité et les grappes FTD

Configuration

Ordre de désinstallation

FTD Haute disponibilité

Vous ne pouvez pas désinstaller un correctif des périphériques configurés pour la haute disponibilité. Vous devez d’abord interrompre la haute disponibilité.

  1. Rompre la haute accessibilité

  2. Désinstallez de l’ancien périphérique en veille.

  3. Désinstallez de l’ancien périphérique actif.

  4. Rétablissez la haute disponibilité.

grappe FTD

Désinstallez d’une unité à la fois, en laissant l’unité de contrôle pour la fin. Les unités en grappe fonctionnent en mode maintenance pendant que le correctif est désinstallé.

  1. Désinstallez des modules de données un à la fois.

  2. Faites de l’un des modules de données le nouveau module de contrôle.

  3. Désinstallez de l’ancien module de contrôle.
Tableau 9. Ordre de désinstallation pour l’ASA avec les services FirePOWER dans les paires de basculement/grappes ASA

Configuration

Ordre de désinstallation

Paire de basculement ASA actif/veille, avec ASA FirePOWER

Désinstallez toujours du périphérique en veille.

  1. Désinstallez du module ASA FirePOWER sur le périphérique ASA en veille.

  2. Effectuez le basculement.

  3. Désinstallez du module ASA FirePOWER sur le nouveau périphérique ASA en veille.

Paire de basculement ASA actif/actif, avec ASA FirePOWER

Activez les deux groupes de basculement sur l’unité que vous ne désinstallez pas.

  1. Activez les deux groupes de basculement sur le périphérique ASA principal.

  2. Désinstallez du module ASA FirePOWER sur le périphérique ASA secondaire.

  3. Activez les deux groupes de basculement sur le périphérique ASA secondaire.

  4. Désinstallez du module ASA FirePOWER sur le périphérique ASA principal.

Grappe ASA, avec ASA FirePOWER

Désactivez la mise en grappe sur chaque unité avant d’effectuer la désinstallation. Désinstallez d’une unité à la fois, en laissant l’unité de contrôle pour la fin.

  1. Sur une unité de données, désactivez la mise en grappe.

  2. Désinstallez du module ASA FirePOWER sur cette unité.

  3. Réactivez la mise en grappe. Attendez que l’unité rejoigne la grappe.

  4. Répétez l’opération pour chaque unité de données.

  5. Sur une unité de contrôle, désactivez la mise en grappe. Attendez qu’une nouvelle unité de contrôle prenne le relais.

  6. Désinstallez du module ASA FirePOWER sur l’ancienne unité de contrôle.

  7. Réactivez la mise en grappe.

Désinstaller les périphériques Threat Defense avec le FMC

Utilisez l’interface Shell Linux (mode expert) pour désinstaller les correctifs. Vous devez avoir accès à l’interface Shell du périphérique en tant qu’utilisateur administrateur du périphérique ou en tant qu’autre utilisateur local avec accès à la configuration de l’interface de ligne de commande. Vous ne pouvez pas utiliser un compte d’utilisateur FMC. Si vous avez désactivé l’accès à l’interface Shell, communiquez avec Centre d’assistance technique Cisco (TAC) pour annuler le verrouillage.


Mise en garde

Évitez d’apporter ou de déployer des modifications à la configuration durant la désinstallation. Même si le système semble inactif, ne redémarrez pas, n’éteignez pas ou ne redémarrez pas manuellement une désinstallation en cours. Vous risquez de mettre le système dans un état inutilisable et de nécessiter une nouvelle image. Si vous rencontrez des problèmes avec la désinstallation, comme son échec, ou si un appareil ne répond pas, communiquez avec Centre d’assistance technique Cisco (TAC).

Avant de commencer

Procédure

Étape 1

Si les configurations du périphérique sont obsolètes, déployez maintenant à partir du FMC.

Si vous procédez au déploiement avant la désinstallation, vous réduisez les risques d’échec. Assurez-vous que le déploiement et les autres tâches essentielles sont terminés. Les tâches en cours d’exécution au début de la désinstallation sont arrêtées, deviennent des tâches ayant échoué et ne peuvent pas être reprises. Vous pouvez supprimer les messages d’état d’échec manuellement ultérieurement.

Étape 2

Accédez à l’interface de ligne de commande Firepower sur le périphérique Connectez-vous en tant qu’administrateur ou en tant qu’autre utilisateur de l’interface de ligne de commande avec accès à la configuration.

Vous pouvez vous connecter en SSH à l’interface de gestion du périphérique (nom de domaine ou adresse IP) ou utiliser la console. Si vous utilisez la console, certains périphériques utilisent l’interface de ligne de commande du système d'exploitation et nécessitent une étape supplémentaire pour accéder à l’interface de ligne de commande Firepower, comme indiqué dans le tableau ci-après.

Série Firepower 1000

connect ftd

Série Firepower 2100

connect ftd

Firepower 4100/9300

connect module slot_number console, puis connect ftd (première connexion uniquement)

ASA FirePOWER

session sfr

Étape 3

Utilisez la commande expert pour accéder à l’interface Shell Linux.

Étape 4

Vérifiez que le paquet de désinstallation se trouve dans le répertoire de mise à niveau.

ls /var/sf/updates

Les désinstallations de correctifs sont nommées comme les paquets de mise à niveau, mais ont Patch_Uninstaller au lieu de Patch dans le nom de fichier. Lorsque vous utilisez le correctif pour un périphérique, la désinstallation de ce correctif est automatiquement créée dans le répertoire de mise à niveau. Si le programme de désinstallation n’est pas présent, communiquez avec Centre d’assistance technique Cisco (TAC).

Étape 5

Exécutez la commande de désinstallation et saisissez votre mot de passe lorsque vous y êtes invité.

sudo install_update.pl --detach /var/sf/updates/uninstaller_name

Mise en garde

 

Le système ne vous demande pas de confirmer. La saisie de cette commande démarre la désinstallation, qui comprend un redémarrage du périphérique. Les interruptions du flux de trafic et de l’inspection au cours d’une désinstallation sont identiques aux interruptions qui se produisent lors d’une mise à niveau. Assurez-vous d’être prêt. Remarque : l’utilisation de l’option --detach garantit que le processus de désinstallation n’est pas interrompu si votre session SSH expire, ce qui peut laisser le périphérique dans un état instable.

Étape 6

Surveillez la désinstallation jusqu’à ce que vous soyez déconnecté.

Pour une désinstallation dissociée, utilisez tail ou tailf pour afficher les journaux :

  • FTD : tail /ngfw/var/log/sf/update.status

  • ASA FirePOWER et NGIPSv : tail /var/log/sf/update.status

Sinon, surveillez la progression dans la console ou le terminal.

Étape 7

Vérifiez la réussite de la désinstallation.

Une fois la désinstallation terminée, vérifiez que les périphériques disposent de la bonne version du logiciel. Dans le FMC, sélectionnez Devices (Périphériques) > Device Management (Gestion des périphériques).

Étape 8

Dans les déploiements à haute disponibilité/évolutivité, répétez les étapes 2 à 6 pour chaque unité.

Pour les grappes, ne désinstallez jamais de l’unité de contrôle. Après avoir désinstallé de toutes les unités de données, faites de l’une d’elles le nouveau contrôle, puis désinstallez de l’ancien contrôle.

Étape 9

Redéployez les configurations.

Exception : Ne déployez pas sur des paires à haute accessibilité de version mixte ou des grappes de périphériques. Déployez avant de désinstaller le correctif du premier périphérique, mais pas à nouveau avant d’avoir désinstallé le correctif de tous les membres du groupe.

Prochaine étape

  • Pour la haute disponibilité, rétablissez la haute disponibilité.

  • Pour les grappes, si vous avez défini des rôles privilégiés pour des périphériques précis, modifiez-les maintenant.

Désinstaller les correctifs FMC autonomes

Nous vous recommandons d’utiliser l’interface Web pour désinstaller les correctifs FMC. Si vous ne pouvez pas utiliser l’interface Web , vous pouvez utiliser l’interface Shell Linux comme utilisateur administrateur de l’interface Shell ou en tant qu’utilisateur externe avec accès à l’interface Shell. Si vous avez désactivé l’accès à l’interface Shell, communiquez avec Centre d’assistance technique Cisco (TAC) pour annuler le verrouillage.


Mise en garde

Évitez d’apporter ou de déployer des modifications à la configuration durant la désinstallation. Même si le système semble inactif, ne redémarrez pas, n’éteignez pas ou ne redémarrez pas manuellement une désinstallation en cours. Vous risquez de mettre le système dans un état inutilisable et de nécessiter une nouvelle image. Si vous rencontrez des problèmes avec la désinstallation, comme son échec, ou si un appareil ne répond pas, communiquez avec Centre d’assistance technique Cisco (TAC).

Avant de commencer

  • Si la désinstallation place le FMC à un niveau de correctif inférieur à celui de ses périphériques gérés, désinstallez d’abord les correctifs de ces périphériques.

  • Vérifiez que votre déploiement est intègre et communique correctement.

Procédure

Étape 1

Déployez vers les périphériques gérés dont les configurations ne sont pas à jour.

Si vous procédez au déploiement avant la désinstallation, vous réduisez les risques d’échec.

Étape 2

Sous Available Updates (Mises à jour disponibles), cliquez sur l’icône Install (installer) à côté du paquet de mise à niveau, puis choisissez le FMC.

Les désinstallations de correctifs sont nommées comme les paquets de mise à niveau, mais ont Patch_Uninstaller au lieu de Patch dans le nom de fichier. Lorsque vous appliquez un correctif au FMC, la désinstallation de ce correctif est automatiquement créée dans le répertoire de mise à niveau. Si le programme de désinstallation n’est pas présent, communiquez avec Centre d’assistance technique Cisco (TAC).

Étape 3

Cliquez sur Install (installer), puis confirmez que vous souhaitez désinstaller et redémarrer.

Vous pouvez surveiller la progression de la désinstallation dans le centre de messages jusqu’à ce que vous soyez déconnecté.

Étape 4

Reconnectez-vous quand vous le pouvez et vérifiez que la désinstallation a réussi.

Si le système ne vous informe pas de la réussite de la désinstallation lorsque vous vous connectez, choisissez Help (Aide) > About (À propos) pour afficher les informations sur la version actuelle du logiciel.

Étape 5

Déployez de nouveau les configurations sur tous les appareils gérés.

Désinstaller les correctifs de haute disponibilité FMC

Privilégiez l’interface Web pour désinstaller les correctifs FMC. Si vous ne pouvez pas utiliser l’interface Web , vous pouvez utiliser l’interface Shell Linux comme utilisateur administrateur de l’interface Shell ou en tant qu’utilisateur externe avec accès à l’interface Shell. Si vous avez désactivé l’accès à l’interface Shell, communiquez avec Centre d’assistance technique Cisco (TAC) pour annuler le verrouillage.

Désinstallez des pairs de haute disponibilité un à la fois. Une fois que la synchronisation est interrompue, désinstallez d’abord sur l’unité de secours, puis l’unité active. Lorsque le périphérique de secours commence la désinstallation, son état passe de « de secours » à « actif », de sorte que les deux homologues sont actifs. Cet état temporaire s’appelle split-brain (déconnexion cérébrale) et n’est pas pris en charge, sauf pendant une mise à niveau ou une désinstallation.


Mise en garde

Ne pas effectuer ou déployer de changements de configuration lorsque la paire est en état split-brain (déconnexion cérébrale) Vos modifications seront perdues après le redémarrage de la synchronisation. Le déploiement de pourrait placer le système dans un état inutilisable et nécessiter une recréation d’image. Évitez d’apporter ou de déployer des modifications à la configuration durant la désinstallation. Même si le système semble inactif, ne redémarrez pas, n’éteignez pas ou ne redémarrez pas manuellement une désinstallation en cours. Vous risquez de mettre le système dans un état inutilisable et de nécessiter une nouvelle image. Si vous rencontrez des problèmes avec la désinstallation, comme son échec, ou si un appareil ne répond pas, communiquez avec Centre d’assistance technique Cisco (TAC).

Avant de commencer

  • Si la désinstallation place les FMC à un niveau de correctif inférieur à celui de leurs périphériques gérés, désinstallez d’abord les correctifs sur les périphériques.

  • Vérifiez que votre déploiement est intègre et communique correctement.

Procédure

Étape 1

Sur le FMC actif, déployez vers les périphériques gérés dont la configuration n’est pas à jour.

Si vous procédez au déploiement avant la désinstallation, vous réduisez les risques d’échec.

Étape 2

Sur le FMC actif, suspendez la synchronisation.

  1. Choisissez System (Système) system gear icon (icône d’engrenage système) > Integration (Intégration).

  2. Sous l’onglet High Availability, cliquez sur Suspendre la synchronisation.

Étape 3

Désinstallez le correctif sur les homologues un à la fois : d’abord l’homologue de secours, puis l’homologue actif.

Suivez les instructions dans Désinstaller les correctifs FMC autonomes, mais omettez le déploiement initial et arrêtez-vous après avoir vérifié, pour chaque homologue, la réussite de la désinstallation. En résumé, pour chaque homologue :

  1. Dans la page System (Système) > Updates (Mises à jour), désinstallez le correctif.

  2. Surveillez la progression jusqu’à ce que vous soyez déconnecté, puis reconnectez-vous lorsque vous le pouvez.

  3. Vérifiez la réussite de la désinstallation.

Étape 4

Sur le FMC que vous souhaitez définir comme homologue actif, redémarrez la synchronisation.

  1. Choisissez System (Système) system gear icon (icône d’engrenage système) > Integration (Intégration).

  2. Sous l’onglet High Availability (haute disponibilité), cliquez sur Make-Me-Active (Rendez-moi actif).

  3. Attendez que la synchronisation redémarre et que l’autre FMC passe en mode veille.

Étape 5

Déployez de nouveau les configurations sur tous les appareils gérés.