Liste de contrôle des mises à niveau pour Défense contre les menaces
Planification et faisabilité
Une planification et une préparation rigoureuses peuvent vous aider à éviter les erreurs.
✓ |
Action/Vérification |
Détails |
---|---|---|
Évaluez votre déploiement. |
Comprendre où vous êtes détermine comment vous atteindrez votre objectif. En plus des informations sur la version et le modèle actuels, déterminez si votre déploiement est configuré pour une haute disponibilité |
|
Planifiez votre chemin de mise à niveau. |
Cela est particulièrement important pour les déploiements à haute disponibilité, les mises à niveau multisauts et les situations où vous devez mettre à niveau des systèmes d’exploitation ou des environnements d’hébergement. Les mises à niveau peuvent être majeures (A.x), de maintenance (A.x.y) ou de correctifs (A.x.y.z). Voir : |
|
Lisez les directives de mise à niveau et prévoyez les modifications de configuration. |
Surtout avec les mises à niveau majeures, la mise à niveau peut entraîner ou nécessiter des modifications de configuration importantes avant ou après la mise à niveau. Commencez par celles-ci :
|
|
Vérifiez l’accès à l’appareil. |
Les périphériques peuvent arrêter de transmettre le trafic pendant la mise à niveau ou en cas d’échec de celle-ci. Avant d’effectuer la mise à niveau, assurez-vous que le trafic en provenance de votre emplacement n’a pas à traverser le périphérique lui-même pour accéder à l’interface de gestion du périphérique . |
|
Vérifiez la bande passante. |
Assurez-vous que votre réseau de gestion dispose de la bande passante nécessaire pour effectuer des transferts de données volumineux. Chaque fois que cela est possible, chargez les paquets de mise à niveau à l’avance. Si vous transférez un ensemble de mise à niveau vers un périphérique au moment de la mise à niveau, une bande passante insuffisante peut prolonger le délai de mise à niveau. Consultez les Directives relatives au téléchargement de données du centre de gestion Cisco Firepower Management Center vers des périphériques gérés (Note technique de dépannage). |
|
Planifiez des périodes de maintenance. |
Planifiez les périodes de maintenance lorsqu’elles auront le moins d’impact, en tenant compte de tout effet sur le flux de trafic et l’inspection, et le temps que les mises à niveau sont susceptibles de prendre. Tenez compte des tâches que vous devez effectuer dans la fenêtre et de celles que vous pouvez effectuer à l’avance. Voir : |
Sauvegardes
À l’exception des correctifs rapides, la mise à niveau supprime toutes les sauvegardes stockées sur le système. Nous vous recommandons fortement de procéder à une sauvegarde dans un emplacement distant sécurisé et de vérifier la réussite du transfert, avant et après la mise à niveau :
-
Avant la mise à niveau : si une mise à niveau échoue de manière catastrophique, vous devrez peut-être effectuer une réinitialisation et une restauration. La recréation d’image rétablit la plupart des paramètres aux valeurs par défaut, y compris le mot de passe système. Si vous avez une sauvegarde récente, vous pouvez revenir aux opérations normales plus rapidement.
-
Après la mise à niveau : cela crée un instantané de votre déploiement nouvellement mis à niveau.
✓ |
Action/Vérification |
Détails |
---|---|---|
Sauvegardez défense contre les menaces . |
Pour sauvegarder les configurations de défense contre les menaces , consultez le chapitre Gestion du système dans le Guide Cisco Secure Firewall Device Manager Configuration . Si vous avez un Firepower 9300 avec défense contre les menaces et des périphériques logiques ASA s’exécutant sur des modules distincts, utilisez ASDM ou l’interface de ligne de commande d’ASA pour sauvegarder les configurations et les autres fichiers critiques, en particulier s’il y a une migration de la configuration de l’ASA. Consultez le chapitre Logiciels et configurations du Guide de configuration des opérations générales de la gamme Cisco ASA. |
|
Sauvegardez FXOS sur le Firepower 4100/9300. |
Utilisez le gestionnaire de châssis ou l’interface de ligne de commande de FXOS pour exporter les configurations des châssis, y compris les paramètres de configuration des périphériques logiques et de la plateforme. Consultez le chapitre Importation et exportation de la configuration du Guide de configuration de Cisco Firepower 4100/9300 FXOS. |
Progiciels de mise à niveau
Le chargement des paquets de mise à niveau vers le système avant de commencer la mise à niveau peut réduire la durée de votre fenêtre de maintenance.
✓ |
Action/Vérification |
Détails |
---|---|---|
Téléchargez le paquet de mise à niveau à partir de Cisco et chargez-le sur le périphérique. |
Les paquets de mise à niveau sont disponibles sur le Site d’assistance et de téléchargement Cisco : Paquets de mise à niveau pour Défense contre les menaces. Pour la haute disponibilité de défense contre les menaces , vous devez charger le paquet de mise à niveau sur les deux unités. |
Mises à niveau associées
Étant donné que les mises à niveau de systèmes d’exploitation et d’environnements d’hébergement peuvent avoir une incidence sur le flux de trafic et l’inspection, effectuez-les pendant une période de maintenance.
✓ |
Action/Vérification |
Détails |
---|---|---|
Mettez à niveau l’hébergement virtuel. |
Si nécessaire, mettez à niveau l’environnement d’hébergement. Si cela est nécessaire, c’est généralement parce que vous utilisez une ancienne version de VMware et effectuez une mise à niveau majeure. |
|
Mettez à niveau le micrologiciel sur le Firepower 4100/9300. |
Nous vous recommandons d’utiliser le micrologiciel le plus récent. Consultez la section CGuide de mise à niveau du micrologiciel Cisco Firepower 4100/9300 FXOS. |
|
Mettez à niveau FXOS sur le Firepower 4100/9300. |
La mise à niveau de FXOS est généralement requise pour les mises à niveau majeures, mais très rare pour les versions de maintenance et les correctifs. Pour minimiser les perturbations, mettez à niveau FXOS dans les paires à haute accessibilité défense contre les menaces et les grappes inter-châssis, . Consultez Mettre à niveau le châssis sur le Firepower 4100/9300. |
Contrôle final
Un ensemble de vérifications finales garantit que vous êtes prêt à mettre à niveau le logiciel.
✓ |
Action/Vérification |
Détails |
---|---|---|
Vérifiez les configurations. |
Assurez-vous d’avoir apporté les modifications de configuration requises avant la mise à niveau et d’être prêt à apporter les modifications de configuration requises après la mise à niveau. |
|
Vérifiez la synchronisation NTP. |
Assurez-vous que tous les périphériques sont synchronisés avec le serveur NTP que vous utilisez pour donner l’heure. La désynchronisation peut entraîner l’échec de la mise à niveau. Pour vérifier l’heure, utilisez la commande show time de l’interface de ligne de commande. |
|
Déployez des configurations. |
Si vous procédez au déploiement des configurations avant la mise à niveau, vous réduisez les risques d’échec. Le déploiement peut affecter le flux de trafic et l’inspection; voir Flux de trafic et inspection pour les mises à niveau de Défense contre les menaces. |
|
Exécutez la vérification de l’état de préparation. |
La réussite des vérifications de l’état de préparation réduit considérablement les risques d’échec de la mise à niveau. Consultez Vérification de l’état de préparation aux mises à niveau pour Défense contre les menaces. |
|
Vérifiez l’espace disque. |
Les vérifications de l’état de préparation comprennent une vérification de l’espace disque. Sans suffisamment d’espace disque libre, la mise à niveau échoue. Pour vérifier l’espace disque disponible sur le périphérique, utilisez la commande show disk de l’interface de ligne de commande. |
|
Vérifiez les tâches en cours. |
Assurez-vous que les tâches essentielles sont terminées avant de procéder à la mise à niveau. Les tâches en cours d’exécution au début de la mise à niveau sont arrêtées, deviennent des tâches ayant échoué et ne peuvent pas être repris. Nous vous recommandons également de vérifier les tâches programmées pour s’exécuter lors de la mise à niveau et de les annuler ou de les reporter. |