Aggiorna FMC in alta disponibilità

Aggiornato:20 luglio 2023
ID documento:220602

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come aggiornare un ambiente di Firewall Management Center (FMC) in alta disponibilità (HA).

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Concetti sull'alta disponibilità
    • Configurazione FMC

    Componenti usati

    Le informazioni fornite in questo documento si basano su:

    • Virtual Firewall Management Center (FMC), versione 7.1.0

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Panoramica

    L'aggiornamento deve essere un peer alla volta. Sospendere innanzitutto la sincronizzazione tra i peer.

    Quindi, l'aggiornamento deve essere eseguito prima in modalità standby, seguito dal CCP attivo.

    warning-icon

    Avviso: mentre il peer in standby sta lavorando ai controlli preliminari/all'installazione, entrambi i peer passano ad attivo; questo processo è detto split-brain. È totalmente previsto durante l'aggiornamento. Durante questo periodo, non è necessario apportare o distribuire alcuna modifica alla configurazione. Se si apportano modifiche alla configurazione, è possibile che queste vadano perse dopo il riavvio della sincronizzazione.

    Pre-aggiornamento

    1. Pianificare il percorso di aggiornamento.

        Nelle distribuzioni di FMC, in genere si aggiorna il FMC e quindi i relativi dispositivi gestiti.

        Individuare sempre l'aggiornamento appena eseguito e quello successivo.

    1. Leggere tutte le linee guida per l'aggiornamento e pianificare le modifiche alla configurazione.
    2. Controllare la larghezza di banda.

        Verificare che la rete di gestione disponga della larghezza di banda necessaria per eseguire trasferimenti di dati di grandi dimensioni.

    1. Pianificare le finestre di manutenzione.
    2. Eseguire il backup della configurazione prima e dopo l'aggiornamento.

       Sistema > Backup/Ripristino > Firepower Management backup

       Scaricare il backup nel computer locale.

    1. Aggiornare l'hosting virtuale. Questa operazione è necessaria quando si esegue una versione precedente di VMware.
    2. Verifica configurazioni
    3. Controlla sincronizzazione NTP
    • FMC: scegliere Sistema > Configurazione > Tempo.
    • Devices: usare il comando show time CLI.
    1. Controllare lo spazio su disco.
    2. Distribuire le configurazioni. Nelle distribuzioni ad alta disponibilità di FMC, è necessario eseguire la distribuzione solo dal peer attivo.
    3. Controllare le attività in esecuzione. Verificare che non vi siano distribuzioni in sospeso.

    Procedura di aggiornamento

    Passaggio 1. Sospendi sincronizzazione

    Passare alla scheda Alta disponibilità nel CCP del peer attivo

    • Sistema > Integrazione > Alta disponibilità

    Upgrade dialog GUI

    Upgrade dialog GUI

    • Selezionare Sospendi sincronizzazione

    Upgrade dialog GUI

    • Attendere che la sincronizzazione venga sospesa. Al termine, lo stato deve essere Sospeso dall'utente.
      Synchronization status should be Paused per userLo stato della sincronizzazione deve essere Sospeso per utente

    Passaggio 2. Carica il pacchetto di aggiornamento

    Accedere all'unità di standby e caricare il pacchetto di aggiornamento

    • Sistema > Aggiornamenti > Carica aggiornamento

    Upgrade dialog GUI

    • Sfogliare il pacchetto scaricato in precedenza della versione da aggiornare.

    Upgrade dialog GUI

    Passaggio 3. Verifica preparazione

    Eseguire un controllo di idoneità sull'accessorio da aggiornare.

    • Fare clic sull'icona di installazione accanto al pacchetto di aggiornamento appropriato.

    Upgrade dialog GUI

    • Selezionare l'accessorio da controllare e fare clic su Verifica preparazione

    Upgrade dialog GUI

    L'avanzamento può essere controllato nel centro messaggi

    Messaggi > Task > Esecuzione

    Upgrade dialog GUI

    Una volta completato, è possibile visualizzare lo stato in Risultati controllo preparazione.

    Se l'operazione ha esito positivo, è possibile continuare con l'installazione del pacchetto.

    Passaggio 4. Installa il pacchetto di aggiornamento

    • Selezionare l'accessorio da aggiornare. Fare clic su Install (Installa)

    Upgrade dialog GUI

    • Avvertenza per il cervello diviso, fare clic su OK

    Upgrade dialog GUI

    L'avanzamento può essere archiviato Messaggi > Attività

    Upgrade dialog GUI

    note-icon

    Nota: il completamento dell'installazione richiede circa 30 minuti.

    Se si dispone dell'accesso CLI, è possibile verificare lo stato in cartella di aggiornamento /var/log/sf; passare alla modalità Expert e accedere alla directory principale

    > expert
    admin@firepower:~$ sudo su
    Password: 
    root@firepower:/Volume/home/admin# cd /var/log/sf/

    root@firepower:/var/log/sf# ls
    Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4 

root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# ls
000_start  AQ_UUID  DBCheck.log  exception.log  flags.conf  main_upgrade_script.log  status.log  status.log.202307180405  upgrade_readiness  upgrade_status.json  upgrade_status.log  upgrade_version_build

root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# tail -f status.log 

    Al termine dell'aggiornamento, il FMC si riavvia

    ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
    ui:[100%] [1 mins to go for reboot] Upgrade complete
    ui:[100%] [1 mins to go for reboot] The system will now reboot.
    ui:System will now reboot.

    Broadcast message from root@firepower (Tue Jul 18 05:08:57 2023):

    System will reboot in 5 seconds due to system upgrade.

    Broadcast message from root@firepower (Tue Jul 18 05:09:02 2023):

    System will reboot now due to system upgrade.

    ui:[100%] [1 mins to go for reboot] Installation completed successfully.
    ui:Upgrade has completed.
    state:finished

    Broadcast message from root@firepower (Tue Jul 18 05:09:25 2023):

    The system is going down for reboot NOW!

    Dopo il riavvio, l'FMC fisico deve visualizzare il modello corretto in GUI > Guida > Informazioni su FMC.

    Upgrade dialog GUI

    CLI, dopo aver accettato il contratto di licenza

    Copyright 2004-2023, Cisco and/or its affiliates. All rights reserved.
    Cisco is a registered trademark of Cisco Systems, Inc.
    All other trademarks are property of their respective owners.

    Cisco Firepower Extensible Operating System (FX-OS) v2.12.0 (build 499)
    Cisco Secure Firewall Management Center for VMware v7.2.4 (build 169)

    >
    > show version
    -------------------[ firepower ]--------------------
    Model                     : Secure Firewall Management Center for VMware (66) Version 7.2.4 (Build 169)
    UUID                      : 1c71ae24-1e60-11ed-8459-9758e19f1a24
    Rules update version      : 2023-01-09-001-vrt
    LSP version               : lsp-rel-20220511-1540
    VDB version               : 353
    ----------------------------------------------------

    HA Summary when only Standby FMC is upgratedRiepilogo HA quando viene aggiornato solo il FMC in standby

    Passaggio 5. Aggiorna peer attivo.

    Ripetere i punti da 2 a 4 nell'accessorio attivo.

    Passaggio 6. Attivare il CCP dei desideri

    • Accedere al CCP che si desidera impostare come peer attivo.

    Integrazione > Alta disponibilità > Opzione Rendi attivo

    Upgrade dialog GUI

    • Avvisi sui processi e sovrascrittura di eventuali configurazioni eseguite nel peer in standby, selezionare per continuare.

    Upgrade dialog GUI

    Upgrade dialog GUI

    Upgrade dialog GUI

    • Attendere il riavvio della sincronizzazione e l'altro FMC passa alla modalità standby.

    Upgrade dialog GUI

    note-icon

    Nota: l'operazione può richiedere fino a 20 minuti.

    Dopo che entrambi i CCP sono nella stessa versione e la sincronizzazione è stata completata, la scheda Riepilogo disponibilità elevata deve avere il seguente aspetto:

    Upgrade dialog GUI

    warning-icon

    Avviso: se lo stato di sincronizzazione finale indica danneggiato o un risultato diverso da OK, contattare TAC

    Distribuire le modifiche in sospeso da FMC.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    21-Jul-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Marlene Preciado
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti