Introduzione
In questo documento viene descritto come aggiornare un ambiente di Firewall Management Center (FMC) in alta disponibilità (HA).
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Concetti sull'alta disponibilità
- Configurazione FMC
Componenti usati
Le informazioni fornite in questo documento si basano su:
- Virtual Firewall Management Center (FMC), versione 7.1.0
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Panoramica
L'aggiornamento deve essere un peer alla volta. Sospendere innanzitutto la sincronizzazione tra i peer.
Quindi, l'aggiornamento deve essere eseguito prima in modalità standby, seguito dal CCP attivo.
Avviso: mentre il peer in standby sta lavorando ai controlli preliminari/all'installazione, entrambi i peer passano ad attivo; questo processo è detto split-brain. È totalmente previsto durante l'aggiornamento. Durante questo periodo, non è necessario apportare o distribuire alcuna modifica alla configurazione. Se si apportano modifiche alla configurazione, è possibile che queste vadano perse dopo il riavvio della sincronizzazione.
Pre-aggiornamento
- Pianificare il percorso di aggiornamento.
Nelle distribuzioni di FMC, in genere si aggiorna il FMC e quindi i relativi dispositivi gestiti.
Individuare sempre l'aggiornamento appena eseguito e quello successivo.
- Leggere tutte le linee guida per l'aggiornamento e pianificare le modifiche alla configurazione.
- Controllare la larghezza di banda.
Verificare che la rete di gestione disponga della larghezza di banda necessaria per eseguire trasferimenti di dati di grandi dimensioni.
- Pianificare le finestre di manutenzione.
- Eseguire il backup della configurazione prima e dopo l'aggiornamento.
Sistema > Backup/Ripristino > Firepower Management backup
Scaricare il backup nel computer locale.
- Aggiornare l'hosting virtuale. Questa operazione è necessaria quando si esegue una versione precedente di VMware.
- Verifica configurazioni
- Controlla sincronizzazione NTP
- FMC: scegliere Sistema > Configurazione > Tempo.
- Devices: usare il comando show time CLI.
- Controllare lo spazio su disco.
- Distribuire le configurazioni. Nelle distribuzioni ad alta disponibilità di FMC, è necessario eseguire la distribuzione solo dal peer attivo.
- Controllare le attività in esecuzione. Verificare che non vi siano distribuzioni in sospeso.
Procedura di aggiornamento
Passaggio 1. Sospendi sincronizzazione
Passare alla scheda Alta disponibilità nel CCP del peer attivo
- Sistema > Integrazione > Alta disponibilità
- Selezionare Sospendi sincronizzazione
- Attendere che la sincronizzazione venga sospesa. Al termine, lo stato deve essere Sospeso dall'utente.
Lo stato della sincronizzazione deve essere Sospeso per utente
Passaggio 2. Carica il pacchetto di aggiornamento
Accedere all'unità di standby e caricare il pacchetto di aggiornamento
- Sistema > Aggiornamenti > Carica aggiornamento
- Sfogliare il pacchetto scaricato in precedenza della versione da aggiornare.
Passaggio 3. Verifica preparazione
Eseguire un controllo di idoneità sull'accessorio da aggiornare.
- Fare clic sull'icona di installazione accanto al pacchetto di aggiornamento appropriato.
- Selezionare l'accessorio da controllare e fare clic su Verifica preparazione
L'avanzamento può essere controllato nel centro messaggi
Messaggi > Task > Esecuzione
Una volta completato, è possibile visualizzare lo stato in Risultati controllo preparazione.
Se l'operazione ha esito positivo, è possibile continuare con l'installazione del pacchetto.
Passaggio 4. Installa il pacchetto di aggiornamento
- Selezionare l'accessorio da aggiornare. Fare clic su Install (Installa)
- Avvertenza per il cervello diviso, fare clic su OK
L'avanzamento può essere archiviato Messaggi > Attività
Nota: il completamento dell'installazione richiede circa 30 minuti.
Se si dispone dell'accesso CLI, è possibile verificare lo stato in cartella di aggiornamento /var/log/sf; passare alla modalità Expert e accedere alla directory principale
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/Volume/home/admin# cd /var/log/sf/
root@firepower:/var/log/sf# ls
Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4
root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# ls
000_start AQ_UUID DBCheck.log exception.log flags.conf main_upgrade_script.log status.log status.log.202307180405 upgrade_readiness upgrade_status.json upgrade_status.log upgrade_version_build
root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# tail -f status.log
Al termine dell'aggiornamento, il FMC si riavvia
ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
ui:[100%] [1 mins to go for reboot] Upgrade complete
ui:[100%] [1 mins to go for reboot] The system will now reboot.
ui:System will now reboot.
Broadcast message from root@firepower (Tue Jul 18 05:08:57 2023):
System will reboot in 5 seconds due to system upgrade.
Broadcast message from root@firepower (Tue Jul 18 05:09:02 2023):
System will reboot now due to system upgrade.
ui:[100%] [1 mins to go for reboot] Installation completed successfully.
ui:Upgrade has completed.
state:finished
Broadcast message from root@firepower (Tue Jul 18 05:09:25 2023):
The system is going down for reboot NOW!
Dopo il riavvio, l'FMC fisico deve visualizzare il modello corretto in GUI > Guida > Informazioni su FMC.
CLI, dopo aver accettato il contratto di licenza
Copyright 2004-2023, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Firepower Extensible Operating System (FX-OS) v2.12.0 (build 499)
Cisco Secure Firewall Management Center for VMware v7.2.4 (build 169)
>
> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.2.4 (Build 169)
UUID : 1c71ae24-1e60-11ed-8459-9758e19f1a24
Rules update version : 2023-01-09-001-vrt
LSP version : lsp-rel-20220511-1540
VDB version : 353
----------------------------------------------------
Riepilogo HA quando viene aggiornato solo il FMC in standby
Passaggio 5. Aggiorna peer attivo.
Ripetere i punti da 2 a 4 nell'accessorio attivo.
Passaggio 6. Attivare il CCP dei desideri
- Accedere al CCP che si desidera impostare come peer attivo.
Integrazione > Alta disponibilità > Opzione Rendi attivo
- Avvisi sui processi e sovrascrittura di eventuali configurazioni eseguite nel peer in standby, selezionare SÌ per continuare.
- Attendere il riavvio della sincronizzazione e l'altro FMC passa alla modalità standby.
Nota: l'operazione può richiedere fino a 20 minuti.
Dopo che entrambi i CCP sono nella stessa versione e la sincronizzazione è stata completata, la scheda Riepilogo disponibilità elevata deve avere il seguente aspetto:
Avviso: se lo stato di sincronizzazione finale indica danneggiato o un risultato diverso da OK, contattare TAC
Distribuire le modifiche in sospeso da FMC.