Introduzione
In questo documento viene descritto come aggiornare un ambiente di Centro gestione firewall sicuro (FMC) in alta disponibilità (HA).
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Concetti sull'alta disponibilità
- Configurazione FMC sicura
Componenti usati
Le informazioni fornite in questo documento si basano sul centro di gestione Secure Firewall virtuale, versione 7.4.2.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
L'aggiornamento deve essere un peer alla volta.
Sospendere innanzitutto la sincronizzazione tra i peer.
Quindi, l'aggiornamento deve essere eseguito prima in modalità Standby, seguito dal FMC attivo.
Avviso: Mentre il peer in standby lavora ai controlli preliminari / all'installazione, entrambi i peer passano ad attivo; questo si chiama split-brain.
È totalmente previsto durante l'aggiornamento. Durante questo periodo, non è necessario apportare o distribuire alcuna modifica alla configurazione.
Se si apportano modifiche alla configurazione, è possibile che queste vadano perse dopo il riavvio della sincronizzazione.
Pre-aggiornamento
- Pianificare il percorso di aggiornamento. Nelle distribuzioni di FMC, in genere si aggiorna il FMC e quindi i relativi dispositivi gestiti. Individuare sempre l'aggiornamento appena eseguito e quello successivo.
- Leggere tutte le linee guida per l'aggiornamento e pianificare le modifiche alla configurazione.
- Controllare la larghezza di banda. Verificare che la rete di gestione disponga della larghezza di banda necessaria per eseguire trasferimenti di dati di grandi dimensioni.
- Pianificare le finestre di manutenzione.
- Eseguire il backup della configurazione prima e dopo l'aggiornamento. Sistema > Strumenti - Backup/Ripristino > Firepower Management backup. Scaricare il backup nel computer locale.
- Aggiornare l'hosting virtuale. Questa operazione è necessaria quando si esegue una versione precedente di VMware.
- Controllare le configurazioni.
- Controllare la sincronizzazione NTP.
CCP: Scegliete Sistema > Configurazione > Tempo.
Dispositivi: Usare il comando show time CLI.
- Controllare lo spazio su disco.
- Distribuire le configurazioni. Nelle distribuzioni ad alta disponibilità di FMC, è necessario eseguire la distribuzione solo dal peer attivo.
- Controllare le attività in esecuzione. Verificare che non vi siano distribuzioni in sospeso.
Procedura di aggiornamento
Passaggio 1. Sospendere la sincronizzazione
Sospendere la sincronizzazione di alta disponibilità tra peer sull'unità primaria (attiva).
Integrazione > Altre integrazioni:
Sospendi sincronizzazione. Selezionare Integrazione, Altra integrazione, Alta disponibilità
Selezionare la scheda Alta disponibilità:
Sezione Alta disponibilità FMC
Selezionare Sospendi sincronizzazione:
Seleziona Sospendi sincronizzazione
Attendere la sospensione della sincronizzazione. Al termine, lo stato deve essere sospeso dall'utente.
Avviso per sincronizzazione danneggiata. Sospeso dall'utente
Passaggio 2. Caricare il pacchetto di aggiornamento
Accedere all'unità secondaria (Standby) e verificare che la sincronizzazione sia sospesa.
Integrazione > Altre integrazioni > Alta disponibilità:
Su unità di standby. Sincronizzazione sospesa dall'utente
Dopo la conferma, continuare a caricare il pacchetto di aggiornamento.
Sistema > Aggiornamento prodotto:
Aggiornamenti del sistema e dei prodotti
Seleziona pacchetto di aggiornamento
Sfogliare il pacchetto scaricato in precedenza della versione da aggiornare.
Sfoglia pacchetto di aggiornamento, selezionare Carica
Passaggio 3. Verifica della fattibilità
Nell'elenco Pacchetti di aggiornamento disponibili selezionare la versione desiderata. Procedere con l'opzione Upgrade:
Pacchetti di aggiornamento disponibili. Continua l'aggiornamento
Selezionare Successivo al termine della convalida dei pre-controlli:
Verifica preliminare convalida
Fare clic su Esegui verifica preparazione per avviare il processo sull'accessorio da aggiornare:
Esegui controlli preparazione
Una volta completato, è possibile visualizzare lo stato in Risultati controllo preparazione.
Se l'operazione ha esito positivo, è possibile selezionare Avanti:
Verifica preparazione superata. Selezionare Avanti
Passaggio 4. Aggiornare FMC
Selezionare Aggiorna per avviare il processo di aggiornamento:
Avvia aggiornamento
L'avanzamento dell'aggiornamento può essere visualizzato sul sito FMC:
Stato aggiornamento
L'interfaccia utente grafica può essere disconnessa, accedere di nuovo e viene visualizzato lo stato dell'aggiornamento:
Stato aggiornamento nella GUI
Nota: L'installazione richiede circa 30 minuti.
Se si dispone dell'accesso CLI, è possibile verificare lo stato nella cartella di aggiornamento /var/log/sf; passare alla modalità Expert e accedere alla directory principale di accesso.
> expert
admin@firepower:~$ sudo su
Password:
root@firepower:/Volume/home/admin# cd /var/log/sf/
root@firepower:/var/log/sf# ls
Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2
root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2# ls
000_start AQ_UUID DBCheck.log exception.log flags.conf main_upgrade_script.log status.log status.log.202307180405 upgrade_readiness upgrade_status.json upgrade_status.log upgrade_version_build
root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2# tail -f status.log
Al termine dell'aggiornamento, il FMC viene riavviato.
ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
ui:[100%] [1 mins to go for reboot] Upgrade complete
ui:[100%] [1 mins to go for reboot] The system will now reboot.
ui:System will now reboot.
Broadcast message from root@firepower (Fri Oct 10 20:23:08 2025):
System will reboot in 5 seconds due to system upgrade.
Broadcast message from root@firepower (Fri Oct 10 20:23:13 2025):
System will reboot now due to system upgrade.
ui:[100%] [1 mins to go for reboot] Installation completed successfully.
ui:Upgrade has completed.
state:finished
Broadcast message from root@firepower (Fri Oct 10 20:23:25 2025):
The system is going down for reboot NOW!
Dopo il riavvio, accedere nuovamente all'interfaccia utente di FMC e accettare l'accordo per gli utenti:
Accettare il Contratto utente
La nuova versione può essere confermata sul CCP.
Guida > Informazioni su:
Conferma nuova versione
Nella CLI, la versione può essere controllata dopo aver accettato il contratto utente.
Copyright 2004-2025, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Firepower Extensible Operating System (FX-OS) v2.16.0 (build 4006)
Cisco Secure Firewall Management Center for VMware v7.6.2 (build 329)
>
> show version
-------------------[ firepower ]--------------------
Model : Secure Firewall Management Center for VMware (66) Version 7.6.2 (build 329)
UUID : 1c71ae24-1e60-11ed-8459-9758e19f1a24
Rules update version : 2022-01-06-001-vrt
LSP version : lsp-rel-20240417-2110
VDB version : 392
----------------------------------------------------
FMC High Availability dopo l'aggiornamento passa a Split Brain, il peer locale (secondario) è ora un aggiornamento completato.
Integrazione > Altra integrazione > Alta disponibilità:
Dividere il cervello in alta disponibilità
Passaggio 5. Aggiornare il peer primario (attivo)
Accedere all'unità primaria e verificare che il peer locale sia quello con la versione meno recente.
Integrazione > Altra integrazione > Alta disponibilità:
Conferma versione peer locale
Ripetere i passaggi da due a quattro in questo peer:
- Caricare il pacchetto di aggiornamento.
-
Verifica della fattibilità.
-
Aggiorna dispositivo.
Passaggio 6. Attivare il CCP desiderato
Al termine dell'aggiornamento su entrambi i CCP, lAccedere al CCP che si desidera impostare come unità attiva e selezionare l'opzione Rendi attiva l'unità.
Integrazione > Alta disponibilità > Rendi attivo:
Selezionare l'unità desiderata come attiva
Avvisi sui processi e sovrascrittura di eventuali configurazioni eseguite nel peer in standby, selezionare SÌ per continuare.
Avviso relativo alla sovrascrittura attiva della configurazione sul peer in standby
Selezionare OK
Risoluzione di [PROD143]e del cervello
Attendere il completamento della sincronizzazione. Il peer remoto deve essere visualizzato come Standby.
Alta disponibilità temporaneamente danneggiata
Nota: La sincronizzazione può richiedere fino a 20 minuti.
Distribuire le modifiche in sospeso nell'unità attiva del CCP per completare il processo di aggiornamento.
Convalida
Dopo che entrambi i CCP sono nella stessa versione e la sincronizzazione è stata completata, la scheda Riepilogo disponibilità elevata deve avere questo aspetto.
Integrazione > Altra integrazione > Alta disponibilità:
Sincronizzazione completata
Avviso: Se lo stato finale della sincronizzazione indica una situazione degradata o un risultato diverso da OK, contattare TAC.