バージョン7.4.2を実行しているFMC管理対象FTD HAワークフローのアップグレード
お問い合わせ内容
対処される主な問題は、バージョン7.4.2を実行するFirepower Management Center(FMC)4700で管理されるCisco Firepower Threat Defense(FTD)デバイス(特にFPR1120)でハイアベイラビリティ(HA)アップグレードを実行するためのワークフローおよび技術要件です。 この記事では、FTD HAのアップグレード操作を成功させるための準備手順、ベストプラクティス、および考慮事項について詳しく説明します。
環境
- テクノロジー:Cisco Secure Firewall Firepower - 7.4
- サブテクノロジー:Firepower Threat Defense(FTD) – ソフトウェアの更新/セキュリティの更新/再イメージ化/移行/バックアップと復元
- 製品ファミリ:FPRLOW(FPR1120を含む)
- ハイアベイラビリティ(HA)ペアのFirepower Threat Defense(FTD)
- Firepower Management Center(FMC)4700で管理
- FMCソフトウェアバージョン:7.4.2
- 定義されたメンテナンス期間内にスケジュールされた計画アップグレード活動
解決策
FMCによって管理されるFTD HAペアのアップグレードを成功させるには、次の詳細なワークフローに従ってください。
ステップ 1:アップグレードの準備
アップグレードプロセスを開始する前に、FTD HAデバイスとFMCの両方の設定バックアップを生成して保存する必要があります。 これにより、アップグレード障害や予期しない問題が発生した場合でも、設定を復元できます。
FMCの設定をバックアップするには、FMCのUIでSystem > Tools: Backup/Restoreの順に移動し、Firewall Management Backupボタンをクリックします。
inline_image_0.png(インラインイメージ_0.png)
inline_image_1.pngファイルManaged Device Backupボタンをクリックして、FTD HAペアをバックアップします。
FTDデバイスの設定状態が保持されていることを確認するには、FMCから両方のHAピアへの最新の設定展開が完了していることを確認します。
inline_image_2.pngファイルステップ2:FTD HAペアの現在のステータスの確認
アップグレードに進む前に、HAステータスを調べて、両方のピアが正常で同期していることを確認します。 FTD CLIでは、次のコマンドを使用してデバイスのステータスを確認します。
> show failover state(フェールオーバー状態の表示)
出力例:
状態の最後の失敗理由日時
このホスト:プライマリ
アクティブなし
その他のホスト:セカンダリ
スタンバイ準備完了なし
====設定状態===
同期がスキップされました
====通信状況===
Macセットステップ3:メンテナンスウィンドウのスケジュール設定と通知
メンテナンスウィンドウが明確に定義され、すべての関係者に通知されていることを確認します。 このワークフローでは、それに応じてメンテナンスがスケジュールされました。
開始時刻: 2025年11月18日12:00:00 (UTC -3アルゼンチン/ブエノスアイレス)
終了時刻: 18/11/2025 14:00:00 (UTC -3アルゼンチン/ブエノスアイレス)
ステップ4:FTD HAアップグレードの開始
FMCからアップグレードを開始し、FTD HAペアをアップグレードする際にシスコが推奨する手順に従っていることを確認します。 アップグレードプロセスでは、通常、アップグレードはローリング方式で自動的に実行されます。
スタンバイFTDをアップグレードします。
新しくアップグレードされたFTDにフェールオーバーし、アクティブにします。
スタンバイ状態の他のFTDをアップグレードします。
FMCのGUIで、System > Product Upgradesの順に移動し、アップグレードするターゲットバージョンを選択します。
inline_image_3.png(インラインイメージ_3.png)ステップ5:アップグレードプロセスの監視
両方のユニットのアップグレードの進捗状況を詳細に監視します。 ステータスの更新には、FMCのGUIのジョブモニタリングセクションまたはCLIを使用します。 CLIでアップグレードの進行状況を確認するには、次の手順を実行します。
> show upgrade status(アップグレードステータスの表示)
出力例:
スタンバイユニットでアップグレードが進行中です…
スタンバイユニットでアップグレードが完了しました。
フェールオーバーを開始しています…
アクティブユニットでアップグレードが進行中です…
両方のユニットでアップグレードが完了しました。
HAペアが同期されます。ステップ6:アップグレード後の検証
アップグレードが完了したら、次のことを確認します。
両方のFTDデバイスで、目的のソフトウェアバージョンが実行されています。
HAステータスでは、両方のユニットが正常および同期済みとして報告されます。
対象となるすべてのサービスとネットワークフローが期待どおりに動作している。
>バージョンの表示
出力例:
---------------[ firepower ]---------------
モデル:Cisco Firepower Threat Defense for VMware(75)バージョン7.4.2.4(ビルド9)
UUID:bc9d31e8-0517-11f0-9c89-c358b8259f96
LSPバージョン:lsp-rel-20260128-1954
VDBバージョン:404
----------------------------------------------------
> show failover
出力例:
> show failover
フェールオーバーのオン
フェールオーバーユニットプライマリ
フェールオーバーLANインターフェイス:failover-state GigabitEthernet0/7(up)
再接続のタイムアウト0:00:00
ユニットポーリング頻度1秒、ホールドタイム15秒
インターフェイスポーリング頻度5秒、ホールドタイム25秒
インターフェイスポリシー1
監視対象インターフェイス4/361(最大)
MACアドレス移動通知間隔が設定されていません
フェールオーバーレプリケーションHTTP
バージョン:現在の9.20(2)121、メイト9.20(2)121
シリアル番号:シリアル、メイトSERIAL
最後のフェールオーバー:2025年12月31日14:29:08 UTC
このホスト:プライマリ – アクティブ
アクティブ時間:3418340(秒)
スロット0:ASAv hw/sw rev (/9.20(2)121)のステータス(アップシステム)
インターフェイスOUTSIDE(IPADDRESS):正常(監視対象)
内部インターフェイス(IPADDRESS):正常(監視対象)
インターフェイスDMZ(IPADDRESS):通常(監視対象)
インターフェイス管理(IPADDRESS):通常(監視対象)
スロット1:snort rev (1.0)ステータス(アップ)
スロット2:diskstatus rev (1.0) status (up)
その他のホスト:セカンダリ – スタンバイ準備完了
アクティブ時間: 0 (秒)
インターフェイスOUTSIDE(IPADDRESS):正常(監視対象)
内部インターフェイス(IPADDRESS):正常(監視対象)
インターフェイスDMZ(IPADDRESS):通常(監視対象)
インターフェイス管理(IPADDRESS):通常(監視対象)
スロット1:snort rev (1.0)ステータス(アップ)
スロット2:diskstatus rev (1.0) status (up)
ステップ7:バックアップが最新であることを確認する
最後のステップとして、アップグレード後にFMCとFTDの両方の新規バックアップを生成し、現在のアップグレード済み設定状態を取得します。
手順1の説明に従って、バックアッププロセスを繰り返します。
原因
ありません。これは、FMCによって管理されるCisco FTD HAの標準アップグレードワークフローです。
関連コンテンツ
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
4.0 |
14-Apr-2026
|
改訂および検証アップデート. |
2.0 |
11-Feb-2026
|
改訂および検証 |
1.0 |
03-Feb-2026
|
初版 |
フィードバック