Cisco FMCでLightweight Security Package(LSP)の自動更新が失敗する。 LSPの更新が自動的にインストールされなくなり、手動によるLSPのインストールは引き続き正常に動作します。 VDBの更新とSnortルールの更新は、自動プロセスを通じて通常どおり機能します。
inline_image_0.png(インラインイメージ_0.png)
LSPの自動更新の失敗を解決するには、更新プロセスをブロックしている可能性があるアップストリームファイアウォールまたはネットワークデバイスで、必要なネットワーク接続が正しく設定されていることを確認します。
Firepower Threat Defense(FTD)デバイスにインストールされている現在のLSPバージョンを確認します。
show version
現在のLSPバージョンを示す出力例:
--------------[ device ]--------------
モデル:Cisco Secure Firewall 3140 Threat Defense(80)バージョン7.6.2.1(ビルド3)
UUID:5fb22700-68c8-11ee-b5a0-d2e6638aec56
LSPバージョン:lsp-rel-20260121-2008
VDBバージョン:421
----------------------------------------------------
次の宛先に対して、すべてのアップストリームファイアウォールまたはネットワークセキュリティデバイスで、ポート80経由の発信アクセスが許可されていることを確認します。
updates-dyn-talos.sco.cisco.com:LSPのアップデートに必要
updates.ironport.com:セキュリティコンテンツの更新に必要です
これらの宛先は、自動更新プロセスが正常に機能するために不可欠です。 これらの接続をブロックすると、LSPの自動更新が妨げられると同時に、手動更新も可能になります。
root@fmc:/Volume/home/user# curl -v -k http://updates.ironport.com
<h1>ブロックされたWebページ</h1>
<p>アクセスしようとしているWebページは、会社のポリシーに従ってブロックされています。 これがエラーであると思われる場合は、システム管理者に問い合わせてください。</p>
sf/talos_agent.log:TalosAgent:ERROR: updater.go:talosagent.cisco.com/pkg/updater.UpdateService:475 2026/02/13 04:11:05 Failed to download new inventory file: failed to download file: 204cf9af41f70cb30cfd3a7d41ab2f7366219cbfa805b4ec7443bb957f373b87630d8e4027491747102d060ed5e238ab rpc error: code = Internal desc = http error 503 Service Unavailable while downloading file 204cf9af41f70cb30cfd3a7d41ab2f7366219cbfa805b4ec7443bb957f373b87630d8e4027491747102d060ed5e238ab
sf/talos_agent.log:TalosAgent:ERROR: updater.go:talosagent.cisco.com/pkg/updater.UpdateService:475 2026/02/24 19:18:08 Failed to download new inventory file: failed to download file: 3b1e29d5b30bd9dc79f15fad7726e616d73e93ec473e383bb08086b41d3bb571b7e08d3f0fb3fc5e839415d6c3edde0b rpc error: code = Internal desc = Download of http://updates.ironport.com:80/lsp/1/lsp/default/20260223001 failed:接続エラー:ピアによって接続がリセットされました(osエラー104)
自動アップデートがFirewall Management Center(FMC)でLSPアップデート用に正しく設定されていることを確認します。 VDBとSnortルールの更新が自動的に継続して機能することは、基本的な更新メカニズムが機能していることを示唆しますが、LSP固有の接続はブロックできます。
アップストリームのセキュリティデバイスを通じて必要な宛先にアクセスできることを確認した後、自動更新プロセスを監視して、LSPの更新が通常の動作に戻ることを確認します。
root@echo-ngfw-fmcv3:/Volume/home/admin# curl -v -k http://updates.ironport.com
* 208.90.58.25:80を試行中…
* updates.ironport.com(208.90.58.25)ポート80(#0)に接続
> GET / HTTP/1.1
>ホスト: updates.ironport.com
>ユーザエージェント:curl/7.79.1
>同意: */*
>
* バンドルを多用途をサポートしていないものとしてマーク
< HTTP/1.1 200 OK
<サーバ:nginx/1.20.1
<日付: 2026年3月16日(月)20:22:35 GMT
<コンテンツタイプ: text/html
< Content-Length: 689
<最終更新日:2006年9月6日(水)17:26:12 GMT
<接続:キープアライブ
< ETag: "44ff04b4-2b1"
<有効期限: 2026年3月17日(火)20:22:35 GMT
<キャッシュ制御: max-age=86400
< Accept-Range:バイト
<
<HTML>
<!— $Header: /usr/local/cvsroot/godspeed/upgrade_server/http/html/root.html,v 1.1 2004/06/25 22:43:59 brie Exp $ —>
<ヘッド>
</HEAD>
<本文>
<IMG SRC="http://ironport.com/media/logo.gif">
<P>
これはIronPortアップデートサーバです。 新しいソフトウェアを
traffic monitor、merlin、またはWBRSパッケージの場合、エラーでこのページに到達しました。
ダウンロードする手順については、Update Managerリリースノートを参照してください
新しいソフトウェア
</P>
<P>
ご不明な点がございましたら、IronPortカスタマーケアまでお問い合わせください
(877)641-4766または<A HREF="mailto:support@ironport.com">support@ironport.com</A>を参照してください。
</P>
</BODY>
</HTML>
* ホストupdates.ironport.comへの接続#0は変更されていません
シスコの公開文書に記載されているとおり、その他のさまざまな更新およびダウンロードタイプの場合、デバイスがポートとドメインの接続に必要な要件を満たしていることを確認します。
LSPの自動更新の失敗は、必要なアップデートサーバへのネットワーク接続がブロックされることが原因で発生します。 特に、updates-dyn-talos.sco.cisco.comおよびupdates.ironport.comへのポート80経由のアウトバウンドアクセスは、アップストリームファイアウォールルールまたはネットワークセキュリティポリシーによって制限されています。 これにより、LSPアップデートのダウンロードとインストールがFMCによって自動的に実行されなくなりますが、手動アップデートは異なるダウンロード方法やキャッシュされたコンテンツを使用できるため、実行することもできます。
ただし、この問題は、FMCがシスコのクラウドサイトから大きなファイルをダウンロードできるかどうかによっても影響を受ける可能性があります。 FMCの帯域幅を調整し、同じタイムフレーム内で他の複数のソフトウェアアップデート(SRUおよびVDB)を組み合わせると、帯域幅の競合を招き、ダウンロード障害を引き起こす可能性があります。 このような場合は、ソフトウェアのダウンロード時間を分けて、ダウンロードに十分な帯域幅を確保するか、アップストリーム帯域幅の問題を解決します。
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
15-Apr-2026
|
初版 |