FTDハイアベイラビリティアップグレード手順の手順と影響の理解
内容
お問い合わせ内容
ファイアウォール管理者は、ハイアベイラビリティ(HA)ペアで設定され、Cisco Firewall Management Center(FMC)によって管理されるファイアウォール脅威対策(FTD)デバイスに推奨されるアップグレード手順を理解する必要があります。 具体的には、これらのユニットでのソフトウェアのアップグレードに推奨されるプロセス、ダウンタイムを発生させずに「その場で」アップグレードを実行できるかどうか、アップグレードプロセス中にどのような影響が予想されるかなどの質問です。
環境
FTD実行バージョン7.4。他のソフトウェアバージョンも影響を受ける可能性があります。
ハイアベイラビリティ(HA)ペアモードで設定されたFTD。
FMC 7.4:FTD HAの管理他のソフトウェアバージョンも影響を受ける可能性があります。
解決策
HA構成のFTDのアップグレード手順では、ダウンタイムを最小限に抑え、システムの整合性を維持するために特定のシーケンスが使用されます。
推奨されるアップグレード順序
ステップ 1:最初にFMCをアップグレードします
シスコのガイダンスでは、FMCは管理対象のデバイスと同じかそれ以降のバージョンを実行する必要があります。FMCを過ぎたFTDデバイスは、新しいメンテナンスバージョンやメジャーバージョンにアップグレードできません。
ステップ 2FMCからのFTD HAペアのアップグレード
FMCによって管理されているFTD HAペアをアップグレードする場合、FMCは一度に1つのピアをアップグレードし(最初にスタンバイ、次にアクティブ)、フェールオーバーがプロセスの一部として発生します。
ダウンタイムとトラフィックの影響に関する予測
メンテナンス時間帯を計画する必要があります。シスコでは、アップグレードにはトラフィックフローの中断と検査が含まれる可能性があり、アップグレード中またはアップグレードが失敗した場合に、デバイスでトラフィックの受け渡しが停止される可能性があると指摘しています。
HAペアの目標は影響を最小限に抑えることですが、少なくとも1つのフェールオーバーイベントと、可能な短時間の中断(環境に応じたルーティング隣接関係やVPN再ネゴシエーションなど)を想定する必要があります。
アップグレード中のポリシーおよび設定の変更を回避します(両方のHAメンバが完全にアップグレードされ、安定するまで導入や変更は行いません)。
FTD HAのアップグレード前のヘルスチェック
アップグレードを開始する前に、FTD HAが安定しており、両方のユニットがアクティブ状態とスタンバイ準備完了の状態に合意していることを確認します。
device# show failover state
State Last Failure Reason Date/Time
This host - Primary
Active None
Other host - Secondary
Standby Ready Comm Failure 16:10:34 UTC Apr 13 2026
====Configuration State===
Sync Skipped
====Communication State===
Mac set
原因
これは、HA構成のFMCおよびFTDシステムをアップグレードするためのベストプラクティスに関する手順の問い合わせです。この質問では、重要なファイアウォールインフラストラクチャに対するアップグレードの順序、期待されるダウンタイム、および影響の軽減戦略を理解する必要性について取り上げます。
関連コンテンツ
- Secure Firewall Management Centerのアップグレード計画
- FMCによって管理されるFTD HAのアップグレード
- Management Center互換性ガイド
- 脅威対策互換性ガイド
- シスコのテクニカルサポートとダウンロード
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
03-Jun-2026
|
初版 |
フィードバック