アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

Cisco Firepower バージョン 6.2.3.1、6.2.3.2、6.2.3.3、6.2.3.4、6.2.3.5、6.2.3.6、6.2.3.7、6.2.3.9、6.2.3.10、6.2.3.11、6.2.3.12、6.2.3.13 および 6.2.3.14 リリース ノート

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Firepower バージョン 6.2.3.1、6.2.3.2、6.2.3.3、6.2.3.4、6.2.3.5、6.2.3.6、6.2.3.7、6.2.3.9、6.2.3.10、6.2.3.11、6.2.3.12、6.2.3.13 および 6.2.3.14 リリース ノート

Chapter Title

バージョン 6.2.3.x へのアップグレード

検索結果

Updated:
2019年7月24日

章のタイトル: バージョン 6.2.3.x へのアップグレード

バージョン 6.2.3.x へのアップグレード

この章では、バージョン 6.2.3.x の重要なリリースに固有の情報を提供します。

また、新機能、変更された機能、または廃止された機能に関する情報について特長と機能をご確認ください。

バージョン 6.2.3.xに関するガイドラインと警告

このチェックリストには、バージョン 6.2.3.x パッチに適用される重要なアップグレード ガイドラインと警告が含まれています。また、一般的なガイドラインと警告 も確認してください。

表 1. バージョン 6.2.3.x ガイドライン
ガイドライン プラットフォーム アップグレード元 直接アップグレード先

バージョン 6.2.3 ~ 88 FMC をアップグレードする前のホットフィックス

FMC

6.2.3-88

6.2.3.1 ~ 6.2.3.3

アップグレードにより CSSM から FTD/FDM を登録解除することが可能

FDM を使用した FTD

6.2.3 ~ 6.2.3.1

6.2.3.2 ~ 6.2.3.5

バージョン 6.2.3.3 FTD デバイスをローカル管理に切り替えることは不可

FMC を使用した FTD

6.2.3 ~ 6.2.3.2

6.2.3.3

CC モードが有効になっているバージョン 6.2.3.10 FTD にアップグレードすると FSIC 障害が発生

FTD

6.2.3 ~ 6.2.3.9

6.2.3.10 のみ

セキュリティ認定コンプライアンスが有効な状態でアンインストールすると FSIC 障害が発生

FMC/FMCv

Firepower 7000/8000 シリーズ

ASA FirePOWER

NGIPSv

6.2.3.x

以降のパッチ

動的分析 CA 証明書のパッチ/ホットフィックス

任意(Any)

6.2.3.x

以降のパッチ

バージョン 6.2.3 ~ 88 FMC をアップグレードする前のホットフィックス

展開:FMC

アップグレード元:バージョン 6.2.3 ~ 88

直接アップグレード先:バージョン 6.2.3.1、バージョン 6.2.3.2、またはバージョン 6.2.3.3

シスコは、Firepower のアップグレード パッケージの更新版ビルドを適宜リリースしています。バージョン 6.2.3 ~ 88 は、それ以降のビルドに置き換えられています。バージョン 6.2.3 ~ 88 を実行している FMC をバージョン 6.2.3.1、バージョン 6.2.3.2、またはバージョン 6.2.3.3 にアップグレードすると、SSE クラウド接続が継続的にドロップし、エラーが生成されます。パッチをアンインストールしても、この問題は解決しません。

バージョン 6.2.3 ~ 88 を実行している場合は、アップグレードの前にホットフィックス T をインストールします。

アップグレードにより CSSM から FTD/FDM を登録解除することが可能

展開:FDM を使用した FTD

アップグレード元:バージョン 6.2.3 または 6.2.3.1

直接アップグレード先:6.2.3.2 ~ 6.2.3.5

Firepower Device Manager によって管理されている Firepower Threat Defense デバイスをアップグレードすると、そのデバイスが Cisco Smart Software Manager から登録解除される場合があります。アップグレードが完了したら、ライセンスのステータスを確認します。

手順

ステップ 1

[デバイス(Device)] をクリックし、[スマートライセンス概要(Smart License summary)] の [設定の表示(View Configuration)] をクリックします。

ステップ 2

デバイスが登録されていない場合は、[Register Device] をクリックします。

バージョン 6.2.3.3 FTD デバイスをローカル管理に切り替えることは不可

展開:FMC を使用した FTD

アップグレード元:バージョン 6.2.3 ~ 6.2.3.2

直接アップグレード先:バージョン 6.2.3.3 のみ

バージョン 6.2.3.3 では、Firepower Threat Defense デバイスの管理を FMC から FDM に切り替えることはできません。この問題は、バージョン 6.2.3.3 パッチをアンインストールしても発生します。この時点でローカル管理に切り替える場合は、バージョン 6.2.3 を新しくインストールするか、Cisco TAC にお問い合わせください。

この問題を回避するには、6.2.3.3 のバージョンにアップグレードする前に管理を切り替えます。または、最新パッチにアップグレードします。管理を切り替えると、デバイス構成は失われます。

バージョン 6.2.3.3 では、FDM から FMC への管理の切り替えが可能であることに注意してください。

CC モードが有効になっているバージョン 6.2.3.10 FTD にアップグレードすると FSIC 障害が発生

展開: Firepower Threat Defense

アップグレード元:バージョン 6.2.3 ~ 6.2.3.9

直接アップグレード先:バージョン 6.2.3.10 のみ

既知の問題:CSCvo39052

CC モードを有効にして FTD デバイスをバージョン6.2.3.10 にアップグレードすると、デバイスの再起動時に FSIC(ファイル システム整合性チェック)が失敗します。


注意    
FSIC が失敗したため、Firepower ソフトウェアは起動せず、リモート SSH アクセスが無効になり、ローカル コンソールを介してのみアプライアンスにアクセスできます。この問題が発生した場合は、Cisco TACにお問い合わせください。

FTD の展開にセキュリティ認定コンプライアンス(CC モード)が必要な場合は、バージョン 6.2.3.13 以降に直接アップグレードすることをお勧めします。Firepower 4100/9300 デバイスの場合は、FXOS 2.3.1.130+ にアップグレードすることも推奨します。

セキュリティ認定コンプライアンスが有効な状態でアンインストールすると FSIC 障害が発生

セキュリティ認定コンプライアンスが有効な状態(CC/UCAPL モード)でパッチを適用した場合、パッチをアンインストールすると、アプライアンスの再起動時に FSIC(ファイル システム整合性チェック)が失敗することがあります。


注意    
FSIC が失敗したため、Firepower ソフトウェアは起動せず、リモート SSH アクセスが無効になり、ローカル コンソールを介してのみアプライアンスにアクセスできます。この問題が発生した場合は、Cisco TACにお問い合わせください。

以前のパッチに戻す場合は、メジャー バージョンを新規インストールしてから、必要なパッチにアップグレードする必要があります。アップグレードする前に外部の場所にバックアップすることをお勧めしていますが(このバックアップをサポートしているアプライアンスの場合)、これらのケースではバックアップは特に重要です。

表 2. アンインストール時に後続の FSIC で障害が発生したバージョン 6.2.3.x のパッチ
プラットフォーム アンインストール元 アップグレード元が次の場合

FMC/FMCv

Firepower 7000/8000 シリーズ

ASA FirePOWER

NGIPSv

6.2.3.7+

6.2.3 ~ 6.2.3.6

FMC/FMCv

Firepower 7000/8000 シリーズ

ASA FirePOWER

NGIPSv

6.2.3.11+

6.2.3 ~ 6.2.3.10

動的分析 CA 証明書のパッチ/ホットフィックス

展開:動的分析のためにファイルを送信する AMP for Networks(マルウェア検出)展開

影響を受けるバージョン:バージョン 6.0+

解決:CSCvj07038

2018 年 6 月 15 日、一部の Firepower 展開では、動的分析のためにファイルを送信できなくなりました。これは、AMP Threat Grid クラウドとの通信に必要だった CA 証明書が期限切れになったために発生しました。バージョン 6.3.0 は、新しい証明書を使用する最初のメジャー バージョンです。


(注)  
バージョン 6.3.0+ にアップグレードしない場合は、新しい証明書を取得して動的分析を再度有効にするために、パッチまたはホットフィックスを適用する必要があります。ただし、その後、パッチまたはホットフィックスが適用された展開をバージョン 6.2.0 またはバージョン 6.2.3 にアップグレードすると、古い証明書に戻るため、パッチまたはホットフィックスを再度適用する必要があります。

パッチまたはホットフィックスを初めてインストールする場合は、ファイアウォールで、FMC とその管理対象デバイスの両方から fmc.api.threatgrid.companacea.threatgrid.com を置き換える)へのアウトバウンド接続が許可されていることを確認してください。管理対象デバイスは、動的分析のためにファイルをクラウドに送信します。FMC は結果を照会します。

次の表に、メジャー バージョン シーケンスとプラットフォームごとに、古い証明書を使用するバージョンと、新しい証明書を使用するパッチおよびホットフィックスを示します。パッチおよびホットフィックスは、Cisco サポートおよびダウンロード サイトで入手できます。リリース ノートについては、『Firepower Release Notes』を参照してください。

表 3. 新しい CA 証明書を使用するパッチとホットフィックス
古い証明書を使用するバージョン 新しい証明書を使用する最初のパッチ 新しい証明書を使用するホットフィックス

6.2.3 ~ 6.2.3.3

6.2.3.4

ホットフィックス G

FTD デバイス

ホットフィックス H

FMC、NGIPS デバイス

6.2.2 ~ 6.2.2.3

6.2.2.4

ホットフィックス BN

すべてのプラットフォーム

6.2.1

なし。アップグレードが必要です。

なし。アップグレードが必要です。

6.2.0 ~ 6.2.0.5

6.2.0.6

ホットフィックス BX

FTD デバイス

ホットフィックス BW

FMC、NGIPS デバイス

6.1.0 ~ 6.1.0.6

6.1.0.7

ホットフィックス EM

すべてのプラットフォーム

6.0.x

なし。アップグレードが必要です。

なし。アップグレードが必要です。

一般的なガイドラインと警告

これらの重要なガイドラインと警告は、すべてのアップグレードに適用されます。ただし、このリストは包括的なものではありません。アップグレード パスの計画、OS のアップグレード、準備状況チェック、バックアップ、メンテナンス期間など、アップグレード プロセスに関するその他の重要な情報へのリンクについては、「アップグレード手順」を参照してください。

アプライアンス アクセス

Firepower デバイスは、(インターフェイス設定に応じて)アップグレード中、またはアップグレードが失敗した場合に、トラフィックを渡すことを停止できます。Firepower デバイスをアップグレードする前に、ユーザの位置からのトラフィックがデバイスの管理インターフェイスにアクセスするためにデバイス自体を通過する必要がないことを確認してください。Firepower Management Center 展開では、デバイスを経由せずに FMC 管理インターフェイスにアクセスできる必要もあります。

署名付きのアップグレード パッケージ

Firepower では、正しいファイルを使用していることを確認できるようにするために、バージョン 6.2.1+ からのアップグレード パッケージ(および バージョン 6.2.1+ へのホットフィックス)は、署名付きの tar アーカイブ(.tar)になっています。以前のバージョンからのアップグレードでは、引き続き未署名のパッケージが使用されます。

Cisco サポートおよびダウンロード サイトからアップグレード パッケージを手動でダウンロードする場合(たとえば、メジャー アップグレードやエアギャップ展開のために)、正しいパッケージをダウンロードしていることを確認してください。 署名付きの(.tar)パッケージは解凍しないでください。


(注)  
署名付きのアップグレード パッケージをアップロードした後、システムがパッケージを確認する際に、GUI のロードに数分かかることがあります。表示を高速化するには、署名付きのパッケージが不要になった後、それらのパッケージを削除します。

ASA FirePOWER デバイスでの ASA REST API の無効化

ASA FirePOWER モジュールをアップグレードする前に、ASA REST API を無効にしていることを確認します。無効にしていない場合、アップグレードが失敗することがあります。ASA CLI から:no rest api agent。アンインストール後に再度有効にすることができます:rest-api agent

ASA FirePOWER モジュール(6.0+)も実行している場合、ASA 5506-X シリーズ デバイスは ASA REST API をサポートしないことに注意してください。

アップグレード中および後のシスコとのデータ共有

バージョン 6.2.3+ の機能には、シスコとのデータ共有が含まれます。

Cisco Network Participation は、テクニカル サポートを提供するために不可欠な使用状況に関する情報と統計情報をシスコに送信します。アップグレード中に、参加を承諾するか、辞退するかを尋ねられます。また、いつでもオプトインまたはオプトアウトできます。

Web 分析のトラッキングは、これに限定されませんが、ページでの操作、ブラウザのバージョン、製品のバージョン、ユーザの場所、FMC の管理 IP アドレスまたはホスト名を含む、個人を特定できない使用状況データをシスコに送信します。 アップグレードにより Web 分析トラッキングが有効になります。このデータの収集を拒否する場合は、アップグレード後にオプトアウトできます。

応答しないアップグレード

アップグレードしているアプライアンスとの間での変更の展開、またはアップグレードしているアプライアンスの手動での再起動やシャットダウンは行わないでください。進行中のアップグレードを再開しないでください。事前のチェック中に、アップグレード プロセスが停止しているように見える場合がありますが、これは想定内の動作です。アップグレードに失敗する、アプライアンスが応答しないなど、アップグレードで問題が発生した場合には Cisco TAC にお問い合わせください。

アップグレードする最小バージョン

現在のメジャー バージョン シーケンス内だけで Firepower ソフトウェアにパッチを適用できます。パッチは累積されるため、常に最新のパッチに直接スキップできます。

表 4. Firepower ソフトウェアをバージョン 6.2.3.x にアップグレードするための最小バージョン
プラットフォーム 最小バージョン

Firepower Management Center

FMC 展開のすべての管理対象デバイス。

6.2.3

FDM を使用した Firepower Threat Defense(すべてのプラットフォーム)

6.2.3

ASDM を使用した ASA FirePOWER

6.2.3

時間テストとディスク容量の要件

Firepower アプライアンスをアップグレードするには、十分な空きディスク容量が必要です。これがない場合、アップグレードは失敗します。Firepower Management Center を使用して管理対象デバイスをアップグレードする場合、デバイス アップグレード パッケージに対して、FMC は /Volume パーティションに追加のディスク容量を必要とします。また、アップグレードを実行するための十分な時間を確保してください。

参考のために、社内の時間とディスク容量のテストに関するレポートを提供しています。

時間テストについて

ここで指定した時間の値は、社内のテストに基づいています。特定のプラットフォーム/シリーズについてテストされたすべてのアップグレードの最も遅い時間を報告していますが、複数の理由により(以下を参照)、報告された時間よりも、アップグレードにかかる時間が長くなることがあります。

基本的なテスト条件

  • 展開:値は、Firepower Management Center 展開のテストから取得されています。これは、同様の条件の場合、リモートとローカルで管理されているデバイスの raw アップグレード時間が類似しているためです。

  • バージョン:メジャー アップグレードの場合、以前のすべての対象メジャー バージョンからのアップグレードをテストします。パッチについては、基本バージョンおよび直前のパッチからのアップグレードをテストします。

  • モデル:ほとんどの場合、各シリーズの最もローエンドのモデルでテストし、場合によってはシリーズの複数のモデルでテストします。

  • 仮想設定:メモリおよびリソースのデフォルト設定を使用してテストします。

プッシュおよびリブートの除外

値は、Firepower のアップグレード スクリプト自体を実行するのにかかる時間のみを表しています。値には、ローカル管理対象デバイスまたは FMC にアップグレード パッケージをアップロードするのに必要な時間や、アップグレード パッケージを FMC から管理対象デバイスにコピー(プッシュ)するために必要な時間は含まれていません。

FMC 展開では、FMC と管理対象デバイスの間の帯域幅が不十分だと、アップグレード時間が延長されたり、アップグレードがタイムアウトする原因となる可能性があります。FMC からそのデバイスに大容量のデータを転送するための帯域幅があることを確認します。詳細については、『Guidelines for Downloading Data from the Firepower Management Center to Managed Devices』(トラブルシューティング テクニカルノーツ)を参照してください。

値には、再起動、準備状況チェック、オペレーティング システムのアップグレード、または設定の展開も含まれていません。

時間は単一のデバイスを対象

値は、デバイスごとの値です。ハイ アベイラビリティの構成またはクラスタ化された構成では、動作の継続性を保持するため、複数のデバイスは 1 つずつアップグレードされます。アップグレード中は、各デバイスはメンテナンス モードで動作します。そのため、デバイス ペアまたはクラスタ全体のアップグレードには、スタンドアロン デバイスのアップグレードよりも長い時間がかかります。

スタック構成の 8000 シリーズ デバイスは同時にアップグレードされ、スタックは、すべてのデバイスのアップグレードが完了するまで、限定的なバージョン混在の状態で動作することに注意してください。これには、スタンドアロン デバイスのアップグレードと比べて大幅に長い時間がかかるということはありません。

影響を受ける構成とデータ

シスコでは、構成およびトラフィック負荷が最小限のアプライアンスでテストを行います。アップグレード時間は、構成の複雑さ、イベント データベースのサイズ、また、それらがアップグレードから影響を受けるかどうか、受ける場合はどのような影響を受けるかにより、長くなる場合があります。たとえば多くのアクセス制御ルールを使用している場合、アップグレードはこれらのルールの格納方法をバックエンドで変更する必要があるため、アップグレードにはさらに長い時間がかかります。

ディスク容量の要件について

容量の見積もりは、すべてのアップグレードについて報告された最大のものです。 バージョン 6.2.3.10 の結果以降、容量は次のようになります。

  • 切り上げなし(1 MB 未満)。

  • 次の 1 MB に切り上げ(1 MB ~ 100 MB)。

  • 次の 10 MB に切り上げ(100 MB ~ 1 GB)。

  • 次の 100 MB に切り上げ(1 GB を超える容量)。

バージョン 6.2.3.14 の時間とディスク容量

表 5. バージョン 6.2.3.14 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.2.3 からの時間

FMC

4.5 GB

260 MB

58 分

FMCv:VMware 6.0

4.7 GB

190 MB

ハードウェアによって異なる

Firepower 2100 シリーズ

1.9 GB

1.9 GB

590 MB

23 分

Firepower 4100 シリーズ

1.7 GB

1.7 GB

390 MB

11 分

Firepower 9300

1.7 GB

1.7 GB

390 MB

10 分

ASA 5500-X シリーズ with FTD

2 GB

200 MB

410 MB

32 分

FTDv:VMware 6.0

2.4 GB

190 MB

410 MB

ハードウェアによって異なる

Firepower 7000/8000 シリーズ

3.4GB

200 MB

630 MB

19 分

ASA FirePOWER

3.7 GB

53 MB

560 MB

106 分

NGIPSv:VMware 6.0

2.6 GB

190 MB

470 MB

ハードウェアによって異なる

バージョン 6.2.3.13 の時間とディスク容量

表 6. バージョン 6.2.3.13 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.2.3 からの時間

FMC

4.7 GB

290 MB

50 分

FMCv:VMware 6.0

4.6 GB

190 MB

ハードウェアによって異なる

Firepower 2100 シリーズ

2.6 GB

2.6 GB

590 MB

25 分

Firepower 4100 シリーズ

1.7 GB

1.7 GB

390 MB

11 分

Firepower 9300

1.8 GB

1.8 GB

390 MB

11 分

ASA 5500-X シリーズ with FTD

2.4 GB

190 MB

410 MB

32 分

FTDv:VMware 6.0

2.3 GB

190 MB

410 MB

ハードウェアによって異なる

Firepower 7000/8000 シリーズ

3.8 GB

190 MB

620 MB

18 分

ASA FirePOWER

3.7 GB

51 MB

560 MB

105 分

NGIPSv:VMware 6.0

2.6 GB

180 MB

470 MB

ハードウェアによって異なる

バージョン 6.2.3.12 の時間とディスク容量

表 7. バージョン 6.2.3.12 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.2.3 からの時間

FMC

3.9 GB

220 MB

49 分

FMCv:VMware 6.0

4.6 GB

160 MB

ハードウェアによって異なる

Firepower 2100 シリーズ

1.9 GB

1.9 GB

390 MB

21 分

Firepower 4100 シリーズ

970 MB

970 MB

190 MB

14 分

Firepower 9300

1.7 GB

1.7 GB

190 MB

11 分

ASA 5500-X シリーズ with FTD

1.4 GB

96 MB

210 MB

30 分

FTDv:VMware 6.0

2.4 GB

200 MB

210 MB

ハードウェアによって異なる

Firepower 7000/8000 シリーズ

3.6 GB

160 MB

540 MB

19 分

ASA FirePOWER

3.5 GB

31 MB

480 MB

104 分

NGIPSv:VMware 6.0

2.6 GB

130 MB

400 MB

ハードウェアによって異なる

バージョン 6.2.3.11 の時間とディスク容量

表 8. バージョン 6.2.3.11 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.2.3 からの時間

FMC

4.5 GB

250 MB

39 分

FMCv:VMware 6.0

4.6 GB

35 MB

ハードウェアによって異なる

Firepower 2100 シリーズ

2.8 GB

2.8 GB

590 MB

40 分

Firepower 4100 シリーズ

2 GB

2 GB

380 MB

10 分

Firepower 9300

1.6 GB

1.6 GB

380 MB

11 分

ASA 5500-X シリーズ with FTD

1.8 GB

230 MB

410 MB

33 分

FTDv:VMware 6.0

2.2 GB

230 MB

410 MB

ハードウェアによって異なる

Firepower 7000/8000 シリーズ

3.3 GB

170 MB

600 MB

23 分

ASA FirePOWER

3.6 GB

50 MB

530 MB

110 分

NGIPSv:VMware 6.0

2.6 GB

130 MB

450 MB

ハードウェアによって異なる

バージョン 6.2.3.10 の時間とディスク容量

表 9. バージョン 6.2.3.10 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.2.3 からの時間

FMC

4.2 GB

200 MB

40 分

FMCv

4.5 GB

230 MB

ハードウェアによって異なる

Firepower 2100 シリーズ

1.8GB

1.8 GB

390 MB

21 分

Firepower 4100/9300 シャーシ

1.3 GB

1.3 GB

190 MB

11 分

ASA 5500-X シリーズ with FTD

1.3 GB

140 MB

210 MB

25 分

FTDv

1.6 GB

140 MB

210 MB

ハードウェアによって異なる

Firepower 7000/8000 シリーズ

3.2 GB

190 MB

560 MB

25 分

ASA FirePOWER

3.4GB

31 MB

480 MB

100 分

NGIPSv

2.1 GB

160 MB

400 MB

ハードウェアによって異なる

バージョン 6.2.3.9 の時間とディスク容量

表 10. バージョン 6.2.3.9 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.2.3 からの時間

FMC

3630 MB

190 MB

35 分

FMCv

3596 MB

172 MB

ハードウェアによって異なる

Firepower 2100 シリーズ

1677 MB

1677 MB

385 MB

21 分

Firepower 4100/9300 シャーシ

779 MB

779 MB

184 MB

9 分

ASA 5500-X シリーズ with FTD

1105 MB

130 MB

206 MB

12 分

ISA 3000 with FTD

1071 MB

130 MB

206 MB

25 分

FTDv

1094 MB

130 MB

206 MB

ハードウェアによって異なる

Firepower 7000/8000 シリーズ

2975 MB

161 MB

538 MB

30 分

ASA FirePOWER

3211 MB

27 MB

462 MB

38 分

NGIPSv

1883 MB

146 MB

378 MB

ハードウェアによって異なる

バージョン 6.2.3.8 の時間とディスク容量

バージョン 6.2.3.8 は 2019 年 1 月 7 日にCisco サポートおよびダウンロード サイトから削除されました。このバージョンは、バージョン 6.2.3.9 に置き換えられます。バージョン 6.2.3.8 を実行している場合は、アップグレードすることを強くお勧めします。

バージョン 6.2.3.7 の時間とディスク容量

表 11. バージョン 6.2.3.7 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.2.3 からの時間

FMC

2909 MB

137 MB

25 分

FMCv

3972 MB

211 MB

ハードウェアによって異なる

Firepower 2100 シリーズ

1668 MB

1668 MB

384 MB

19 分

Firepower 4100/9300 シャーシ

795 MB

795 MB

183 MB

8 分

ASA 5500-X シリーズ with FTD

1067 MB

130 MB

205 MB

9 分

ISA 3000 with FTD

1080 MB

130 MB

205 MB

20 分

FTDv

1146 MB

130 MB

205 MB

ハードウェアによって異なる

Firepower 7000/8000 シリーズ

3300 MB

136 MB

477 MB

20 分

ASA FirePOWER

2291 MB

26 MB

411 MB

80 分

NGIPSv

1588 MB

121 MB

327 MB

ハードウェアによって異なる

バージョン 6.2.3.6 の時間とディスク容量

表 12. バージョン 6.2.3.6 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.2.3 からの時間

FMC

2524 MB

47 MB

30 分

FMCv

2315 MB

101 MB

ハードウェアによって異なる

Firepower 2100 シリーズ

1673 MB

1673 MB

383 MB

10 分

Firepower 4100/9300 シャーシ

790 MB

790 MB

182 MB

17 分

ASA 5500-X シリーズ with FTD

1220 MB

130 MB

205 MB

21 分

ISA 3000 with FTD

1087 MB

130 MB

205 MB

21 分

FTDv

1133 MB

130 MB

205 MB

ハードウェアによって異なる

Firepower 7000/8000 シリーズ

1196 MB

17 MB

204 MB

30 分

ASA FirePOWER

1844 MB

16 MB

226 MB

106 分

NGIPSv

364 MB

17 MB

142 MB

ハードウェアによって異なる

バージョン 6.2.3.5 の時間とディスク容量

表 13. バージョン 6.2.3.5 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.2.3 からの時間

FMC

1566 MB

24 MB

28 分

FMCv

2266 MB

80 MB

ハードウェアによって異なる

Firepower 2100 シリーズ

1001 MB

1001 MB

257 MB

20 分

Firepower 4100/9300 シャーシ

370 MB

370 MB

56 MB

7 分

ASA 5500-X シリーズ with FTD

587 MB

130 MB

78 MB

20 分

ISA 3000 with FTD

379 MB

130 MB

78 MB

20 分

Firepower 7000/8000 シリーズ

806 MB

17 MB

78 MB

22 分

ASA FirePOWER

1465 MB

15 MB

100 MB

70 分

NGIPSv

120 MB

17 MB

16 MB

ハードウェアによって異なる

バージョン 6.2.3.4 の時間とディスク容量

表 14. バージョン 6.2.3.4 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.2.3 からの時間

FMC

2191 MB

107 MB

80 分

FMCv

1760 MB

35 MB

ハードウェアによって異なる

Firepower 2100 シリーズ

1014 MB

1014 MB

261 MB

17 分

Firepower 4100/9300 シャーシ

334 MB

334 MB

59 MB

7 分

ASA 5500-X シリーズ with FTD

411 MB

128 MB

82 MB

20 分

ISA 3000 with FTD

393 MB

128 MB

82 MB

20 分

FTDv

411 MB

128 MB

82 MB

ハードウェアによって異なる

Firepower 7000/8000 シリーズ

800 MB

17 MB

82 MB

23 分

ASA FirePOWER

1385 MB

15 MB

103 MB

25 分

NGIPSv

191 MB

17 MB

20 MB

ハードウェアによって異なる

バージョン 6.2.3.3 の時間とディスク容量

表 15. バージョン 6.2.3.3 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.2.3 からの時間

FMC

1879 MB

88 MB

26 分

FMCv

2093 MB

90 MB

ハードウェアによって異なる

Firepower 2100 シリーズ

987 MB

987 MB

255 MB

15 分

Firepower 4100/9300 シャーシ

313 MB

313 MB

54 MB

5 分

ASA 5500-X シリーズ with FTD

553 MB

128 MB

77 MB

16 分

ISA 3000 with FTD

307 MB

90 MB

77 MB

15 分

FTDv

307 MB

90 MB

77 MB

ハードウェアによって異なる

Firepower 7000/8000 シリーズ

825 MB

17 MB

77 MB

15 分

ASA FirePOWER

634 MB

16 MB

98 MB

40 分

NGIPSv

102 MB

17 MB

77 MB

ハードウェアによって異なる

バージョン 6.2.3.2 の時間とディスク容量

表 16. バージョン 6.2.3.2 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.2.3 からの時間

FMC

1743 MB

27 MB

24 分

FMCv

1976 MB

70 MB

ハードウェアによって異なる

Firepower 2100 シリーズ

977 MB

977 MB

252 MB

17 分

Firepower 4100/9300 シャーシ

374 MB

374 MB

51 MB

4 分

ASA 5500-X シリーズ with FTD

585 MB

126 MB

73 MB

16 分

ISA 3000 with FTD

676 MB

126 MB

73 MB

17 分

FTDv

585 MB

126 MB

73 MB

ハードウェアによって異なる

Firepower 7000/8000 シリーズ

688 MB

11 MB

76 MB

13 分

ASA FirePOWER

1440 MB

15 MB

98 MB

40 分

NGIPSv

96 MB

17 MB

14 MB

ハードウェアによって異なる

バージョン 6.2.3.1 の時間とディスク容量

表 17. バージョン 6.2.3.1 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.2.3 からの時間

FMC

1361.8 MB

59.67 MB

25 分

FMCv

1240.8 MB

40.8 MB

ハードウェアによって異なる

Firepower 2100 シリーズ

948.3 MB

948.3 MB

246 MB

81 分

Firepower 4100/9300 シャーシ

278 MB

278 MB

45 MB

8 分

ASA 5500-X シリーズ with FTD

275.5 MB

89.9 MB

68 MB

16 分

ISA 3000 with FTD

343.4 MB

127.5 MB

68 MB

15 分

FTDv

275.5 MB

89.9 MB

67 MB

ハードウェアによって異なる

Firepower 7000/8000 シリーズ

99.8 MB

36 MB

10 MB

19 分

ASA FirePOWER

867.9 MB

15.45 MB

32 MB

60 分

NGIPSv

101.9 MB

17.18 MB

9 MB

ハードウェアによって異なる

トラフィック フロー、検査、およびデバイス動作

アップグレード中に発生するトラフィック フローおよびインスペクションでの潜在的な中断を特定する必要があります。これは、次の場合に発生する可能性があります。

  • デバイスが再起動された場合。

  • デバイス上でオペレーティング システムまたは仮想ホスティング環境をアップグレードする場合。

  • デバイス上で Firepower ソフトウェアをアップグレードするか、パッチをアンインストールする場合。

  • アップグレードまたはアンインストール プロセスの一部として設定変更を展開する場合(Snort プロセスが再開します)。

デバイスのタイプ、展開のタイプ(スタンドアロン、ハイ アベイラビリティ、クラスタ化)、およびインターフェイスの設定(パッシブ、IPS、ファイアウォールなど)によって中断の性質が決まります。アップグレードまたはアンインストールは、保守期間中に行うか、中断による展開環境への影響が最も小さい時点で行うことを強く推奨します。

FTD アップグレード時の動作: Firepower 4100/9300 シャーシ

このセクションでは、FTD を搭載した Firepower 4100/9300 シャーシをアップグレードするときのデバイスとトラフィックの動作を説明します。

Firepower 4100/9300 シャーシ:FXOS のアップグレード

シャーシ間クラスタリングまたはハイ アベイラビリティ ペアの構成がある場合でも、各シャーシの FXOS を個別にアップグレードします。アップグレードの実行方法により、FXOS のアップグレード時にデバイスがトラフィックを処理する方法が決定されます。

表 18. FXOS アップグレード中のトラフィックの動作
展開 方法 トラフィックの動作

スタンドアロン

ドロップされる

ハイ アベイラビリティ

ベスト プラクティス:スタンバイで FXOS を更新し、アクティブ ピアを切り替えて新しいスタンバイをアップグレードします。

影響なし

スタンバイでアップグレードが終了する前に、アクティブ ピアで FXOS をアップグレードします。

1 つのピアがオンラインになるまでドロップされる

シャーシ間クラスタ(6.2 以降)

ベスト プラクティス:少なくとも 1 つのモジュールを常にオンラインにするため、一度に 1 つのシャーシをアップグレードします。

影響なし

ある時点ですべてのモジュールを停止するため、シャーシを同時にアップグレードします。

少なくとも 1 つのモジュールがオンラインになるまでドロップされる

シャーシ内クラスタ(Firepower 9300 のみ)

Fail-to-wire 有効:[バイパス:スタンバイ(Bypass: Standby)] または [バイパス:強制(Bypass‑Force)]。(6.1 以降)

インスペクションなしで転送

Fail-to-wire 無効:[バイパス:無効(Bypass: Disabled)]。(6.1 以降)

少なくとも 1 つのモジュールがオンラインになるまでドロップされる

fail-to-wire モジュールなし。

少なくとも 1 つのモジュールがオンラインになるまでドロップされる

スタンドアロン FTD デバイス:Firepower ソフトウェアのアップグレード

インターフェイスの設定により、アップグレード中にスタンドアロン デバイスがトラフィックを処理する方法が決定されます。

表 19. Firepower ソフトウェア アップグレード中のトラフィックの動作:スタンドアロン FTD デバイス
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチド インターフェイスは、ブリッジ グループまたはトランスペアレント インターフェイスとしても知られています。

ドロップされる

IPS のみのインターフェイス

インライン セット、fail-to-wire が有効:[Bypass: Standby] または [Bypass‑Force](6.1+)

次のいずれかを行います。

  • ドロップ(6.1 から 6.2.2.x)

  • インスペクションなしで転送(6.2.3 以降)

インライン セット、fail-to-wire が無効:[Bypass: Disabled](6.1+)

ドロップされる

インライン セット、fail-to-wire モジュールなし

ドロップされる

インライン セット、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

ハイ アベイラビリティ ペア:FirePOWER ソフトウェア アップグレード

ハイ アベイラビリティ ペアのデバイスの FirePOWER ソフトウェアをアップグレードする間に、トラフィック フローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンス モードで稼働します。

スタンバイ側のデバイスが最初にアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレード プロセスによって元の役割に切り替わります。

クラスタ:FirePOWER ソフトウェア アップグレード

Firepower Threat Defense クラスタのデバイスで FirePOWER ソフトウェアをアップグレードする間に、トラフィック フローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンス モードで稼働します。

スレーブ セキュリティ モジュールを最初にアップグレードして、その後マスターをアップグレードします。アップグレード中、セキュリティ モジュールはメンテナンス モードで稼働します。

マスター セキュリティ モジュールをアップグレードする間、通常トラフィック インスペクションと処理は続行しますが、システムはロギング イベントを停止します。ロギング ダウンタイム中に処理されるトラフィックのイベントは、アップグレードが完了した後、非同期のタイムスタンプ付きで表示されます。ただし、ロギング ダウンタイムが大きい場合、システムはログ記録する前に最も古いイベントをプルーニングすることがあります。


(注)  
バージョン 6.2.0、バージョン 6.2.0.1、またはバージョン 6.2.0.2 からシャーシ間クラスタをアップグレードすると、各モジュールがクラスタから削除されるときに、トラフィック インスペクションで 2 ~ 3 秒のトラフィック中断が発生します。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、デバイスがトラフィックを処理する方法に応じて異なります。

展開時のトラフィックの動作

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center コンフィギュレーション ガイド』の「展開またはアクティブ化された際に Snort プロセスを再起動する設定」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、Snort プロセスを再起動すると、HA/スケーラビリティ用に設定されたものを含め、すべての Firepower デバイスでトラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 20. FTD 展開時のトラフィックの動作
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチド インターフェイスは、ブリッジ グループまたはトランスペアレント インターフェイスとしても知られています。

ドロップされる

IPS のみのインターフェイス

インライン セット、[フェールセーフ(Failsafe)] が有効または無効(6.0.1 ~ 6.1.0.x)

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インライン セット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:無効(6.2 以降)

ドロップされる

インライン セット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:有効(6.2+)

インスペクションなしで転送

インライン セット、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

FTD アップグレード時の動作:その他のデバイス

このセクションでは、Firepower 2100 シリーズ、ASA 5500-X シリーズ、ISA 3000、および FTDv で Firepower Threat Defense をアップグレードするときのデバイスとトラフィックの動作を説明します。

スタンドアロン FTD デバイス:Firepower ソフトウェアのアップグレード

インターフェイスの設定により、アップグレード中にスタンドアロン デバイスがトラフィックを処理する方法が決定されます。

表 21. Firepower ソフトウェア アップグレード中のトラフィックの動作:スタンドアロン FTD デバイス
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチド インターフェイスは、ブリッジ グループまたはトランスペアレント インターフェイスとしても知られています。

ドロップされる

IPS のみのインターフェイス

インライン セット、fail-to-wire が有効:[Bypass: Standby] または [Bypass‑Force](6.1+)

次のいずれかを行います。

  • ドロップ(6.1 から 6.2.2.x)

  • インスペクションなしで転送(6.2.3 以降)

インライン セット、fail-to-wire が無効:[Bypass: Disabled](6.1+)

ドロップされる

インライン セット、fail-to-wire モジュールなし

ドロップされる

インライン セット、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

ハイ アベイラビリティ ペア:FirePOWER ソフトウェア アップグレード

ハイ アベイラビリティ ペアのデバイスの FirePOWER ソフトウェアをアップグレードする間に、トラフィック フローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンス モードで稼働します。

スタンバイ側のデバイスが最初にアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレード プロセスによって元の役割に切り替わります。

展開時のトラフィックの動作

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center コンフィギュレーション ガイド』の「展開またはアクティブ化された際に Snort プロセスを再起動する設定」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、Snort プロセスを再起動すると、HA/スケーラビリティ用に設定されたものを含め、すべての Firepower デバイスでトラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 22. FTD 展開時のトラフィックの動作
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチド インターフェイスは、ブリッジ グループまたはトランスペアレント インターフェイスとしても知られています。

ドロップされる

IPS のみのインターフェイス

インライン セット、[フェールセーフ(Failsafe)] が有効または無効(6.0.1 ~ 6.1.0.x)

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インライン セット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:無効(6.2 以降)

ドロップされる

インライン セット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:有効(6.2+)

インスペクションなしで転送

インライン セット、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

FirePOWER 7000/8000 シリーズのアップグレード時の動作

次のセクションでは、Firepower 7000/8000 シリーズ デバイスをアップグレードする際のデバイスおよびトラフィックの動作について説明します。

スタンドアロン 7000/8000 シリーズ:Firepower ソフトウェアのアップグレード

インターフェイスの設定により、アップグレード中にスタンドアロン デバイスがトラフィックを処理する方法が決定されます。

表 23. アップグレード中のトラフィックの動作:スタンドアロン 7000/8000 シリーズ
インターフェイスの設定 トラフィックの動作

インライン、ハードウェア バイパスが有効([バイパスモード:バイパス(Bypass Mode: Bypass)])

インスペクションなしで転送。ただし、トラフィックは、次の 2 つのポイントで一時的に中断します。

  • アップグレード プロセスの開始時に、リンクがダウンしてから復旧(フラップ)し、ネットワーク カードがハードウェア バイパスに切り替わるとき。

  • アップグレードが完了した後、リンクが復旧し、ネットワーク カードがバイパスから切り替わるとき。インスペクションはエンドポイントの再接続後に再開され、デバイス インターフェイスとのリンクを再確立します。

インライン、ハードウェア バイパス モジュールなし、またはハードウェア バイパスが無効([バイパスモード:非バイパス(Bypass Mode: Non‑Bypass)])

ドロップされる

インライン、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ

中断なし、インスペクションなし

ルーテッド、スイッチド

ドロップされる

7000/8000 シリーズ ハイ アベイラビリティ ペア:Firepower ソフトウェアのアップグレード

ハイ アベイラビリティ ペアのデバイス(またはデバイス スタック)をアップグレードする間に、トラフィック フローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンス モードで稼働します。

最初にアップグレードするピアは、展開によって異なります。

  • ルーテッドまたはスイッチド:最初にスタンバイがアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレード プロセスによって元の役割に切り替わります。

  • アクセス制御のみ:最初にアクティブがアップグレードされます。アップグレードの完了時に、アクティブとスタンバイの以前の役割がデバイスで維持されます。

8000 シリーズ スタック:FirePOWER ソフトウェア アップグレード

8000 シリーズ スタックでは、デバイスは同時にアップグレードされます。プライマリ デバイスがアップグレードを完了してスタックが動作を再開するまで、トラフィックはスタックがスタンドアロン デバイスであったかのように影響を受けます。すべてのデバイスがアップグレードを完了するまで、スタックは、制限付きの混合バージョンの状態で動作します。

展開時のトラフィックの動作

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center コンフィギュレーション ガイド』の「展開またはアクティブ化された際に Snort プロセスを再起動する設定」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、Snort プロセスを再起動すると、HA/スケーラビリティ用に設定されたものを含め、すべての Firepower デバイスでトラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 24. 展開時のトラフィックの動作:7000/8000 シリーズ
インターフェイスの設定 トラフィックの動作

インライン、[フェールセーフ(Failsafe)] が有効または無効

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インライン、タップ モード

すぐにパケットを出力し、バイパス Snort をコピーする

パッシブ

中断なし、インスペクションなし

ルーテッド、スイッチド

ドロップされる

ASA FirePOWER アップグレード時の動作

Snort プロセスを再起動する特定の設定を展開する場合を含め、モジュールが FirePOWER ソフトウェア アップグレード中にトラフィックを処理する方法を決定する、ASA FirePOWER モジュールへのトラフィック リダイレクトに関する ASA サービス ポリシーです。

表 25. ASA FirePOWER アップグレード中のトラフィックの動作
トラフィック リダイレクト ポリシー トラフィックの動作

フェール オープン(sfr fail-open

インスペクションなしで転送

フェール クローズ(sfr fail-close

ドロップされる

モニタのみ(sfr {fail-close}|{fail-open} monitor-only

パケットをただちに出力、コピーへのインスペクションなし

ASA FirePOWER 展開時のトラフィックの動作

Snort プロセスが再起動している間のトラフィックの動作は、ASA FirePOWER モジュールをアップグレードする場合と同じです。

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center コンフィギュレーション ガイド』の「展開またはアクティブ化された際に Snort プロセスを再起動する設定」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。 さらに、Snort プロセスを再起動すると、トラフィック インスペクションが中断されます。サービス ポリシーにより、中断中にインスペクションせずにトラフィックをドロップするか通過するかが決定されます。

NGIPSv アップグレード時の動作

このセクションでは、NGIPSvをアップグレードするときのデバイスとトラフィックの動作を説明します。

Firepower ソフトウェア アップグレード

インターフェイスの設定により、アップグレード中に NGIPSv がトラフィックを処理する方法が決定されます。

表 26. NGIPSv アップグレード中のトラフィックの動作
インターフェイスの設定 トラフィックの動作

インライン

ドロップされる

インライン、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ

中断なし、インスペクションなし

展開時のトラフィックの動作

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center コンフィギュレーション ガイド』の「展開またはアクティブ化された際に Snort プロセスを再起動する設定」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。さらに、Snort プロセスを再起動すると、トラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 27. NGIPSv 展開時のトラフィックの動作
インターフェイスの設定 トラフィックの動作

インライン、[フェールセーフ(Failsafe)] が有効または無効

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インライン、タップ モード

すぐにパケットを出力し、バイパス Snort をコピーする

パッシブ

中断なし、インスペクションなし

アップグレード手順

リリース ノートにはアップグレード手順は含まれていません。これらのリリース ノートに記載されているガイドラインと警告を読んだ後、次のいずれかを参照してください。

アップグレード パッケージ

アップグレード パッケージは、 Cisco サポートおよびダウンロード サイトで入手できます。

署名付きの(.tar)パッケージは解凍しないでください。

表 28. のアップグレード パッケージ バージョン 6.2.3.x
プラットフォーム パッケージ

FMC/FMCv

Sourcefire_3D_Defense_Center_S3_Patch-6.2.3.x-build.sh.REL.tar

Firepower 2100 シリーズ

Cisco_FTD_SSP_FP2K_Patch-6.2.3.x-build.sh.REL.tar

Firepower 4100/9300 シャーシ

Cisco_FTD_SSP_Patch-6.2.3.x-build.sh.REL.tar

FTD を使用した ASA 5500-X シリーズ

FTD を使用した ISA 3000

FTDv

Cisco_FTD_Patch-6.2.3.x-build.sh.REL.tar

Firepower 7000/8000 シリーズ

Sourcefire_3D_Device_S3_Patch-6.2.3.x-build.sh.REL.tar

ASA FirePOWER

Cisco_Network_Sensor_Patch-6.2.3.x-build.sh.REL.tar

NGIPSv

Sourcefire_3D_Device_VMware_Patch-6.2.3.x-build.sh.REL.tar

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

関連するシスコ コミュニティ ディスカッション

シスコをフォロー
News Roomイベントブログコミュニティ
シスコについて
お問い合わせ
採用情報