バージョン 6.3.0.x へのアップグレード

この章では、バージョン 6.3.0.x の重要なリリースに固有の情報を提供します。

また、新機能、変更された機能、または廃止された機能に関する情報について「特長と機能」をご確認ください。

に関するガイドラインと警告 バージョン 6.3.0.x

このチェックリストには、バージョン 6.3.0.x パッチに適用される重要なアップグレードガイドラインと警告が含まれています。また、「一般的なガイドラインと警告」も確認してください。

表 1. バージョン 6.3.0.x のガイドライン
ガイドライン プラットフォーム アップグレード元 直接アップグレード先

アップグレードの失敗:コンテナインスタンスのディスク容量不足

Firepower 4100/9300

6.3.0.x

以降のパッチ

6.4.0 および 6.5.0

アップグレードの失敗:コンテナインスタンスのディスク容量不足

展開:FTD を搭載した Firepower 4100/9300

アップグレード元:バージョン 6.3.0 ~ 6.4.0.x

直接アップグレード先:バージョン 6.3.0.1 ~ 6.5.0

多くの場合はメジャーアップグレード時に(場合によってはパッチ適用時に)、コンテナインスタンスを使用して設定された FTD デバイスが、ディスク容量不足のエラーにより事前チェック段階で失敗することがあります。

この問題が発生した場合には、空きディスク容量を増やしてみてください。それでも解決しない場合は、Cisco TAC にお問い合わせください。

一般的なガイドラインと警告

これらの重要なガイドラインと警告は、すべてのアップグレードに適用されます。ただし、このリストは包括的なものではありません。アップグレードパスの計画、OS のアップグレード、準備状況チェック、バックアップ、メンテナンス期間など、アップグレードプロセスに関するその他の重要な情報へのリンクについては、「アップグレード手順」を参照してください。

イベントデータと設定データのバックアップ

サポートされている場合は、アップグレードの前後にバックアップすることをお勧めします。

  • アップグレード前:アップグレードが致命的なレベルで失敗した場合は、再イメージ化と復元が必要になることがあります。再イメージ化によって、システムパスワードを含むほとんどの設定が工場出荷時の初期状態に戻ります。最近のバックアップがある場合は、通常の操作にすばやく戻ることができます。

  • アップグレード後:これにより、新しくアップグレードされた展開のスナップショットが作成されます。新しい FMC バックアップファイルがデバイスがアップグレードされたことを「認識」するように、管理対象デバイスをアップグレードした後に FMC をバックアップすることをお勧めします。

安全なリモートロケーションにバックアップし、正常に転送が行われることを確認する必要があります。アップグレードによって、ローカルに保存されたバックアップは消去されます。特に、バックアップファイルは暗号化されていないため、不正アクセスを許可しないでください。バックアップ ファイルが変更されていると、復元プロセスは失敗します。

バックアップの最初のステップとして、アプライアンスモデルとバージョンを、パッチレベルを含めて書き留めておいてください。 FMC の場合は、VDB のバージョンを書き留めておきます。 Firepower 4100/9300 シャーシの場合は、FXOS のバージョンを書き留めておきます。。新しいアプライアンスや再イメージ化したアプライアンスにバックアップを復元する必要がある場合は、新しいアプライアンスを最初に更新する必要がある場合があるため、これは重要です。


(注)  

バックアップと復元は、複雑なプロセスになる可能性があります。手順をスキップしたり、セキュリティ上の問題を無視しないでください。誤りを避けるには、注意深い計画と準備が役立ちます。バックアップと復元の要件、ガイドライン、制限事項、およびベストプラクティスの詳細については、ご使用の Firepower 製品のコンフィギュレーション ガイドを参照してください。

NTP 同期の確認

アップグレードする前に、時刻の提供に使用している NTP サーバと Firepower アプライアンスが同期していることを確認します。同期されていないと、アップグレードが失敗する可能性があります。FMC 展開では、時刻のずれが 10 秒を超えている場合、[時刻同期化ステータス(Time Synchronization Status)] ヘルスモジュールからアラートが発行されますが、手動で確認する必要もあります。

時刻を確認するには、次の手順を実行します。

  • FMC:[システム(System)] > [設定(Configuration)] > [時刻(Time)] を選択します。

  • デバイス:show time CLI コマンドを使用します。

帯域幅の確認

Firepower アプライアンスをアップグレードする(または準備状況チェックを実行する)には、アップグレードパッケージがアプライアンス上に存在する必要があります。Firepower アップグレードパッケージには、さまざまなサイズがあります。管理ネットワークに大量のデータ転送を実行するための帯域幅があることを確認します。

FMC の展開では、アップグレードパケージをアップグレード時に管理対象デバイスに転送する場合は、帯域幅が不十分だとアップグレード時間が長くなったり、アップグレードがタイムアウトする原因となる可能性があります。アップグレードする前に、管理対象デバイスに Firepower アップグレードパッケージを手動でプッシュ(コピー)することをお勧めします。詳細については、『Guidelines for Downloading Data from the Firepower Management Center to Managed Devices』(トラブルシューティングのテクニカルノート)を参照してください。

アプライアンスアクセス

Firepower デバイスは、(インターフェイス設定に応じて)アップグレード中、またはアップグレードが失敗した場合に、トラフィックを渡すことを停止できます。Firepower デバイスをアップグレードする前に、ユーザの位置からのトラフィックがデバイスの管理インターフェイスにアクセスするためにデバイス自体を通過する必要がないことを確認してください。Firepower Management Center 展開では、デバイスを経由せずに FMC 管理インターフェイスにアクセスできる必要もあります。

署名付きのアップグレードパッケージ

Firepower では、正しいファイルを使用していることを確認できるようにするために、バージョン 6.2.1+ からのアップグレードパッケージ(および バージョン 6.2.1+ へのホットフィックス)は、署名付きの tar アーカイブ(.tar)になっています。以前のバージョンからのアップグレードでは、引き続き未署名のパッケージが使用されます。

シスコ サポートおよびダウンロード サイトからアップグレードパッケージを手動でダウンロードする場合(たとえば、メジャーアップグレードやエアギャップ展開のために)、正しいパッケージをダウンロードしていることを確認してください。 署名付きの(.tar)パッケージは解凍しないでください。


(注)  

署名付きのアップグレードパッケージをアップロードした後、システムがパッケージを確認する際に、GUI のロードに数分かかることがあります。表示を高速化するには、署名付きのパッケージが不要になった後、それらのパッケージを削除します。

ASA FirePOWER デバイスでの ASA REST API の無効化

ASA FirePOWER モジュールをアップグレードする前に、ASA REST API を無効にしていることを確認します。無効にしていない場合、アップグレードが失敗することがあります。ASA CLI から:no rest api agent。アンインストール後に再度有効にすることができます:rest-api agent

シスコとのデータの共有

一部の機能にシスコとのデータ共有が含まれます。

6.2.3+ では、Cisco Success Network は、テクニカルサポートを提供するために不可欠な使用状況に関する情報と統計情報をシスコに送信します。アップグレード中に、参加を承諾するか、辞退するかを尋ねられます。また、いつでもオプトインまたはオプトアウトできます。

バージョン 6.2.3+ では、Web 分析のトラッキングは、これに限定されませんが、ページでの操作、ブラウザのバージョン、製品のバージョン、ユーザの場所、FMC の管理 IP アドレスまたはホスト名を含む、個人を特定できない使用状況データをシスコに送信します。現在の設定でオプトアウトが選択されている場合でも、メジャーアップグレードによって Web 分析トラッキングが有効になります。このデータの収集を拒否する場合は、各メジャーアップグレードの後にオプトアウトしてください。

アップグレードにより侵入ルールをインポートして自動的に有効化できます。

現在の Firepower バージョンでサポートされていないキーワードが新しい侵入ルールで使用されている場合、侵入ルールデータベース(SRU)を更新しても、そのルールはインポートされません。

Firepower ソフトウェアをアップグレードし、これらのキーワードがサポートされると、新しい侵入ルールがインポートされ、IPS の設定に応じて自動的に有効化できるため、イベントの生成とトラフィックフローへの影響を開始できます。

サポートされているキーワードは、Firepower ソフトウェアに含まれている Snort のバージョンによって異なります。

  • FMC:[ヘルプ(Help)] > [About(バージョン情報)] を選択します。

  • FDM を使用した FTD:show summary CLI コマンドを使用します。

  • ASDM を使用した ASA FirePOWER:[ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [システム情報(System Information)] を選択します。

また、『Cisco Firepower Compatibility Guide』の「Bundled Components」の項で Snort バージョンを確認することもできます。

Snort リリースノートには、新しいキーワードの詳細が含まれています。https://www.snort.org/downloads でSnort ダウンロードページのリリースノートを参照できます。

応答しないアップグレード

アップグレードしているアプライアンスとの間での変更の展開、またはアップグレードしているアプライアンスの手動での再起動やシャットダウンは行わないでください。進行中のアップグレードを再開しないでください。事前のチェック中に、アップグレード プロセスが停止しているように見える場合がありますが、これは想定内の動作です。アップグレードに失敗する、アプライアンスが応答しないなど、アップグレードで問題が発生した場合には Cisco TAC にお問い合わせください。

アップグレードする最小バージョン

現在のメジャー バージョン シーケンス内だけで Firepower ソフトウェアにパッチを適用できます。パッチは累積されるため、常に最新のパッチに直接スキップできます。

Table 2. Firepower ソフトウェアをバージョン 6.3.0.x にアップグレードするための最小バージョン
プラットフォーム 最小バージョン

Firepower Management Center

FMC 展開のすべての管理対象デバイス。

6.3.0

FDM を使用した Firepower Threat Defense(すべてのプラットフォーム)

6.3.0

ASDM を使用した ASA FirePOWER

6.3.0

時間テストとディスク容量の要件

Firepower アプライアンスをアップグレードするには、十分な空きディスク容量が必要です。これがない場合、アップグレードは失敗します。Firepower Management Center を使用して管理対象デバイスをアップグレードする場合、デバイス アップグレード パッケージに対して、FMC は /Volume パーティションに追加のディスク容量を必要とします。また、アップグレードを実行するための十分な時間を確保してください。

参考のために、社内の時間とディスク容量のテストに関するレポートを提供しています。

時間テストについて

ここで指定した時間の値は、社内のテストに基づいています。


(注)  

特定のプラットフォーム/シリーズについてテストされたすべてのアップグレードの最も遅い時間を報告していますが、複数の理由により(以下を参照)、報告された時間よりも、アップグレードにかかる時間が長くなることがあります。

テスト条件

  • 展開:値は、Firepower Management Center 展開のテストから取得されています。これは、同様の条件の場合、リモートとローカルで管理されているデバイスの raw アップグレード時間が類似しているためです。

  • バージョン:メジャー アップグレードの場合、以前のすべての対象メジャー バージョンからのアップグレードをテストします。パッチについては、ベースバージョンからアップグレードをテストします。

  • モデル:ほとんどの場合、各シリーズの最もローエンドのモデルでテストし、場合によってはシリーズの複数のモデルでテストします。

  • 仮想設定:メモリおよびリソースのデフォルト設定を使用してテストします。

  • ハイアベイラビリティと拡張性:スタンドアロンデバイスでテストします。

    ハイ アベイラビリティの構成またはクラスタ化された構成では、動作の継続性を保持するため、複数のデバイスは 1 つずつアップグレードされます。アップグレード中は、各デバイスはメンテナンス モードで動作します。そのため、デバイス ペアまたはクラスタ全体のアップグレードには、スタンドアロン デバイスのアップグレードよりも長い時間がかかります。 スタック構成の 8000 シリーズ デバイスは同時にアップグレードされ、スタックは、すべてのデバイスのアップグレードが完了するまで、限定的なバージョン混在の状態で動作することに注意してください。これには、スタンドアロン デバイスのアップグレードと比べて大幅に長い時間がかかるということはありません。

  • 構成:構成とトラフィック負荷が最小限のアプライアンスでテストします。

    アップグレード時間は、構成の複雑さ、イベント データベースのサイズ、また、それらがアップグレードから影響を受けるかどうか、受ける場合はどのような影響を受けるかにより、長くなる場合があります。たとえば多くのアクセス制御ルールを使用している場合、アップグレードはこれらのルールの格納方法をバックエンドで変更する必要があるため、アップグレードにはさらに長い時間がかかります。

時間はアップグレードのみを対象

値は、各プラットフォーム上で Firepower アップグレードスクリプトの実行にかかる時間のみを表しています。これらには、次の時間は含まれていません。

  • 管理対象デバイスへのアップグレードパッケージの転送(アップグレード前かアップグレード中かにかかわらない)。

  • 準備状況チェック。

  • VDB と SRU の更新。

  • 設定の展開。

  • リブート(値が別途に報告される場合がある)。

ディスク容量の要件について

容量の見積もりは、すべてのアップグレードについて報告された最大のものです。2020 年前半以降のリリースでは、次のようになります。

  • 切り上げなし(1 MB 未満)。

  • 次の 1 MB に切り上げ(1 MB ~ 100 MB)。

  • 次の 10 MB に切り上げ(100 MB ~ 1 GB)。

  • 次の 100 MB に切り上げ(1 GB を超える容量)。

バージョン 6.3.0.5 の時間とディスク容量

Table 3. バージョン 6.3.0.5 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.3.0 からの時間

FMC

4.9 GB

200 MB

46 分

FMCv:VMware 6.0

4.5 GB

180 MB

41 分

Firepower 2100 シリーズ

2.3 GB

2.3 GB

480 MB

21 分

Firepower 4100 シリーズ

1.6 GB

1.6 GB

280 MB

13 分

Firepower 9300

1.6 GB

1.6 GB

280 MB

17 分

ASA 5500-X シリーズ with FTD

1.7 GB

110 MB

270 MB

26 分

FTDv:VMware 6.0

1.7 GB

110 MB

270 MB

17 分

Firepower 7000/8000 シリーズ

2.6 GB

210 MB

600 MB

23 分

ASA FirePOWER

3.6 GB

47 MB

540 MB

74 分

NGIPSv:VMware 6.0

2.1 GB

160 MB

440 MB

17 分

バージョン 6.3.0.4 の時間とディスク容量

Table 4. バージョン 6.3.0.4 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.3.0 からの時間

FMC

3.4GB

180 MB

34 分

FMCv:VMware 6.0

4.4 GB

180 MB

38 分

Firepower 2100 シリーズ

2.3 GB

2.3 GB

480 MB

17 分

Firepower 4100 シリーズ

1.6 GB

1.6 GB

280 MB

12 分

Firepower 9300

1.8 GB

1.8 GB

280 MB

12 分

ASA 5500-X シリーズ with FTD

1.7 GB

110 MB

270 MB

23 分

FTDv:VMware 6.0

1.7 GB

110 MB

270 MB

18 分

Firepower 7000/8000 シリーズ

3.3 GB

170 MB

600 MB

21 分

ASA FirePOWER

3.5 GB

31 MB

530 MB

48 分

NGIPSv:VMware 6.0

2.1 GB

160 MB

430 MB

16 分

バージョン 6.3.0.3 の時間とディスク容量

Table 5. バージョン 6.3.0.3 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.3.0 からの時間

FMC

3.7 GB

180 MB

33 分

FMCv:VMware 6.0

3.2 GB

180 MB

24 分

Firepower 2100 シリーズ

1.2 GB

1.2 GB

290 MB

18 分

Firepower 4100 シリーズ

990 MB

990 MB

99 MB

11 分

Firepower 9300

990 MB

990 MB

99 MB

12 分

ASA 5500-X シリーズ with FTD

620 MB

110 MB

79 MB

18 分

FTDv:VMware 6.0

240 MB

110 MB

79 MB

7 分

Firepower 7000/8000 シリーズ

2.6 GB

170 MB

400 MB

20 分

ASA FirePOWER

2.9 GB

30 MB

340 MB

45 分

NGIPSv:VMware 6.0

1.5 GB

160 MB

250 MB

4 分

バージョン 6.3.0.2 の時間とディスク容量

Table 6. バージョン 6.3.0.2 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.3.0 からの時間

FMC

3.5 GB

180 MB

53 分

FMCv:VMware 6.0

3.2 GB

180 MB

28 分

Firepower 2100 シリーズ

1.2 GB

1.2 GB

100 MB

17 分

Firepower 4100 シリーズ

970 MB

970 MB

100 MB

12 分

Firepower 9300

970 MB

970 MB

100 MB

11 分

ASA 5500-X シリーズ with FTD

570 MB

110 MB

80 MB

12 分

FTDv:VMware 6.0

600 MB

110 MB

80 MB

10 分

Firepower 7000/8000 シリーズ

[2.5 GB]

170 MB

400 MB

20 分

ASA FirePOWER

3 GB

30 MB

340 MB

45 分

NGIPSv:VMware 6.0

1.5 GB

160 MB

250 MB

10 分

バージョン 6.3.0.1 の時間とディスク容量

Table 7. バージョン 6.3.0.1 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.3.0 からの時間

FMC

3 GB

170 MB

31 分

FMCv:VMware 6.0

2.4 GB

170 MB

25 分

Firepower 2100 シリーズ

1.2 GB

1.2 GB

290 MB

18 分

Firepower 4100 シリーズ

740 MB

740 MB

100 MB

12 分

Firepower 9300

740 MB

740 MB

100 MB

12 分

ASA 5500-X シリーズ with FTD

400 MB

150 MB

72 MB

17 分

FTDv:VMware 6.0

400 MB

150 MB

72 MB

10 分

Firepower 7000/8000 シリーズ

2.1 GB

170 MB

350 MB

20 分

ASA FirePOWER

2.4 GB

28 MB

270 MB

44 分

NGIPSv:VMware 6.0

1.5 GB

150 MB

350 MB

10 分

トラフィック フロー、検査、およびデバイス動作

アップグレード中に発生するトラフィック フローおよびインスペクションでの潜在的な中断を特定する必要があります。これは、次の場合に発生する可能性があります。

  • デバイスが再起動された場合。

  • デバイス上でオペレーティング システムまたは仮想ホスティング環境をアップグレードする場合。

  • デバイス上で Firepower ソフトウェアをアップグレードするか、パッチをアンインストールする場合。

  • アップグレードまたはアンインストール プロセスの一部として設定変更を展開する場合(Snort プロセスが再開します)。

デバイスのタイプ、展開のタイプ(スタンドアロン、ハイ アベイラビリティ、クラスタ化)、およびインターフェイスの設定(パッシブ、IPS、ファイアウォールなど)によって中断の性質が決まります。アップグレードまたはアンインストールは、保守期間中に行うか、中断による展開環境への影響が最も小さい時点で行うことを強く推奨します。

FTD アップグレード時の動作: Firepower 4100/9300 シャーシ

このセクションでは、FTD を搭載した Firepower 4100/9300 シャーシをアップグレードするときのデバイスとトラフィックの動作を説明します。

Firepower 4100/9300 シャーシ:FXOS のアップグレード

シャーシ間クラスタリングまたはハイアベイラビリティペアの構成がある場合でも、各シャーシの FXOS を個別にアップグレードします。アップグレードの実行方法により、FXOS のアップグレード時にデバイスがトラフィックを処理する方法が決定されます。

表 8. FXOS アップグレード中のトラフィックの動作
展開 方法 トラフィックの動作

スタンドアロン

ドロップされる

ハイアベイラビリティ

ベストプラクティス:スタンバイで FXOS を更新し、アクティブピアを切り替えて新しいスタンバイをアップグレードします。

影響なし

スタンバイでアップグレードが終了する前に、アクティブピアで FXOS をアップグレードします。

1 つのピアがオンラインになるまでドロップされる

シャーシ間クラスタ(6.2 以降)

ベストプラクティス:少なくとも 1 つのモジュールを常にオンラインにするため、一度に 1 つのシャーシをアップグレードします。

影響なし

ある時点ですべてのモジュールを停止するため、シャーシを同時にアップグレードします。

少なくとも 1 つのモジュールがオンラインになるまでドロップされる

シャーシ内クラスタ(Firepower 9300 のみ)

Fail-to-wire 有効:[バイパス:スタンバイ(Bypass: Standby)] または [バイパス:強制(Bypass‑Force)] (6.1 以降)

インスペクションなしで転送

Fail-to-wire 無効:[バイパス:無効(Bypass: Disabled)] (6.1 以降)

少なくとも 1 つのモジュールがオンラインになるまでドロップされる

fail-to-wire モジュールなし。

少なくとも 1 つのモジュールがオンラインになるまでドロップされる

スタンドアロン FTD デバイス:Firepower ソフトウェアのアップグレード

インターフェイスの設定により、アップグレード中にスタンドアロンデバイスがトラフィックを処理する方法が決定されます。

表 9. Firepower ソフトウェアアップグレード中のトラフィックの動作:スタンドアロン FTD デバイス
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチドインターフェイスは、ブリッジグループまたはトランスペアレント インターフェイスとしても知られています。

ドロップされる

IPS のみのインターフェイス

インラインセット、fail-to-wire が有効:[バイパス:スタンバイ(Bypass: Standby)] または [バイパス:強制(Bypass‑Force)](6.1 以降)

次のいずれかを行います。

  • ドロップ(6.1 から 6.2.2.x)

  • インスペクションなしで転送(6.2.3 以降)

インラインセット、fail-to-wire が無効:[バイパス:無効(Bypass: Disabled)](6.1 以降)

ドロップされる

インラインセット、fail-to-wire モジュールなし

ドロップされる

インラインセット、タップモード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

ハイアベイラビリティペア:FirePOWER ソフトウェアアップグレード

ハイアベイラビリティペアのデバイスの FirePOWER ソフトウェアをアップグレードする間に、トラフィックフローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンスモードで稼働します。

スタンバイ側のデバイスが最初にアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレードプロセスによって元の役割に切り替わります。

クラスタ:FirePOWER ソフトウェアアップグレード

Firepower Threat Defense クラスタのデバイスで FirePOWER ソフトウェアをアップグレードする間に、トラフィックフローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンスモードで稼働します。

スレーブ セキュリティ モジュールを最初にアップグレードして、その後マスターをアップグレードします。アップグレード中、セキュリティモジュールはメンテナンスモードで稼働します。

マスター セキュリティ モジュールをアップグレードする間、通常トラフィック インスペクションと処理は続行しますが、システムはロギングイベントを停止します。ロギングダウンタイム中に処理されるトラフィックのイベントは、アップグレードが完了した後、非同期のタイムスタンプ付きで表示されます。ただし、ロギングダウンタイムが大きい場合、システムはログ記録する前に最も古いイベントをプルーニングすることがあります。


(注)  
バージョン 6.2.0、6.2.0.1、または 6.2.0.2 からシャーシ間クラスタをアップグレードすると、各モジュールがクラスタから削除されるときに、トラフィック インスペクションで 2 ~ 3 秒のトラフィック中断が発生します。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、デバイスがトラフィックを処理する方法に応じて異なります。

ハイアベイラビリティとクラスタリング ヒットレス アップグレードの要件

ヒットレスアップグレードの実行には、次の追加要件があります。

フローオフロード:フローオフロード機能でのバグ修正により、FXOS と FTD のいくつかの組み合わせはフローオフロードをサポートしていません。『Cisco Firepower Compatibility Guide』を参照してください。ハイアベイラビリティまたはクラスタ化された展開でヒットレスアップグレードを実行するには、常に互換性のある組み合わせを実行していることを確認する必要があります。

アップグレードパスに FXOS の2.2.2.91、2.3.1.130、またはそれ以降のアップグレード(FXOS 2.4.1. x、2.6.1 などを含む)が含まれている場合、次のパスを使用します。

1. FTD を 6.2.2.2 以降にアップグレードします。

2. FXOS を 2.2.2.91、2.3.1.130、またはそれ以降にアップグレードします。

3. FTD を最終バージョンにアップグレードします。

たとえば、FXOS 2.2.2.17/FTD 6.2.2.0 を実行していて、FXOS 2.6.1/FTD 6.4.0 にアップグレードする場合は、次を実行できます。

1. FTD を 6.2.2.5 にアップグレードします。

2. FXOS を 2.6.1 にアップグレードします。

3. FTD を 6.4.0 にアップグレードします。

バージョン 6.1.0 へのアップグレード:FTD ハイアベイラビリティペアのバージョン 6.1.0 へのヒットレスアップグレードを実行するには、プレインストールパッケージが必要です。詳細については、『Firepower System Release Notes Version 6.1.0 Preinstallation Package』を参照してください。

展開時のトラフィックの動作

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、Snort プロセスを再起動すると、HA/スケーラビリティ用に設定されたものを含め、すべての Firepower デバイスでトラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 10. FTD 展開時のトラフィックの動作
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチドインターフェイスは、ブリッジグループまたはトランスペアレント インターフェイスとしても知られています。

ドロップされる

IPS のみのインターフェイス

インラインセット、[フェールセーフ(Failsafe)] が有効または無効(6.0.1 ~ 6.1.0.x)

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インラインセット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:無効(6.2 以降)

ドロップされる

インラインセット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:有効(6.2+)

インスペクションなしで転送

インラインセット、タップモード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

FTD アップグレード時の動作:その他のデバイス

このセクションでは、Firepower 1000/2100 シリーズ、ASA 5500-X シリーズ、ISA 3000、および FTDv で Firepower Threat Defense をアップグレードするときのデバイスとトラフィックの動作を説明します。

スタンドアロン FTD デバイス:Firepower ソフトウェアのアップグレード

インターフェイスの設定により、アップグレード中にスタンドアロンデバイスがトラフィックを処理する方法が決定されます。

表 11. Firepower ソフトウェアアップグレード中のトラフィックの動作:スタンドアロン FTD デバイス
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチドインターフェイスは、ブリッジグループまたはトランスペアレント インターフェイスとしても知られています。

ドロップされる

IPS のみのインターフェイス

インラインセット、fail-to-wire が有効:[バイパス:スタンバイ(Bypass: Standby)] または [バイパス:強制(Bypass‑Force)](6.1 以降)

次のいずれかを行います。

  • ドロップ(6.1 から 6.2.2.x)

  • インスペクションなしで転送(6.2.3 以降)

インラインセット、fail-to-wire が無効:[バイパス:無効(Bypass: Disabled)](6.1 以降)

ドロップされる

インラインセット、fail-to-wire モジュールなし

ドロップされる

インラインセット、タップモード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

ハイアベイラビリティペア:FirePOWER ソフトウェアアップグレード

ハイアベイラビリティペアのデバイスの FirePOWER ソフトウェアをアップグレードする間に、トラフィックフローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンスモードで稼働します。

スタンバイ側のデバイスが最初にアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレードプロセスによって元の役割に切り替わります。

展開時のトラフィックの動作

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、Snort プロセスを再起動すると、HA/スケーラビリティ用に設定されたものを含め、すべての Firepower デバイスでトラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 12. FTD 展開時のトラフィックの動作
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチドインターフェイスは、ブリッジグループまたはトランスペアレント インターフェイスとしても知られています。

ドロップされる

IPS のみのインターフェイス

インラインセット、[フェールセーフ(Failsafe)] が有効または無効(6.0.1 ~ 6.1.0.x)

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インラインセット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:無効(6.2 以降)

ドロップされる

インラインセット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:有効(6.2+)

インスペクションなしで転送

インラインセット、タップモード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

FirePOWER 7000/8000 シリーズのアップグレード時の動作

次のセクションでは、Firepower 7000/8000 シリーズ デバイスをアップグレードする際のデバイスおよびトラフィックの動作について説明します。

スタンドアロン 7000/8000 シリーズ:Firepower ソフトウェアのアップグレード

インターフェイスの設定により、アップグレード中にスタンドアロンデバイスがトラフィックを処理する方法が決定されます。

表 13. アップグレード中のトラフィックの動作:スタンドアロン 7000/8000 シリーズ
インターフェイスの設定 トラフィックの動作

インライン、ハードウェア バイパスが有効([バイパスモード:バイパス(Bypass Mode: Bypass)])

インスペクションなしで転送。ただし、トラフィックは、次の 2 つのポイントで一時的に中断します。

  • アップグレード プロセスの開始時に、リンクがダウンしてから復旧(フラップ)し、ネットワーク カードがハードウェア バイパスに切り替わるとき。

  • アップグレードが完了した後、リンクが復旧し、ネットワーク カードがバイパスから切り替わるとき。インスペクションはエンドポイントの再接続後に再開され、デバイス インターフェイスとのリンクを再確立します。

インライン、ハードウェア バイパス モジュールなし、またはハードウェア バイパスが無効([バイパスモード:非バイパス(Bypass Mode: Non‑Bypass)])

ドロップされる

インライン、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ

中断なし、インスペクションなし

ルーテッド、スイッチド

ドロップされる

7000/8000 シリーズ ハイ アベイラビリティ ペア:Firepower ソフトウェアのアップグレード

ハイ アベイラビリティ ペアのデバイス(またはデバイス スタック)をアップグレードする間に、トラフィック フローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンスモードで稼働します。

最初にアップグレードするピアは、展開によって異なります。

  • ルーテッドまたはスイッチド:最初にスタンバイがアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレードプロセスによって元の役割に切り替わります。

  • アクセス制御のみ:最初にアクティブがアップグレードされます。アップグレードの完了時に、アクティブとスタンバイの以前の役割がデバイスで維持されます。

8000 シリーズ スタック:FirePOWER ソフトウェア アップグレード

8000 シリーズ スタックでは、デバイスは同時にアップグレードされます。プライマリ デバイスがアップグレードを完了してスタックが動作を再開するまで、トラフィックはスタックがスタンドアロン デバイスであったかのように影響を受けます。すべてのデバイスがアップグレードを完了するまで、スタックは、制限付きの混合バージョンの状態で動作します。

展開時のトラフィックの動作

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、Snort プロセスを再起動すると、HA/スケーラビリティ用に設定されたものを含め、すべての Firepower デバイスでトラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 14. 展開時のトラフィックの動作:7000/8000 シリーズ
インターフェイスの設定 トラフィックの動作

インライン、[フェールセーフ(Failsafe)] が有効または無効

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インライン、タップ モード

すぐにパケットを出力し、バイパス Snort をコピーする

パッシブ

中断なし、インスペクションなし

ルーテッド、スイッチド

ドロップされる

ASA FirePOWER アップグレード時の動作

Snort プロセスを再起動する特定の設定を展開する場合を含め、モジュールが FirePOWER ソフトウェア アップグレード中にトラフィックを処理する方法を決定する、ASA FirePOWER モジュールへのトラフィック リダイレクトに関する ASA サービス ポリシーです。

表 15. ASA FirePOWER アップグレード中のトラフィックの動作
トラフィック リダイレクト ポリシー トラフィックの動作

フェール オープン(sfr fail-open

インスペクションなしで転送

フェール クローズ(sfr fail-close

ドロップされる

モニタのみ(sfr {fail-close}|{fail-open} monitor-only

パケットをただちに出力、コピーへのインスペクションなし

ASA FirePOWER 展開時のトラフィックの動作

Snort プロセスが再起動している間のトラフィックの動作は、ASA FirePOWER モジュールをアップグレードする場合と同じです。

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。 さらに、Snort プロセスを再起動すると、トラフィック インスペクションが中断されます。サービス ポリシーにより、中断中にインスペクションせずにトラフィックをドロップするか通過するかが決定されます。

NGIPSv アップグレード時の動作

このセクションでは、NGIPSvをアップグレードするときのデバイスとトラフィックの動作を説明します。

Firepower ソフトウェア アップグレード

インターフェイスの設定により、アップグレード中に NGIPSv がトラフィックを処理する方法が決定されます。

表 16. NGIPSv アップグレード中のトラフィックの動作
インターフェイスの設定 トラフィックの動作

インライン

ドロップされる

インライン、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ

中断なし、インスペクションなし

展開時のトラフィックの動作

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。さらに、Snort プロセスを再起動すると、トラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 17. NGIPSv 展開時のトラフィックの動作
インターフェイスの設定 トラフィックの動作

インライン、[フェールセーフ(Failsafe)] が有効または無効

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インライン、タップ モード

すぐにパケットを出力し、バイパス Snort をコピーする

パッシブ

中断なし、インスペクションなし

アップグレード手順

リリース ノートにはアップグレード手順は含まれていません。これらのリリース ノートに記載されているガイドラインと警告を読んだ後、次のいずれかを参照してください。

アップグレードパッケージ

アップグレード パッケージは、 シスコ サポートおよびダウンロード サイトで入手できます。

署名付きの(.tar)パッケージは解凍しないでください。

Table 18. のアップグレード パッケージ バージョン 6.3.0.x
プラットフォーム パッケージ

FMC/FMCv

Cisco_Firepower_Mgmt_Center_Patch-version-build.sh.REL.tar

Firepower 2100 シリーズ

Cisco_FTD_SSP_FP2K_Patch-version-build.sh.REL.tar

Firepower 4100/9300 シャーシ

Cisco_FTD_SSP_Patch-version-build.sh.REL.tar

FTD を搭載した ASA 5500-X シリーズ

FTD を搭載した ISA 3000

Firepower Threat Defense 仮想

Cisco_FTD_Patch-version-build.sh.REL.tar

Firepower 7000/8000 シリーズ

Cisco_Firepower_NGIPS_Appliance_Patch-version-build.sh.REL.tar

ASA FirePOWER

Cisco_Network_Sensor_Patch-version-build.sh.REL.tar

NGIPSv

Cisco_Firepower_NGIPS_Virtual_Patch-version-build.sh.REL.tar