バージョン 6.3.0 へのアップグレード

この章では、バージョン 6.3.0 の重要なリリースに固有の情報を提供します。

また、 新機能、廃止された機能とプラットフォーム、メニューと用語の変更、ブラックリストに登録された FlexConfig コマンドなどの情報に関して「特長と機能」に目を通す必要があります。

バージョン 6.2.3 に関するガイドラインと警告 バージョン 6.3.0

このチェックリストには、バージョン 6.3.0 に関する新しい重要なアップグレード ガイドラインと警告が含まれています。

表 1. バージョン 6.3.0 の新しいガイドライン
ガイドライン プラットフォーム アップグレード元 直接アップグレード先

バージョン 6.3+ に再イメージ化すると、ほとんどのアプライアンスで LOM が無効になる。

FMC(物理)

Firepower 7000/8000 シリーズ

任意

6.3.0 以降

Firepower 4100/9300 では FXOS のアップグレードの前に FTD プッシュが必要

Firepower 4100/9300

6.1.x

6.3.0 のみ

FMC、7000/8000 シリーズ、NGIPSv で準備状況チェックに失敗する可能性

FMC

Firepower 7000/8000 シリーズ

NGIPSv

6.1.0 ~ 6.1.0.6

6.2.0 ~ 6.2.0.6

6.2.1

6.2.2 ~ 6.2.2.4

6.2.3 ~ 6.2.3.4

6.3.0+

名前が変更されたアップグレードとインストール パッケージ

FMC

Firepower 7000/8000 シリーズ

NGIPSv

6.1.0 ~ 6.2.3.x

6.3.0+

アプライアンスへのアクセスの更新されたセキュリティ

任意

6.1.0 ~ 6.2.3.x

6.3.0+

セキュリティ インテリジェンスによって可能になるアプリケーションの識別

FMC の展開

6.1.0 ~ 6.2.3.x

6.3.0+

アップグレード後に VDB を更新して CIP 検出を有効化

任意

6.1.0 ~ 6.2.3.x

6.3.0+

無効な侵入変数セットによって展開に失敗する可能性

任意

6.1.0 ~ 6.2.3.x

6.3.0+

接続イベントと侵入イベントに関する Syslog の動作の変更

FMC

6.1.0 ~ 6.2.3.x

6.3.0+

FMC および ASA FirePOWER へのバージョン 6.3.0-83 アップグレードに失敗する可能性

FMC

ASDM を使用した ASA FirePOWER

6.1.0 ~ 6.2.3.x

6.3.0 のみ

アップグレードでの TLS/SSL ハードウェア アクセラレーションの有効化

Firepower 2100 シリーズ

Firepower 4100/9300

6.1.0 ~ 6.2.3.x

6.3.0 のみ

URL フィルタリング キャッシュのタイムアウトが変更される可能性

任意

6.2.3.x

6.3.0+

MC1000、2500、および 4500 用プレインストール ホットフィックス(必須)

MC1000、2500、および 4500

6.2.x

6.3.0+

リモート アクセス VPN のデフォルト設定の変更によって VPN トラフィックがブロックされる可能性

FMC を使用した FTD

6.2.x

6.3.0+

FTD/FDM アップグレード時に削除されるデータ レポート機能

FDM を使用した FTD

6.2.x

6.3.0 のみ

MC1000、2500、および 4500 用プレインストール ホットフィックス(必須)

展開: Firepower Management Center モデル MC1000、2500、および 4500

アップグレード元:バージョン 6.2.x

直接アップグレード先:バージョン 6.3 +

MC1000、MC2500、または MC4500 をバージョン 6.2.x からバージョン 6.3 + にアップグレードする前に、プレインストール ホットフィックスを適用する必要があります。このホットフィックスにより、RAID コントローラのファームウェアが更新されます。ホットフィックスを適用しないと、バージョン 6.3+ を実行している、影響を受けるアップグレード済み FMC でパフォーマンス上の問題が発生する可能性があります。その他のアプライアンス(バージョン 6.3+ の新しい FMC または再イメージ化された FMC を含む)にはホットフィックスを適用しないでください。

ホットフィックスは シスコ サポートおよびダウンロード サイト で入手可能であり、お使いの現在のバージョンのアップグレード パッケージおよびインストール パッケージと同じ場所にあります。ホットフィックスを適用するには、通常のアップグレード ページ([システム(System)] > [更新(Updates)])を使用します。

表 2. プレインストール ホットフィックス パッケージ
現在のバージョン ホットフィックス パッケージ

6.3+

ホットフィックスを適用せずに 6.3+ にアップグレードした場合は、Cisco TAC に連絡してください。

6.2.3.x

ホットフィックス AJ

Sourcefire_3D_Defense_Center_S3_Hotfix_AJ-6.2.3.999-5.sh.REL.tar

6.2.2.x

ホットフィックス BY

Sourcefire_3D_Defense_Center_S3_Hotfix_BY-6.2.2.999-1.sh.REL.tar

6.2.1

バージョン 6.2.3 にアップグレードし、ホットフィックス AJ を適用します。

6.2.0.x

ホットフィックス CD

Sourcefire_3D_Defense_Center_S3_Hotfix_CD-6.2.0.999-1.sh

FMC、7000/8000 シリーズ、NGIPSv で準備状況チェックに失敗する可能性

展開:FMC、7000/8000 シリーズ デバイス、NGIPSv

アップグレード元:バージョン 6.1.0 ~ 6.1.0.6、バージョン 6.2.0 ~ 6.2.0.6、バージョン 6.2.1、バージョン 6.2.2 ~ 6.2.2.4、およびバージョン 6.2.3 ~ 6.2.3.4

直接アップグレード先:バージョン 6.3 +

次に示すバージョンの Firepower のいずれかからアップグレードする場合は、そこに示されているモデルで準備状態チェックを実行できません。これは、準備状況チェック プロセスが新しいアップグレード パッケージに対して互換性を持たないためです。

表 3. バージョン 6.3 + 用の準備状況チェックを備えたパッチ
準備完了チェックがサポートされない 修正された最初のパッチ

6.1.0 ~ 6.1.0.6

6.1.0.7

6.2.0 ~ 6.2.0.6

6.2.0.7

6.2.1

なし。バージョン 6.2.3.5+ にアップグレードしてください。

6.2.2 ~ 6.2.2.4

6.2.2.5

6.2.3 ~ 6.2.3.4

6.2.3.5

アプライアンスへのアクセスの更新されたセキュリティ

展開:すべて

アップグレード元:バージョン 6.1 ~ 6.2.3.x

直接アップグレード先:バージョン 6.3 +

セキュリティを強化するために、バージョン 6.3 では、セキュア SSH アクセスのためにサポートされる暗号と暗号化アルゴリズムのリストが更新されました。暗号エラーのために SSH クライアントが Firepower アプライアンスとの接続に失敗する場合は、クライアントを最新バージョンに更新してください。

セキュリティ インテリジェンスによって可能になるアプリケーションの識別

展開:Firepower Management Center

アップグレード元:バージョン 6.1 ~ 6.2.3.x

直接アップグレード先:バージョン 6.3 +

バージョン 6.3 では、セキュリティ インテリジェンスの設定によりアプリケーションの検出と識別が可能になります。現在の展開で検出を無効にした場合は、アップグレード プロセスによって再び検出が有効になる可能性があります。必要がない場合(たとえば、IPS のみの展開など)に検出を無効にするとパフォーマンスが向上する可能性があります。

検出を無効にするには、次の手順を実行する必要があります。

  • ネットワーク検出ポリシーからすべてのルールを削除します。

  • 単純なネットワークベースの条件(ゾーン、IP アドレス、VLAN タグ、およびポート)のみを使用してアクセス制御を実行します。どんな種類のアプリケーション、ユーザ、URL、または地理位置情報の制御も行わないでください。

  • (新規)デフォルトのグローバル リストなど、アクセス コントロール ポリシーのセキュリティ インテリジェンス設定からすべてのホワイトリストとブラックリストを削除することで、ネットワークと URL ベースのセキュリティ インテリジェンスを無効にします。

  • (新規)DNS のデフォルトのグローバル ホワイトリストや DNS ルールのグローバル ブラックリストなど、関連付けられている DNS ポリシー内のすべてのルールを削除または無効にすることで、DNS ベースのセキュリティ インテリジェンスを無効にします。

アップグレード後に VDB を更新して CIP 検出を有効化

展開:すべて

アップグレード元:バージョン 6.1 ~ 6.2.x、VDB 299+ 搭載

直接アップグレード先:バージョン 6.3 +

脆弱性データベース(VDB)299 以降を使用しているときにアップグレードする場合、アップグレード プロセスの問題により、アップグレード後の CIP 検出を使用できなくなります。これには、2018 年 6 月から現在までにリリースされたすべての VDB に加えて、最新の VDB も含まれます。

アップグレード後は常に脆弱性データベース(VDB)を最新バージョンに更新することを推奨しますが、この場合は特に重要です。

この問題の影響を受けるかどうかを確認するには、CIP ベース アプリケーションの条件を使用して、アクセス制御ルールを設定してみてください。ルール エディタで CIP アプリケーションが見つからない場合は、手動で VDB を更新します。

無効な侵入変数セットによって展開に失敗する可能性

展開:すべて

アップグレード元:バージョン 6.1 ~ 6.2.3.x

直接アップグレード先:バージョン 6.3.0+

侵入変数セット内のネットワーク変数については、除外する IP アドレスが、含める IP アドレスのサブセットである必要があります。次の表に、有効な設定と無効な設定の例を示します。

有効 無効

含める:10.0.0.0/8

除外する:10.1.0.0/16

含める:10.1.0.0/16

除外する:172.16.0.0/12

除外する:10.0.0.0/8

バージョン 6.3.0 より前のバージョンでは、このタイプの無効な設定でネットワーク変数を正常に保存できました。現在のバージョンでは、これらの設定によって展開がブロックされ、次のエラーが表示されます。「Variable set has invalid excluded values.」

この場合は、正しく設定されていない変数セットを識別して編集してから展開しなおしてください。変数セットによって参照されているネットワーク オブジェクトおよびグループの編集が必要である場合もあることに注意してください。

リモート アクセス VPN のデフォルト設定の変更によって VPN トラフィックがブロックされる可能性

展開:リモート アクセス VPN 用に設定された Firepower Threat Defense

アップグレード元:バージョン 6.2.x

直接アップグレード先:バージョン 6.3 +

バージョン6.3では非表示オプションの sysopt connection permit-vpn のデフォルト設定が変更されています。アップグレードすると、リモート アクセス VPN がトラフィックを渡さなくなる可能性があります。この場合は、次のいずれかの手法を使用してください。

  • sysopt connection permit-vpn コマンドを設定する FlexConfig オブジェクトを作成します。このコマンドの新しいデフォルトは no sysopt connection permit-vpn です。

    これは、外部ユーザがリモート アクセス VPN アドレス プール内の IP アドレスになりすますことができないため、VPN でトラフィックを許可するよりも安全な方法です。欠点は VPN トラフィックが検査されないことです。つまり、侵入とファイルの保護、URL フィルタリング、その他の高度な機能がトラフィックに適用されません。

  • リモート アクセス VPN アドレス プールからの接続を許可するアクセス制御ルールを作成します。

    この方法では、VPN トラフィックが確実に検査され、高度なサービスを接続に適用できます。欠点は、外部のユーザが IP アドレスをスプーフィングして、内部ネットワークにアクセスしやすくなることです。

URL フィルタリング キャッシュのタイムアウトが変更される可能性

展開:すべて

アップグレード元:バージョン 6.2.3.x

直接アップグレード先:バージョン 6.3.0+

バージョン 6.3.0 の新機能として、GUI で URL フィルタリング キャッシュのタイムアウト値を設定できます。古いデータと一致する URL のインスタンスを最小限に抑えるため、キャッシュ内の URL を期限切れに設定できます。Cisco TAC と連携して URL フィルタリング キャッシュのタイムアウト値を変更している場合、アップグレードによってその値が変更される可能性があります。

アップグレード完了後、

  • FMC[システム(System)] > [統合(Integration)] を選択し、[Cisco CSI] タブをクリックして、[キャッシュされたURLの期限切れ(Cached URLs Expire)] 設定を確認します。

  • FDM[システム設定(System Settings)] > [トラフィック設定(Traffic Settings)] > [URLフィルタリングの設定(URL Filtering Preferences)] を選択し、[URL存続可能時間(URL Time to Live)] 設定を確認します。

接続イベントと侵入イベントに関する Syslog の動作の変更

展開:Firepower Management Center

アップグレード元:バージョン 6.1.0 ~ 6.2.3.x

直接アップグレード先:バージョン 6.3.0+

バージョン 6.3.0 では、システムが Syslog を介して接続イベントと侵入イベントをログに記録する方法が変更され、一元化されています。アクセス コントロール ポリシーの新しい [ロギング(Logging)] タブでこれらの設定にアクセスできます。

アップグレードによって接続イベント ログの既存の設定が変更されることはありません。ただし、Syslog 経由では「期待されなかった」侵入イベントの受信が突然開始される可能性があります。これは、バージョン 6.3.0+ にアップグレードすると、侵入ポリシーによって、Syslog イベントが新しい [ロギング(Logging)] タブ上の宛先に送信されるためです(バージョン 6.3.0 以前では、外部ホストではなく、管理対象デバイス自体の Syslog にイベントを送信するように侵入ポリシーで Syslog アラートを設定できました)。

また、NGIPS デバイス(7000/8000 シリーズ、ASA FirePOWER、NGIPSv)から送信されるメッセージで、RFC 5425 で指定されている ISO 8601 タイムスタンプ形式が使用されるようになりました。

名前が変更されたアップグレードとインストール パッケージ

展開: FMC、7000/8000 シリーズ、NGIPSv

アップグレード元:バージョン 6.1.0 ~ 6.2.3.x

直接アップグレード先:バージョン 6.3 +

アップグレード、パッチ、ホットフィックス、およびインストール パッケージの命名スキーム(名前の最初の部分)は、当該プラットフォーム上で「Version 6.3.0」で始まるように変更されました。


(注)  

この変更により、古い物理アプライアンス(DC750、1500、2000、3500、4000 のほか、7000/8000 シリーズ デバイスと AMP モデル)の再イメージ化に関する問題が発生します。バージョン 5.x を現在実行していて、これらのアプライアンスのいずれかにバージョン 6.3.0 または 6.4.0 を新規インストールする必要がある場合は、シスコ サポートおよびダウンロード サイト からインストール パッケージをダウンロードした後、その名前を「古い」名前に変更します。
表 4. 命名スキーム:アップグレード、パッチ、およびホットフィックス パッケージ
プラットフォーム 命名方式

FMC

新: Cisco_Firepower_Mgmt_Center

旧: Sourcefire_3D_Defense_Center_S3

Firepower 7000/8000 シリーズ

新: Cisco_Firepower_NGIPS_Appliance

旧: Sourcefire_3D_Device_S3

NGIPSv

新: Cisco_Firepower_NGIPS_Virtual

旧: Sourcefire_3D_Device_VMware

旧: Sourcefire_3D_Device_Virtual64_VMware

表 5. 命名スキーム:インストール パッケージ
プラットフォーム 命名方式

FMC (物理)

新: Cisco_Firepower_Mgmt_Center

旧: Sourcefire_Defense_Center_M4

旧: Sourcefire_Defense_Center_S3

FMCv: VMware

新: Cisco_Firepower_Mgmt_Center_Virtual_VMware

旧: Cisco_Firepower_Management_Center_Virtual_VMware

FMCv: KVM

新: Cisco_Firepower_Mgmt_Center_Virtual_KVM

旧: Cisco_Firepower_Management_Center_Virtual

Firepower 7000/8000 シリーズ

新: Cisco_Firepower_NGIPS_Appliance

旧: Sourcefire_3D_Device_S3

NGIPSv

新: Cisco_Firepower_NGIPSv_VMware

旧: Cisco_Firepower_NGIPS_VMware

Firepower 4100/9300 では FXOS のアップグレードの前に FTD プッシュが必要

展開:FTD を搭載した Firepower 4100/9300

アップグレード元:FXOS 2.0.1、2.1.1、または 2.3.1 上のバージョン 6.1.x

直接アップグレード先:FXOS 2.4.1 上のバージョン 6.3.0

Firepower Management Center がバージョン 6.2.3+ を実行している場合は、アップグレードの前に Firepower アップグレード パッケージを管理対象デバイスにプッシュ(コピー)することを強くお勧めします。これにより、アップグレード メンテナンス ウィンドウの長さを縮小できます。

FTD を搭載した Firepower 4100/9300 の場合、必要な付属する FXOS のアップグレードを開始する前にプッシュすることをお勧めします。また、バージョン 6.1 からバージョン 6.3+ に直接アップグレードする場合は、このプッシュが必須です。FXOS をアップグレードする前にプッシュする必要があります。

これは、Firepower 6.1 を実行したまま FXOS をバージョン 2.4.1 にアップグレードすると、デバイス管理ポートがフラップする(そのため、デバイスと FMC の間で断続的な通信上の問題が発生する)ためです。「sftunnel daemon exited」というアラームが表示される可能性があり、長時間の通信をともなうタスク(大規模なアップグレード パッケージのプッシュなど)が失敗する可能性があります。

FTD を搭載した Firepower 4100/9300 をアップグレードするには、必ず次の手順に従ってください。

  1. FMC をターゲット バージョンにアップグレードします。

  2. シスコ サポートおよびダウンロード サイト からデバイス アップグレード パッケージを取得し、それを FMC にアップロードします。

  3. FMC を使用してアップグレード パッケージをデバイスにプッシュします。

  4. プッシュが完了したら、FXOS をターゲット バージョンにアップグレードします。

  5. すぐに、FMC を使用してデバイス上の Firepower ソフトウェアをアップグレードします。

    Firepower ソフトウェアをアップグレードするまでは、管理ポートのフラップが発生する可能性があることに注意してください。

FTD/FDM アップグレード時に削除されるデータ レポート機能

展開:Firepower Device Manager

アップグレード元:バージョン 6.2.x

直接アップグレード先:バージョン 6.3 のみ

短期間のデータをレポートする機能が、バージョン 6.3 のアップグレード時に削除されます。アップグレード後に、アップグレード前の日の短い時間範囲をクエリしようとすると、利用可能なデータに合わせてクエリが調整されます。たとえば、ある日の午後 1 ~ 3 時をクエリした場合、システムに 24 時間データしかないと、その日全体がレポートされます。

アップグレードでの TLS/SSL ハードウェア アクセラレーションの有効化

展開:Firepower 2100 シリーズ、Firepower 4100/9300 シャーシ

アップグレード元:バージョン 6.1.0 ~ 6.2.3.x

直接アップグレード先:バージョン 6.3.0 のみ

アップグレード プロセスにより、対象デバイスの TLS/SSL ハードウェア アクセラレーション(TLS 暗号化アクセラレーションと呼ばれる場合もあります)が自動的に有効になります。この機能は、導入されたバージョン 6.2.3 では Firepower 4100/9300 シャーシ 上でデフォルトで無効になっており、Firepower 2100 シリーズのデバイスでは利用できませんでした。

トラフィックを復号しない管理対象デバイスで TLS/SSL ハードウェア アクセラレーション を使用すると、パフォーマンスに影響を与えることがあります。トラフィックを復号しないデバイスではこの機能を無効にすることをお勧めします。

無効にするには、次の CLI コマンドを使用します。

system support ssl-hw-offload disable

バージョン 6.3+ に再イメージ化すると、ほとんどのアプライアンスで LOM が無効になる。

展開:物理 FMC、7000/8000 シリーズ デバイス

再イメージ化元:バージョン 6.0+

直接アップグレード先:バージョン 6.3 +

バージョン 6.3+ を新規インストールすると、セキュリティ上の理由から、ほとんどのアプライアンスの Lights-Out 管理(LOM)設定が自動的に削除されます。いくつかの古い FMC モデルでは、管理ネットワーク設定とともに LOM 設定を保持するオプションが用意されています。

バージョン 6.3+ の再イメージ化中にネットワーク設定を削除する場合は、初期設定を実行するためにアプライアンスに物理的にアクセスできることを確認する必要があります。LOM を使用することはできません。初期設定を実行した後、LOM と LOM ユーザを再度有効にすることができます。

表 6. LOM 設定への再イメージ化の影響
プラットフォーム バージョン 6.2.3 以前への再イメージ化 バージョン 6.3+ への再イメージ化

MC1000、2500、4500

MC2000、4000

削除されない

常に削除される

MC750、1500、3500

ネットワーク設定を削除すると削除される

ネットワーク設定を削除すると削除される

7000/8000 シリーズ

常に削除される

常に削除される

FMC および ASA FirePOWER へのバージョン 6.3.0-83 アップグレードに失敗する可能性

展開: Firepower Management CenterASA FirePOWER(ローカル管理)

アップグレード元:バージョン 6.1.0 ~ 6.2.3.x

直接アップグレード先:バージョン 6.3.0-83

一部の Firepower Management Center およびローカル(ASDM)管理された ASA FirePOWER モジュール では、バージョン 6.3.0、ビルド 83 でのアップグレードに失敗していました。この問題は、バージョン 5.4.x からアップグレードした一部のお客様に限られていました。詳細については、シスコのバグ検索ツールで CSCvn62123 を参照してください。

新しいアップグレード パッケージが利用可能になりました。バージョン 6.3.0-83 アップグレード パッケージをダウンロードした場合は、使用しないでください。この問題のためにすでにアップグレードに失敗した場合は、Cisco TAC に連絡してください。

以前に公開されたガイドラインと警告

アップグレード パスでメジャー バージョンがスキップされる場合は、このチェックリストを確認してください。いくつかの以前のメジャー バージョンからバージョン 6.3.0 にアップグレードできます。アップグレードする最小バージョンを参照してください。

表 7. 以前に公開されたガイドライン

ガイドライン

プラットフォーム

アップグレード元

直接アップグレード先

アクセス コントロールでは SRU から遅延ベースのパフォーマンス設定を取得可能

FMC

6.1.x

6.2.0+

FTD での「フェールセーフ」から「Snort フェール オープン」への置き換え

FMC を使用した FTD

6.1.x

6.2.0+

バージョン 6.2.0 からの FDM アップグレードが失敗する可能性

FDM を使用した FTD

6.2.0 のみ

6.2.2+

レポートの結果の制限の変更

FMC

6.1.0 ~ 6.2.2.x

6.2.3+

アップグレードの前にバージョン 6.1.x FTD クラスタからサイト ID を削除

FTD クラスタ

6.1.x

6.2.3+

アップグレードにより CSSM から FTD/FDM を登録解除することが可能

FDM を使用した FTD

6.2.0 ~ 6.2.2.x

6.2.3+

アップグレードの前にバージョン 6.1.x FTD クラスタからサイト ID を削除

展開: Firepower Threat Defenseクラスタ

アップグレード元:バージョン 6.1.x

直接アップグレード先:バージョン 6.2.3+

Firepower Threat Defense バージョン 6.1.x クラスタは、サイト間クラスタリングをサポートしていません(バージョン 6.2.0 以降では FlexConfig を使用してサイト間機能を設定できます)。

FXOS 2.1.1 でバージョン 6.1.x クラスタを展開または再展開している場合、(サポートされていない)サイト ID の値を入力しているときは、アップグレードする前に、FXOS の各ユニットでサイト ID を削除(0 に設定)する必要があります。そうしないと、アップグレード後、ユニットがクラスタに再度参加できなくなります。

すでにアップグレード済みの場合は、サイト ID を各ユニットから削除してからクラスタを再確立します。サイト ID を表示または変更するには、『Cisco FXOS CLI Configuration Guide』を参照してください。

レポートの結果の制限の変更

展開:Firepower Management Center

アップグレード元:バージョン 6.1 ~ 6.2.2.x

直接アップグレード先:バージョン 6.2.3+

バージョン 6.2.3 では、次のように、使用できる結果の数、またはレポートのセクションに含めることができる結果の数が制限されています。テーブルおよび詳細ビューでは、PDF レポートに HTML または CSV レポートよりも少ないレコードを含めることができます。

表 8. レポートの結果の新しい制限
レポート セクション タイプ 最大レコード数:HTML または CSV レポート セクション 最大レコード数:PDF レポート セクション

棒グラフ

円グラフ

100(上位または下位)

100(上位または下位)

テーブル ビュー

400,000

100,000

詳細ビュー

1,000

500

Firepower Management Center をアップグレードする前に、レポート テンプレート内のセクションで最大 HTML または CSV よりも大きい結果数を指定する場合は、アップグレード プロセスが設定を新しい最大値に下げます。

PDF レポートを生成するレポート テンプレートの場合、テンプレート セクションの PDF の制限を超えると、アップグレード プロセスは出力形式を HTML に変更します。PDF の生成を続行するには、結果数を PDF の最大に下げます。アップグレード後にこれを行った場合、出力形式の設定を PDF に戻します。

アップグレードにより CSSM から FTD/FDM を登録解除することが可能

導入:FDM を使用した FTD

アップグレード元:バージョン 6.2 ~ 6.2.2.x

直接アップグレード先:バージョン 6.2.3+

Firepower Device Manager によって管理されている Firepower Threat Defense デバイスをアップグレードすると、そのデバイスが Cisco Smart Software Manager から登録解除される場合があります。アップグレードが完了したら、ライセンスのステータスを確認します。

手順

ステップ 1

[デバイス(Device)] をクリックし、[スマートライセンスの概要(Smart License summary)] の [設定の表示(View Configuration)] をクリックします。

ステップ 2

デバイスが登録されていない場合は、[デバイスの登録(Register Device)] をクリックします。


バージョン 6.2.0 からの FDM アップグレードが失敗する可能性

展開:FDM を使用した FTD(メモリが少ない ASA 5500-X シリーズ デバイスで実行)

アップグレード元:バージョン 6.2.0

直接アップグレード先:バージョン 6.2.2+

バージョン 6.2.0 からアップグレードする場合、アップグレードに失敗し、「Uploaded file is not a valid system upgrade file」というエラーが表示される可能性があります。これは、正しいファイルを使用している場合でも発生する可能性があります。

この場合は、次の回避策を試してください。

  • 再度試す。

  • CLI を使用してアップグレードする。

  • まず 6.2.0.1 にアップグレードする。

アクセス コントロールでは SRU から遅延ベースのパフォーマンス設定を取得可能

展開:FMC

アップグレード元:6.1.x

直接アップグレード先:6.2+

バージョン 6.2+ の新しいアクセス コントロール ポリシーでは、デフォルトで、最新の侵入ルール更新(SRU)から遅延ベースのパフォーマンス設定が取得されます。この動作は、新しい [設定の適用元(Apply Settings From)] オプションによって制御されます。このオプションを設定するには、アクセス コントロール ポリシーを編集または作成して、[詳細設定(Advanced)] をクリックし、遅延ベースのパフォーマンス設定を編集します。

バージョン 6.2+ にアップグレードすると、現在の(バージョン 6.1.x)設定に従って新しいオプションが設定されます。現在の設定が次の場合、新しいオプションが設定されます。

  • [デフォルト(Default)]:新しいオプションは、[インストール済みのルールの更新(Installed Rule Update)] に設定されます。アップグレードしてから展開すると、最新の SRU からの遅延ベースのパフォーマンス設定が使用されます。最新の SRU が指定する内容によって、トラフィックの処理が変更される可能性があります。

  • [カスタム(Custom)]:新しいオプションは、[カスタム(Custom)] に設定されます。システムは現在のパフォーマンス設定を保持します。このオプションによって動作が変更されることはありません。

アップグレードする前に設定を確認することをお勧めします。前述したように、バージョン 6.1.x の FMC Web インターフェイスから、ポリシーの遅延ベースのパフォーマンス設定を表示し、[デフォルトに戻す(Revert To Defaults)] ボタンがグレー表示されているかどうかを確認します。ボタンがグレー表示されている場合は、デフォルト設定が使用されています。ボタンがアクティブになっている場合は、カスタム設定が設定されています。

FTD での「フェールセーフ」から「Snort フェール オープン」への置き換え

展開:FMC を使用した FTD

アップグレード元:バージョン 6.1.x

直接アップグレード先:バージョン 6.2+

バージョン 6.2 では、Snort フェール オープン設定により、FMC によって管理される Firepower Threat Defense デバイスのフェールセーフ オプションが置き換えられます。フェールセーフでは、Snort がビジー状態のときにトラフィックをドロップすることができますが、Snort がダウンしている場合、トラフィックはインスペクションなしで自動的に通過します。Snort フェール オープンでは、このトラフィックをドロップすることができます。

FTD デバイスをアップグレードすると、その新しい Snort フェール オープン設定は、以下のように、古いフェールセーフ設定に依存します。新しい設定ではトラフィックの処理が変更されることはありませんが、アップグレードの前にフェールセーフを有効または無効にするかどうかを検討してください。

表 9. フェールセーフの Snort フェール オープンへの移行
バージョン 6.1 のフェールセーフ バージョン 6.2 の Snort フェール オープン 動作

無効(デフォルトの動作)

[ビジー(Busy)]:無効

[ダウン(Down)]:有効

Snort プロセスがビジー状態の場合は、新規および既存の接続をドロップし、Snort プロセスがダウンしている場合は、接続をインスペクションなしで通過します。

有効

[ビジー(Busy)]:有効

[ダウン(Down)]:有効

Snort プロセスがビジー状態またはダウンしている場合、新規または既存の接続をインスペクションなしで通過します。

Snort フェール オープンでは、デバイスにバージョン 6.2 が必要であることに注意してください。バージョン 6.1.x のデバイスを管理している場合、FMC Web インターフェイスにフェールセーフ オプションが表示されます。

一般的なガイドラインと警告

これらの重要なガイドラインと制限事項は、すべてのアップグレードに適用されます。ただし、このリストは包括的なものではありません。アップグレード パスの計画、OS のアップグレード、準備状況チェック、バックアップ、メンテナンス期間など、アップグレード プロセスに関するその他の重要な情報へのリンクについては、「アップグレード手順」を参照してください。

アプライアンス アクセス

Firepower デバイスは、(インターフェイス設定に応じて)アップグレード中、またはアップグレードが失敗した場合に、トラフィックを渡すことを停止できます。Firepower デバイスをアップグレードする前に、ユーザの位置からのトラフィックがデバイスの管理インターフェイスにアクセスするためにデバイス自体を通過する必要がないことを確認してください。Firepower Management Center 展開では、デバイスを経由せずに FMC 管理インターフェイスにアクセスできる必要もあります。

署名付きのアップグレード パッケージ

Firepower では、正しいファイルを使用していることを確認できるようにするために、バージョン 6.2.1+ からのアップグレード パッケージ(および バージョン 6.2.1+ へのホットフィックス)は、署名付きの tar アーカイブ(.tar)になっています。以前のバージョンからのアップグレードでは、引き続き未署名のパッケージが使用されます。

シスコ サポートおよびダウンロード サイトからアップグレード パッケージを手動でダウンロードする場合(たとえば、メジャー アップグレードやエアギャップ展開のために)、正しいパッケージをダウンロードしていることを確認してください。 署名付きの(.tar)パッケージは解凍しないでください。


(注)  

署名付きのアップグレード パッケージをアップロードした後、システムがパッケージを確認する際に、GUI のロードに数分かかることがあります。表示を高速化するには、署名付きのパッケージが不要になった後、それらのパッケージを削除します。

ASA FirePOWER デバイスでの ASA REST API の無効化

ASA FirePOWER モジュールをアップグレードする前に、ASA REST API を無効にしていることを確認します。無効にしていない場合、アップグレードが失敗することがあります。ASA CLI から:no rest api agent。アンインストール後に再度有効にすることができます:rest-api agent

アップグレード中および後のシスコとのデータ共有

バージョン 6.2.3+ の機能には、シスコとのデータ共有が含まれます。

Cisco Network Participation は、テクニカル サポートを提供するために不可欠な使用状況に関する情報と統計情報をシスコに送信します。アップグレード中に、参加を承諾するか、辞退するかを尋ねられます。また、いつでもオプト インまたはオプト アウトできます。

Web 分析のトラッキングは、これに限定されませんが、ページでの操作、ブラウザのバージョン、製品のバージョン、ユーザの場所、FMC の管理 IP アドレスまたはホスト名を含む、個人を特定できない使用状況データをシスコに送信します。 バージョン 6.1 ~ 6.2.2.x からアップグレードする場合、アップグレードによって Web 分析トラッキングが有効になります。このデータの収集を拒否する場合は、アップグレード後にオプト アウトできます(バージョン 6.2.3.x からアップグレードする場合、アップグレード プロセスでは現在の設定が保持されます)。

応答しないアップグレード

アップグレードしているアプライアンスとの間での変更の展開、またはアップグレードしているアプライアンスの手動での再起動やシャットダウンは行わないでください。進行中のアップグレードを再開しないでください。事前のチェック中に、アップグレード プロセスが停止しているように見える場合がありますが、これは想定内の動作です。アップグレードに失敗する、アプライアンスが応答しないなど、アップグレードで問題が発生した場合には Cisco TAC にお問い合わせください。

アップグレードする最小バージョン

いくつかの以前のメジャー バージョン シーケンスからバージョン 6.3.0 に直接アップグレードできます。アップグレードするために、以前のバージョンの最新のパッチを実行する必要はありません。

表 10. Firepower ソフトウェアをバージョン 6.3.0 にアップグレードするための最小バージョン
プラットフォーム 最小バージョン

Firepower Management Center

Firepower 4100/9300 シリーズを除く、FMC 展開のすべての管理対象デバイス。

6.1.0

FMC を使用した Firepower 4100/9300 上の Firepower Threat Defense

FXOS 2.4.1.214+ を使用した 6.1.0(最初に FXOS をアップグレード)

(注)   
バージョン 6.1.x からアップグレードする場合は、Firepower 4100/9300 では FXOS のアップグレードの前に FTD プッシュが必要を参照してください。

FDM を使用した Firepower Threat Defense(すべてのプラットフォーム)

6.2.0

ASDM を使用した ASA FirePOWER

6.2.0

時間テストとディスク容量の要件

Firepower アプライアンスをアップグレードするには、十分な空きディスク容量が必要です。これがない場合、アップグレードは失敗します。Firepower Management Center を使用して管理対象デバイスをアップグレードする場合、デバイス アップグレード パッケージに対して、FMC は /Volume パーティションに追加のディスク容量を必要とします。また、アップグレードを実行するための十分な時間を確保してください。

参考のために、社内の時間とディスク容量のテストに関するレポートを提供しています。

時間テストについて

ここで指定した時間の値は、社内のテストに基づいています。特定のプラットフォーム/シリーズについてテストされたすべてのアップグレードの最も遅い時間を報告していますが、複数の理由により(以下を参照)、報告された時間よりも、アップグレードにかかる時間が長くなることがあります。

基本的なテスト条件

  • 展開:値は、Firepower Management Center 展開のテストから取得されています。これは、同様の条件の場合、リモートとローカルで管理されているデバイスの raw アップグレード時間が類似しているためです。

  • バージョン:メジャー アップグレードの場合、以前のすべての対象メジャー バージョンからのアップグレードをテストします。パッチについては、基本バージョンおよび直前のパッチからのアップグレードをテストします。

  • モデル:ほとんどの場合、各シリーズの最もローエンドのモデルでテストし、場合によってはシリーズの複数のモデルでテストします。

  • 仮想設定:メモリおよびリソースのデフォルト設定を使用してテストします。

プッシュおよびリブートの除外

値は、Firepower のアップグレード スクリプト自体を実行するのにかかる時間のみを表しています。値には、ローカル管理対象デバイスまたは FMC にアップグレード パッケージをアップロードするのに必要な時間や、アップグレード パッケージを FMC から管理対象デバイスにコピー(プッシュ)するために必要な時間は含まれていません。

FMC 展開では、FMC と管理対象デバイスの間の帯域幅が不十分だと、アップグレード時間が延長されたり、アップグレードがタイムアウトする原因となる可能性があります。FMC からそのデバイスに大容量のデータを転送するための帯域幅があることを確認します。詳細については、『Guidelines for Downloading Data from the Firepower Management Center to Managed Devices』(トラブルシューティング テクニカルノーツ)を参照してください。

値には、再起動、準備状況チェック、オペレーティング システムのアップグレード、または設定の展開も含まれていません。

時間は単一のデバイスを対象とする

値は、デバイスごとの値です。ハイ アベイラビリティの構成またはクラスタ化された構成では、動作の継続性を保持するため、複数のデバイスは 1 つずつアップグレードされます。アップグレード中は、各デバイスはメンテナンス モードで動作します。そのため、デバイス ペアまたはクラスタ全体のアップグレードには、スタンドアロン デバイスのアップグレードよりも長い時間がかかります。

スタック構成の 8000 シリーズ デバイスは同時にアップグレードされ、スタックは、すべてのデバイスのアップグレードが完了するまで、限定的なバージョン混在の状態で動作することに注意してください。これには、スタンドアロン デバイスのアップグレードと比べて大幅に長い時間がかかるということはありません。

影響を受ける構成とデータ

シスコでは、構成およびトラフィック負荷が最小限のアプライアンスでテストを行います。アップグレード時間は、構成の複雑さ、イベント データベースのサイズ、また、それらがアップグレードから影響を受けるかどうか、受ける場合はどのような影響を受けるかにより、長くなる場合があります。たとえば多くのアクセス制御ルールを使用している場合、アップグレードはこれらのルールの格納方法をバックエンドで変更する必要があるため、アップグレードにはさらに長い時間がかかります。

ディスク容量の要件について

容量の見積もりは、すべてのアップグレードについて報告された最大のものであり、次のようになります。

  • 切り上げなし(1 MB 未満)。

  • 次の 1 MB に切り上げ(1 MB ~ 100 MB)。

  • 次の 10 MB に切り上げ(100 MB ~ 1 GB)。

  • 次の 100 MB に切り上げ(1 GB を超える容量)。

バージョン 6.3.0 の時間とディスク容量

表 11. バージョン 6.3.0 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 時間

FMC

12.7 GB

29 MB

47 分

FMCv :VMware 6.0

12.7 GB

29 MB

29 分

Firepower 2100 シリーズ

13 MB

8.8 GB

930 MB

20 分

Firepower 4100/9300 シャーシ

10 MB

7.6 GB

930 MB

6 分

ASA 5500-X シリーズ を搭載した FTD

7.9 GB

100 KB

1.1 GB

25 分

FTDv:VMware 6.0

7.3 GB

100 KB

1.1 GB

12 分

Firepower 7000/8000 シリーズ

7.0 GB

19 MB

920 MB

32 分

ASA FirePOWER

11.3 GB

22 MB

1.2 GB

63 分

NGIPSv

5.7 GB

19 MB

810 MB

16 分

トラフィック フロー、検査、およびデバイス動作

アップグレード中に発生するトラフィック フローおよびインスペクションでの潜在的な中断を特定する必要があります。これは、次の場合に発生する可能性があります。

  • デバイスが再起動された場合。

  • デバイス上でオペレーティング システムまたは仮想ホスティング環境をアップグレードする場合。

  • デバイス上で Firepower ソフトウェアをアップグレードするか、パッチをアンインストールする場合。

  • アップグレードまたはアンインストール プロセスの一部として設定変更を展開する場合(Snort プロセスが再開します)。

デバイスのタイプ、展開のタイプ(スタンドアロン、ハイ アベイラビリティ、クラスタ化)、およびインターフェイスの設定(パッシブ、IPS、ファイアウォールなど)によって中断の性質が決まります。アップグレードまたはアンインストールは、保守期間中に行うか、中断による展開環境への影響が最も小さい時点で行うことを強く推奨します。

FTD アップグレード時の動作: Firepower 4100/9300 シャーシ

このセクションでは、FTD を搭載した Firepower 4100/9300 シャーシをアップグレードするときのデバイスとトラフィックの動作を説明します。

Firepower 4100/9300 シャーシ:FXOS のアップグレード

シャーシ間クラスタリングまたはハイ アベイラビリティ ペアの構成がある場合でも、各シャーシの FXOS を個別にアップグレードします。アップグレードの実行方法により、FXOS のアップグレード時にデバイスがトラフィックを処理する方法が決定されます。

表 12. FXOS アップグレード中のトラフィックの動作
展開 方法 トラフィックの動作

スタンドアロン

切断

ハイ アベイラビリティ

ベスト プラクティス:スタンバイで FXOS を更新し、アクティブ ピアを切り替えて新しいスタンバイをアップグレードします。

影響なし

スタンバイでアップグレードが終了する前に、アクティブ ピアで FXOS をアップグレードします。

1 つのピアがオンラインになるまでドロップされる

シャーシ間クラスタ(6.2 以降)

ベスト プラクティス:少なくとも 1 つのモジュールを常にオンラインにするため、一度に 1 つのシャーシをアップグレードします。

影響なし

ある時点ですべてのモジュールを停止するため、シャーシを同時にアップグレードします。

少なくとも 1 つのモジュールがオンラインになるまでドロップされる

シャーシ内クラスタ(Firepower 9300 のみ)

Fail-to-wire 有効:[バイパス:スタンバイ(Bypass: Standby)] または [バイパス:強制(Bypass‑Force)]。(6.1 以降)

インスペクションなしで転送

Fail-to-wire 無効:[バイパス:無効(Bypass: Disabled)]。(6.1 以降)

少なくとも 1 つのモジュールがオンラインになるまでドロップされる

fail-to-wire モジュールなし。

少なくとも 1 つのモジュールがオンラインになるまでドロップされる

スタンドアロン FTD デバイス:Firepower ソフトウェアのアップグレード

インターフェイスの設定により、アップグレード中にスタンドアロン デバイスがトラフィックを処理する方法が決定されます。

表 13. Firepower ソフトウェア アップグレード中のトラフィックの動作:スタンドアロン FTD デバイス
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチド インターフェイスは、ブリッジ グループまたはトランスペアレント インターフェイスとしても知られています。

切断

IPS のみのインターフェイス

インライン セット、fail-to-wire が有効:[バイパス:スタンバイ(Bypass: Standby)] または [バイパス:強制(Bypass‑Force)](6.1+)

次のいずれかを行います。

  • ドロップ(6.1 から 6.2.2.x)

  • インスペクションなしで転送(6.2.3 以降)

インライン セット、fail-to-wire が無効:[バイパス:無効(Bypass: Disabled)](6.1+)

ドロップ

インライン セット、fail-to-wire モジュールなし

ドロップ

インライン セット、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

ハイ アベイラビリティ ペア:FirePOWER ソフトウェア アップグレード

ハイ アベイラビリティ ペアのデバイスの FirePOWER ソフトウェアをアップグレードする間に、トラフィック フローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンス モードで稼働します。

スタンバイ側のデバイスが最初にアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレード プロセスによって元の役割に切り替わります。

クラスタ:FirePOWER ソフトウェア アップグレード

Firepower Threat Defense クラスタのデバイスで FirePOWER ソフトウェアをアップグレードする間に、トラフィック フローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンス モードで稼働します。

スレーブ セキュリティ モジュールを最初にアップグレードして、その後マスターをアップグレードします。アップグレード中、セキュリティ モジュールはメンテナンス モードで稼働します。

マスター セキュリティ モジュールをアップグレードする間、通常、トラフィック インスペクションと処理は続行しますが、システムはロギング イベントを停止します。ロギング ダウンタイム中に処理されるトラフィックのイベントは、アップグレードが完了した後、非同期のタイムスタンプ付きで表示されます。ただし、ロギング ダウンタイムが大きい場合、システムはログ記録する前に最も古いイベントをプルーニングすることがあります。


(注)  

バージョン 6.2.0、バージョン 6.2.0.1、またはバージョン 6.2.0.2 からシャーシ間クラスタをアップグレードすると、各モジュールがクラスタから削除されるときに、トラフィック インスペクションで 2 ~ 3 秒のトラフィック中断が発生します。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、デバイスがトラフィックを処理する方法に応じて異なります。

展開時のトラフィックの動作

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center コンフィギュレーション ガイド』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、Snort プロセスを再起動すると、HA/スケーラビリティ用に設定されたものを含め、すべての Firepower デバイスでトラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 14. FTD 展開時のトラフィックの動作
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチド インターフェイスは、ブリッジ グループまたはトランスペアレント インターフェイスとしても知られています。

ドロップ

IPS のみのインターフェイス

インライン セット、[フェールセーフ(Failsafe)] が有効または無効(6.0.1 ~ 6.1.0.x)

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インライン セット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:無効(6.2+)

ドロップ

インライン セット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:有効(6.2+)

インスペクションなしで転送

インライン セット、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

FTD アップグレード時の動作:その他のデバイス

このセクションでは、Firepower 2100 シリーズ、ASA 5500-X シリーズ、ISA 3000、および FTDv で Firepower Threat Defense をアップグレードするときのデバイスとトラフィックの動作を説明します。

スタンドアロン FTD デバイス:Firepower ソフトウェアのアップグレード

インターフェイスの設定により、アップグレード中にスタンドアロン デバイスがトラフィックを処理する方法が決定されます。

表 15. Firepower ソフトウェア アップグレード中のトラフィックの動作:スタンドアロン FTD デバイス
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチド インターフェイスは、ブリッジ グループまたはトランスペアレント インターフェイスとしても知られています。

切断

IPS のみのインターフェイス

インライン セット、fail-to-wire が有効:[バイパス:スタンバイ(Bypass: Standby)] または [バイパス:強制(Bypass‑Force)](6.1+)

次のいずれかを行います。

  • ドロップ(6.1 から 6.2.2.x)

  • インスペクションなしで転送(6.2.3 以降)

インライン セット、fail-to-wire が無効:[バイパス:無効(Bypass: Disabled)](6.1+)

ドロップ

インライン セット、fail-to-wire モジュールなし

ドロップ

インライン セット、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

ハイ アベイラビリティ ペア:FirePOWER ソフトウェア アップグレード

ハイ アベイラビリティ ペアのデバイスの FirePOWER ソフトウェアをアップグレードする間に、トラフィック フローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンス モードで稼働します。

スタンバイ側のデバイスが最初にアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレード プロセスによって元の役割に切り替わります。

展開時のトラフィックの動作

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center コンフィギュレーション ガイド』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、Snort プロセスを再起動すると、HA/スケーラビリティ用に設定されたものを含め、すべての Firepower デバイスでトラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 16. FTD 展開時のトラフィックの動作
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチド インターフェイスは、ブリッジ グループまたはトランスペアレント インターフェイスとしても知られています。

ドロップ

IPS のみのインターフェイス

インライン セット、[フェールセーフ(Failsafe)] が有効または無効(6.0.1 ~ 6.1.0.x)

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インライン セット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:無効(6.2+)

ドロップ

インライン セット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:有効(6.2+)

インスペクションなしで転送

インライン セット、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

FirePOWER 7000/8000 シリーズのアップグレード時の動作

次のセクションでは、Firepower 7000/8000 シリーズ デバイスをアップグレードする際のデバイスおよびトラフィックの動作について説明します。

スタンドアロン 7000/8000 シリーズ:Firepower ソフトウェアのアップグレード

インターフェイスの設定により、アップグレード中にスタンドアロン デバイスがトラフィックを処理する方法が決定されます。

表 17. アップグレード中のトラフィックの動作:スタンドアロン 7000/8000 シリーズ
インターフェイスの設定 トラフィックの動作

インライン、ハードウェア バイパスが有効([バイパスモード:バイパス(Bypass Mode: Bypass)])

インスペクションなしで転送。ただし、トラフィックは、次の 2 つのポイントで一時的に中断します。

  • アップグレード プロセスの開始時に、リンクがダウンしてから復旧(フラップ)し、ネットワーク カードがハードウェア バイパスに切り替わるとき。

  • アップグレードが完了した後、リンクが復旧し、ネットワーク カードがバイパスから切り替わるとき。インスペクションはエンドポイントの再接続後に再開され、デバイス インターフェイスとのリンクを再確立します。

インライン、ハードウェア バイパス モジュールなし、またはハードウェア バイパスが無効([バイパスモード:非バイパス(Bypass Mode: Non‑Bypass)])

ドロップ

インライン、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ

中断なし、インスペクションなし

ルーテッド、スイッチド

ドロップ

7000/8000 シリーズ ハイ アベイラビリティ ペア:Firepower ソフトウェアのアップグレード

ハイ アベイラビリティ ペアのデバイス(またはデバイス スタック)をアップグレードする間に、トラフィック フローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンス モードで稼働します。

最初にアップグレードするピアは、展開によって異なります。

  • ルーテッドまたはスイッチド:最初にスタンバイがアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレード プロセスによって元の役割に切り替わります。

  • アクセス制御のみ:最初にアクティブがアップグレードされます。アップグレードの完了時に、アクティブとスタンバイの以前の役割がデバイスで維持されます。

8000 シリーズ スタック:Firepower ソフトウェア アップグレード

8000 シリーズ スタックでは、デバイスは同時にアップグレードされます。プライマリ デバイスがアップグレードを完了してスタックが動作を再開するまで、トラフィックはスタックがスタンドアロン デバイスであったかのように影響を受けます。すべてのデバイスがアップグレードを完了するまで、スタックは、制限付きの混合バージョンの状態で動作します。

展開時のトラフィックの動作

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center コンフィギュレーション ガイド』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、Snort プロセスを再起動すると、HA/スケーラビリティ用に設定されたものを含め、すべての Firepower デバイスでトラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 18. 展開時のトラフィックの動作:7000/8000 シリーズ
インターフェイスの設定 トラフィックの動作

インライン、[フェールセーフ(Failsafe)] が有効または無効

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インライン、タップ モード

すぐにパケットを出力し、バイパス Snort をコピーする

パッシブ

中断なし、インスペクションなし

ルーテッド、スイッチド

ドロップ

ASA FirePOWER アップグレード時の動作

Snort プロセスを再起動する特定の設定を展開する場合を含め、モジュールが FirePOWER ソフトウェア アップグレード中にトラフィックを処理する方法を決定する、ASA FirePOWER モジュールへのトラフィック リダイレクトに関する ASA サービス ポリシーです。

表 19. ASA FirePOWER アップグレード中のトラフィックの動作
トラフィック リダイレクト ポリシー トラフィックの動作

フェール オープン(sfr fail-open

インスペクションなしで転送

フェール クローズ(sfr fail-close

ドロップ

モニタのみ(sfr {fail-close}|{fail-open} monitor-only

パケットをただちに出力、コピーへのインスペクションなし

ASA FirePOWER 展開時のトラフィックの動作

Snort プロセスが再起動している間のトラフィックの動作は、ASA FirePOWER モジュールをアップグレードする場合と同じです。

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center コンフィギュレーション ガイド』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。 さらに、Snort プロセスを再起動すると、トラフィック インスペクションが中断されます。サービス ポリシーにより、中断中にインスペクションせずにトラフィックをドロップするか通過するかが決定されます。

NGIPSv アップグレード時の動作

このセクションでは、NGIPSv をアップグレードするときのデバイスとトラフィックの動作を説明します。

Firepower ソフトウェア アップグレード

インターフェイスの設定により、アップグレード中に NGIPSv がトラフィックを処理する方法が決定されます。

表 20. NGIPSv アップグレード中のトラフィックの動作
インターフェイスの設定 トラフィックの動作

インライン

ドロップ

インライン、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ

中断なし、インスペクションなし

展開時のトラフィックの動作

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center コンフィギュレーション ガイド』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。さらに、Snort プロセスを再起動すると、トラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 21. NGIPSv 展開時のトラフィックの動作
インターフェイスの設定 トラフィックの動作

インライン、[フェールセーフ(Failsafe)] が有効または無効

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インライン、タップ モード

すぐにパケットを出力し、バイパス Snort をコピーする

パッシブ

中断なし、インスペクションなし

アップグレード手順

リリース ノートにはアップグレード手順は含まれていません。これらのリリース ノートに記載されているガイドラインと警告を読んだ後、次のいずれかを参照してください。

アップグレード パッケージ

アップグレード パッケージは、 シスコ サポートおよびダウンロード サイトで入手できます。

バージョン 6.2.1+ からのアップグレード パッケージは、署名付きの tar アーカイブ(.tar)です。解凍しないでください。

表 22. バージョン 6.2.1+ からのアップグレード パッケージ
プラットフォーム パッケージ

FMC/FMCv

Cisco_Firepower_Mgmt_Center_Upgrade-version-build.sh.REL.tar

Firepower 2100 シリーズ

Cisco_FTD_SSP_FP2K_Upgrade-version-build.sh.REL.tar

Firepower 4100/9300 シャーシ

Cisco_FTD_SSP_Upgrade-version-build.sh.REL.tar

FTD を搭載した ASA 5500-X シリーズ

FTD を搭載した ISA 3000

Firepower Threat Defense Virtual

Cisco_FTD_Upgrade-version-build.sh.REL.tar

Firepower 7000/8000 シリーズ

Cisco_Firepower_NGIPS_Appliance_Upgrade-version-build.sh.REL.tar

ASA FirePOWER

Cisco_Network_Sensor_Upgrade-version-build.sh.REL.tar

NGIPSv

Cisco_Firepower_NGIPS_Virtual_Upgrade-version-build.sh.REL.tar

表 23. バージョン 6.1.x または 6.2.0.x からのアップグレード パッケージ
プラットフォーム パッケージ

FMC/FMCv

Cisco_Firepower_Mgmt_Center_Upgrade-version-build.sh

Firepower 4100/9300 シャーシ

Cisco_FTD_SSP_Upgrade-version-build.sh

FTD を搭載した ASA 5500-X シリーズ

Firepower Threat Defense Virtual

Cisco_FTD_Upgrade-version-build.sh

Firepower 7000/8000 シリーズ

Cisco_Firepower_NGIPS_Appliance_Upgrade-version-build.sh

ASA FirePOWER

Cisco_Network_Sensor_Upgrade-version-build.sh

NGIPSv

Cisco_Firepower_NGIPS_Virtual_Upgrade-version-build.sh