バージョン 6.4.0.x へのアップグレード

この章では、バージョン 6.4.0.x の重要なリリースに固有の情報を提供します。

また、新機能、変更された機能、または廃止された機能に関する情報について「特長と機能」をご確認ください。

に関するガイドラインと警告 バージョン 6.4.0.x

このチェックリストには、バージョン 6.4.0.x パッチに適用される重要なアップグレードガイドラインと警告が含まれています。また、「一般的なガイドラインと警告」も確認してください。

表 1. バージョン 6.4.0.x ガイドライン
ガイドライン プラットフォーム アップグレード元 直接アップグレード先

アップグレードの失敗:コンテナインスタンスのディスク容量不足

Firepower 4100/9300

6.4.0

以降のパッチ

6.5.0

Firepower 1010 デバイス上の EtherChannel で出力トラフィックがブラックホール化される場合がある

Firepower 1010

6.4.0 のみ

6.4.0.3 ~ 6.4.0.5

Firepower 1000 シリーズではバージョン 6.4.0.1 および 6.4.0.2 はサポート対象外

Firepower 1000 シリーズ

6.4.0 のみ

6.4.0.1 または 6.4.0.2

アップグレードの失敗:コンテナインスタンスのディスク容量不足

展開:FTD を搭載した Firepower 4100/9300

アップグレード元:バージョン 6.3.0 ~ 6.4.0.x

直接アップグレード先:バージョン 6.3.0.1 ~ 6.5.0

多くの場合はメジャーアップグレード時に(場合によってはパッチ適用時に)、コンテナインスタンスを使用して設定された FTD デバイスが、ディスク容量不足のエラーにより事前チェック段階で失敗することがあります。

この問題が発生した場合には、空きディスク容量を増やしてみてください。それでも解決しない場合は、Cisco TAC にお問い合わせください。

Firepower 1010 デバイス上の EtherChannel で出力トラフィックがブラックホール化される場合がある

展開:FTD を搭載した Firepower 1010

影響を受けるバージョン:バージョン 6.4.0 ~ 6.4.0.5

関連するバグ:CSCvq81354

FTD バージョン 6.4.0 ~ 6.4.0.5 を実行している Firepower 1010 デバイスでは EtherChannel を設定しないことを強くお勧めします(バージョン 6.4.0.1 および 6.4.0.2 はこのモデルではサポートされていないことに注意してください)。

内部トラフィックハッシュの問題により、Firepower 1010 デバイス上の EtherChannel では出力トラフィックがブラックホール化されることがあります。ハッシュは送信元 IP アドレスと宛先 IP アドレスに基づくため、特定の送信元 IP と宛先 IP のペアで一貫性のある動作になります。つまり、一部のトラフィックは常に機能し、一部のトラフィックは常に失敗します。

この問題は、次回の 6.4.0.x パッチで修正される予定です。また、バージョン 6.5.0 でも修正されます。

Firepower 1000 シリーズではバージョン 6.4.0.1 および 6.4.0.2 はサポート対象外

展開:Firepower 1000 シリーズ デバイス

アップグレード元:バージョン 6.4.0

直接アップグレード先:バージョン 6.4.0.1 または 6.4.0.2

Firepower 1000 シリーズ デバイスをバージョン 6.4.0.1 または 6.4.0.2 にアップグレードすることはできません。

一般的なガイドラインと警告

これらの重要なガイドラインと警告は、すべてのアップグレードに適用されます。ただし、このリストは包括的なものではありません。アップグレード パスの計画、OS のアップグレード、準備状況チェック、バックアップ、メンテナンス期間など、アップグレード プロセスに関するその他の重要な情報へのリンクについては、「アップグレード手順」を参照してください。

イベント データと設定データのバックアップ

外部の場所にバックアップして、正常に転送されたことを確認することを強くお勧めします。アプライアンスをアップグレードする際に、ローカルに保存されているバックアップは消去されます。FMC 展開では、展開をアップグレードした後に、FMC をバックアップすることもお勧めします。そのため、デバイスがアップグレードされたことを「識別」する新しい FMC バックアップファイルがあります。

バックアップの最初のステップとして、パッチレベルと VDB のバージョンを書き留めておきます。新規または再イメージ化されたアプライアンスにバックアップを復元する必要がある場合は、最初に新しいアプライアンスをそれらのバージョンに正確に更新する必要があるため、これは重要です。同じ VDB を使用している同じモデルおよび Firepower バージョンのアプライアンスのみからバックアップを復元できます。

アプライアンス アクセス

Firepower デバイスは、(インターフェイス設定に応じて)アップグレード中、またはアップグレードが失敗した場合に、トラフィックを渡すことを停止できます。Firepower デバイスをアップグレードする前に、ユーザの位置からのトラフィックがデバイスの管理インターフェイスにアクセスするためにデバイス自体を通過する必要がないことを確認してください。Firepower Management Center 展開では、デバイスを経由せずに FMC 管理インターフェイスにアクセスできる必要もあります。

署名付きのアップグレード パッケージ

Firepower では、正しいファイルを使用していることを確認できるようにするために、バージョン 6.2.1+ からのアップグレード パッケージ(および バージョン 6.2.1+ へのホットフィックス)は、署名付きの tar アーカイブ(.tar)になっています。以前のバージョンからのアップグレードでは、引き続き未署名のパッケージが使用されます。

シスコサポートおよびダウンロードサイトからアップグレード パッケージを手動でダウンロードする場合(たとえば、メジャー アップグレードやエアギャップ展開のために)、正しいパッケージをダウンロードしていることを確認してください。 署名付きの(.tar)パッケージは解凍しないでください。


(注)  

署名付きのアップグレード パッケージをアップロードした後、システムがパッケージを確認する際に、GUI のロードに数分かかることがあります。表示を高速化するには、署名付きのパッケージが不要になった後、それらのパッケージを削除します。

ASA FirePOWER デバイスでの ASA REST API の無効化

ASA FirePOWER モジュールをアップグレードする前に、ASA REST API を無効にしていることを確認します。無効にしていない場合、アップグレードが失敗することがあります。ASA CLI から:no rest api agent。アンインストール後に再度有効にすることができます:rest-api agent

シスコとのデータの共有

一部の機能にシスコとのデータ共有が含まれます。

6.2.3+ では、Cisco Success Network は、テクニカル サポートを提供するために不可欠な使用状況に関する情報と統計情報をシスコに送信します。アップグレード中に、参加を承諾するか、辞退するかを尋ねられます。また、いつでもオプトインまたはオプトアウトできます。

6.2.3+ では、Web 分析のトラッキングは、これに限定されませんが、ページでの操作、ブラウザのバージョン、製品のバージョン、ユーザの場所、FMC の管理 IP アドレスまたはホスト名を含む、個人を特定できない使用状況データをシスコに送信します。バージョン 6.1 ~ 6.2.2.x からアップグレードする場合、アップグレードによって Web 分析トラッキングが有効になります。このデータの収集を拒否する場合は、アップグレード後にオプトアウトできます(バージョン 6.2.3.x またはバージョン 6.3.0.x からアップグレードする場合、アップグレード プロセスでは現在の設定が保持されます)。

6.5.0+ では、(「シスコのプロアクティブサポート」とも呼ばれる)は、設定および運用上の健全性データをシスコに送信し、自動化された問題検出システムを通じてそのデータを処理して問題をプロアクティブに通知できるようにします。また、この機能により、Cisco TAC は TAC ケースの過程でデバイスから必要な情報を収集することもできます。 アップグレード中に、参加を承諾するか、辞退するかを尋ねられます。また、いつでもオプトインまたはオプトアウトできます。

アップグレードにより侵入ルールをインポートして自動的に有効化できる

現在の Firepower バージョンでサポートされていないキーワードが新しい侵入ルールで使用されている場合、侵入ルールデータベース(SRU)を更新しても、そのルールはインポートされません。

Firepower ソフトウェアをアップグレードし、これらのキーワードがサポートされると、新しい侵入ルールがインポートされ、IPS の設定に応じて自動的に有効化できるため、イベントの生成とトラフィックフローへの影響を開始できます。

サポートされているキーワードは、Firepower ソフトウェアに含まれている Snort のバージョンによって異なります。

  • FMC:[ヘルプ(Help)] > [バージョン情報(About)] を選択します。

  • FDM を使用した FTD:show summary CLI コマンドを使用します。

  • ASDM を使用した ASA FirePOWER:[ASA FirePOWER設定(ASA FirePOWER Configuration)] > [システム情報(System Information)] を選択します。

また、『Cisco Firepower Compatibility Guide』の「Bundled Components」の項で、Snort のバージョンを確認することもできます。

Snort リリースノートには、新しいキーワードの詳細が含まれています。リリースノートは Snort ダウンロードページ(https://www.snort.org/downloads)で参照できます。

応答しないアップグレード

アップグレードしているアプライアンスとの間での変更の展開、またはアップグレードしているアプライアンスの手動での再起動やシャットダウンは行わないでください。進行中のアップグレードを再開しないでください。事前のチェック中に、アップグレード プロセスが停止しているように見える場合がありますが、これは想定内の動作です。アップグレードに失敗する、アプライアンスが応答しないなど、アップグレードで問題が発生した場合には Cisco TAC にお問い合わせください。

アップグレードする最小バージョン

現在のメジャー バージョン シーケンス内だけで Firepower ソフトウェアにパッチを適用できます。パッチは累積されるため、常に最新のパッチに直接スキップできます。

表 2. Firepower ソフトウェアをバージョン 6.4.0.x にアップグレードするための最小バージョン
プラットフォーム 最小バージョン

Firepower Management Center

FMC 展開のすべての管理対象デバイス

6.4.0

FDM を使用した Firepower Threat Defense(すべてのプラットフォーム)

6.4.0

ASDM を使用した ASA FirePOWER

6.4.0

時間テストとディスク容量の要件

Firepower アプライアンスをアップグレードするには、十分な空きディスク容量が必要です。これがない場合、アップグレードは失敗します。Firepower Management Center を使用して管理対象デバイスをアップグレードする場合、デバイス アップグレード パッケージに対して、FMC は /Volume パーティションに追加のディスク容量を必要とします。また、アップグレードを実行するための十分な時間を確保してください。

参考のために、社内の時間とディスク容量のテストに関するレポートを提供しています。

時間テストについて

ここで指定した時間の値は、社内のテストに基づいています。特定のプラットフォーム/シリーズについてテストされたすべてのアップグレードの最も遅い時間を報告していますが、複数の理由により(以下を参照)、報告された時間よりも、アップグレードにかかる時間が長くなることがあります。

基本的なテスト条件

  • 展開:値は、Firepower Management Center 展開のテストから取得されています。これは、同様の条件の場合、リモートとローカルで管理されているデバイスの raw アップグレード時間が類似しているためです。

  • バージョン:メジャー アップグレードの場合、以前のすべての対象メジャー バージョンからのアップグレードをテストします。パッチについては、基本バージョンおよび直前のパッチからのアップグレードをテストします。

  • モデル:ほとんどの場合、各シリーズの最もローエンドのモデルでテストし、場合によってはシリーズの複数のモデルでテストします。

  • 仮想設定:メモリおよびリソースのデフォルト設定を使用してテストします。

プッシュおよびリブートの除外

値は、Firepower のアップグレード スクリプト自体を実行するのにかかる時間のみを表しています。値には、ローカル管理対象デバイスまたは FMC にアップグレード パッケージをアップロードするのに必要な時間や、アップグレード パッケージを FMC から管理対象デバイスにコピー(プッシュ)するために必要な時間は含まれていません。

FMC 展開では、FMC と管理対象デバイスの間の帯域幅が不十分だと、アップグレード時間が延長されたり、アップグレードがタイムアウトする原因となる可能性があります。FMC からそのデバイスに大容量のデータを転送するための帯域幅があることを確認します。詳細については、『Guidelines for Downloading Data from the Firepower Management Center to Managed Devices』(トラブルシューティング テクニカルノーツ)を参照してください。

値には、再起動、準備状況チェック、オペレーティング システムのアップグレード、または設定の展開も含まれていません。

時間は単一のデバイスを対象

値は、デバイスごとの値です。ハイ アベイラビリティの構成またはクラスタ化された構成では、動作の継続性を保持するため、複数のデバイスは 1 つずつアップグレードされます。アップグレード中は、各デバイスはメンテナンス モードで動作します。そのため、デバイス ペアまたはクラスタ全体のアップグレードには、スタンドアロン デバイスのアップグレードよりも長い時間がかかります。

スタック構成の 8000 シリーズ デバイスは同時にアップグレードされ、スタックは、すべてのデバイスのアップグレードが完了するまで、限定的なバージョン混在の状態で動作することに注意してください。これには、スタンドアロン デバイスのアップグレードと比べて大幅に長い時間がかかるということはありません。

影響を受ける構成とデータ

シスコでは、構成およびトラフィック負荷が最小限のアプライアンスでテストを行います。アップグレード時間は、構成の複雑さ、イベント データベースのサイズ、また、それらがアップグレードから影響を受けるかどうか、受ける場合はどのような影響を受けるかにより、長くなる場合があります。たとえば多くのアクセス制御ルールを使用している場合、アップグレードはこれらのルールの格納方法をバックエンドで変更する必要があるため、アップグレードにはさらに長い時間がかかります。

ディスク容量の要件について

容量の見積もりは、すべてのアップグレードについて報告された最大のものであり、次のようになります。

  • 切り上げなし(1 MB 未満)。

  • 次の 1 MB に切り上げ(1 MB ~ 100 MB)。

  • 次の 10 MB に切り上げ(100 MB ~ 1 GB)。

  • 次の 100 MB に切り上げ(1 GB を超える容量)。

バージョン 6.4.0.6 の時間とディスク容量

表 3. バージョン 6.4.0.6 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.4.0 からの時間

FMC

5.5 GB

170 MB

38 分

FMCv:VMware 6.0

3.4GB

36 MB

33 分

Firepower 1000 シリーズ

2.4 GB

2.4 GB

530 MB

25 分

Firepower 2100 シリーズ

2.4 GB

2.4 GB

500 MB

16 分

Firepower 4100 シリーズ

1.8 GB

1.8 GB

310 MB

12 分

Firepower 9300

1.8 GB

1.8 GB

310 MB

15 分

ASA 5500-X シリーズ with FTD

1.8 GB

110 MB

290 MB

23 分

FTDv:VMware 6.0

1.8 GB

110 MB

290 MB

10 分

Firepower 7000/8000 シリーズ

3.6 GB

170 MB

650 MB

25 分

ASA FirePOWER

4.1 GB

36 MB

590 MB

45 分

NGIPSv:VMware 6.0

2.1 GB

150 MB

450 MB

10 分

バージョン 6.4.0.5 の時間とディスク容量

表 4. バージョン 6.4.0.5 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.4.0 からの時間

FMC

5 GB

170 MB

39 分

FMCv:VMware 6.0

3.7 GB

170 MB

27 分

Firepower 1000 シリーズ

2.9 GB

2.9 GB

530 MB

26 分

Firepower 2100 シリーズ

2.5 GB

2.5 GB

500 MB

16 分

Firepower 4100 シリーズ

1.8 GB

1.8 GB

310 MB

12 分

Firepower 9300

1.8 GB

1.8 GB

310 MB

11 分

ASA 5500-X シリーズ with FTD

1.8 GB

110 MB

290 MB

20 分

FTDv:VMware 6.0

1.8 GB

110 MB

290 MB

10 分

Firepower 7000/8000 シリーズ

3.6 GB

170 MB

650 MB

26 分

ASA FirePOWER

4.1 GB

36 MB

590 MB

45 分

NGIPSv:VMware 6.0

2.1 GB

150 MB

450 MB

10 分

バージョン 6.4.0.4 の時間とディスク容量

表 5. バージョン 6.4.0.4 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.4.0 からの時間

FMC

4.4 GB

170 MB

35 分

FMCv:VMware 6.0

4.8 GB

170 MB

31 分

Firepower 1000 シリーズ

2.9 GB

2.9 GB

520 MB

28 分

Firepower 2100 シリーズ

2.4 GB

2.4 GB

500 MB

10 分

Firepower 4100 シリーズ

2 GB

2 GB

310 MB

12 分

Firepower 9300

1.7 GB

1.7 GB

310 MB

10 分

ASA 5500-X シリーズ with FTD

1.8 GB

110 MB

290 MB

29 分

FTDv:VMware 6.0

1.8 GB

110 MB

290 MB

8 分

Firepower 7000/8000 シリーズ

3.6 GB

170 MB

650 MB

24 分

ASA FirePOWER

4.2 GB

36 MB

600 MB

55 分

NGIPSv:VMware 6.0

2.1 GB

150 MB

550 MB

10 分

バージョン 6.4.0.3 の時間とディスク容量

表 6. バージョン 6.4.0.3 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.4.0 からの時間

FMC

3.2 GB

24 MB

34 分

FMCv:VMware 6.0

2.5 GB

23 MB

25 分

Firepower 1000 シリーズ

2.9 GB

2.9 GB

520 MB

22 分

Firepower 2100 シリーズ

2.4 GB

2.4 GB

500 MB

19 分

Firepower 4100 シリーズ

1.7 GB

1.7 GB

310 MB

12 分

Firepower 9300

1.7 GB

1.7 GB

310 MB

14 分

ASA 5500-X シリーズ with FTD

1.8 GB

110 MB

290 MB

18 分

FTDv:VMware 6.0

1.8 GB

110 MB

290 MB

12 分

Firepower 7000/8000 シリーズ

1.9 GB

21 MB

370 MB

20 分

ASA FirePOWER

2.5 GB

2.5 GB

320 MB

28 分

NGIPSv:VMware 6.0

690 MB

21 MB

210 MB

8 分

バージョン 6.4.0.2 の時間とディスク容量

表 7. バージョン 6.4.0.2 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.4.0 からの時間

FMC

3.1 GB

24 MB

39 分

FMCv:VMware 6.0

2.5 GB

23 MB

24 分

Firepower 2100 シリーズ

1.9 GB

1.9 GB

480 MB

19 分

Firepower 4100 シリーズ

2.3 GB

2.3 GB

290 MB

11 分

Firepower 9300

1.7 GB

1.7 GB

290 MB

11 分

ASA 5500-X シリーズ with FTD

1.8 GB

110 MB

270 MB

21 分

FTDv:VMware 6.0

1.2 GB

110 MB

270 MB

10 分

Firepower 7000/8000 シリーズ

1.9 GB

36 MB

350 MB

20 分

ASA FirePOWER

2 GB

21 MB

300 MB

34 分

NGIPSv:VMware 6.0

630 MB

21 MB

190 MB

10 分

バージョン 6.4.0.1 の時間とディスク容量

表 8. バージョン 6.4.0.1 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 6.4.0 からの時間

FMC

1.8 GB

24 MB

50 分

FMCv:VMware 6.0

1.8 GB

23 MB

20 分

Firepower 2100 シリーズ

1.4 GB

1.4 GB

300 MB

17 分

Firepower 4100 シリーズ

1.1 GB

1.1 GB

95 MB

9 分

Firepower 9300

1.1 GB

1.1 GB

95 MB

10 分

ASA 5500-X シリーズ with FTD

550 MB

110 MB

76 MB

16 分

FTDv:VMware 6.0

550 MB

110 MB

76 MB

15 分

Firepower 7000/8000 シリーズ

59 MB

21 MB

2 MB

14 分

ASA FirePOWER

85 MB

20 MB

2 MB

30 分

NGIPSv:VMware 6.0

45 MB

21 MB

2 MB

10 分

トラフィック フロー、検査、およびデバイス動作

アップグレード中に発生するトラフィック フローおよびインスペクションでの潜在的な中断を特定する必要があります。これは、次の場合に発生する可能性があります。

  • デバイスが再起動された場合。

  • デバイス上でオペレーティング システムまたは仮想ホスティング環境をアップグレードする場合。

  • デバイス上で Firepower ソフトウェアをアップグレードするか、パッチをアンインストールする場合。

  • アップグレードまたはアンインストール プロセスの一部として設定変更を展開する場合(Snort プロセスが再開します)。

デバイスのタイプ、展開のタイプ(スタンドアロン、ハイ アベイラビリティ、クラスタ化)、およびインターフェイスの設定(パッシブ、IPS、ファイアウォールなど)によって中断の性質が決まります。アップグレードまたはアンインストールは、保守期間中に行うか、中断による展開環境への影響が最も小さい時点で行うことを強く推奨します。

FTD アップグレード時の動作: Firepower 4100/9300 シャーシ

このセクションでは、FTD を搭載した Firepower 4100/9300 シャーシをアップグレードするときのデバイスとトラフィックの動作を説明します。

Firepower 4100/9300 シャーシ:FXOS のアップグレード

シャーシ間クラスタリングまたはハイ アベイラビリティ ペアの構成がある場合でも、各シャーシの FXOS を個別にアップグレードします。アップグレードの実行方法により、FXOS のアップグレード時にデバイスがトラフィックを処理する方法が決定されます。

表 9. FXOS アップグレード中のトラフィックの動作
展開 方法 トラフィックの動作

スタンドアロン

ドロップされる

ハイ アベイラビリティ

ベスト プラクティス:スタンバイで FXOS を更新し、アクティブ ピアを切り替えて新しいスタンバイをアップグレードします。

影響なし

スタンバイでアップグレードが終了する前に、アクティブ ピアで FXOS をアップグレードします。

1 つのピアがオンラインになるまでドロップされる

シャーシ間クラスタ(6.2 以降)

ベスト プラクティス:少なくとも 1 つのモジュールを常にオンラインにするため、一度に 1 つのシャーシをアップグレードします。

影響なし

ある時点ですべてのモジュールを停止するため、シャーシを同時にアップグレードします。

少なくとも 1 つのモジュールがオンラインになるまでドロップされる

シャーシ内クラスタ(Firepower 9300 のみ)

Fail-to-wire 有効:[バイパス:スタンバイ(Bypass: Standby)] または [バイパス:強制(Bypass‑Force)]。(6.1 以降)

インスペクションなしで転送

Fail-to-wire 無効:[バイパス:無効(Bypass: Disabled)]。(6.1 以降)

少なくとも 1 つのモジュールがオンラインになるまでドロップされる

fail-to-wire モジュールなし。

少なくとも 1 つのモジュールがオンラインになるまでドロップされる

スタンドアロン FTD デバイス:Firepower ソフトウェアのアップグレード

インターフェイスの設定により、アップグレード中にスタンドアロン デバイスがトラフィックを処理する方法が決定されます。

表 10. Firepower ソフトウェア アップグレード中のトラフィックの動作:スタンドアロン FTD デバイス
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチド インターフェイスは、ブリッジ グループまたはトランスペアレント インターフェイスとしても知られています。

ドロップされる

IPS のみのインターフェイス

インラインセット、fail-to-wire が有効:[バイパス:スタンバイ(Bypass: Standby)] または [バイパス:強制(Bypass‑Force)](6.1+)

次のいずれかを行います。

  • ドロップ(6.1 から 6.2.2.x)

  • インスペクションなしで転送(6.2.3 以降)

インラインセット、fail-to-wire が無効:[バイパス:無効(Bypass: Disabled)](6.1+)

ドロップされる

インライン セット、fail-to-wire モジュールなし

ドロップされる

インライン セット、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

ハイ アベイラビリティ ペア:FirePOWER ソフトウェア アップグレード

ハイ アベイラビリティ ペアのデバイスの FirePOWER ソフトウェアをアップグレードする間に、トラフィック フローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンス モードで稼働します。

スタンバイ側のデバイスが最初にアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレード プロセスによって元の役割に切り替わります。

クラスタ:FirePOWER ソフトウェア アップグレード

Firepower Threat Defense クラスタのデバイスで FirePOWER ソフトウェアをアップグレードする間に、トラフィック フローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンス モードで稼働します。

スレーブ セキュリティ モジュールを最初にアップグレードして、その後マスターをアップグレードします。アップグレード中、セキュリティ モジュールはメンテナンス モードで稼働します。

マスター セキュリティ モジュールをアップグレードする間、通常トラフィック インスペクションと処理は続行しますが、システムはロギング イベントを停止します。ロギング ダウンタイム中に処理されるトラフィックのイベントは、アップグレードが完了した後、非同期のタイムスタンプ付きで表示されます。ただし、ロギング ダウンタイムが大きい場合、システムはログ記録する前に最も古いイベントをプルーニングすることがあります。


(注)  

バージョン 6.2.0、6.2.0.1、または 6.2.0.2 からシャーシ間クラスタをアップグレードすると、各モジュールがクラスタから削除されるときに、トラフィック インスペクションで 2 ~ 3 秒のトラフィック中断が発生します。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、デバイスがトラフィックを処理する方法に応じて異なります。

ハイアベイラビリティとクラスタリング ヒットレス アップグレードの要件

ヒットレスアップグレードの実行には、次の追加要件があります。

フローオフロード:フローオフロード機能でのバグ修正により、FXOS と FTD のいくつかの組み合わせはフローオフロードをサポートしていません。『Cisco Firepower Compatibility Guide』を参照してください。ハイアベイラビリティまたはクラスタ化された展開でヒットレスアップグレードを実行するには、常に互換性のある組み合わせを実行していることを確認する必要があります。

アップグレードパスに FXOS の 2.2.2.91、2.3.1.130、またはそれ以降(FXOS 2.4.1.x、2.6.1.x など)へのアップグレードが含まれている場合、次の手順を使用します。

1. FTD を 6.2.2.2 以降にアップグレードします。

2. FXOS を 2.2.2.91、2.3.1.130、またはそれ以降にアップグレードします。

3. FTD を最終バージョンにアップグレードします。

たとえば、FXOS 2.2.2.17/FTD 6.2.2.0 を実行していて、FXOS 2.6.1/FTD 6.4.0 にアップグレードする場合は、次を実行できます。

1. FTD を 6.2.2.5 にアップグレードします。

2. FXOS を 2.6.1 にアップグレードします。

3. FTD を 6.4.0 にアップグレードします。

バージョン 6.1.0 へのアップグレード:FTD ハイアベイラビリティペアのバージョン 6.1.0 へのヒットレスアップグレードを実行するには、プレインストールパッケージが必要です。詳細については、『Firepower System Release Notes Version 6.1.0 Preinstallation Package』を参照してください。

展開時のトラフィックの動作

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、Snort プロセスを再起動すると、HA/スケーラビリティ用に設定されたものを含め、すべての Firepower デバイスでトラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 11. FTD 展開時のトラフィックの動作
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチド インターフェイスは、ブリッジ グループまたはトランスペアレント インターフェイスとしても知られています。

ドロップされる

IPS のみのインターフェイス

インライン セット、[フェールセーフ(Failsafe)] が有効または無効(6.0.1 ~ 6.1.0.x)

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インライン セット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:無効(6.2 以降)

ドロップされる

インライン セット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:有効(6.2+)

インスペクションなしで転送

インライン セット、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

FTD アップグレード時の動作:その他のデバイス

このセクションでは、Firepower 1000/2100 シリーズ、ASA 5500-X シリーズ、ISA 3000、および FTDv で Firepower Threat Defense をアップグレードするときのデバイスとトラフィックの動作を説明します。

スタンドアロン FTD デバイス:Firepower ソフトウェアのアップグレード

インターフェイスの設定により、アップグレード中にスタンドアロン デバイスがトラフィックを処理する方法が決定されます。

表 12. Firepower ソフトウェア アップグレード中のトラフィックの動作:スタンドアロン FTD デバイス
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチド インターフェイスは、ブリッジ グループまたはトランスペアレント インターフェイスとしても知られています。

ドロップされる

IPS のみのインターフェイス

インラインセット、fail-to-wire が有効:[バイパス:スタンバイ(Bypass: Standby)] または [バイパス:強制(Bypass‑Force)](6.1+)

次のいずれかを行います。

  • ドロップ(6.1 から 6.2.2.x)

  • インスペクションなしで転送(6.2.3 以降)

インラインセット、fail-to-wire が無効:[バイパス:無効(Bypass: Disabled)](6.1+)

ドロップされる

インライン セット、fail-to-wire モジュールなし

ドロップされる

インライン セット、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

ハイ アベイラビリティ ペア:FirePOWER ソフトウェア アップグレード

ハイ アベイラビリティ ペアのデバイスの FirePOWER ソフトウェアをアップグレードする間に、トラフィック フローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンス モードで稼働します。

スタンバイ側のデバイスが最初にアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレード プロセスによって元の役割に切り替わります。

展開時のトラフィックの動作

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、Snort プロセスを再起動すると、HA/スケーラビリティ用に設定されたものを含め、すべての Firepower デバイスでトラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 13. FTD 展開時のトラフィックの動作
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチド インターフェイスは、ブリッジ グループまたはトランスペアレント インターフェイスとしても知られています。

ドロップされる

IPS のみのインターフェイス

インライン セット、[フェールセーフ(Failsafe)] が有効または無効(6.0.1 ~ 6.1.0.x)

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インライン セット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:無効(6.2 以降)

ドロップされる

インライン セット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:有効(6.2+)

インスペクションなしで転送

インライン セット、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

FirePOWER 7000/8000 シリーズのアップグレード時の動作

次のセクションでは、Firepower 7000/8000 シリーズ デバイスをアップグレードする際のデバイスおよびトラフィックの動作について説明します。

スタンドアロン 7000/8000 シリーズ:Firepower ソフトウェアのアップグレード

インターフェイスの設定により、アップグレード中にスタンドアロン デバイスがトラフィックを処理する方法が決定されます。

表 14. アップグレード中のトラフィックの動作:スタンドアロン 7000/8000 シリーズ
インターフェイスの設定 トラフィックの動作

インライン、ハードウェア バイパスが有効([バイパスモード:バイパス(Bypass Mode: Bypass)])

インスペクションなしで転送。ただし、トラフィックは、次の 2 つのポイントで一時的に中断します。

  • アップグレード プロセスの開始時に、リンクがダウンしてから復旧(フラップ)し、ネットワーク カードがハードウェア バイパスに切り替わるとき。

  • アップグレードが完了した後、リンクが復旧し、ネットワーク カードがバイパスから切り替わるとき。インスペクションはエンドポイントの再接続後に再開され、デバイス インターフェイスとのリンクを再確立します。

インライン、ハードウェア バイパス モジュールなし、またはハードウェア バイパスが無効([バイパスモード:非バイパス(Bypass Mode: Non‑Bypass)])

ドロップされる

インライン、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ

中断なし、インスペクションなし

ルーテッド、スイッチド

ドロップされる

7000/8000 シリーズ ハイ アベイラビリティ ペア:Firepower ソフトウェアのアップグレード

ハイ アベイラビリティ ペアのデバイス(またはデバイス スタック)をアップグレードする間に、トラフィック フローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンス モードで稼働します。

最初にアップグレードするピアは、展開によって異なります。

  • ルーテッドまたはスイッチド:最初にスタンバイがアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレード プロセスによって元の役割に切り替わります。

  • アクセス制御のみ:最初にアクティブがアップグレードされます。アップグレードの完了時に、アクティブとスタンバイの以前の役割がデバイスで維持されます。

8000 シリーズ スタック:FirePOWER ソフトウェア アップグレード

8000 シリーズ スタックでは、デバイスは同時にアップグレードされます。プライマリ デバイスがアップグレードを完了してスタックが動作を再開するまで、トラフィックはスタックがスタンドアロン デバイスであったかのように影響を受けます。すべてのデバイスがアップグレードを完了するまで、スタックは、制限付きの混合バージョンの状態で動作します。

展開時のトラフィックの動作

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、Snort プロセスを再起動すると、HA/スケーラビリティ用に設定されたものを含め、すべての Firepower デバイスでトラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 15. 展開時のトラフィックの動作:7000/8000 シリーズ
インターフェイスの設定 トラフィックの動作

インライン、[フェールセーフ(Failsafe)] が有効または無効

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インライン、タップ モード

すぐにパケットを出力し、バイパス Snort をコピーする

パッシブ

中断なし、インスペクションなし

ルーテッド、スイッチド

ドロップされる

ASA FirePOWER アップグレード時の動作

Snort プロセスを再起動する特定の設定を展開する場合を含め、モジュールが FirePOWER ソフトウェア アップグレード中にトラフィックを処理する方法を決定する、ASA FirePOWER モジュールへのトラフィック リダイレクトに関する ASA サービス ポリシーです。

表 16. ASA FirePOWER アップグレード中のトラフィックの動作
トラフィック リダイレクト ポリシー トラフィックの動作

フェール オープン(sfr fail-open

インスペクションなしで転送

フェール クローズ(sfr fail-close

ドロップされる

モニタのみ(sfr {fail-close}|{fail-open} monitor-only

パケットをただちに出力、コピーへのインスペクションなし

ASA FirePOWER 展開時のトラフィックの動作

Snort プロセスが再起動している間のトラフィックの動作は、ASA FirePOWER モジュールをアップグレードする場合と同じです。

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。 さらに、Snort プロセスを再起動すると、トラフィック インスペクションが中断されます。サービス ポリシーにより、中断中にインスペクションせずにトラフィックをドロップするか通過するかが決定されます。

NGIPSv アップグレード時の動作

このセクションでは、NGIPSvをアップグレードするときのデバイスとトラフィックの動作を説明します。

Firepower ソフトウェア アップグレード

インターフェイスの設定により、アップグレード中に NGIPSv がトラフィックを処理する方法が決定されます。

表 17. NGIPSv アップグレード中のトラフィックの動作
インターフェイスの設定 トラフィックの動作

インライン

ドロップされる

インライン、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ

中断なし、インスペクションなし

展開時のトラフィックの動作

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。さらに、Snort プロセスを再起動すると、トラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 18. NGIPSv 展開時のトラフィックの動作
インターフェイスの設定 トラフィックの動作

インライン、[フェールセーフ(Failsafe)] が有効または無効

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インライン、タップ モード

すぐにパケットを出力し、バイパス Snort をコピーする

パッシブ

中断なし、インスペクションなし

アップグレード手順

リリース ノートにはアップグレード手順は含まれていません。これらのリリース ノートに記載されているガイドラインと警告を読んだ後、次のいずれかを参照してください。

アップグレードパッケージ

アップグレード パッケージは、 シスコサポートおよびダウンロードサイトで入手できます。

署名付きの(.tar)パッケージは解凍しないでください。

表 19. のアップグレード パッケージ バージョン 6.4.0.x
プラットフォーム パッケージ

FMC/FMCv

Cisco_Firepower_Mgmt_Center_Patch-version-build.sh.REL.tar

Firepower 1000 シリーズ

Cisco_FTD_SSP_FP1K_Patch-version-build.sh.REL.tar

Firepower 2100 シリーズ

Cisco_FTD_SSP_FP2K_Patch-version-build.sh.REL.tar

Firepower 4100/9300 シャーシ

Cisco_FTD_SSP_Patch-version-build.sh.REL.tar

FTD を搭載した ASA 5500-X シリーズ

FTD を搭載した ISA 3000

Firepower Threat Defense Virtual

Cisco_FTD_Patch-version-build.sh.REL.tar

Firepower 7000/8000 シリーズ

Cisco_Firepower_NGIPS_Appliance_Patch-version-build.sh.REL.tar

ASA FirePOWER

Cisco_Network_Sensor_Patch-version-build.sh.REL.tar

NGIPSv

Cisco_Firepower_NGIPS_Virtual_Patch-version-build.sh.REL.tar