バージョン 6.4.0 へのアップグレード

この章では、バージョン 6.4.0 の重要なリリースに固有の情報を提供します。

また、 新機能、廃止された機能とプラットフォーム、メニューと用語の変更、ブラックリストに登録された FlexConfig コマンドなどの情報に関して「特長と機能」に目を通す必要があります。

に関するガイドラインと警告 バージョン 6.4.0

このチェックリストには、バージョン 6.4.0 に関する新しい重要なアップグレードガイドラインと警告が含まれています。以前に公開されたガイドラインと警告」および「一般的なガイドラインと警告」も確認する必要があります。

表 1. バージョン 6.4.0 の新しいガイドライン
ガイドライン プラットフォーム アップグレード元 直接アップグレード先

Firepower 1010 デバイス上の EtherChannel で出力トラフィックがブラックホール化される場合がある

Firepower 1010

6.4.0

6.4.0.3 ~ 6.4.0.5

アップグレードの失敗:コンテナインスタンスのディスク容量不足

Firepower 4100/9300

6.3.0 ~ 6.4.0.x

6.3.0.1 ~ 6.5.0

アップグレードの失敗:以前のバージョンが 6.2.3.12 の NGIPS デバイス

Firepower 7000/8000 シリーズ

ASA FirePOWER

NGIPSv

6.2.3 ~ 6.3.0.x

6.4.0 のみ

TLS 暗号化アクセラレーションの有効化/無効にすることは不可

Firepower 2100 シリーズ

Firepower 4100/9300

6.1.0 ~ 6.3.0.x

6.4.0 以降

Firepower 4100/9300 のアップグレードにはバージョン 6.2.0 が必要

Firepower 4100/9300

6.1.0.x

6.4.0 のみ

Firepower 1010 デバイス上の EtherChannel で出力トラフィックがブラックホール化される場合がある

展開:FTD を搭載した Firepower 1010

影響を受けるバージョン:バージョン 6.4.0 ~ 6.4.0.5

関連するバグ:CSCvq81354

FTD バージョン 6.4.0 ~ 6.4.0.5 を実行している Firepower 1010 デバイスでは EtherChannel を設定しないことを強くお勧めします(バージョン 6.4.0.1 および 6.4.0.2 はこのモデルではサポートされていないことに注意してください)。

内部トラフィックハッシュの問題により、Firepower 1010 デバイス上の EtherChannel では出力トラフィックがブラックホール化されることがあります。ハッシュは送信元 IP アドレスと宛先 IP アドレスに基づくため、特定の送信元 IP と宛先 IP のペアで一貫性のある動作になります。つまり、一部のトラフィックは常に機能し、一部のトラフィックは常に失敗します。

この問題は、次回の 6.4.0.x パッチで修正される予定です。また、バージョン 6.5.0 でも修正されます。

アップグレードの失敗:コンテナインスタンスのディスク容量不足

展開:FTD を搭載した Firepower 4100/9300

アップグレード元:バージョン 6.3.0 ~ 6.4.0.x

直接アップグレード先:バージョン 6.3.0.1 ~ 6.5.0

多くの場合はメジャーアップグレード時に(場合によってはパッチ適用時に)、コンテナインスタンスを使用して設定された FTD デバイスが、ディスク容量不足のエラーにより事前チェック段階で失敗することがあります。

この問題が発生した場合には、空きディスク容量を増やしてみてください。それでも解決しない場合は、Cisco TAC にお問い合わせください。

アップグレードの失敗:以前のバージョンが 6.2.3.12 の NGIPS デバイス

展開:7000/8000 シリーズ、ASA FirePOWER、NGIPSv

関連するバグ:CSCvp42398

アップグレード元:バージョン 6.2.3 ~ 6.3.0.x

直接アップグレード先:バージョン 6.4.0 のみ

次の場合、NGIPS デバイスをバージョン 6.4.0 にアップグレードすることはできません。

  • デバイスが以前にバージョン 6.2.3.12 を実行していて、その後、次を実行した。

  • バージョン 6.2.3.12 パッチをアンインストールしたか、バージョン 6.3.0.x にアップグレードした。

    これには、バージョン 6.2.3.12 パッチをアンインストールしてから、バージョン 6.3.0.x にアップグレードしたシナリオも含まれています。

上記が現在の状況である場合は、Cisco TAC にお問い合わせください。

TLS 暗号化アクセラレーションの有効化/無効にすることは不可

展開:Firepower 2100 シリーズ、Firepower 4100/9300 シャーシ

アップグレード元:バージョン 6.1.0 ~ 6.3.x

直接アップグレード先:バージョン 6.4.0 以降

SSL ハードウェア アクセラレーションは、TLS 暗号化アクセラレーションに名前が変更されました。

デバイスによっては、TLS 暗号化アクセラレーションがソフトウェアまたはハードウェアで実行される場合があります。アップグレードでは、この機能を手動で無効にした場合でも、すべての対象デバイスでアクセラレーションが自動的に有効になります。ほとんどの場合、この機能を設定することはできません。この機能は自動的に有効になり、無効にすることはできません。

バージョン 6.4.0 へのアップグレード: Firepower 4100/9300 シャーシのマルチインスタンス機能を使用している場合は、FXOS CLI を使用して、モジュール/セキュリティエンジンごとに、1 つのコンテナインスタンスに対して TLS 暗号アクセラレーションを有効にすることができます。他のコンテナインスタンスに対してアクセラレーションは無効になっていますが、ネイティブインスタンスには有効になっています。

バージョン 6.5.0 以降へのアップグレード:Firepower 4100/9300 シャーシのマルチインスタンス機能を使用している場合は、FXOS CLI を使用して、Firepower 4100/9300 シャーシ上の複数のコンテナインスタンス(最大 16 個)に対して TLS 暗号アクセラレーションを有効にすることができます。新しいインスタンスでは、この機能がデフォルトで有効になっています。ただし、アップグレードによって既存のインスタンスのアクセラレーションが有効になることは「ありません」。代わりに、 config hwCrypto enable CLI コマンドを使用してください。

Firepower 4100/9300 のアップグレードにはバージョン 6.2.0 が必要

展開:FTD を搭載した Firepower 4100/9300

アップグレード元:バージョン 6.1.x

直接アップグレード先:バージョン 6.4.0 のみ

他の FMC 管理対象デバイスとは異なり、Firepower 4100/9300 シリーズ デバイスでは、Firepower Threat Defense ソフトウェアをバージョン 6.1 から 6.4 に直接アップグレードすることはできません。これは、FXOS 2.6.1 は FTD バージョン 6.1 と互換性がないが、バージョン 6.4 では必要であるからです。

FXOS 2.3.1 では中間バージョンとしてバージョン 6.2.3 を使用することを推奨します。FXOS を最初にアップグレードする必要があることに注意してください。バージョン 6.3 を中間リリースとして使用しないでください。『Firepower ReleaseNotes, Version 6.3.0』のガイドラインと警告を参照してください。

以前に公開されたガイドラインと警告

アップグレードパスでメジャーバージョンがスキップされる場合は、このチェックリストを確認してください。いくつかの以前のメジャーバージョンからバージョン 6.4.0 にアップグレードできます。「アップグレードする最小バージョン」を参照してください。

表 2. 以前に公開されたバージョン 6.4.0 のガイドライン

ガイドライン

プラットフォーム

アップグレード元

直接アップグレード先

URL フィルタリングキャッシュのタイムアウトが変更される可能性

任意(Any)

6.2.3.x

6.3.0 以降

FMC、7000/8000 シリーズ、NGIPSv で準備状況チェックに失敗する可能性

FMC

Firepower 7000/8000 シリーズ

NGIPSv

6.1.0 ~ 6.1.0.6

6.2.0 ~ 6.2.0.6

6.2.1

6.2.2 ~ 6.2.2.4

6.2.3 ~ 6.2.3.4

6.3.0 以降

リモートアクセス VPN のデフォルト設定の変更によって VPN トラフィックがブロックされる可能性

FMC を使用した FTD

6.2.0 ~ 6.2.3.x

6.3.0 以降

FMC 1000/2500/4500 にはアップグレード前のホットフィックスが必要な場合がある

MC1000、2500、および 4500

6.2.0 ~ 6.2.3.7

6.3.0 以降

アプライアンスへのアクセスの更新されたセキュリティ

任意(Any)

6.1.0 ~ 6.2.3.x

6.3.0 以降

セキュリティ インテリジェンスによって可能になるアプリケーションの識別

FMC の展開

6.1.0 ~ 6.2.3.x

6.3.0 以降

アップグレード後に VDB を更新して CIP 検出を有効化

任意(Any)

6.1.0 ~ 6.2.3.x

6.3.0 以降

無効な侵入変数セットによって展開に失敗する可能性

任意(Any)

6.1.0 ~ 6.2.3.x

6.3.0 以降

接続イベントと侵入イベントに関する Syslog の動作の変更

FMC

6.1.0 ~ 6.2.3.x

6.3.0 以降

アップグレードにより CSSM から FTD/FDM を登録解除することが可能

FDM を使用した FTD

6.2.0 ~ 6.2.2.x

6.2.3 ~ 6.4.0

レポートの結果の制限の変更

FMC

6.1.0 ~ 6.2.2.x

6.2.3 ~ 6.4.0

アップグレードの前にバージョン 6.1.x FTD クラスタからサイト ID を削除

FTD クラスタ

6.1.0.x

6.2.3 ~ 6.4.0

アップグレードの失敗:FDM を実行する ASA 5500-X シリーズのバージョン 6.2.0 から

FDM を使用した FTD

6.2.0 のみ

6.2.2 ~ 6.4.0

アクセスコントロールでは SRU から遅延ベースのパフォーマンス設定を取得可能

FMC

6.1.0.x

6.2.0 ~ 6.4.0

FTD での「フェールセーフ」から「Snort フェールオープン」への置き換え

FMC を使用した FTD

6.1.0.x

6.2.0 ~ 6.4.0

URL フィルタリングキャッシュのタイムアウトが変更される可能性

展開:すべて

アップグレード元:バージョン 6.2.3.x

直接アップグレード先:バージョン 6.3.0+

バージョン 6.3.0 の新機能として、GUI で URL フィルタリングキャッシュのタイムアウト値を設定できます。古いデータと一致する URL のインスタンスを最小限に抑えるため、キャッシュ内の URL を期限切れに設定できます。Cisco TAC と連携して URL フィルタリングキャッシュのタイムアウト値を変更している場合、アップグレードによってその値が変更される可能性があります。

アップグレード完了後、

  • FMC[システム(System)] > [統合(Integration)] を選択し、[Cisco CSI] タブをクリックして、[キャッシュされたURLの期限切れ(Cached URLs Expire)] 設定を確認します。

  • FDM[システム設定(System Settings)] > [トラフィック設定(Traffic Settings)] > [URLフィルタリングの設定(URL Filtering Preferences)] を選択し、[URL存続可能時間(URL Time to Live)] 設定を確認します。

FMC、7000/8000 シリーズ、NGIPSv で準備状況チェックに失敗する可能性

展開:FMC、7000/8000 シリーズ デバイス、NGIPSv

アップグレード元:バージョン 6.1.0 ~ 6.1.0.6、バージョン 6.2.0 ~ 6.2.0.6、バージョン 6.2.1、バージョン 6.2.2 ~ 6.2.2.4、およびバージョン 6.2.3 ~ 6.2.3.4

直接アップグレード先:バージョン 6.3.0+

次に示すバージョンの Firepower のいずれかからアップグレードする場合は、そこに示されているモデルで準備状態チェックを実行できません。これは、準備状況チェックプロセスが新しいアップグレードパッケージに対して互換性を持たないためです。

表 3. バージョン 6.3.0 以降用の準備状況チェックを備えたパッチ
準備完了チェックがサポートされない 修正された最初のパッチ

6.1.0 ~ 6.1.0.6

6.1.0.7

6.2.0 ~ 6.2.0.6

6.2.0.7

6.2.1

なし。バージョン 6.2.3.5+ にアップグレードしてください。

6.2.2 ~ 6.2.2.4

6.2.2.5

6.2.3 ~ 6.2.3.4

6.2.3.5

リモートアクセス VPN のデフォルト設定の変更によって VPN トラフィックがブロックされる可能性

展開:リモートアクセス VPN 用に設定された Firepower Threat Defense

アップグレード元:バージョン 6.2.x

直接アップグレード先:バージョン 6.3 +

バージョン6.3では非表示オプションの sysopt connection permit-vpn のデフォルト設定が変更されています。アップグレードすると、リモートアクセス VPN がトラフィックを渡さなくなる可能性があります。この場合は、次のいずれかの手法を使用してください。

  • sysopt connection permit-vpn コマンドを設定する FlexConfig オブジェクトを作成します。このコマンドの新しいデフォルトは no sysopt connection permit-vpn です。

    これは、外部ユーザがリモートアクセス VPN アドレスプール内の IP アドレスになりすますことができないため、VPN でトラフィックを許可するよりも安全な方法です。欠点は VPN トラフィックが検査されないことです。つまり、侵入とファイルの保護、URL フィルタリング、その他の高度な機能がトラフィックに適用されません。

  • リモートアクセス VPN アドレスプールからの接続を許可するアクセス制御ルールを作成します。

    この方法では、VPN トラフィックが確実に検査され、高度なサービスを接続に適用できます。欠点は、外部のユーザが IP アドレスをスプーフィングして、内部ネットワークにアクセスしやすくなることです。

FMC 1000/2500/4500 にはアップグレード前のホットフィックスが必要な場合がある

展開: Firepower Management Center モデル FMC 1000、2500、および 4500

アップグレード元:バージョン 6.2.0 ~ 6.2.3.7

直接アップグレード先:バージョン 6.3.0+

FMC 1000、MC2500、または MC4500 をバージョン 6.2.0 ~ 6.2.3.7 からバージョン 6.3.0+ にアップグレードする前に、プレインストール ホットフィックスの適用が必要になる場合があります。または、バージョン 6.2.3.8 + にアップグレードすることもできます。他の FMC モデルまたはバージョンにホットフィックスを適用しないでください。

このホットフィックス(またはパッチ)により、RAID コントローラのファームウェアがバージョン 24.12.1-0411 に更新されます。ホットフィックスを更新しないと、バージョン 6.3.0+ を実行しているアップグレード済み FMC でパフォーマンス上の問題が発生する可能性があります。


(注)  

影響を受けるバージョンを実行している場合でも、ファームウェアがすでに最新の状態になっていることもあります。このような状況では、「イメージファイルのバージョンがコントローラ上のものと同じか、それより古いバージョンです。コントローラはフラッシュされません(The image file has older version than or same as that on the controller. The controller is not flashed.)」というエラーでホットフィックスが失敗します。このメッセージが表示される場合は、ホットフィックスなしで問題なくアップグレードできます。

ホットフィックスを適用する前にファームウェアのバージョンを再確認するには、FMC で Linux シェル(エキスパートモードとも呼ばれます)にアクセスし、sudo storcli /c0 show | grep "FW Version" コマンドを実行します。


ホットフィックスは シスコサポートおよびダウンロードサイト で入手可能であり、お使いの現在のメジャーバージョンのアップグレードパッケージおよびインストールパッケージと同じ場所にあります。ホットフィックスを適用するには、通常のアップグレードページ([システム(System)] > [更新(Updates)])を使用します。

表 4. プレインストール ホットフィックス パッケージ
現在のバージョン ホットフィックス パッケージ

6.3.0 以降

ホットフィックスまたはパッチを適用せずに 6.3.0+ にアップグレードした場合は、Cisco TAC に連絡してください。

6.2.3.8 以降のパッチ

正常にアップグレードします。ホットフィックスは必要ありません。

6.2.3 ~ 6.2.3.7

ホットフィックス AJ

Sourcefire_3D_Defense_Center_S3_Hotfix_AJ-6.2.3.999-5.sh.REL.tar

6.2.2.x

ホットフィックス BY

Sourcefire_3D_Defense_Center_S3_Hotfix_BY-6.2.2.999-1.sh.REL.tar

6.2.1

バージョン 6.2.3 にアップグレードし、ホットフィックス AJ またはパッチのいずれかを 6.2.3.8+ に適用します。

6.2.0.x

バージョン 6.2.3 にアップグレードし、ホットフィックス AJ またはパッチのいずれかを 6.2.3.8+ に適用します。

アプライアンスへのアクセスの更新されたセキュリティ

展開:すべて

アップグレード元:バージョン 6.1 ~ 6.2.3.x

直接アップグレード先:バージョン 6.3 +

セキュリティを強化するために、バージョン 6.3 では、セキュア SSH アクセスのためにサポートされる暗号と暗号化アルゴリズムのリストが更新されました。暗号エラーのために SSH クライアントが Firepower アプライアンスとの接続に失敗する場合は、クライアントを最新バージョンに更新してください。

セキュリティ インテリジェンスによって可能になるアプリケーションの識別

展開:Firepower Management Center

アップグレード元:バージョン 6.1 ~ 6.2.3.x

直接アップグレード先:バージョン 6.3 +

バージョン 6.3 では、セキュリティ インテリジェンスの設定によりアプリケーションの検出と識別が可能になります。現在の展開で検出を無効にした場合は、アップグレードプロセスによって再び検出が有効になる可能性があります。必要がない場合(たとえば、IPS のみの展開など)に検出を無効にするとパフォーマンスが向上する可能性があります。

検出を無効にするには、次の手順を実行する必要があります。

  • ネットワーク検出ポリシーからすべてのルールを削除します。

  • 単純なネットワークベースの条件(ゾーン、IP アドレス、VLAN タグ、およびポート)のみを使用してアクセス制御を実行します。どんな種類のアプリケーション、ユーザ、URL、または地理位置情報の制御も行わないでください。

  • (新規)デフォルトのグローバルリストなど、アクセス コントロール ポリシーのセキュリティ インテリジェンス設定からすべてのホワイトリストとブラックリストを削除することで、ネットワークと URL ベースのセキュリティ インテリジェンスを無効にします。

  • (新規)DNS のデフォルトのグローバルホワイトリストや DNS ルールのグローバルブラックリストなど、関連付けられている DNS ポリシー内のすべてのルールを削除または無効にすることで、DNS ベースのセキュリティ インテリジェンスを無効にします。

アップグレード後に VDB を更新して CIP 検出を有効化

展開:すべて

アップグレード元:バージョン 6.1.0 ~ 6.2.3.x、VDB 299+ 搭載

直接アップグレード先:バージョン 6.3.0+

脆弱性データベース(VDB)299 以降を使用しているときにアップグレードする場合、アップグレードプロセスの問題により、アップグレード後の CIP 検出を使用できなくなります。これには、2018 年 6 月から現在までにリリースされたすべての VDB に加えて、最新の VDB も含まれます。

アップグレード後は常に脆弱性データベース(VDB)を最新バージョンに更新することを推奨しますが、この場合は特に重要です。

この問題の影響を受けるかどうかを確認するには、CIP ベースアプリケーションの条件を使用して、アクセス制御ルールを設定してみてください。ルールエディタで CIP アプリケーションが見つからない場合は、手動で VDB を更新します。

無効な侵入変数セットによって展開に失敗する可能性

展開:すべて

アップグレード元:バージョン 6.1 ~ 6.2.3.x

直接アップグレード先:バージョン 6.3.0+

侵入変数セット内のネットワーク変数については、除外する IP アドレスが、含める IP アドレスのサブセットである必要があります。次の表に、有効な設定と無効な設定の例を示します。

有効 無効

含める:10.0.0.0/8

除外する:10.1.0.0/16

含める:10.1.0.0/16

除外する:172.16.0.0/12

除外する:10.0.0.0/8

バージョン 6.3.0 より前のバージョンでは、このタイプの無効な設定でネットワーク変数を正常に保存できました。現在のバージョンでは、これらの設定によって展開がブロックされ、次のエラーが表示されます。「Variable set has invalid excluded values.」

この場合は、正しく設定されていない変数セットを識別して編集してから展開しなおしてください。変数セットによって参照されているネットワークオブジェクトおよびグループの編集が必要である場合もあることに注意してください。

接続イベントと侵入イベントに関する Syslog の動作の変更

展開:Firepower Management Center

アップグレード元:バージョン 6.1.0 ~ 6.2.3.x

直接アップグレード先:バージョン 6.3.0+

バージョン 6.3.0 では、システムが Syslog を介して接続イベントと侵入イベントをログに記録する方法が変更され、一元化されています。アクセス コントロール ポリシーの新しい [ロギング(Logging)] タブでこれらの設定にアクセスできます。

アップグレードによって接続イベント ログの既存の設定が変更されることはありません。ただし、Syslog 経由では「期待されなかった」侵入イベントの受信が突然開始される可能性があります。これは、バージョン 6.3.0+ にアップグレードすると、侵入ポリシーによって、Syslog イベントが新しい [ロギング(Logging)] タブ上の宛先に送信されるためです(バージョン 6.3.0 以前では、外部ホストではなく、管理対象デバイス自体の Syslog にイベントを送信するように侵入ポリシーで Syslog アラートを設定できました)。

また、NGIPS デバイス(7000/8000 シリーズ、ASA FirePOWER、NGIPSv)から送信されるメッセージで、RFC 5425 で指定されている ISO 8601 タイムスタンプ形式が使用されるようになりました。

アップグレードにより CSSM から FTD/FDM を登録解除することが可能

導入:FDM を使用した FTD

アップグレード元:バージョン 6.2 ~ 6.2.2.x

直接アップグレード先:バージョン 6.2.3 ~ 6.4.0

Firepower Device Manager によって管理されている Firepower Threat Defense デバイスをアップグレードすると、そのデバイスが Cisco Smart Software Manager から登録解除される場合があります。アップグレードが完了したら、ライセンスのステータスを確認します。

手順


ステップ 1

[デバイス(Device)] をクリックし、[スマートライセンス概要(Smart License summary)] の [設定の表示(View Configuration)] をクリックします。

ステップ 2

デバイスが登録されていない場合は、[Register Device] をクリックします。


レポートの結果の制限の変更

展開:Firepower Management Center

アップグレード元:バージョン 6.1.0 ~ 6.2.2.x

直接アップグレード先:バージョン 6.2.3 ~ 6.4.0

バージョン 6.2.3 では、次のように、使用できる結果の数、またはレポートのセクションに含めることができる結果の数が制限されています。テーブルおよび詳細ビューでは、PDF レポートに HTML または CSV レポートよりも少ないレコードを含めることができます。

表 5. レポートの結果の新しい制限
レポートセクションタイプ 最大レコード数:HTML または CSV レポートセクション 最大レコード数:PDF レポートセクション

棒グラフ

円グラフ

100(上位または下位)

100(上位または下位)

テーブルビュー

400,000

100,000

詳細ビュー

1,000

500

Firepower Management Center をアップグレードする前に、レポートテンプレート内のセクションで最大 HTML または CSV よりも大きい結果数を指定する場合は、アップグレードプロセスが設定を新しい最大値に下げます。

PDF レポートを生成するレポートテンプレートの場合、テンプレートセクションの PDF の制限を超えると、アップグレードプロセスは出力形式を HTML に変更します。PDF の生成を続行するには、結果数を PDF の最大に下げます。アップグレード後にこれを行った場合、出力形式の設定を PDF に戻します。

アップグレードの前にバージョン 6.1.x FTD クラスタからサイト ID を削除

展開: Firepower Threat Defenseクラスタ

アップグレード元:バージョン 6.1.x

直接アップグレード先:バージョン 6.2.3 ~ 6.4.0

Firepower Threat Defense バージョン 6.1.x クラスタは、サイト間クラスタリングをサポートしていません(バージョン 6.2.0 以降では FlexConfig を使用してサイト間機能を設定できます)。

FXOS 2.1.1 でバージョン 6.1.x クラスタを展開または再展開している場合、(サポートされていない)サイト ID の値を入力しているときは、アップグレードする前に、FXOS の各ユニットでサイト ID を削除(0 に設定)する必要があります。そうしないと、アップグレード後、ユニットがクラスタに再度参加できなくなります。

すでにアップグレード済みの場合は、サイト ID を各ユニットから削除してからクラスタを再確立します。サイト ID を表示または変更するには、『Cisco FXOS CLI Configuration Guide』を参照してください。

アップグレードの失敗:FDM を実行する ASA 5500-X シリーズのバージョン 6.2.0 から

展開:FDM を使用した FTD(メモリが少ない ASA 5500-X シリーズ デバイスで実行)

アップグレード元:バージョン 6.2.0

直接アップグレード先:バージョン 6.2.2 ~ 6.4.0

バージョン 6.2.0 からアップグレードする場合、アップグレードに失敗し、「Uploaded file is not a valid system upgrade file」というエラーが表示される可能性があります。これは、正しいファイルを使用している場合でも発生する可能性があります。

この場合は、次の回避策を試してください。

  • 再度試す。

  • CLI を使用してアップグレードする。

  • まず 6.2.0.1 にアップグレードする。

アクセスコントロールでは SRU から遅延ベースのパフォーマンス設定を取得可能

展開:FMC

アップグレード元:6.1.x

直接アップグレード先:6.2.0+

バージョン 6.2.0+ の新しいアクセス コントロール ポリシーでは、デフォルトで、最新の侵入ルール更新(SRU)から遅延ベースのパフォーマンス設定が取得されます。この動作は、新しい [設定の適用元(Apply Settings From)] オプションによって制御されます。このオプションを設定するには、アクセス コントロール ポリシーを編集または作成して、[詳細(Advanced)] をクリックし、遅延ベースのパフォーマンス設定を編集します。

バージョン 6.2.0+ にアップグレードすると、現在(バージョン 6.1.x)の設定に従って新しいオプションが設定されます。現在の設定が次の場合、新しいオプションは次のように設定されます。

  • [デフォルト(Default)]:新しいオプションは、[インストールされたルールの更新(Installed Rule Update)] に設定されます。アップグレードしてから展開すると、最新の SRU からの遅延ベースのパフォーマンス設定が使用されます。最新の SRU が指定する内容によって、トラフィックの処理が変更される可能性があります。

  • [カスタム(Custom)]:新しいオプションは、[カスタム(Custom)] に設定されます。システムは現在のパフォーマンス設定を保持します。このオプションによって動作が変更されることはありません。

アップグレードする前に設定を確認することをお勧めします。前述したように、バージョン 6.1.x の FMC Web インターフェイスから、ポリシーの遅延ベースのパフォーマンス設定を表示し、[デフォルトへ復帰(Revert To Defaults)] ボタンがグレー表示されているかどうかを確認します。ボタンがグレー表示されている場合は、デフォルト設定が使用されています。ボタンがアクティブになっている場合は、カスタム設定が設定されています。

FTD での「フェールセーフ」から「Snort フェールオープン」への置き換え

展開:FMC を使用した FTD

アップグレード元:バージョン 6.1.x

直接アップグレード先:バージョン 6.2+

バージョン 6.2 では、Snort フェールオープン設定により、FMC によって管理される Firepower Threat Defense デバイスのフェールセーフオプションが置き換えられます。フェールセーフでは、Snort がビジー状態のときにトラフィックをドロップすることができますが、Snort がダウンしている場合、トラフィックはインスペクションなしで自動的に通過します。Snort フェールオープンでは、このトラフィックをドロップすることができます。

FTD デバイスをアップグレードすると、その新しい Snort フェールオープン設定は、以下のように、古いフェールセーフ設定に依存します。新しい設定ではトラフィックの処理が変更されることはありませんが、アップグレードの前にフェールセーフを有効または無効にするかどうかを検討してください。

表 6. フェールセーフの Snort フェールオープンへの移行
バージョン 6.1 のフェールセーフ バージョン 6.2 の Snort フェールオープン 動作

無効(デフォルトの動作)

[Busy]:無効

[Down]:有効

Snort プロセスがビジー状態の場合は、新規および既存の接続をドロップし、Snort プロセスがダウンしている場合は、接続をインスペクションなしで通過します。

有効

[ビジー(Busy)]:有効

[ダウン(Down)]:有効

Snort プロセスがビジー状態またはダウンしている場合、新規または既存の接続をインスペクションなしで通過します。

Snort フェールオープンでは、デバイスにバージョン 6.2 が必要であることに注意してください。バージョン 6.1.x のデバイスを管理している場合、FMC Web インターフェイスにフェールセーフオプションが表示されます。

一般的なガイドラインと警告

これらの重要なガイドラインと警告は、すべてのアップグレードに適用されます。ただし、このリストは包括的なものではありません。アップグレードパスの計画、OS のアップグレード、準備状況チェック、バックアップ、メンテナンス期間など、アップグレードプロセスに関するその他の重要な情報へのリンクについては、「アップグレード手順」を参照してください。

イベントデータと設定データのバックアップ

外部の場所にバックアップして、正常に転送されたことを確認することを強くお勧めします。アプライアンスをアップグレードする際に、ローカルに保存されているバックアップは消去されます。FMC 展開では、展開をアップグレードした後に、FMC をバックアップすることもお勧めします。そのため、デバイスがアップグレードされたことを「識別」する新しい FMC バックアップファイルがあります。

バックアップの最初のステップとして、パッチレベルと VDB のバージョンを書き留めておきます。新規または再イメージ化されたアプライアンスにバックアップを復元する必要がある場合は、最初に新しいアプライアンスをそれらのバージョンに正確に更新する必要があるため、これは重要です。同じ VDB を使用している同じモデルおよび Firepower バージョンのアプライアンスのみからバックアップを復元できます。

アプライアンスアクセス

Firepower デバイスは、(インターフェイス設定に応じて)アップグレード中、またはアップグレードが失敗した場合に、トラフィックを渡すことを停止できます。Firepower デバイスをアップグレードする前に、ユーザの位置からのトラフィックがデバイスの管理インターフェイスにアクセスするためにデバイス自体を通過する必要がないことを確認してください。Firepower Management Center 展開では、デバイスを経由せずに FMC 管理インターフェイスにアクセスできる必要もあります。

署名付きのアップグレードパッケージ

Firepower では、正しいファイルを使用していることを確認できるようにするために、バージョン 6.2.1+ からのアップグレードパッケージ(および バージョン 6.2.1+ へのホットフィックス)は、署名付きの tar アーカイブ(.tar)になっています。以前のバージョンからのアップグレードでは、引き続き未署名のパッケージが使用されます。

シスコサポートおよびダウンロードサイトからアップグレードパッケージを手動でダウンロードする場合(たとえば、メジャーアップグレードやエアギャップ展開のために)、正しいパッケージをダウンロードしていることを確認してください。 署名付きの(.tar)パッケージは解凍しないでください。


(注)  

署名付きのアップグレードパッケージをアップロードした後、システムがパッケージを確認する際に、GUI のロードに数分かかることがあります。表示を高速化するには、署名付きのパッケージが不要になった後、それらのパッケージを削除します。

ASA FirePOWER デバイスでの ASA REST API の無効化

ASA FirePOWER モジュールをアップグレードする前に、ASA REST API を無効にしていることを確認します。無効にしていない場合、アップグレードが失敗することがあります。ASA CLI から:no rest api agent。アンインストール後に再度有効にすることができます:rest-api agent

シスコとのデータの共有

一部の機能にシスコとのデータ共有が含まれます。

6.2.3+ では、Cisco Success Network は、テクニカルサポートを提供するために不可欠な使用状況に関する情報と統計情報をシスコに送信します。アップグレード中に、参加を承諾するか、辞退するかを尋ねられます。また、いつでもオプトインまたはオプトアウトできます。

6.2.3+ では、Web 分析のトラッキングは、これに限定されませんが、ページでの操作、ブラウザのバージョン、製品のバージョン、ユーザの場所、FMC の管理 IP アドレスまたはホスト名を含む、個人を特定できない使用状況データをシスコに送信します。バージョン 6.1 ~ 6.2.2.x からアップグレードする場合、アップグレードによって Web 分析トラッキングが有効になります。このデータの収集を拒否する場合は、アップグレード後にオプトアウトできます(バージョン 6.2.3.x またはバージョン 6.3.0.x からアップグレードする場合、アップグレードプロセスでは現在の設定が保持されます)。

6.5.0+ では、Cisco Support Diagnostics(「シスコのプロアクティブサポート」とも呼ばれる)は、設定および運用上の健全性データをシスコに送信し、自動化された問題検出システムを通じてそのデータを処理して問題をプロアクティブに通知できるようにします。また、この機能により、Cisco TAC は TAC ケースの過程でデバイスから必要な情報を収集することもできます。アップグレード中に、参加を承諾するか、辞退するかを尋ねられます。また、いつでもオプトインまたはオプトアウトできます。

アップグレードにより侵入ルールをインポートして自動的に有効化できる

現在の Firepower バージョンでサポートされていないキーワードが新しい侵入ルールで使用されている場合、侵入ルールデータベース(SRU)を更新しても、そのルールはインポートされません。

Firepower ソフトウェアをアップグレードし、これらのキーワードがサポートされると、新しい侵入ルールがインポートされ、IPS の設定に応じて自動的に有効化できるため、イベントの生成とトラフィックフローへの影響を開始できます。

サポートされているキーワードは、Firepower ソフトウェアに含まれている Snort のバージョンによって異なります。

  • FMC:[ヘルプ(Help)] > [バージョン情報(About)] を選択します。

  • FDM を使用した FTD:show summary CLI コマンドを使用します。

  • ASDM を使用した ASA FirePOWER:[ASA FirePOWER設定(ASA FirePOWER Configuration)] > [システム情報(System Information)] を選択します。

また、『Cisco Firepower Compatibility Guide』の「Bundled Components」の項で、Snort のバージョンを確認することもできます。

Snort リリースノートには、新しいキーワードの詳細が含まれています。リリースノートは Snort ダウンロードページ(https://www.snort.org/downloads)で参照できます。

応答しないアップグレード

アップグレードしているアプライアンスとの間での変更の展開、またはアップグレードしているアプライアンスの手動での再起動やシャットダウンは行わないでください。進行中のアップグレードを再開しないでください。事前のチェック中に、アップグレード プロセスが停止しているように見える場合がありますが、これは想定内の動作です。アップグレードに失敗する、アプライアンスが応答しないなど、アップグレードで問題が発生した場合には Cisco TAC にお問い合わせください。

アップグレードする最小バージョン

いくつかの以前のメジャー バージョン シーケンスからバージョン 6.4.0 に直接アップグレードできます。アップグレードするために、以前のバージョンの最新のパッチを実行する必要はありません。

表 7. Firepower ソフトウェアをバージョン 6.4.0 にアップグレードするための最小バージョン
プラットフォーム 最小バージョン

Firepower Management Center

Firepower 4100/9300 シリーズを除く、FMC 展開のすべての管理対象デバイス。

6.1.0

FMC を使用した Firepower 4100/9300 上の Firepower Threat Defense

FXOS 2.6.1.157+ を使用した 6.2.0(最初に FXOS をアップグレード)

FMC で管理されている Firepower 4100/9300 シリーズ デバイスでは、FTD をバージョン 6.1 から 6.4 に直接アップグレードすることはできません。FXOS 2.3.1 では中間バージョンとしてバージョン 6.2.3 を使用することを推奨します。「Firepower 4100/9300 のアップグレードにはバージョン 6.2.0 が必要」を参照してください。

ハイアベイラビリティまたはクラスタ化された展開をバージョン 6.2.0.x、6.2.2.0、または 6.2.2.1 からアップグレードする際にヒットレスアップグレードが必要な場合は、「FTD アップグレード時の動作: Firepower 4100/9300 シャーシ」を参照してください。

FDM を使用した Firepower Threat Defense(すべてのプラットフォーム)

6.2.0

ASDM を使用した ASA FirePOWER

6.2.0

時間テストとディスク容量の要件

Firepower アプライアンスをアップグレードするには、十分な空きディスク容量が必要です。これがない場合、アップグレードは失敗します。Firepower Management Center を使用して管理対象デバイスをアップグレードする場合、デバイス アップグレード パッケージに対して、FMC は /Volume パーティションに追加のディスク容量を必要とします。また、アップグレードを実行するための十分な時間を確保してください。

参考のために、社内の時間とディスク容量のテストに関するレポートを提供しています。

時間テストについて

ここで指定した時間の値は、社内のテストに基づいています。特定のプラットフォーム/シリーズについてテストされたすべてのアップグレードの最も遅い時間を報告していますが、複数の理由により(以下を参照)、報告された時間よりも、アップグレードにかかる時間が長くなることがあります。

基本的なテスト条件

  • 展開:値は、Firepower Management Center 展開のテストから取得されています。これは、同様の条件の場合、リモートとローカルで管理されているデバイスの raw アップグレード時間が類似しているためです。

  • バージョン:メジャーアップグレードの場合、以前のすべての対象メジャーバージョンからのアップグレードをテストします。パッチについては、基本バージョンおよび直前のパッチからのアップグレードをテストします。

  • モデル:ほとんどの場合、各シリーズの最もローエンドのモデルでテストし、場合によってはシリーズの複数のモデルでテストします。

  • 仮想設定:メモリおよびリソースのデフォルト設定を使用してテストします。

プッシュおよびリブートの除外

値は、Firepower のアップグレードスクリプト自体を実行するのにかかる時間のみを表しています。値には、ローカル管理対象デバイスまたは FMC にアップグレードパッケージをアップロードするのに必要な時間や、アップグレードパッケージを FMC から管理対象デバイスにコピー(プッシュ)するために必要な時間は含まれていません。

FMC 展開では、FMC と管理対象デバイスの間の帯域幅が不十分だと、アップグレード時間が延長されたり、アップグレードがタイムアウトする原因となる可能性があります。FMC からそのデバイスに大容量のデータを転送するための帯域幅があることを確認します。詳細については、『Guidelines for Downloading Data from the Firepower Management Center to Managed Devices』(トラブルシューティング テクニカルノーツ)を参照してください。

値には、再起動、準備状況チェック、オペレーティングシステムのアップグレード、または設定の展開も含まれていません。

時間は単一のデバイスを対象

値は、デバイスごとの値です。ハイアベイラビリティの構成またはクラスタ化された構成では、動作の継続性を保持するため、複数のデバイスは 1 つずつアップグレードされます。アップグレード中は、各デバイスはメンテナンスモードで動作します。そのため、デバイスペアまたはクラスタ全体のアップグレードには、スタンドアロンデバイスのアップグレードよりも長い時間がかかります。

スタック構成の 8000 シリーズ デバイスは同時にアップグレードされ、スタックは、すべてのデバイスのアップグレードが完了するまで、限定的なバージョン混在の状態で動作することに注意してください。これには、スタンドアロンデバイスのアップグレードと比べて大幅に長い時間がかかるということはありません。

影響を受ける構成とデータ

シスコでは、構成およびトラフィック負荷が最小限のアプライアンスでテストを行います。アップグレード時間は、構成の複雑さ、イベントデータベースのサイズ、また、それらがアップグレードから影響を受けるかどうか、受ける場合はどのような影響を受けるかにより、長くなる場合があります。たとえば多くのアクセス制御ルールを使用している場合、アップグレードはこれらのルールの格納方法をバックエンドで変更する必要があるため、アップグレードにはさらに長い時間がかかります。

ディスク容量の要件について

容量の見積もりは、すべてのアップグレードについて報告された最大のものであり、次のようになります。

  • 切り上げなし(1 MB 未満)。

  • 次の 1 MB に切り上げ(1 MB ~ 100 MB)。

  • 次の 10 MB に切り上げ(100 MB ~ 1 GB)。

  • 次の 100 MB に切り上げ(1 GB を超える容量)。

バージョン 6.4.0 の時間とディスク容量

表 8. バージョン 6.4.0 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 時間

FMC

13.3 GB

26 MB

41 分

FMCv:VMware 6.0

13.6 GB

29 MB

30 分

Firepower 2100 シリーズ

12 MB

8.9 GB

950 MB

20 分

Firepower 4100 シリーズ

10 MB

7.5 GB

920 MB

6 分

Firepower 9300

10 MB

7.7 GB

920 MB

7 分

ASA 5500-X シリーズ with FTD

9 GB

110 KB

1.1 GB

24 分

FTDv:VMware 6.0

7.5 GB

100 KB

1.1 GB

12 分

Firepower 7000/8000 シリーズ

7.7 GB

19 MB

980 MB

34 分

ASA FirePOWER

11.5 GB

22 MB

1.3 GB

66 分

NGIPSv:VMware 6.0

6.5 GB

19 MB

840 MB

16 分

トラフィックフロー、検査、およびデバイス動作

アップグレード中に発生するトラフィックフローおよびインスペクションでの潜在的な中断を特定する必要があります。これは、次の場合に発生する可能性があります。

  • デバイスが再起動された場合。

  • デバイス上でオペレーティングシステムまたは仮想ホスティング環境をアップグレードする場合。

  • デバイス上で Firepower ソフトウェアをアップグレードするか、パッチをアンインストールする場合。

  • アップグレードまたはアンインストールプロセスの一部として設定変更を展開する場合(Snort プロセスが再開します)。

デバイスのタイプ、展開のタイプ(スタンドアロン、ハイアベイラビリティ、クラスタ化)、およびインターフェイスの設定(パッシブ、IPS、ファイアウォールなど)によって中断の性質が決まります。アップグレードまたはアンインストールは、保守期間中に行うか、中断による展開環境への影響が最も小さい時点で行うことを強く推奨します。

FTD アップグレード時の動作: Firepower 4100/9300 シャーシ

このセクションでは、FTD を搭載した Firepower 4100/9300 シャーシをアップグレードするときのデバイスとトラフィックの動作を説明します。

Firepower 4100/9300 シャーシ:FXOS のアップグレード

シャーシ間クラスタリングまたはハイアベイラビリティペアの構成がある場合でも、各シャーシの FXOS を個別にアップグレードします。アップグレードの実行方法により、FXOS のアップグレード時にデバイスがトラフィックを処理する方法が決定されます。

表 9. FXOS アップグレード中のトラフィックの動作
展開 方法 トラフィックの動作

スタンドアロン

ドロップされる

ハイアベイラビリティ

ベストプラクティス:スタンバイで FXOS を更新し、アクティブピアを切り替えて新しいスタンバイをアップグレードします。

影響なし

スタンバイでアップグレードが終了する前に、アクティブピアで FXOS をアップグレードします。

1 つのピアがオンラインになるまでドロップされる

シャーシ間クラスタ(6.2 以降)

ベストプラクティス:少なくとも 1 つのモジュールを常にオンラインにするため、一度に 1 つのシャーシをアップグレードします。

影響なし

ある時点ですべてのモジュールを停止するため、シャーシを同時にアップグレードします。

少なくとも 1 つのモジュールがオンラインになるまでドロップされる

シャーシ内クラスタ(Firepower 9300 のみ)

Fail-to-wire 有効:[バイパス:スタンバイ(Bypass: Standby)] または [バイパス:強制(Bypass‑Force)]。(6.1 以降)

インスペクションなしで転送

Fail-to-wire 無効:[バイパス:無効(Bypass: Disabled)]。(6.1 以降)

少なくとも 1 つのモジュールがオンラインになるまでドロップされる

fail-to-wire モジュールなし。

少なくとも 1 つのモジュールがオンラインになるまでドロップされる

スタンドアロン FTD デバイス:Firepower ソフトウェアのアップグレード

インターフェイスの設定により、アップグレード中にスタンドアロンデバイスがトラフィックを処理する方法が決定されます。

表 10. Firepower ソフトウェア アップグレード中のトラフィックの動作:スタンドアロン FTD デバイス
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチドインターフェイスは、ブリッジグループまたはトランスペアレント インターフェイスとしても知られています。

ドロップされる

IPS のみのインターフェイス

インラインセット、fail-to-wire が有効:[バイパス:スタンバイ(Bypass: Standby)] または [バイパス:強制(Bypass‑Force)](6.1+)

次のいずれかを行います。

  • ドロップ(6.1 から 6.2.2.x)

  • インスペクションなしで転送(6.2.3 以降)

インライン セット、fail-to-wire が無効:[バイパス:無効(Bypass: Disabled)](6.1+)

ドロップされる

インラインセット、fail-to-wire モジュールなし

ドロップされる

インラインセット、タップモード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

ハイアベイラビリティペア:FirePOWER ソフトウェアアップグレード

ハイアベイラビリティペアのデバイスの FirePOWER ソフトウェアをアップグレードする間に、トラフィックフローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンス モードで稼働します。

スタンバイ側のデバイスが最初にアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレードプロセスによって元の役割に切り替わります。

クラスタ:FirePOWER ソフトウェアアップグレード

Firepower Threat Defense クラスタのデバイスで FirePOWER ソフトウェアをアップグレードする間に、トラフィックフローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンスモードで稼働します。

スレーブ セキュリティ モジュールを最初にアップグレードして、その後マスターをアップグレードします。アップグレード中、セキュリティ モジュールはメンテナンス モードで稼働します。

マスター セキュリティ モジュールをアップグレードする間、通常トラフィック インスペクションと処理は続行しますが、システムはロギングイベントを停止します。ロギングダウンタイム中に処理されるトラフィックのイベントは、アップグレードが完了した後、非同期のタイムスタンプ付きで表示されます。ただし、ロギングダウンタイムが大きい場合、システムはログ記録する前に最も古いイベントをプルーニングすることがあります。


(注)  

バージョン 6.2.0、6.2.0.1、または 6.2.0.2 からシャーシ間クラスタをアップグレードすると、各モジュールがクラスタから削除されるときに、トラフィック インスペクションで 2 ~ 3 秒のトラフィック中断が発生します。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、デバイスがトラフィックを処理する方法に応じて異なります。

ハイアベイラビリティとクラスタリング ヒットレス アップグレードの要件

ヒットレスアップグレードの実行には、次の追加要件があります。

フローオフロード:フローオフロード機能でのバグ修正により、FXOS と FTD のいくつかの組み合わせはフローオフロードをサポートしていません。『Cisco Firepower Compatibility Guide』を参照してください。ハイアベイラビリティまたはクラスタ化された展開でヒットレスアップグレードを実行するには、常に互換性のある組み合わせを実行していることを確認する必要があります。

アップグレードパスに FXOS の 2.2.2.91、2.3.1.130、またはそれ以降へのアップグレード(FXOS 2.4.1.x、2.6.1.x などを含む)が含まれている場合、次のパスを使用します。

1. FTD を 6.2.2.2 以降にアップグレードします。

2. FXOS を 2.2.2.91、2.3.1.130、またはそれ以降にアップグレードします。

3. FTD を最終バージョンにアップグレードします。

たとえば、FXOS 2.2.2.17/FTD 6.2.2.0 を実行していて、FXOS 2.6.1/FTD 6.4.0 にアップグレードする場合は、次を実行できます。

1. FTD を 6.2.2.5 にアップグレードします。

2. FXOS を 2.6.1 にアップグレードします。

3. FTD を 6.4.0 にアップグレードします。

バージョン 6.1.0 へのアップグレード:FTD ハイアベイラビリティペアのバージョン 6.1.0 へのヒットレスアップグレードを実行するには、プレインストールパッケージが必要です。詳細については、『Firepower System Release Notes Version 6.1.0 Preinstallation Package』を参照してください。

展開時のトラフィックの動作

アップグレードプロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、Snort プロセスを再起動すると、HA/スケーラビリティ用に設定されたものを含め、すべての Firepower デバイスでトラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 11. FTD 展開時のトラフィックの動作
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチドインターフェイスは、ブリッジグループまたはトランスペアレント インターフェイスとしても知られています。

ドロップされる

IPS のみのインターフェイス

インラインセット、[フェールセーフ(Failsafe)] が有効または無効(6.0.1 ~ 6.1.0.x)

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インラインセット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:無効(6.2 以降)

ドロップされる

インライン セット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:有効(6.2+)

インスペクションなしで転送

インラインセット、タップモード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

FTD アップグレード時の動作:その他のデバイス

このセクションでは、Firepower 1000/2100 シリーズ、ASA 5500-X シリーズ、ISA 3000、および FTDv で Firepower Threat Defense をアップグレードするときのデバイスとトラフィックの動作を説明します。

スタンドアロン FTD デバイス:Firepower ソフトウェアのアップグレード

インターフェイスの設定により、アップグレード中にスタンドアロンデバイスがトラフィックを処理する方法が決定されます。

表 12. Firepower ソフトウェア アップグレード中のトラフィックの動作:スタンドアロン FTD デバイス
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチドインターフェイスは、ブリッジグループまたはトランスペアレント インターフェイスとしても知られています。

ドロップされる

IPS のみのインターフェイス

インラインセット、fail-to-wire が有効:[バイパス:スタンバイ(Bypass: Standby)] または [バイパス:強制(Bypass‑Force)](6.1+)

次のいずれかを行います。

  • ドロップ(6.1 から 6.2.2.x)

  • インスペクションなしで転送(6.2.3 以降)

インライン セット、fail-to-wire が無効:[バイパス:無効(Bypass: Disabled)](6.1+)

ドロップされる

インラインセット、fail-to-wire モジュールなし

ドロップされる

インラインセット、タップモード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

ハイアベイラビリティペア:FirePOWER ソフトウェアアップグレード

ハイアベイラビリティペアのデバイスの FirePOWER ソフトウェアをアップグレードする間に、トラフィックフローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンス モードで稼働します。

スタンバイ側のデバイスが最初にアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレードプロセスによって元の役割に切り替わります。

展開時のトラフィックの動作

アップグレードプロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、Snort プロセスを再起動すると、HA/スケーラビリティ用に設定されたものを含め、すべての Firepower デバイスでトラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 13. FTD 展開時のトラフィックの動作
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチドインターフェイスは、ブリッジグループまたはトランスペアレント インターフェイスとしても知られています。

ドロップされる

IPS のみのインターフェイス

インラインセット、[フェールセーフ(Failsafe)] が有効または無効(6.0.1 ~ 6.1.0.x)

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インラインセット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:無効(6.2 以降)

ドロップされる

インライン セット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:有効(6.2+)

インスペクションなしで転送

インラインセット、タップモード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

FirePOWER 7000/8000 シリーズのアップグレード時の動作

次のセクションでは、Firepower 7000/8000 シリーズ デバイスをアップグレードする際のデバイスおよびトラフィックの動作について説明します。

スタンドアロン 7000/8000 シリーズ:Firepower ソフトウェアのアップグレード

インターフェイスの設定により、アップグレード中にスタンドアロンデバイスがトラフィックを処理する方法が決定されます。

表 14. アップグレード中のトラフィックの動作:スタンドアロン 7000/8000 シリーズ
インターフェイスの設定 トラフィックの動作

インライン、ハードウェア バイパスが有効([バイパスモード:バイパス(Bypass Mode: Bypass)])

インスペクションなしで転送。ただし、トラフィックは、次の 2 つのポイントで一時的に中断します。

  • アップグレードプロセスの開始時に、リンクがダウンしてから復旧(フラップ)し、ネットワークカードがハードウェアバイパスに切り替わるとき。

  • アップグレードが完了した後、リンクが復旧し、ネットワークカードがバイパスから切り替わるとき。インスペクションはエンドポイントの再接続後に再開され、デバイスインターフェイスとのリンクを再確立します。

インライン、ハードウェア バイパス モジュールなし、またはハードウェアバイパスが無効([バイパスモード:非バイパス(Bypass Mode: Non‑Bypass)])

ドロップされる

インライン、タップモード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ

中断なし、インスペクションなし

ルーテッド、スイッチド

ドロップされる

7000/8000 シリーズ ハイアベイラビリティペア:Firepower ソフトウェアのアップグレード

ハイアベイラビリティペアのデバイス(またはデバイススタック)をアップグレードする間に、トラフィックフローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンスモードで稼働します。

最初にアップグレードするピアは、展開によって異なります。

  • ルーテッドまたはスイッチド:最初にスタンバイがアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレードプロセスによって元の役割に切り替わります。

  • アクセス制御のみ:最初にアクティブがアップグレードされます。アップグレードの完了時に、アクティブとスタンバイの以前の役割がデバイスで維持されます。

8000 シリーズ スタック:FirePOWER ソフトウェアアップグレード

8000 シリーズ スタックでは、デバイスは同時にアップグレードされます。プライマリデバイスがアップグレードを完了してスタックが動作を再開するまで、トラフィックはスタックがスタンドアロンデバイスであったかのように影響を受けます。すべてのデバイスがアップグレードを完了するまで、スタックは、制限付きの混合バージョンの状態で動作します。

展開時のトラフィックの動作

アップグレードプロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、Snort プロセスを再起動すると、HA/スケーラビリティ用に設定されたものを含め、すべての Firepower デバイスでトラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 15. 展開時のトラフィックの動作:7000/8000 シリーズ
インターフェイスの設定 トラフィックの動作

インライン、[フェールセーフ(Failsafe)] が有効または無効

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インライン、タップモード

すぐにパケットを出力し、バイパス Snort をコピーする

パッシブ

中断なし、インスペクションなし

ルーテッド、スイッチド

ドロップされる

ASA FirePOWER アップグレード時の動作

Snort プロセスを再起動する特定の設定を展開する場合を含め、モジュールが FirePOWER ソフトウェアアップグレード中にトラフィックを処理する方法を決定する、ASA FirePOWER モジュールへのトラフィックリダイレクトに関する ASA サービスポリシーです。

表 16. ASA FirePOWER アップグレード中のトラフィックの動作
トラフィック リダイレクト ポリシー トラフィックの動作

フェールオープン(sfr fail-open

インスペクションなしで転送

フェールクローズ(sfr fail-close

ドロップされる

モニタのみ(sfr {fail-close}|{fail-open} monitor-only

パケットをただちに出力、コピーへのインスペクションなし

ASA FirePOWER 展開時のトラフィックの動作

Snort プロセスが再起動している間のトラフィックの動作は、ASA FirePOWER モジュールをアップグレードする場合と同じです。

アップグレードプロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。 さらに、Snort プロセスを再起動すると、トラフィックインスペクションが中断されます。サービスポリシーにより、中断中にインスペクションせずにトラフィックをドロップするか通過するかが決定されます。

NGIPSv アップグレード時の動作

このセクションでは、NGIPSvをアップグレードするときのデバイスとトラフィックの動作を説明します。

Firepower ソフトウェアアップグレード

インターフェイスの設定により、アップグレード中に NGIPSv がトラフィックを処理する方法が決定されます。

表 17. NGIPSv アップグレード中のトラフィックの動作
インターフェイスの設定 トラフィックの動作

インライン

ドロップされる

インライン、タップモード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ

中断なし、インスペクションなし

展開時のトラフィックの動作

アップグレードプロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。さらに、Snort プロセスを再起動すると、トラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 18. NGIPSv 展開時のトラフィックの動作
インターフェイスの設定 トラフィックの動作

インライン、[フェールセーフ(Failsafe)] が有効または無効

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インライン、タップモード

すぐにパケットを出力し、バイパス Snort をコピーする

パッシブ

中断なし、インスペクションなし

アップグレード手順

リリースノートにはアップグレード手順は含まれていません。これらのリリースノートに記載されているガイドラインと警告を読んだ後、次のいずれかを参照してください。

アップグレードパッケージ

アップグレードパッケージは、 シスコサポートおよびダウンロードサイトで入手できます。

バージョン 6.2.1+ からのアップグレードパッケージは、署名付きの tar アーカイブ(.tar)です。解凍しないでください。

表 19. バージョン 6.2.1+ からのアップグレードパッケージ
プラットフォーム パッケージ

FMC/FMCv

Cisco_Firepower_Mgmt_Center_Upgrade-version-build.sh.REL.tar

Firepower 2100 シリーズ

Cisco_FTD_SSP_FP2K_Upgrade-version-build.sh.REL.tar

Firepower 4100/9300 シャーシ

Cisco_FTD_SSP_Upgrade-version-build.sh.REL.tar

FTD を搭載した ASA 5500-X シリーズ

FTD を搭載した ISA 3000

Firepower Threat Defense Virtual

Cisco_FTD_Upgrade-version-build.sh.REL.tar

Firepower 7000/8000 シリーズ

Cisco_Firepower_NGIPS_Appliance_Upgrade-version-build.sh.REL.tar

ASA FirePOWER

Cisco_Network_Sensor_Upgrade-version-build.sh.REL.tar

NGIPSv

Cisco_Firepower_NGIPS_Virtual_Upgrade-version-build.sh.REL.tar

表 20. バージョン 6.1.x または 6.2.0.x からのアップグレードパッケージ
プラットフォーム パッケージ

FMC/FMCv

Cisco_Firepower_Mgmt_Center_Upgrade-version-build.sh

Firepower 4100/9300 シャーシ

Cisco_FTD_SSP_Upgrade-version-build.sh

FTD を搭載した ASA 5500-X シリーズ

Firepower Threat Defense Virtual

Cisco_FTD_Upgrade-version-build.sh

Firepower 7000/8000 シリーズ

Cisco_Firepower_NGIPS_Appliance_Upgrade-version-build.sh

ASA FirePOWER

Cisco_Network_Sensor_Upgrade-version-build.sh

NGIPSv

Cisco_Firepower_NGIPS_Virtual_Upgrade-version-build.sh