バージョン 6.4.0 へのアップグレード

この章では、バージョン 6.4.0 の重要なリリースに固有の情報を提供します。

また、 新機能、廃止された機能とプラットフォーム、メニューと用語の変更、ブラックリストに登録された FlexConfig コマンドなどの情報に関して「特長と機能」に目を通す必要があります。

に関するガイドラインと警告 バージョン 6.4.0

このチェックリストには、バージョン 6.4.0 に関する新しい重要なアップグレード ガイドラインと警告が含まれています。以前に公開されたガイドラインと警告」および「一般的なガイドラインと警告」も確認する必要があります。

表 1. バージョン 6.4.0 の新しいガイドライン
ガイドライン プラットフォーム アップグレード元 直接アップグレード先

Firepower 1010 デバイス上の EtherChannel で出力トラフィックがブラックホール化される場合がある

Firepower 1010

6.4.0

6.4.0.3 ~ 6.4.0.5

アップグレードの失敗:コンテナインスタンスのディスク容量不足

Firepower 4100/9300

6.3.0 ~ 6.4.0.x

6.3.0.1 ~ 6.5.0

アップグレードの失敗:以前のバージョンが 6.2.3.12 の NGIPS デバイス

Firepower 7000/8000 シリーズ

ASA FirePOWER

NGIPSv

6.2.3 ~ 6.3.0.x

6.4.0 のみ

TLS 暗号化アクセラレーションの有効化/無効にすることは不可

Firepower 2100 シリーズ

Firepower 4100/9300

6.1.0 ~ 6.3.0.x

6.4.0 以降

Firepower 4100/9300 のアップグレードにはバージョン 6.2.0 が必要

Firepower 4100/9300

6.1.0.x

6.4.0 のみ

Firepower 1010 デバイス上の EtherChannel で出力トラフィックがブラックホール化される場合がある

展開:FTD を搭載した Firepower 1010

影響を受けるバージョン:バージョン 6.4.0 ~ 6.4.0.5

関連するバグ:CSCvq81354

FTD バージョン 6.4.0 ~ 6.4.0.5 を実行している Firepower 1010 デバイスでは EtherChannel を設定しないことを強くお勧めします(バージョン 6.4.0.1 および 6.4.0.2 はこのモデルではサポートされていないことに注意してください)。

内部トラフィックハッシュの問題により、Firepower 1010 デバイス上の EtherChannel では出力トラフィックがブラックホール化されることがあります。ハッシュは送信元 IP アドレスと宛先 IP アドレスに基づくため、特定の送信元 IP と宛先 IP のペアで一貫性のある動作になります。つまり、一部のトラフィックは常に機能し、一部のトラフィックは常に失敗します。

この問題は、次回の 6.4.0.x パッチで修正される予定です。また、バージョン 6.5.0 でも修正されます。

アップグレードの失敗:コンテナインスタンスのディスク容量不足

展開:FTD を搭載した Firepower 4100/9300

アップグレード元:バージョン 6.3.0 ~ 6.4.0.x

直接アップグレード先:バージョン 6.3.0.1 ~ 6.5.0

多くの場合はメジャーアップグレード時に(場合によってはパッチ適用時に)、コンテナインスタンスを使用して設定された FTD デバイスが、ディスク容量不足のエラーにより事前チェック段階で失敗することがあります。

この問題が発生した場合には、空きディスク容量を増やしてみてください。それでも解決しない場合は、Cisco TAC にお問い合わせください。

アップグレードの失敗:以前のバージョンが 6.2.3.12 の NGIPS デバイス

展開:7000/8000 シリーズ、ASA FirePOWER、NGIPSv

関連するバグ:CSCvp42398

アップグレード元:バージョン 6.2.3 ~ 6.3.0.x

直接アップグレード先:バージョン 6.4.0 のみ

次の場合、NGIPS デバイスをバージョン 6.4.0 にアップグレードすることはできません。

  • デバイスが以前にバージョン 6.2.3.12 を実行していて、その後、次を実行した。

  • バージョン 6.2.3.12 パッチをアンインストールしたか、バージョン 6.3.0.x にアップグレードした。

    これには、バージョン 6.2.3.12 パッチをアンインストールしてから、バージョン 6.3.0.x にアップグレードしたシナリオも含まれています。

上記が現在の状況である場合は、Cisco TAC にお問い合わせください。

TLS 暗号化アクセラレーションの有効化/無効にすることは不可

展開:Firepower 2100 シリーズ、Firepower 4100/9300 シャーシ

アップグレード元:バージョン 6.1.0 ~ 6.3.x

直接アップグレード先:バージョン 6.4.0 以降

SSL ハードウェア アクセラレーションは、TLS 暗号化アクセラレーションに名前が変更されました。

デバイスによっては、TLS 暗号化アクセラレーションがソフトウェアまたはハードウェアで実行される場合があります。アップグレードでは、この機能を手動で無効にした場合でも、すべての対象デバイスでアクセラレーションが自動的に有効になります。ほとんどの場合、この機能を設定することはできません。この機能は自動的に有効になり、無効にすることはできません。

バージョン 6.4.0 へのアップグレード: Firepower 4100/9300 シャーシのマルチインスタンス機能を使用している場合は、FXOS CLI を使用して、モジュール/セキュリティ エンジンごとに、1 つのコンテナ インスタンスに対して TLS 暗号アクセラレーションを有効にすることができます。他のコンテナ インスタンスに対してアクセラレーションは無効になっていますが、ネイティブ インスタンスには有効になっています。

バージョン 6.5.0 以降へのアップグレード:Firepower 4100/9300 シャーシのマルチインスタンス機能を使用している場合は、FXOS CLI を使用して、Firepower 4100/9300 シャーシ上の複数のコンテナ インスタンス(最大 16 個)に対して TLS 暗号アクセラレーションを有効にすることができます。新しいインスタンスでは、この機能がデフォルトで有効になっています。ただし、アップグレードによって既存のインスタンスのアクセラレーションが有効になることは「ありません」。代わりに、 config hwCrypto enable CLI コマンドを使用してください。

Firepower 4100/9300 のアップグレードにはバージョン 6.2.0 が必要

展開:FTD を搭載した Firepower 4100/9300

アップグレード元:バージョン 6.1.x

直接アップグレード先:バージョン 6.4.0 のみ

他の FMC 管理対象デバイスとは異なり、Firepower 4100/9300 シリーズ デバイスでは、Firepower Threat Defense ソフトウェアをバージョン 6.1 から 6.4 に直接アップグレードすることはできません。これは、FXOS 2.6.1 は FTD バージョン 6.1 と互換性がないが、バージョン 6.4 では必要であるからです。

FXOS 2.3.1 では中間バージョンとしてバージョン 6.2.3 を使用することを推奨します。FXOS を最初にアップグレードする必要があることに注意してください。バージョン 6.3 を中間リリースとして使用しないでください。『Firepower ReleaseNotes, Version 6.3.0』のガイドラインと警告を参照してください。

以前に公開されたガイドラインと警告

アップグレード パスでメジャー バージョンがスキップされる場合は、このチェックリストを確認してください。いくつかの以前のメジャー バージョンからバージョン 6.4.0 にアップグレードできます。アップグレードする最小バージョンを参照してください。

表 2. 以前に公開されたバージョン 6.4.0 のガイドライン

ガイドライン

プラットフォーム

アップグレード元

直接アップグレード先

URL フィルタリング キャッシュのタイムアウトが変更される可能性

任意(Any)

6.2.3.x

6.3.0 以降

FMC、7000/8000 シリーズ、NGIPSv で準備状況チェックに失敗する可能性

FMC

Firepower 7000/8000 シリーズ

NGIPSv

6.1.0 ~ 6.1.0.6

6.2.0 ~ 6.2.0.6

6.2.1

6.2.2 ~ 6.2.2.4

6.2.3 ~ 6.2.3.4

6.3.0 以降

リモート アクセス VPN のデフォルト設定の変更によって VPN トラフィックがブロックされる可能性

FMC を使用した FTD

6.2.0 ~ 6.2.3.x

6.3.0 以降

アプライアンスへのアクセスの更新されたセキュリティ

任意(Any)

6.1.0 ~ 6.2.3.x

6.3.0 以降

セキュリティ インテリジェンスによって可能になるアプリケーションの識別

FMC の展開

6.1.0 ~ 6.2.3.x

6.3.0 以降

アップグレード後に VDB を更新して CIP 検出を有効化

任意(Any)

6.1.0 ~ 6.2.3.x

6.3.0 以降

無効な侵入変数セットによって展開に失敗する可能性

任意(Any)

6.1.0 ~ 6.2.3.x

6.3.0 以降

接続イベントと侵入イベントに関する Syslog の動作の変更

FMC

6.1.0 ~ 6.2.3.x

6.3.0 以降

アップグレードにより CSSM から FTD/FDM を登録解除することが可能

FDM を使用した FTD

6.2.0 ~ 6.2.2.x

6.2.3 ~ 6.4.0

レポートの結果の制限の変更

FMC

6.1.0 ~ 6.2.2.x

6.2.3 ~ 6.4.0

アップグレードの前にバージョン 6.1.x FTD クラスタからサイト ID を削除

FTD クラスタ

6.1.0.x

6.2.3 ~ 6.4.0

アップグレードの失敗:FDM を実行する ASA 5500-X シリーズのバージョン 6.2.2.5 から

FDM を使用した FTD

6.2.0 のみ

6.2.2 ~ 6.4.0

アクセス コントロールでは SRU から遅延ベースのパフォーマンス設定を取得可能

FMC

6.1.0.x

6.2.0 ~ 6.4.0

FTD での「フェールセーフ」から「Snort フェール オープン」への置き換え

FMC を使用した FTD

6.1.0.x

6.2.0 ~ 6.4.0

URL フィルタリング キャッシュのタイムアウトが変更される可能性

展開:すべて

アップグレード元:バージョン 6.2.3.x

直接アップグレード先:バージョン 6.3.0+

バージョン 6.3.0 の新機能として、GUI で URL フィルタリング キャッシュのタイムアウト値を設定できます。古いデータと一致する URL のインスタンスを最小限に抑えるため、キャッシュ内の URL を期限切れに設定できます。Cisco TAC と連携して URL フィルタリング キャッシュのタイムアウト値を変更している場合、アップグレードによってその値が変更される可能性があります。

アップグレード完了後、

  • FMC[システム(System)] > [統合(Integration)] を選択し、[Cisco CSI] タブをクリックして、[キャッシュされたURLの期限切れ(Cached URLs Expire)] 設定を確認します。

  • FDM[システム設定(System Settings)] > [トラフィック設定(Traffic Settings)] > [URLフィルタリングの設定(URL Filtering Preferences)] を選択し、[URL存続可能時間(URL Time to Live)] 設定を確認します。

FMC、7000/8000 シリーズ、NGIPSv で準備状況チェックに失敗する可能性

展開:FMC、7000/8000 シリーズ デバイス、NGIPSv

アップグレード元:バージョン 6.1.0 ~ 6.1.0.6、バージョン 6.2.0 ~ 6.2.0.6、バージョン 6.2.1、バージョン 6.2.2 ~ 6.2.2.4、およびバージョン 6.2.3 ~ 6.2.3.4

直接アップグレード先:バージョン 6.3.0+

次に示すバージョンの Firepower のいずれかからアップグレードする場合は、そこに示されているモデルで準備状態チェックを実行できません。これは、準備状況チェック プロセスが新しいアップグレード パッケージに対して互換性を持たないためです。

表 3. バージョン 6.3.0 以降用の準備状況チェックを備えたパッチ
準備完了チェックがサポートされない 修正された最初のパッチ

6.1.0 ~ 6.1.0.6

6.1.0.7

6.2.0 ~ 6.2.0.6

6.2.0.7

6.2.1

なし。バージョン 6.2.3.5+ にアップグレードしてください。

6.2.2 ~ 6.2.2.4

6.2.2.5

6.2.3 ~ 6.2.3.4

6.2.3.5

リモート アクセス VPN のデフォルト設定の変更によって VPN トラフィックがブロックされる可能性

展開:リモート アクセス VPN 用に設定された Firepower Threat Defense

アップグレード元:バージョン 6.2.x

直接アップグレード先:バージョン 6.3 +

バージョン6.3では非表示オプションの sysopt connection permit-vpn のデフォルト設定が変更されています。アップグレードすると、リモート アクセス VPN がトラフィックを渡さなくなる可能性があります。この場合は、次のいずれかの手法を使用してください。

  • sysopt connection permit-vpn コマンドを設定する FlexConfig オブジェクトを作成します。このコマンドの新しいデフォルトは no sysopt connection permit-vpn です。

    これは、外部ユーザがリモート アクセス VPN アドレス プール内の IP アドレスになりすますことができないため、VPN でトラフィックを許可するよりも安全な方法です。欠点は VPN トラフィックが検査されないことです。つまり、侵入とファイルの保護、URL フィルタリング、その他の高度な機能がトラフィックに適用されません。

  • リモート アクセス VPN アドレス プールからの接続を許可するアクセス制御ルールを作成します。

    この方法では、VPN トラフィックが確実に検査され、高度なサービスを接続に適用できます。欠点は、外部のユーザが IP アドレスをスプーフィングして、内部ネットワークにアクセスしやすくなることです。

アプライアンスへのアクセスの更新されたセキュリティ

展開:すべて

アップグレード元:バージョン 6.1 ~ 6.2.3.x

直接アップグレード先:バージョン 6.3 +

セキュリティを強化するために、バージョン 6.3 では、セキュア SSH アクセスのためにサポートされる暗号と暗号化アルゴリズムのリストが更新されました。暗号エラーのために SSH クライアントが Firepower アプライアンスとの接続に失敗する場合は、クライアントを最新バージョンに更新してください。

セキュリティ インテリジェンスによって可能になるアプリケーションの識別

展開:Firepower Management Center

アップグレード元:バージョン 6.1 ~ 6.2.3.x

直接アップグレード先:バージョン 6.3 +

バージョン 6.3 では、セキュリティ インテリジェンスの設定によりアプリケーションの検出と識別が可能になります。現在の展開で検出を無効にした場合は、アップグレード プロセスによって再び検出が有効になる可能性があります。必要がない場合(たとえば、IPS のみの展開など)に検出を無効にするとパフォーマンスが向上する可能性があります。

検出を無効にするには、次の手順を実行する必要があります。

  • ネットワーク検出ポリシーからすべてのルールを削除します。

  • 単純なネットワークベースの条件(ゾーン、IP アドレス、VLAN タグ、およびポート)のみを使用してアクセス制御を実行します。どんな種類のアプリケーション、ユーザ、URL、または地理位置情報の制御も行わないでください。

  • (新規)デフォルトのグローバル リストなど、アクセス コントロール ポリシーのセキュリティ インテリジェンス設定からすべてのホワイトリストとブラックリストを削除することで、ネットワークと URL ベースのセキュリティ インテリジェンスを無効にします。

  • (新規)DNS のデフォルトのグローバル ホワイトリストや DNS ルールのグローバル ブラックリストなど、関連付けられている DNS ポリシー内のすべてのルールを削除または無効にすることで、DNS ベースのセキュリティ インテリジェンスを無効にします。

アップグレード後に VDB を更新して CIP 検出を有効化

展開:すべて

アップグレード元:バージョン 6.1.0 ~ 6.2.3.x、VDB 299+ 搭載

直接アップグレード先:バージョン 6.3.0+

脆弱性データベース(VDB)299 以降を使用しているときにアップグレードする場合、アップグレード プロセスの問題により、アップグレード後の CIP 検出を使用できなくなります。これには、2018 年 6 月から現在までにリリースされたすべての VDB に加えて、最新の VDB も含まれます。

アップグレード後は常に脆弱性データベース(VDB)を最新バージョンに更新することを推奨しますが、この場合は特に重要です。

この問題の影響を受けるかどうかを確認するには、CIP ベース アプリケーションの条件を使用して、アクセス制御ルールを設定してみてください。ルール エディタで CIP アプリケーションが見つからない場合は、手動で VDB を更新します。

無効な侵入変数セットによって展開に失敗する可能性

展開:すべて

アップグレード元:バージョン 6.1 ~ 6.2.3.x

直接アップグレード先:バージョン 6.3.0+

侵入変数セット内のネットワーク変数については、除外する IP アドレスが、含める IP アドレスのサブセットである必要があります。次の表に、有効な設定と無効な設定の例を示します。

有効 無効

含める:10.0.0.0/8

除外する:10.1.0.0/16

含める:10.1.0.0/16

除外する:172.16.0.0/12

除外する:10.0.0.0/8

バージョン 6.3.0 より前のバージョンでは、このタイプの無効な設定でネットワーク変数を正常に保存できました。現在のバージョンでは、これらの設定によって展開がブロックされ、次のエラーが表示されます。Variable set has invalid excluded values.

この場合は、正しく設定されていない変数セットを識別して編集してから展開しなおしてください。変数セットによって参照されているネットワーク オブジェクトおよびグループの編集が必要である場合もあることに注意してください。

接続イベントと侵入イベントに関する Syslog の動作の変更

展開:Firepower Management Center

アップグレード元:バージョン 6.1.0 ~ 6.2.3.x

直接アップグレード先:バージョン 6.3.0+

バージョン 6.3.0 では、システムが Syslog を介して接続イベントと侵入イベントをログに記録する方法が変更され、一元化されています。アクセス コントロール ポリシーの新しい [ロギング(Logging)] タブでこれらの設定にアクセスできます。

アップグレードによって接続イベント ログの既存の設定が変更されることはありません。ただし、Syslog 経由では「期待されなかった」侵入イベントの受信が突然開始される可能性があります。これは、バージョン 6.3.0+ にアップグレードすると、侵入ポリシーによって、Syslog イベントが新しい [Logging] タブ上の宛先に送信されるためです(バージョン 6.3.0 以前では、外部ホストではなく、管理対象デバイス自体の Syslog にイベントを送信するように侵入ポリシーで Syslog アラートを設定できました)。

また、NGIPS デバイス(7000/8000 シリーズ、ASA FirePOWER、NGIPSv)から送信されるメッセージで、RFC 5425 で指定されている ISO 8601 タイムスタンプ形式が使用されるようになりました。

アップグレードにより CSSM から FTD/FDM を登録解除することが可能

導入:FDM を使用した FTD

アップグレード元:バージョン 6.2 ~ 6.2.2.x

直接アップグレード先:バージョン 6.2.3 ~ 6.4.0

Firepower Device Manager によって管理されている Firepower Threat Defense デバイスをアップグレードすると、そのデバイスが Cisco Smart Software Manager から登録解除される場合があります。アップグレードが完了したら、ライセンスのステータスを確認します。

手順


ステップ 1

[デバイス(Device)] をクリックし、[スマートライセンス概要(Smart License summary)] の [設定の表示(View Configuration)] をクリックします。

ステップ 2

デバイスが登録されていない場合は、[Register Device] をクリックします。


レポートの結果の制限の変更

展開:Firepower Management Center

アップグレード元:バージョン 6.1.0 ~ 6.2.2.x

直接アップグレード先:バージョン 6.2.3 ~ 6.4.0

バージョン 6.2.3 では、次のように、使用できる結果の数、またはレポートのセクションに含めることができる結果の数が制限されています。テーブルおよび詳細ビューでは、PDF レポートに HTML または CSV レポートよりも少ないレコードを含めることができます。

表 4. レポートの結果の新しい制限
レポート セクション タイプ 最大レコード数:HTML または CSV レポート セクション 最大レコード数:PDF レポート セクション

棒グラフ

円グラフ

100(上位または下位)

100(上位または下位)

テーブル ビュー

400,000

100,000

詳細ビュー

1,000

500

Firepower Management Center をアップグレードする前に、レポート テンプレート内のセクションで最大 HTML または CSV よりも大きい結果数を指定する場合は、アップグレード プロセスが設定を新しい最大値に下げます。

PDF レポートを生成するレポート テンプレートの場合、テンプレート セクションの PDF の制限を超えると、アップグレード プロセスは出力形式を HTML に変更します。PDF の生成を続行するには、結果数を PDF の最大に下げます。アップグレード後にこれを行った場合、出力形式の設定を PDF に戻します。

アップグレードの前にバージョン 6.1.x FTD クラスタからサイト ID を削除

展開: Firepower Threat Defenseクラスタ

アップグレード元:バージョン 6.1.x

直接アップグレード先:バージョン 6.2.3 ~ 6.4.0

Firepower Threat Defense バージョン 6.1.x クラスタは、サイト間クラスタリングをサポートしていません(バージョン 6.2.0 以降では FlexConfig を使用してサイト間機能を設定できます)。

FXOS 2.1.1 でバージョン 6.1.x クラスタを展開または再展開している場合、(サポートされていない)サイト ID の値を入力しているときは、アップグレードする前に、FXOS の各ユニットでサイト ID を削除(0 に設定)する必要があります。そうしないと、アップグレード後、ユニットがクラスタに再度参加できなくなります。

すでにアップグレード済みの場合は、サイト ID を各ユニットから削除してからクラスタを再確立します。サイト ID を表示または変更するには、『Cisco FXOS CLI Configuration Guide』を参照してください。

アップグレードの失敗:FDM を実行する ASA 5500-X シリーズのバージョン 6.2.2.5 から

展開:FDM を使用した FTD(メモリが少ない ASA 5500-X シリーズ デバイスで実行)

アップグレード元:バージョン 6.2.0

直接アップグレード先:バージョン 6.2.2 ~ 6.4.0

バージョン 6.2.0 からアップグレードする場合、アップグレードに失敗し、「Uploaded file is not a valid system upgrade file」というエラーが表示される可能性があります。これは、正しいファイルを使用している場合でも発生する可能性があります。

この場合は、次の回避策を試してください。

  • 再度お試しください。(Try again.)

  • CLI を使用してアップグレードする

  • まず 6.2.0.1 にアップグレードする

アクセス コントロールでは SRU から遅延ベースのパフォーマンス設定を取得可能

展開:FMC

アップグレード元:6.1.x

直接アップグレード先:6.2.0+

バージョン 6.2.0+ の新しいアクセス コントロール ポリシーでは、デフォルトで、最新の侵入ルール更新(SRU)から遅延ベースのパフォーマンス設定が取得されます。この動作は、新しい [Apply Settings From] オプションによって制御されます。このオプションを設定するには、アクセス コントロール ポリシーを編集または作成して、[Advanced] をクリックし、遅延ベースのパフォーマンス設定を編集します。

バージョン 6.2.0+ にアップグレードすると、現在(バージョン 6.1.x)の設定に従って新しいオプションが設定されます。現在の設定が次の場合、新しいオプションは次のように設定されます。

  • [Default]:新しいオプションは、[Installed Rule Update] に設定されます。アップグレードしてから展開すると、最新の SRU からの遅延ベースのパフォーマンス設定が使用されます。最新の SRU が指定する内容によって、トラフィックの処理が変更される可能性があります。

  • [Custom]:新しいオプションは、[Custom] に設定されます。システムは現在のパフォーマンス設定を保持します。このオプションによって動作が変更されることはありません。

アップグレードする前に設定を確認することをお勧めします。前述したように、バージョン 6.1.x の FMC Web インターフェイスから、ポリシーの遅延ベースのパフォーマンス設定を表示し、[Revert To Defaults] ボタンがグレー表示されているかどうかを確認します。ボタンがグレー表示されている場合は、デフォルト設定が使用されています。ボタンがアクティブになっている場合は、カスタム設定が設定されています。

FTD での「フェールセーフ」から「Snort フェール オープン」への置き換え

展開:FMC を使用した FTD

アップグレード元:バージョン 6.1.x

直接アップグレード先:バージョン 6.2+

バージョン 6.2 では、Snort フェール オープン設定により、FMC によって管理される Firepower Threat Defense デバイスのフェールセーフ オプションが置き換えられます。フェールセーフでは、Snort がビジー状態のときにトラフィックをドロップすることができますが、Snort がダウンしている場合、トラフィックはインスペクションなしで自動的に通過します。Snort フェール オープンでは、このトラフィックをドロップすることができます。

FTD デバイスをアップグレードすると、その新しい Snort フェール オープン設定は、以下のように、古いフェールセーフ設定に依存します。新しい設定ではトラフィックの処理が変更されることはありませんが、アップグレードの前にフェールセーフを有効または無効にするかどうかを検討してください。

表 5. フェールセーフの Snort フェール オープンへの移行
バージョン 6.1 のフェールセーフ バージョン 6.2 の Snort フェール オープン 動作

無効(デフォルトの動作)

[Busy]:無効

[Down]:有効

Snort プロセスがビジー状態の場合は、新規および既存の接続をドロップし、Snort プロセスがダウンしている場合は、接続をインスペクションなしで通過します。

有効(Enabled)

[Busy]:有効

[Down]:有効

Snort プロセスがビジー状態またはダウンしている場合、新規または既存の接続をインスペクションなしで通過します。

Snort フェール オープンでは、デバイスにバージョン 6.2 が必要であることに注意してください。バージョン 6.1.x のデバイスを管理している場合、FMC Web インターフェイスにフェールセーフ オプションが表示されます。

一般的なガイドラインと警告

これらの重要なガイドラインと警告は、すべてのアップグレードに適用されます。ただし、このリストは包括的なものではありません。アップグレードパスの計画、OS のアップグレード、準備状況チェック、バックアップ、メンテナンス期間など、アップグレードプロセスに関するその他の重要な情報へのリンクについては、「アップグレード手順」を参照してください。

イベントデータと設定データのバックアップ

サポートされている場合は、アップグレードの前後にバックアップすることをお勧めします。

  • アップグレード前:アップグレードが致命的な失敗であった場合は、再イメージ化を実行し、復元する必要がある場合があります。再イメージ化によって、システムパスワードを含むほとんどの設定が工場出荷時の初期状態に戻ります。最近のバックアップがある場合は、通常の操作にすばやく戻ることができます。

  • アップグレード後:これにより、新しくアップグレードされた展開のスナップショットが作成されます。新しい FMC バックアップファイルがデバイスがアップグレードされたことを「認識」するように、管理対象デバイスをアップグレードした後に FMC をバックアップすることをお勧めします。

安全なリモートロケーションにバックアップし、正常に転送が行われることを確認する必要があります。アップグレードによって、ローカルに保存されたバックアップは消去されます。特に、バックアップファイルは暗号化されていないため、不正アクセスを許可しないでください。バックアップ ファイルが変更されていると、復元プロセスは失敗します。

バックアップの最初のステップとして、アプライアンスモデルとバージョンを、パッチレベルを含めて書き留めておいてください。 FMC の場合は、VDB のバージョンを書き留めておきます。 Firepower 4100/9300 シャーシの場合は、FXOS のバージョンを書き留めておきます。. 新しいアプライアンスや再イメージ化したアプライアンスにバックアップを復元する必要がある場合は、新しいアプライアンスを最初に更新する必要がある場合があるため、これは重要です。


(注)  

バックアップと復元は、複雑なプロセスになる可能性があります。手順をスキップしたり、セキュリティ上の問題を無視しないでください。誤りを避けるには、注意深い計画と準備が役立ちます。バックアップと復元の要件、ガイドライン、制限事項、およびベストプラクティスの詳細については、ご使用の Firepower 製品のコンフィギュレーション ガイドを参照してください。


NTP 同期の確認

アップグレードする前に、時刻の提供に使用している NTP サーバと Firepower アプライアンスが同期していることを確認します。同期されていないと、アップグレードが失敗する可能性があります。FMC 展開では、時刻のずれが 10 秒を超えている場合、[時刻同期化ステータス(Time Synchronization Status)] ヘルスモジュールからアラートが発行されますが、手動で確認する必要もあります。

時刻を確認するには、次の手順を実行します。

  • FMC:[システム(System)] > [設定(Configuration)] > [時刻(Time)] を選択します。

  • デバイス:show time CLI コマンドを使用します。

帯域幅をチェックする

Firepower アプライアンスをアップグレードする(または準備状況チェックを実行する)には、アップグレードパッケージがアプライアンス上に存在する必要があります。Firepower アップグレードパッケージには、さまざまなサイズがあります。管理ネットワークに大量のデータ転送を実行するための帯域幅があることを確認します。

FMC の展開では、アップグレードパケージをアップグレード時に管理対象デバイスに転送する場合は、帯域幅が不十分だとアップグレード時間が長くなったり、アップグレードがタイムアウトする原因となる可能性があります。アップグレードする前に、管理対象デバイスに Firepower アップグレードパッケージを手動でプッシュ(コピー)することをお勧めします。詳細については、『Guidelines for Downloading Data from the Firepower Management Center to Managed Devices』(トラブルシューティング テクニカルノーツ)を参照してください。

アプライアンスアクセス

Firepower デバイスは、(インターフェイス設定に応じて)アップグレード中、またはアップグレードが失敗した場合に、トラフィックを渡すことを停止できます。Firepower デバイスをアップグレードする前に、ユーザの位置からのトラフィックがデバイスの管理インターフェイスにアクセスするためにデバイス自体を通過する必要がないことを確認してください。Firepower Management Center 展開では、デバイスを経由せずに FMC 管理インターフェイスにアクセスできる必要もあります。

署名付きのアップグレードパッケージ

Firepower では、正しいファイルを使用していることを確認できるようにするために、バージョン 6.2.1+ からのアップグレードパッケージ(および バージョン 6.2.1+ へのホットフィックス)は、署名付きの tar アーカイブ(.tar)になっています。以前のバージョンからのアップグレードでは、引き続き未署名のパッケージが使用されます。

シスコ サポートおよびダウンロード サイトからアップグレードパッケージを手動でダウンロードする場合(たとえば、メジャーアップグレードやエアギャップ展開のために)、正しいパッケージをダウンロードしていることを確認してください。 署名付きの(.tar)パッケージは解凍しないでください。


(注)  

署名付きのアップグレードパッケージをアップロードした後、システムがパッケージを確認する際に、GUI のロードに数分かかることがあります。表示を高速化するには、署名付きのパッケージが不要になった後、それらのパッケージを削除します。


ASA FirePOWER デバイスでの ASA REST API の無効化

ASA FirePOWER モジュールをアップグレードする前に、ASA REST API を無効にしていることを確認します。無効にしていない場合、アップグレードが失敗することがあります。ASA CLI から:no rest api agent。アンインストール後に再度有効にすることができます:rest-api agent

シスコとのデータの共有

一部の機能にシスコとのデータ共有が含まれます。

6.2.3+ では、Cisco Success Network は、テクニカルサポートを提供するために不可欠な使用状況に関する情報と統計情報をシスコに送信します。アップグレード中に、参加を承諾するか、辞退するかを尋ねられます。また、いつでもオプトインまたはオプトアウトできます。

バージョン 6.2.3+ では、Web 分析のトラッキングは、これに限定されませんが、ページでの操作、ブラウザのバージョン、製品のバージョン、ユーザの場所、FMC の管理 IP アドレスまたはホスト名を含む、個人を特定できない使用状況データをシスコに送信します。現在の設定でオプトアウトが選択されている場合でも、メジャーアップグレードによって Web 分析トラッキングが有効になります。このデータの収集を拒否する場合は、各メジャーアップグレードの後にオプトアウトしてください。

アップグレードにより侵入ルールをインポートして自動的に有効化できます。

現在の Firepower バージョンでサポートされていないキーワードが新しい侵入ルールで使用されている場合、侵入ルールデータベース(SRU)を更新しても、そのルールはインポートされません。

Firepower ソフトウェアをアップグレードし、これらのキーワードがサポートされると、新しい侵入ルールがインポートされ、IPS の設定に応じて自動的に有効化できるため、イベントの生成とトラフィックフローへの影響を開始できます。

サポートされているキーワードは、Firepower ソフトウェアに含まれている Snort のバージョンによって異なります。

  • FMC:[ヘルプ(Help)] > [About(バージョン情報)] を選択します。

  • FDM を使用した FTD:show summary CLI コマンドを使用します。

  • ASDM を使用した ASA FirePOWER:[ASA FirePOWER 設定(ASA FirePOWER Configuration)] > [システム情報(System Information)] を選択します。

また、Cisco Firepower Compatibility Guideの「Bundled Components」の項で Snort バージョンを確認することもできます。

Snort リリースノートには、新しいキーワードの詳細が含まれています。https://www.snort.org/downloads でSnort ダウンロードページのリリースノートを参照できます。

応答しないアップグレード

アップグレードしているアプライアンスとの間での変更の展開、またはアップグレードしているアプライアンスの手動での再起動やシャットダウンは行わないでください。進行中のアップグレードを再開しないでください。事前のチェック中に、アップグレード プロセスが停止しているように見える場合がありますが、これは想定内の動作です。アップグレードに失敗する、アプライアンスが応答しないなど、アップグレードで問題が発生した場合には Cisco TAC にお問い合わせください。

アップグレードする最小バージョン

いくつかの以前のメジャー バージョン シーケンスからバージョン 6.4.0 に直接アップグレードできます。アップグレードするために、以前のバージョンの最新のパッチを実行する必要はありません。

Table 6. Firepower ソフトウェアをバージョン 6.4.0 にアップグレードするための最小バージョン
プラットフォーム 最小バージョン

Firepower Management Center

Firepower 4100/9300 シリーズを除く、FMC 展開のすべての管理対象デバイス。

6.1.0

FMC を使用した Firepower 4100/9300 上の Firepower Threat Defense

FXOS 2.6.1.157+ を搭載した 6.2.0

FMC で管理されている Firepower 4100/9300 シリーズ デバイスでは、FTD をバージョン 6.1 から 6.4 に直接アップグレードすることはできません。FXOS 2.3.1 では中間バージョンとしてバージョン 6.2.3 を使用することを推奨します。Firepower 4100/9300 のアップグレードにはバージョン 6.2.0 が必要を参照してください。

ハイアベイラビリティまたはクラスタ化された展開をバージョン 6.2.0.x、6.2.2.0、または 6.2.2.1 からアップグレードする際にヒットレスアップグレードが必要な場合は、「FTD アップグレード時の動作: Firepower 4100/9300 Chassis」を参照してください。

FDM を使用した Firepower Threat Defense(すべてのプラットフォーム)

6.2.0

ASDM を使用した ASA FirePOWER

6.2.0

時間テストとディスク容量の要件

Firepower アプライアンスをアップグレードするには、十分な空きディスク容量が必要です。これがない場合、アップグレードは失敗します。Firepower Management Center を使用して管理対象デバイスをアップグレードする場合、デバイス アップグレード パッケージに対して、FMC は /Volume パーティションに追加のディスク容量を必要とします。また、アップグレードを実行するための十分な時間を確保してください。

参考のために、社内の時間とディスク容量のテストに関するレポートを提供しています。

時間テストについて

ここで指定した時間の値は、社内のテストに基づいています。


(注)  

特定のプラットフォーム/シリーズについてテストされたすべてのアップグレードの最も遅い時間を報告していますが、複数の理由により(以下を参照)、報告された時間よりも、アップグレードにかかる時間が長くなることがあります。


テスト条件

  • 展開:値は、Firepower Management Center 展開のテストから取得されています。これは、同様の条件の場合、リモートとローカルで管理されているデバイスの raw アップグレード時間が類似しているためです。

  • バージョン:メジャー アップグレードの場合、以前のすべての対象メジャー バージョンからのアップグレードをテストします。パッチについては、ベースバージョンからアップグレードをテストします。

  • モデル:ほとんどの場合、各シリーズの最もローエンドのモデルでテストし、場合によってはシリーズの複数のモデルでテストします。

  • 仮想設定:メモリおよびリソースのデフォルト設定を使用してテストします。

  • ハイアベイラビリティと拡張性: スタンドアロンデバイスでテストします。

    ハイ アベイラビリティの構成またはクラスタ化された構成では、動作の継続性を保持するため、複数のデバイスは 1 つずつアップグレードされます。アップグレード中は、各デバイスはメンテナンス モードで動作します。そのため、デバイス ペアまたはクラスタ全体のアップグレードには、スタンドアロン デバイスのアップグレードよりも長い時間がかかります。 スタック構成の 8000 シリーズ デバイスは同時にアップグレードされ、スタックは、すべてのデバイスのアップグレードが完了するまで、限定的なバージョン混在の状態で動作することに注意してください。これには、スタンドアロン デバイスのアップグレードと比べて大幅に長い時間がかかるということはありません。

  • 構成:構成とトラフィック負荷が最小限のアプライアンスでテストします。

    アップグレード時間は、構成の複雑さ、イベント データベースのサイズ、また、それらがアップグレードから影響を受けるかどうか、受ける場合はどのような影響を受けるかにより、長くなる場合があります。たとえば多くのアクセス制御ルールを使用している場合、アップグレードはこれらのルールの格納方法をバックエンドで変更する必要があるため、アップグレードにはさらに長い時間がかかります。

時間はアップグレードのみを対象

値は、各プラットフォーム上で Firepower アップグレードスクリプトの実行にかかる時間のみを表しています。これらには、次の時間は含まれていません。

  • 管理対象デバイスへのアップグレードパッケージの転送(アップグレード前またはアップグレード中)。

  • 準備状況チェック。

  • VDB と SRU の更新。

  • 設定の展開。

  • リブート(値が個別に報告される場合がある)。

ディスク容量の要件について

容量の見積もりは、すべてのアップグレードについて報告された最大のものです。2020 年前半以降のリリースでは、次のようになります。

  • 切り上げなし(1 MB 未満)。

  • 次の 1 MB に切り上げ(1 MB ~ 100 MB)。

  • 次の 10 MB に切り上げ(100 MB ~ 1 GB)。

  • 次の 100 MB に切り上げ(1 GB を超える容量)。

バージョン 6.4.0 の時間とディスク容量

Table 7. バージョン 6.4.0 の時間とディスク容量
プラットフォーム ボリュームの容量 必要容量 FMC の容量 時間

FMC

13.3 GB

26 MB

41 分

FMCv:VMware 6.0

13.6 GB

29 MB

30 分

Firepower 2100 シリーズ

12 MB

8.9 GB

950 MB

20 分

Firepower 4100 シリーズ

10 MB

7.5 GB

920 MB

6 分

Firepower 9300

10 MB

7.7 GB

920 MB

7 分

ASA 5500-X シリーズ with FTD

9 GB

110 KB

1.1 GB

24 分

FTDv:VMware 6.0

7.5 GB

100 KB

1.1 GB

12 分

Firepower 7000/8000 シリーズ

7.7 GB

19 MB

980 MB

34 分

ASA FirePOWER

11.5 GB

22 MB

1.3 GB

66 分

NGIPSv:VMware 6.0

6.5 GB

19 MB

840 MB

16 分

トラフィック フロー、検査、およびデバイス動作

アップグレード中に発生するトラフィック フローおよびインスペクションでの潜在的な中断を特定する必要があります。これは、次の場合に発生する可能性があります。

  • デバイスが再起動された場合。

  • デバイス上でオペレーティング システムまたは仮想ホスティング環境をアップグレードする場合。

  • デバイス上で Firepower ソフトウェアをアップグレードするか、パッチをアンインストールする場合。

  • アップグレードまたはアンインストール プロセスの一部として設定変更を展開する場合(Snort プロセスが再開します)。

デバイスのタイプ、展開のタイプ(スタンドアロン、ハイ アベイラビリティ、クラスタ化)、およびインターフェイスの設定(パッシブ、IPS、ファイアウォールなど)によって中断の性質が決まります。アップグレードまたはアンインストールは、保守期間中に行うか、中断による展開環境への影響が最も小さい時点で行うことを強く推奨します。

FTD アップグレード時の動作: Firepower 4100/9300 Chassis

このセクションでは、FTD を搭載した Firepower 4100/9300 シャーシをアップグレードするときのデバイスとトラフィックの動作を説明します。

Firepower 4100/9300 Chassis:FXOS のアップグレード

シャーシ間クラスタリングまたはハイアベイラビリティペアの構成がある場合でも、各シャーシの FXOS を個別にアップグレードします。アップグレードの実行方法により、FXOS のアップグレード時にデバイスがトラフィックを処理する方法が決定されます。

表 8. FXOS アップグレード中のトラフィックの動作
展開 方法 トラフィックの動作

スタンドアロン

ドロップされる

ハイアベイラビリティ

ベストプラクティス:スタンバイで FXOS を更新し、アクティブピアを切り替えて新しいスタンバイをアップグレードします。

影響なし

スタンバイでアップグレードが終了する前に、アクティブピアで FXOS をアップグレードします。

1 つのピアがオンラインになるまでドロップされる

シャーシ間クラスタ(6.2 以降)

ベストプラクティス:少なくとも 1 つのモジュールを常にオンラインにするため、一度に 1 つのシャーシをアップグレードします。

影響なし

ある時点ですべてのモジュールを停止するため、シャーシを同時にアップグレードします。

少なくとも 1 つのモジュールがオンラインになるまでドロップされる

シャーシ内クラスタ(Firepower 9300 のみ)

Fail-to-wire 有効:[バイパス:スタンバイ(Bypass: Standby)] または [バイパス:強制(Bypass‑Force)] (6.1 以降)

インスペクションなしで転送

Fail-to-wire 無効:[バイパス:無効(Bypass: Disabled)] (6.1 以降)

少なくとも 1 つのモジュールがオンラインになるまでドロップされる

fail-to-wire モジュールなし。

少なくとも 1 つのモジュールがオンラインになるまでドロップされる

スタンドアロン FTD デバイス:Firepower ソフトウェアのアップグレード

インターフェイスの設定により、アップグレード中にスタンドアロンデバイスがトラフィックを処理する方法が決定されます。

表 9. Firepower ソフトウェアアップグレード中のトラフィックの動作:スタンドアロン FTD デバイス
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチドインターフェイスは、ブリッジグループまたはトランスペアレント インターフェイスとしても知られています。

ドロップされる

IPS のみのインターフェイス

インラインセット、fail-to-wire が有効:[バイパス:スタンバイ(Bypass: Standby)] または [バイパス:強制(Bypass‑Force)](6.1 以降)

次のいずれかを行います。

  • ドロップ(6.1 から 6.2.2.x)

  • インスペクションなしで転送(6.2.3 以降)

インラインセット、fail-to-wire が無効:[バイパス:無効(Bypass: Disabled)](6.1 以降)

ドロップされる

インラインセット、fail-to-wire モジュールなし

ドロップされる

インラインセット、タップモード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

ハイアベイラビリティペア:FirePOWER ソフトウェアアップグレード

ハイアベイラビリティペアのデバイスの FirePOWER ソフトウェアをアップグレードする間に、トラフィックフローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンスモードで稼働します。

スタンバイ側のデバイスが最初にアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレードプロセスによって元の役割に切り替わります。

クラスタ:FirePOWER ソフトウェアアップグレード

Firepower Threat Defense クラスタのデバイスで FirePOWER ソフトウェアをアップグレードする間に、トラフィックフローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンスモードで稼働します。

スレーブ セキュリティ モジュールを最初にアップグレードして、その後マスターをアップグレードします。アップグレード中、セキュリティモジュールはメンテナンスモードで稼働します。

マスター セキュリティ モジュールをアップグレードする間、通常トラフィック インスペクションと処理は続行しますが、システムはロギングイベントを停止します。ロギングダウンタイム中に処理されるトラフィックのイベントは、アップグレードが完了した後、非同期のタイムスタンプ付きで表示されます。ただし、ロギングダウンタイムが大きい場合、システムはログ記録する前に最も古いイベントをプルーニングすることがあります。


(注)  

バージョン 6.2.0、6.2.0.1、または 6.2.0.2 からシャーシ間クラスタをアップグレードすると、各モジュールがクラスタから削除されるときに、トラフィック インスペクションで 2 ~ 3 秒のトラフィック中断が発生します。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、デバイスがトラフィックを処理する方法に応じて異なります。

ハイアベイラビリティとクラスタリング ヒットレス アップグレードの要件

ヒットレスアップグレードの実行には、次の追加要件があります。

フローオフロード:フローオフロード機能でのバグ修正により、FXOS と FTD のいくつかの組み合わせはフローオフロードをサポートしていません。『Cisco Firepower Compatibility Guide』を参照してください。ハイアベイラビリティまたはクラスタ化された展開でヒットレスアップグレードを実行するには、常に互換性のある組み合わせを実行していることを確認する必要があります。

アップグレードパスに FXOS の2.2.2.91、2.3.1.130、またはそれ以降のアップグレード(FXOS 2.4.1. x、2.6.1 などを含む)が含まれている場合、次のパスを使用します。

1. FTD を 6.2.2.2 以降にアップグレードします。

2. FXOS を 2.2.2.91、2.3.1.130、またはそれ以降にアップグレードします。

3. FTD を最終バージョンにアップグレードします。

たとえば、FXOS 2.2.2.17/FTD 6.2.2.0 を実行していて、FXOS 2.6.1/FTD 6.4.0 にアップグレードする場合は、次を実行できます。

1. FTD を 6.2.2.5 にアップグレードします。

2. FXOS を 2.6.1 にアップグレードします。

3. FTD を 6.4.0 にアップグレードします。

バージョン 6.1.0 へのアップグレード:FTD ハイアベイラビリティペアのバージョン 6.1.0 へのヒットレスアップグレードを実行するには、プレインストールパッケージが必要です。詳細については、『Firepower System Release Notes Version 6.1.0 Preinstallation Package』を参照してください。

展開時のトラフィックの動作

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、Snort プロセスを再起動すると、HA/スケーラビリティ用に設定されたものを含め、すべての Firepower デバイスでトラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 10. FTD 展開時のトラフィックの動作
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチドインターフェイスは、ブリッジグループまたはトランスペアレント インターフェイスとしても知られています。

ドロップされる

IPS のみのインターフェイス

インラインセット、[フェールセーフ(Failsafe)] が有効または無効(6.0.1 ~ 6.1.0.x)

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インラインセット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:無効(6.2 以降)

ドロップされる

インラインセット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:有効(6.2+)

インスペクションなしで転送

インラインセット、タップモード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

FTD アップグレード時の動作:その他のデバイス

このセクションでは、Firepower 1000/2100 シリーズ、ASA 5500-X シリーズ、ISA 3000、および FTDv で Firepower Threat Defense をアップグレードするときのデバイスとトラフィックの動作を説明します。

スタンドアロン FTD デバイス:Firepower ソフトウェアのアップグレード

インターフェイスの設定により、アップグレード中にスタンドアロンデバイスがトラフィックを処理する方法が決定されます。

表 11. Firepower ソフトウェアアップグレード中のトラフィックの動作:スタンドアロン FTD デバイス
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチドインターフェイスは、ブリッジグループまたはトランスペアレント インターフェイスとしても知られています。

ドロップされる

IPS のみのインターフェイス

インラインセット、fail-to-wire が有効:[バイパス:スタンバイ(Bypass: Standby)] または [バイパス:強制(Bypass‑Force)](6.1 以降)

次のいずれかを行います。

  • ドロップ(6.1 から 6.2.2.x)

  • インスペクションなしで転送(6.2.3 以降)

インラインセット、fail-to-wire が無効:[バイパス:無効(Bypass: Disabled)](6.1 以降)

ドロップされる

インラインセット、fail-to-wire モジュールなし

ドロップされる

インラインセット、タップモード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

ハイアベイラビリティペア:FirePOWER ソフトウェアアップグレード

ハイアベイラビリティペアのデバイスの FirePOWER ソフトウェアをアップグレードする間に、トラフィックフローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンスモードで稼働します。

スタンバイ側のデバイスが最初にアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレードプロセスによって元の役割に切り替わります。

展開時のトラフィックの動作

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、Snort プロセスを再起動すると、HA/スケーラビリティ用に設定されたものを含め、すべての Firepower デバイスでトラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 12. FTD 展開時のトラフィックの動作
インターフェイスの設定 トラフィックの動作

ファイアウォール インターフェイス

EtherChannel、冗長、サブインターフェイスを含むルーテッドまたはスイッチド

スイッチドインターフェイスは、ブリッジグループまたはトランスペアレント インターフェイスとしても知られています。

ドロップされる

IPS のみのインターフェイス

インラインセット、[フェールセーフ(Failsafe)] が有効または無効(6.0.1 ~ 6.1.0.x)

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インラインセット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:無効(6.2 以降)

ドロップされる

インラインセット、[Snortフェールオープン:ダウン(Snort Fail Open: Down)]:有効(6.2+)

インスペクションなしで転送

インラインセット、タップモード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ、ERSPAN パッシブ

中断なし、インスペクションなし

FirePOWER 7000/8000 シリーズのアップグレード時の動作

次のセクションでは、Firepower 7000/8000 シリーズ デバイスをアップグレードする際のデバイスおよびトラフィックの動作について説明します。

スタンドアロン 7000/8000 シリーズ:Firepower ソフトウェアのアップグレード

インターフェイスの設定により、アップグレード中にスタンドアロンデバイスがトラフィックを処理する方法が決定されます。

表 13. アップグレード中のトラフィックの動作:スタンドアロン 7000/8000 シリーズ
インターフェイスの設定 トラフィックの動作

インライン、ハードウェア バイパスが有効([バイパスモード:バイパス(Bypass Mode: Bypass)])

インスペクションなしで転送。ただし、トラフィックは、次の 2 つのポイントで一時的に中断します。

  • アップグレード プロセスの開始時に、リンクがダウンしてから復旧(フラップ)し、ネットワーク カードがハードウェア バイパスに切り替わるとき。

  • アップグレードが完了した後、リンクが復旧し、ネットワーク カードがバイパスから切り替わるとき。インスペクションはエンドポイントの再接続後に再開され、デバイス インターフェイスとのリンクを再確立します。

インライン、ハードウェア バイパス モジュールなし、またはハードウェア バイパスが無効([バイパスモード:非バイパス(Bypass Mode: Non‑Bypass)])

ドロップされる

インライン、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ

中断なし、インスペクションなし

ルーテッド、スイッチド

ドロップされる

7000/8000 シリーズ ハイ アベイラビリティ ペア:Firepower ソフトウェアのアップグレード

ハイ アベイラビリティ ペアのデバイス(またはデバイス スタック)をアップグレードする間に、トラフィック フローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンスモードで稼働します。

最初にアップグレードするピアは、展開によって異なります。

  • ルーテッドまたはスイッチド:最初にスタンバイがアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレードプロセスによって元の役割に切り替わります。

  • アクセス制御のみ:最初にアクティブがアップグレードされます。アップグレードの完了時に、アクティブとスタンバイの以前の役割がデバイスで維持されます。

8000 シリーズ スタック:FirePOWER ソフトウェア アップグレード

8000 シリーズ スタックでは、デバイスは同時にアップグレードされます。プライマリ デバイスがアップグレードを完了してスタックが動作を再開するまで、トラフィックはスタックがスタンドアロン デバイスであったかのように影響を受けます。すべてのデバイスがアップグレードを完了するまで、スタックは、制限付きの混合バージョンの状態で動作します。

展開時のトラフィックの動作

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、Snort プロセスを再起動すると、HA/スケーラビリティ用に設定されたものを含め、すべての Firepower デバイスでトラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 14. 展開時のトラフィックの動作:7000/8000 シリーズ
インターフェイスの設定 トラフィックの動作

インライン、[フェールセーフ(Failsafe)] が有効または無効

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インライン、タップ モード

すぐにパケットを出力し、バイパス Snort をコピーする

パッシブ

中断なし、インスペクションなし

ルーテッド、スイッチド

ドロップされる

ASA FirePOWER アップグレード時の動作

Snort プロセスを再起動する特定の設定を展開する場合を含め、モジュールが FirePOWER ソフトウェア アップグレード中にトラフィックを処理する方法を決定する、ASA FirePOWER moduleへのトラフィック リダイレクトに関する ASA サービス ポリシーです。

表 15. ASA FirePOWER アップグレード中のトラフィックの動作
トラフィック リダイレクト ポリシー トラフィックの動作

フェール オープン(sfr fail-open

インスペクションなしで転送

フェール クローズ(sfr fail-close

ドロップされる

モニタのみ(sfr {fail-close}|{fail-open} monitor-only

パケットをただちに出力、コピーへのインスペクションなし

ASA FirePOWER 展開時のトラフィックの動作

Snort プロセスが再起動している間のトラフィックの動作は、ASA FirePOWER moduleをアップグレードする場合と同じです。

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。 さらに、Snort プロセスを再起動すると、トラフィック インスペクションが中断されます。サービス ポリシーにより、中断中にインスペクションせずにトラフィックをドロップするか通過するかが決定されます。

NGIPSv アップグレード時の動作

このセクションでは、NGIPSvをアップグレードするときのデバイスとトラフィックの動作を説明します。

Firepower ソフトウェア アップグレード

インターフェイスの設定により、アップグレード中に NGIPSv がトラフィックを処理する方法が決定されます。

表 16. NGIPSv アップグレード中のトラフィックの動作
インターフェイスの設定 トラフィックの動作

インライン

ドロップされる

インライン、タップ モード

パケットをただちに出力、コピーへのインスペクションなし

パッシブ

中断なし、インスペクションなし

展開時のトラフィックの動作

アップグレード プロセス中には、設定を複数回展開します。Snort は、通常、アップグレード直後の最初の展開時に再起動されます。展開の前に、特定のポリシーまたはデバイス設定を変更しない限り、それ以外の展開時に再起動されることはありません。詳細については、『Firepower Management Center Configuration Guide』の「Configurations that Restart the Snort Process when Deployed or Activated」を参照してください。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。さらに、Snort プロセスを再起動すると、トラフィック インスペクションが中断されます。インターフェイス設定により、中断中にインスペクションせずにトラフィックをドロップするか受け渡すかが決定されます。

表 17. NGIPSv 展開時のトラフィックの動作
インターフェイスの設定 トラフィックの動作

インライン、[フェールセーフ(Failsafe)] が有効または無効

インスペクションなしで転送

[フェールセーフ(Failsafe)] が無効で、Snort がビジーでもダウンしていない場合、いくつかのパケットがドロップすることがあります。

インライン、タップ モード

すぐにパケットを出力し、バイパス Snort をコピーする

パッシブ

中断なし、インスペクションなし

アップグレード手順

リリース ノートにはアップグレード手順は含まれていません。これらのリリース ノートに記載されているガイドラインと警告を読んだ後、次のいずれかを参照してください。

アップグレードパッケージ

アップグレード パッケージは、 シスコ サポートおよびダウンロード サイトで入手できます。

バージョン 6.2.1+ からのアップグレード パッケージは、署名付きの tar アーカイブ(.tar)です。解凍しないでください。

Table 18. バージョン 6.2.1+ からのアップグレード パッケージ
プラットフォーム パッケージ

FMC/FMCv

Cisco_Firepower_Mgmt_Center_Upgrade-version-build.sh.REL.tar

Firepower 2100 シリーズ

Cisco_FTD_SSP_FP2K_Upgrade-version-build.sh.REL.tar

Firepower 4100/9300 シャーシ

Cisco_FTD_SSP_Upgrade-version-build.sh.REL.tar

FTD を搭載した ASA 5500-X シリーズ

FTD を搭載した ISA 3000

Firepower Threat Defense 仮想

Cisco_FTD_Upgrade-version-build.sh.REL.tar

Firepower 7000/8000 シリーズ

Cisco_Firepower_NGIPS_Appliance_Upgrade-version-build.sh.REL.tar

ASA FirePOWER

Cisco_Network_Sensor_Upgrade-version-build.sh.REL.tar

NGIPSv

Cisco_Firepower_NGIPS_Virtual_Upgrade-version-build.sh.REL.tar

Table 19. バージョン 6.1.x または 6.2.0.x からのアップグレード パッケージ
プラットフォーム パッケージ

FMC/FMCv

Cisco_Firepower_Mgmt_Center_Upgrade-version-build.sh

Firepower 4100/9300 シャーシ

Cisco_FTD_SSP_Upgrade-version-build.sh

FTD を搭載した ASA 5500-X シリーズ

Firepower Threat Defense 仮想

Cisco_FTD_Upgrade-version-build.sh

Firepower 7000/8000 シリーズ

Cisco_Firepower_NGIPS_Appliance_Upgrade-version-build.sh

ASA FirePOWER

Cisco_Network_Sensor_Upgrade-version-build.sh

NGIPSv

Cisco_Firepower_NGIPS_Virtual_Upgrade-version-build.sh