アップグレードの計画

アップグレードの計画フェーズ

誤りを避けるには、注意深い計画と準備が役立ちます。この表はアップグレードの計画プロセスを要約したものです。詳細なチェックリストと手順については、「アップグレード」の章を参照してください。

表 1. アップグレードの計画フェーズ

計画フェーズ

次を含む

計画と実現可能性

展開を評価します。

アップグレードパスを計画します。

すべてのアップグレードガイドラインを読み、設定の変更を計画します。

アプライアンスへのアクセスを確認します。

帯域幅を確認します。

メンテナンス時間帯をスケジュールします。

バックアップ

ソフトウェアをバックアップします。

Firepower 4100/9300 の FXOS をバックアップします。

アップグレードパッケージ

アップグレードパッケージをシスコからダウンロードします。

システムにアップグレードパッケージをアップロードします。

関連するアップグレード

仮想展開内で仮想ホスティングをアップグレードします。

Firepower 4100/9300 の FXOS をアップグレードします。

最終チェック

設定を確認します。

NTP 同期を確認します。

ディスク容量を確認します。

設定を展開します。

準備状況チェックを実行します。

実行中のタスクを確認します。

展開の正常性と通信を確認します。

現在のバージョンおよびモジュールの情報

これらのコマンドを使用して、展開に関する現在のバージョンとモデルの情報を検索します。

表 2.

コンポーネント

情報

Firepower 4100/9300 用 FXOS

Firepower Chassis Manager:[概要(Overview)] を選択します。

FXOS CLI:バージョンについては、show version コマンドを使用します。モデルについては、scope chassis 1 を入力し、次に show inventory を入力します。

FMC を搭載した Firepower Threat Defense 論理デバイス

FMC で、[デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。

FDM を搭載した Firepower Threat Defense 論理デバイス

FDM で、[Device] をクリックして [Device Summary] に移動します。

ASA 論理デバイス

ASDM:[Home] > [Device Dashboard] > [Device Information] の順に選択します。

ASA CLI:show version コマンドを使用します。

Firepower Management Center

FMC で、[ヘルプ(Help)] > [概要(About)] を選択します。

アップグレードパス

アップグレードパスは、アプライアンスのオペレーティングシステムなどを含め、何をいつアップグレードするかについての詳細な計画です。常に、ハードウェア、ソフトウェア、オペレーティングシステム、およびホスティングの互換性を維持する必要があります。


ヒント

このガイドでは、Firepower 6.0.1 ~ 7.0.x または ASA 9.4(1) ~ 9.16(x) と FXOS 1.1.1 ~ 2.10.1 について説明します。このガイドの対象読者を参照してください

何を持っているのか?

Firepower アプライアンスをアップグレードする前に、展開の現在の状態を判断します。現在のバージョンとモデル情報に加えて、デバイスが高可用性/拡張性を実現するように設定されているかどうか、および IPS、ファイアウォールなどとしてパッシブに展開されているかどうかを確認します。

現在のバージョンおよびモジュールの情報を参照してください。

どこへ行くのか?

持っているものがわかったので、行きたい場所に行けることを確認します。

  • 展開で対象の Firepower バージョンを実行できるのか?

  • 展開で対象の ASA バージョンを実行できるのか?

  • アプライアンスでは、対象の Firepower バージョンを実行する前に、個別のオペレーティングシステムのアップグレードが必要となるか?アプライアンスは対象の OS を実行できるのか?

これらすべての質問に対する回答については、Cisco Firepower 4100/9300 FXOS の互換性 を参照してください。

アクセス方法は?

アプライアンスが対象のバージョンを実行できることを確認したら、直接アップグレードが可能であることを確認します。

  • Firepower ソフトウェアを直接アップグレードできるのか?

  • ASA ソフトウェアを直接アップグレードできるのか?

  • FXOS を直接アップグレードできるのか?

これらすべての質問に対する回答については、本ガイドに記載されているアップグレードパスを参照してください。


ヒント

中間バージョンを必要とするアップグレードパスには時間がかかる場合があります。特に、FMC とデバイスのアップグレードを交互に行う必要がある大規模な Firepower の展開では、アップグレードする代わりに古いデバイスのイメージを再作成することを検討してください。まず、FMC からデバイスを削除します。その後、FMC をアップグレードし、デバイスを再イメージ化してから、それらを FMC に再追加します。

展開の互換性を維持できるのか?

常に、ハードウェア、ソフトウェア、オペレーティングシステムの互換性を維持する必要があります。

アップグレードパス:FXOS のみ

この表は、論理デバイスが設定されていない Firepower 4100/9300 シャーシでの FXOS のアップグレードパスを示しています。

左側の列で現在のバージョンを確認します。右側の列に記載されているバージョンに直接アップグレードできます。 通常、バージョンシーケンスにおける最新の FXOS ビルドが推奨されます。

表 3. アップグレードパス:Firepower 4100/9300 の FXOS

現在の FXOS のバージョン

対象の FXOS のバージョン

2.2.2 以降

他の理由(論理デバイスの互換性、リリース固有の問題)で許可されていない場合を除き、以降の任意のバージョン。

2.2.1

→ 2.2.2 ~ 2.8.1

2.1(1)

→ 2.2.1 ~ 2.8.1

2.0.1

→ 2.1.1 ~ 2.8.1

1.1.4

→ 2.0.1

1.1.3

→ 1.1.4

1.1.2

→ 1.1.3

1.1.1

→ 1.1.2

アップグレードパス:ASA 論理デバイス

  • FXOS:FXOS 2.2.2 以降では、上位バージョンに直接アップグレードできます。(FXOS 2.0.1 ~ 2.2.1 は 2.8.1 までアップグレードできます。2.0.1 より前のバージョンについては、各中間バージョンにアップグレードする必要があります。)現在の論理デバイスバージョンをサポートしていないバージョンに FXOS をアップグレードすることはできないことに注意してください。次の手順でアップグレードを行う必要があります。現在の論理デバイスをサポートする最新のバージョンに FXOS をアップグレードします。次に、論理デバイスをその FXOS バージョンでサポートされている最新のバージョンにアップグレードします。たとえば、FXOS 2.2/ASA 9.8 から FXOS 2.13/ASA 9.19 にアップグレードする場合は、次のアップグレードを実行する必要があります。

    1. FXOS 2.2 → FXOS 2.11(9.8 をサポートする最新バージョン)

    2. ASA 9.8 → ASA 9.17(2.11 でサポートされている最新バージョン)

    3. FXOS 2.11 → FXOS 2.13

    4. ASA 9.17 → ASA 9.19

  • FTD:上記の FXOS 要件に加えて、FTD に対して中間アップグレードが必要になる場合があります。正確なアップグレードパスについては、ご使用のバージョンのFMC アップグレードガイドを参照してください。

  • Cisco ASA:Cisco ASA では、上記の FXOS 要件に注意して、現在のバージョンから任意の上位バージョンに直接アップグレードできます。

表 4. Firepower 4100/9300 と ASA および FTD の互換性

FXOS のバージョン

モデル

ASA のバージョン

FTD バージョン

2.14(1)

Firepower 4112

9.16

9.14

7.4(推奨)

7.3

7.2

7.1

7.0

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.16

9.14

7.4(推奨)

7.3

7.2

7.1

7.0

6.6

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

2.13

Firepower 4112

9.16

9.14

7.3(推奨)

7.2

7.1

7.0

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.16

9.14

7.3(推奨)

7.2

7.1

7.0

6.6

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

2.12

Firepower 4112

9.16

9.14

7.2(推奨)

7.1

7.0

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.16

9.14

9.12

7.2(推奨)

7.1

7.0

6.6

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.16

9.14

9.12

7.2(推奨)

7.1

7.0

6.6

6.4

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.11

Firepower 4112

9.16

9.14

7.1(推奨)

7.0

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.16

9.14

9.12

7.1(推奨)

7.0

6.6

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.16

9.14

9.12

9.8

7.1(推奨)

7.0

6.6

6.4

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.10

(注)  

 

7.0.2+ および 9.16(3.11)+ との互換性を確保するには、FXOS 2.10(1.179)+ が必要です。

Firepower 4112

9.16(推奨)

9.14

7.0(推奨)

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.16(推奨)

9.14

9.12

7.0(推奨)

6.6

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.16(推奨)

9.14

9.12

9.8

7.0(推奨)

6.6

6.4

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.9

Firepower 4112

9.14

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.14

9.12

6.6

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.14

9.12

9.8

6.6

6.4

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.8

Firepower 4112

9.14

6.6

(注)  

 

6.6.1+ では FXOS 2.8(1.125)+ が必要です。

Firepower 4145

Firepower 4125

Firepower 4115

9.14(推奨)

9.12

(注)  

 

Firepower 9300 SM-56 には ASA 9.12(2)+ が必要

6.6(推奨)

(注)  

 

6.6.1+ では FXOS 2.8(1.125)+ が必要です。

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.14(推奨)

9.12

9.8

6.6(推奨)

(注)  

 

6.6.1+ では FXOS 2.8(1.125)+ が必要です。

6.4

6.2.3

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.6(1.157)

(注)  

 

ASA 9.12+ および FTD 6.4+ では、同じ Firepower 9300 シャーシ内の別のモジュールで実行できるようになりました。

Firepower 4145

Firepower 4125

Firepower 4115

9.12

(注)  

 

Firepower 9300 SM-56 には ASA 9.12.2+ が必要

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.12(推奨)

9.8

6.4(推奨)

6.2.3

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.6(1.131)

Firepower 9300 SM-48

Firepower 9300 SM-40

9.12

サポート対象外

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.12(推奨)

9.8

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.3(1.73)

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.8

(注)  

 

FXOS 2.3(1.130)+ を実行している場合、フローオフロードには 9.8(2.12)+ が必要です。

6.2.3(推奨)

(注)  

 

6.2.3.16+ には FXOS 2.3.1.157+ が必要

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.3(1.66)

2.3(1.58)

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.8

(注)  

 

FXOS 2.3(1.130)+ を実行している場合、フローオフロードには 9.8(2.12)+ が必要です。

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.2

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.8

FTD バージョンはサポートが終了しています

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

ダウングレードについての注記

FXOS イメージのダウングレードは公式にはサポートされていません。シスコがサポートする唯一の FXOS のイメージバージョンのダウングレード方法は、デバイスの完全な再イメージ化を実行することです。

アップグレード パス:FTD 論理デバイスと FMC を備えた

この表は、Firepower Management Center によって管理される FTD 論理デバイスを搭載した Firepower 4100/9300 のアップグレードパスを示しています。


(注)  

別のモジュールで実行されている FTD および ASA を搭載した Firepower 9300 シャーシをアップグレードする場合は、アップグレードパス:Firepower 9300 の FTD および ASA 論理デバイスを参照してください。

左側の列で現在のバージョンの組み合わせを確認します。右側の列に記載されているバージョンの組み合わせにアップグレードできます。これは複数のステップからなるプロセスであり、最初に FXOS をアップグレードしてから、次に論理デバイスをアップグレードします。

この表には、シスコにより特別に認定されたバージョンの組み合わせのみが掲載されていることに注意してください。最初に FXOS をアップグレードする必要があるため、サポートされている(ただし推奨されません)組み合わせを簡単に実行します。ここでは、FXOS が論理デバイスの「前」にあります。最小限のビルドおよびその他の詳細な互換性情報については、『Cisco Firepower 4100/9300 FXOS の互換性』を参照してください。

表 5. アップグレード パス:FTD 論理デバイス を搭載した Firepower 4100/9300

現在のバージョン

対象のバージョン

FTD 6.7.0/6.7.x を搭載した FXOS 2.9.1

→ FTD 7.0.0/7.0.x を搭載した FXOS 2.10.1

FTD 6.6.0/6.6.x を搭載した FXOS 2.8.1

次のいずれかです。

→ FTD 7.0.0/7.0.x を搭載した FXOS 2.10.1

→ FTD 6.7.x を搭載した FXOS 2.9.1

FTD 6.5.0 を搭載した FXOS 2.7.1

FDM および CDO 管理の最初のサポート

次のいずれかです。

→ FTD 7.0.0/7.0.x を搭載した FXOS 2.10.1

→ FTD 6.7.0/6.7.x を搭載した FXOS 2.9.1

→ FTD 6.6.0/6.6.x を搭載した FXOS 2.8.1

FTD 6.4.0 を搭載した FXOS 2.6.1

次のいずれかです。

→ FTD 7.0.0/7.0.x を搭載した FXOS 2.10.1

→ FTD 6.7.0/6.7.x を搭載した FXOS 2.9.1

→ FTD 6.6.0/6.6.x を搭載した FXOS 2.8.1

→ FTD 6.5.0 を搭載した FXOS 2.7.1

FTD 6.3.0 を搭載した FXOS 2.4.1

次のいずれかです。

→ FTD 6.7.0/6.7.x を搭載した FXOS 2.9.1

→ FTD 6.6.0/6.6.x を搭載した FXOS 2.8.1

→ FTD 6.5.0 を搭載した FXOS 2.7.1

→ FTD 6.4.0 を搭載した FXOS 2.6.1

FTD 6.2.3 を搭載した FXOS 2.3.1

次のいずれかです。

→ FTD 6.6.0/6.6.x を搭載した FXOS 2.8.1

→ FTD 6.5.0 を搭載した FXOS 2.7.1

→ FTD 6.4.0 を搭載した FXOS 2.6.1

→ FTD 6.3.0 を搭載した FXOS 2.4.1

FTD 6.2.2 を搭載した FXOS 2.2.2

次のいずれかです。

→ FTD 6.4.0 を搭載した FXOS 2.6.1

→ FTD 6.3.0 を搭載した FXOS 2.4.1

→ FTD 6.2.3 を搭載した FXOS 2.3.1

FTD 6.2.0 を搭載した FXOS 2.2.2

次のいずれかです。

→ FTD 6.4.0 を搭載した FXOS 2.6.1

→ FTD 6.3.0 を搭載した FXOS 2.4.1

→ FTD 6.2.3 を搭載した FXOS 2.3.1

→ FTD 6.2.2 を搭載した FXOS 2.2.2
FTD 6.2.0 を搭載した FXOS 2.2.1

→ FTD 6.2.0 を搭載した FXOS 2.2.2(FXOS のみをアップグレード)

もう 1 つのオプションは、推奨される組み合わせである FTD 6.2.2 を搭載した FXOS 2.2.2 にアップグレードすることです。ただし、展開をさらにアップグレードする予定がある場合は、気にしないでください。FXOS 2.2.2 を実行しているので、FTD 6.4.0 を搭載した FXOS 2.6.1 にアップグレードできます。

FTD 6.2.0 を搭載した FXOS 2.1.1

→ FTD 6.2.0 を搭載した FXOS 2.2.1(FXOS のみをアップグレード)

FTD 6.1.0 を搭載した FXOS 2.0.1

→ FTD 6.2.0 を搭載した FXOS 2.1.1

FTD 6.0.1 を搭載した FXOS 1.1.4

→ FTD 6.1.0 を搭載した FXOS 2.0.1

クラスタまたは HA ペアの FTD 論理デバイスを搭載した FXOS のアップグレード

Firepower Management Center の展開では、クラスタ化された高可用性の FTD 論理デバイスを 1 つのユニットとしてアップグレードします。ただし、各シャーシの FXOS を個別にアップグレードします。

表 6. FXOS + FTD のアップグレード順序

展開

アップグレード順序

スタンドアロンデバイス

クラスタ、同じシャーシ上のユニット(Firepower 9300 のみ)

  1. FXOS をアップグレードします。

  2. FTD のアップグレード。

ハイ アベイラビリティ

中断を最小限に抑えるため、スタンバイは常にアップグレードします。

  1. スタンバイの FXOS をアップグレードします。

  2. ロールを切り替えます。

  3. 新しいスタンバイの FXOS をアップグレードします。

  4. FTD のアップグレード。

クラスタ、異なるシャーシ上のユニット(6.2+)

中断を最小限に抑えるため、すべてデータユニットのシャーシを常にアップグレードします。たとえば、2 つのシャーシがあるクラスタの場合:

  1. すべてデータユニットのシャーシの FXOS をアップグレードします。

  2. 制御モジュールをアップグレードしたシャーシに切り替えます。

  3. 新しいすべてデータユニットのシャーシの FXOS をアップグレードします。

  4. FTD のアップグレード。

古いバージョンでは、無中断アップグレードにはいくつかの追加要件があります。

表 7. 古いバージョンでの無中断アップグレード

シナリオ

詳細
高可用性またはクラスタ化されたデバイスのアップグレードで、現在次のいずれかを実行しています。

  • FXOS 1.1.4.x ~ 2.2.1.x

  • FXOS 2.2.2.17 ~ FXOS 2.2.2.68

  • FXOS 2.3.1.73 ~ FXOS 2.3.1.111

次の場合:

  • FTD 6.0.1 ~ 6.2.2.x

フローオフロード機能でのバグ修正により、FXOS と FTD のいくつかの組み合わせはフローオフロードをサポートしていません。『Cisco Firepower Compatibility Guide』を参照してください。無中断アップグレードを実施するには、常に互換性のある組み合わせを実行する必要があります。

アップグレードパスに FXOS の2.2.2.91、2.3.1.130、またはそれ以降のアップグレード(FXOS 2.4.1. x、2.6.1 などを含む)が含まれている場合、次のパスを使用します。

1. FTD を 6.2.2.2 以降にアップグレードします。

2. FXOS を 2.2.2.91、2.3.1.130、またはそれ以降にアップグレードします。

3. FTD を最終バージョンにアップグレードします。

たとえば、FTD 6.2.2.0 を搭載した FXOS 2.2.2.17 を実行していて、FTD 6.4.0 を搭載した FXOS 2.6.1 にアップグレードする場合は、次を実行できます。

1. FTD を 6.2.2.5 にアップグレードします。

2. FXOS を 2.6.1 にアップグレードします。

3. FTD を 6.4.0 にアップグレードします。

高可用性デバイスの FTD バージョン 6.1.0 へのアップグレード

プレインストールパッケージが必要です。詳細については、『Firepower System Release Notes Version 6.1.0 Preinstallation Package』を参照してください。

ダウングレードについての注記

FXOS イメージのダウングレードは公式にはサポートされていません。シスコがサポートする唯一の FXOS のイメージバージョンのダウングレード方法は、デバイスの完全な再イメージ化を実行することです。

アップグレードパス:FTD 論理デバイスと FDM

この表は、Firepower Device Manager によって管理される FTD 論理デバイスを搭載した Firepower 4100/9300 のアップグレードパスを示しています。


(注)  

別のモジュールで実行されている FTD および ASA を搭載した Firepower 9300 シャーシをアップグレードする場合は、アップグレードパス:Firepower 9300 の FTD および ASA 論理デバイスを参照してください。

左側の列で現在のバージョンの組み合わせを確認します。右側の列に記載されているバージョンの組み合わせにアップグレードできます。これは複数のステップからなるプロセスであり、最初に FXOS をアップグレードしてから、次に論理デバイスをアップグレードします。

この表には、シスコにより特別に認定されたバージョンの組み合わせのみが掲載されていることに注意してください。最初に FXOS をアップグレードする必要があるため、サポートされている(ただし推奨されません)組み合わせを簡単に実行します。ここでは、FXOS が論理デバイスの「前」にあります。最小限のビルドおよびその他の詳細な互換性情報については、『Cisco Firepower 4100/9300 FXOS の互換性』を参照してください。

表 8. アップグレード パス:FTD 論理デバイス を搭載した Firepower 4100/9300

現在のバージョン

対象のバージョン

FTD 6.7.0/6.7.x を搭載した FXOS 2.9.1

→ FTD 7.0.0/7.0.x を搭載した FXOS 2.10.1

FTD 6.6.0/6.6.x を搭載した FXOS 2.8.1

次のいずれかです。

→ FTD 7.0.0/7.0.x を搭載した FXOS 2.10.1

→ FTD 6.7.x を搭載した FXOS 2.9.1

FTD 6.5.0 を搭載した FXOS 2.7.1

FDM および CDO 管理の最初のサポート

次のいずれかです。

→ FTD 7.0.0/7.0.x を搭載した FXOS 2.10.1

→ FTD 6.7.0/6.7.x を搭載した FXOS 2.9.1

→ FTD 6.6.0/6.6.x を搭載した FXOS 2.8.1

HA ペアの FTD 論理デバイスを搭載した FXOS のアップグレード

Firepower Device Manager の展開では、高可用性のペアのメンバーを個別にアップグレードします。この表の事例では、デバイス A が元のアクティブデバイスであり、デバイス B が元のスタンバイです。

表 9. FXOS + FTD のアップグレード順序

展開

アップグレード順序

スタンドアロンデバイス

  1. FXOS をアップグレードします。

  2. FTD 論理デバイスをアップグレードします。

ハイ アベイラビリティ

FTD をアップグレードする前に、両方のシャーシで FXOS をアップグレードします。中断を最小限に抑えるため、次のスタンバイを常にアップグレードします。

  1. スタンバイの FTD 論理デバイス(B)を搭載したシャーシの FXOS をアップグレードします。

  2. ロールを切り替えます。

  3. 新しいスタンバイの論理デバイス(A)を搭載したシャーシの FXOS をアップグレードします。

  4. 新しいスタンバイの FTD 論理デバイス(A)をアップグレードします。

  5. ロールを再度切り替えます。

  6. 元のスタンバイの FTD 論理デバイス(B)をアップグレードします。

ダウングレードについての注記

FXOS イメージのダウングレードは公式にはサポートされていません。シスコがサポートする唯一の FXOS のイメージバージョンのダウングレード方法は、デバイスの完全な再イメージ化を実行することです。

アップグレードパス:Firepower 9300 の FTD および ASA 論理デバイス

この表は、別のモジュールで実行されている FTD および ASA 論理デバイスを搭載した Firepower 9300 シャーシのアップグレード パスを示します。

左側の列で現在のバージョンの組み合わせを確認します。右側の列に記載されているバージョンの組み合わせにアップグレードできます。これは複数のステップからなるプロセスであり、最初に FXOS をアップグレードしてから、次に論理デバイスをアップグレードします。

この表には、シスコにより特別に認定されたバージョンの組み合わせのみが掲載されていることに注意してください。最初に FXOS をアップグレードする必要があるため、サポートされている(ただし推奨されません)組み合わせを簡単に実行します。ここでは、FXOS が論理デバイスの「前」にあります。最小限のビルドおよびその他の詳細な互換性情報については、『Cisco Firepower 4100/9300 FXOS の互換性』を参照してください。


(注)  

このタイプの展開では、FXOS をアップグレードしても、どちらのタイプの論理デバイスとの互換性も失われないことを確認する必要があります。複数のバージョンをスキップする必要がある場合、通常は FTD がリミッタになります。FXOS と ASA は通常、FTD よりも 1 ホップでさらにアップグレードできます。

表 10. アップグレード パス:FTD および ASA 論理デバイス搭載した Firepower 9300

現在のバージョン

対象のバージョン

次を搭載した FXOS 2.9.1:

  • FTD 6.7.0/6.7.x

  • ASA 9.15(x)

→ ASA 9.16(x) および FTD 7.0.0/7.0.x を搭載した FXOS 2.10.1

次を搭載した FXOS 2.8.1:

  • FTD 6.6.0/6.6.x

  • ASA 9.14(x)

次のいずれかです。

→ ASA 9.16(x) および FTD 7.0.07.0.x を搭載した FXOS 2.10.1

→ ASA 9.15(x) および FTD 6.7.0/6.7.x を搭載した FXOS 2.9.1

次を搭載した FXOS 2.7.1:

  • FTD 6.5.0

  • ASA 9.13(x)

次のいずれかです。

→ ASA 9.16(x) および FTD 7.0.x を搭載した FXOS 2.10.1

→ ASA 9.15(x) および FTD 6.7.0/6.7.x を搭載した FXOS 2.9.1

→ ASA 9.14(x) および FTD 6.6.0/6.6.x を搭載した FXOS 2.8.1

次を搭載した FXOS 2.6.1:

  • FTD 6.4.0

  • ASA 9.12(x)

次のいずれかです。

→ ASA 9.16(x) および FTD 7.0.x を搭載した FXOS 2.10.1

→ ASA 9.15(x) および FTD 6.7.0/6.7.x を搭載した FXOS 2.9.1

→ ASA 9.14(x) および FTD 6.6.0/6.6.x を搭載した FXOS 2.8.1

→ ASA 9.13(x) および FTD 6.5.0 を搭載した FXOS 2.7.1

アップグレードパス:Firepower Management Center

次の表に FMC(FMCv を含む)のアップグレードパスを示します。

左側の列で現在のバージョンを確認します。右側の列に記載されているバージョンに直接アップグレードできます。


(注)  

現在のバージョンが対象のバージョンより後の日付にリリースされた場合、期待どおりにアップグレードできない可能性があります。このような場合、アップグレードはすぐに失敗し、2 つのバージョン間にデータストアの非互換性があることを説明するエラーが表示されます。 現在のバージョンと対象のバージョンの両方のに関するリリースノートには、特定の制限が掲載されています。

表 11. FMC の直接アップグレード

現在のバージョン

ターゲットバージョン

7.0.0

7.0.x

FMC 1000、2500、4500 に対する最後のサポート

次のいずれかです。

→ 7.1.0 ~ 7.4.x

→ 7.0.x 以降のメンテナンスリリース

(注)  

 

データストアの非互換性のため、 をバージョン 7.0.4 以降からバージョン 7.1.0 にアップグレードすることができません。バージョン 7.2 以降に直接アップグレードすることをお勧めします。

6.7.0

6.7.x

次のいずれかです。

→ 7.0.0 ~ 7.2.x

→ 6.7.x メンテナンスリリース以降

6.6.0

6.6.x

FMC 2000 および 4000 の最後のサポート。

次のいずれかです。

→ 6.7.0 ~ 7.2.x

→ 6.6.x メンテナンスリリース以降

(注)  

 

データストアの非互換性のため、バージョン 6.6.5 以降からバージョン 6.7.0 にアップグレードすることができません。バージョン 7.0.0 以降に直接アップグレードすることをお勧めします。

6.5.0

6.6.0 ~ 7.1.x

6.4.0

FMC 750、1500、および 3500 の最後のサポート。

次のいずれかです。

→ 6.6.0 ~ 7.0.x

→ 6.5.0

6.3.0

次のいずれかです。

→ 6.6.0 ~ 6.7.x

→ 6.5.0

→6.4.0

6.2.3

次のいずれかです。

→ 6.6.x

→ 6.5.0

→6.4.0

→ 6.3.0

6.2.2

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

6.2.1

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.2.0

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.1.0

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.0

6.0.1

次のいずれかです。

→ 6.1.0

6.0.0

次のいずれかです。

→ 6.0.1

次のプレインストールパッケージが必要です:Firepower System Release Notes Version 6.0.1 Preinstallation

5.4.1.1

次のいずれかです。

→ 6.0.0

次のプレインストールパッケージが必要です:FireSIGHT System Release Notes Version 6.0.0 Preinstallation

応答しないアップグレード

アップグレード中は、設定の変更の実施または展開を行わないでください。システムが非アクティブに見えても、アップグレード中は手動で再起動またはシャットダウンしないでください。システムが使用できない状態になり、再イメージ化が必要になる場合があります。

応答しない FMC

進行中のアップグレードは再開しないでください。アップグレードに失敗する、アプライアンスが応答しないなど、アップグレードで問題が発生した場合にはCisco TACにお問い合わせください。

応答しない FTD のアップグレード

メジャーアップグレードやメンテナンスアップグレードでは、失敗したアップグレードまたは進行中のアップグレードを手動でキャンセルし、失敗したアップグレードを再試行できます。

  • FMC:[デバイス管理(Device Management)] ページの [アップグレード(Upgrade)] タブ、およびメッセージセンターからアクセスできる [アップグレードステータス(Upgrade Status)] ポップアップを使用します。

  • FDM:[システムアップグレード(System Upgrade)] パネルを使用します。

FTD CLI を使用することもできます。


(注)  

デフォルトでは、FTD はアップグレードが失敗すると自動的にアップグレード前の状態に復元されます(「自動キャンセル」)。失敗したアップグレードを手動でキャンセルまたは再試行できるようにするには、アップグレードを開始するときに自動キャンセルオプションを無効にします。パッチの自動キャンセルはサポートされていません。高可用性または拡張性の展開では、自動キャンセルは各デバイスに個別に適用されます。つまり、1 つのデバイスでアップグレードが失敗した場合、そのデバイスだけが元に戻ります。

この機能は、パッチまたはバージョン 6.6 以前からのアップグレードではサポートされていません。

時間とディスク容量のテスト

参考のために、FMC およびソフトウェアのアップグレードにかかる時間とディスク容量のテストに関するレポートを提供しています。

時間テスト

特定のプラットフォームおよびシリーズでテストされたすべてのソフトウェアアップグレードの中で最長のテスト時間を報告します。次の表で説明するように、アップグレードには、複数の理由により、指定された時間よりも時間がかかる可能性があります。将来のベンチマークとして使用できるように、独自のアップグレード時間を追跡および記録することをお勧めします。


注意    

アップグレード中は、設定を変更または展開しないでください。システムが非アクティブに見えても、手動で再起動またはシャットダウンしないでください。ほとんどの場合、進行中のアップグレードを再開しないでください。システムが使用できない状態になり、再イメージ化が必要になる場合があります。アップグレードに失敗する、アプライアンスが応答しないなど、アップグレードで問題が発生した場合には 応答しないアップグレード を参照してください。
表 12. ソフトウェアアップグレードの時間テストの条件

条件

詳細

配置

デバイスアップグレードの時間は、FMC 展開でのテストに基づいています。同様の条件の場合、リモートとローカルの管理対象デバイスの raw アップグレード時間は類似しています。

バージョン

メジャーリリースおよびメンテナンスリリースでは、以前のすべての対象メジャーバージョンからのアップグレードをテストします。パッチについては、ベースバージョンからアップグレードをテストします。アップグレードでバージョンがスキップされると、通常、アップグレード時間は長くなります。

モデル

ほとんどの場合、各シリーズの最もローエンドのモデルでテストし、場合によってはシリーズの複数のモデルでテストします。

仮想アプライアンス

メモリおよびリソースのデフォルト設定を使用してテストします。ただし、仮想展開でのアップグレード時間はハードウェアに大きく依存することに注意してください。

高可用性/拡張性

特に断りのない限り、スタンドアロンデバイスでテストします。

高可用性の構成またはクラスタ化された構成では、動作の継続性を保持するため、複数のデバイスは 1 つずつアップグレードされます。アップグレード中は、各デバイスはメンテナンスモードで動作します。そのため、デバイスペアまたはクラスタ全体のアップグレードには、スタンドアロンデバイスのアップグレードよりも長い時間がかかります。

設定

シスコでは、構成およびトラフィック負荷が最小限のアプライアンスでテストを行います。

アップグレード時間は、構成の複雑さ、イベントデータベースのサイズ、また、それらがアップグレードから影響を受けるかどうか、受ける場合はどのような影響を受けるかにより、長くなる場合があります。たとえば多くのアクセス制御ルールを使用している場合、アップグレードはこれらのルールの格納方法をバックエンドで変更する必要があるため、アップグレードにはさらに長い時間がかかります。

コンポーネント

ソフトウェアアップグレード自体とその後の再起動のみの時間を報告します。これには、オペレーティングシステムのアップグレード、アップグレードパッケージの転送、準備状況チェック、VDB および侵入ルール (SRU/LSP)の更新、または設定の展開のための時間は含まれません。

ディスク容量テスト

特定のプラットフォーム/シリーズでテストされたすべてのソフトウェアアップグレードの中で最も多く使用されているディスク容量を報告します。これには、アップグレードパッケージをデバイスにコピーするために必要な容量が含まれます。

また、デバイス アップグレード パッケージ用に FMC(/Volume または /var 内)に必要な容量も報告します。FTD アップグレードパッケージ用の内部サーバーがある場合、または FDM を使用している場合は、それらの値を無視してください。

特定の場所(/var や /ngfw など)のディスク容量の見積もりを報告する場合、その場所にマウントされているパーティションのディスク容量の見積もりを報告しています。一部のプラットフォームでは、これらの場所が同じパーティション上にある場合があります。

空きディスク容量が十分でない場合、アップグレードは失敗します。

表 13. ディスク容量の確認

プラットフォーム

コマンド

FMC

[システム(System)] > [モニタリング(Monitoring)] > [統計(Statistics)]を選択し、FMC を選択します。[ディスク使用率(Disk Usage)] で、[By Partition] の詳細を展開します。

FTD with FMC

[システム(System)] > [モニタリング(Monitoring)] > [統計(Statistics)]を選択し、確認するデバイスを選択します。[ディスク使用率(Disk Usage)] で、[By Partition] の詳細を展開します。

FTD

show disk CLI コマンドを使用します。

アップグレードパッケージのダウンロード

アップグレードを開始する前に シスコ サポートおよびダウンロード サイト からアップグレードパッケージをダウンロードしてください。特定のアップグレードに応じて、ローカルコンピュータまたはアプライアンスがアクセスできるサーバーにパッケージを配置する必要があります。このガイドの個々のチェックリストと手順では、選択肢について説明します。


(注)  

ダウンロードには、Cisco.com のログインおよびサービス契約が必要です。

Firepower ソフトウェア パッケージ

アップグレードパッケージは シスコ サポートおよびダウンロード サイト で入手できます。

アップグレードパッケージを検索するには、アプライアンスモデルを選択または検索し、現在のバージョンのソフトウェアのダウンロードページを参照します。使用可能なアップグレードパッケージは、インストールパッケージ、ホットフィックス、およびその他の該当するダウンロードとともに表示されます。


ヒント

インターネットにアクセスできる Firepower Management Center では、リリースが手動でダウンロードできるようになった後しばらくしてから、シスコから選択したリリースを直接ダウンロードできます。遅延の長さは、リリースの種類、リリースの選択、およびその他の要因によって異なります。

ファミリまたはシリーズのすべてのモデルに同じアップグレードパッケージを使用します。アップグレードパッケージのファイル名には、プラットフォーム、パッケージタイプ(アップグレード、パッチ、ホットフィックス)、およびソフトウェアバージョンが反映されています。 メンテナンスリリースでは、アップグレード パッケージ タイプが使用されます。

次に例を示します。

  • パッケージ:Cisco_Firepower_Mgmt_Center_Upgrade--999.sh.REL.tar

  • プラットフォーム: Firepower Management Center

  • パッケージタイプ:アップグレード

  • バージョンとビルド:-999

  • ファイル拡張子:sh.REL.tar

システムでは、正しいファイルを使用していることを確認できるようにするために、バージョン 6.2.1 以上からのアップグレードパッケージは、署名付きの tar アーカイブ(.tar)になっています。署名付きの(.tar)パッケージは解凍しないでください。また、アップグレードパッケージを電子メールで転送しないでください。


(注)  

署名付きのアップグレードパッケージをアップロードした後、Firepower Management Centerシステムがパッケージを確認する際に、GUI のロードに数分かかることがあります。表示を高速化するには、これらのパッケージが不要になった後にパッケージを削除します。

Firepower ソフトウェア アップグレード パッケージ

表 14.

プラットフォーム

バージョン

パッケージ

FMC/FMCv

6.3.0 以降

Cisco_Firepower_Mgmt_Center

5.4.0 ~ 6.2.3

Sourcefire_3D_Defense_Center_S3

Firepower 4100/9300

任意(Any)

Cisco_FTD_SSP

ASA パッケージ

Firepower 4100/9300 用の ASA ソフトウェアは、シスコ サポートおよびダウンロード サイト で入手できます。

ASA ソフトウェアを見つけるには、使用している Firepower アプライアンスモデルを選択または検索し、適切なダウンロードページを参照して、バージョンを選択します。


(注)  

FXOS 内の ASA バンドルをアップグレードすると、ASA 上の古い ASDM バンドル イメージがバンドル内の ASDM イメージに置き換えられます。これは、両者の名前が同じ(asdm.bin)であるためです。ただし、アップロードした別の ASDM イメージ(たとえば asdm-782.bin)を手動で選択すると、バンドル アップグレード後も引き続き同じイメージが使用されます。互換性のある ASDM バージョンを実行していることを確認するには、バンドルをアップグレードする前に ASDM をアップグレードするか、または ASA バンドルをアップグレードする直前に、バンドルされた ASDM イメージ(asdm.bin)を使用するように ASA を再設定する必要があります。

表 15. Firepower 4100/9300 用の ASA ソフトウェア

ダウンロードページ

ソフトウェアタイプ

パッケージ

適応型セキュリティアプライアンス(ASA)ソフトウェア

ASA および ASDM のアップグレード

cisco-asa.version.SPA.csp

適応型セキュリティアプライアンス(ASA)デバイスマネージャ

ASDM のアップグレードのみ

asdm-version.bin

適応型セキュリティアプライアンス REST API プラグイン

ASA REST API

asa-restapi-version-lfbff-k8.SPA

FXOS パッケージ

Firepower 4100/9300 用の FXOS パッケージは、シスコ サポートおよびダウンロード サイト で利用できます。

FXOS パッケージを見つけるには、Firepower アプライアンスモデルを選択または検索し、対象バージョンの Firepower Extensible Operating System のダウンロードページを参照します。


(注)  

CLI を使用して FXOS をアップグレードする場合は、Firepower 4100/9300 が SCP、SFTP、TFTP、または FTP を使用してアクセスできるサーバーにアップグレードパッケージをコピーします。

表 16. Firepower 4100/9300 用 FXOS パッケージ

パッケージ タイプ

パッケージ

FXOS イメージ

fxos-k9.version.SPA

リカバリ(キックスタート)

fxos-k9-kickstart.version.SPA

リカバリ(マネージャ)

fxos-k9-manager.version.SPA

リカバリ(システム)

fxos-k9-system.version.SPA

MIB

fxos-mibs-fp9k-fp4k.version.zip

ファームウェア:Firepower 4100 シリーズ

fxos-k9-fpr4k-firmware.version.SPA

ファームウェア:Firepower 9300

fxos-k9-fpr9k-firmware.version.SPA

FMC を使用した Firepower ソフトウェア アップグレード パッケージのアップロード

Firepower ソフトウェアをアップグレードするには、アップグレードパッケージがアプライアンスにある必要があります。

Firepower Management Center にアップロード

次の手順を使用して、FMC 自体と FMC が管理するデバイス用に、手動で Firepower ソフトウェアのアップグレードパッケージを Firepower Management Center にアップロードします。

始める前に

高可用性ペアのスタンバイの Firepower Management Center をアップグレードしている場合は、同期を一時停止します。

FMC の高可用性の展開では、FMC アップグレードパッケージを両方のピアにアップロードし、パッケージをスタンバイに転送する前に同期を一時停止する必要があります。HA 同期の中断を制限するには、アップグレードの準備段階でパッケージをアクティブのピアに転送し、同期を一時停止した後に、実際のアップグレードプロセスの一環としてスタンバイのピアに転送します。

手順

ステップ 1

Firepower Management Center Web インターフェイスで [システム(System)] > [更新(Updates)] を選択します。

ステップ 2

[更新のアップロード(Upload Update)] をクリックします。

ヒント

 

一部のアップグレードパッケージは、リリースが手動でダウンロードできるようになってからしばらくすると、Firepower Management Center によって直接ダウンロードできるようになります。遅延の長さは、リリースの種類、リリースの選択、およびその他の要因によって異なります。 Firepower Management Center がインターネットにアクセスできる場合は、代わりに [アップデートのダウンロード(Download updates)] をクリックして、展開の対象となるすべてのパッケージと、必要に応じて最新の VDB をダウンロードできます。

ステップ 3

(バージョン 6.6.0+)アクションについては、[ローカルソフトウェアアップデートパッケージのアップロード(Upload local software update package)] オプションボタンをクリックします。

ステップ 4

[ファイルの選択(Choose File)] をクリックします。

ステップ 5

パッケージを参照し、[アップロード(Upload)] をクリックします。

内部サーバへのアップロード(FMC を使用したバージョン 6.6.0 以降の FTD)

バージョン 6.6.0 以降では、Firepower Threat Defense デバイスは、FMC からではなく内部 Web サーバからアップグレードパッケージを取得できます。これは、FMC とそのデバイスの間の帯域幅が制限されている場合に特に役立ちます。また、FMC 上の領域も節約できます。


(注)  

この機能は、バージョン 6.6.0+ を実行している FTD デバイスでのみサポートされています。バージョン 6.6.0 へのアップグレードではサポートされておらず、FMCでもサポートされていません。

この機能を設定するには、Web サーバーのアップグレードパッケージの場所にポインタ(URL)を保存します。アップグレードプロセスでは、FMC ではなく Web サーバからアップグレードパッケージが取得されます。または、アップグレードする前に、FMC のプッシュ機能を使用してパッケージをコピーすることもできます。

各 FTD アップグレードパッケージに対して、この手順を繰り返します。アップグレードパッケージごとに、1 つの場所のみを設定できます。

始める前に

  • シスコ サポートおよびダウンロード サイト から適切なアップグレードパッケージをダウンロードし、FTD デバイスがアクセスできる内部 Web サーバーにコピーします。

  • セキュア Webサーバー(HTTPS)の場合は、サーバーのデジタル証明書(PEM 形式)を取得します。サーバーの管理者から証明書を取得できるようにする必要があります。また、ブラウザまたは OpenSSL などのツールを使用して、サーバーの証明書の詳細を表示したり、証明書をエクスポートまたはコピーしたりすることもできます。

手順

ステップ 1

FMC Web インターフェイスで、[System] > [Updates] を選択します。

ステップ 2

[更新のアップロード(Upload Update)] をクリックします。

何もアップロードしない場合でも、このオプションを選択します。次のページに、URL の入力を求めるプロンプトが表示されます。

ステップ 3

アクションについては、[ローカルソフトウェアアップデートパッケージのアップロード(Upload local software update package)] オプション ボタンをクリックします。

ステップ 4

アップグレードパッケージの送信元 URL を入力します。

次の例のように、プロトコル(HTTP/HTTPS)とフルパスを提供します。

https://internal_web_server/upgrade_package.sh.REL.tar

アップグレードパッケージのファイル名には、プラットフォーム、パッケージタイプ(アップグレード、パッチ、ホットフィックス)、およびアップグレードする Firepower のバージョンが反映されています。正しいファイル名を入力したことを確認します。

ステップ 5

HTTPS サーバーの場合は、CA 証明書を提供します。

これは、以前取得したサーバーのデジタル証明書です。テキストブロック全体(BEGIN CERTIFICATE 行と END CERTIFICATE行を含む)をコピーして貼り付けます。

ステップ 6

[保存(Save)] をクリックします。

[製品アップデート(Product Updates)] ページに戻ります。アップロードされたアップグレードパッケージとアップグレードパッケージの URL はまとめてリストされますが、明確にラベル付けされます。

管理対象デバイスへのコピー

Firepower ソフトウェアをアップグレードするには、アップグレードパッケージがデバイスにある必要があります。サポートされている場合、デバイスのアップグレードを開始する前に、この手順を使用して管理対象デバイスにパッケージをコピー(プッシュ)することをお勧めします。


(注)  

Firepower 4100/9300 では、必要な付属の FXOS アップグレードを開始する前に、Firepower Threat Defense アップグレードパッケージをコピーすることを推奨(場合によっては必須)しています。

サポートは Firepower のバージョンによって異なります。

  • バージョン 6.2.2 以前は、アップグレード前のコピーをサポートしていません。

    デバイスのアップグレードを開始すると、システムは最初のタスクとしてアップグレードパッケージを Firepower Management Center からデバイスにコピーします。

  • バージョン 6.2.3 では、アップグレードパッケージを Firepower Management Center からデバイスに手動でコピーする機能が追加されています。

    これにより、アップグレードのメンテナンス時間を短縮できます。

  • バージョン 6.6.0 では、アップグレードパッケージを内部 Web サーバーから Firepower Threat Defense デバイスに手動でコピーする機能が追加されています。

    これは、Firepower Management Center とその Firepower Threat Defense デバイスの間の帯域幅が制限されている場合に役立ちます。また、Firepower Management Center 上の容量も節約できます。

  • バージョン 7.0.0 では、アップグレードパッケージを Firepower Threat Defense デバイスにコピーするように即す新しい Firepower Threat Defense アップグレードワークフローが導入されています。

    Firepower Management Center がバージョン 7.0.0 以降を実行している場合は、[Device Upgrade] ページを使用して、アップグレードパッケージを FTD デバイスにコピーすることをお勧めします。詳しくは、FMC を使用した Firepower Threat Defense のアップグレード(バージョン 7.0.0) を参照してください。古い展開環境にあるアップグレードパッケージをにコピーするには、引き続きこの手順を使用する必要があります。

手動でコピーする場合、各デバイスはソースからアップグレードパッケージを取得することに注意してください。システムは、クラスタ、または HA メンバーユニット間でアップグレードパッケージをコピーしません。

始める前に

管理ネットワークに大量のデータ転送を実行するための帯域幅があることを確認します。『Guidelines for Downloading Data from the Firepower Management Center to Managed Devices』(トラブルシューティング テクニカルノーツ)を参照してください。

手順

ステップ 1

Firepower Management Center Web インターフェイスで [システム(System)] > [更新(Updates)] を選択します。

ステップ 2

デバイスが取得できる場所にアップグレードパッケージを配置します。

  • Firepower Management Center:手動でパッケージをアップロードするか、または FMC に直接取得します。

  • 内部 Web サーバー(Firepower Threat Defense バージョン 6.6.0 以降):内部 Web サーバーにアップロードし、そのサーバーからパッケージを取得するように Firepower Threat Defense デバイスを設定します。

ステップ 3

プッシュするアップグレードパッケージの横にある [Push](バージョン 6.5.0 以前)アイコンまたは [アップデートのプッシュまたはステージ(Push or Stage update)](バージョン 6.6.0 以降)アイコンをクリックして、接続先デバイスを選択します。

アップグレード パッケージをプッシュするデバイスがリストに表示されない場合は、間違ったアップグレード パッケージを選択しています。

ステップ 4

パッケージをプッシュします

  • Firepower Management Center:[Push] をクリックします。

  • 内部 Web サーバー:[送信元からデバイスへの更新のダウンロード(Download Update to Device from Source)] をクリックします。

FDM を使用した Firepower Threat Defense アップグレードパッケージのアップロード

Firepower Threat Defense ソフトウェアをアップグレードするには、ソフトウェア アップグレード パッケージがデバイス上にある必要があります。

FTD デバイスへのアップロード(バージョン 6.2.0 以降、FDM 使用)

手順

ステップ 1

[デバイス(Device)] をクリックし、[更新サマリー(Updates summary)] の [設定の表示(View Configuration)] をクリックします。

[システムアップグレード(System Upgrade)] セクションには、現在実行中のソフトウェア バージョン、およびすでにアップロードされた更新が表示されます。

ステップ 2

アップグレード ファイルをアップロードします。

  • アップグレード ファイルをまだアップロードしていない場合、[検索(Browse)] をクリックしてファイルを選択します。アップロードが完了したら、[Run Upgrade Immediately on Upload] オプションを選択してインストールを開始できます。

  • すでにアップロードされたファイルがあるか、別のファイルをアップロードする場合、[別のファイルをアップロード(Upload Another File)] をクリックします。1 つのファイルのみアップロードできます。新規ファイルをアップロードすると、古いファイルが置き換えられます。

  • ファイルを削除するには、[削除(Delete)] アイコン(delete icon)をクリックします。

FTD デバイスへのアップロード(バージョン 6.0.1 および 6.1.0、FDM 使用)

手順

ステップ 1

アップグレード イメージを入手し、インストールを準備します。

  1. Cisco.com にログインし、アップグレード イメージをダウンロードします。

    • ファイル タイプが .sh である適切なアップグレード ファイルを入手したことを確認します。システム ソフトウェア パッケージやブート イメージをダウンロードしないでください。

    • アップグレードに必要なベースライン イメージを実行していることを確認します。

  2. 管理 IP アドレスからアクセスできる HTTP サーバーにソフトウェアを配置します。

    代わりに、SCP または TFTP を使用してファイルをダウンロードできます。これらのいずれかのオプションを選択したら、そのファイル転送プロトコルをサポートするサーバーにファイルを配置します。

ステップ 2

SSH クライアントを使用して、admin ユーザー アカウントとパスワードで管理 IP アドレスにログオンします。

代わりに、コンソール ポートに接続することもできます。

ステップ 3

expert コマンドを入力してエキスパートモードに移行します。 


> expert
admin@firepower:~$

ステップ 4

作業ディレクトリを /var/sf/updates/ に変更します(cd コマンドを使用)。 


admin@firepower:~$ cd /var/sf/updates/ 
admin@firepower:/var/sf/updates$

ステップ 5

HTTP サーバからアップグレード ファイルをダウンロードします。

sudo wget url

たとえば、次のコマンドでは、Cisco_FTD_Upgrade-6.2.0-181.sh という架空のアップグレード ファイルを files.example.com HTTP サーバーの ftd フォルダからダウンロードします。sudo コマンドは root ユーザーの下で機能するため、警告が表示されます。コマンドを実行する前に admin パスワードを再入力する必要があります。ダウンロードが完了するまで待ちます。 


admin@firepower:/var/sf/updates$ sudo wget 
http://files.example.com/ftd/Cisco_FTD_Upgrade-6.2.0-181.sh

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

Password: (enter admin password)
Connecting to files.example.com 
|*************************************************
**************************************************
**************************************************
**************************************************
**********************************| 

...(remaining output omitted)

HTTP サーバーを使用しない場合は、代わりに tftp または scp コマンドを使用します。

FMC を使用した Firepower ソフトウェアの準備状況チェック

準備状況チェックにより、ソフトウェアをアップグレードするための Firepower アプライアンスの準備状況を評価できます。 アプライアンスが準備状況チェックに失敗した場合は、問題を修正して、準備状況チェックを再度実行してください。準備状況チェックの結果、解決できない問題が見つかった場合は、アップグレードを開始しないようお勧めします。

準備状況チェックの実行に必要な時間は、アプライアンスのモデルとデータベースのサイズによって異なります。それ以降のリリースでは、準備状況チェックもより高速化されています。

FMC を使用した準備状況チェックの実行(バージョン 7.0.0 および FTD)

FMC がバージョン 7.0.0 以降を実行している場合は、[デバイスのアップグレード(Device Upgrade)] ページを使用して、FTD デバイスで準備チェックを実行することをお勧めします。詳しくは、FMC を使用した Firepower Threat Defense のアップグレード(バージョン 7.0.0)を参照してください。

以下の場合は、次のトピックを参照してください。

  • FMC 自体での準備状況チェックの実行。

  • 管理対象デバイスでの準備チェックの実行、および FMC がバージョン 6.7.x を実行している。

  • 管理対象デバイスでの準備チェックの実行、および FMC がバージョン 6.6.x 以前を実行している。

FMC を使用した準備状況チェックの実行(バージョン 6.7.0 以降)

この手順は、現在バージョン 6.7.0 以降を実行している FMC、およびそれらの管理対象デバイス(古いバージョン(6.3.0 ~ 6.6.x)を実行しているデバイスを含む)、および高可用性およびスケーラビリティ展開の FTD デバイスに有効です。


重要

FMC がバージョン 7.0.0 以降を実行している場合は、[Device Upgrade] ページを使用して、FTD デバイスで準備チェックを実行することをお勧めします。詳しくは、FMC を使用した Firepower Threat Defense のアップグレード(バージョン 7.0.0) を参照してください。FMC およびクラシックデバイスで準備状況チェックを実行するには、引き続きこの手順を使用する必要があります。

始める前に

  • FMC をバージョン 6.7.0 以降にアップグレードします。FMC が現在古いバージョンを実行している場合は、FMC を使用した準備状況チェックの実行(バージョン 6.0.1 ~ 6.6.x)を参照してください。

  • チェックするアプライアンスの FMC にアップグレードパッケージをアップロードします。バージョン 6.6.0 以降の FTD デバイスを確認する場合は、内部 Web サーバー上のアップグレードパッケージの場所を指定することもできます。準備状況チェックはアップグレードパッケージに含まれるので、これが必要です。

  • (オプション)FTD デバイスをバージョン 6.3.0.1 ~ 6.6.x にアップグレードする場合は、アップグレードパッケージをデバイスにコピーします。これにより、準備状況チェックの実行に必要な時間を短縮できます。FTD デバイスをバージョン 6.7.0 以降にアップグレードする場合は、この手順をスキップできます。アップグレード自体を開始する前に、アップグレードパッケージをデバイスにプッシュすることをお勧めしますが、準備状況チェックを実行する前に行う必要はありません。

手順

ステップ 1

FMC Web インターフェイスで、[System] > [Updates] を選択します。

ステップ 2

[利用可能なアップデート(Available Updates)] で該当するアップグレードパッケージの横にある [インストール(Install)] アイコンをクリックします。

対象アプライアンスのリストが、アップグレード前の互換性チェックの結果とともに表示されます。バージョン 6.7.0 以降、より複雑な準備状況チェックを実行する前に、FTD デバイスは特定の基本チェックに合格する必要があります。この事前チェックは、アップグレードが失敗する原因となる問題を検出します。これらをより早期に検出し、続行をブロックするようになりました。

ステップ 3

チェックするアプライアンスを選択し、[準備状況の確認(Check Readiness)] をクリックします。

他の適格なアプライアンスを選択できない場合は、互換性チェックに合格したことを確認してください。オペレーティングシステムをアップグレードするか、構成の変更を展開する必要がある場合があります。

ステップ 4

メッセージ センターで準備状況チェックの進行状況をモニターします。

チェックが失敗した場合、メッセージセンターは失敗ログを提供します。

次のタスク

[システム(System)] > [更新(Updates)]ページで、[準備状況チェック(Readiness Checks)] をクリックすると、進行中のチェックや不合格のチェックなど、FTD 展開の準備状況チェックのステータスが表示されます。また、このページを使用して、不合格となった後にチェックを簡単に再実行することもできます。

FMC を使用した準備状況チェックの実行(バージョン 6.0.1 ~ 6.6.x)

この手順は、現在バージョン 6.0.1 ~ 6.6.x を実行している FMC とそのスタンドアロン管理対象デバイスに有効です。


(注)  

クラスタ化されたデバイス および高可用性ペアのデバイスについては、Linux シェル(エクスパートモードとも呼ばれます)から準備状況チェックを実行してください。チェックを実行するには、最初にアップグレードパッケージを各デバイスの正しい場所にプッシュまたはコピーしてから、コマンド sudo install_update.pl --detach --readiness-check /var/sf/updates/upgrade_package_name を使用します。詳細な手順については、Cisco TAC にお問い合わせください。

始める前に

  • (バージョン 6.0.1)バージョン 6.0.1 → 6.1.0 のアップグレードで準備状況チェックを実行する場合は、最初にバージョン 6.1 のプレインストールパッケージをインストールします。これは、FMC および管理対象デバイスに対して行う必要があります。『Firepower System Release Notes Version 6.1.0 Pre-Installation Package』を参照してください。

  • チェックするアプライアンスの FMC にアップグレードパッケージをアップロードします。バージョン 6.6.x FTD デバイスを確認する場合は、内部 Web サーバー上のアップグレードパッケージの場所を指定することもできます。準備状況チェックはアップグレードパッケージに含まれるので、これが必要です。

  • (オプション、バージョン 6.2.3 以降)管理対象デバイスにアップグレードパッケージをプッシュします。これにより、チェックの実行に必要な時間を短縮できます。

  • 構成を、構成が古い管理対象デバイスに展開します。そうしない場合、準備状況チェックは失敗することがあります。

手順

ステップ 1

FMC Web インターフェイスで、[システム(System)] > [更新(Updates)] を選択します。

ステップ 2

適切なアップグレードパッケージの横にある [インストール(Install)] アイコンをクリックします。

ステップ 3

チェックするアプライアンスを選択し、[準備状況チェックの開始(Launch Readiness Check)] をクリックします。

ステップ 4

メッセージ センターで準備状況チェックの進行状況をモニターします。

FDM を使用した Firepower ソフトウェアの準備状況チェック

準備状況チェックにより、Firepower Threat Defense ソフトウェアをアップグレードするための準備状況を評価できます。デバイスが準備状況チェックに失敗した場合は、問題を修正して、準備状況チェックを再度実行してください。準備状況チェックの結果、解決できない問題が見つかった場合は、アップグレードを開始しないようお勧めします。

準備状況チェックを行っているアプライアンスを手動で再起動またはシャットダウンしないでください。

準備状況チェックは、Firepower Device Manager バージョン 7.0.0 以降でサポートされています。

準備状況チェックの実行(FDM を使用したバージョン 7.0.0 以降)

アップグレードパッケージがインストールされる前に、準備状況チェックが実行されて、システムに有効なアップグレードであるか確認されます。また、他にもアップグレードの成功を妨げる可能性のある項目がないかチェックされます。準備状況チェックに失敗した場合は、インストールを再試行する前に問題を修正する必要があります。チェックに失敗した場合、次回インストールを試みると、チェック失敗についてのプロンプトが表示され、強制的にインストールを実行するオプションが与えられます。

次の手順の説明に従って、アップグレードを開始する前に手動で準備状況チェックを実行することもできます。

始める前に

チェックするアップグレードパッケージをアップロードします。

手順

ステップ 1

[デバイス(Device)] をクリックし、[更新サマリー(Updates summary)] の [設定の表示(View Configuration)] をクリックします。

[システムアップグレード(System Upgrade)] セクションには、現在実行中のソフトウェア バージョン、およびすでにアップロードされた更新が表示されます。

ステップ 2

[Readiness Check] セクションを確認します。

  • アップグレードチェックがまだ実行されていない場合は、[Run Upgrade Readiness Check] リンクをクリックします。チェックの進行状況がこの領域に表示されます。プロセスの完了には、20 秒程度かかります。

  • アップグレードチェックがすでに実行されている場合、このセクションにはチェックが成功か失敗かが示されます。チェックに失敗した場合は、[See Details] をクリックして、準備状況チェックの詳細を表示します。問題を修正した後、チェックを再度実行します。

ステップ 3

準備状況チェックに失敗した場合は、アップグレードパッケージをインストールする前に問題を解決する必要があります。詳細情報には、指摘された問題の修正方法に関するヘルプが含まれています。失敗したスクリプトについては、[Show Recovery Message] リンクをクリックすると情報が表示されます。

一般的な問題のいくつかを以下に示します。

  • FXOS バージョンに互換性がない:FXOS アップグレードを個別にインストールする Firepower 4100/9300 などのシステムでは、現行の FTD ソフトウェアバージョンとは異なる FXOS の最小バージョンが必要になる場合があります。この場合、FTD ソフトウェアをアップグレードする前に、まず FXOS をアップグレードする必要があります。

  • デバイスモデルがサポートされていない:アップグレードパッケージは、サポートされていないデバイスにはインストールできません。誤ったパッケージをアップロードしたか、デバイスが旧モデルのため、新しい FTD ソフトウェアバージョンではサポートされていない可能性があります。デバイスの互換性を確認し、サポートされているパッケージがあればアップロードしてください。

  • ディスク容量が不十分:十分な空き容量がない場合は、システムバックアップなどの不要なファイルを削除してください。作成したファイルのみを削除します。