FirePOWER 7000/8000 シリーズと NGIPSv のアップグレード

アップグレード チェックリスト:FMC を搭載した Firepower 7000/8000 シリーズと NGIPSv

Firepower 7000/8000 シリーズおよび NGIPSv デバイスをアップグレードする前に、このチェックリストを完了します。


(注)  


プロセス中は常に、展開の通信と正常性を維持してください。進行中のデバイスのアップグレードは再開しないでください。事前のチェック中に、アップグレード プロセスが停止しているように見える場合がありますが、これは想定内の動作です。アップグレードに失敗する、アプライアンスが応答しないなど、アップグレードで問題が発生した場合にはCisco TACにお問い合わせください。


計画と実現可能性

誤りを避けるには、注意深い計画と準備が役立ちます。

表 1.

アクション/チェック

アップグレードパスを計画します。

これは、マルチアプライアンス展開、マルチホップアップグレード、または展開の互換性を常に維持しながらオペレーティングシステムまたはホスティング環境をアップグレードする必要がある状況では特に重要です。実行したアップグレードと次に実行するアップグレードを常に確認します。

(注)  

 

FMC 展開では、通常、FMC をアップグレードしてから、管理対象デバイスをアップグレードします。ただし、場合によっては、最初にデバイスをアップグレードする必要があります。

アップグレードパスを参照してください。

すべてのアップグレードのガイドラインを読み、設定の変更を計画します。

主要なアップグレードでは特に、アップグレードの前または後に、アップグレードにより重要な設定変更が発生することがあります。アップグレードの警告、動作の変更、新機能と廃止された機能、および既知の問題など、リリース固有の重要な情報を含むリリースノートから読み始めます。

アプライアンスへのアクセスを確認します。

デバイスは、(インターフェイス設定に応じて)アップグレード中、またはアップグレードが失敗した場合に、トラフィックを渡すことを停止できます。アップグレードする前に、ユーザーの位置からのトラフィックがデバイスの管理インターフェイスにアクセスするためにデバイス自体を通過する必要がないことを確認してください。FMC の展開では、デバイスを経由せずに FMC 管理インターフェイスにアクセスできる必要もあります。

帯域幅を確認します。

管理ネットワークに大量のデータ転送を実行するための帯域幅があることを確認します。FMC の展開では、アップグレードパケージをアップグレード時に管理対象デバイスに転送する場合は、帯域幅が不十分だとアップグレード時間が長くなったり、アップグレードがタイムアウトする原因となったりする可能性があります。デバイスのアップグレードを開始する前に、可能な場合は常に、アップグレードパッケージを管理対象デバイスにコピーします。

Guidelines for Downloading Data from the Firepower Management Center to Managed Devices』(トラブルシューティング テクニカルノーツ)を参照してください。

メンテナンス時間帯をスケジュールします。

影響が最小限になるメンテナンス時間帯をスケジュールします。トラフィックフローおよびインスペクションへの影響、およびアップグレードにかかる可能性がある時間を考慮してください。また、ウィンドウで実行する必要があるタスクと、事前に実行できるタスクを検討します。 たとえば、メンテナンス時間帯で、アプライアンスへのアップグレードパッケージのコピー、準備状況チェックの実行、バックアップの作成などが行われるまで待機しないようにします。

アップグレードパッケージ

アップグレードパッケージは シスコ サポートおよびダウンロード サイトで入手できます。

表 2.

アクション/チェック

アップグレードパッケージを FMC にアップロードします。

Firepower Management Center にアップロード を参照してください。

アップグレードパッケージをデバイスにコピーします。

FMC がバージョン 6.2.3 以降を実行している場合、デバイスのアップグレードを開始する前に、管理対象デバイスにパッケージをコピー(プッシュ)することをお勧めします。

管理対象デバイスへのコピーを参照してください。

バックアップ

災害から回復する能力は、システム保守計画の重要な部分を占めます。

バックアップと復元は、複雑なプロセスになる可能性があります。手順をスキップしたり、セキュリティやライセンスの問題を無視しないでください。バックアップと復元の要件、ガイドライン、制限事項、およびベストプラクティスの詳細については、使用する展開の設定ガイドを参照してください。


注意    


アップグレードの前後に、安全な遠隔地にバックアップし、正常に転送が行われることを確認することを強くお勧めします。


表 3.

アクション/チェック

7000/8000 シリーズ デバイスをバックアップします。

FMC を使用して 7000/8000 シリーズ デバイスをバックアップします。バックアップは、NGIPSv についてはサポートされていません。

アップグレードの前後にバックアップします(サポートされている場合)。

  • アップグレード前:アップグレードが致命的な失敗であった場合は、再イメージ化を実行し、復元する必要がある場合があります。再イメージ化によって、システムパスワードを含むほとんどの設定が工場出荷時の初期状態に戻ります。最近のバックアップがある場合は、通常の操作にすばやく戻ることができます。

  • アップグレード後:これにより、新しくアップグレードされた展開のスナップショットが作成されます。FMC の展開では、管理対象デバイスをアップグレードした後に FMC をバックアップして、新しい FMC バックアップファイルにデバイスがアップグレードされたことを「認識」させることをお勧めします。

関連するアップグレード

オペレーティングシステムとホスティング環境のアップグレードはトラフィックフローとインスペクションに影響を与える可能性があるため、メンテナンス時間帯で実行してください。

表 4.

アクション/チェック

仮想ホスティングをアップグレードします。

必要に応じて、任意の仮想アプライアンスのホスティング環境をアップグレードします。通常、古いバージョンの VMware を実行していて、デバイスのメジャーアップグレードを実行している場合、アップグレードが必要です。

最終チェック

一連の最終チェックにより、 をアップグレードする準備が整います。

表 5.

アクション/チェック

設定を確認します。

必要なアップグレード前の設定変更を行っていることを確認し、必要なアップグレード後の設定変更を行う準備をします。

NTP 同期を確認します。

時刻の提供に使用している NTP サーバーとすべてのアプライアンスが同期していることを確認します。同期されていないと、アップグレードが失敗する可能性があります。FMC 展開では、時刻のずれが 10 秒を超えている場合、ヘルスモニタからアラートが発行されますが、手動で確認する必要もあります。

時刻を確認するには、次の手順を実行します。

  • FMC:[システム(System)] > [設定(Configuration)] > [時刻(Time)] を選択します。

  • デバイス:show time CLI コマンドを使用します。

ディスク容量を確認します。

ソフトウェアアップグレードに関する ディスク容量チェックを実行します。空きディスク容量が十分でない場合、アップグレードは失敗します。

対象バージョンの Cisco Firepower リリース ノート 内の「ソフトウェアのアップグレード」の章を参照してください。

設定を展開します。

アップグレードする前に設定を展開すると、失敗する可能性が減少します。 一部の展開では、設定が古い場合、アップグレードがブロックされることがあります。 FMC における高可用性の展開では、アクティブなピアから展開するだけで済みます。

展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。 さらに、いくつかの設定を展開することで Snort が再起動されます。これにより、トラフィックのインスペクションが中断し、デバイスのトラフィックの処理方法によっては、再起動が完了するまでトラフィックが中断する場合があります。

対象バージョンの Cisco Firepower リリース ノート 内の「ソフトウェアのアップグレード」の章を参照してください。

準備状況チェックを実行します。

FMC がバージョン 6.1.0 以降を実行している場合は、互換性と準備状況のチェックの実施をお勧めします。これらのチェックにより、ソフトウェアをアップグレードするための準備状況を確認できます。

Firepower ソフトウェアの準備状況チェック を参照してください。

実行中のタスクを確認します。

アップグレードする前に、デバイスの重要なタスク(最終展開を含む)が完了していることを確認します。アップグレードの開始時に実行中のタスクは停止し、失敗したタスクとなり、再開できません。また、アップグレード中に実行するようにスケジュールされたタスクを確認し、それらをキャンセルまたは延期することをお勧めします。

FMC を搭載した FirePOWER 7000/8000 と NGIPSv のアップグレード

FirePOWER 7000/8000 シリーズおよび NGIPSv デバイスをアップグレードするには、この手順を使用します。複数のデバイスで同じアップグレード パッケージが使用されている場合、複数のデバイスを同時にアップグレードできます。デバイス スタックとハイ アベイラビリティ ペアのメンバーは、同時にアップグレードする必要があります。

始める前に

事前アップグレードのチェックリストを完了します。展開したアプライアンスが正常で、きちんと通信していることを確認します。

手順


ステップ 1

(任意)スイッチングとルーティングを実行する高可用性デバイスのペアのアクティブ/スタンバイの役割を切り替えます。

ハイ アベイラビリティ ペアがアクセス制御のみを実行するために展開されている場合、アクティブ デバイスが最初にアップグレードされます。アップグレードの完了時に、アクティブとスタンバイの以前の役割がデバイスで維持されます。

ただし、ルーテッド展開またはスイッチド展開の場合、スタンバイ デバイスが最初にアップグレードされます。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレードプロセスによって元の役割に切り替わります。

[Devices] > [Device Management] を選択し、ペアの横にある [Switch Active Peer] アイコンをクリックして、選択内容を確認します。

ステップ 2

[システム(System)] > [更新(Updates)] を選択します。

ステップ 3

使用するアップグレード パッケージの横にある [インストール(Install)] アイコンをクリックして、アップグレードするデバイスを選択します。

アップグレードするデバイスがリストに表示されない場合は、間違ったアップグレード パッケージを選択しています。

(注)  

 

[システムの更新(System Update)] ページから同時にアップグレードするデバイスは 5 台までにすることを強く推奨します。選択したすべてのデバイスがそのプロセスを完了するまで、アップグレードを停止することはできません。いずれかのデバイスのアップグレードに問題がある場合、問題を解決する前に、すべてのデバイスのアップグレードを完了する必要があります。

ステップ 4

[Install] をクリックし、アップグレードして、デバイスを再起動することを確認します。

トラフィックは、デバイスの設定および展開方法に応じて、アップグレードの間ドロップするか、検査なしでネットワークを通過します。 詳細については、対象バージョンの Cisco Firepower リリース ノート 内の「ソフトウェアのアップグレード」の章を参照してください。

ステップ 5

アップグレードの進捗状況 をモニタします。

注意    

 

アップグレード中のデバイスへの変更の展開、手動での再起動、シャットダウンは行わないでください。進行中のデバイスのアップグレードは再開しないでください。事前のチェック中に、アップグレード プロセスが停止しているように見える場合がありますが、これは想定内の動作です。アップグレードに失敗する、アプライアンスが応答しないなど、アップグレードで問題が発生した場合にはCisco TACにお問い合わせください。

ステップ 6

アップグレードが成功したことを確認します。

アップグレードが完了したら、[Devices] > [Device Management] を選択し、アップグレードしたデバイスのソフトウェアバージョンが正しいことを確認します。

ステップ 7

侵入ルール(SRU/LSP)および脆弱性データベース(VDB)を更新します。

シスコ サポートおよびダウンロード サイト で利用可能なコンポーネントが現在実行中のバージョンより新しい場合は、新しいバージョンをインストールします。侵入ルールを更新する場合、ポリシーを自動的に再適用する必要はありません。後で適用します。

ステップ 8

リリース ノートに記載されているアップグレード後の構成の変更をすべて完了します。

ステップ 9

アップグレードしたデバイスに構成を再度展開します。