Firepower 4100/9300 シャーシのアップグレード

Firepower 4100/9300 の場合、Threat Defense のメジャーアップグレードにはシャーシのアップグレード(FXOS とファームウェア)が必要です。メンテナンスリリースおよびパッチの場合は、ほとんど必要ありません。シャーシの FXOS 2.14.1 以降へのアップグレードにはファームウェアが含まれます。それ以外の場合は、Cisco Firepower 4100/9300 FXOS ファームウェア アップグレード ガイドを参照してください。

Chassis Manager を使用した 上の FXOS のアップグレード

Firepower Chassis Manager を使用したスタンドアロン FTD 論理デバイスまたは FTD シャーシ内クラスタ用の FXOS のアップグレード

このセクションでは、スタンドアロン Firepower 4100/9300 シャーシの FXOS プラットフォーム バンドルをアップグレードする方法を説明します。

このセクションでは、次のタイプのデバイスのアップグレード プロセスについて説明します。

  • FTD 論理デバイスで構成されており、フェールオーバーペアまたはシャーシ間クラスタの一部ではない Firepower 4100 シリーズ シャーシ。

  • フェールオーバーペアまたはシャーシ間クラスタの一部ではない 1 つまたは複数のスタンドアロン FTD 論理デバイスで構成されている Firepower 9300 シャーシ。

  • シャーシ内クラスタ内の FTD 論理デバイスで構成されている Firepower 9300 シャーシ。

始める前に

アップグレードを開始する前に、以下が完了していることを確認します。

  • アップグレード先の FXOS プラットフォーム バンドル ソフトウェア パッケージをダウンロードします。

  • FXOS と FTD の構成をバックアップします。

手順

ステップ 1

Firepower Chassis Manager で、[システム(System)] > [更新(Updates)] を選択します。

[使用可能な更新(Available Updates)] ページに、シャーシで使用可能な FXOS プラットフォームバンドルのイメージやアプリケーションのイメージのリストが表示されます。

ステップ 2

新しいプラットフォーム バンドル イメージをアップロードします。

  1. [イメージのアップロード(Upload Image)] をクリックして、[イメージのアップロード(Upload Image)] ダイアログ ボックスを開きます。

  2. [ファイルを選択(Choose File)] をクリックして対象のファイルに移動し、アップロードするイメージを選択します。

  3. [Upload] をクリックします。

    選択したイメージが Firepower 4100/9300 シャーシにアップロードされます。

  4. 特定のソフトウェア イメージについては、イメージをアップロードした後にエンドユーザ ライセンス契約書が表示されます。システムのプロンプトに従ってエンドユーザ契約書に同意します。

ステップ 3

新しいプラットフォーム バンドル イメージが正常にアップロードされたら、アップグレードする FXOS プラットフォーム バンドルの [アップグレード(Upgrade)] をクリックします。

システムは、まずインストールするソフトウェア パッケージを確認します。そして現在インストールされているアプリケーションと指定した FXOS プラットフォーム ソフトウェア パッケージの間の非互換性を通知します。また既存のセッションを終了することやアップグレードの一部としてシステムをリブートする必要があることが警告されます。

ステップ 4

インストールの続行を確定するには [はい(Yes)] を、インストールをキャンセルするには [いいえ(No)] をクリックします。

システムがバンドルを解凍し、コンポーネントをアップグレードまたはリロードします。

ステップ 5

Firepower Chassis Manager は、アップグレード中は使用できません。FXOS CLI を使用してアップグレード プロセスをモニターできます。

  1. scope system を入力します。

  2. show firmware monitor を入力します。

  3. すべてのコンポーネント(FPRM、ファブリック インターコネクト、およびシャーシ)で「Upgrade-Status: Ready」と表示されるのを待ちます。

    (注)  

     

    FPRM コンポーネントをアップグレードすると、システムが再起動し、その他のコンポーネントのアップグレードを続行します。

例:

FP9300-A# scope system
FP9300-A /system # show firmware monitor 
FPRM:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready
    Server 2:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready

ステップ 6

すべてのコンポーネントが正常にアップグレードされたら、次のコマンドを入力して、セキュリティ モジュール/セキュリティ エンジンおよびインストールされているアプリケーションの状態を確認します。

  1. top を入力します。

  2. scope ssa を入力します。

  3. show slot を入力します。

  4. Firepower 4100 シリーズ アプライアンスのセキュリティ エンジン、または Firepower 9300 applianceのインストールされている任意のセキュリティ モジュールについて、管理状態が「Ok」、操作の状態が「Online」であることを確認します。

  5. show app-instance を入力します。

  6. シャーシにインストールされているすべての論理デバイスについて、操作の状態が「Online」であることを確認します。

Firepower Chassis Manager を使用した FTD シャーシ間クラスタの FXOS のアップグレード

シャーシ間クラスタとして構成されている FTD 論理デバイスを備えた FirePOWER 9300 または FirePOWER 4100 シリーズのセキュリティアプライアンスがある場合、次の手順を使用して FirePOWER 9300 または FirePOWER 4100 シリーズのセキュリティアプライアンスの FXOS プラットフォームバンドルを更新します。

始める前に

アップグレードを開始する前に、以下が完了していることを確認します。

  • アップグレード先の FXOS プラットフォーム バンドル ソフトウェア パッケージをダウンロードします。

  • FXOS と FTD の構成をバックアップします。

手順

ステップ 1

次のコマンドを入力して、セキュリティ モジュール/セキュリティ エンジンおよびインストールされているアプリケーションの状態を確認します。

  1. シャーシ #2 の FXOS CLI に接続します(これは制御ユニットを持たないシャーシである必要があります)。

  2. top を入力します。

  3. scope ssa を入力します。

  4. show slot を入力します。

  5. Firepower 4100 シリーズ アプライアンスのセキュリティ エンジン、または Firepower 9300 applianceのインストールされている任意のセキュリティ モジュールについて、管理状態が「Ok」、操作の状態が「Online」であることを確認します。

  6. show app-instance を入力します。

  7. シャーシにインストールされているすべての論理デバイスについて、操作の状態が「Online」、クラスタの状態が「In Cluster」であることを確認します。また、稼働バージョンとして表示されている FTD ソフトウェアのバージョンが正しいことを確認します。

    重要

     

    制御ユニットがこのシャーシ上にないことを確認します。「Master」に設定されているクラスタのロールを持つ Firepower Threat Defense インスタンスがあってはいけません。

  8. Firepower 9300 appliance にインストールされているすべてのセキュリティ モジュール、または Firepower 4100 シリーズ アプライアンス上のセキュリティ エンジンについて、FXOS バージョンが正しいことを確認してください。

    scope server 1/slot_id で、Firepower 4100 シリーズ セキュリティ エンジンの場合、slot_id は 1 です。

    show version を使用して無効にすることができます。

ステップ 2

シャーシ #2 の Firepower Chassis Manager に接続します(これは制御ユニットを持たないシャーシである必要があります)。

ステップ 3

Firepower Chassis Manager で、[システム(System)] > [更新(Updates)] を選択します。

[使用可能な更新(Available Updates)] ページに、シャーシで使用可能な FXOS プラットフォームバンドルのイメージやアプリケーションのイメージのリストが表示されます。

ステップ 4

新しいプラットフォーム バンドル イメージをアップロードします。

  1. [イメージのアップロード(Upload Image)] をクリックして、[イメージのアップロード(Upload Image)] ダイアログ ボックスを開きます。

  2. [ファイルを選択(Choose File)] をクリックして対象のファイルに移動し、アップロードするイメージを選択します。

  3. [Upload] をクリックします。

    選択したイメージが Firepower 4100/9300 シャーシにアップロードされます。

  4. 特定のソフトウェア イメージについては、イメージをアップロードした後にエンドユーザ ライセンス契約書が表示されます。システムのプロンプトに従ってエンドユーザ契約書に同意します。

ステップ 5

新しいプラットフォーム バンドル イメージが正常にアップロードされたら、アップグレードする FXOS プラットフォーム バンドルの [アップグレード(Upgrade)] をクリックします。

システムは、まずインストールするソフトウェア パッケージを確認します。そして現在インストールされているアプリケーションと指定した FXOS プラットフォーム ソフトウェア パッケージの間の非互換性を通知します。また既存のセッションを終了することやアップグレードの一部としてシステムをリブートする必要があることが警告されます。

ステップ 6

インストールの続行を確定するには [はい(Yes)] を、インストールをキャンセルするには [いいえ(No)] をクリックします。

システムがバンドルを解凍し、コンポーネントをアップグレードまたはリロードします。

ステップ 7

Firepower Chassis Manager は、アップグレード中は使用できません。FXOS CLI を使用してアップグレード プロセスをモニターできます。

  1. scope system を入力します。

  2. show firmware monitor を入力します。

  3. すべてのコンポーネント(FPRM、ファブリック インターコネクト、およびシャーシ)で「Upgrade-Status: Ready」と表示されるのを待ちます。

    (注)  

     

    FPRM コンポーネントをアップグレードすると、システムが再起動し、その他のコンポーネントのアップグレードを続行します。

  4. top を入力します。

  5. scope ssa を入力します。

  6. show slot を入力します。

  7. Firepower 4100 シリーズ アプライアンスのセキュリティ エンジン、または Firepower 9300 applianceのインストールされている任意のセキュリティ モジュールについて、管理状態が「Ok」、操作の状態が「Online」であることを確認します。

  8. show app-instance を入力します。

  9. シャーシにインストールされているすべての論理デバイスについて、操作の状態が「Online」、クラスタの状態が「In Cluster」、クラスタのロールが「Slave」であることを確認します。

例:

FP9300-A# scope system
FP9300-A /system # show firmware monitor 
FPRM:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready
    Server 2:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready

FP9300-A /system #
FP9300-A /system # top
FP9300-A# scope ssa
FP9300-A /ssa # show slot

Slot:
    Slot ID    Log Level Admin State  Oper State
    ---------- --------- ------------ ----------
    1          Info      Ok           Online
    2          Info      Ok           Online
    3          Info      Ok           Not Available
FP9300-A /ssa #

FP9300-A /ssa # show app-instance
App Name   Slot ID    Admin State Oper State       Running Version Startup Version Profile Name Cluster State   Cluster Role
---------- ---------- ----------- ---------------- --------------- --------------- ------------ --------------- ------------
ftd        1          Enabled     Online           6.2.2.81        6.2.2.81                     In Cluster      Slave
ftd        2          Enabled     Online           6.2.2.81        6.2.2.81                     In Cluster      Slave
ftd        3          Disabled    Not Available                    6.2.2.81                     Not Applicable  None
FP9300-A /ssa #

ステップ 8

シャーシ #2 のセキュリティモジュールの 1 つを制御用として設定します。

シャーシ #2 のセキュリティモジュールの 1 つを制御用として設定すると、シャーシ #1 には制御ユニットが含まれなくなり、すぐにアップグレードすることができます。

ステップ 9

クラスタ内の他のすべてのシャーシに対して手順 1 ~ 7 を繰り返します。

ステップ 10

制御ロールをシャーシ #1 に戻すには、シャーシ #1 のセキュリティモジュールの 1 つを制御用として設定します。

Firepower Chassis Manager を使用した FTD ハイアベイラビリティペアの FXOS のアップグレード

ハイ アベイラビリティ ペアとして構成されている FTD 論理デバイスを備えた FirePOWER 9300 または FirePOWER 4100 シリーズのセキュリティアプライアンスがある場合、次の手順を使用して FirePOWER 9300 または FirePOWER 4100 シリーズのセキュリティアプライアンスの FXOS プラットフォームバンドルを更新します。

始める前に

アップグレードを開始する前に、以下が完了していることを確認します。

  • アップグレード先の FXOS プラットフォーム バンドル ソフトウェア パッケージをダウンロードします。

  • FXOS と FTD の構成をバックアップします。

手順

ステップ 1

スタンバイの Firepower Threat Defense 論理デバイスを含む Firepower セキュリティアプライアンス上の Firepower Chassis Manager に接続します。

ステップ 2

Firepower Chassis Manager で、[システム(System)] > [更新(Updates)] を選択します。

[使用可能な更新(Available Updates)] ページに、シャーシで使用可能な FXOS プラットフォームバンドルのイメージやアプリケーションのイメージのリストが表示されます。

ステップ 3

新しいプラットフォーム バンドル イメージをアップロードします。

  1. [イメージのアップロード(Upload Image)] をクリックして、[イメージのアップロード(Upload Image)] ダイアログ ボックスを開きます。

  2. [ファイルを選択(Choose File)] をクリックして対象のファイルに移動し、アップロードするイメージを選択します。

  3. [Upload] をクリックします。

    選択したイメージが Firepower 4100/9300 シャーシにアップロードされます。

  4. 特定のソフトウェア イメージについては、イメージをアップロードした後にエンドユーザ ライセンス契約書が表示されます。システムのプロンプトに従ってエンドユーザ契約書に同意します。

ステップ 4

新しいプラットフォーム バンドル イメージが正常にアップロードされたら、アップグレードする FXOS プラットフォーム バンドルの [アップグレード(Upgrade)] をクリックします。

システムは、まずインストールするソフトウェア パッケージを確認します。そして現在インストールされているアプリケーションと指定した FXOS プラットフォーム ソフトウェア パッケージの間の非互換性を通知します。また既存のセッションを終了することやアップグレードの一部としてシステムをリブートする必要があることが警告されます。

ステップ 5

インストールの続行を確定するには [はい(Yes)] を、インストールをキャンセルするには [いいえ(No)] をクリックします。

システムがバンドルを解凍し、コンポーネントをアップグレードまたはリロードします。

ステップ 6

Firepower Chassis Manager は、アップグレード中は使用できません。FXOS CLI を使用してアップグレード プロセスをモニターできます。

  1. scope system を入力します。

  2. show firmware monitor を入力します。

  3. すべてのコンポーネント(FPRM、ファブリック インターコネクト、およびシャーシ)で「Upgrade-Status: Ready」と表示されるのを待ちます。

    (注)  

     

    FPRM コンポーネントをアップグレードすると、システムが再起動し、その他のコンポーネントのアップグレードを続行します。

例:

FP9300-A# scope system
FP9300-A /system # show firmware monitor 
FPRM:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready
    Server 2:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready

ステップ 7

すべてのコンポーネントが正常にアップグレードされたら、次のコマンドを入力して、セキュリティ モジュール/セキュリティ エンジンおよびインストールされているアプリケーションの状態を確認します。

  1. top を入力します。

  2. scope ssa を入力します。

  3. show slot を入力します。

  4. Firepower 4100 シリーズ アプライアンスのセキュリティ エンジン、または Firepower 9300 applianceのインストールされている任意のセキュリティ モジュールについて、管理状態が「Ok」、操作の状態が「Online」であることを確認します。

  5. show app-instance を入力します。

  6. シャーシにインストールされているすべての論理デバイスについて、操作の状態が「Online」であることを確認します。

ステップ 8

アップグレードしたユニットをアクティブ ユニットにして、アップグレード済みのユニットにトラフィックが流れるようにします。

  1. Firepower Management Center に接続します。

  2. [デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。

  3. アクティブ ピアを変更するハイ アベイラビリティ ペアの横にあるアクティブ ピア切り替えアイコン()をクリックします。

  4. ハイ アベイラビリティ ペアでスタンバイ デバイスをアクティブ デバイスにすぐに切り替える場合は、[はい(Yes)] をクリックします。

ステップ 9

新しいスタンバイの Firepower Threat Defense 論理デバイスを含む Firepower セキュリティアプライアンス上の Firepower Chassis Manager に接続します。

ステップ 10

Firepower Chassis Manager で、[システム(System)] > [更新(Updates)] を選択します。

[使用可能な更新(Available Updates)] ページに、シャーシで使用可能な FXOS プラットフォームバンドルのイメージやアプリケーションのイメージのリストが表示されます。

ステップ 11

新しいプラットフォーム バンドル イメージをアップロードします。

  1. [イメージのアップロード(Upload Image)] をクリックして、[イメージのアップロード(Upload Image)] ダイアログ ボックスを開きます。

  2. [ファイルを選択(Choose File)] をクリックして対象のファイルに移動し、アップロードするイメージを選択します。

  3. [Upload] をクリックします。

    選択したイメージが Firepower 4100/9300 シャーシにアップロードされます。

  4. 特定のソフトウェア イメージについては、イメージをアップロードした後にエンドユーザ ライセンス契約書が表示されます。システムのプロンプトに従ってエンドユーザ契約書に同意します。

ステップ 12

新しいプラットフォーム バンドル イメージが正常にアップロードされたら、アップグレードする FXOS プラットフォーム バンドルの [アップグレード(Upgrade)] をクリックします。

システムは、まずインストールするソフトウェア パッケージを確認します。そして現在インストールされているアプリケーションと指定した FXOS プラットフォーム ソフトウェア パッケージの間の非互換性を通知します。また既存のセッションを終了することやアップグレードの一部としてシステムをリブートする必要があることが警告されます。

ステップ 13

インストールの続行を確定するには [はい(Yes)] を、インストールをキャンセルするには [いいえ(No)] をクリックします。

システムがバンドルを解凍し、コンポーネントをアップグレードまたはリロードします。アップグレード プロセスは、完了までに最大 30 分かかることがあります。

ステップ 14

Firepower Chassis Manager は、アップグレード中は使用できません。FXOS CLI を使用してアップグレード プロセスをモニターできます。

  1. scope system を入力します。

  2. show firmware monitor を入力します。

  3. すべてのコンポーネント(FPRM、ファブリック インターコネクト、およびシャーシ)で「Upgrade-Status: Ready」と表示されるのを待ちます。

    (注)  

     

    FPRM コンポーネントをアップグレードすると、システムが再起動し、その他のコンポーネントのアップグレードを続行します。

例:

FP9300-A# scope system
FP9300-A /system # show firmware monitor 
FPRM:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready
    Server 2:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready

ステップ 15

すべてのコンポーネントが正常にアップグレードされたら、次のコマンドを入力して、セキュリティ モジュール/セキュリティ エンジンおよびインストールされているアプリケーションの状態を確認します。

  1. top を入力します。

  2. scope ssa を入力します。

  3. show slot を入力します。

  4. Firepower 4100 シリーズ アプライアンスのセキュリティ エンジン、または Firepower 9300 applianceのインストールされている任意のセキュリティ モジュールについて、管理状態が「Ok」、操作の状態が「Online」であることを確認します。

  5. show app-instance を入力します。

  6. シャーシにインストールされているすべての論理デバイスについて、操作の状態が「Online」であることを確認します。

ステップ 16

アップグレードしたユニットを、アップグレード前のようにアクティブ ユニットにします。

  1. Firepower Management Center に接続します。

  2. [デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。

  3. アクティブ ピアを変更するハイ アベイラビリティ ペアの横にあるアクティブ ピア切り替えアイコン()をクリックします。

  4. ハイ アベイラビリティ ペアでスタンバイ デバイスをアクティブ デバイスにすぐに切り替える場合は、[はい(Yes)] をクリックします。

CLI を使用した 上の FXOS のアップグレード

FXOS CLI を使用したスタンドアロン FTD 論理デバイスまたは FTD シャーシ内クラスタ用の FXOS のアップグレード

このセクションでは、スタンドアロン Firepower 4100/9300 シャーシの FXOS プラットフォーム バンドルをアップグレードする方法を説明します。

このセクションでは、次のタイプのデバイスの FXOS のアップグレード プロセスについて説明します。

  • FTD 論理デバイスで構成されており、フェールオーバーペアまたはシャーシ間クラスタの一部ではない Firepower 4100 シリーズ シャーシ。

  • フェールオーバーペアまたはシャーシ間クラスタの一部ではない 1 つまたは複数のスタンドアロン FTD デバイスで構成されている Firepower 9300 シャーシ。

  • シャーシ内クラスタ内の FTD 論理デバイスで構成されている Firepower 9300 シャーシ。

始める前に

アップグレードを開始する前に、以下が完了していることを確認します。

  • アップグレード先の FXOS プラットフォーム バンドル ソフトウェア パッケージをダウンロードします。

  • FXOS と FTD の構成をバックアップします。

  • Firepower 4100/9300 シャーシにソフトウェア イメージをダウンロードするために必要な次の情報を収集します。

    • イメージのコピー元のサーバーの IP アドレスおよび認証クレデンシャル。

    • イメージ ファイルの完全修飾名。

手順

ステップ 1

FXOS CLI に接続します。

ステップ 2

新しいプラットフォーム バンドル イメージを Firepower 4100/9300 シャーシにダウンロードします。

  1. ファームウェア モードに入ります。

    Firepower-chassis-a # scope firmware

  2. FXOS プラットフォーム バンドル ソフトウェア イメージをダウンロードします。

    Firepower-chassis-a /firmware # download image URL

    次のいずれかの構文を使用してインポートされるファイルの URL を指定します。

    • ftp://username@hostname/ path/ image_name

    • scp://username@hostname/ path/ image_name

    • sftp://username@hostname/ path/ image_name

    • tftp://hostname: port-num/ path/ image_name

  3. ダウンロード プロセスをモニタする場合:

    Firepower-chassis-a /firmware # scope download-task image_name

    Firepower-chassis-a /firmware/download-task # show detail

例:

次の例では、SCP プロトコルを使用してイメージをコピーします。 

Firepower-chassis-a # scope firmware
Firepower-chassis-a /firmware # download image scp://user@192.168.1.1/images/fxos-k9.2.3.1.58.SPA
Firepower-chassis-a /firmware # scope download-task fxos-k9.2.3.1.58.SPA
Firepower-chassis-a /firmware/download-task # show detail
Download task:
    File Name: fxos-k9.2.3.1.58.SPA
    Protocol: scp
    Server: 192.168.1.1
    Userid:
    Path:
    Downloaded Image Size (KB): 853688
    State: Downloading
    Current Task: downloading image fxos-k9.2.3.1.58.SPA from 192.168.1.1(FSM-STAGE:sam:dme:FirmwareDownloaderDownload:Local)

ステップ 3

必要に応じて、ファームウェア モードに戻ります。

Firepower-chassis-a /firmware/download-task # up

ステップ 4

auto-install モードにします。

Firepower-chassis-a /firmware # scope auto-install

ステップ 5

FXOS プラットフォーム バンドルをインストールします。

Firepower-chassis-a /firmware/auto-install # install platform platform-vers version_number

version_number は、インストールする FXOS プラットフォーム バンドルのバージョン番号です(たとえば、2.3(1.58))。

ステップ 6

システムは、まずインストールするソフトウェア パッケージを確認します。そして現在インストールされているアプリケーションと指定した FXOS プラットフォーム ソフトウェア パッケージの間の非互換性を通知します。また既存のセッションを終了することやアップグレードの一部としてシステムをリブートする必要があることが警告されます。

yes を入力して、検証に進むことを確認します。

ステップ 7

インストールの続行を確定するには yes を、インストールをキャンセルするには no を入力します。

システムがバンドルを解凍し、コンポーネントをアップグレードまたはリロードします。

ステップ 8

アップグレード プロセスをモニタするには、次の手順を実行します。

  1. scope system を入力します。

  2. show firmware monitor を入力します。

  3. すべてのコンポーネント(FPRM、ファブリック インターコネクト、およびシャーシ)で「Upgrade-Status: Ready」と表示されるのを待ちます。

    (注)  

     

    FPRM コンポーネントをアップグレードすると、システムが再起動し、その他のコンポーネントのアップグレードを続行します。

例:

FP9300-A# scope system
FP9300-A /system # show firmware monitor 
FPRM:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready
    Server 2:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready

FP9300-A /system #

ステップ 9

すべてのコンポーネントが正常にアップグレードされたら、次のコマンドを入力して、セキュリティ モジュール/セキュリティ エンジンおよびインストールされているアプリケーションの状態を確認します。

  1. top を入力します。

  2. scope ssa を入力します。

  3. show slot を入力します。

  4. Firepower 4100 シリーズ アプライアンスのセキュリティ エンジン、または Firepower 9300 applianceのインストールされている任意のセキュリティ モジュールについて、管理状態が「Ok」、操作の状態が「Online」であることを確認します。

  5. show app-instance を入力します。

  6. シャーシにインストールされているすべての論理デバイスについて、操作の状態が「Online」であることを確認します。

FXOS CLI を使用した FTD シャーシ間クラスタの FXOS のアップグレード

シャーシ間クラスタとして構成されている FTD 論理デバイスを備えた FirePOWER 9300 または FirePOWER 4100 シリーズのセキュリティアプライアンスがある場合、次の手順を使用して FirePOWER 9300 または FirePOWER 4100 シリーズのセキュリティアプライアンスの FXOS プラットフォームバンドルを更新します。

始める前に

アップグレードを開始する前に、以下が完了していることを確認します。

  • アップグレード先の FXOS プラットフォーム バンドル ソフトウェア パッケージをダウンロードします。

  • FXOS と FTD の構成をバックアップします。

  • Firepower 4100/9300 シャーシにソフトウェア イメージをダウンロードするために必要な次の情報を収集します。

    • イメージのコピー元のサーバーの IP アドレスおよび認証クレデンシャル。

    • イメージ ファイルの完全修飾名。

手順

ステップ 1

シャーシ #2 の FXOS CLI に接続します(これは制御ユニットを持たないシャーシである必要があります)。

ステップ 2

次のコマンドを入力して、セキュリティ モジュール/セキュリティ エンジンおよびインストールされているアプリケーションの状態を確認します。

  1. top を入力します。

  2. scope ssa を入力します。

  3. show slot を入力します。

  4. Firepower 4100 シリーズ アプライアンスのセキュリティ エンジン、または Firepower 9300 applianceのインストールされている任意のセキュリティ モジュールについて、管理状態が「Ok」、操作の状態が「Online」であることを確認します。

  5. show app-instance を入力します。

  6. シャーシにインストールされているすべての論理デバイスについて、操作の状態が「Online」、クラスタの状態が「In Cluster」であることを確認します。また、稼働バージョンとして表示されている FTD ソフトウェアのバージョンが正しいことを確認します。

    重要

     

    制御ユニットがこのシャーシ上にないことを確認します。「Master」に設定されているクラスタのロールを持つ Firepower Threat Defense インスタンスがあってはいけません。

  7. Firepower 9300 appliance にインストールされているすべてのセキュリティ モジュール、または Firepower 4100 シリーズ アプライアンス上のセキュリティ エンジンについて、FXOS バージョンが正しいことを確認してください。

    scope server 1/slot_id で、Firepower 4100 シリーズ セキュリティ エンジンの場合、slot_id は 1 です。

    show version を使用して無効にすることができます。

ステップ 3

新しいプラットフォーム バンドル イメージを Firepower 4100/9300 シャーシにダウンロードします。

  1. top を入力します。

  2. ファームウェア モードに入ります。

    Firepower-chassis-a # scope firmware

  3. FXOS プラットフォーム バンドル ソフトウェア イメージをダウンロードします。

    Firepower-chassis-a /firmware # download image URL

    次のいずれかの構文を使用してインポートされるファイルの URL を指定します。

    • ftp://username@hostname/ path/ image_name

    • scp://username@hostname/ path/ image_name

    • sftp://username@hostname/ path/ image_name

    • tftp://hostname: port-num/ path/ image_name

  4. ダウンロード プロセスをモニタする場合:

    Firepower-chassis-a /firmware # scope download-task image_name

    Firepower-chassis-a /firmware/download-task # show detail

例:

次の例では、SCP プロトコルを使用してイメージをコピーします。 

Firepower-chassis-a # scope firmware
Firepower-chassis-a /firmware # download image scp://user@192.168.1.1/images/fxos-k9.2.3.1.58.SPA
Firepower-chassis-a /firmware # scope download-task fxos-k9.2.3.1.58.SPA
Firepower-chassis-a /firmware/download-task # show detail
Download task:
    File Name: fxos-k9.2.3.1.58.SPA
    Protocol: scp
    Server: 192.168.1.1
    Userid:
    Path:
    Downloaded Image Size (KB): 853688
    State: Downloading
    Current Task: downloading image fxos-k9.2.3.1.58.SPA from 192.168.1.1(FSM-STAGE:sam:dme:FirmwareDownloaderDownload:Local)

ステップ 4

必要に応じて、ファームウェア モードに戻ります。

Firepower-chassis-a /firmware/download-task # up

ステップ 5

auto-install モードにします。

Firepower-chassis /firmware # scope auto-install

ステップ 6

FXOS プラットフォーム バンドルをインストールします。

Firepower-chassis /firmware/auto-install # install platform platform-vers version_number

version_number は、インストールする FXOS プラットフォーム バンドルのバージョン番号です(たとえば、2.3(1.58))。

ステップ 7

システムは、まずインストールするソフトウェア パッケージを確認します。そして現在インストールされているアプリケーションと指定した FXOS プラットフォーム ソフトウェア パッケージの間の非互換性を通知します。また既存のセッションを終了することやアップグレードの一部としてシステムをリブートする必要があることが警告されます。

yes を入力して、検証に進むことを確認します。

ステップ 8

インストールの続行を確定するには yes を、インストールをキャンセルするには no を入力します。

システムがバンドルを解凍し、コンポーネントをアップグレードまたはリロードします。

ステップ 9

アップグレード プロセスをモニタするには、次の手順を実行します。

  1. scope system を入力します。

  2. show firmware monitor を入力します。

  3. すべてのコンポーネント(FPRM、ファブリック インターコネクト、およびシャーシ)で「Upgrade-Status: Ready」と表示されるのを待ちます。

    (注)  

     

    FPRM コンポーネントをアップグレードすると、システムが再起動し、その他のコンポーネントのアップグレードを続行します。

  4. top を入力します。

  5. scope ssa を入力します。

  6. show slot を入力します。

  7. Firepower 4100 シリーズ アプライアンスのセキュリティ エンジン、または Firepower 9300 applianceのインストールされている任意のセキュリティ モジュールについて、管理状態が「Ok」、操作の状態が「Online」であることを確認します。

  8. show app-instance を入力します。

  9. シャーシにインストールされているすべての論理デバイスについて、操作の状態が「Online」、クラスタの状態が「In Cluster」、クラスタのロールが「Slave」であることを確認します。

例:

FP9300-A# scope system
FP9300-A /system # show firmware monitor 
FPRM:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready
    Server 2:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready

FP9300-A /system #
FP9300-A /system # top
FP9300-A# scope ssa
FP9300-A /ssa # show slot

Slot:
    Slot ID    Log Level Admin State  Oper State
    ---------- --------- ------------ ----------
    1          Info      Ok           Online
    2          Info      Ok           Online
    3          Info      Ok           Not Available
FP9300-A /ssa #

FP9300-A /ssa # show app-instance
App Name   Slot ID    Admin State Oper State       Running Version Startup Version Profile Name Cluster State   Cluster Role
---------- ---------- ----------- ---------------- --------------- --------------- ------------ --------------- ------------
ftd        1          Enabled     Online           6.2.2.81        6.2.2.81                     In Cluster      Slave
ftd        2          Enabled     Online           6.2.2.81        6.2.2.81                     In Cluster      Slave
ftd        3          Disabled    Not Available                    6.2.2.81                     Not Applicable  None
FP9300-A /ssa #

ステップ 10

シャーシ #2 のセキュリティモジュールの 1 つを制御用として設定します。

シャーシ #2 のセキュリティモジュールの 1 つを制御用として設定すると、シャーシ #1 には制御ユニットが含まれなくなり、すぐにアップグレードすることができます。

ステップ 11

クラスタ内の他のすべてのシャーシに対して手順 1 ~ 9 を繰り返します。

ステップ 12

制御ロールをシャーシ #1 に戻すには、シャーシ #1 のセキュリティモジュールの 1 つを制御用として設定します。

FXOS CLI を使用した FTD ハイアベイラビリティペアの FXOS のアップグレード

ハイ アベイラビリティ ペアとして構成されている FTD 論理デバイスを備えた FirePOWER 9300 または FirePOWER 4100 シリーズのセキュリティアプライアンスがある場合、次の手順を使用して FirePOWER 9300 または FirePOWER 4100 シリーズのセキュリティアプライアンスの FXOS プラットフォームバンドルを更新します。

始める前に

アップグレードを開始する前に、以下が完了していることを確認します。

  • アップグレード先の FXOS プラットフォーム バンドル ソフトウェア パッケージをダウンロードします。

  • FXOS と FTD の構成をバックアップします。

  • Firepower 4100/9300 シャーシにソフトウェア イメージをダウンロードするために必要な次の情報を収集します。

    • イメージのコピー元のサーバーの IP アドレスおよび認証クレデンシャル。

    • イメージ ファイルの完全修飾名。

手順

ステップ 1

スタンバイの Firepower Threat Defense 論理デバイスを含む Firepower セキュリティ アプライアンス上の FXOS CLI に接続します。

ステップ 2

新しいプラットフォーム バンドル イメージを Firepower 4100/9300 シャーシにダウンロードします。

  1. ファームウェア モードに入ります。

    Firepower-chassis-a # scope firmware

  2. FXOS プラットフォーム バンドル ソフトウェア イメージをダウンロードします。

    Firepower-chassis-a /firmware # download image URL

    次のいずれかの構文を使用してインポートされるファイルの URL を指定します。

    • ftp://username@hostname/ path/ image_name

    • scp://username@hostname/ path/ image_name

    • sftp://username@hostname/ path/ image_name

    • tftp://hostname: port-num/ path/ image_name

  3. ダウンロード プロセスをモニタする場合:

    Firepower-chassis-a /firmware # scope download-task image_name

    Firepower-chassis-a /firmware/download-task # show detail

例:

次の例では、SCP プロトコルを使用してイメージをコピーします。 

Firepower-chassis-a # scope firmware
Firepower-chassis-a /firmware # download image scp://user@192.168.1.1/images/fxos-k9.2.3.1.58.SPA
Firepower-chassis-a /firmware # scope download-task fxos-k9.2.3.1.58.SPA
Firepower-chassis-a /firmware/download-task # show detail
Download task:
    File Name: fxos-k9.2.3.1.58.SPA
    Protocol: scp
    Server: 192.168.1.1
    Userid:
    Path:
    Downloaded Image Size (KB): 853688
    State: Downloading
    Current Task: downloading image fxos-k9.2.3.1.58.SPA from 192.168.1.1(FSM-STAGE:sam:dme:FirmwareDownloaderDownload:Local)

ステップ 3

必要に応じて、ファームウェア モードに戻ります。

Firepower-chassis-a /firmware/download-task # up

ステップ 4

auto-install モードにします。

Firepower-chassis-a /firmware # scope auto-install

ステップ 5

FXOS プラットフォーム バンドルをインストールします。

Firepower-chassis-a /firmware/auto-install # install platform platform-vers version_number

version_number は、インストールする FXOS プラットフォームバンドルのバージョン番号です(たとえば、2.3(1.58))。

ステップ 6

システムは、まずインストールするソフトウェア パッケージを確認します。そして現在インストールされているアプリケーションと指定した FXOS プラットフォーム ソフトウェア パッケージの間の非互換性を通知します。また既存のセッションを終了することやアップグレードの一部としてシステムをリブートする必要があることが警告されます。

yes を入力して、検証に進むことを確認します。

ステップ 7

インストールの続行を確定するには yes を、インストールをキャンセルするには no を入力します。

システムがバンドルを解凍し、コンポーネントをアップグレードまたはリロードします。

ステップ 8

アップグレード プロセスをモニタするには、次の手順を実行します。

  1. scope system を入力します。

  2. show firmware monitor を入力します。

  3. すべてのコンポーネント(FPRM、ファブリック インターコネクト、およびシャーシ)で「Upgrade-Status: Ready」と表示されるのを待ちます。

    (注)  

     

    FPRM コンポーネントをアップグレードすると、システムが再起動し、その他のコンポーネントのアップグレードを続行します。

例:

FP9300-A# scope system
FP9300-A /system # show firmware monitor 
FPRM:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready
    Server 2:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready

FP9300-A /system #

ステップ 9

すべてのコンポーネントが正常にアップグレードされたら、次のコマンドを入力して、セキュリティ モジュール/セキュリティ エンジンおよびインストールされているアプリケーションの状態を確認します。

  1. top を入力します。

  2. scope ssa を入力します。

  3. show slot を入力します。

  4. Firepower 4100 シリーズ アプライアンスのセキュリティ エンジン、または Firepower 9300 applianceのインストールされている任意のセキュリティ モジュールについて、管理状態が「Ok」、操作の状態が「Online」であることを確認します。

  5. show app-instance を入力します。

  6. シャーシにインストールされているすべての論理デバイスについて、操作の状態が「Online」であることを確認します。

ステップ 10

アップグレードしたユニットをアクティブ ユニットにして、アップグレード済みのユニットにトラフィックが流れるようにします。

  1. Firepower Management Center に接続します。

  2. [デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。

  3. アクティブ ピアを変更するハイ アベイラビリティ ペアの横にあるアクティブ ピア切り替えアイコン()をクリックします。

  4. ハイ アベイラビリティ ペアでスタンバイ デバイスをアクティブ デバイスにすぐに切り替える場合は、[はい(Yes)] をクリックします。

ステップ 11

新しいスタンバイの Firepower Threat Defense 論理デバイスを含む Firepower セキュリティ アプライアンス上の FXOS CLI に接続します。

ステップ 12

新しいプラットフォーム バンドル イメージを Firepower 4100/9300 シャーシにダウンロードします。

  1. ファームウェア モードに入ります。

    Firepower-chassis-a # scope firmware

  2. FXOS プラットフォーム バンドル ソフトウェア イメージをダウンロードします。

    Firepower-chassis-a /firmware # download image URL

    次のいずれかの構文を使用してインポートされるファイルの URL を指定します。

    • ftp://username@hostname/ path/ image_name

    • scp://username@hostname/ path/ image_name

    • sftp://username@hostname/ path/ image_name

    • tftp://hostname: port-num/ path/ image_name

  3. ダウンロード プロセスをモニタする場合:

    Firepower-chassis-a /firmware # scope download-task image_name

    Firepower-chassis-a /firmware/download-task # show detail

例:

次の例では、SCP プロトコルを使用してイメージをコピーします。 

Firepower-chassis-a # scope firmware
Firepower-chassis-a /firmware # download image scp://user@192.168.1.1/images/fxos-k9.2.3.1.58.SPA
Firepower-chassis-a /firmware # scope download-task fxos-k9.2.3.1.58.SPA
Firepower-chassis-a /firmware/download-task # show detail
Download task:
    File Name: fxos-k9.2.3.1.58.SPA
    Protocol: scp
    Server: 192.168.1.1
    Userid:
    Path:
    Downloaded Image Size (KB): 853688
    State: Downloading
    Current Task: downloading image fxos-k9.2.3.1.58.SPA from 192.168.1.1(FSM-STAGE:sam:dme:FirmwareDownloaderDownload:Local)

ステップ 13

必要に応じて、ファームウェア モードに戻ります。

Firepower-chassis-a /firmware/download-task # up

ステップ 14

auto-install モードにします。

Firepower-chassis-a /firmware # scope auto-install

ステップ 15

FXOS プラットフォーム バンドルをインストールします。

Firepower-chassis-a /firmware/auto-install # install platform platform-vers version_number

version_number は、インストールする FXOS プラットフォームバンドルのバージョン番号です(たとえば、2.3(1.58))。

ステップ 16

システムは、まずインストールするソフトウェア パッケージを確認します。そして現在インストールされているアプリケーションと指定した FXOS プラットフォーム ソフトウェア パッケージの間の非互換性を通知します。また既存のセッションを終了することやアップグレードの一部としてシステムをリブートする必要があることが警告されます。

yes を入力して、検証に進むことを確認します。

ステップ 17

インストールの続行を確定するには yes を、インストールをキャンセルするには no を入力します。

システムがバンドルを解凍し、コンポーネントをアップグレードまたはリロードします。

ステップ 18

アップグレード プロセスをモニタするには、次の手順を実行します。

  1. scope system を入力します。

  2. show firmware monitor を入力します。

  3. すべてのコンポーネント(FPRM、ファブリック インターコネクト、およびシャーシ)で「Upgrade-Status: Ready」と表示されるのを待ちます。

    (注)  

     

    FPRM コンポーネントをアップグレードすると、システムが再起動し、その他のコンポーネントのアップグレードを続行します。

例:

FP9300-A# scope system
FP9300-A /system # show firmware monitor 
FPRM:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready
    Server 2:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready

FP9300-A /system #

ステップ 19

すべてのコンポーネントが正常にアップグレードされたら、次のコマンドを入力して、セキュリティ モジュール/セキュリティ エンジンおよびインストールされているアプリケーションの状態を確認します。

  1. top を入力します。

  2. scope ssa を入力します。

  3. show slot を入力します。

  4. Firepower 4100 シリーズ アプライアンスのセキュリティ エンジン、または Firepower 9300 applianceのインストールされている任意のセキュリティ モジュールについて、管理状態が「Ok」、操作の状態が「Online」であることを確認します。

  5. show app-instance を入力します。

  6. シャーシにインストールされているすべての論理デバイスについて、操作の状態が「Online」であることを確認します。

ステップ 20

アップグレードしたユニットを、アップグレード前のようにアクティブ ユニットにします。

  1. Firepower Management Center に接続します。

  2. [デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。

  3. アクティブ ピアを変更するハイ アベイラビリティ ペアの横にあるアクティブ ピア切り替えアイコン()をクリックします。

  4. ハイ アベイラビリティ ペアでスタンバイ デバイスをアクティブ デバイスにすぐに切り替える場合は、[はい(Yes)] をクリックします。