firepower 어플라이언스에서 FTD HA 쌍 업그레이드

다운로드 옵션

  • PDF     (1.1 MB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (894.0 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (833.7 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2023년 5월 8일
문서 ID:200896

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 Firepower Firepower 어플라이언스에서 HA(High Availability) 모드의 FTD(Availability Threat Defense) 업그레이드 프로세스에 대해 설명합니다.

    사전 요구 사항

    요구 사항

    Cisco에서는 다음 항목에 대한 지식을 권장합니다.

    • FMC(Firepower Management Center)
    • FTD
    • Firepower 어플라이언스(FXOS)

    사용되는 구성 요소

    • FPR4150 2개
    • FS4000 1개
    • PC 1대

    업그레이드 전의 소프트웨어 이미지 버전:

    • FMC 6.1.0-330
    • FTD 기본 6.1.0-330
    • FTD 보조 6.1.0-330
    • FXOS 기본 2.0.1-37
    • FXOS 보조 2.0.1-37

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    구성

    네트워크 다이어그램

    Network topology

    실행 계획

    작업 1: 사전 요구 사항 확인

    작업 2: FMC 및 SSP에 이미지 업로드

    작업 3: 첫 번째 FXOS 섀시 업그레이드(2.0.1-37 -> 2.0.1-86)

    작업 4: FTD 장애 조치 스왑

    작업 5: 두 번째 FXOS 섀시 업그레이드(2.0.1-37 -> 2.0.1-86)

    작업 6: FMC 업그레이드(6.1.0-330 -> 6.1.0.1)

    작업 7: FTD HA 쌍 업그레이드(6.1.0-330 -> 6.1.0.1)

    작업 8: FMC에서 FTD HA 쌍으로 정책 구축

    작업 1. 사전 요구 사항 확인

    다음 항목 간의 호환성을 확인하려면 FXOS 호환성 가이드를 참조하십시오.

    • 대상 FTD 소프트웨어 버전 및 FXOS 소프트웨어 버전
    • Firepower HW 플랫폼 및 FXOS 소프트웨어 버전

    Cisco Firepower 4100/9300 FXOS 호환성

    참고: 이 단계는 FP21xx 및 이전 플랫폼에는 적용되지 않습니다.

    FXOS 업그레이드 경로를 결정하려면 대상 버전의 FXOS Release Notes를 확인합니다.

    Cisco Firepower 4100/9300 FXOS 릴리스 노트, 2.0(1)

    참고: 이 단계는 FP21xx 및 이전 플랫폼에는 적용되지 않습니다.

    FTD 업그레이드 경로를 결정하려면 FTD 대상 버전 릴리스 정보를 참조하십시오.

    Firepower 시스템 릴리스 정보, 버전 6.0.1.2

    작업 2. 소프트웨어 이미지 업로드

    두 FCM에서 FXOS 이미지(fxos-k9.2.0.1.86.SPA)를 업로드합니다.

    FMC에서 FMC 및 FTD 업그레이드 패키지를 업로드합니다.

    • FMC 업그레이드: Sourcefire_3D_Defense_Center_S3_Patch-6.1.0.1-53.sh
    • FTD 업그레이드: Cisco_FTD_SSP_Patch-6.1.0.1-53.sh

    작업 3. 첫 번째 FXOS 섀시 업그레이드

    참고: FXOS를 1.1.4.x에서 2.x로 업그레이드할 경우 먼저 FTD 논리적 어플라이언스를 종료하고 FXOS를 업그레이드한 다음 다시 활성화합니다.

    참고: 이 단계는 FP21xx 및 이전 플랫폼에는 적용되지 않습니다.

    업그레이드 전:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Ready

    FXOS 업그레이드를 시작합니다.

    Available Updates

    FXOS 업그레이드에는 섀시를 재부팅해야 합니다.

    Update Bundle Image

    FXOS CLI에서 FXOS 업그레이드를 모니터링할 수 있습니다. 세 가지 구성 요소(FPRM, Fabric Interconnect, 섀시)를 모두 업그레이드해야 합니다.

    FPR4100-4-A# scope system
FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Ready

    참고: FXOS 업그레이드 프로세스를 시작한 후 몇 분 후에 FXOS CLI 및 GUI의 연결이 모두 끊어집니다. 몇 분 후에 다시 로그인할 수 있어야 합니다.

    약 5분 후 FPRM 구성 요소 업그레이드가 완료됩니다.

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Upgrading

    약 10분 후 FXOS 업그레이드 프로세스의 일환으로 Firepower 디바이스가 다시 시작됩니다.

    Please stand by while rebooting the system...
    ...    
Restarting system.

    재시작 후 업그레이드 프로세스가 다시 시작됩니다.

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Upgrading

    약 30분 후에 FXOS 업그레이드가 완료됩니다.

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.86),2.0(1.37)
        Upgrade-Status: Ready

    작업 4. FTD 장애 조치 상태 스왑

    참고: 이 단계는 FP21xx 및 이전 플랫폼에는 적용되지 않습니다.

    장애 조치 상태를 스왑하기 전에 섀시의 FTD 모듈이 완전히 UP되었는지 확인합니다.

    FPR4100-4-A# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI

> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 15:08:47 UTC Dec 17 2016
        This host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Primary - Active
                Active time: 5163 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         65         0          68         4
        sys cmd         65         0          65         0
      ...

    FTD 장애 조치 상태를 바꿉니다. 활성 FTD CLI에서 다음을 수행합니다.

    > no failover active
        Switching to Standby

>

    작업 5. 두 번째 FXOS 섀시 업그레이드

    작업 2와 마찬가지로 새 대기 FTD가 설치된 FXOS 어플라이언스를 업그레이드합니다. 완료하는 데 약 30분 이상 걸릴 수 있습니다.

    참고: 이 단계는 FP21xx 및 이전 플랫폼에는 적용되지 않습니다.

    작업 6. FMC 소프트웨어 업그레이드

    이 시나리오에서 FMC를 6.1.0-330에서 6.1.0.1로 업그레이드합니다.

    작업 7. FTD HA 쌍 업그레이드

    업그레이드 전:

    > show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 15:51:08 UTC Dec 17 2016
        This host: Primary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Secondary - Active
                Active time: 1724 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         6          0          9          0
        sys cmd         6          0          6          0
    ...

    FMC System(FMC 시스템) > Updates(업데이트) 메뉴에서 FTD HA 업그레이드 프로세스를 시작합니다.

    Updates

    Updates

    먼저 Primary/Standby FTD가 업그레이드됩니다.

    System

    대기 FTD 모듈이 새 이미지로 재부팅됩니다.

    Remote Install

    FXOS BootCLI 모드에서 FTD 상태를 확인할 수 있습니다.

    FPR4100-3-A# connect module 1 console
Firepower-module1> show services status
Services currently running:
Feature   | Instance ID    |     State  |          Up Since
-----------------------------------------------------------
ftd     | 001_JAD201200R4WLYCWO6 |   RUNNING  | :00:00:33

    Secondary/Active FTD CLI는 FTD 모듈 간의 소프트웨어 버전 불일치로 인해 경고 메시지를 표시합니다.

    firepower#
************WARNING****WARNING****WARNING********************************
Mate version 9.6(2) is not identical with ours 9.6(2)4
************WARNING****WARNING****WARNING********************************
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate

    FMC는 FTD 디바이스가 성공적으로 업그레이드되었음을 보여줍니다.

    Remote Install

    두 번째 FTD 모듈의 업그레이드가 시작됩니다.

    Remote Install

    프로세스가 끝나면 FTD가 새 이미지로 부팅됩니다.

    Remote Install

    백그라운드에서 FMC는 내부 사용자 enable_1을 사용하고 FTD 장애 조치 상태를 스왑하며 FTD에서 장애 조치 컨피그레이션을 일시적으로 제거합니다.

    firepower# show logging
Dec 17 2016 16:40:14: %ASA-5-111008: User 'enable_1' executed the 'no failover active' command.
Dec 17 2016 16:40:14: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'no failover active'
Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'clear configure failover' command.
Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'clear configure failover'
Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'copy /noconfirm running-config disk0:/modified-config.cfg' command.
Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'copy /noconfirm running-config
     disk0:/modified-config.cfg'
        
firepower#
        Switching to Standby

firepower#

    이 경우 전체 FTD 업그레이드(두 유닛 모두)에 약 30분이 소요되었습니다.

    확인

    다음 예에서는 기본 FTD 디바이스에서 FTD CLI 확인을 보여 줍니다.

    > show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 16:40:14 UTC Dec 17 2016
        This host: Primary - Active
                Active time: 1159 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         68         0          67         0
...
>

    다음 예에서는 보조/대기 FTD 디바이스에서 FTD CLI 확인을 보여 줍니다.

    > show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 16:52:43 UTC Dec 17 2016
        This host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Primary - Active
                Active time: 1169 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         38         0          41         0
    ...
>

    작업 8. FTD HA 쌍에 정책 구축

    업그레이드가 완료되면 HA 쌍에 정책을 구축해야 합니다. 이는 FMC UI에 표시됩니다.

    Apply Update

    정책을 구축합니다.

    Deploy Policies

    확인

    FMC UI에서 볼 수 있는 업그레이드된 FTD HA 쌍:

    Device Management

    FCM UI에서 볼 수 있는 업그레이드된 FTD HA 쌍:

    Logical Devices

    관련 정보

    개정 이력

    개정 게시 날짜 의견
    2.0
    08-May-2023
    재인증
    1.0
    17-Dec-2016
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • 미키스 자페이루디스
      Cisco TAC 엔지니어
    • 딘카르 샤르마
      Cisco TAC 엔지니어
    • 편집자 Olha Yakovenko
      Cisco TAC 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품