Upgradeffuis voor FTD HA op FirePOWER-applicaties
Inhoud
Inleiding
Dit document beschrijft het upgradeproces van Firepower Threat Defense (FTD) in High Availability (HA) modus op FirePOWER-apparaten.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- FireSIGHT Management Center (FMC)
- FTD
- Vuurstroomapparaten (FXOS)
Gebruikte componenten
- 2 x FPR4150
- 1 x FS 4000
- 1 x PC
De software-afbeeldingsversies vóór de upgrade:
- FMC 6.1.0-30 uur
- FTD Primair 6.1.0-330
- FTD Secundair 6.1.0-30
- FXOS-primair, 2.0.1-37
- FXOS tweede versie 2.0.1-37
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Configureren
Netwerkdiagram
Actieplan
Task 1: Controleer de vereisten
Task 2: De afbeeldingen naar FMC en SSP uploaden
Task 3: upgrade van het eerste FXOS-chassis (2.0.1-37 -> 2.0.1-86)
Taken 4: Verwissel de FTD-failover
Task 5: upgrade van het tweede FXOS-chassis (2.0.1-37 -> 2.0.1-86)
Task 6: upgrade van het FMC (6.1.0-30 -> 6.1.0.1)
Taken 7: upgrade van het FTD HA-paar (6.1.0-30 -> 6.1.0.1)
Task 8: Een beleid van FMC naar het FTD HA-paar implementeren
Task 1. Controleer de voorwaarden
Raadpleeg de FXOS-compatibiliteitsgids om de compatibiliteit te bepalen tussen:
- Target FTD-softwareversie en FXOS-softwareversie
- Firepower HW platform en FXOS-softwareversie
Cisco Firepower 4100/9300 FXOS-compatibiliteit
Controleer de FXOS release Notes van de doelversie om het FXOS-upgradepad te bepalen:
Cisco Firepower 4100/9300 FXOS release Notes, 2.0(1)
Raadpleeg de FTD target release Notes om het FTD-upgradepad te bepalen:
Firepower System release Notes, versie 6.0.1.2
Task 2. De softwareafbeeldingen uploaden
Op de twee FCM's kunt u de FXOS-afbeeldingen uploaden (fxos-k9.2.0.1.86.SPA).
Op het FMC kunt u de FMC- en FTD-upgradepakketten uploaden:
- Voor de FMC-upgrade: Sourcefire_3D_Defense_Center_S3_Patch-6.1.0.1-5.3.sh
- Voor de FTD-upgrade: Cisco_FTD_SSP_Patch-6.1.0.1-5.sh
Task 3. upgrade van het eerste FXOS-chassis
Voor de upgrade:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Start de FXOS-upgrade:
Voor de FXOS-upgrade moet een chassis opnieuw worden opgestart:
U kunt de FXOS-upgrade vanaf de FXOS CLI bewaken. Alle drie onderdelen (FPRM, fabric interconnect en chassis) moeten worden bijgewerkt:
FPR4100-4-A# scope system
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Na ongeveer vijf minuten wordt de upgrade van de FPRM voltooid:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Na ongeveer 10 minuten en als onderdeel van het FXOS-upgradeproces, start het FirePOWER-apparaat opnieuw:
Please stand by while rebooting the system...
... Restarting system.
Na het opnieuw opstarten van het upgradeproces wordt het volgende hervat:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Nadat in totaal ongeveer 30 minuten een upgrade van FXOS is voltooid:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.86),2.0(1.37)
Upgrade-Status: Ready
Task 4. Verwissing van de staten die de FTD-failover uitvoeren
Zorg er voordat u de failover-staten ruilt voor dat de FTD-module op het chassis volledig UP is:
FPR4100-4-A# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 15:08:47 UTC Dec 17 2016
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Primary - Active
Active time: 5163 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 65 0 68 4
sys cmd 65 0 65 0
...
Verwissel de FTD failover staten. Van de actieve FTD CLI:
> no failover active
Switching to Standby
>
Task 5. upgrade van het tweede FXOS-chassis
Voer in dit geval een upgrade uit van het FXOS-apparaat wanneer de nieuwe Standby-FTD is geïnstalleerd. Dit kan ongeveer 30 minuten of langer duren om te voltooien.
Task 6. upgrade van de FMC-software
Upgradeer het FMC, in dit scenario van 6.1.0-330 tot 6.1.0.1.
Task 7. upgrade van het FTD HA-platform
Voor de upgrade:
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 15:51:08 UTC Dec 17 2016
This host: Primary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Active
Active time: 1724 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 6 0 9 0
sys cmd 6 0 6 0
...
Begin in het menu FMC System > Upload het FTD HA-upgradeproces:
Eerst wordt een upgrade uitgevoerd op de primaire/standby-FTD:
De Standby FTD module herstart met de nieuwe afbeelding:
U kunt de FTD-status controleren in de FXOS BootCLI-modus:
FPR4100-3-A# connect module 1 console Firepower-module1> show services status Services currently running: Feature | Instance ID | State | Up Since ----------------------------------------------------------- ftd | 001_JAD201200R4WLYCWO6 | RUNNING | :00:00:33
De secundaire/actieve FTD CLI toont een waarschuwingsbericht wegens een fout in de softwareversie tussen de FTD-modules:
firepower# ************WARNING****WARNING****WARNING******************************** Mate version 9.6(2) is not identical with ours 9.6(2)4 ************WARNING****WARNING****WARNING******************************** Beginning configuration replication: Sending to mate. End Configuration Replication to mate
Het FMC laat zien dat het FTD-apparaat met succes is bijgewerkt:
De upgrade van de tweede FTD-module start:
Aan het eind van het proces start de FTD met de nieuwe afbeelding:
Op de achtergrond gebruikt het FMC de interne gebruiker Enable_1, ruilt de FTD failover-staten en verwijdert het FMC tijdelijk de configuratie van de failover uit de FTD:
firepower# show logging Dec 17 2016 16:40:14: %ASA-5-111008: User 'enable_1' executed the 'no failover active' command. Dec 17 2016 16:40:14: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'no failover active' Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'clear configure failover' command. Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'clear configure failover' Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'copy /noconfirm running-config disk0:/modified-config.cfg' command. Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'copy /noconfirm running-config
disk0:/modified-config.cfg' firepower# Switching to Standby firepower#
In dit geval duurde de volledige FTD-upgrade (beide eenheden) ongeveer 30 minuten.
Verificatie
Dit voorbeeld toont de FTD CLI-verificatie van het primaire FTD-apparaat:
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 16:40:14 UTC Dec 17 2016
This host: Primary - Active
Active time: 1159 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 68 0 67 0
...
>
Dit voorbeeld toont de FTD CLI-verificatie van het Secundair/Standby FTD-apparaat:
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 16:52:43 UTC Dec 17 2016
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Primary - Active
Active time: 1169 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 38 0 41 0
...
>
Task 8. Een beleid implementeren in de FTD HA
Nadat de upgrade is voltooid, moet u een beleid naar het HA-paar implementeren. Dit wordt getoond in de FMC UI:
U implementeert het beleid:
Verificatie
Het opgewaardeerde FTD HA paar zoals gezien vanaf de FMC UI:
Het opgewaardeerde FTD HA paar zoals het van de FCM UI ziet:
Feedback