Upgradeffuis voor FTD HA op FirePOWER-applicaties

Downloadopties

  • PDF     (1.0 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (890.0 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:12 september 2019
Document-id:200896

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft het upgradeproces van Firepower Threat Defense (FTD) in High Availability (HA) modus op FirePOWER-apparaten.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • FireSIGHT Management Center (FMC)
    • FTD
    • Vuurstroomapparaten (FXOS)

    Gebruikte componenten

    • 2 x FPR4150
    • 1 x FS 4000
    • 1 x PC

    De software-afbeeldingsversies vóór de upgrade:

    • FMC 6.1.0-30 uur
    • FTD Primair 6.1.0-330
    • FTD Secundair 6.1.0-30
    • FXOS-primair, 2.0.1-37
    • FXOS tweede versie 2.0.1-37

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.

    Configureren

    Netwerkdiagram

    Actieplan

    Task 1: Controleer de vereisten

    Task 2: De afbeeldingen naar FMC en SSP uploaden

    Task 3: upgrade van het eerste FXOS-chassis (2.0.1-37 -> 2.0.1-86)

    Taken 4: Verwissel de FTD-failover

    Task 5: upgrade van het tweede FXOS-chassis (2.0.1-37 -> 2.0.1-86)

    Task 6: upgrade van het FMC (6.1.0-30 -> 6.1.0.1)

    Taken 7: upgrade van het FTD HA-paar (6.1.0-30 -> 6.1.0.1)

    Task 8: Een beleid van FMC naar het FTD HA-paar implementeren

    Task 1. Controleer de voorwaarden

    Raadpleeg de FXOS-compatibiliteitsgids om de compatibiliteit te bepalen tussen:

    • Target FTD-softwareversie en FXOS-softwareversie
    • Firepower HW platform en FXOS-softwareversie

    Cisco Firepower 4100/9300 FXOS-compatibiliteit

    Opmerking: Deze stap is niet van toepassing op FP21xx en eerdere platforms.

    Controleer de FXOS release Notes van de doelversie om het FXOS-upgradepad te bepalen:

    Cisco Firepower 4100/9300 FXOS release Notes, 2.0(1)

    Opmerking: Deze stap is niet van toepassing op FP21xx en eerdere platforms.

    Raadpleeg de FTD target release Notes om het FTD-upgradepad te bepalen:

    Firepower System release Notes, versie 6.0.1.2

    Task 2. De softwareafbeeldingen uploaden

    Op de twee FCM's kunt u de FXOS-afbeeldingen uploaden (fxos-k9.2.0.1.86.SPA).

    Op het FMC kunt u de FMC- en FTD-upgradepakketten uploaden:

    • Voor de FMC-upgrade: Sourcefire_3D_Defense_Center_S3_Patch-6.1.0.1-5.3.sh
    • Voor de FTD-upgrade: Cisco_FTD_SSP_Patch-6.1.0.1-5.sh

    Task 3. upgrade van het eerste FXOS-chassis

    Opmerking: Mocht u FXOS van 1.1.4.x naar 2.x upgraden, dan moet u eerst het FTD logische apparaat sluiten, de FXOS upgraden en het opnieuw inschakelen.

    Opmerking: Deze stap is niet van toepassing op FP21xx en eerdere platforms.

    Voor de upgrade:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Ready

    Start de FXOS-upgrade:

    Voor de FXOS-upgrade moet een chassis opnieuw worden opgestart:

    U kunt de FXOS-upgrade vanaf de FXOS CLI bewaken. Alle drie onderdelen (FPRM, fabric interconnect en chassis) moeten worden bijgewerkt:

    FPR4100-4-A# scope system
FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Ready

    Opmerking: Een paar minuten nadat u het FXOS-upgradeproces start, wordt u losgekoppeld van zowel de FXOS CLI als de GUI. U moet in staat zijn om na een paar minuten opnieuw in te loggen.

    Na ongeveer vijf minuten wordt de upgrade van de FPRM voltooid:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Upgrading

    Na ongeveer 10 minuten en als onderdeel van het FXOS-upgradeproces, start het FirePOWER-apparaat opnieuw:

    Please stand by while rebooting the system...
    ...    
Restarting system.

    Na het opnieuw opstarten van het upgradeproces wordt het volgende hervat:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Upgrading

    Nadat in totaal ongeveer 30 minuten een upgrade van FXOS is voltooid:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.86),2.0(1.37)
        Upgrade-Status: Ready

    Task 4. Verwissing van de staten die de FTD-failover uitvoeren

    Opmerking: Deze stap is niet van toepassing op FP21xx en eerdere platforms.

    Zorg er voordat u de failover-staten ruilt voor dat de FTD-module op het chassis volledig UP is:

    FPR4100-4-A# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI

> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 15:08:47 UTC Dec 17 2016
        This host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Primary - Active
                Active time: 5163 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         65         0          68         4
        sys cmd         65         0          65         0
      ...

    Verwissel de FTD failover staten. Van de actieve FTD CLI:

    > no failover active
        Switching to Standby

>

    Task 5. upgrade van het tweede FXOS-chassis

    Voer in dit geval een upgrade uit van het FXOS-apparaat wanneer de nieuwe Standby-FTD is geïnstalleerd. Dit kan ongeveer 30 minuten of langer duren om te voltooien.

    Opmerking: Deze stap is niet van toepassing op FP21xx en eerdere platforms.

    Task 6. upgrade van de FMC-software

    Upgradeer het FMC, in dit scenario van 6.1.0-330 tot 6.1.0.1.

    Task 7. upgrade van het FTD HA-platform

    Voor de upgrade:

    > show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 15:51:08 UTC Dec 17 2016
        This host: Primary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Secondary - Active
                Active time: 1724 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         6          0          9          0
        sys cmd         6          0          6          0
    ...

    Begin in het menu FMC System > Upload het FTD HA-upgradeproces:

    Eerst wordt een upgrade uitgevoerd op de primaire/standby-FTD:

    De Standby FTD module herstart met de nieuwe afbeelding:

    U kunt de FTD-status controleren in de FXOS BootCLI-modus:

    FPR4100-3-A# connect module 1 console
Firepower-module1> show services status
Services currently running:
Feature   | Instance ID    |     State  |          Up Since
-----------------------------------------------------------
ftd     | 001_JAD201200R4WLYCWO6 |   RUNNING  | :00:00:33

    De secundaire/actieve FTD CLI toont een waarschuwingsbericht wegens een fout in de softwareversie tussen de FTD-modules:

    firepower#
************WARNING****WARNING****WARNING********************************
Mate version 9.6(2) is not identical with ours 9.6(2)4
************WARNING****WARNING****WARNING********************************
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate

    Het FMC laat zien dat het FTD-apparaat met succes is bijgewerkt:

    De upgrade van de tweede FTD-module start:

    Aan het eind van het proces start de FTD met de nieuwe afbeelding:

    Op de achtergrond gebruikt het FMC de interne gebruiker Enable_1, ruilt de FTD failover-staten en verwijdert het FMC tijdelijk de configuratie van de failover uit de FTD:

    firepower# show logging
Dec 17 2016 16:40:14: %ASA-5-111008: User 'enable_1' executed the 'no failover active' command.
Dec 17 2016 16:40:14: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'no failover active'
Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'clear configure failover' command.
Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'clear configure failover'
Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'copy /noconfirm running-config disk0:/modified-config.cfg' command.
Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'copy /noconfirm running-config
     disk0:/modified-config.cfg'
        
firepower#
        Switching to Standby

firepower#

    In dit geval duurde de volledige FTD-upgrade (beide eenheden) ongeveer 30 minuten.

    Verificatie

    Dit voorbeeld toont de FTD CLI-verificatie van het primaire FTD-apparaat:

    > show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 16:40:14 UTC Dec 17 2016
        This host: Primary - Active
                Active time: 1159 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         68         0          67         0
...
>

    Dit voorbeeld toont de FTD CLI-verificatie van het Secundair/Standby FTD-apparaat:

    > show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 16:52:43 UTC Dec 17 2016
        This host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Primary - Active
                Active time: 1169 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         38         0          41         0
    ...
>

    Task 8. Een beleid implementeren in de FTD HA

    Nadat de upgrade is voltooid, moet u een beleid naar het HA-paar implementeren. Dit wordt getoond in de FMC UI:

    U implementeert het beleid:

    Verificatie

    Het opgewaardeerde FTD HA paar zoals gezien vanaf de FMC UI:

    Het opgewaardeerde FTD HA paar zoals het van de FCM UI ziet:

    Gerelateerde informatie

    TAC Authored

    Bijgedragen door Cisco-engineers

    • Mikis Zafeiroudis
      Cisco TAC-ingenieur
    • Dinkar Sharma
      Cisco TAC-ingenieur
    • Edited by Olha Yakovenko
      Cisco TAC-ingenieur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten