Atualização do par HA do FTD em dispositivos Firepower
Contents
Introdução
Este documento descreve o processo de atualização do Firepower Threat Defense (FTD) no modo de alta disponibilidade (HA) nos dispositivos Firepower.
Pré-requisitos
Requisitos
A Cisco recomenda o conhecimento destes tópicos:
- Firepower Management Center (FMC)
- FTD
- Dispositivos Firepower (FXOS)
Componentes Utilizados
- 2 FPR4150
- 1 FS4000
- 1 PC
As versões de imagem de software antes da atualização:
- FMC 6.1.0-330
- FTD Principal 6.1.0-330
- FTD secundário 6.1.0-330
- FXOS Principal 2.0.1-37
- FXOS secundário 2.0.1-37
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurar
Diagrama de Rede
Plano de ação
Tarefa 1: Verificar os pré-requisitos
Tarefa 2: Carregar as imagens no FMC e no SSP
Tarefa 3: Atualizar o primeiro chassi FXOS (2.0.1-37 -> 2.0.1-86)
Tarefa 4: Trocar o failover de FTD
Tarefa 5: Atualizar o segundo chassi FXOS (2.0.1-37 -> 2.0.1-86)
Tarefa 6: Atualizar o FMC (6.1.0-330 -> 6.1.0.1)
Tarefa 7: Atualizar o par FTD HA (6.1.0-330 -> 6.1.0.1)
Tarefa 8: Implantar uma política do FMC para o par HA do FTD
Tarefa 1. Verificar os pré-requisitos
Consulte o Guia de compatibilidade FXOS para determinar a compatibilidade entre:
- Versão do software FTD alvo e versão do software FXOS
- Plataforma de hardware Firepower e versão do software FXOS
Compatibilidade com FXOS do Cisco Firepower 4100/9300
Verifique as Notas de Versão do FXOS da versão de destino para determinar o caminho de atualização do FXOS:
Notas de versão do Cisco Firepower 4100/9300 FXOS, 2.0(1)
Consulte as Notas de Versão da versão de destino do FTD para determinar o caminho de atualização do FTD:
Notas de versão do sistema Firepower, Versão 6.0.1.2
Tarefa 2. Carregar as imagens do software
Nos dois FCMs, carregue as imagens FXOS (fxos-k9.2.0.1.86.SPA).
No FMC, carregar os pacotes de atualização do FMC e do FTD:
- Para a atualização do FMC: Sourcefire_3D_Defense_Center_S3_Patch-6.1.0.1-53.sh
- Para a atualização do FTD: Cisco_FTD_SSP_Patch-6.1.0.1-53.sh
Tarefa 3. Atualizar o primeiro chassi FXOS
Antes da atualização:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Inicie a atualização do FXOS:
A atualização do FXOS requer uma reinicialização do chassi:
Você pode monitorar a atualização FXOS a partir da CLI FXOS. Todos os três componentes (FPRM, interconexão de estrutura e chassi) devem ser atualizados:
FPR4100-4-A# scope system
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Após aproximadamente cinco minutos, a atualização do componente FPRM é concluída:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Após aproximadamente 10 minutos, e como parte do processo de atualização do FXOS, o dispositivo Firepower reinicia:
Please stand by while rebooting the system...
... Restarting system.
Após a reinicialização, o processo de atualização recomeça:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Após um total de aproximadamente 30 minutos, a atualização do FXOS é concluída:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.86),2.0(1.37)
Upgrade-Status: Ready
Tarefa 4. Trocar os estados de failover de FTD
Antes de trocar os estados de failover, verifique se o módulo FTD no chassi está totalmente ATIVO:
FPR4100-4-A# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 15:08:47 UTC Dec 17 2016
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Primary - Active
Active time: 5163 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 65 0 68 4
sys cmd 65 0 65 0
...
Troque os estados de failover de FTD. Na CLI do FTD Ativo:
> no failover active
Switching to Standby
>
Tarefa 5. Atualizar o segundo chassi FXOS
Semelhante à Tarefa 2, atualize o dispositivo FXOS onde o novo FTD de espera está instalado. Isso pode levar aproximadamente 30 minutos ou mais para ser concluído.
Tarefa 6. Atualizar o software FMC
Atualize o FMC, neste cenário de 6.1.0-330 para 6.1.0.1.
Tarefa 7. Atualizar o par HA do FTD
Antes da atualização:
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 15:51:08 UTC Dec 17 2016
This host: Primary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Active
Active time: 1724 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 6 0 9 0
sys cmd 6 0 6 0
...
No menu Sistema > Atualizações do FMC, inicie o processo de atualização do FTD HA:
Primeiro, o FTD Principal/Standby é atualizado:
O módulo FTD em standby é reinicializado com a nova imagem:
Você pode verificar o status do FTD no modo BootCLI do FXOS:
FPR4100-3-A# connect module 1 console Firepower-module1> show services status Services currently running: Feature | Instance ID | State | Up Since ----------------------------------------------------------- ftd | 001_JAD201200R4WLYCWO6 | RUNNING | :00:00:33
A CLI do FTD secundário/ativo mostra uma mensagem de aviso devido a uma incompatibilidade de versão de software entre os módulos do FTD:
firepower# ************WARNING****WARNING****WARNING******************************** Mate version 9.6(2) is not identical with ours 9.6(2)4 ************WARNING****WARNING****WARNING******************************** Beginning configuration replication: Sending to mate. End Configuration Replication to mate
O FMC mostra que o dispositivo FTD foi atualizado com êxito:
A atualização do segundo módulo FTD inicia-se:
No final do processo, o FTD inicializa com a nova imagem:
Em segundo plano, o FMC usa o usuário interno enable_1, troca os estados de failover do FTD e remove temporariamente a configuração de failover do FTD:
firepower# show logging Dec 17 2016 16:40:14: %ASA-5-111008: User 'enable_1' executed the 'no failover active' command. Dec 17 2016 16:40:14: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'no failover active' Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'clear configure failover' command. Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'clear configure failover' Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'copy /noconfirm running-config disk0:/modified-config.cfg' command. Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'copy /noconfirm running-config
disk0:/modified-config.cfg' firepower# Switching to Standby firepower#
Nesse caso, a atualização do FTD inteiro (ambas as unidades) levou aproximadamente 30 minutos.
Verificação
Este exemplo mostra a verificação FTD CLI do dispositivo FTD principal:
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 16:40:14 UTC Dec 17 2016
This host: Primary - Active
Active time: 1159 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 68 0 67 0
...
>
Este exemplo mostra a verificação de FTD CLI do dispositivo FTD secundário/em standby:
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 16:52:43 UTC Dec 17 2016
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Primary - Active
Active time: 1169 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 38 0 41 0
...
>
Tarefa 8. Implantar uma política no par HA do FTD
Após a conclusão da atualização, você precisa implantar uma política no par HA. Isso é mostrado na interface do usuário do FMC:
Implante as políticas:
Verificação
O par HA FTD atualizado, conforme visto na interface do usuário do FMC:
O par HA FTD atualizado como visto na interface do usuário do FCM:
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
2.0 |
08-May-2023 |
Recertificação |
1.0 |
17-Dec-2016 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)