Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Pares da elevação FTD HA em dispositivos de FirePOWER

Opções de download

  • PDF     (1.0 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (890.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:12 de Setembro de 2019
ID do documento:200896
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve o processo de upgrade da defesa da ameaça de FirePOWER (FTD) na Alta disponibilidade (HA) do modo em dispositivos de FirePOWER.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Centro de gerenciamento de FirePOWER (FMC)
    • FTD
    • Dispositivos de FirePOWER (FXO)

    Componentes Utilizados

    • 2 x FPR4150
    • 1 x FS4000
    • 1 x PC

    As versões de imagem de software antes da elevação:

    • FMC 6.1.0-330
    • FTD 6.1.0-330 preliminares
    • FTD 6.1.0-330 secundários
    • FXO 2.0.1-37 preliminares
    • FXO 2.0.1-37 secundários

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Diagrama de Rede

    Plano de ação

    Tarefa 1: Verifique as condições prévias

    Tarefa 2: Transfira arquivos pela rede as imagens a FMC e a SSP

    Tarefa 3: Promova o primeiro chassi FXO (2.0.1-37 - > 2.0.1-86)

    Tarefa 4: Troque o Failover FTD

    Tarefa 5: Promova o segundo chassi FXO (2.0.1-37 - > 2.0.1-86)

    Tarefa 6: Promova o FMC (6.1.0-330 - > 6.1.0.1)

    Tarefa 7: Promova os pares FTD HA (6.1.0-330 - > 6.1.0.1)

    Tarefa 8: Distribua uma política de FMC aos pares FTD HA

    A tarefa 1. verifica as condições prévias

    Consulte o guia da compatibilidade FXO a fim determinar no meio a compatibilidade:

    • Vise a versão de software FTD e a versão de software FXO
    • Plataforma do HW de FirePOWER e versão de software FXO

    Cisco FirePOWER 4100/9300 de compatibilidade FXO

    Nota: Esta etapa não é aplicável a FP21xx e a umas Plataformas mais adiantadas.

    Verifique os Release Note FXO da versão de destino a fim determinar o caminho de upgrade FXO:

    Cisco FirePOWER 4100/9300 de Release Note FXO, 2.0(1)

    Nota: Esta etapa não é aplicável a FP21xx e a umas Plataformas mais adiantadas.

    Consulte os Release Note da versão de destino FTD a fim determinar o caminho de upgrade FTD:

    Notas da versão de sistema de FirePOWER, versão 6.0.1.2

    Transferência de arquivo pela rede da tarefa 2. as imagens do software

    Nos dois FCMs, transfira arquivos pela rede as imagens FXO (fxos-k9.2.0.1.86.SPA).

    No FMC, transfira arquivos pela rede pacotes da elevação FMC e FTD:

    • Para a elevação FMC: Sourcefire_3D_Defense_Center_S3_Patch-6.1.0.1-53.sh
    • Para a elevação FTD: Cisco_FTD_SSP_Patch-6.1.0.1-53.sh

    Elevação da tarefa 3. o primeiro chassi FXO

    Nota: Caso que você promove FXO de 1.1.4.x a 2.x, você precisa de fechar primeiramente o dispositivo lógico FTD, promove os FXO, e re-permite-os então.

    Nota: Esta etapa não é aplicável a FP21xx e a umas Plataformas mais adiantadas.

    Antes da elevação:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Ready

    Comece a elevação FXO:

    A elevação FXO exige uma repartição do chassi:

    Você pode monitorar a elevação FXO dos FXO CLI. Todos os três componentes (FPRM, interconexão da tela, e chassi) têm que ser promovidos:

    FPR4100-4-A# scope system
FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Ready

    Nota: Alguns minutos depois que você começa o processo de upgrade FXO você obtêm desligado dos FXO CLI e do GUI. Você deve poder entrar outra vez após alguns minutos.

    Após aproximadamente cinco minuto a elevação componente FPRM termina:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Upgrading

    Após os minutos aproximadamente 10, e como parte do processo de upgrade FXO, os reinícios do dispositivo de FirePOWER:

    Please stand by while rebooting the system...
    ...    
Restarting system.

    Após o reinício os resumos do processo de upgrade:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.37)
    Upgrade-Status: Upgrading

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.37)
        Upgrade-Status: Upgrading

    Após um total de aproximadamente 30 minuto a elevação FXO termina:

    FPR4100-4-A /system # show firmware monitor
FPRM:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.0(1.86)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.0(1.86),2.0(1.37)
        Upgrade-Status: Ready

    Troca da tarefa 4. os estados do Failover FTD

    Nota: Esta etapa não é aplicável a FP21xx e a umas Plataformas mais adiantadas.

    Antes que você troque os estados do Failover, assegure-se de que o módulo FTD no chassi esteja inteiramente ACIMA:

    FPR4100-4-A# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI

> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 15:08:47 UTC Dec 17 2016
        This host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Primary - Active
                Active time: 5163 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         65         0          68         4
        sys cmd         65         0          65         0
      ...

    Troque os estados do Failover FTD. Do FTD ativo CLI:

    > no failover active
        Switching to Standby

>

    Elevação da tarefa 5. o segundo chassi FXO

    Similar para encarregar 2, promova o dispositivo FXO onde o apoio novo FTD é instalado. Isto pode tomar aproximadamente 30 minutos ou mais para terminar.

    Nota: Esta etapa não é aplicável a FP21xx e a umas Plataformas mais adiantadas.

    Elevação da tarefa 6. o software FMC

    Promova o FMC, nesta encenação de 6.1.0-330 a 6.1.0.1.

    Elevação da tarefa 7. os pares FTD HA

    Antes da elevação:

    > show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 15:51:08 UTC Dec 17 2016
        This host: Primary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Secondary - Active
                Active time: 1724 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         6          0          9          0
        sys cmd         6          0          6          0
    ...

    Do menu do sistema > das atualizações FMC, inicie o processo de upgrade FTD HA:

    Primeiramente, FTD preliminar/à espera é promovido:

    As repartições à espera do módulo FTD com a imagem nova:

    Você pode verificar o estado FTD do modo FXO BootCLI:

    FPR4100-3-A# connect module 1 console
Firepower-module1> show services status
Services currently running:
Feature   | Instance ID    |     State  |          Up Since
-----------------------------------------------------------
ftd     | 001_JAD201200R4WLYCWO6 |   RUNNING  | :00:00:33

    FTD secundário/ativo CLI mostra um mensagem de advertência devido a uma má combinação da versão de software entre os módulos FTD:

    firepower#
************WARNING****WARNING****WARNING********************************
Mate version 9.6(2) is not identical with ours 9.6(2)4
************WARNING****WARNING****WARNING********************************
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate

    O FMC mostra que o dispositivo FTD esteve promovido com sucesso:

    A elevação do segundo módulo FTD começa:

    No fim do processo o FTD carreg com a imagem nova:

    No fundo, o FMC usa o usuário interno enable_1, troca os estados do Failover FTD, e remove temporariamente a configuração de failover do FTD:

    firepower# show logging
Dec 17 2016 16:40:14: %ASA-5-111008: User 'enable_1' executed the 'no failover active' command.
Dec 17 2016 16:40:14: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'no failover active'
Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'clear configure failover' command.
Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'clear configure failover'
Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'copy /noconfirm running-config disk0:/modified-config.cfg' command.
Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'copy /noconfirm running-config
     disk0:/modified-config.cfg'
        
firepower#
        Switching to Standby

firepower#

    Neste caso a elevação inteira FTD (ambas as unidades) tomou aproximadamente 30 minutos.

    Verificação

    Este exemplo mostra a verificação FTD CLI do dispositivo preliminar FTD:

    > show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 16:40:14 UTC Dec 17 2016
        This host: Primary - Active
                Active time: 1159 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         68         0          67         0
...
>

    Este exemplo mostra a verificação FTD CLI dispositivo secundário/à espera FTD:

    > show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 16:52:43 UTC Dec 17 2016
        This host: Secondary - Standby Ready
                Active time: 0 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
                  Interface inside (192.168.75.112): Normal (Monitored)
                  Interface outside (192.168.76.112): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Primary - Active
                Active time: 1169 (sec)
                  Interface inside (192.168.75.111): Normal (Monitored)
                  Interface outside (192.168.76.111): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
        Link : FOVER Ethernet1/8 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         38         0          41         0
    ...
>

    A tarefa 8. distribui uma política aos pares FTD HA

    Depois que a elevação é terminada, você precisa de distribuir uma política aos pares HA. Isto é mostrado no FMC UI:

    Distribua as políticas:

    Verificação

    Os pares promovidos FTD HA como ela vista do FMC UI:

    Os pares promovidos FTD HA como ele visto do FCM UI:

    Informações Relacionadas

    TAC Authored

    Colaborado por engenheiros da Cisco

    • Mikis Zafeiroudis
      Engenheiro de TAC da Cisco
    • Dinkar Sharma
      Engenheiro de TAC da Cisco
    • Edited by Olha Yakovenko
      Engenheiro de TAC da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Discussões relacionadas com comunidade da Cisco

    Este documento se refere a estes produtos

    Sobre a Cisco
    Fale Conosco
    Trabalhe Conosco