Atualizar par HA FTD em dispositivos Firepower
Contents
Introduction
Este documento descreve o processo de atualização do Firepower Threat Defense (FTD) no modo de alta disponibilidade (HA) em dispositivos Firepower.
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Firepower Management Center (FMC)
- FTD
- Firepower Appliances (FXOS)
Componentes Utilizados
- 2 x FPR4150
- 1 x FS4000
- 1 x PC
As versões da imagem do software antes da atualização:
- FMC 6.1.0-330
- FTD primário 6.1.0-330
- FTD secundário 6.1.0-330
- FXOS primário 2.0.1-37
- FXOS Secundário 2.0.1-37
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurar
Diagrama de Rede
Plano de ação
Tarefa 1: Verificar os pré-requisitos
Tarefa 2: Carregar as imagens para a FMC e a SSP
Tarefa 3: Atualize o primeiro chassi FXOS (2.0.1-37 -> 2.0.1-86)
Tarefa 4: Trocar o failover do FTD
Tarefa 5: Atualize o segundo chassi FXOS (2.0.1-37 -> 2.0.1-86)
Tarefa 6: Atualizar o FMC (6.1.0-330 -> 6.1.0.1)
Tarefa 7: Atualizar o par HA FTD (6.1.0-330 -> 6.1.0.1)
Tarefa 8: Implantar uma política do FMC para o par FTD HA
Tarefa 1. Verifique os pré-requisitos
Consulte o Guia de compatibilidade FXOS para determinar a compatibilidade entre:
- Versão do software FTD de destino e versão do software FXOS
- Plataforma Firepower HW e versão de software FXOS
Compatibilidade do Cisco Firepower 4100/9300 FXOS
Verifique as Notas de versão do FXOS da versão de destino para determinar o caminho de atualização do FXOS:
Notas da versão do Cisco Firepower 4100/9300 FXOS, 2.0(1)
Consulte as Notas de versão da versão de destino do FTD para determinar o caminho de atualização do FTD:
Notas de versão do sistema Firepower, Versão 6.0.1.2
Tarefa 2. Carregar as imagens do software
Nas duas FCMs, faça upload das imagens FXOS (fxos-k9.2.0.1.86.SPA).
No FMC, faça upload dos pacotes de atualização do FMC e FTD:
- Para a atualização do FMC: Sourcefire_3D_Defense_Center_S3_Patch-6.1.0.1-53.sh
- Para a atualização do FTD: Cisco_FTD_SSP_Patch-6.1.0.1-53.sh
Tarefa 3. Atualizar o primeiro chassi FXOS
Antes da atualização:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Inicie a atualização do FXOS:
A atualização do FXOS requer uma reinicialização do chassi:
Você pode monitorar a atualização do FXOS na CLI do FXOS. Todos os três componentes (FPRM, interconexão de estrutura e chassi) devem ser atualizados:
FPR4100-4-A# scope system
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Ready
Após aproximadamente cinco minutos, a atualização do componente FPRM é concluída:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Após aproximadamente 10 minutos, e como parte do processo de atualização do FXOS, o dispositivo Firepower é reiniciado:
Please stand by while rebooting the system...
... Restarting system.
Após o reinício, o processo de atualização é retomado:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Chassis 1:
Server 1:
Package-Vers: 2.0(1.37)
Upgrade-Status: Upgrading
Após um total de aproximadamente 30 minutos, a atualização do FXOS é concluída:
FPR4100-4-A /system # show firmware monitor
FPRM:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Fabric Interconnect A:
Package-Vers: 2.0(1.86)
Upgrade-Status: Ready
Chassis 1:
Server 1:
Package-Vers: 2.0(1.86),2.0(1.37)
Upgrade-Status: Ready
Tarefa 4. Troque os estados de failover do FTD
Antes de trocar os estados de failover, verifique se o módulo FTD no chassi está totalmente UP:
FPR4100-4-A# connect module 1 console
Firepower-module1>connect ftd
Connecting to ftd console... enter exit to return to bootCLI
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 15:08:47 UTC Dec 17 2016
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Primary - Active
Active time: 5163 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 65 0 68 4
sys cmd 65 0 65 0
...
Troque os estados de failover do FTD. Na CLI do FTD ativo:
> no failover active
Switching to Standby
>
Tarefa 5. Atualizar o segundo chassi FXOS
Semelhante à Tarefa 2, atualize o dispositivo FXOS onde o novo FTD em standby está instalado. Isso pode levar aproximadamente 30 minutos ou mais para ser concluído.
Tarefa 6. Atualize o software FMC
Atualize o FMC, neste cenário de 6.1.0-330 para 6.1.0.1.
Tarefa 7. Atualizar o par FTD HA
Antes da atualização:
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2), Mate 9.6(2)
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 15:51:08 UTC Dec 17 2016
This host: Primary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Active
Active time: 1724 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 6 0 9 0
sys cmd 6 0 6 0
...
No menu FMC System > Updates, inicie o processo de atualização do FTD HA:
Primeiro, o FTD principal/em standby é atualizado:
O módulo FTD em standby é reinicializado com a nova imagem:
Você pode verificar o status do FTD no modo FXOS BootCLI:
FPR4100-3-A# connect module 1 console Firepower-module1> show services status Services currently running: Feature | Instance ID | State | Up Since ----------------------------------------------------------- ftd | 001_JAD201200R4WLYCWO6 | RUNNING | :00:00:33
A CLI do FTD secundário/ativo mostra uma mensagem de aviso devido a uma incompatibilidade de versão de software entre os módulos FTD:
firepower# ************WARNING****WARNING****WARNING******************************** Mate version 9.6(2) is not identical with ours 9.6(2)4 ************WARNING****WARNING****WARNING******************************** Beginning configuration replication: Sending to mate. End Configuration Replication to mate
O FMC mostra que o dispositivo FTD foi atualizado com êxito:
A atualização do segundo módulo FTD é iniciada:
No final do processo, o FTD inicializa com a nova imagem:
Em segundo plano, o FMC usa o usuário interno enable_1, troca os estados de failover do FTD e remove temporariamente a configuração de failover do FTD:
firepower# show logging Dec 17 2016 16:40:14: %ASA-5-111008: User 'enable_1' executed the 'no failover active' command. Dec 17 2016 16:40:14: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'no failover active' Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'clear configure failover' command. Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'clear configure failover' Dec 17 2016 16:41:19: %ASA-5-111008: User 'enable_1' executed the 'copy /noconfirm running-config disk0:/modified-config.cfg' command. Dec 17 2016 16:41:19: %ASA-5-111010: User 'enable_1', running 'N/A' from IP 0.0.0.0, executed 'copy /noconfirm running-config
disk0:/modified-config.cfg' firepower# Switching to Standby firepower#
Nesse caso, a atualização completa do FTD (ambas as unidades) levou aproximadamente 30 minutos.
Verificação
Este exemplo mostra a verificação de CLI FTD do dispositivo FTD primário:
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EN9U, Mate FLM2006EQFW
Last Failover at: 16:40:14 UTC Dec 17 2016
This host: Primary - Active
Active time: 1159 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 68 0 67 0
...
>
Este exemplo mostra a verificação de CLI FTD do dispositivo FTD secundário/em standby:
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(2)4, Mate 9.6(2)4
Serial Number: Ours FLM2006EQFW, Mate FLM2006EN9U
Last Failover at: 16:52:43 UTC Dec 17 2016
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(2)4) status (Up Sys)
Interface inside (192.168.75.112): Normal (Monitored)
Interface outside (192.168.76.112): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Primary - Active
Active time: 1169 (sec)
Interface inside (192.168.75.111): Normal (Monitored)
Interface outside (192.168.76.111): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : FOVER Ethernet1/8 (up)
Stateful Obj xmit xerr rcv rerr
General 38 0 41 0
...
>
Tarefa 8. Implante uma política para o par HA do FTD
Após a conclusão da atualização, você precisa implantar uma política para o par HA. Isso é mostrado na IU do FMC:
Implante as políticas:
Verificação
O par HA FTD atualizado conforme visto na IU do FMC:
O par HA FTD atualizado conforme visto na IU do FCM:
Informações Relacionadas
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)