升级运行版本7.4.2的FMC托管FTD HA工作流

问题

解决的主要问题是对思科Firepower威胁防御(FTD)设备（尤其是FPR1120）执行高可用性(HA)升级的工作流程和技术要求，这些设备由运行版本7.4.2的Firepower管理中心(FMC)4700管理。本文详细介绍确保FTD HA升级操作成功的准备步骤、最佳实践和注意事项。

环境

• 技术：思科安全防火墙Firepower - 7.4
• 子技术：Firepower威胁防御(FTD) — 软件更新/安全更新/重新映像/迁移/备份和恢复
• 产品系列：FPRLOW（包括FPR1120）
• 高可用性(HA)对中的Firepower威胁防御(FTD)
• 由Firepower管理中心(FMC)4700管理
• FMC软件版本：7.4.2
• 在定义的维护窗口中计划的升级活动

分辨率

请遵守此详细的工作流程，以确保成功升级由FMC管理的FTD HA对：

第1步：准备升级

在开始升级过程之前，必须生成并存储FTD HA设备和FMC的配置备份。这确保在升级失败或意外问题时可以还原配置。

要备份FMC配置：在FMC UI中导航到System > Tools: Backup/Restore，然后点击Firewall Management Backup按钮：

inline_image_0.png

inline_image_1.png

单击Managed Device Backup按钮备份FTD HA对。

要确保保留FTD设备配置状态，请确认已完成从FMC到两个HA对等体的最新配置部署：

inline_image_2.png

第2步：检验FTD HA对的当前状态

在继续升级之前，请检查HA状态以确认两个对等体都正常且已同步。在FTD CLI中，使用此命令检查设备状态：

> show failover state

示例输出：

状态上次失败原因日期/时间

此主机 — 主

 活动无

其他主机 — 辅助

 备用就绪无

====配置状态===

 已跳过同步

====通信状态===

Mac set第3步：计划和传达维护窗口

确保已明确定义维护窗口，并通知所有利益相关者。对于此工作流，维护计划如下：

• 开始时间：18/11/2025 12:00:00(UTC -3 Argentina/Buenos_Aires)

• 结束时间：18/11/2025 14:00:00(UTC -3 Argentina/Buenos_Aires)

第4步：启动FTD HA升级

从FMC启动升级，确保遵循思科推荐的升级FTD HA对的过程。在升级过程中，升级通常以滚动方式自动执行： 

1. 升级备用FTD。

2. 故障切换至新升级的FTD并使其处于活动状态。

3. 升级另一个FTD现在处于备用状态。

在FMC GUI中，导航到System > Product Upgrades并选择升级的目标版本。

inline_image_3.png

第5步：监控升级过程

密切监视两台设备的升级进度。使用FMC GUI作业监视部分或CLI进行状态更新。若要检查CLI中的升级进度：

> show upgrade status

示例输出：

正在备用设备上升级……

已在备用设备上完成升级。

正在启动故障转移……

正在主用设备上升级……

两台设备均已完成升级。

HA对已同步。第6步：升级后验证

升级完成后，请验证：

• 两台FTD设备均运行预期软件版本。

• HA状态报告两台设备处于正常状态和同步状态。

• 所有预期服务和网络流量均按预期运行。

> show version

 示例输出：

---------------[ firepower ]---------------

型号：适用于VMware(75)的Cisco Firepower威胁防御版本7.4.2.4（内部版本9）

UUID:bc9d31e8-0517-11f0-9c89-c358b8259f96

LSP版本：lsp-rel-20260128-1954

VDB版本：404

----------------------------------------------------

> show failover

示例输出：

> show failover

故障切换开启

故障切换设备主设备

故障切换LAN接口：故障切换状态GigabitEthernet0/7(up)

重新连接超时0:00:00

设备轮询频率1秒，保持时间15秒

接口轮询频率5秒，保持时间25秒

接口策略1

受监控接口4（最多361个）

未设置MAC地址移动通知间隔

故障切换复制http

版本：Ours 9.20(2)121、Mate 9.20(2)121

序列号：我们的序列号、配对序列号

上次故障转移时间：14:29:08 UTC 2025年12月31日

 此主机：主 — 活动

 活动时间：3418340（秒）

 插槽0:ASAv硬件/软件版本(/9.20(2)121)状态（启动系统）

 外部接口(IPADDRESS)：正常（受监控）

 内部接口(IPADDRESS)：正常（受监控）

 接口DMZ(IPADDRESS)：正常（受监控）

 接口管理(IPADDRESS)：正常（受监控）

 插槽1:snort rev(1.0)状态(up)

 插槽2:diskstatus rev(1.0)状态(up)

 其他主机：辅助 — 备用就绪

 活动时间：0（秒）

 外部接口(IPADDRESS)：正常（受监控）

 内部接口(IPADDRESS)：正常（受监控）

 接口DMZ(IPADDRESS)：正常（受监控）

 接口管理(IPADDRESS)：正常（受监控）

 插槽1:snort rev(1.0)状态(up)

插槽2:diskstatus rev(1.0)状态(up)

第7步：确保备份是最新的

最后，在升级后生成FMC和FTD的新备份，以捕获当前已升级的配置状态。

重复步骤1中所述的备份过程。

原因

无.这是由FMC管理的思科FTD HA的标准升级工作流程。

相关内容

• 思科技术支持和下载
• 升级 FMC 管理的 FTD HA
• 排除Firepower文件生成过程故障
• 发行说明