Cisco FMC上的自动轻型安全包(LSP)更新失败。LSP更新不再自动安装,而手动LSP安装继续正常工作。VDB更新和Snort规则更新仍通过自动进程正常运行。
inline_image_0.png
要解决自动LSP更新故障,请验证在可能阻止更新进程的任何上游防火墙或网络设备上,是否正确配置了所需的网络连接。
检查Firepower威胁防御设备上安装的当前LSP版本:
show version
显示当前LSP版本的示例输出:
--------------[ device ]--------------
型号:思科安全防火墙3140威胁防御(80)版本7.6.2.1(内部版本3)
UUID:5fb22700-68c8-11ee-b5a0-d2e6638aec56
LSP版本:lsp-rel-20260121-2008
VDB版本:421
----------------------------------------------------
确保允许以下目标的任何上游防火墙或网络安全设备通过端口80进行出站访问:
updates-dyn-talos.sco.cisco.com - LSP更新必需
updates.ironport.com — 安全内容更新所必需的
这些目标对于自动更新进程正常运行至关重要。这些连接的任何阻塞都会阻止自动LSP更新,同时仍允许手动更新正常工作。
root@fmc:/Volume/home/user# curl -v -k http://updates.ironport.com
<h1>网页被阻止</h1>
<p>根据公司政策,您试图访问的网页已被阻止。如果您认为这是一个错误,请与系统管理员联系。</p>
sf/talos_agent.log:TalosAgent:ERROR: updater.go:talosagent.cisco.com/pkg/updater.UpdateService:475 2026/02/13 04:11:05 Failed to download new inventory file: failed to download file: 204cf9af41f70cb30cfd3a7d41ab2f7366219cbfa805b4ec7443bb957f373b87630d8e4027491747102d060ed5e238ab rpc error: code = Internal desc = http error 503 Service Unavailable while downloading file 204cf9af41f70cb30cfd3a7d41ab2f7366219cbfa805b4ec7443bb957f373b87630d8e4027491747102d060ed5e238ab
sf/talos_agent.log:TalosAgent:ERROR: updater.go:talosagent.cisco.com/pkg/updater.UpdateService:475 2026/02/24 19:18:08 Failed to download new inventory file: failed to download file: 3b1e29d5b30bd9dc79f15fad7726e616d73e93ec473e383bb08086b41d3bb571b7e08d3f0fb3fc5e839415d6c3edde0b rpc error: code = Internal desc = Download of http://updates.ironport.com:80/lsp/1/lsp/default/20260223001 failed: connection error: Connection reset by peer(os error 104)
确认在防火墙管理中心中为LSP更新正确配置了自动更新。VDB和Snort规则更新继续自动运行的事实表明,基本更新机制可以正常工作,但可以阻止特定于LSP的连接。
确认通过任何上游安全设备可以访问所需目标后,监控自动更新过程,以验证LSP更新是否恢复正常操作。
root@echo-ngfw-fmcv3:/Volume/home/admin# curl -v -k http://updates.ironport.com
*正在尝试208.90.58.25:80...
*已连接到updates.ironport.com(208.90.58.25)端口80(#0)
> GET / HTTP/1.1
>主机: updates.ironport.com
>用户代理:curl/7.79.1
>接受:*/*
>
*将捆绑包标记为不支持多用途
< HTTP/1.1 200 OK
<服务器:nginx/1.20.1
<日期:格林威治标准时间2026年3月16日20:22:35
<Content-Type: text/html
<内容长度:689
<上次修改时间:星期三,2006年9月06日17:26:12 GMT
<Connection: keep-alive
< ETag: "44ff04b4-2b1"
<过期:2026年3月17日星期二20:22:35(格林威治标准时间)
<Cache-Control: max-age=86400
<Accept-Ranges:字节
<
<HTML>
<!— $Header:/usr/local/cvsroot/godspeed/upgrade_server/http/html/root.html,v 1.1 2004/06/25 22:43:59 brie Exp $ —>
<HEAD>
</HEAD>
<BODY>
<IMG SRC="http://ironport.com/media/logo.gif">
<P>
这是IronPort更新服务器。如果您尝试下载新的
流量监控器、merlin或WBRS数据包,您错误地到达此页面。
有关下载说明,请参阅《更新管理器发行说明》
新软件。
</P>
<P>
如有任何疑问,请随时联系IronPort客户服务
电话:(877)641-4766或<A HREF="mailto:support@ironport.com">support@ironport.com</A>。
</P>
</BODY>
</HTML>
*与主机#0新.ironport.com的连接保持原样
确保设备符合思科公开文档所述的其它各种更新和下载类型所需的端口和域连接要求:
自动LSP更新失败是由阻止与所需更新服务器的网络连接引起的。具体而言,上游防火墙规则或网络安全策略限制通过端口80对updates-dyn-talos.sco.cisco.com和updates.ironport.com的出站访问。这阻止FMC自动下载和安装LSP更新,但手动更新仍可执行,因为它们可以使用不同的下载方法或缓存的内容。
但是,此问题也可能受FMC从思科云站点下载大型文件的能力的影响。限制FMC带宽,加上同一时间范围内的其他多个软件更新(例如:SRU和VDB)可能会造成带宽竞争,导致下载失败。在这种情况下,请分离软件下载时间,以便允许下载足够的带宽,或解决任何上游带宽问题。
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
15-Apr-2026
|
初始版本 |