简介
本文档讨论更新Cisco Firepower管理中心的预定任务可能失败的原因。您可以手动或自动更新Cisco Firepower管理中心。为了执行自动软件更新,您可以在管理中心上创建计划任务,以在将来运行。
失败的可能原因
当您的网络中发生以下任一操作时,Firepower管理中心可能无法从Cisco下载更新基础设施下载更新文件:
- 您公司的安全策略阻止域名系统(DNS)流量。
- 管理中心外部的配置会影响下载。例如,防火墙规则可能仅允许support.sourcefire.com的一个IP地址。
影响
| 如果使用此方法…… | 措施项 |
| 自动下载的系统默认配置 | 无需操作 |
| 手动下载更新文件并将其上传到Firepower管理中心 | 无需操作 |
| 过滤对思科托管下载更新基础设施的访问的防火墙规则 | 遵循解决方案 |
- 三次重试和下一次计划运行会部分缓解故障。反复故障可能表示存在外部因素,例如防火墙或基础设施的中断。
- 由于轮询DNS在域名上,您需要采取一些步骤来确保没有间歇性下载失败。
确认
检验DNS设置
确保将Firepower管理中心配置为使用您的DNS服务器。
您可以在Network部分下的System > Local > Configuration中配置DNS设置。在共享设置部分下,您可以指定最多三个DNS服务器。
验证连接
您可以使用各种命令(例如telnet、nslookup或dig)来确定DNS服务器的状态以及Firepower管理中心上的DNS设置。例如:
telnet support.sourcefire.com 443
nslookup support.sourcefire.com
dig support.sourcefire.com
为了测试从设备到支持站点的连接(下载更新等),您可以通过SSH或直接控制台访问登录到设备,然后使用以下命令:
admin@Firepower:~# sudo openssl s_client -connect support.sourcefire.com:443
此命令显示证书协商,并向您提供与端口80 Web服务器的Telnet会话等效。以下是命令输出的示例:
New, TLSv1/SSLv3, Cipher is AES256-SHA Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1 Cipher : AES256-SHA Session-ID: 44A18130176C9171F50F33A367B55F5CFD10AA0FE87F9C5C1D8A7A7E519C695B Session-ID-ctx: Master-Key: D406C5944B9462F1D6CB15D370E884B96B82049300D50E74F9B8332F84786F05C35BF3FD806672630BE26C2218AE5BDE Key-Arg : None Start Time: 1398171146 Timeout : 300 (sec) Verify return code: 0 (ok) ---
此时应该没有提示。但是,当会话等待输入时,您可以输入命令:
GET /
您应该收到支持站点登录页面的原始HTML。
故障排除
选项 1:在防火墙上使用域名support.sourcefire.com替换静态IP地址。如果您必须使用静态IP地址,请确保这是正确的。以下是Firepower系统使用的下载服务器的详细信息:
- 域:support.sourcefire.com
- 端口:443/tcp(双向)
- IP Address:50.19.123.95,50.16.210.129
support.sourcefire.com(轮询方法)也使用的其他IP地址包括:
54.221.210.248
54.221.211.1
54.221.212.60
54.221.212.170
54.221.212.241
54.221.213.96
54.221.213.209
54.221.214.25
54.221.214.81
选项 2:您可以使用Web浏览器手动下载更新,然后在维护窗口期间手动安装更新。
选项 3:在DNS服务器上为support.sourcefire.com添加A记录。