在高可用性中升级FMC

简介

本文档介绍在高可用性(HA)中升级安全防火墙管理中心(FMC)环境的步骤。

先决条件

要求

Cisco 建议您了解以下主题：

• 高可用性概念
• 安全FMC配置

使用的组件

本文档中的信息基于虚拟安全防火墙管理中心7.4.2版。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

升级必须一次是一个对等体。

首先，暂停对等体之间的同步。

然后，需要首先在备用模式下完成升级，然后是主用FMC。

警告：当备用对等体进行预检查/安装时，两个对等体都切换到主用模式；这叫做裂脑。
升级时完全可以预料到。在此期间，不得进行或部署任何配置更改。
如果进行任何配置更改，同步重新启动后可能会丢失配置。

升级前

1. 规划升级路径。在FMC部署中，通常先升级FMC，然后升级其受管设备。请务必了解您刚刚执行的升级和下一个升级。

2. 阅读所有升级指南并规划配置更改。
3. 检查带宽。确保您的管理网络具有执行大型数据传输所需的带宽。

4. 计划维护窗口。
5. 在升级前后备份配置。System > Tools - Backup / Restore > Firepower Management backup。将备份下载到本地计算机。

6. 升级虚拟托管。当您运行较旧版本的VMware时，这是必需的。
7. 检查配置。
8. 检查NTP同步。
   FMC:选择System > Configuration > Time。
   设备：使用show time CLI命令。

9. 检查磁盘空间。
10. 部署配置。在FMC高可用性部署中，您只需从活动对等体进行部署。
11. 检查正在运行的任务。确保没有挂起的部署。

升级 程序

步骤1.暂停同步

在主（主用）单元上，暂停对等体之间的高可用性同步。

Integration > Other Integrations:

暂停同步。选择集成、其他集成、高可用性

选择High Availability选项卡：

FMC高可用性部分

选择Pause Synchronization:

选择Pause Synchronization

等待同步暂停。完成时，状态必须由用户暂停。
同步降级时发出警报。按用户暂停

步骤2.上传升级软件包

登录到辅助（备用）设备，确认同步已暂停。

集成>其他集成>高可用性:

在备用设备上。同步被用户暂停

确认后，继续上传升级软件包。

System > Product Upgrade:

系统、产品升级

选择升级包

浏览之前下载的要升级版本的软件包。

浏览升级包，选择上传

步骤3.准备情况检查

在“可用升级包”列表中，选择所需的版本。继续使用Upgrade选项：

可用的升级包。继续升级

完成预检查验证后，选择Next:

预检查验证

单击Run Readiness Check，该过程必须在要升级的设备上启动：

运行就绪检查

完成后，您可以在就绪性检查结果中查看状态。

如果成功，则可以选择Next:

就绪性检查通过，选择下一步

步骤4.升级FMC

选择Upgrade以开始升级过程：

开始升级

升级进度可在FMC站点上看到：

升级进度

可以注销GUI，重新登录，并显示升级进度：

GUI中的升级进度

注意：安装大约需要30分钟才能完成。

如果具有CLI访问权限，可以在升级文件夹/var/log/sf中检查进度；转到expert模式并输入root access。

> expert
admin@firepower:~$ sudo su
Password: 
root@firepower:/Volume/home/admin# cd /var/log/sf/

root@firepower:/var/log/sf# ls
Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2 

root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2# ls
000_start  AQ_UUID  DBCheck.log  exception.log  flags.conf  main_upgrade_script.log  status.log  status.log.202307180405  upgrade_readiness  upgrade_status.json  upgrade_status.log  upgrade_version_build

root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2# tail -f status.log 

升级完成后，FMC重新启动。

ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
ui:[100%] [1 mins to go for reboot] Upgrade complete
ui:[100%] [1 mins to go for reboot] The system will now reboot.
ui:System will now reboot.

Broadcast message from root@firepower (Fri Oct 10 20:23:08 2025):

System will reboot in 5 seconds due to system upgrade.

Broadcast message from root@firepower (Fri Oct 10 20:23:13 2025):

System will reboot now due to system upgrade.

ui:[100%] [1 mins to go for reboot] Installation completed successfully.
ui:Upgrade has completed.
state:finished

Broadcast message from root@firepower (Fri Oct 10 20:23:25 2025):

The system is going down for reboot NOW!

重新启动后，重新登录到FMC GUI，接受用户协议：

接受用户协议

新版本可在FMC上确认。

Help > About:

新版本确认

在CLI中，接受用户协议后可以检查版本。

Copyright 2004-2025, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.

Cisco Firepower Extensible Operating System (FX-OS) v2.16.0 (build 4006)
Cisco Secure Firewall Management Center for VMware v7.6.2 (build 329)

>
> show version
-------------------[ firepower ]--------------------
Model                     : Secure Firewall Management Center for VMware (66) Version 7.6.2 (build 329)
UUID                      : 1c71ae24-1e60-11ed-8459-9758e19f1a24
Rules update version      : 2022-01-06-001-vrt
LSP version               : lsp-rel-20240417-2110
VDB version               : 392
----------------------------------------------------

升级至Split Brain后FMC高可用性，本地对等体（辅助）现在已完成升级。

集成>其他集成>高可用性:

以高可用性实现大脑分裂
步骤5.升级主要（活动）对等体

登录到主设备，确认本地对等设备是版本最旧的对等设备。

集成>其他集成>高可用性:

确认本地对等体版本

在此对等项中重复第2步到第4步：

1. 上传升级包。

2. 准备情况检查。

3. 升级设备。

步骤6.激活所需的FMC

在两个FMC上完成升级后，l登录要启用主用设备的FMC并选择Make Me Active选项。

Integration > High Availability > Make Me Active:

选择要处于活动状态的所需设备

有关进程的警告和覆盖在备用对等体中完成的任何配置，请选择是(YES)以继续。

有关备用对等体上的活动覆盖配置的警告

选择OK

解决裂脑

等待同步完成。远程对等体必须显示为备用。

高可用性临时降级

注意：完成同步最多可能需要20分钟。

在FMC主用设备上部署挂起的更改，以完成升级过程。

验证

两个FMC处于相同版本且同步完成后，HA Summary选项卡必须如下所示。

集成>其他集成>高可用性:

同步完成

警告：如果最终同步状态显示降级或其他不是“正常”的结果，请联系TAC。