在高可用性中升级FMC

简介

本文档介绍在高可用性(HA)中升级防火墙管理中心(FMC)环境的步骤。

要求

Cisco 建议您了解以下主题：

• 高可用性概念
• FMC配置

使用的组件

本文档中的信息基于：

• 虚拟防火墙管理中心(FMC)，版本7.1.0

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

概述

升级必须一次是一个对等体。首先，暂停对等体之间的同步。

然后，需要首先在备用模式下完成升级，然后是主用FMC。

升级前

1. 规划升级路径。

    在FMC部署中，通常先升级FMC，然后升级其受管设备。

    请务必了解您刚刚执行的升级和下一个升级。

2. 阅读所有升级指南并规划配置更改。
3. 检查带宽。

    确保您的管理网络具有执行大型数据传输所需的带宽。

4. 计划维护窗口。
5. 在升级前后备份配置。

   System > Backup / Restore > Firepower Management backup

   将备份下载到本地计算机。

6. 升级虚拟托管。当您运行较旧版本的VMware时，这是必需的。
7. 检查配置
8. 检查NTP同步

• FMC：选择System > Configuration > Time。
• 设备：使用show time CLI命令。

9. 检查磁盘空间。
10. 部署配置。在FMC高可用性部署中，您只需从活动对等体进行部署。
11. 检查正在运行的任务。确保没有挂起的部署。

升级 程序

步骤1:暂停同步

导航至Active peer上的FMC上的High Availability选项卡

• 系统>集成>高可用性

• 选择暂停同步

• 等待同步暂停，完成后，用户必须处于Paused状态。
  每个用户的同步状态应为“已暂停”

第二步：上传升级包

登录到备用设备并上传升级包

• System > Updates > Upload Update
  

• 浏览之前下载的要升级版本的软件包。

第三步：就绪性检查

对要升级的设备运行就绪性检查。

• 点击适当的升级软件包旁边的安装图标。

• 选择要检查的设备，然后点击Check Readiness

可在消息中心检查进度

消息>任务>运行

完成后，您可以在就绪性检查结果中查看状态。

如果成功，我们可以继续安装软件包。

第四步：安装升级软件包

• 选择要升级的设备。单击Install

• 对拆分的大脑发出警告，单击“确定”

可以在消息>任务中检查进度

如果您具有CLI访问权限，可以在升级文件夹/var/log/sf中检查进度；移至专家模式并输入根访问权限

> expert
admin@firepower:~$ sudo su
Password: 
root@firepower:/Volume/home/admin# cd /var/log/sf/

root@firepower:/var/log/sf# ls
Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4 

root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# ls
000_start  AQ_UUID  DBCheck.log  exception.log  flags.conf  main_upgrade_script.log  status.log  status.log.202307180405  upgrade_readiness  upgrade_status.json  upgrade_status.log  upgrade_version_build

root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.2.4# tail -f status.log 

升级完成后，FMC重新启动

ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
ui:[100%] [1 mins to go for reboot] Upgrade complete
ui:[100%] [1 mins to go for reboot] The system will now reboot.
ui:System will now reboot.

Broadcast message from root@firepower (Tue Jul 18 05:08:57 2023):

System will reboot in 5 seconds due to system upgrade.

Broadcast message from root@firepower (Tue Jul 18 05:09:02 2023):

System will reboot now due to system upgrade.

ui:[100%] [1 mins to go for reboot] Installation completed successfully.
ui:Upgrade has completed.
state:finished

Broadcast message from root@firepower (Tue Jul 18 05:09:25 2023):

The system is going down for reboot NOW!

重新启动后，物理FMC必须在FMC GUI > Help > About中显示正确的型号。

CLI，接受EULA后

Copyright 2004-2023, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.

Cisco Firepower Extensible Operating System (FX-OS) v2.12.0 (build 499)
Cisco Secure Firewall Management Center for VMware v7.2.4 (build 169)

>
> show version
-------------------[ firepower ]--------------------
Model                     : Secure Firewall Management Center for VMware (66) Version 7.2.4 (Build 169)
UUID                      : 1c71ae24-1e60-11ed-8459-9758e19f1a24
Rules update version      : 2023-01-09-001-vrt
LSP version               : lsp-rel-20220511-1540
VDB version               : 353
----------------------------------------------------

仅升级备用FMC时的高可用性摘要

第五步：升级活动对等体。

在活动设备中重复步骤2至4。

第六步：激活所需的FMC

• 登录到要使其成为活动对等体的FMC。

Integration > High Availability > Make Me Active选项

• 有关进程的警告和覆盖在备用对等体中完成的任何配置，请选择是(YES)以继续。

• 等待同步重新启动，然后其他FMC将切换为备用模式。

在两个FMC处于相同版本且同步完成后，HA Summary选项卡必须如下所示：

从FMC部署挂起的更改。