了解FTD高可用性升级过程的步骤和影响
目录
问题
防火墙管理员需要了解在高可用性(HA)对中配置并由思科防火墙管理中心(FMC)管理的防火墙威胁防御(FTD)设备的推荐升级过程。 具体问题包括:建议在这些设备上执行软件升级的流程是什么,升级是否可以“实时”执行而不停机,以及升级过程中预期会产生什么影响。
环境
运行版本7.4的FTD。其它软件版本也可能会受到影响。
在高可用性(HA)对模式下配置FTD。
FMC 7.4管理FTD高可用性。其他软件版本也可能受到影响。
分辨率
HA配置中FTD的升级过程使用特定顺序来最小化停机时间并保持系统完整性。
推荐的升级顺序
步骤1.首先升级FMC
思科指南要求FMC必须运行与其管理的设备相同或更新的版本。您不能将超过FMC的FTD设备升级到较新的维护版本或主要版本。
步骤2.从FMC升级FTD高可用性对
升级由FMC管理的FTD HA对时,FMC一次升级一个对等体(先待机,然后主用),并在过程中进行故障转移。
停机时间和流量影响预期
您必须规划维护窗口。Cisco notes升级可能包括流量中断和检查,并且设备可以在升级期间或升级失败时停止传递流量。
使用HA对时,目标是将影响降至最低,但您需要至少有一个故障切换事件和可能的短暂中断(例如,路由邻接或VPN重新协商,具体取决于您的环境)。
避免升级期间的策略和配置更改(直到两个HA成员完全升级且稳定后,才进行部署或更改)。
FTD HA的升级前运行状况检查
在开始升级之前,请确认FTD HA是稳定的,并且两台设备都同意主用和备用就绪状态:
device# show failover state
State Last Failure Reason Date/Time
This host - Primary
Active None
Other host - Secondary
Standby Ready Comm Failure 16:10:34 UTC Apr 13 2026
====Configuration State===
Sync Skipped
====Communication State===
Mac set
原因
这是有关在HA配置中升级FMC和FTD系统的最佳实践的程序性查询。此问题解决了对关键防火墙基础设施正确了解升级顺序、停机期望和影响缓解策略的需求。
相关内容
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
03-Jun-2026
|
初始版本 |
反馈