使用入门

本指南适用对象

本指南介绍如何为以下对象准备并成功升级到 Firepower 7.0.x 或更早版本

  • Firepower 管理中心 (FMC)

  • 带有 FMC 的 Firepower 威胁防御 (FTD) 设备,包括适用于 Firepower 4100/9300 的 FXOS

  • 带有 FMC 的 7000/8000 系列设备

  • 带有 FMC 的 NGIPSv 设备

  • 带有 FMC 的 ASA FirePOWER 设备,包括 ASA OS

其他资源

如果您要升级其他平台/组件或升级到其他版本,请参阅以下资源之一。

表 1. 升级 FMC

当前 FMC 版本

指南

云交付的管理中心(无版本)

无。我们负责更新。

7.2+

《适用于管理中心的 Cisco Secure Firewall Threat Defense 升级指南》中的 升级管理中心

7.1

《适用于 Firepower 管理中心版本 7.1 的 Cisco Firepower Threat Defense 升级指南》中的。

7.0 或更早版本

表 2. 通过 FMC 升级 FTD

当前 FMC 版本

指南

云交付的管理中心(无版本)

《适用于管理中心的 Cisco Secure Firewall Threat Defense 升级指南》中的

7.2+

7.1

《适用于 Firepower 管理中心版本 7.1 的 Cisco Firepower Threat Defense 升级指南》中的。

7.0 或更早版本

表 3. 通过 FDM 升级 FTD

当前 FTD 版本

指南

7.2+

7.1

《适用于 Firepower 设备管理器版本 7.1 的 Cisco Firepower Threat Defense 升级指南》中的。

7.0 或更早版本

您的版本的《适用于 Firepower 设备管理器的 Cisco Firepower Threat Defense 配置指南》中的系统管理

对于 Firepower 4100/9300,另请参阅《Cisco Firepower 4100/9300 升级指南》,FTD 6.0.1-7.0.x 或 ASA 9.4(1)-9.16(x)包括 FXOS 1.1.1-2.10.1中的 FXOS 升级说明。

版本 6.4+,带有 CDO

使用思科防御协调器管理 FDM 设备中的激活设备和服务
表 4. 升级 NGIPS 设备

当前管理器版本

平台

指南

任意

Firepower 7000/8000 系列

任意

带有 FMC 的 ASA FirePOWER

任意

使用 ASDM 的 ASA FirePOWER

表 5. 升级其他组件

版本

组件

指南

任意

Firepower 4100/9300 上的 ASA 逻辑设备

Cisco Secure Firewall ASA 升级指南

最新

用于 FMC 的 BIOS 和固件

Cisco Secure Firewall Threat Defense/Firepower Hotfix 版本说明

最新

Firepower 4100/9300 的固件

Cisco Firepower 4100/9300 FXOS 固件升级指南

最新

ISA 3000 的 ROMMON 映像

Cisco Secure Firewall ASA 和 Secure Firewall Threat Defense 重新映像指南

功能历史记录

表 6. 版本 7.0.0 功能

特性

说明

改进了 FTD 升级性能和状态报告。

FTD 升级现在更容易、更快、更可靠,并且占用的磁盘空间更少。消息中心的新升级选项卡进一步增强了升级状态和错误报告功能。

FTD 设备易于遵循的升级工作流程。

FMC 上的新设备升级页面(设备 (Devices) > 设备升级 (Device Upgrade))为升级版本 6.4+ FTD 设备提供了一个易于遵循的向导。它将引导您完成重要的升级前阶段,包括选择要升级的设备,将升级包复制到设备,以及兼容性和就绪性检查。

首先,请使用“设备管理”页面上的新 升级 Firepower 软件 操作(设备 > 设备管理 > 选择操作)。

继续操作时,系统会显示有关所选设备的基本信息以及当前的升级相关状态。这包括无法升级的任何原因。如果设备未在向导中“通过”某个阶段,则该阶段不会显示在下一阶段。

如果您离开向导,系统会保留您的进度,但具有管理员访问权限的其他用户可以重置、修改或继续向导。

 

您仍必须使用 系统系统齿轮图标 > 更新 (Updates) 来上传或指定 FTD 升级包的位置。您还必须使用“系统更新”页面升级 FMC 本身以及所有非 FTD 托管设备。

 

在版本 7.0 中,向导无法正确显示集群或高可用性对中的设备。即使必须将这些设备作为一个单元进行选择和升级,向导也会将其显示为独立设备。设备状态和升级就绪性会逐个评估和报告。这意味着一台设备可能会“传递”到下一阶段,而另一台设备则不会。但是,这些设备仍然分组。因此,在一台设备上运行就绪性检查,所有设备上都会运行。在一台设备上启动升级,在所有设备上都会启动升级。

为避免可能的耗时升级失败,请手动确保所有组成员都已准备好继续执行向导的下一步,然后再点击 下一步

一次升级更多 FTD 设备。

FTD 升级向导取消了以下限制:

  • 同步设备升级。

    一次可以升级的设备数量现在受管理网络带宽的限制,而不是系统管理同步升级的能力。以前,我们建议不要一次升级超过五台设备。

    重要

     

    只有升级到 FTD 版本 6.7+ 才能看到此改进。如果您要将设备升级到较旧的 FTD 版本(即使您使用的是新的升级向导),我们仍建议您一次限制为五台设备。

  • 按设备型号分组升级。

    现在,只要系统有权访问相应的升级包,您就可以同时为所有 FTD 型号排队和调用升级。

    以前,您需要选择一个升级包,然后使用该包选择要升级的设备。这意味着 只有 共享升级包时,您才能同时升级多台设备。例如,您可以同时升级两台 Firepower 2100 系列设备,但不能同时升级 Firepower 2100 系列和 Firepower 1000 系列。

表 7. 版本 6.7.0 功能

特性

说明

改进了 FTD 升级状态报告和取消/重试选项。

您现在可以在“设备管理”页面上查看 FTD 设备升级和就绪性检查的状态,以及升级成功/失败的 7 天历史记录。消息中心还提供增强的状态和错误消息。

在“设备管理”和“消息中心”中点击一下即可访问新的“升级状态”弹出窗口,其中显示详细的升级信息,包括剩余百分比/时间、特定升级阶段、成功/失败数据、升级日志等。

此外,在此弹出窗口中,您可以手动取消失败或正在进行的升级(取消升级),或重试失败的升级(重试升级)。取消升级会将设备恢复到升级前的状态。

 

要能够手动取消或重试失败的升级,必须禁用新的自动取消选项: 升级失败时自动取消并回滚到以前的版本。启用选项后,设备会在升级失败时自动恢复到升级前的状态。

补丁不支持自动取消。在高可用性或可扩展性部署中,自动取消会单独应用于每个设备。也就是说,如果一台设备上的升级失败,则仅恢复该设备。

新增/修改的屏幕:

  • 系统 > 更新 > 产品更新 > 可用更新 > 安装FTD 升级包的 图标

  • 设备 > 设备管理 > 升级

  • 消息中心 > 任务

新的 FTD CLI 命令:

  • show upgrade status detail

  • show upgrade status continuous

  • show upgrade status

  • upgrade cancel

  • upgrade retry

升级会删除 PCAP 文件以节省磁盘空间。

升级现在会删除本地存储的 PCAP 文件。要升级,您必须拥有足够的可用磁盘空间,否则升级会失败。

表 8. 版本 6.6.0 功能

特性

说明

从内部 Web 服务器获取设备升级包。

设备现在可以从您自己的内部 Web 服务器而不是从 FMC 获取升级包。这在 FMC 及其设备之间的带宽有限时尤其有用。它还可以节省 FMC 上的空间。

新增/修改的屏幕:系统 (System) > 更新 (Updates) > 上传更新 (Upload Update) 按钮 > 指定软件更新源 (Specify software update source) 选项

升级会推迟计划任务。

FMC 升级流程现在会推迟计划任务。任何计划在升级期间开始的任务都将在升级后重新启动后五分钟开始。

 

在开始任何升级之前,您仍必须确保运行任务已完成。在升级开始时运行的任务会停止,成为失败的任务,且不能恢复。

请注意,受支持的版本进行的所有升级均支持此功能。这包括 6.4.0.10 及更高版本补丁、版本 6.6.3 及更高维护版本以及版本 6.7.0+。从不支持的版本升级支持的版本时,不支持此功能。

表 9. 版本 6.4.0 功能

特性

说明

升级会推迟计划任务。

FMC 升级流程现在会推迟计划任务。任何计划在升级期间开始的任务都将在升级后重新启动后五分钟开始。

 

在开始任何升级之前,您仍必须确保运行任务已完成。在升级开始时运行的任务会停止,成为失败的任务,且不能恢复。

请注意,受支持的版本进行的所有升级均支持此功能。这包括 6.4.0.10 及更高版本补丁、版本 6.6.3 及更高维护版本以及版本 6.7.0+。从不支持的版本升级支持的版本时,不支持此功能。

表 10. 版本 6.2.3 的功能

特性

说明

升级前,将升级包复制到托管设备。

现在,您可以在运行实际升级之前,将升级软件包从 FMC 复制(或推送)到受管设备。这是非常有用的,因为您可以在“升级维护”窗口之外的低带宽使用时间内推送。

当您推送到高可用性、集群或可堆叠设备时,系统首先将升级软件包发送到活动/主要/首要设备,然后再发送到备用/数据/辅助设备。

新增/修改的屏幕: 系统 (System) > 更新 (Updates)