规划升级

升级规划阶段

认真规划和准备可以帮助您避免失误。此表总结了升级规划流程。有关详细核对表和程序,请参阅相应升级或配置指南中的升级章节

表 1. 升级规划阶段

规划阶段

包括

规划和可行性

评估部署。

计划升级路径。

阅读所有升级指南和计划配置更改。

检查设备访问。

检查带宽。

安排维护窗口。

备份

备份软件。

在 Firepower 4100/9300 上备份 FXOS。

备份适用于 ASA FirePOWER 的 ASA。

升级程序包

从 Cisco 下载升级包。

将升级包上传到系统。

关联升级

升级虚拟部署中的虚拟主机。

升级 Firepower 4100/9300 的 FXOS。

升级适用于 ASA FirePOWER 的 ASA。

最终检查

检查配置。

检查 NTP 同步。

检查硬盘空间。

部署配置。

运行就绪性检查。

检查正在运行的任务。

检查部署运行状况和通信。

当前版本和型号信息

使用这些命令查找部署的当前版本和型号信息,

表 2.

组件

信息

Firepower 管理中心

FMC 上,选择帮助 (Help) > 关于 (About)

Firepower 托管设备

FMC 上,选择设备 (Devices) > 设备管理 (Device Management)

适用于 Firepower 4100/9300 的 FXOS

Firepower 机箱管理器:选择概述 (Overview)

FXOS CLI:对于版本,请使用 show version 命令。对于型号,请输入 scope chassis 1 ,然后输入 show inventory

具备 FirePOWER 服务的 ASA 的 ASA 操作系统

在 ASA CLI 上,使用 show version 命令。

虚拟托管环境

请参阅您的虚拟托管环境的相关文档。

升级路径

您的升级路径是您要升级的内容和时间的详细计划,包括虚拟托管环境和设备操作系统。您必须始终保持硬件、软件、操作系统和托管兼容性。


提示

本指南涵盖了 Firepower 7.0.x 及更早版本。请参阅本指南适用对象

当前版本是什么?

升级任何 Firepower 设备之前,请先确定部署的当前状态。除了当前版本和型号信息之外,请确定您的设备是否配置为高可用性/可扩展性,以及是否将它们作为 IPS、防火墙等进行被动部署。

请参阅当前版本和型号信息

要升级到哪个版本?

既然您已经知道了自己当前的版本,请确保可以升级到想到的版本:

  • 您的部署能否运行目标 Firepower 版本?

  • 您的设备是否需要单独的操作系统升级才能运行目标 Firepower 版本?您的设备能否运行目标操作系统?

  • 您的虚拟设备是否需要升级托管环境才能运行目标 Firepower 版本?

有关所有这些问题的答案,请参阅以下之一:

如何达成目标?

确定设备可以运行目标版本后,请确保可以直接升级:

  • 是否可以直接升级 Firepower 软件?

  • Firepower 4100/9300 是否可以直接升级 FXOS?

  • 具有 FirePOWER 服务的 ASA,是否可以直接升级 ASA?

有关所有这些问题的答案,请参阅本指南中提供的升级路径。


提示

需要中间版本的升级路径可能非常耗时。尤其是在大型 Firepower 部署中,您必须备用 FMC 和设备升级,请考虑重新映像旧设备而不是升级。首先,从 FMC 中删除设备。然后,升级 FMC,重新映像设备,并将其重新添加到 FMC。

是否可以保持部署兼容性?

您必须始终保持硬件、软件和操作系统兼容性:

升级路径:Firepower 管理中心

此表提供了 FMC 的升级路径,包括 FMCv。

在左列中查找当前版本。您可以直接升级到右列中列出的任何版本。

如果当前版本是在目标版本之后的某个日期发布的,则您可能无法如表中所列进行升级。在这些情况下,升级会快速失败并显示错误,说明两个版本之间存在数据存储不兼容问题。 当前和目标版本的会列出任何特定限制。

表 3. FMC 直接升级

当前版本

目标版本

7.0.0

7.0.x

最后支持 FMC 1000、2500 和 4500

→任何更高版本的 7.0.x 维护版本

6.7.0

6.7.x

以下项中的任一个:

→7.0.0 或任何 7.0.x 维护版本

→6.7.x 以后的任何维护版本

6.6.0

6.6.x

最后支持 FMC 2000 和 4000。

以下项中的任一个:

→7.0.0 或任何 7.0.x 维护版本

→6.7.0 或任何 6.7.x 维护版本

→6.6.x 以后的任何维护版本

注:由于数据存储不兼容,您无法从版本 6.6.5+ 升级到版本 6.7.0。我们建议您直接升级到版本 7.0.0+。

6.5.0

以下项中的任一个:

→7.0.0 或任何 7.0.x 维护版本

→6.7.0 或任何 6.7.x 维护版本

→6.6.0 或任何 6.6.x 维护版本

6.4.0

最后支持 FMC 750、1500 和 3500。

以下项中的任一个:

→7.0.0 或任何 7.0.x 维护版本

→6.7.0 或任何 6.7.x 维护版本

→6.6.0 或任何 6.6.x 维护版本

→ 6.5.0

6.3.0

以下项中的任一个:

→6.7.0 或任何 6.7.x 维护版本

→6.6.0 或任何 6.6.x 维护版本

→ 6.5.0

→ 6.4.0

6.2.3

以下项中的任一个:

→6.6.0 或任何 6.6.x 维护版本

→ 6.5.0

→ 6.4.0

→ 6.3.0

6.2.2

以下项中的任一个:

→ 6.4.0

→ 6.3.0

→ 6.2.3

6.2.1

以下项中的任一个:

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.2.0

以下项中的任一个:

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.1.0

以下项中的任一个:

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.0

6.0.1

以下项中的任一个:

→ 6.1.0

6.0.0

以下项中的任一个:

→ 6.0.1

需要预安装包:Firepower 系统发行说明版本 6.0.1 预安装

5.4.1.1

以下项中的任一个:

→ 6.0.0

需要预安装包:FireSIGHT 系统发行说明版本 6.0.0 预安装

升级路径:带有 FTD 逻辑设备和 FMC 的

此表提供由 Firepower 管理中心管理的具有 FTD 逻辑设备的 Firepower 4100/9300 的升级路径。

如果要使用在单独的模块上运行的 FTD ASA 逻辑设备升级 Firepower 9300 机箱,请参阅Cisco Firepower 4100/9300 升级指南,Firepower 6.0.1–7.0.x 或 ASA 9.4(1)–9.16(x) 包括 FXOS 1.1.1–2.10.1

在左列中查找您的当前版本组合。您可以升级到右列中列出的任何版本组合。这是一个多步骤过程:首先升级 FXOS,然后升级逻辑设备。

请注意,此表仅列出思科的特殊限定版本组合。由于您必须首先升级 FXOS,因此您将短暂运行受支持(但不推荐)的组合,其中 FXOS 位于逻辑设备之前。如需了解最小内部版本和其他详细的兼容性信息,请参阅Cisco Firepower 4100/9300 FXOS 兼容性

对于 FXOS 的早期版本,您必须升级到当前版本与目标版本之间的所有中间版本。到达 FXOS 2.2.2 后,您的升级选项会更广泛。
表 4. 升级路径:采用 FTD 逻辑设备的 Firepower 4100/9300

当前版本

目标设备

具有 FTD 6.7.0/6.7.x 的 FXOS 2.9.1

→ 具有 FTD 7.0.0/7.0.x 的 FXOS 2.10.1

具有 FTD 6.6.0/6.6.x 的 FXOS 2.8.1

以下项中的任一个:

→ 具有 FTD 7.0.0/7.0.x 的 FXOS 2.10.1

→ 具有 FTD 6.7.x 的 FXOS 2.9.1

具有 FTD 6.5.0 的 FXOS 2.7.1

以下项中的任一个:

→ 具有 FTD 7.0.0/7.0.x 的 FXOS 2.10.1

→ 具有 FTD 6.7.0/6.7.x 的 FXOS 2.9.1

→ 具有 FTD 6.6.0/6.6.x 的 FXOS 2.8.1

具有 FTD 6.4.0 的 FXOS 2.6.1

以下项中的任一个:

→ 具有 FTD 7.0.0/7.0.x 的 FXOS 2.10.1

→ 具有 FTD 6.7.0/6.7.x 的 FXOS 2.9.1

→ 具有 FTD 6.6.0/6.6.x 的 FXOS 2.8.1

→具有 FTD 6.5.0 的 FXOS 2.7.1

具有 FTD 6.3.0 的 FXOS 2.4.1

以下项中的任一个:

→ 具有 FTD 6.7.0/6.7.x 的 FXOS 2.9.1

→ 具有 FTD 6.6.0/6.6.x 的 FXOS 2.8.1

→具有 FTD 6.5.0 的 FXOS 2.7.1

→具有 FTD 6.4.0 的 FXOS 2.6.1

具有 FTD 6.2.3 的 FXOS 2.3.1

以下项中的任一个:

→ 具有 FTD 6.6.0/6.6.x 的 FXOS 2.8.1

→具有 FTD 6.5.0 的 FXOS 2.7.1

→具有 FTD 6.4.0 的 FXOS 2.6.1

→具有 FTD 6.3.0 的 FXOS 2.4.1

具有 FTD 6.2.2 的 FXOS 2.2.2

以下项中的任一个:

→具有 FTD 6.4.0 的 FXOS 2.6.1

→具有 FTD 6.3.0 的 FXOS 2.4.1

→ 具有 FTD 6.2.3 的 FXOS 2.3.1

具有 FTD 6.2.0 的 FXOS 2.2.2

以下项中的任一个:

→具有 FTD 6.4.0 的 FXOS 2.6.1

→具有 FTD 6.3.0 的 FXOS 2.4.1

→ 具有 FTD 6.2.3 的 FXOS 2.3.1

→具有 FTD 6.2.2 的 FXOS 2.2.2
具有 FTD 6.2.0 的 FXOS 2.2.1

→ 具有 FTD 6.2.0 的 FXOS 2.2.2(升级 FXOS)

另一种选择是使用 FTD 6.2.2 升级到 FXOS 2.2.2,这是推荐的组合。但是,如果您计划进一步升级您的部署,请不要打扰。现在您正在运行 FXOS 2.2.2,您可以使用 FTD 6.4.0 升级到 FXOS 2.6.1。

具有 FTD 6.2.0 的 FXOS 2.1.1

→具有 FTD 6.2.0 的 FXOS 2.2.1(升级 FXOS)

具有 FTD 6.1.0 的 FXOS 2.0.1

→ 具有 FTD 6.2.0 的 FXOS 2.1.1

具有 FTD 6.0.1 的 FXOS 1.1.4

→具有 FTD 6.1.0 的 FXOS 2.0.1

使用集群或 HA 对中的 FTD 逻辑设备升级 FXOS

在 Firepower 管理中心部署中,您可以将集群和高可用性 FTD 逻辑设备作为一个单元进行升级。然而,你可以单独在每个机箱上升级 FXOS。

表 5. FXOS + FTD 升级顺序

部署

升级顺序

独立设备

集群,同一机箱上的设备(仅限 Firepower 9300)

  1. 升级 FXOS。

  2. 升级 FTD。

低间断性

要最大限度地减少中断,请始终升级备用设备。

  1. 在备用设备上升级 FXOS。

  2. 切换角色。

  3. 新的备用设备上升级 FXOS。

  4. 升级 FTD。

集群,不同机箱上的设备 (6.2+)

为了最大限度地减少中断,请始终升级全数据单元机箱。例如,对于双机箱集群:

  1. 在全数据单元机箱上升级 FXOS。

  2. 将控制模块切换到您刚刚升级的机箱。

  3. 在全新全数据单元机箱上升级 FXOS。

  4. 升级 FTD。

对于旧版本,无中断升级有一些额外要求。

表 6. 较旧版本的无中断升级

场景

详细信息
升级高可用性或集群设备,您当前正在运行以下任何设备:

  • FXOS 1.1.4.x 至 2.2.1.x

  • FXOS 2.2.2.17 至 FXOS 2.2.2.68

  • FXOS 2.3.1.73 至 FXOS 2.3.1.111

具有:

  • FTD 6.0.1 至 6.2.2.x

流负载分流:由于在流负载分流功能中修复了漏洞,因此 FXOS 和 FTD 的一些组合不支持流负载分流;请参阅 Cisco Firepower 兼容性指南。执行无中断升级要求您始终运行兼容的组合。

如果您的升级路径包括将 FXOS 升级到 2.2.2.91、2.3.1.130 或更高版本(包括 FXOS 2.4.1. x、2.6.1. x 等),请使用此路径:

1. 将 FTD 升级到 6.2.2.2 或更高版本。

2. 将 FXOS 升级到 2.2.2.91、2.3.1.130 或更高版本。

3. 将 FTD 升级到您的最终版本。

例如,如果您运行的是 2.2.2.17/FTD 6.2.2.0,并且要升级到 FXOS 2.6.1/FTD 6.4.0,则可以执行以下操作:

1. 将 FTD 升级到 6.2.2.5。

2. 将 FXOS 升级到 2.6.1。

3. 将 FTD 升级到 6.4.0。

将高可用性设备升级到 FTD 版本 6.1.0

需要预安装软件包。有关详细信息,请参阅 Firepower 系统发行说明 6.1.0 版预安装包

降级说明

官方不支持 FXOS 映像降级。思科唯一支持的 FXOS 映像版本降级方法是对设备执行完整的重新映像。

升级路径:其他 Firepower 威胁防御 设备

下表提供了由 FMC 管理的 FTD 设备的升级路径,您无需在其中更新操作系统:Firepower 1000/2100 系列、ASA 5500-X 系列、ISA 3000 和 Firepower 虚拟威胁防御

在左列中查找当前版本。您可以直接升级到右列中列出的任何版本。

表 7. 升级路径:带有 FMC 的 Firepower 1000/2100 系列、ASA 5500-X 系列、ISA 3000 和 Firepower 虚拟威胁防御

当前版本

目标版本

7.0.0

7.0.x

ASA 5508-X 和 5516-X 的最后 FTD 支持。

→任何更高版本的 7.0.x 维护版本

6.7.0

6.7.x

以下项中的任一个:

→7.0.0 或任何 7.0.x 维护版本

→6.7.x 以后的任何维护版本

6.6.0

6.6.x

ASA 5525-X,5545-X 和 5555-X 的最后 FTD 支持。

以下项中的任一个:

→7.0.0 或任何 7.0.x 维护版本

→6.7.0 或任何 6.7.x 维护版本

→6.6.x 以后的任何维护版本

6.5.0

以下项中的任一个:

→7.0.0 或任何 7.0.x 维护版本

→6.7.0 或任何 6.7.x 维护版本

→6.6.0 或任何 6.6.x 维护版本

6.4.0

对 ASA 5515-X 最后的 FTD 支持。

以下项中的任一个:

→7.0.0 或任何 7.0.x 维护版本

→6.7.0 或任何 6.7.x 维护版本

→6.6.0 或任何 6.6.x 维护版本

→ 6.5.0

6.3.0

以下项中的任一个:

→6.7.0 或任何 6.7.x 维护版本

→6.6.0 或任何 6.6.x 维护版本

→ 6.5.0

→ 6.4.0

6.2.3

ASA 5506-X 系列的最新 FTD 支持。

以下项中的任一个:

→6.6.0 或任何 6.6.x 维护版本

→ 6.5.0

→ 6.4.0

→ 6.3.0

6.2.2

以下项中的任一个:

→ 6.4.0

→ 6.3.0

→ 6.2.3

6.2.1

仅 Firepower 2100 系列。

以下项中的任一个:

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.2.0

以下项中的任一个:

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.1.0

以下项中的任一个:

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.0

6.0.1

→ 6.1.0

升级路径:Firepower 7000/8000 系列

此表提供了由 FMC 管理的 Firepowert 7000/8000 系列设备的升级路径。

在左列中查找当前版本。您可以直接升级到右列中列出的任何版本。

表 8. 升级路径:带有 FMC 的 Firepower 7000/8000 系列

当前版本

目标版本

6.4.0

无。

版本 6.4.0 是 Firepower 7000/8000 系列设备的最后一个主要版本。

6.3.0

以下项中的任一个:

→ 6.4.0

6.2.3

以下项中的任一个:

→ 6.4.0

→ 6.3.0

6.2.2

以下项中的任一个:

→ 6.4.0

→ 6.3.0

→ 6.2.3

6.2.1

此平台上不支持。

-

6.2.0

以下项中的任一个:

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.1.0

以下项中的任一个:

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.0

6.0.1

以下项中的任一个:

→ 6.1.0

6.0.0

以下项中的任一个:

→ 6.0.1

5.4.0.2

以下项中的任一个:

→ 6.0.0

需要预安装包:FireSIGHT 系统发行说明版本 6.0.0 预安装

升级路径: ASA FirePOWER

此表提供由 FMC 管理的 ASA FirePOWER 模块 的升级路径。

在左列中查找当前版本。您可以直接升级到右列中列出的任何版本。

如果需要,您还可以升级 ASA。ASA 与 ASA FirePOWER 版本之间有广泛的兼容性。但通过升级,您可以利用新功能和已解决的问题。有关 ASA 升级路径,请参阅 升级路径:适用于 ASA FirePOWER 的 ASA

表 9. 升级路径:带有 FMC 的 ASA FirePOWER

当前版本

目标版本

7.0.0

7.0.x

在任何平台上最后支持的 ASA FirePOWER。

→任何更高版本的 7.0.x 维护版本

6.7.0

6.7.x

以下项中的任一个:

→7.0.0 或任何 7.0.x 维护版本

→6.7.x 以后的任何维护版本

6.6.0

6.6.x

ASA 5525-X,5545-X 和 5555-X 的最后 ASA FirePOWER 支持。

以下项中的任一个:

→7.0.0 或任何 7.0.x 维护版本

→6.7.0 或任何 6.7.x 维护版本

→6.6.x 以后的任何维护版本

6.5.0

以下项中的任一个:

→7.0.0 或任何 7.0.x 维护版本

→6.7.0 或任何 6.7.x 维护版本

→6.6.0 或任何 6.6.x 维护版本

6.4.0

ASA 5585-X 系列和 ASA 5515-X 的最后 ASA FirePOWER 支持。

以下项中的任一个:

→7.0.0 或任何 7.0.x 维护版本

→6.7.0 或任何 6.7.x 维护版本

→6.6.0 或任何 6.6.x 维护版本

→ 6.5.0

6.3.0

以下项中的任一个:

→6.7.0 或任何 6.7.x 维护版本

→6.6.0 或任何 6.6.x 维护版本

→ 6.5.0

→ 6.4.0

6.2.3

ASA 5506-X 系列和 ASA 5512-X 的最后 ASA FirePOWER 支持。

以下项中的任一个:

→6.6.0 或任何 6.6.x 维护版本

→ 6.5.0

→ 6.4.0

→ 6.3.0

6.2.2

以下项中的任一个:

→ 6.4.0

→ 6.3.0

→ 6.2.3

6.2.1

此平台上不支持。

-

6.2.0

以下项中的任一个:

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.1.0

以下项中的任一个:

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.0

6.0.1

以下项中的任一个:

→ 6.1.0

6.0.0

以下项中的任一个:

→ 6.0.1

5.4.0.2 或 5.4.1.1

以下项中的任一个:

→ 6.0.0

需要预安装包:FireSIGHT 系统发行说明版本 6.0.0 预安装

升级 ASA

ASA 与 ASA FirePOWER 版本之间有广泛的兼容性。但通过升级,您可以利用新功能和已解决的问题。有关详细的兼容性信息,请参阅 Cisco Secure Firewall ASA 兼容性

即使已配置 ASA 集群或故障转移对,也应在每个设备上独立升级 ASA。究竟何时升级 ASA FirePOWER 模块(在 ASA 重新加载之前或之后)取决于您的部署。下表概述了独立和 HA/可扩展性部署的 ASA 升级顺序。有关详细说明,请参阅升级 ASA

表 10. ASA + ASA FirePOWER 升级顺序

ASA 部署

升级顺序

独立设备

  1. 升级 ASA,包括重新加载。

  2. 升级 ASA FirePOWER

ASA 故障转移:主用/备用

始终升级备用设备。

  1. 在备用设备上升级 ASA,但不重新加载。

  2. 在备用设备上升级 ASA FirePOWER

  3. 在备用设备上重新加载 ASA。

  4. 故障转移。

  5. 在新的备用设备上升级 ASA。

  6. 在新的备用设备上升级 ASA FirePOWER

  7. 在新的备用备用上重新加载 ASA。

ASA 故障转移:主用/主用

在未升级的设备上使两个故障转移组均处于活动状态。

  1. 使两个故障转移组在主设备上均处于活动状态。

  2. 在辅助设备上升级 ASA,但不重新加载。

  3. 在辅助设备上升级 ASA FirePOWER

  4. 在辅助设备上重新加载 ASA。

  5. 使两个故障转移组在辅助设备上均处于活动状态

  6. 在主设备上升级 ASA,但不重新加载。

  7. 在主设备上升级 ASA FirePOWER

  8. 在主设备上重新加载 ASA。

ASA 集群

升级前,在每个设备上禁用集群。一次升级一个设备,将控制单元留到最后。

  1. 在从数据单元上禁用集群。

  2. 在该数据单元上升级 ASA,但不重新加载。

  3. 在设备上升级 ASA FirePOWER

  4. 重新加载 ASA。

  5. 重新启用集群。等待单元重新加入集群。

  6. 对每个从属数据单元上述操作。

  7. 在控制单元上禁用集群。等待新的控制接管。

  8. 在以前的控制单元上升级 ASA,但不重新加载。

  9. 升级前控制单元上的 ASA FirePOWER

  10. 重新启用集群。

升级路径:适用于 ASA FirePOWER 的 ASA

下表提供具有 FirePOWER 服务的 ASA 上的 ASA 升级路径。 ASA 与 ASA FirePOWER 版本之间有广泛的兼容性。但通过升级,您可以利用新功能和已解决的问题。

在左列中查找您的当前 ASA 版本。您可以直接升级到列出的目标版本。建议的版本以粗体显示

表 11. 升级路径:适用于 ASA FirePOWER 的 ASA

当前版本

目标版本

9.15(x)

Firepower 版本 7.0.x 在任何平台上的最后 ASA FirePOWER 支持。

9.16(x)

9.14(x)

ASA 5525-X,ASA 5545-X和ASA 5555-X(含 Firepower 版本 6.6.x)的最后 ASA FirePOWER 支持。

以下项中的任一个:

9.16(x)

9.15(x)

9.13(x)

以下项中的任一个:

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

ASA 5515-X 和 ASA 5585-X 的最新 ASA FirePOWER 最后支持,使用 Firepower 版本 6.4.0。

以下项中的任一个:

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

9.10(x)

以下项中的任一个:

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

9.9(x)

ASA 5506-X 系列和 ASA 5512-X 的最后一个 ASA FirePOWER Firepower 支持,使用 Firepower 版本 6.2.3。

以下项中的任一个:

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

以下项中的任一个:

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

9.7(x)

以下项中的任一个:

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

9.6(x)

以下项中的任一个:

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

→ 9.6(x)

9.5(x)

以下项中的任一个:

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

→ 9.6(x)

9.4(x)

以下项中的任一个:

9.16(x)

9.15(x)

9.14(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

→ 9.6(x)

9.3(x)

以下项中的任一个:

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

→ 9.6(x)

9.2(x)

以下项中的任一个:

9.16(x)

9.15(x)

9.14(x)

9.13(x)

9.12(x)

→ 9.10(x)

→ 9.9(x)

9.8(x)

→ 9.6(x)

升级路径:NGIPSv

此表提供由 FMC 管理的 NGIPSv 的升级路径。

在左列中查找当前版本。您可以直接升级到右列中列出的任何版本。

表 12. 升级路径:带有 FMC 的 NGIPSv

当前版本

目标版本

7.0.0

7.0.x

最后的 NGIPSv 支持。

→任何更高版本的 7.0.x 维护版本

6.7.0

6.7.x

以下项中的任一个:

→7.0.0 或任何 7.0.x 维护版本

→6.7.x 以后的任何维护版本

6.6.0

6.6.x

以下项中的任一个:

→7.0.0 或任何 7.0.x 维护版本

→6.7.0 或任何 6.7.x 维护版本

→6.6.x 以后的任何维护版本

6.5.0

以下项中的任一个:

→7.0.0 或任何 7.0.x 维护版本

→6.7.0 或任何 6.7.x 维护版本

→6.6.0 或任何 6.6.x 维护版本

6.4.0

以下项中的任一个:

→7.0.0 或任何 7.0.x 维护版本

→6.7.0 或任何 6.7.x 维护版本

→6.6.0 或任何 6.6.x 维护版本

→ 6.5.0

6.3.0

以下项中的任一个:

→6.7.0 或任何 6.7.x 维护版本

→6.6.0 或任何 6.6.x 维护版本

→ 6.5.0

→ 6.4.0

6.2.3

以下项中的任一个:

→6.6.0 或任何 6.6.x 维护版本

→ 6.5.0

→ 6.4.0

→ 6.3.0

6.2.2

以下项中的任一个:

→ 6.4.0

→ 6.3.0

6.2.1

此平台上不支持。

-

6.2.0

以下项中的任一个:

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.1.0

以下项中的任一个:

→ 6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.0

6.0.1

以下项中的任一个:

→ 6.1.0

6.0.0

以下项中的任一个:

→ 6.0.1

5.4.1.1

以下项中的任一个:

→ 6.0.0

需要预安装包:FireSIGHT 系统发行说明版本 6.0.0 预安装

无响应的升级

请勿在升级期间进行或部署配置更改。即使系统显示为非活动状态,也不要在升级过程中手动重新启动或关闭。您可以将系统置于不可用状态并要求重新映像。

无响应 FMC 或经典设备 升级

请勿重启正在进行的升级。如果您遇到升级问题,升级失败的升级或无响应的设备,请联系 Cisco TAC

无响应 FTD 升级

对于主要和维护升级,您可以手动取消失败或正在进行的升级,并重试失败的升级。在 FMC 上,使用“升级状态”(Upgrade Status) 弹出窗口,该窗口可从“设备管理”(Device Management) 页面和消息中心进行访问。您还可以使用 FTD CLI。


默认情况下,在升级失败时 FTD 自动将其恢复到升级前的状态(“自动取消”)。要能够手动取消或重试失败的升级,请在启动升级时禁用自动取消选项。补丁不支持自动取消。在高可用性或集群部署中,自动取消会单独应用于每个设备。也就是说,如果一台设备上的升级失败,则仅恢复该设备。

补丁或 6.6 及更早版本的升级不支持此功能。

时间和磁盘空间测试

出于参考目的,我们为 FMC 和设备软件升级提供内部时间和磁盘空间测试报告。 有关实际报告,请参阅目标版本的发行说明。

时间测试

我们会报告在特定平台/系列上测试的所有软件升级中最慢的测试时间。如下表所述,由于多种原因,您的升级所需的时间可能需要比所述的时间更长。我们建议您跟踪并记录自己的升级时间,以便将其用作未来的基准。


小心

请勿在升级期间进行或部署配置更改。即使系统显示为非活动状态,也不要手动重新启动或关闭。在大多数情况下,请勿重启正在进行的升级。您可以将系统置于不可用状态并要求重新映像。如果您遇到升级问题,包括升级失败或设备无响应,请参阅无响应的升级
表 13. 软件升级的时间测试条件

情况

详细信息

部署

设备升级时间来自 FMC 部署中的测试。在类似条件下,远程和本地管理设备的原始升级时间相似。

版本

对于主要和维护版本,我们会测试所有先前符合条件的主版本的升级。对于补丁,我们会从基础版本测试升级。如果升级跳过版本,则升级时间通常会增加。

模式

大多数情况下,我们测试每个系列中的最低端型号,有时会对系列中的多个型号进行测试。

虚拟设备

我们使用内存和资源的默认设置进行测试。但请注意,虚拟部署中的升级时间很大程度上依赖于硬件。

高可用性/可扩展性

除非另有说明,否则我们将在独立设备上进行测试。

在高可用性或集群配置中,设备一次升级一个可保持操作的连续性,每个设备在升级时以维护模式运行。因此,升级一个设备对或整个集群所需的时间比升级独立设备所需的时间长。

配置

我们对具有最小配置和流量负载的设备进行了测试。

升级时间会随着配置的复杂性、事件数据库的大小以及这些事物是否/如何受到升级的影响而增加。例如,如果您使用大量访问控制规则并且升级需要对这些规则的存储方式进行后端更改,则升级可能需要更长时间。

组件

我们报告软件升级本身和随后的重启时间。这不包括操作系统升级、传输升级包、就绪性检查、VDB 和入侵规则 (SRU/LSP) 更新或部署配置的时间。

磁盘空间测试

我们会报告在特定平台/系列上测试的所有软件升级中使用最多磁盘空间的升级。这包括将升级包复制到设备所需的空间。

我们还报告了设备升级包在 FMC 上所需的空间(在 /Volume 或 /var 中)。如果您FTD 升级包的内部服务器,或者您正在使用 FDM,请忽略这些值。

当我们报告特定位置(例如,/var 或 /ngfw)的磁盘空间估计时,我们会报告该位置中安装的分区的磁盘空间估计值。在某些平台上,这些位置可能在同一个分区上。

如果可用磁盘空间不足,会导致升级失败。

表 14. 检查磁盘空间

平台

命令

FMC

选择系统 (System) > 监控 (Monitoring) > 统计信息 (Statistics),然后选择 FMC。在磁盘使用情况下,展开“按分区”(By Partition) 详细信息。

具有 FTDFMC

选择系统 (System) > 监控 (Monitoring) > 统计信息 (Statistics),然后选择您要检查的设备。在磁盘使用情况下,展开“按分区”(By Partition) 详细信息。

下载升级包

在开始升级之前,请从 思科支持和下载站点 下载升级包。根据具体的升级,您应将软件包放在本地计算机或设备可以访问到的服务器上。本指南中的各个检查清单和程序说明了您的选择。


下载需要登录 Cisco.com,并签署服务合同。

Firepower 软件

思科支持和下载站点上可以获取升级包。

要查找升级包,请选择或搜索您的设备型号,然后浏览至当前版本的软件下载页面。列出了可用的升级包以及安装包、修复程序和其他适用的下载。


提示

可访问互联网的 Firepower 管理中心 可以直接从思科下载特定的版本,在发布后的一段时间内即可手动下载。延迟的长度取决于版本类型、版本采用情况和其他因素。

您对系列或系列中的所有型号使用相同的升级包。升级软件包文件名反映平台、软件包类型(升级、补丁、修复程序)和软件版本。 维护版本使用升级包类型。

例如:

  • 软件包:Cisco_Firepower_Mgmt_Center_Upgrade--999.sh.REL.tar

  • 平台:Firepower 管理中心

  • 包类型:升级

  • 版本和内部版本:-999

  • 文件扩展名:sh.REL.tar

因此,系统可以证实您使用的是正确的文件,来自版本 6.2.1+ 的升级包是签名的 tar 档案 (.tar)。不要解压签名的 (.tar) 包。 并且,请勿通过邮件来传输升级包。


上传签名的升级包后,Firepower 管理中心 GUI 可能需要几分钟才能加载,因为系统需要对包进行验证。要加快显示速度,可删除不再需要的这些软件包。

Firepower 软件升级包

表 15.

平台

版本

数据包

FMC/FMCv

6.3.0+

Cisco_Firepower_Mgmt_Center

5.4.0 至 6.2.3

Sourcefire_3D_Defense_Center_S3

Firepower 1000 系列

任意

Cisco_FTD_SSP-FP1K

Firepower 2100 系列

任意

Cisco_FTD_SSP-FP2K

Firepower 4100/9300

任意

Cisco_FTD_SSP

具备 FTD 的 ASA 5500-X 系列

使用 FTD 的 ISA 3000

FTDv

任意

Cisco_FTD

Firepower 7000/8000 系列

AMP 型号

6.3.0 至 6.4.0

Cisco_Firepower_NGIPS_Appliance

5.4.0 至 6.2.3

Sourcefire_3D_Device_S3

ASA FirePOWER

任意

Cisco_Network_Sensor

NGIPSv

6.3.0+

Cisco_Firepower_NGIPS_Virtual

6.2.2 至 6.2.3

Sourcefire_3D_Device_VMware

5.4.0 至 6.2.0

Sourcefire_3D_Device_Virtual64_VMware

FXOS 软件包

思科支持和下载站点 上提供适用于 Firepower 4100/9300 的 FXOS 软件包。

要查找 FXOS 软件包,请选择或搜索您的 Firepower 设备型号,然后浏览至目标版本的 Firepower 可扩展操作系统下载页面。

如果计划使用 CLI 升级 FXOS,请将升级软件包复制到 Firepower 4100/9300 可以使用 SCP、SFTP、TFTP 或 FTP 访问的服务器。

表 16. 适用于 Firepower 4100/9300 的 FXOS 软件包

软件包类型

数据包

FXOS 映像

fxos-k9.版本.SPA

恢复 (kickstart)

fxos-k9-kickstart.版本.SPA

恢复(管理器)

fxos-k9-manager.版本.SPA

恢复(系统)

fxos-k9-system.版本.SPA

MIB

fxos-mibs-fp9k-fp4k.版本.zip

固件:Firepower 4100 系列

fxos-k9-fpr4k-firmware.版本.SPA

固件:Firepower 9300

fxos-k9-fpr9k-firmware.版本.SPA

ASA 软件包

ASA 软件在 思科支持和下载站点 上可用。

要查找 ASA 软件,请选择或搜索您的 Firepower 设备型号,然后浏览至相应的下载页面并选择一个版本。

如果您正在使用 ASDM 升级向导,则不必预先下载。否则,请下载到本地计算机。对于 CLI 升级,您应将软件复制到设备可通过 ASA copy 命令支持的任何协议(包括 HTTP、FTP 和 SCP)来访问的服务器。

表 17. ASA 软件

下载页面

软件类型

数据包

自适应安全设备 (ASA) 软件

ASA 和 ASDM 升级

asaversion-lfbff-k8.SPA

对于 ASA 5506-X、ASA 5508-X、ASA 5516-X 和 ISA 3000

asaversion-smp-k8.bin

对于 ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X 和 ASA 5585-X

自适应安全设备 (ASA) 设备管理器

仅 ASDM 升级

asdm-version.bin

自适应安全设备 REST API 插件

ASA REST API

asa-restapi-version-lfbff-k8.SPA

上传 的 Firepower 软件升级包

要升级 Firepower 软件,必须在设备上安装软件升级包。

上传到 Firepower 管理中心

使用此程序可将用于其自身及其管理的设备的 Firepower 软件升级软件包手动上传到 Firepower 管理中心

开始之前

如果您升级的是高可用性对中的备用 Firepower 管理中心,请暂停同步。

在 FMC 高可用性部署中,必须将 FMC 升级软件包上传到两个对等设备,在将软件包传输到备用设备之前暂停同步。要限制 HA 同步的中断,您可以在升级准备阶段将数据包传输到主用对等设备,并在暂停同步后将其作为实际升级过程的一部分传输到备用对等设备。

过程

步骤 1

Firepower 管理中心Web 界面上,选择系统 > 更新

步骤 2

点击上传更新

提示

 

稍等片刻,当版本可以手动下载后,选择可以由 Firepower 管理中心 直接下载的升级包。延迟的长度取决于版本类型、版本采用情况和其他因素。如果您可以Firepower 管理中心访问互联网,则可以点击下载更新 (Download Updates) 下载适用于您的部署的所有符合条件的软件包,并根据需要下载最新的 VDB。

步骤 3

(版本 6.6.0+)对于操作,请点击上传本地软件更新包单选按钮。

步骤 4

点击选择文件

步骤 5

浏览到升级包并点击上传 (Upload)

上传到内部服务器(带有 FMC 的版本 6.6.0+ FTD)

从版本 6.6.0 开始,Firepower 威胁防御设备可以从内部 Web 服务器而不是从 FMC 获取升级软件包。这在 FMC 及其设备之间的带宽有限时尤其有用。它还可以节省 FMC 的空间。

此功能仅支持运行版本 6.6.0+ 的 FTD 设备。它不支持升级版本 6.6.0,也不支持 FMC 或经典设备

要配置此功能,请保存指向升级包在 Web 服务器上的位置的指针 (URL)。然后,升级过程将从 Web 服务器而不是 FMC 获取升级软件包。或者,您可以使用 FMC 在升级之前复制软件包。

对于每个 FTD 升级包重复上述过程。每个升级包只能配置一个位置。

开始之前

  • 思科支持和下载站点 下载相应的升级软件包,并将其复制到 FTD 设备可以访问的内部 Web 服务器。

  • 对于安全 Web 服务器 (HTTPS),获取服务器的数字证书(PEM 格式)。您应该能够从服务器的管理员处获取证书。您还可以使用浏览器或 OpenSSL 等工具查看服务器的证书详细信息,以及导出或复制证书。

过程

步骤 1

在 FMC Web 界面上,选择 系统 > 更新

步骤 2

点击上传更新

选择此选项,即使您不会上传任何内容。下一页将提示您输入 URL。

步骤 3

对于操作,请点击指定软件更新源单选按钮。

步骤 4

输入升级软件包的源 URL

提供协议 (HTTP/HTTPS) 和完整路径,例如:

https://internal_web_server/upgrade_package.sh.REL.tar

升级软件包文件名反映平台、软件包类型(升级、补丁、修复程序)和要升级到的 Firepower 版本。确保输入正确的文件名。

步骤 5

对于 HTTPS 服务器,请提供 CA 证书

这是您之前获得的服务器数字证书。复制整个文本块,包括 BEGIN CERTIFICATE 和 END CERTIFICATE 行。

步骤 6

点击保存

您将返回到“产品更新”页面。上传的升级软件包和升级软件包 URL 一起列出,但有不同的标签。

复制到托管设备

要升级 Firepower 软件,升级软件包必须位于设备上。如果受支持,我们建议您在启动设备升级之前,使用此程序将软件包复制(推送)到托管设备。


如果使用的是 Firepower 4100/9300,我们建议(有时需要)在开始所需的随附 FXOS 升级之前复制 Firepower Threat Defense 升级软件包。

支持情况因 Firepower 版本而异:

  • 版本 6.2.2 及更早版本不支持预升级复制。

    当您开始设备升级时,系统会将升级包从 Firepower 管理中心 复制到设备作为第一个任务。

  • 版本 6.2.3 增加了从手动将升级软件包从 Firepower 管理中心 复制到设备的功能。

    这样可以减少升级维护窗口的时长。

  • 版本 6.6.0 增加了将升级软件包从内部 Web 服务器手动复制到 Firepower Threat Defense 设备的功能。

    如果 Firepower 管理中心与其 Firepower Threat Defense 设备之间的带宽有限,这种做法非常有用。它还可以节省 Firepower 管理中心 上的空间。

  • 版本 7.0.0 引入了新的 Firepower Threat Defense 升级工作流程,提示您将升级包复制到 Firepower Threat Defense 设备。

    如果您的 Firepower 管理中心 运行的是版本 7.0.0+,我们建议您使用“设备升级”页面将升级包复制到 FTD 设备;请参阅升级带有 FMC 的 Firepower 威胁防御(版本7.0.0)。您仍必须使用此程序将较早部署中的升级软件包复制到经典设备(Firepower 7000/8000 系列、ASA FirePOWER、NGIPSv)

请注意,手动复制时,每台设备都会从源获取升级软件包,即系统不会在集群、堆栈或 HA 成员设备之间复制升级软件包。

开始之前

确保管理网络具有执行大型数据传输的带宽。请参阅将数据从 Firepower 管理中心下载到受管设备的准则(故障排除技术说明)。

过程

步骤 1

Firepower 管理中心Web 界面上,选择系统 > 更新

步骤 2

将升级包放在设备可以拿到的地方。

  • Firepower 管理中心:手动将软件包上传或直接检索到 FMC。

  • 内部 Web 服务器(Firepower Threat Defense 版本 6.6.0+):上传到内部 Web 服务器并配置 Firepower Threat Defense 设备以从该服务器获取软件包。

步骤 3

点击您想要推送的升级软件包旁边的推送 (Push)(6.5.0 及更早版本)或推送或准备更新 (Push or Stage update)(6.6.0 及以上版本)图标,然后选择目标设备。

如果您想要推送升级软件包的设备未列出,则表示您选择了错误的升级软件包。

步骤 4

推送数据包

  • Firepower 管理中心:点击推送 (Push)

  • 内部 Web 服务器:点击从来源将更新下载到设备 (Download Update to Device from Source)

Firepower 软件就绪性检查

就绪性检查旨在评估 Firepower 设备对于软件升级的准备程度。如果设备的就绪性检查失败,请纠正问题并再次运行就绪性检查。如果就绪性检查列出了您无法解决的问题,我们建议不要开始升级。

运行就绪性检查所需的时间因设备型号和数据库大小而异。更高的版本也具有更快的就绪性检查。

通过 FMC 运行就绪性检查(版本 7.0.0+ FTD)

如果 FMC 运行的是版本 7.0.0+,我们建议您使用“设备升级”页面在 FTD 设备上运行就绪性检查;请参阅升级带有 FMC 的 Firepower 威胁防御(版本7.0.0)

如果您符合以下条件,请参阅以下主题:

  • 对 FMC 自身运行就绪性检查。

  • 在受管设备上运行就绪性检查,并且您的 FMC 正在运行版本 6.7.x。

  • 在受管设备上运行就绪性检查,并且您的 FMC 正在运行版本 6.6.x 或更早版本。

通过 FMC 运行就绪性检查(版本 6.7.0+)

此程序适用于当前运行版本 6.7.0+ 的 FMC 及其受管设备,包括运行较早版本 (6.3.0–6.6.x) 的设备,以及高可用性和可扩展性部署中的 FTD 设备。


重要

如果 FMC 运行的是版本 7.0.0+,我们建议您使用“设备升级”页面在 FTD 设备上运行就绪性检查;请参阅 升级带有 FMC 的 Firepower 威胁防御(版本7.0.0)。您仍必须使用此程序在 FMC 和任何经典设备上运行就绪性检查。

开始之前

  • 将 FMC 升级到至少版本 6.7.0。如果您的 FMC 当前运行的是较早版本,请参阅通过 FMC 运行就绪性检查(版本 6.0.1–6.6.x)

  • 为要检查的设备将升级软件包上传到 FMC。如果要检查版本 6.6.0+ FTD 设备,您也可以在内部 Web 服务器上指定升级包位置。这是必需的,因为就绪性检查包含在升级包中。

  • (可选)如果要将经典设备升级到任何版本,或将 FTD 设备升级到版本 6.3.0.1–6.6.x,请将升级包复制到设备。这样可以减少运行就绪性检查所需的时间。如果要将 FTD 设备升级到版本 6.7.0+,可以跳过这一步。虽然我们仍然建议您在开始升级之前先将升级软件包复制到设备,但在运行就绪性检查之前,您无需再执行此操作。

过程

步骤 1

在 FMC Web 界面上,选择 系统 > 更新

步骤 2

在可用的升级下,点击相应升级软件包旁边的 安装 图标。

系统将显示符合条件的设备列表,以及其升级前兼容性检查结果。从版本 6.7.0 开始,FTD 设备必须通过某些基本检查,然后才能运行更复杂的就绪性检查。此预先检查会捕获将会导致升级失败的问题,但现在我们会更早地捕获这些问题并阻止您继续操作。

步骤 3

选择要检查的设备,然后点击检查就绪性 (Check Readiness)

如果您无法选择符合条件的设备,请确保其通过了兼容性检查。您可能需要升级操作系统或部署配置更改。

步骤 4

在消息中心中监控就绪性检查的进度。

如果检查失败,消息中心会提供失败日志。

下一步做什么

Z 系统 (System) > 更新 (Updates) 页面,点击就绪性检查 (Readiness Checks) 以查看 FTD 部署的就绪性检查状态,包括正在进行的检查和失败的检查。您还可以使用此页面在失败后轻松地重新运行检查。

通过 FMC 运行就绪性检查(版本 6.0.1–6.6.x)

此程序适用于当前运行版本 6.0.1–6.6.x 的 FMC 及其独立受管设备。


对于集群设备、堆栈中的设备和高可用性对中的设备,您可以从 Linux 外壳(也称为专家模式)运行就绪性检查。要运行检查,您必须先将升级包推送或复制到每台设备上的正确位置,然后使用此命令:sudo install_update.pl --detach --readiness-check /var/sf/updates/upgrade_package_name。有关详细说明,请联系 Cisco TAC

开始之前

  • (版本 6.0.1)如果要在版本 6.0.1→6.1.0 升级上运行就绪性检查,请先安装版本 6.1 预安装软件包。您必须对 FMC 和受管设备执行此操作。请参阅:Firepower 系统发行说明版本 6.1.0 预安装包

  • 为要检查的设备将升级软件包上传到 FMC。如果要检查版本 6.6.x FTD 设备,您也可以在内部 Web 服务器上指定升级包位置。这是必需的,因为就绪性检查包含在升级包中。

  • (可选,版本 6.2.3+)将升级包推送到受管设备。这样可以减少运行检查所需的时间。

  • 将配置部署到其配置已过期的受管设备。否则,就绪性检查可能会失败。

过程

步骤 1

在 FMC Web 界面上,选择系统 (System) > 更新 (Updates)

步骤 2

点击相应升级软件包旁边的安装图标。

步骤 3

选择要检查的设备,然后点击启动就绪性检查 (Launch Readiness Check)

步骤 4

在消息中心中监控就绪性检查的进度。