卸载补丁 (Uninstall a Patch)

您可以卸载大多数补丁。如果您需要返回到较早的主版本或维护版本,则必须重新映像。

卸载补丁会返回到之前升级的版本,并且不会更改配置。由于 FMC 必须运行与其受管设备相同或更高的版本,因此请先从设备卸载补丁。修复程序不支持卸载。

支持卸载的补丁

卸载特定补丁可能会导致问题,即使卸载本身成功也是如此。这些问题包括:

  • 卸载后无法部署配置更改。

  • 操作系统与软件之间的不兼容性。

  • 如果您在启用安全认证合规性的情况下安装补丁(CC/UCAPL 模式),则设备重新启动时 FSIC(文件系统完整性检查)失败。


小心


如果启用了安全认证合规性并且 FSIC 失败,则软件无法启动,远程 SSH 访问会被禁用,并且您只能通过本地控制台访问该设备。如果出现此情况,请联系Cisco TAC


支持卸载的版本 7.0 补丁

对于所有版本 7.0 的补丁,目前都支持卸载。

支持卸载的 6.7 版补丁

对于所有版本 6.7 的补丁,目前都支持卸载。

支持卸载的 6.6 版补丁

对于所有版本 6.6 的补丁,目前都支持卸载。

支持卸载的 6.5 版补丁

此表列出了版本 6.5 补丁支持的卸载场景。卸载会使您返回到之前升级的补丁级别。如果卸载后的时间比支持的要长,我们建议您重新映像,然后再升级到所需的补丁级别。

表 1. 支持卸载的版本 6.5.0 补丁

当前版本

您应该卸载的最早版本

FTD/FTDv

ASA FirePOWER

NGIPSv

FMC/FMCv

6.5.0.2+

6.5.0

6.5.0

6.5.0.1

6.5.0.1

6.5.0

6.5.0

支持卸载的版本 6.4 补丁

此表列出了版本 6.4 补丁支持的卸载场景。卸载会让您返回到之前升级的补丁级别。如果卸载后的时间比支持的要长,我们建议您重新映像,然后再升级到所需的补丁级别。

表 2. 支持卸载的版本 6.4.0 补丁

当前版本

您应该卸载的最早版本

FTD/FTDv

Firepower 7000/8000

ASA FirePOWER

NGIPSv

FMC/FMCv

6.4.0.5+

6.4.0.4

6.4.0.4

6.4.0.4

6.4.0.4

-

-

-

6.4.0.3

6.4.0

-

-

6.4.0.2

6.4.0

-

-

6.4.0.1

6.4.0

6.4.0

6.4.0

支持卸载的版本 6.3 补丁

此表列出了版本 6.3 补丁支持的卸载场景。卸载会使您返回到之前升级的补丁级别。如果卸载后的时间比支持的要长,我们建议您重新映像,然后再升级到所需的补丁级别。

表 3. 支持卸载的版本 6.3.0 补丁

当前版本

您应该卸载的最早版本

6.3.0.5

-

6.3.0.1 至 6.3.0.4

6.3.0

支持卸载的版本 6.2.3 补丁

此表列出了版本 6.2.3 补丁支持的卸载场景。卸载会使您返回到之前升级的补丁级别。如果卸载后的时间比支持的要长,我们建议您重新映像,然后再升级到所需的补丁级别。

表 4. 支持卸载的版本 6.2.3 补丁

当前版本

您应该卸载的最早版本

FTD/FTDv

Firepower 7000/8000

ASA FirePOWER

NGIPSv

FMC/FMCv

6.2.3.16+

6.2.3.15

6.2.3.15

6.2.3.15

6.2.3.15

-

-

-

6.2.3.12 至 6.2.3.14

6.2.3

6.2.3.11

6.2.3.11

6.2.3.11

6.2.3

-

-

6.2.3.8 至 6.2.3.10

6.2.3

6.2.3.7

6.2.3.7

6.2.3.7

6.2.3

-

-

6.2.3.1 至 6.2.3.6

6.2.3

6.2.3

6.2.3

支持卸载的版本 6.2.2 补丁

此表列出了版本 6.2.2 补丁支持的卸载场景。即使您是从更早的修补程序升级,卸载也会让您返回前一个修补程序。如果卸载后的时间比支持的要长,我们建议您重新映像,然后再升级到所需的补丁级别。

表 5. 支持卸载的版本 6.2.2 补丁

当前版本

您应该卸载的最早版本

6.2.2.3 至 6.2.2.5

6.2.2.2

6.2.2.2

-

6.2.2.1

6.2.2

高可用性/可扩展性的卸载顺序

在高可用性/可扩展性部署中,通过从设备逐一卸载来尽可能减少中断。与升级不同,系统不会为您执行此操作。等到补丁从一个设备完全卸载后,再转到下一个设备。

表 6. FMC 高可用性的卸载顺序

配置

卸载顺序

FMC 高可用性

同步暂停后(即一种称为裂脑的状态),从对等设备逐一卸载。请勿在对处于集群脑裂的情况下执行或部署配置更改。

  1. 暂停同步(进入裂脑)。

  2. 从备用设备卸载。

  3. 从主用设备卸载。

  4. 重启同步(退出裂脑)。

表 7. FTD 高可用性和集群的卸载顺序

配置

卸载顺序

FTD 高可用性

不能从配置为高可用性的设备卸载修补程序。必须先中断高可用性。

  1. 中断高可用性。

  2. 从先前的备用设备卸载。

  3. 从先前的主用设备卸载。

  4. 重新建立高可用性。

FTD 集群

从单元逐一卸载,将控制单元留到最后。卸载补丁时,集群单元在维护模式下运行。

  1. 从数据模块逐一卸载。

  2. 让其中一个数据模块成为新的控制模块。

  3. 从以前的控制卸载。

表 8. ASA 故障转移对/集群中带 FirePOWER 服务的 ASA 的卸载顺序

配置

卸载顺序

ASA 主用/备用故障转移对,带 ASA FirePOWER

始终从备用设备卸载。

  1. 从备用 ASA 设备上的 ASA FirePOWER 模块卸载。

  2. 故障转移。

  3. 从新备用 ASA 设备上的 ASA FirePOWER 模块卸载。

ASA 主用/主用故障转移对,带 ASA FirePOWER

在您未卸载的设备上使两个故障转移组均处于主用状态。

  1. 使两个故障转移组在主要 ASA 设备上均处于主用状态。

  2. 从辅助 ASA 设备上的 ASA FirePOWER 模块卸载。

  3. 使两个故障转移组在辅助 ASA 设备上均处于主用状态。

  4. 从主要 ASA 设备上的 ASA FirePOWER 模块卸载。

ASA 集群,带 ASA FirePOWER

卸载前,在每个单元上禁用集群。从单元逐一卸载,将控制单元留到最后。

  1. 在从数据单元上禁用集群。

  2. 从该单元上的 ASA FirePOWER 模块卸载。

  3. 重新启用集群。等待单元重新加入集群。

  4. 对每个从属数据单元上述操作。

  5. 在控制单元上禁用集群。等待新的控制单元接管。

  6. 从先前控制单元上的 ASA FirePOWER 模块卸载。

  7. 重新启用集群。

通过 FMC 卸载设备补丁

使用 Linux shell(专家模式)卸载补丁。您必须能够以设备的管理员用户或者具有 CLI 配置访问权限的其他本地用户身份访问设备外壳程序。您无法使用 FMC 用户帐户。如果禁用了外壳程序访问,请联系 Cisco TAC 以撤销锁定。


小心


请勿在卸载期间进行或部署配置更改。即使系统显示为非活动状态,也不要手动重启、关闭或重新启动正在进行的卸载。您可以将系统置于不可用状态并要求重新映像。如果您遇到卸载问题,包括卸载失败或设备无响应,请联系 Cisco TAC


开始之前

过程


步骤 1

如果设备的配置过期,请立即从 FMC 部署。

在卸载之前进行部署可减少失败的可能性。 确保完成部署和其他基本任务。在卸载开始时运行的任务已停止,成为失败的任务,且不能恢复。您可以稍后手动删除具有失败状态的消息。

步骤 2

在设备上访问 Firepower CLI。使用配置访问权限作为管理员或其他 CLI 用户登录。

您可以通过 SSH 登录到设备的管理界面(主机名或 IP 地址),也可以使用控制台。如果使用控制台,有些设备默认使用操作系统 CLI,并且需要完成额外的步骤才能访问 Firepower CLI,如下表所列。

Firepower 1000 系列

connect ftd

Firepower 2100 系列

connect ftd

Firepower 4100/9300

连接模块 slot_number 控制台,然后连接 ftd(仅限首次登录)

ASA FirePOWER

session sfr

步骤 3

使用 expert 命令来访问 Linux shell。

步骤 4

验证卸载软件包是否在升级目录中。

ls /var/sf/updates

补丁卸载程序的名称与升级软件包类似,但文件名中包含 Patch_Uninstaller 而不是 Patch。在设备上安装补丁时,升级目录中会自动创建该补丁的卸载程序。如果没有卸载程序,请联系 Cisco TAC

步骤 5

运行卸载命令,在系统提示时输入密码。

sudo install_update.pl --detach /var/sf/updates/uninstaller_name

小心

 

系统不会要求您确认。输入此命令将启动卸载,其中包括设备重新启动。卸载期间的流量和检查中断与升级期间发生的中断相同。确保您已准备就绪。请注意,使用 --detach 选项可确保在 SSH 会话超时时卸载流程不会终止,这样会让设备处于不稳定状态。

步骤 6

监控卸载,直到您注销。

对于单独卸载,请使用 tailtailf 来显示日志:
  • FTD:tail /ngfw/var/log/sf/update.status

  • ASA FirePOWER 和 NGIPSv:tail /var/log/sf/update.status

否则,请在控制台或终端中监控进度。

步骤 7

验证卸载是否成功。

在卸载完成后,确认设备的软件版本正确无误。在 FMC 上,选择设备 > 设备管理

步骤 8

在高可用性/可扩展性部署中,对每个单元重复步骤 2 至 6。

对于集群,切勿从控制单元卸载。从所有数据单元卸载后,将其中一个单元设置为新控制,然后从以前的控制卸载。

步骤 9

重新部署配置。

例外:不要部署到混合版本的高可用性对或设备集群。首先部署,然后从第一个设备卸载,但在您从所有组成员卸载修补程序之前,不要再继续。


下一步做什么

  • 要实现高可用性,请重新建立高可用性。

  • 对于集群,如果您有特定设备的首选角色,请立即进行更改。

卸载独立 FMC 补丁

我们建议您使用 Web 界面来卸载 FMC 补丁。如果无法使用 Web 界面,可以作为外壳的管理员用户或者具有外壳访问权限的外部用户使用 Linux 外壳程序。如果禁用了外壳程序访问,请联系 Cisco TAC 以撤销锁定。


小心


请勿在卸载期间进行或部署配置更改。即使系统显示为非活动状态,也不要手动重启、关闭或重新启动正在进行的卸载。您可以将系统置于不可用状态并要求重新映像。如果您遇到卸载问题,包括卸载失败或设备无响应,请联系 Cisco TAC


开始之前

  • 如果卸载会使 FMC 的补丁级别低于其受管设备,请先从设备卸载补丁。

  • 确保部署中保持正常运行,并且能够成功通信。

过程


步骤 1

部署到其配置已过期的受管设备。

在卸载之前进行部署可减少失败的可能性。

步骤 2

点击您想要使用的卸载包旁边的 安装 图标,然后选择 FMC

补丁卸载程序的名称与升级软件包类似,但文件名中包含 Patch_Uninstaller 而不是 Patch。在 FMC 上安装补丁时会自动创建该补丁的卸载程序。如果没有卸载程序,请联系 Cisco TAC

步骤 3

点击安装 (Install),然后确认要卸载并重新启动。

您可以在消息中心中监控进度,直到注销。

步骤 4

尽可能重新登录并验证卸载是否成功。

如果在您登录时系统未通知您卸载成功,请选择帮助 (Help) > 关于 (About) 以显示当前软件版本信息。

步骤 5

将配置重新部署到所有托管设备。


卸载高可用性 FMC 补丁

我们建议您使用 Web 界面来卸载 FMC 补丁。如果无法使用 Web 界面,可以作为外壳的管理员用户或者具有外壳访问权限的外部用户使用 Linux 外壳程序。如果禁用了外壳程序访问,请联系 Cisco TAC 以撤销锁定。

从高可用性对逐一卸载。在暂停同步的情况下,首先从备用设备卸载,然后是主用设备。当备用设备开始卸载时,其状态从备用切换到主用,以便两个对等设备都处于主用状态。此临时状态称为裂脑在升级和卸载期间受支持。


小心


请勿在对处于集群脑裂的情况下执行或部署配置更改。重启同步后,您所做的更改将丢失。 请勿在卸载期间进行或部署配置更改。即使系统显示为非活动状态,也不要手动重启、关闭或重新启动正在进行的卸载。您可以将系统置于不可用状态并要求重新映像。如果您遇到卸载问题,包括卸载失败或设备无响应,请联系 Cisco TAC


开始之前

  • 如果卸载会使 FMC 补丁级别低于其受管设备,请先从设备卸载补丁。

  • 确保部署中保持正常运行,并且能够成功通信。

过程


步骤 1

在主用 FMC上,部署到其配置已过期的受管设备。

在卸载之前进行部署可减少失败的可能性。

步骤 2

在主用 FMC,暂停同步。

  1. 选择系统 > 集成

  2. 高可用性 (High Availability)选项卡,点击暂停同步 (Pause Synchronization)

步骤 3

从高可用性对逐一卸载补丁 - 先是备用设备,再是主用设备。

请按照卸载独立 FMC 补丁 中的说明进行操作,但省略初始部署,从而在验证每个对上的卸载均成功后停止。总而言之,对于每个对等体:

  1. 系统 (System) > 更新 (Updates) 页面上卸载补丁。

  2. 监控进度,直到您注销,然后在可以时重新登录。

  3. 验证卸载是否成功。

步骤 4

在您想要设为主用对等设备的 FMC上,重新开始同步。

  1. 选择系统 > 集成

  2. 高可用性 (High Availability)选项卡,点击设为主用 (Make-Me-Active)

  3. 等待直至同步重新开始,并且其他 FMC 切换到备用模式。

步骤 5

将配置重新部署到所有托管设备。