升级核对表:Firepower 管理中心
请在升级 FMC(包括 FMCv)之前填写此核对表。如果您在升级高可用性对,请对每个对等设备完成核对表。
 注 |
在此过程中的任何时候,请确保保持部署通信和运行状况。请勿重启正在进行的 FMC 升级。升级过程在预检查期间可能会显示为非活动;这是预期行为。如果您遇到升级问题,升级失败的升级或无响应的设备,请联系 Cisco TAC。 |
规划和可行性
认真规划和准备可以帮助您避免失误。
|
✓ |
操作/检查 |
||
|---|---|---|---|
|
计划升级路径。 这对于多设备部署、多跳升级或需要升级操作系统或托管环境,同时还要保持部署兼容性的情况尤其重要。始终了解已经完成的升级和即将执行的升级。
请参阅升级路径。 |
|||
|
阅读所有升级指南和计划配置更改。 尤其是对于主要版本升级而言,升级可能会导致您或需要您在升级前或升级后的重大配置更改。从版本说明开始,版本说明包含重要且特定于版本的信息,包括升级警告、行为更改、新功能和弃用的功能以及已知问题。 |
|||
|
检查带宽。 确保管理网络具有执行大型数据传输的带宽。在 FMC 部署中,如果您在升级时将升级包传输到托管设备,则带宽不足会延长升级时间,甚至导致升级超时。如有可能,请在启动设备升级之前将升级软件包复制到受管设备。 请参阅将数据从 Firepower 管理中心下载到受管设备的准则(故障排除技术说明)。 |
|||
|
安排维护窗口。 考虑对流量和检查的任何影响以及升级可能需要的时间,将维护窗口安排在影响最小的时候。此外,还要考虑您必须在该维护窗口中执行的任务,以及可以提前执行的任务。例如,不要等到维护窗口将升级包复制到设备,运行就绪性检查,执行备份等操作。 |
升级程序包
思科支持和下载站点上可以获取升级包。
|
✓ |
操作/检查 |
|---|---|
|
上传升级包。 在 FMC 高可用性部署中,必须将 FMC 升级软件包上传到两个对等设备,在将软件包传输到备用设备之前暂停同步。要限制 HA 同步的中断,您可以在升级准备阶段将数据包传输到主用对等设备,并在暂停同步后将其作为实际升级过程的一部分传输到备用对等设备。 |
备份
灾难恢复能力是任何系统维护计划的重要组成部分。
备份和恢复可能是一个复杂的过程。您不想跳过任何步骤或忽略安全或许可问题。有关备份和恢复的要求、指南、限制和最佳实践的详细信息,请参阅适用于您的部署的配置指南。
 小心 |
我们强烈建议在升级前和升级后,备份到安全的远程位置并验证传输是否成功。 |
|
✓ |
操作/检查 |
|---|---|
|
备份。 如果支持:
|
关联升级
由于操作系统和托管环境升级会影响流量和检查,因此请在维护窗口中执行。
|
✓ |
操作/检查 |
|---|---|
|
升级虚拟主机。 如果需要,请升级托管环境。如果需要执行此操作,通常是因为您运行的是旧版 VMware 并正在执行主要 FMC 升级。 |
最终检查
一系列最终检查可确保您已准备好升级。
|
✓ |
操作/检查 |
||
|---|---|---|---|
|
检查配置。 确保您已进行任何必要的升级前配置更改,并准备进行必要的升级后配置更改。 |
|||
|
检查 NTP 同步。 确保所有设备与您正在使用提供时间的 NTP 服务器进行同步。不同步可能会导致升级失败。在 FMC 部署中,如果时钟不同步超过 10 秒,运行状况模块会发出警报,但您仍应手动进行检查。 要检查时间,请执行以下操作:
|
|||
|
检查硬盘空间。 运行磁盘空间检查进行软件升级。如果可用磁盘空间不足,会导致升级失败。 请参阅目标版本的Cisco Firepower 发行说明中的升级软件一章。 |
|||
|
部署配置。 在升级前部署配置可减少失败的可能性。在某些部署中,如果您的配置已过期,您可能会被阻止升级。在 FMC 高可用性部署中,您只需从主用对等设备进行部署。 在部署时,资源需求可能会导致少量数据包未经检测而被丢弃。 此外,部署某些配置会重启 Snort,这会中断流量检测,并且根据您的设备处理流量的方式,可能会中断流量,直至重启完成。 请参阅目标版本的Cisco Firepower 发行说明中的升级软件一章。 |
|||
|
运行就绪性检查。 如果 FMC 运行的是版本 6.1.0+,我们建议进行兼容性和就绪性检查。这些检查会评估您是否准备好进行软件升级。 请参阅 Firepower 软件就绪性检查。 |
|||
|
检查正在运行的任务。 确保在升级之前完成基本任务,包括最终部署。在升级开始时运行的任务会停止,成为失败的任务,且不能恢复。我们还建议您检查计划在升级期间运行的任务,并取消或推迟这些任务。
|
反馈