通过 Firepower 管理中心升级 Firepower 威胁防御

升级核对表:带有 FMC 的 Firepower 威胁防御

请在升级 Firepower Threat Defense 之前填写此核对表。


在此过程中的任何时候,请确保保持部署通信和运行状况。

在大多数情况下,请重启正在进行的升级。但是,版本 6.7.0 的主要和维护 FTD 升级开始,您可以手动取消失败或正在进行的升级,并重试失败的升级;使用“升级状态”(Upgrade Status) 弹出窗口(可从“设备管理”(Device Management) 页面和消息中心访问),或使用 FTD CLI。请注意,默认情况下,在升级失败时 FTD 会自动将其恢复到升级前的状态(“自动取消”)。要能够手动取消或重试失败的升级,请在启动升级时禁用自动取消选项。请注意,补丁不支持自动取消。在高可用性或集群部署中,自动取消会单独应用于每个设备。也就是说,如果一台设备上的升级失败,则仅恢复该设备。如果您已用尽所有选项,或者如果您的部署不支持取消/重试,请联系 Cisco TAC

规划和可行性

认真规划和准备可以帮助您避免失误。

表 1.

操作/检查

计划升级路径。

这对于多设备部署、多跳升级或需要升级操作系统或托管环境,同时还要保持部署兼容性的情况尤其重要。始终了解已经完成的升级和即将执行的升级。

 

在 FMC 部署中,通常先升级 FMC,然后再升级其受管设备。但是,在某些情况下,您可能需要先升级设备。

请参阅升级路径

阅读所有升级指南和计划配置更改。

尤其是对于主要版本升级而言,升级可能会导致您或需要您在升级前或升级后的重大配置更改。从版本说明开始,版本说明包含重要且特定于版本的信息,包括升级警告、行为更改、新功能和弃用的功能以及已知问题。

检查设备访问。

设备可以在升级期间或在升级失败时停止传输流量(具体取决于接口配置)。升级之前,请确保来自您所在位置的流量不必遍历设备本身即可访问设备的管理界面。在 FMC 部署中,您还必须能够访问 FMC 管理界面而不遍历设备。

检查带宽。

确保管理网络具有执行大型数据传输的带宽。在 FMC 部署中,如果您在升级时将升级包传输到托管设备,则带宽不足会延长升级时间,甚至导致升级超时。如有可能,请在启动设备升级之前将升级软件包复制到受管设备。

请参阅将数据从 Firepower 管理中心下载到受管设备的准则(故障排除技术说明)。

安排维护窗口。

考虑对流量和检查的任何影响以及升级可能需要的时间,将维护窗口安排在影响最小的时候。此外,还要考虑您必须在该维护窗口中执行的任务,以及可以提前执行的任务。例如,不要等到维护窗口将升级包复制到设备,运行就绪性检查,执行备份等操作。

升级程序包

思科支持和下载站点上可以获取升级包。

表 2.

操作/检查

将升级软件包上传到 FMC 或内部 Web 服务器。

在版本 6.6.0+ 中,您可以配置一个内部 Web 服务器配置,而不是配置 FMC 作为 FTD 升级软件包的源。如果 FMC 及其设备之间的带宽有限,这会很有用,并且可以节省 FMC 上的空间。

请参阅上传到内部服务器(带有 FMC 的版本 6.6.0+ FTD)

将升级包复制到设备。

当受支持时,我们建议您在启动设备升级之前将软件包复制(推送)到受管设备:

  • 版本 6.2.2 及更早版本不支持预升级复制。

  • 版本 6.2.3 允许您从 FMC 手动复制升级软件包。

  • 版本 6.6.0 添加了从内部 Web 服务器手动复制升级软件包的功能。

  • 版本 7.0.0 添加了 FTD 升级工作流程,提示您复制升级软件包。

 

对于 Firepower 4100/9300,我们建议(有时需要)您在开始所需的随附 FXOS 升级之前复制升级软件包。

请参阅复制到托管设备

备份

灾难恢复能力是任何系统维护计划的重要组成部分。

备份和恢复可能是一个复杂的过程。您不想跳过任何步骤或忽略安全或许可问题。有关备份和恢复的要求、指南、限制和最佳实践的详细信息,请参阅适用于您的部署的配置指南。


小心

我们强烈建议在升级前和升级后,备份到安全的远程位置并验证传输是否成功。

表 3.

操作/检查

备份 FTD。

使用 FMC 来备份设备。并非所有 FTD 平台和配置都支持备份。需要版本 6.3.0+。

如果支持:

  • 升级前:如果升级失败是灾难性的,您可能必须重新映像并恢复。重新映像会将大多数设置恢复为出厂默认设置,包括系统密码。如果您有最近的备份,可以更快地恢复正常操作。

  • 升级后:这会创建新升级的部署的快照。在 FMC 部署中,我们建议您在升级其受管设备后备份 FMC,以便新的 FMC 备份文件“知道”其设备已升级。

在 Firepower 4100/9300 上备份 FXOS

在升级前后使用 Firepower 机箱管理器或 FXOS CLI 导出机箱配置,包括逻辑设备和平台配置设置。

关联升级

由于操作系统和托管环境升级会影响流量和检查,因此请在维护窗口中执行。

表 4.

操作/检查

升级虚拟主机。

如果需要,请升级任何虚拟设备的托管环境。如果需要执行此操作,通常是因为您运行的是旧版 VMware 并正在执行主要设备升级。

升级 Firepower 4100/9300 的 FXOS。

如果需要,请在升级 FTD 之前升级 FXOS。这通常是主要升级的要求,但很少用于 维护版本和补丁。为避免流量和检查出现中断,请在 FTD 高可用性对中升级 FXOS 以及在机箱内集群中一次升级一个机箱。

 

在升级 FXOS 之前,请确保阅读所有升级指南并计划配置更改。首先是 FXOS 版本说明:Cisco Firepower 4100/9300 FXOS 发行说明

最终检查

一系列最终检查可确保您已准备好升级。

表 5.

操作/检查

检查配置。

确保您已进行任何必要的升级前配置更改,并准备进行必要的升级后配置更改。

检查 NTP 同步。

确保所有设备与您正在使用提供时间的 NTP 服务器进行同步。不同步可能会导致升级失败。在 FMC 部署中,如果时钟不同步超过 10 秒,运行状况模块会发出警报,但您仍应手动进行检查。

要检查时间,请执行以下操作:

  • FMC:选择系统 > 配置 > 时间

  • 设备:使用 show time CLI 命令。

检查硬盘空间。

运行磁盘空间检查进行软件升级。如果可用磁盘空间不足,会导致升级失败。

请参阅目标版本的Cisco Firepower 发行说明中的升级软件一章。

部署配置。

在升级前部署配置可减少失败的可能性。在某些部署中,如果您的配置已过期,您可能会被阻止升级。在 FMC 高可用性部署中,您只需从主用对等设备进行部署。

在部署时,资源需求可能会导致少量数据包未经检测而被丢弃。 此外,部署某些配置会重启 Snort,这会中断流量检测,并且根据您的设备处理流量的方式,可能会中断流量,直至重启完成。

请参阅目标版本的Cisco Firepower 发行说明中的升级软件一章。

运行就绪性检查。

如果 FMC 运行的是版本 6.1.0+,我们建议进行兼容性和就绪性检查。这些检查会评估您是否准备好进行软件升级。版本 7.0.0 引入了新的 FTD 升级工作流程,提示您完成这些检查。

请参阅 Firepower 软件就绪性检查

检查正在运行的任务。

在升级之前,请确保设备上的基本任务已完成,包括最终部署。在升级开始时运行的任务会停止,成为失败的任务,且不能恢复。我们还建议您检查计划在升级期间运行的任务,并取消或推迟这些任务。

在带有 Firepower 威胁防御逻辑设备的 Firepower 4100/9300 上升级 FXOS

在 Firepower 4100/9300 上,您可以在每个机箱上独立升级 FXOS,即使配置了 Firepower 机箱内集群或高可用性对也是如此。您可以使用 FXOS CLI 或 Firepower 机箱管理器。

升级 FXOS 会重启机箱。根据您的部署,流量可以不经过检查就丢弃或穿越网络;请参阅您所用版本的 CiscoFirepower 版本说明

升级 FXOS:FTD 独立设备或机箱内集群

对于独立的 Firepower 威胁防御逻辑设备,或对于 FTD 机箱内集群(同一机箱上的设备),请先升级 FXOS 平台捆绑包,然后再升级 FTD 逻辑设备。使用 Firepower 管理中心将集群设备作为一个单元进行升级。

使用 Firepower 机箱管理器为独立 FTD 逻辑设备或 FTD 机箱内集群升级 FXOS

本部分介绍如何升级独立的 Firepower 4100/9300 机箱的 FXOS 平台捆绑包。

本部分介绍以下类型的设备的升级过程:

  • Firepower 4100 系列 机箱,其配置了 逻辑设备且不是故障转移对或机箱内集群的一部分。

  • Firepower 9300 机箱,其配置了不属于故障转移对或机箱内集群的一个或多个独立 逻辑设备。

  • Firepower 9300机箱,其在机箱内集群中配置了 FTD 逻辑设备。

开始之前

开始升级之前,请确保您已完成以下操作:

  • 将 FXOS 平台捆绑包软件包下载到您要升级的位置。

  • 备份您的 FXOS 和 FTD 配置。

过程

步骤 1

在 Firepower 机箱管理器中,选择系统 (System) > 更新 (Updates)

“可用更新 (Available Updates)”页面显示机箱上可用的 FXOS 平台捆绑包映像和应用映像列表。

步骤 2

上传新的平台捆绑包映像:

  1. 点击上传映像,可打开“上传映像”对话框。

  2. 点击选择文件,可导航到并选择想要上传的映像。

  3. 点击上传

    所选映像将上传到 Firepower 4100/9300 机箱

  4. 对于某些软件映像,上传映像后,系统将显示一份最终用户许可协议。请按照系统提示接受这份最终用户许可协议。

步骤 3

成功上传新的平台捆绑包映像后,点击要升级到的 FXOS 平台捆绑包对应的升级

系统将首先验证想要安装的软件包。它会告知您当前已安装的应用与指定的 FXOS 平台软件包之间的所有不兼容。此外,它还会警告您,在升级过程中,任何现有会话都将终止,系统将需要重启。

步骤 4

点击是 (Yes),确认您想要继续安装,或者点击否 (No) 取消安装。

系统打开捆绑包,升级/重新加载组件。

步骤 5

Firepower 机箱管理器在升级期间将不可用。您可以使用 FXOS CLI监控升级过程:

  1. 输入 scope system

  2. 输入 show firmware monitor

  3. 等待所有组件(FPRM、交换矩阵互联和机箱)显示升级状态:就绪

     

    升级 FPRM 组件后,系统将重启,然后继续升级其他组件。
示例:
FP9300-A# scope system
FP9300-A /system # show firmware monitor 
FPRM:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready
    Server 2:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready

步骤 6

成功升级所有组件后,输入以下命令以验证安全模块/安全引擎和任何已安装的应用的状态:

  1. 输入 top

  2. 输入 scope ssa

  3. 输入 show slot

  4. 验证 Firepower 4100 系列设备上的安全引擎或 Firepower 9300 设备上安装的任何安全模块的管理状态是否为正常,且操作状态是否为联机

  5. 输入 show app-instance

  6. 验证机箱上安装的任何逻辑设备的运行状态是否为联机

使用 FXOS CLI 为独立 FTD 逻辑设备或 FTD 机箱内集群升级 FXOS

本部分介绍如何升级独立的 Firepower 4100/9300 机箱的 FXOS 平台捆绑包。

本部分介绍以下类型的设备的 FXOS 升级过程:

  • Firepower 4100 系列 机箱,其配置了 逻辑设备且不是故障转移对或机箱内集群的一部分。

  • Firepower 9300 机箱,其配置了不属于故障转移对或机箱内集群的一个或多个独立 FTD 设备。

  • Firepower 9300机箱,其在机箱内集群中配置了 FTD 逻辑设备。

开始之前

开始升级之前,请确保您已完成以下操作:

  • 将 FXOS 平台捆绑包软件包下载到您要升级的位置。

  • 备份您的 FXOS 和 FTD 配置。

  • 收集将软件映像下载到 Firepower 4100/9300 机箱所需的以下信息:

    • 您从其复制映像的服务器的 IP 地址和身份验证凭证。

    • 映像文件的完全限定名称。

过程

步骤 1

连接到 FXOS CLI

步骤 2

将新的平台捆绑包映像下载到 Firepower 4100/9300 机箱

  1. 进入固件模式:

    Firepower-chassis-a # scope firmware

  2. 下载 FXOS平台捆绑包软件映像:

    Firepower-chassis-a /firmware # download image URL

    使用以下语法之一,为正在导入的文件指定 URL:

    • ftp://username@hostname/ path/ image_name

    • scp://username@hostname/ path/ image_name

    • sftp://username@hostname/ path/ image_name

    • tftp://hostname: port-num/ path/ image_name

  3. 要监控下载过程,请执行以下操作:

    Firepower-chassis-a /firmware # scope download-task image_name

    Firepower-chassis-a /firmware/download-task # show detail

示例:

以下示例使用 SCP 协议复制映像: 

Firepower-chassis-a # scope firmware
Firepower-chassis-a /firmware # download image scp://user@192.168.1.1/images/fxos-k9.2.3.1.58.SPA
Firepower-chassis-a /firmware # scope download-task fxos-k9.2.3.1.58.SPA
Firepower-chassis-a /firmware/download-task # show detail
Download task:
    File Name: fxos-k9.2.3.1.58.SPA
    Protocol: scp
    Server: 192.168.1.1
    Userid:
    Path:
    Downloaded Image Size (KB): 853688
    State: Downloading
    Current Task: downloading image fxos-k9.2.3.1.58.SPA from 192.168.1.1(FSM-STAGE:sam:dme:FirmwareDownloaderDownload:Local)

步骤 3

如有必要,请返回到固件模式:

Firepower-chassis-a /firmware/download-task # up

步骤 4

进入自动安装模式:

Firepower-chassis-a /firmware # scope auto-install

步骤 5

安装 FXOS 平台捆绑包:

Firepower-chassis-a /firmware/auto-install # install platform platform-vers version_number

version_number 是您正在安装的 FXOS平台捆绑包的版本号,例如 2.3(1.58)。

步骤 6

系统将首先验证想要安装的软件包。它会告知您当前已安装的应用与指定的 FXOS 平台软件包之间的所有不兼容。此外,它还会警告您,在升级过程中,任何现有会话都将终止,系统将需要重启。

输入 yes ,确认您想要继续验证。

步骤 7

输入 yes 确认您想要继续安装,或者输入 no 取消安装。

系统打开捆绑包,升级/重新加载组件。

步骤 8

要监控升级流程,请执行以下操作:

  1. 输入 scope system

  2. 输入 show firmware monitor

  3. 等待所有组件(FPRM、交换矩阵互联和机箱)显示升级状态:就绪

     

    升级 FPRM 组件后,系统将重启,然后继续升级其他组件。
示例:
FP9300-A# scope system
FP9300-A /system # show firmware monitor 
FPRM:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready
    Server 2:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready

FP9300-A /system #

步骤 9

成功升级所有组件后,输入以下命令以验证安全模块/安全引擎和任何已安装的应用的状态:

  1. 输入 top

  2. 输入 scope ssa

  3. 输入 show slot

  4. 验证 Firepower 4100 系列设备上的安全引擎或 Firepower 9300 设备上安装的任何安全模块的管理状态是否为正常,且操作状态是否为联机

  5. 输入 show app-instance

  6. 验证机箱上安装的任何逻辑设备的运行状态是否为联机

升级 FXOS:FTD 高可用性对

在 Firepower 威胁防御高可用性部署中,请首先升级两个机箱上的 FXOS 平台捆绑包,然后再升级任一 FTD 逻辑设备。要最大限度地减少中断,请始终升级备用设备。

在 Firepower 管理中心部署中,您可以将逻辑设备作为一个单元进行升级:

  1. 在备用设备上升级 FXOS。

  2. 切换角色。

  3. 新的备用设备上升级 FXOS。

  4. 升级 FTD 逻辑设备。

使用 Firepower 机箱管理器升级 FTD 高可用性对上的 FXOS

如果您的 Firepower 9300 或 Firepower 4100 系列安全设备将 FTD 逻辑设备配置为高可用性对,请使用以下程序更新 Firepower 9300 或 Firepower 4100 系列安全设备上的 FXOS 平台捆绑包:

开始之前

开始升级之前,请确保您已完成以下操作:

  • 将 FXOS 平台捆绑包软件包下载到您要升级的位置。

  • 备份您的 FXOS 和 FTD 配置。

过程

步骤 1

连接到包含备用 Firepower 威胁防御逻辑设备的 Firepower 安全设备上的 Firepower 机箱管理器:

步骤 2

在 Firepower 机箱管理器中,选择系统 (System) > 更新 (Updates)

“可用更新 (Available Updates)”页面显示机箱上可用的 FXOS 平台捆绑包映像和应用映像列表。

步骤 3

上传新的平台捆绑包映像:

  1. 点击上传映像,可打开“上传映像”对话框。

  2. 点击选择文件,可导航到并选择想要上传的映像。

  3. 点击上传

    所选映像将上传到 Firepower 4100/9300 机箱

  4. 对于某些软件映像,上传映像后,系统将显示一份最终用户许可协议。请按照系统提示接受这份最终用户许可协议。

步骤 4

成功上传新的平台捆绑包映像后,点击要升级到的 FXOS 平台捆绑包对应的升级

系统将首先验证想要安装的软件包。它会告知您当前已安装的应用与指定的 FXOS 平台软件包之间的所有不兼容。此外,它还会警告您,在升级过程中,任何现有会话都将终止,系统将需要重启。

步骤 5

点击是 (Yes),确认您想要继续安装,或者点击否 (No) 取消安装。

系统打开捆绑包,升级/重新加载组件。

步骤 6

Firepower 机箱管理器在升级期间将不可用。您可以使用 FXOS CLI监控升级过程:

  1. 输入 scope system

  2. 输入 show firmware monitor

  3. 等待所有组件(FPRM、交换矩阵互联和机箱)显示升级状态:就绪

     

    升级 FPRM 组件后,系统将重启,然后继续升级其他组件。
示例:
FP9300-A# scope system
FP9300-A /system # show firmware monitor 
FPRM:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready
    Server 2:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready

步骤 7

成功升级所有组件后,输入以下命令以验证安全模块/安全引擎和任何已安装的应用的状态:

  1. 输入 top

  2. 输入 scope ssa

  3. 输入 show slot

  4. 验证 Firepower 4100 系列设备上的安全引擎或 Firepower 9300 设备上安装的任何安全模块的管理状态是否为正常,且操作状态是否为联机

  5. 输入 show app-instance

  6. 验证机箱上安装的任何逻辑设备的运行状态是否为联机

步骤 8

将刚才升级的设备设为活动设备,以使流量流向已升级的设备:

  1. 连接到 Firepower 管理中心。

  2. 选择设备 > 设备管理

  3. 在要更改主用对等设备的高可用性对旁边,点击“切换主用对等设备”图标 ()。

  4. 点击将使备用设备立即变成高可用性对中的主用设备。

步骤 9

连接到包含新的备用 Firepower 威胁防御逻辑设备的 Firepower 安全设备上的 Firepower 机箱管理器:

步骤 10

在 Firepower 机箱管理器中,选择系统 (System) > 更新 (Updates)

“可用更新 (Available Updates)”页面显示机箱上可用的 FXOS 平台捆绑包映像和应用映像列表。

步骤 11

上传新的平台捆绑包映像:

  1. 点击上传映像,可打开“上传映像”对话框。

  2. 点击选择文件,可导航到并选择想要上传的映像。

  3. 点击上传

    所选映像将上传到 Firepower 4100/9300 机箱

  4. 对于某些软件映像,上传映像后,系统将显示一份最终用户许可协议。请按照系统提示接受这份最终用户许可协议。

步骤 12

成功上传新的平台捆绑包映像后,点击要升级到的 FXOS 平台捆绑包对应的升级

系统将首先验证想要安装的软件包。它会告知您当前已安装的应用与指定的 FXOS 平台软件包之间的所有不兼容。此外,它还会警告您,在升级过程中,任何现有会话都将终止,系统将需要重启。

步骤 13

点击是 (Yes),确认您想要继续安装,或者点击否 (No) 取消安装。

系统打开捆绑包,升级/重新加载组件。升级过程最多可能需要 30 分钟才能完成。

步骤 14

Firepower 机箱管理器在升级期间将不可用。您可以使用 FXOS CLI监控升级过程:

  1. 输入 scope system

  2. 输入 show firmware monitor

  3. 等待所有组件(FPRM、交换矩阵互联和机箱)显示升级状态:就绪

     

    升级 FPRM 组件后,系统将重启,然后继续升级其他组件。
示例:
FP9300-A# scope system
FP9300-A /system # show firmware monitor 
FPRM:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready
    Server 2:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready

步骤 15

成功升级所有组件后,输入以下命令以验证安全模块/安全引擎和任何已安装的应用的状态:

  1. 输入 top

  2. 输入 scope ssa

  3. 输入 show slot

  4. 验证 Firepower 4100 系列设备上的安全引擎或 Firepower 9300 设备上安装的任何安全模块的管理状态是否为正常,且操作状态是否为联机

  5. 输入 show app-instance

  6. 验证机箱上安装的任何逻辑设备的运行状态是否为联机

步骤 16

将刚才升级的设备设为活动设备,同升级前一样:

  1. 连接到 Firepower 管理中心。

  2. 选择设备 > 设备管理

  3. 在要更改主用对等设备的高可用性对旁边,点击“切换主用对等设备”图标 ()。

  4. 点击将使备用设备立即变成高可用性对中的主用设备。

使用 FXOS CLI 在 FTD 高可用性对上升级 FXOS

如果您的 Firepower 9300 或 Firepower 4100 系列安全设备将 FTD 逻辑设备配置为高可用性对,请使用以下程序更新 Firepower 9300 或 Firepower 4100 系列安全设备上的 FXOS 平台捆绑包:

开始之前

开始升级之前,请确保您已完成以下操作:

  • 将 FXOS 平台捆绑包软件包下载到您要升级的位置。

  • 备份您的 FXOS 和 FTD 配置。

  • 收集将软件映像下载到 Firepower 4100/9300 机箱所需的以下信息:

    • 您从其复制映像的服务器的 IP 地址和身份验证凭证。

    • 映像文件的完全限定名称。

过程

步骤 1

连接到包含备用 Firepower 威胁防御逻辑设备的 Firepower 安全设备上的 FXOS CLI

步骤 2

将新的平台捆绑包映像下载到 Firepower 4100/9300 机箱

  1. 进入固件模式:

    Firepower-chassis-a # scope firmware

  2. 下载 FXOS平台捆绑包软件映像:

    Firepower-chassis-a /firmware # download image URL

    使用以下语法之一,为正在导入的文件指定 URL:

    • ftp://username@hostname/ path/ image_name

    • scp://username@hostname/ path/ image_name

    • sftp://username@hostname/ path/ image_name

    • tftp://hostname: port-num/ path/ image_name

  3. 要监控下载过程,请执行以下操作:

    Firepower-chassis-a /firmware # scope download-task image_name

    Firepower-chassis-a /firmware/download-task # show detail

示例:

以下示例使用 SCP 协议复制映像: 

Firepower-chassis-a # scope firmware
Firepower-chassis-a /firmware # download image scp://user@192.168.1.1/images/fxos-k9.2.3.1.58.SPA
Firepower-chassis-a /firmware # scope download-task fxos-k9.2.3.1.58.SPA
Firepower-chassis-a /firmware/download-task # show detail
Download task:
    File Name: fxos-k9.2.3.1.58.SPA
    Protocol: scp
    Server: 192.168.1.1
    Userid:
    Path:
    Downloaded Image Size (KB): 853688
    State: Downloading
    Current Task: downloading image fxos-k9.2.3.1.58.SPA from 192.168.1.1(FSM-STAGE:sam:dme:FirmwareDownloaderDownload:Local)

步骤 3

如有必要,请返回到固件模式:

Firepower-chassis-a /firmware/download-task # up

步骤 4

进入自动安装模式:

Firepower-chassis-a /firmware # scope auto-install

步骤 5

安装 FXOS 平台捆绑包:

Firepower-chassis-a /firmware/auto-install # install platform platform-vers version_number

version_number 是您正在安装的 FXOS平台捆绑包的版本号;例如 2.3(1.58)。

步骤 6

系统将首先验证想要安装的软件包。它会告知您当前已安装的应用与指定的 FXOS 平台软件包之间的所有不兼容。此外,它还会警告您,在升级过程中,任何现有会话都将终止,系统将需要重启。

输入 yes ,确认您想要继续验证。

步骤 7

输入 yes 确认您想要继续安装,或者输入 no 取消安装。

系统打开捆绑包,升级/重新加载组件。

步骤 8

要监控升级流程,请执行以下操作:

  1. 输入 scope system

  2. 输入 show firmware monitor

  3. 等待所有组件(FPRM、交换矩阵互联和机箱)显示升级状态:就绪

     

    升级 FPRM 组件后,系统将重启,然后继续升级其他组件。
示例:
FP9300-A# scope system
FP9300-A /system # show firmware monitor 
FPRM:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready
    Server 2:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready

FP9300-A /system #

步骤 9

成功升级所有组件后,输入以下命令以验证安全模块/安全引擎和任何已安装的应用的状态:

  1. 输入 top

  2. 输入 scope ssa

  3. 输入 show slot

  4. 验证 Firepower 4100 系列设备上的安全引擎或 Firepower 9300 设备上安装的任何安全模块的管理状态是否为正常,且操作状态是否为联机

  5. 输入 show app-instance

  6. 验证机箱上安装的任何逻辑设备的运行状态是否为联机

步骤 10

将刚才升级的设备设为活动设备,以使流量流向已升级的设备:

  1. 连接到 Firepower 管理中心。

  2. 选择设备 > 设备管理

  3. 在要更改主用对等设备的高可用性对旁边,点击“切换主用对等设备”图标 ()。

  4. 点击是 (Yes) 将使备用设备立即变成高可用性对中的主用设备。

步骤 11

连接到包含新备用 Firepower 威胁防御逻辑设备的 Firepower 安全设备上的 FXOS CLI

步骤 12

将新的平台捆绑包映像下载到 Firepower 4100/9300 机箱

  1. 进入固件模式:

    Firepower-chassis-a # scope firmware

  2. 下载 FXOS平台捆绑包软件映像:

    Firepower-chassis-a /firmware # download image URL

    使用以下语法之一,为正在导入的文件指定 URL:

    • ftp://username@hostname/ path/ image_name

    • scp://username@hostname/ path/ image_name

    • sftp://username@hostname/ path/ image_name

    • tftp://hostname: port-num/ path/ image_name

  3. 要监控下载过程,请执行以下操作:

    Firepower-chassis-a /firmware # scope download-task image_name

    Firepower-chassis-a /firmware/download-task # show detail

示例:

以下示例使用 SCP 协议复制映像: 

Firepower-chassis-a # scope firmware
Firepower-chassis-a /firmware # download image scp://user@192.168.1.1/images/fxos-k9.2.3.1.58.SPA
Firepower-chassis-a /firmware # scope download-task fxos-k9.2.3.1.58.SPA
Firepower-chassis-a /firmware/download-task # show detail
Download task:
    File Name: fxos-k9.2.3.1.58.SPA
    Protocol: scp
    Server: 192.168.1.1
    Userid:
    Path:
    Downloaded Image Size (KB): 853688
    State: Downloading
    Current Task: downloading image fxos-k9.2.3.1.58.SPA from 192.168.1.1(FSM-STAGE:sam:dme:FirmwareDownloaderDownload:Local)

步骤 13

如有必要,请返回到固件模式:

Firepower-chassis-a /firmware/download-task # up

步骤 14

进入自动安装模式:

Firepower-chassis-a /firmware # scope auto-install

步骤 15

安装 FXOS 平台捆绑包:

Firepower-chassis-a /firmware/auto-install # install platform platform-vers version_number

version_number 是您正在安装的 FXOS平台捆绑包的版本号;例如 2.3(1.58)。

步骤 16

系统将首先验证想要安装的软件包。它会告知您当前已安装的应用与指定的 FXOS 平台软件包之间的所有不兼容。此外,它还会警告您,在升级过程中,任何现有会话都将终止,系统将需要重启。

输入 yes ,确认您想要继续验证。

步骤 17

输入 yes 确认您想要继续安装,或者输入 no 取消安装。

系统打开捆绑包,升级/重新加载组件。

步骤 18

要监控升级流程,请执行以下操作:

  1. 输入 scope system

  2. 输入 show firmware monitor

  3. 等待所有组件(FPRM、交换矩阵互联和机箱)显示升级状态:就绪

     

    升级 FPRM 组件后,系统将重启,然后继续升级其他组件。
示例:
FP9300-A# scope system
FP9300-A /system # show firmware monitor 
FPRM:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready
    Server 2:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready

FP9300-A /system #

步骤 19

成功升级所有组件后,输入以下命令以验证安全模块/安全引擎和任何已安装的应用的状态:

  1. 输入 top

  2. 输入 scope ssa

  3. 输入 show slot

  4. 验证 Firepower 4100 系列设备上的安全引擎或 Firepower 9300 设备上安装的任何安全模块的管理状态是否为正常,且操作状态是否为联机

  5. 输入 show app-instance

  6. 验证机箱上安装的任何逻辑设备的运行状态是否为联机

步骤 20

将刚才升级的设备设为活动设备,同升级前一样:

  1. 连接到 Firepower 管理中心。

  2. 选择设备 > 设备管理

  3. 在要更改主用对等设备的高可用性对旁边,点击“切换主用对等设备”图标 ()。

  4. 点击是 (Yes) 将使备用设备立即变成高可用性对中的主用设备。

升级 FXOS:FTD 机箱内集群

对于 Firepower 威胁防御机箱内集群(不同机箱上的单元),请先升级所有机箱上的 FXOS 平台捆绑包,然后再升级 FTD 逻辑设备。为了最大限度地减少中断,请始终升级全数据单元机箱上的 FXOS。然后,使用 Firepower 管理中心将逻辑设备作为一个单元进行升级。

例如,对于双机箱集群:

  1. 在全数据单元机箱上升级 FXOS。

  2. 将控制模块切换到您刚刚升级的机箱。

  3. 在全新全数据单元机箱上升级 FXOS。

  4. 升级 FTD 逻辑设备。

使用 Firepower 机箱管理器升级 FXOS 和 FTD 机箱内集群

如果您的 Firepower 9300 或 Firepower 4100 系列安全设备将 FTD 逻辑设备配置为机箱内集群,请使用以下程序更新 Firepower 9300 或 Firepower 4100 系列安全设备上的 FXOS 平台捆绑包:

开始之前

开始升级之前,请确保您已完成以下操作:

  • 将 FXOS 平台捆绑包软件包下载到您要升级的位置。

  • 备份您的 FXOS 和 FTD 配置。

过程

步骤 1

输入以下命令以验证安全模块/安全引擎和任何已安装的应用的状态:

  1. 连接到机箱 2(应该是没有控制单元的机箱)上的 FXOS CLI

  2. 输入 top

  3. 输入 scope ssa

  4. 输入 show slot

  5. 验证 Firepower 4100 系列设备上的安全引擎或 Firepower 9300 设备上安装的任何安全模块的管理状态是否为正常,且操作状态是否为联机

  6. 输入 show app-instance

  7. 验证机箱上安装的任何逻辑设备的运行状态是否为联机,且集群状态是否为集群内。另外,验证显示的运行版本是否为正确的 FTD 软件版本。

    重要

     

    确认主设备不在该机箱中。“集群角色”设置为的任何 Firepower 威胁防御实例都不应存在。

  8. 对于安装在 Firepower 9300 设备上的任何安全模块或 Firepower 4100 系列设备上的安全引擎,验证 FXOS 版本是否正确:

    scope server 1/slot_id ,其中 slot_id 对于 Firepower 4100 系列安全引擎为 1。

    show version

步骤 2

连接到机箱 2(应该是没有控制单元的机箱)上的 Firepower 机箱管理器。

步骤 3

在 Firepower 机箱管理器中,选择系统 (System) > 更新 (Updates)

“可用更新 (Available Updates)”页面显示机箱上可用的 FXOS 平台捆绑包映像和应用映像列表。

步骤 4

上传新的平台捆绑包映像:

  1. 点击上传映像 (Upload Image),可打开“上传映像”(Upload Image) 对话框。

  2. 点击选择文件 (Choose File),可导航到并选择想要上传的映像。

  3. 点击上传 (Upload)

    所选映像将上传到 Firepower 4100/9300 机箱

  4. 对于某些软件映像,上传映像后,系统将显示一份最终用户许可协议。请按照系统提示接受这份最终用户许可协议。

步骤 5

成功上传新的平台捆绑包映像后,点击要升级到的 FXOS 平台捆绑包对应的升级 (Upgrade)

系统将首先验证想要安装的软件包。它会告知您当前已安装的应用与指定的 FXOS 平台软件包之间的所有不兼容。此外,它还会警告您,在升级过程中,任何现有会话都将终止,系统将需要重启。

步骤 6

点击是 (Yes),确认您想要继续安装,或者点击否 (No) 取消安装。

系统打开捆绑包,升级/重新加载组件。

步骤 7

Firepower 机箱管理器在升级期间将不可用。您可以使用 FXOS CLI监控升级过程:

  1. 输入 scope system

  2. 输入 show firmware monitor

  3. 等待所有组件(FPRM、交换矩阵互联和机箱)显示升级状态:就绪

     

    升级 FPRM 组件后,系统将重启,然后继续升级其他组件。

  4. 输入 top

  5. 输入 scope ssa

  6. 输入 show slot

  7. 验证 Firepower 4100 系列设备上的安全引擎或 Firepower 9300 设备上安装的任何安全模块的管理状态是否为正常,且操作状态是否为联机

  8. 输入 show app-instance

  9. 验证机箱上安装的任何逻辑设备的运行状态是否为联机、集群状态是否为集群内,且集群角色是否为从属

示例:
FP9300-A# scope system
FP9300-A /system # show firmware monitor 
FPRM:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready
    Server 2:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready

FP9300-A /system #
FP9300-A /system # top
FP9300-A# scope ssa
FP9300-A /ssa # show slot

Slot:
    Slot ID    Log Level Admin State  Oper State
    ---------- --------- ------------ ----------
    1          Info      Ok           Online
    2          Info      Ok           Online
    3          Info      Ok           Not Available
FP9300-A /ssa #

FP9300-A /ssa # show app-instance
App Name   Slot ID    Admin State Oper State       Running Version Startup Version Profile Name Cluster State   Cluster Role
---------- ---------- ----------- ---------------- --------------- --------------- ------------ --------------- ------------
ftd        1          Enabled     Online           6.2.2.81        6.2.2.81                     In Cluster      Slave
ftd        2          Enabled     Online           6.2.2.81        6.2.2.81                     In Cluster      Slave
ftd        3          Disabled    Not Available                    6.2.2.81                     Not Applicable  None
FP9300-A /ssa #

步骤 8

将机箱 2 中的其中一个安全模块设为控制。

将机箱 2 上的某个安全模块设置为“控制”后,机箱 1 中则不再包含控制单元,现在即可对其进行升级。

步骤 9

对集群中的其他所有机箱重复步骤 1 到 7。

步骤 10

要将“控制”角色返还机箱 1,请将机箱 1 上的某个安全模块设置为“控制”。

使用 FXOS CLI 在 FTD 机箱内集群上升级 FXOS

如果您的 Firepower 9300 或 Firepower 4100 系列安全设备将 FTD 逻辑设备配置为机箱内集群,请使用以下程序更新 Firepower 9300 或 Firepower 4100 系列安全设备上的 FXOS 平台捆绑包:

开始之前

开始升级之前,请确保您已完成以下操作:

  • 将 FXOS 平台捆绑包软件包下载到您要升级的位置。

  • 备份您的 FXOS 和 FTD 配置。

  • 收集将软件映像下载到 Firepower 4100/9300 机箱所需的以下信息:

    • 您从其复制映像的服务器的 IP 地址和身份验证凭证。

    • 映像文件的完全限定名称。

过程

步骤 1

连接到机箱 2(应该是没有控制单元的机箱)上的 FXOS CLI

步骤 2

输入以下命令以验证安全模块/安全引擎和任何已安装的应用的状态:

  1. 输入 top

  2. 输入 scope ssa

  3. 输入 show slot

  4. 验证 Firepower 4100 系列设备上的安全引擎或 Firepower 9300 设备上安装的任何安全模块的管理状态是否为正常,且操作状态是否为联机

  5. 输入 show app-instance

  6. 验证机箱上安装的任何逻辑设备的运行状态是否为联机,且集群状态是否为集群内。另外,验证显示的运行版本是否为正确的 FTD 软件版本。

    重要

     

    确认主设备不在该机箱中。“集群角色”设置为的任何 Firepower 威胁防御实例都不应存在。

  7. 对于安装在 Firepower 9300 设备上的任何安全模块或 Firepower 4100 系列设备上的安全引擎,验证 FXOS 版本是否正确:

    scope server 1/slot_id ,其中 slot_id 对于 Firepower 4100 系列安全引擎为 1。

    show version

步骤 3

将新的平台捆绑包映像下载到 Firepower 4100/9300 机箱

  1. 输入 top

  2. 进入固件模式:

    Firepower-chassis-a # scope firmware

  3. 下载 FXOS平台捆绑包软件映像:

    Firepower-chassis-a /firmware # download image URL

    使用以下语法之一,为正在导入的文件指定 URL:

    • ftp://username@hostname/ path/ image_name

    • scp://username@hostname/ path/ image_name

    • sftp://username@hostname/ path/ image_name

    • tftp://hostname: port-num/ path/ image_name

  4. 要监控下载过程,请执行以下操作:

    Firepower-chassis-a /firmware # scope download-task image_name

    Firepower-chassis-a /firmware/download-task # show detail

示例:

以下示例使用 SCP 协议复制映像: 

Firepower-chassis-a # scope firmware
Firepower-chassis-a /firmware # download image scp://user@192.168.1.1/images/fxos-k9.2.3.1.58.SPA
Firepower-chassis-a /firmware # scope download-task fxos-k9.2.3.1.58.SPA
Firepower-chassis-a /firmware/download-task # show detail
Download task:
    File Name: fxos-k9.2.3.1.58.SPA
    Protocol: scp
    Server: 192.168.1.1
    Userid:
    Path:
    Downloaded Image Size (KB): 853688
    State: Downloading
    Current Task: downloading image fxos-k9.2.3.1.58.SPA from 192.168.1.1(FSM-STAGE:sam:dme:FirmwareDownloaderDownload:Local)

步骤 4

如有必要,请返回到固件模式:

Firepower-chassis-a /firmware/download-task # up

步骤 5

进入自动安装模式:

Firepower-chassis /firmware # scope auto-install

步骤 6

安装 FXOS 平台捆绑包:

Firepower-chassis /firmware/auto-install # install platform platform-vers version_number

version_number 是您正在安装的 FXOS平台捆绑包的版本号,例如 2.3(1.58)。

步骤 7

系统将首先验证想要安装的软件包。它会告知您当前已安装的应用与指定的 FXOS 平台软件包之间的所有不兼容。此外,它还会警告您,在升级过程中,任何现有会话都将终止,系统将需要重启。

输入 yes ,确认您想要继续验证。

步骤 8

输入 yes 确认您想要继续安装,或者输入 no 取消安装。

系统打开捆绑包,升级/重新加载组件。

步骤 9

要监控升级流程,请执行以下操作:

  1. 输入 scope system

  2. 输入 show firmware monitor

  3. 等待所有组件(FPRM、交换矩阵互联和机箱)显示升级状态:就绪

     

    升级 FPRM 组件后,系统将重启,然后继续升级其他组件。

  4. 输入 top

  5. 输入 scope ssa

  6. 输入 show slot

  7. 验证 Firepower 4100 系列设备上的安全引擎或 Firepower 9300 设备上安装的任何安全模块的管理状态是否为正常,且操作状态是否为联机

  8. 输入 show app-instance

  9. 验证机箱上安装的任何逻辑设备的运行状态是否为联机、集群状态是否为集群内,且集群角色是否为从属

示例:
FP9300-A# scope system
FP9300-A /system # show firmware monitor 
FPRM:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready
    Server 2:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready

FP9300-A /system #
FP9300-A /system # top
FP9300-A# scope ssa
FP9300-A /ssa # show slot

Slot:
    Slot ID    Log Level Admin State  Oper State
    ---------- --------- ------------ ----------
    1          Info      Ok           Online
    2          Info      Ok           Online
    3          Info      Ok           Not Available
FP9300-A /ssa #

FP9300-A /ssa # show app-instance
App Name   Slot ID    Admin State Oper State       Running Version Startup Version Profile Name Cluster State   Cluster Role
---------- ---------- ----------- ---------------- --------------- --------------- ------------ --------------- ------------
ftd        1          Enabled     Online           6.2.2.81        6.2.2.81                     In Cluster      Slave
ftd        2          Enabled     Online           6.2.2.81        6.2.2.81                     In Cluster      Slave
ftd        3          Disabled    Not Available                    6.2.2.81                     Not Applicable  None
FP9300-A /ssa #

步骤 10

将机箱 2 中的其中一个安全模块设为控制。

将机箱 2 上的某个安全模块设置为“控制”后,机箱 1 中则不再包含控制单元,现在即可对其进行升级。

步骤 11

对集群中的其他所有机箱重复步骤 1 到 9。

步骤 12

要将“控制”角色返还机箱 1,请将机箱 1 上的某个安全模块设置为“控制”。

升级带有 FMC 的 Firepower 威胁防御(版本7.0.0)

FMC 提供升级 FTD 的向导。您仍必须使用“系统更新”(System Updates)(系统 (System) > 更新 (Updates))页面来上传或指定升级包的位置。您还必须使用“系统更新”页面升级 FMC 本身以及任何老版经典设备。

该向导将引导您完成重要的升级前阶段,包括选择要升级的设备,将升级包复制到设备,以及执行兼容性和就绪性检查。继续操作时,向导会显示有关所选设备的基本信息以及当前的升级相关状态。这包括无法升级的任何原因。如果设备未在向导中“通过”某个阶段,则该阶段不会显示在下一阶段。

如果您离开该向导,系统会保留您的进度,但其他具有管理员访问权限的用户可以重置、修改或继续工作流程(除非您使用 CAC 登录,在这种情况下,您的进度会在您注销后 24 小时清除)。您的进度也会在高可用性 FMC 之间同步。

在版本 7.0.x,设备升级页面无法正确显示集群或高可用性对中的设备。即使必须将这些设备作为一个单元进行选择和升级,工作流程也会将其显示为独立设备。设备状态和升级就绪性会逐个评估和报告。这意味着一台设备可能会“传递”到下一阶段,而另一台设备则不会。但是,这些设备仍然分组。因此,在一台设备上运行就绪性检查,所有设备上都会运行。在一台设备上启动升级,在所有设备上都会启动升级。

为避免可能的耗时升级失败,请 手动 确保所有组成员都已准备好继续执行工作流程的下一步,然后再点击 下一步

小心

请勿在升级期间进行或部署配置更改。即使系统显示为非活动状态,也不要手动重新启动或关闭。在大多数情况下,请勿重启正在进行的升级。但是,通过版本 6.7.0 的主要和维护升级,您可以手动取消失败或正在进行的升级,并重试失败的升级;使用“升级状态”(Upgrade Status) 弹出窗口(可从“设备管理”(Device Management) 页面和消息中心访问),或使用 FTD CLI。

请注意,默认情况下,在升级失败时 FTD 会自动将其恢复到升级前的状态(“自动取消”)。要能够手动取消或重试失败的升级,请在启动升级时禁用自动取消选项。请注意,补丁不支持自动取消。在高可用性或集群部署中,自动取消会单独应用于每个设备。也就是说,如果一台设备上的升级失败,则仅恢复该设备。如果您已用尽所有选项,或者如果您的部署不支持取消/重试,请联系 Cisco TAC

开始之前

完成预升级核对表。确保部署中的设备保持正常运行,并且能够成功通信。

过程

选择要升级的设备。

步骤 1

选择设备 > 设备管理

步骤 2

选择想要升级的设备。

您可以一次升级多个设备。您必须同时升级设备集群和高可用性对的成员。

重要

 

由于性能问题,如果您将设备升级(不是从)版本 6.4.0.x 到 6.6.x,我们强烈建议同时升级不超过五台设备。

步骤 3

选择操作选择批量操作菜单中,选择升级 Firepower 软件

系统将显示“设备升级”(Device Upgrade)页面,指示您选择了多少台设备并提示您选择目标版本。 该页面有两个窗格:左侧是设备选择,右侧是设备详细信息。点击设备选择中的设备链接(例如“4 台设备”)以显示这些设备的设备详细信息。

请注意,如果正在处理升级工作流程,则必须首先合并设备(将新选择的设备添加到之前选择的设备并继续)或重置(放弃之前的选择并仅使用新选择的设备)。

步骤 4

核对您的设备选择。

要选择其他设备,请返回“设备管理”页面,您的进度不会丢失。如需删除设备,点击重置清除设备选择并重新开始。

将升级软件包复制到设备。

步骤 5

升级到菜单中,选择目标版本。

系统确定哪些所选设备可以升级到该版本。如果任何设备都不符合条件,您可以点击设备链接查看原因。如果您不想删除不符合条件的设备,则无需删除;它们将不会包含在下一步中。

请注意,升级到菜单中的选项对应于系统可用的设备升级软件包。如果您的目标版本未列出,请转至系统(System)>更新(Updates),并上传或指定正确升级包的位置。

步骤 6

对于仍需要升级软件包的所有设备,请点击复制升级软件包,然后确认选择。

要升级 FTD,必须在设备上安装软件升级包。在升级之前复制升级软件包可缩短升级维护窗口的长度。

执行兼容性、就绪性和其他最终检查。

步骤 7

对于需要通过就绪性检查的所有设备,请点击运行就绪性检查,然后确认您的选择。

虽然您可以通过禁用需要通过兼容性和就绪性检查选项来跳过检查,但我们建议不要使用此选项。通过所有检查可以大大降低升级失败的可能性。在运行就绪性检查时,请勿将更改部署到设备、手动重新启动或关闭设备。如果设备的就绪性检查失败,请纠正问题并再次运行就绪性检查。如果就绪性检查列出了您无法解决的问题,请不要开始升级,而是联系Cisco TAC寻求帮助。

请注意,兼容性检查是自动进行的。例如,如果您需要在 Firepower 4100/9300 上升级 FXOS,或者如果您需要部署到托管设备,系统会立即发出警报。

步骤 8

执行最终的升级前检查。

重新查看预升级核对表。确保您已完成所有相关任务,尤其是最终检查。

步骤 9

如有必要,请返回“设备升级”页面。

您的进度应已保留。如果不是,则具有管理员访问权限的其他人可能已重置、修改或完成了此工作流程。

步骤 10

点击下一步

升级。

步骤 11

核对您选择的设备和目标版本。

步骤 12

选择回滚选项。

对于主升级得维护升级,升级失败时,系统将自动取消升级并回滚至上一版本。启用此选项后,设备会在升级失败时自动返回到升级前的状态。如果您希望能够手动取消或重试失败的升级,请禁用此选项。在高可用性或集群部署中,自动取消会单独应用于每个设备。也就是说,如果一台设备上的升级失败,则仅恢复该设备。

这些选项不支持打补丁。

步骤 13

点击开始升级 (Start Upgrade),然后确认您要升级并重启设备。

您可以在消息中心监控升级进度。有关升级期间流量处理的信息,请参阅版本说明中的升级软件一章。

在更新过程中,设备可能会重新启动两次。这是预期行为。

验证成功并完成升级后任务。

步骤 14

验证升级是否成功。

升级过程完成后,选择设备 > 设备管理,并确认您升级的设备具有正确的软件版本。

步骤 15

(可选)在高可用性/可扩展性部署中,检查设备角色。

升级流程会切换设备角色,以便始终升级备用设备或数据单元。它不会将设备恢复到升级前的角色。如果您有特定设备的首选角色,请立即进行更改。

步骤 16

更新入侵规则 (SRU/LSP) 和漏洞数据库 (VDB)。

如果 思科支持和下载站点 上提供的组件比当前运行的版本新,请安装新版本。请注意,在更新入侵规则时,不需要自动重新应用策略。您可以稍后执行该操作。

步骤 17

完成发行说明中所述的任何升级后配置更改。

步骤 18

将配置重新部署到将刚才升级的设备。

下一步做什么

(可选)通过返回“设备升级”(Device Upgrade)页面并点击“完成”(Finish)来清除向导。在执行此操作之前,“设备升级”页面将继续显示有关您刚刚执行的升级的详细信息。

升级带有 FMC 的 Firepower 威胁防御(版本6.0.1–6.7.0)

使用此程序通过 FMC 的“系统更新”(System Updates) 页面升级 FTD。在此页面上,如果多台设备使用相同的升级软件包,仅可一次性对这些设备同时进行升级。您必须同时升级设备集群和高可用性对的成员。

开始之前

  • 决定是否要使用此程序。对于版本 7.0.x 的 FTD 升级,我们建议您改为使用升级向导;请参阅升级带有 FMC 的 Firepower 威胁防御(版本7.0.0)

  • 完成预升级核对表。确保部署中的设备保持正常运行,并且能够成功通信。

  • (可选)交换高可用性设备对的主用/备用角色。选择设备 (Devices) > 设备管理 (Device Management),点击对等设备旁边的切换主用设备 (Switch Active Peer) 图标并确认您的选择。

    首先升级高可用性对中的备用设备。设备会交换角色,然后新的备用设备进行升级。升级完成后,设备的角色保持交换后的状态。如果您想要保留主用/备用角色,请先手动交换角色,然后再进行升级。这样,升级流程会将它们交换回来。

过程

步骤 1

选择系统 > 更新

步骤 2

点击您想要使用的升级软件包旁边的安装图标,然后选择要升级的设备。

如果您想要升级的设备未列出,则表示您选择了错误的升级软件包。

 

我们强烈 建议同时从“系统更新”页面升级的设备数不超过五个。不能在所有选定设备完成升级过程之前停止升级。如果任何一个设备升级存在问题,则必须等待所有设备均完成升级,然后才可以解决该问题。

步骤 3

(版本 6.7.0+)选择回滚选项。

对于主升级得维护升级,升级失败时,系统将自动取消升级并回滚至上一版本。启用此选项后,设备会在升级失败时自动返回到升级前的状态。如果您希望能够手动取消或重试失败的升级,请禁用此选项。在高可用性或集群部署中,自动取消会单独应用于每个设备。也就是说,如果一台设备上的升级失败,则仅恢复该设备。 补丁不支持自动取消。

步骤 4

点击安装 (Install),然后确认您要升级并重启设备。

在升级过程中,一些设备可能会重启两次;这是预期行为。流量在整个升级过程中丢弃还是不进行检测就穿过网络,取决于您的设备的配置和部署方式。有关详细信息,请参阅目标版本的Cisco Firepower 发行说明中的升级软件一章。

步骤 5

监控升级进度。

小心

 

将更改部署到正在升级的设备或部署更改到,手动重启正在升级的设备,或者关闭正在升级的设备。

在大多数情况下,请重启正在进行的升级。但是,版本 6.7.0 的主要和维护 FTD 升级开始,您可以手动取消失败或正在进行的升级,并重试失败的升级;使用“升级状态”(Upgrade Status) 弹出窗口(可从“设备管理”(Device Management) 页面和消息中心访问),或使用 FTD CLI。请注意,默认情况下,在升级失败时 FTD 会自动将其恢复到升级前的状态(“自动取消”)。要能够手动取消或重试失败的升级,请在启动升级时禁用自动取消选项。请注意,补丁不支持自动取消。在高可用性或集群部署中,自动取消会单独应用于每个设备。也就是说,如果一台设备上的升级失败,则仅恢复该设备。如果您已用尽所有选项,或者如果您的部署不支持取消/重试,请联系 Cisco TAC

步骤 6

验证升级是否成功。

升级过程完成后,选择设备 > 设备管理,并确认您升级的设备具有正确的软件版本。

步骤 7

更新入侵规则 (SRU/LSP) 和漏洞数据库 (VDB)。

如果 思科支持和下载站点 上提供的组件比当前运行的版本新,请安装新版本。请注意,在更新入侵规则时,不需要自动重新应用策略。您可以稍后执行该操作。

步骤 8

完成发行说明中所述的任何升级后配置更改。

步骤 9

将配置重新部署到将刚才升级的设备。