升級FMC管理的FTD HA工作流（版本7.4.2）

問題

處理的主要問題是對由執行7.4.2版的Firepower管理中心(FMC)4700管理的Cisco Firepower威脅防禦(FTD)裝置（具體是FPR1120）執行高可用性(HA)升級的工作流和技術要求。本文詳細介紹確保FTD HA升級操作成功的準備步驟、最佳實踐和注意事項。

環境

• 技術：思科安全防火牆Firepower - 7.4
• 子技術：Firepower威脅防禦(FTD) — 軟體更新/安全更新/重新映像/遷移/備份和恢復
• 產品系列：FPRLOW（包括FPR1120）
• 高可用性(HA)配對中的Firepower威脅防禦(FTD)
• 由Firepower管理中心(FMC)4700管理
• FMC軟體版本：7.4.2
• 在定義的維護視窗中計畫的升級活動

解析

請遵守此詳細的工作流程，以確保成功升級由FMC管理的FTD HA對：

第1步：準備升級

開始升級過程之前，必須生成並儲存FTD HA裝置和FMC的配置備份。這樣可以確保在升級失敗或意外問題時可以還原配置。

要備份FMC配置：在FMC UI中導航到System > Tools: Backup/Restore，然後按一下Firewall Management Backup 按鈕：

inline_image_0.png

inline_image_1.png

按一下「Managed Device Backup」按鈕以備份FTD HA配對。

若要確保FTD裝置組態狀態得以保留，請確認已從FMC到兩個HA對等點的最新組態部署已完成：

inline_image_2.png

步驟2：驗證FTD HA配對的目前狀態

繼續進行升級之前，請檢查HA狀態以確認兩個對等點是否正常且已同步。在FTD CLI中，使用以下命令檢查裝置狀態：

> show failover state

輸出示例：

狀態上次失敗原因日期/時間

此主機 — 主

 活動無

其他主機 — 次要

 無備用就緒

====配置狀態===

 已跳過同步

====通訊狀態===

Mac set第3步：計畫和傳達維護視窗

確保明確定義了維護視窗，並通知所有利益相關者。對於此工作流，維護計畫如下：

• 開始時間：18/11/2025 12:00:00(UTC -3 Argentina/Buenos_Aires)

• 結束時間：18/11/2025 14:00:00(UTC -3 Argentina/Buenos_Aires)

第4步：啟動FTD HA升級

從FMC啟動升級，確保遵循思科建議的升級FTD HA對的過程。在升級過程中，升級通常以滾動方式自動執行： 

1. 升級待命FTD。

2. 容錯移轉至新升級的FTD，使其處於使用中狀態。

3. 立即升級其他FTD處於待機狀態。

在FMC GUI中，導覽至System > Product Upgrades，然後選擇要升級的目標版本。

inline_image_3.png

第5步：監控升級過程

密切監視兩台裝置的升級進度。使用FMC GUI作業監視部分或CLI進行狀態更新。要在CLI中檢查升級進度：

> show upgrade status

輸出示例：

正在備用裝置上升級……

在備用裝置上升級已完成。

正在啟動故障轉移……

正在活動裝置上升級……

兩台裝置均已完成升級。

HA對已同步。步驟6：升級後驗證

升級完成後，請確認：

• 兩台FTD裝置都在執行預定的軟體版本。

• HA狀態將兩台裝置報告為正常和已同步。

• 所有預期服務和網路流量均按預期運行。

>顯示版本

 輸出示例：

---------------[ firepower ]---------------

型號：適用於VMware(75)的Cisco Firepower威脅防禦版本7.4.2.4（內部版本9）

UUID : bc9d31e8-0517-11f0-9c89-c358b8259f96

LSP版本：lsp-rel-20260128-1954

VDB版本：404

----------------------------------------------------

> show failover

輸出示例：

> show failover

故障切換開啟

故障切換裝置主裝置

故障切換LAN介面：故障切換狀態GigabitEthernet0/7(up)

重新連線超時0:00:00

裝置輪詢頻率1秒，保持時間15秒

介面輪詢頻率5秒，保持時間25秒

介面策略1

受監控的介面4（共361個）

未設定MAC地址移動通知間隔

故障切換複製http

版本：Ours 9.20(2)121, Mate 9.20(2)121

序列號：我們的序列號、配對序列號

上次故障轉移時間：14:29:08 UTC 2025年12月31日

 此主機：主 — 活動

 活動時間：3418340（秒）

 插槽0:ASAv硬體/軟體版本(/9.20(2)121)狀態（啟動系統）

 Interface OUTSIDE(IPADDRESS)：正常（受監控）

 Interface INSIDE(IPADDRESS)：正常（受監控）

 介面DMZ(IPADDRESS)：正常（受監控）

 介面管理(IPADDRESS)：正常（受監控）

 插槽1:snort rev(1.0)狀態(up)

 插槽2:diskstatus rev(1.0)狀態(up)

 其他主機：輔助 — 備用就緒

 活動時間：0（秒）

 Interface OUTSIDE(IPADDRESS)：正常（受監控）

 Interface INSIDE(IPADDRESS)：正常（受監控）

 介面DMZ(IPADDRESS)：正常（受監控）

 介面管理(IPADDRESS)：正常（受監控）

 插槽1:snort rev(1.0)狀態(up)

插槽2:diskstatus rev(1.0)狀態(up)

第7步：確保備份是最新的

最後一步是在升級後生成FMC和FTD的新備份，以捕獲當前已升級的配置狀態。

按照步驟1所述重複備份過程。

原因

無.這是由FMC管理的Cisco FTD HA的標準升級工作流程。

相關內容

• 思科技術支援與下載
• 升級FTD HA（由FMC管理）
• 排除Firepower檔案生成過程故障
• 版本資訊