FMC自動LSP更新"；未能下載新的清單"

問題

Cisco FMC上的自動輕量級安全包(LSP)更新失敗。LSP更新不再自動安裝，而手動LSP安裝繼續正常工作。VDB更新和Snort規則更新仍通過自動進程正常運行。

示例警報

inline_image_0.png

環境

• 思科安全防火牆Firepower管理中心7.6.x內建（適用於所有FMC型號和版本7.6+）

解析

要解決自動LSP更新故障，請驗證是否已在可能阻止更新過程的任何上游防火牆或網路裝置上正確配置了所需的網路連線。

1：驗證當前LSP版本狀態

檢查Firepower威脅防禦裝置上安裝的當前LSP版本：

顯示版本

顯示當前LSP版本的輸出示例：

--------------[ device ]--------------

型號：思科安全防火牆3140威脅防禦(80)版本7.6.2.1（內部版本3）

UUID:5fb22700-68c8-11ee-b5a0-d2e6638aec56

LSP版本：lsp-rel-20260121-2008

VDB版本：421

----------------------------------------------------

2：檢驗網路連線要求

確保允許以下目的地的任何上游防火牆或網路安全裝置通過埠80進行出站訪問：

• updates-dyn-talos.sco.cisco.com - LSP更新必需

• updates.ironport.com — 安全內容更新所必需的

這些目標是自動更新過程正常運行所必需的。這些連線的任何阻塞都會阻止自動LSP更新，同時仍允許手動更新工作。

來自FMC的連線測試示例，出現錯誤

root@fmc:/Volume/home/user# curl -v -k http://updates.ironport.com

<h1>網頁被阻止</h1>

 <p>您嘗試訪問的網頁已根據公司策略被阻止。如果您認為這是一個錯誤，請與系統管理員聯絡。</p>

/var/log/sf/talos_agent.log上的錯誤日誌示例

sf/talos_agent.log:TalosAgent：錯誤： updater.go:talosagent.cisco.com/pkg/updater.UpdateService:475 2026/02/13 04:11:05 Failed to download new inventory file: failed to download file: 204cf9af41f70cb30cfd3a7d41ab2f7366219cbfa805b4ec7443bb957f373b87630d8e4027491747102d060ed5e238ab rpc錯誤：代碼=內部描述= http錯誤503服務下載檔案時不可用204cf9af41f70cb30cfd3a7d41ab2f7366219cbfa805b4ec7443bb957f373b87630d8e4027491747102d060ed5e238ab

sf/talos_agent.log:TalosAgent:ERROR: updater.go:talosagent.cisco.com/pkg/updater.UpdateService:475 2026/02/24 19:18:08 Failed to download new inventory file: failed to download file: 3b1e29d5b30bd9dc79f15fad7726e616d73e93ec473e383bb08086b41d3bb571b7e08d3f0fb3fc5e839415d6c3edde0b rpc error: code = Internal desc = Download of http://updates.ironport.com:80/lsp/1/lsp/default/20260223001 failed: connection error: Connection reset by peer(os error 104)

3：驗證更新配置

確認在防火牆管理中心中為LSP更新正確配置了自動更新。VDB和Snort規則更新繼續自動工作這一事實表明，基本更新機制可以正常工作，但可以阻止特定於LSP的連線。

4：測試連通性

確認通過任何上游安全裝置可以訪問所需的目標後，監控自動更新過程以驗證LSP更新是否恢復正常操作。

工作輸出示例

root@echo-ngfw-fmcv3:/Volume/home/admin# curl -v -k http://updates.ironport.com

*嘗試208.90.58.25:80...

*已連線到updates.ironport.com(208.90.58.25)埠80(#0)

> GET/HTTP/1.1

>主機： updates.ironport.com

>使用者代理：curl/7.79.1

>接受：*/*

>

*將捆綁包標籤為不支援多用途

< HTTP/1.1 200 OK

<伺服器：nginx/1.20.1

<日期：星期一，2026年3月16日20:22:35 GMT

< Content-Type: text/html

<內容長度：689

<上次修改時間：星期三，2006年9月06日17:26:12 GMT

<連線：keep-alive

< ETag：「44ff04b4-2b1」

<到期：2026年3月17日星期二20:22:35 GMT

<Cache-Control: max-age=86400

<Accept-Ranges：位元組

<

<HTML>

  <!— $Header:/usr/local/cvsroot/godspeed/upgrade_server/http/html/root.html,v 1.1 2004/06/25 22:43:59 brie Exp $ —>

  <HEAD>

  </HEAD>

  <BODY>

    <IMG SRC="http://ironport.com/media/logo.gif">

    <P>

      這是IronPort更新伺服器。如果您正在嘗試下載新的

流量監控器、merlin或WBRS封包，您錯誤進入此頁面。

  有關下載的說明，請參閱《Update Manager發行說明》

新軟體。

    </P>

    <P>

      如果您有任何疑問，請隨時聯絡IronPort客戶服務

      地址：(877)641-4766或<A HREF="mailto:support@ironport.com">support@ironport.com</A>。

    </P>

  </BODY>

</HTML>

*與主機#0新.ironport.com的連線狀態保持不變

確保裝置符合思科公共文檔所述的其它各種更新和下載型別所需的埠和域連線要求：

• 思科安全防火牆管理中心管理指南7.6：安全、Internet訪問和通訊埠 

原因

自動LSP更新失敗是由阻止到所需更新伺服器的網路連線引起的。具體來說，通過埠80對updates-dyn-talos.sco.cisco.com和updates.ironport.com的出站訪問受上游防火牆規則或網路安全策略的限制。這阻止FMC自動下載和安裝LSP更新，但手動更新仍可以執行，因為它們可以使用不同的下載方法或快取內容。

但是，此問題也可能受FMC從思科雲站點下載大型檔案的能力的影響。限制FMC頻寬以及在同一時間範圍內的其他多個軟體更新（即：SRU和VDB）可能會造成頻寬競爭，從而導致下載失敗。在這種情況下，請分離軟體下載時間，以允許它們有足夠的頻寬進行下載或解決任何上游頻寬問題。

相關內容

• 思科技術支援與下載
• 思科安全防火牆管理中心管理指南7.6：安全、Internet訪問和通訊埠