在高可用性中升級FMC

簡介

本檔案介紹在高可用性(HA)中升級安全防火牆管理中心(FMC)環境的步驟。

必要條件

需求

思科建議您瞭解以下主題：

• 高可用性概念
• 安全FMC配置

採用元件

本檔案中的資訊是根據虛擬安全防火牆管理中心版本7.4.2。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

升級必須一次是一個對等體。

首先，暫停對等項之間的同步。

然後，需要先在備用模式下完成升級，然後是主用FMC。

警告：當備用對等體正在執行預檢查/安裝時，兩個對等體都切換到主用狀態；這叫裂腦。
升級時完全可以預料到。在此期間，不得進行或部署任何配置更改。
如果進行任何配置更改，同步重新啟動後可能會丟失配置。

升級前

1. 規劃升級路徑。在FMC部署中，通常先升級FMC，然後升級其受管裝置。請始終知道您剛剛執行的升級和下一個升級。

2. 閱讀所有升級指南並規劃配置更改。
3. 檢查頻寬。確保您的管理網路具有執行大型資料傳輸所需的頻寬。

4. 計畫維護視窗。
5. 升級前和升級後備份配置。System > Tools - Backup / Restore > Firepower Management backup。將備份下載到本地電腦。

6. 升級虛擬託管。當您運行較舊版本的VMware時，這是必需的。
7. 檢查配置。
8. 檢查NTP同步。
   FMC:選擇System > Configuration > Time。
   裝置：使用show time CLI命令。

9. 檢查磁碟空間。
10. 部署配置。在FMC高可用性部署中，您只需要從活動對等體進行部署。
11. 檢查正在運行的任務。確保沒有掛起的部署。

升級程式

步驟1.暫停同步

在主（活動）裝置上，暫停對等體之間的高可用性同步。

Integration > Other Integrations:

暫停同步。選擇整合、其他整合、高可用性

選擇頁籤High Availability:

FMC高可用性部分

選擇暫停同步:

選擇Pause Synchronization

等待同步暫停。完成時，狀態必須由使用者暫停。
同步降級時發出警報。使用者已暫停

步驟2.上傳升級包

登入到輔助（備用）裝置，確認同步已暫停。

整合>其他整合>高可用性:

在備用裝置上。使用者暫停的同步

確認後，繼續上傳升級包。

System > Product Upgrade:

系統、產品升級

選擇升級包

瀏覽先前下載的要升級版本的軟體包。

瀏覽升級包，選擇上傳

步驟3.準備情況檢查

在「可用升級包」清單中，選擇所需的版本。繼續使用Upgrade選項：

可用的升級包。繼續升級

預檢查驗證完成時選擇Next:

預檢查驗證

按一下Run Readiness Check，此過程必須在要升級的裝置上啟動：

運行就緒檢查

完成後，您可以在就緒性檢查結果中檢視狀態。

如果成功，則可以選擇Next:

就緒性檢查通過，選擇下一步

步驟4.升級FMC

選擇Upgrade以開始升級過程：

開始升級

升級進度可在FMC網站上看到：

升級進度

可以註銷GUI，重新登入並顯示升級進度：

GUI中的升級進度

附註：安裝大約需要30分鐘才能完成。

如果您具有CLI訪問許可權，可以在升級資料夾/var/log/sf中檢查進度；轉到expert mode並輸入root access。

> expert
admin@firepower:~$ sudo su
Password: 
root@firepower:/Volume/home/admin# cd /var/log/sf/

root@firepower:/var/log/sf# ls
Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2 

root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2# ls
000_start  AQ_UUID  DBCheck.log  exception.log  flags.conf  main_upgrade_script.log  status.log  status.log.202307180405  upgrade_readiness  upgrade_status.json  upgrade_status.log  upgrade_version_build

root@firepower:/var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.6.2# tail -f status.log 

升級完成後，FMC重新啟動。

ui:[100%] [1 mins to go for reboot]Running script 999_finish/999_zzz_complete_upgrade_message.sh...
ui:[100%] [1 mins to go for reboot] Upgrade complete
ui:[100%] [1 mins to go for reboot] The system will now reboot.
ui:System will now reboot.

Broadcast message from root@firepower (Fri Oct 10 20:23:08 2025):

System will reboot in 5 seconds due to system upgrade.

Broadcast message from root@firepower (Fri Oct 10 20:23:13 2025):

System will reboot now due to system upgrade.

ui:[100%] [1 mins to go for reboot] Installation completed successfully.
ui:Upgrade has completed.
state:finished

Broadcast message from root@firepower (Fri Oct 10 20:23:25 2025):

The system is going down for reboot NOW!

重新開機後，重新登入FMC GUI，接受使用者協定：

接受使用者協定

新版本可在FMC上確認。

幫助>關於:

新版本確認

在CLI中，接受使用者協定後即可檢查版本。

Copyright 2004-2025, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.

Cisco Firepower Extensible Operating System (FX-OS) v2.16.0 (build 4006)
Cisco Secure Firewall Management Center for VMware v7.6.2 (build 329)

>
> show version
-------------------[ firepower ]--------------------
Model                     : Secure Firewall Management Center for VMware (66) Version 7.6.2 (build 329)
UUID                      : 1c71ae24-1e60-11ed-8459-9758e19f1a24
Rules update version      : 2022-01-06-001-vrt
LSP version               : lsp-rel-20240417-2110
VDB version               : 392
----------------------------------------------------

FMC高可用性升級至Split Brain後，本地對等（輔助）現在已完成升級。

整合>其他整合>高可用性:

Split Brain的高可用性
步驟5.升級主要（活動）對等路由器

登入到主裝置，確認本地對等裝置是版本最舊的對等裝置。

整合>其他整合>高可用性:

確認本地對等體版本

在此對等項中重複步驟2到步驟4:

1. 上傳升級包。

2. 準備情況檢查。

3. 升級裝置。

步驟6.啟用所需的FMC

在兩個FMC上完成升級後，l登入到要啟用的FMC並選擇啟用我選項。

Integration > High Availability > Make Me Active:

選擇要處於活動狀態的所需單位

有關進程並覆蓋在備用對等體中完成的任何配置的警告，請選擇是(YES)繼續操作。

有關備用對等體上的活動覆蓋配置的警告

選擇確定

解析拆分大腦

等待同步完成。遠端對等體必須顯示為備用。

高可用性臨時降級

附註：完成同步最多可能需要20分鐘。

在FMC活動裝置上部署掛起的更改，以完成升級過程。

驗證

兩個FMC處於相同版本且同步完成後，HA Summary頁籤必須如下所示。

整合>其他整合>高可用性:

同步完成

警告：如果最終同步狀態顯示降級或其他不是「正常」的結果，請聯絡TAC。