- はじめに
- アップグレード前に確認すべき事項
- Firepower System 互換性情報と アップグレードパス
- FMCと FTD/FirePOWERデバイスの互換性情報
- ASA/ASDMソフトウェアと FirePOWERデバイスの互換性情報
- アップグレードパス
- Firepower System アップグレード例
- version 6.0.0 から 6.1.0.4にアップグレード時
- その他 構成別 アップグレード例 (6.2.3以前)
- アップグレード時の必要時間例 (6.6.1の場合)
- その他 確認・注意事項
- 参考情報
2023年2月追記:
・本ドキュメント情報は 2016年当時がベースであり、古いため参照しないでください
・最新情報はリリースノートや Firepower System: FMCと 管理deviceの パッチ 簡易アップデート手順 を参照してください
・当ドキュメント情報は保守用に残してあります
はじめに
マイナーバージョン等を越える大きなアップグレードを行う時、FMC(旧名:FireSIGHT)と 管理デバイス (FTDや FirePOWERモジュールなど)のバージョン互換性に注意し、順々にアップグレードが必要となります。 例えば、5.4.x→6.0.xや、6.0.x→6.2.xにアップグレード時は、アップグレードパスやソフトウェア互換性に注意する必要があります。逆に、6.2.3以降はアップグレードパスはシンプルになり、改善されています。
本ドキュメントでは、その互換性情報やアップグレードパス、及び 実際のアップグレード例を紹介します。
正しい情報を記載するよう注意しておりますが、最新情報や詳細情報は、各バージョンアップ先のリリースノートを確認するようにしてください。
|
Note : 例えば、6.2.3にアップグレードを行いたい場合、6.1.xや 6.2.xから 中継バージョンを経由せず 直接 バージョン 6.2.3にアップグレード可能になりました。 アップグレードパスや その際の注意点などは リリースノートに細かな記載がございますため、アップグレード先のバージョンのリリースノートを確認するようお願いします。例えば以下は、特に安定バージョンである 6.4.0系や 6.6.0系のリリースノートです。なお、アップグレード後は不具合修正用のパッチの素早い適用を強くお勧めします。 また、システムの安定性を高く保つには、バージョン選定が非常に重要です。Firepower Systemは、2nd digitが偶数のリリース(6.2.xや 6.4.x、6.6.xなど)が、長期メンテナンス対象(=Long Term Release)の安定バージョンとなります。 偶数リリースの中でも、2年ごとにリリースされる 6.4.x や 7.0.x、7.4.x は、さらに長期メンテナンス対象(=Extra Long Term Release)の安定バージョンの位置づけとなります。そのため、ビジネスクリティカルなシステムの場合は特に、2nd digitが偶数、かつ その偶数リリースの最新パッチバージョン もしくは 推奨バージョンの利用を検討してください。トレイン選定方法についてより詳しくは、ASA9.5(1)以降: トレイン別のサポートモデルの違いについての「FTDにも長期と短期サポート対象の違いはありますか」を参考にしてください。 なお、2021年5月現在 6.6.4 が、長期サポート、かつ安定した最も利用推奨されるバージョンとなります。また、 6.4.0.12 も十分安定した長期サポートリリースです。 推奨バージョンDownload Software の Suggested Releaseから確認でき、安定したトレイン、かつ、特に大きな問題報告のないバージョンが Suggested Release に選ばれる傾向となります。 以下はFirepower 2140の Suggested Releaseの確認例です。なお、Suggested Releaseは逐次アップデートされるため、最新の情報の確認をお勧めします。 |
アップグレード前に確認すべき事項
アップグレードの検討にあたり、事前に以下情報の確認を行う事をお勧めいたします。
| FMC側での 主な確認事項 | FirePOWER/FTDデバイス側での 主な確認事項 |
|
|
Firepower System 互換性情報と アップグレードパス
以下に互換性情報とアップグレードパスの参考情報を示します。
FMCと FTD/FirePOWERデバイスの互換性情報
通常 FMCは 1世代前までのFTD/FirePOWERバージョンをサポートします。なお、FMC 6.4以降の場合は、3~4世代前までのFTD/FirePOWERバージョンもサポート可能です。ただ、特別な理由などある場合を除いて、安定性上、FMCと FTD/FirePOWERデバイスの バージョンは 原則同じにすることを お勧めします。
また、FMCのバージョンは 管理デバイスと同じかより高くする必要があるため、アップグレード時は、FMCのアップグレードを行った後、そのFMCが管理するFTDやFirePOWERデバイスのアップグレードを行う必要があります。
以下表は、FMC 6.0.1.xまでの互換性マトリックスです。
FMC / FirePOWER Version Compatibility Matrix ※2016年12月14日 更新
| FMC (旧名:FireSIGHT) Version | FirePOWER Sensor | ASA with FirePOWER (Other) |
ASA with FirePOWER (ASA5506/5508/5516) |
| 6.0.1.1 & 6.0.1 | Minimum 5.4.0.6 | Minimum 5.4.0.6 | Minimum 5.4.1.5 |
| 6.0.0.1 | Minimum 5.4.x | Minimum 5.4.x | Minimum 5.4.x |
| 6.0.0.0 | Minimum 5.4.0.6 | Minimum 5.4.0.6 | Minimum 5.4.1.5 |
| 5.4.1.5 - 5.4.1.7 | Minimum 5.4.0.6 | Minimum 5.4.0.6 | Minimum 5.4.1.5 |
| 5.4.1.1 - 5.4.1.4 | Minimum 5.3 | Minimum 5.3.1 | Minimum 5.4.1 |
| 5.4.1 | Minimum 5.3 | Minimum 5.3.1 | Minimum 5.4.1 |
| 5.4 | Minimum 5.3.0.1 | Minimum 5.3.1 | N/A |
| 5.3.1.2 - 5.3.1.7 | Minimum 5.3 | Minimum 5.3.1 | N/A |
| 5.3.1.1 | Minimum 5.2.0.4 | Minimum 5.3.1 | N/A |
| 5.3.1 | Minimum 5.2 | Minimum 5.3.1 | N/A |
以下URLは、FMC 6.1.0.4の互換性情報です。
http://www.cisco.com/c/en/us/td/docs/security/firepower/610/6104/relnotes/Firepower_System_Release_Notes_Version_6104.html#pgfId-127806
以下URLは 、FMC 6.2.1の互換性情報です。
http://www.cisco.com/c/en/us/td/docs/security/firepower/621/relnotes/Firepower_Release_Notes_Version_621/management_capability.html
以下URLは 、FMC 6.2.2のサポートプラットフォームと環境の情報です。
https://www.cisco.com/c/en/us/td/docs/security/firepower/622/relnotes/Firepower_Release_Notes_622/Firepower_Release_Notes_622_chapter_010.html#reference_lwm_pyb_yz
以下URLは 、FMC 6.2.2.xのサポートプラットフォームと環境の情報です。
https://www.cisco.com/c/en/us/td/docs/security/firepower/622/622x/relnotes/Firepower_Relase_Notes_622x/Firepower_Relase_Notes_622x_chapter_010.html
以下URLは 、FMC 6.2.3のサポートプラットフォームと環境の情報です。
https://www.cisco.com/c/en/us/td/docs/security/firepower/623/relnotes/Firepower_Release_Notes_623/platforms_and_environments.html
以下URLは 、FMC 6.4.x のサポートプラットフォームと環境の情報です。「マネージャとデバイスの互換性」項を参照してください。
https://www.cisco.com/c/ja_jp/td/docs/security/firepower/640/relnotes/firepower-release-notes-640/compatibility.html
以下URLは 、FMC 6.6.x のサポートプラットフォームと環境の情報です。「Manager-Device Compatibility」項を参照してください。
https://www.cisco.com/c/en/us/td/docs/security/firepower/660/66x/relnotes/firepower-release-notes-66x/compatibility.html
なお、最新の FMCバージョン毎の互換性情報は、該当バージョンのリリースノートの "Platforms and Environments"や "Management Capability"などで確認できます。 そのため、バージョンアップ実施前に最新のリリースノートの記載を確認頂くことを強くお勧めいたします。
Cisco Firepower Management Center Release Notes
http://www.cisco.com/c/en/us/support/security/defense-center/products-release-notes-list.html
ASA/ASDMソフトウェアと FirePOWERデバイスの互換性情報
ASA with FirePOWER Servicesを利用の場合、ご利用のASAとASDMソフトウェアバージョンが、そのFirePOWERデバイスバージョンをサポートしている必要があります。 詳しくは、以下の互換性ガイドを参照してください。
Cisco ASA Compatibility - ASA 5500 and Module Compatibility
http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#pgfId-137099
アップグレードパス
具体的なアップグレードパスは、アップグレード先バージョンの各リリースノートで確認可能です。
Firepower System Release Notes, Version 6.1.0
- Update Paths to Version 6.1.0
http://www.cisco.com/c/en/us/td/docs/security/firepower/610/relnotes/Firepower_System_Release_Notes_Version_610.html#40265
Firepower System Release Notes, Version 6.2.0
- Update Paths to Version 6.2.0
http://www.cisco.com/c/en/us/td/docs/security/firepower/620/relnotes/Firepower_System_Release_Notes_Version_620/important_update_notes.html#id_38002
Firepower System Release Notes, Version 6.2.1
- Update Paths to Version 6.2.1
http://www.cisco.com/c/en/us/td/docs/security/firepower/621/relnotes/Firepower_Release_Notes_Version_621/important_update_notes.html#concept_kjp_q5r_wy
Firepower System Release Notes, Version 6.2.2
- Update Paths to Version 6.2.2
https://www.cisco.com/c/en/us/td/docs/security/firepower/622/relnotes/Firepower_Release_Notes_622/Firepower_Release_Notes_622_chapter_0101.html#concept_kc4_qvb_yz
Firepower Release Notes, Version 6.2.2.1 and Version 6.2.2.2
- Update Paths to Version 6.2.2.x
https://www.cisco.com/c/en/us/td/docs/security/firepower/622/622x/relnotes/Firepower_Relase_Notes_622x/Firepower_Relase_Notes_622x_chapter_01011.html#concept_kc4_qvb_yz
Firepower Release Notes, Version 6.2.3
- Upgrade Guidelines for Version 6.2.3
https://www.cisco.com/c/en/us/td/docs/security/firepower/623/relnotes/Firepower_Release_Notes_623/upgrade_guidelines.html
Cisco Firepower バージョン 6.4.0 リリースノート
- バージョン 6.4.0 へのアップグレード
Firepower Release Notes, Version 6.6.1
- Upgrade Guidelines for Version 6.6.x
Firepower System アップグレード例
以下に実際のアップグレード例と、目安時間や利用ファイル情報を記載します。 FMCのバージョンは、管理デバイスと同じか 新しい必要があることに注意してください。
なお、アップグレード時間の目安はリリースノートのアップグレードパスページの「Time Tests and Disk Space Requirements (時間テストとディスク容量の要件)」項もしくは「Time Estimates and Disk Space Requirements」項などにて確認も可能ですが、実際のアップグレード時間は利用機器や構成、設定・処理状況など様々な要素で変化するため、実際のアップグレード時は 十分余裕をもったアップグレード時間を準備することを強くお勧めいたします。
また、Firepower System バージョン 6.4.xや 6.6.xは、旧リリースに比べアップグレード時間が改善・短縮化されており、アップグレードパスも シンプルになっているため、旧リリースに比べアップグレード必要時間は減少しています。
version 6.0.0 から 6.1.0.4にアップグレード時
2017年6月に検証時のデータです。 なお、必要時間は、機器性能や設定、環境などにより変動する事に留意してください。
構成
| 対象 | 製品 | 現在version | アップグレード先 |
| FMC | FMC VMware on ESXi 5.5 | 6.1.0.2 | 6.1.0.4 |
| FirePOWER Sensor |
ASA5555 with FirePOWER Services | 6.0.0.0 | 6.1.0.4 |
各アップグレードステップと 目安時間 (実測)
| Step | 対象 | バージョン変更 |
目安時間 |
利用ファイル例 ※1 |
| 1 | FirePOWER Sensor |
6.0.0 → 6.0.1 | 約50分 | Cisco_Network_Sensor_Patch-6.0.1-29.sh |
| 2 | FirePOWER Sensor |
6.0.1 → 6.1.0 pre-install | 約11分 | Cisco_Network_Sensor_6.1.0_Pre-install-6.0.1.999-32.sh |
| 3 | FirePOWER Sensor |
6.1.0 pre-install → 6.1.0 |
約45分 | Cisco_Network_Sensor_Upgrade-6.1.0-330.sh |
| 4 | FMC | 6.1.0.2 → 6.1.0.4 | 約50分 | Sourcefire_3D_Defense_Center_S3_Patch-6.1.0.4-17.sh |
| 5 | FirePOWER Sensor |
6.1.0 → 6.1.0.4 | 約60分 | Cisco_Network_Sensor_Patch-6.1.0.4-17.sh |
※1: 最新のファイル情報は、Download Softwareや リリースノートを確認すること
その他 構成別 アップグレード例 (6.2.3以前)
以下ドキュメントに バージョン 6.2.3以前の 構成とターゲットバージョン毎のアップグレード例がまとまっているため、参考ください。
Firepower Management Center Upgrade Guide
https://www.cisco.com/c/en/us/td/docs/security/firepower/upgrade/fpmc-upgrade-guide/upgrade_paths.html
アップグレード時の必要時間例 (6.6.1の場合)
リリースノートのアップグレードページに、アップグレード時の必要時間の目安の記載があります。例えば以下は バージョン 6.6.1にアップグレード時の参考時間の抜粋です。なお、テスト環境の試験結果をベースにした値となるため、実環境のアップグレード必要時間を保証するものではないことに注意してください。
Time Tests and Disk Space Requirements - Version 6.6.1 Time and Disk Space
なお、アップグレード必要時間は デバイスのCPUやメモリ、ディスクやデータベースサイズなどの影響も受けます。そのため、ハイエンドモデルを利用時の場合、より早いアップグレードの完了を期待できます。
その他 確認・注意事項
各バージョンのアップグレード手順や注意事項など 細かな情報は、各バージョンのリリースノートに記載されています。 アップグレード前やアップデート前の、対象バージョンのリリースノートの確認を強くお勧めします。
Cisco Firepower Management Center Release Notes
http://www.cisco.com/c/en/us/support/security/defense-center/products-release-notes-list.html
具体的なアップデート手順 (=パッチ適用手順)や 主な注意事項は、以下ドキュメントを確認してください。 以下ドキュメントはアップグレード時も流用できます。 なお、アップグレードファイルは 手動アップロードと適用が必要です。 各ステップ毎に、事前確認、アップデート、その後のデプロイやヘルスチェックを繰り返します。
FMCと FirePOWER Module パッチの簡易アップデート手順
https://supportforums.cisco.com/ja/document/12948626
Firepowerシステムは ベースが Linuxサーバであり、アップグレード時は更新対象が多岐にわたります。 そのため、十分なメンテナンス時間を確保の上での アップグレード実施を 強くお勧めしております。 特にアップグレードの経由バージョンが多いほど アップグレード時間は伸びます。 また、アップグレード時間は 利用機器のパフォーマンスによっても左右されます。 利用システムのより正確なアップグレード必要な時間を知りたい場合などは、同様の構成を用意しての事前の検証など実施を強くお勧めいたします。Ciscoからは個別環境のアップグレード時間の目安などの情報提供は実施しておりません。
アップグレード前は、既存タスクが実行中でないことを 確認してください。 ヘルスモニタでアップグレード対象機器でエラーがないことを確認します。 また、アップグレード中の不測の再起動などが発生時はアップグレード失敗につながる為、電源環境が安定しているか 再確認してください。
アップグレード後は、最新のIntrusion Rule(侵入/攻撃検知用ルール)と VDB(脆弱性情報データベース)の適用をしてください。
参考情報
Firepower System: FMCと 管理deviceの パッチ 簡易アップデート手順
https://supportforums.cisco.com/ja/document/12948626
FirePOWERのトラブルシューティング関連リンク
https://supportforums.cisco.com/ja/document/12725831
Firepower System: FTD利用時の設定例 (FMC管理 or FDM管理)
https://community.cisco.com/t5/-/-/ta-p/3953191
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
