FPR4100/9300: FXOS 2.4.1以降にアップグレード時のASA/FTDミニマムバージョン (CSCvi97460)

Taisuke Nakamura · ‎2019-10-18

FXOS 2.4(1)以降にアップグレード時のASA/FTDバージョン確認の必要性
影響バージョン利用時のFXOS 2.4(1)以降へのアップグレード方法
アップグレードシナリオ例 (ASA 9.8.2 → 9.12の場合)
アップグレードシナリオ例 (FTD 6.2.2 → 6.4.0.4の場合)
影響バージョンで FXOS 2.4(1)以降にアップグレードした場合
よくある質問
参考情報

FXOS 2.4(1)以降にアップグレード時のASA/FTDバージョン確認の必要性

FPR4100/9300シリーズの場合、FXOSとアプリケーションソフトウェア(ASA/FTD)が分離しているため、ASA/FTDのバージョンをあげる場合、事前に互換性のあるFXOSバージョンへのFXOSアップグレードが必要です。

なお、FXOS 2.3(1)以下から FXOS2.4(1)以降にアップグレードする場合、以下の不具合 CSCvi97460 の影響をうける古いASA/FTDバージョンを利用時、FXOSアップグレード後にASA/FTDアプリケーションが再起動を繰り返し起動不可能となる恐れがあります。CSCvi97460はメモリ処理に不整合が発生しASAが再起動ループに陥る問題となり、FTDも内部にASA(LINA)エンジンを持つため同様に影響を受けます。

CSCvi97460 Traceback: ASA/FTD traceback and reload related to process "check_cpu_hog"
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvi97460/?reffering_site=dumpcr

CSCvi97460の影響バージョン

イメージ	影響バージョン
ASA	ASA 9.6(4)20未満 ASA 9.8(3)17もしくは9.8(4)未満 ASA 9.9(2)39未満
FTD	FTD 6.2.3.10未満

補足： ASA 9.10(1)以降や、FTD 6.3.0以降を利用時は、CSCvi97460の影響をうけません

影響バージョン利用時のFXOS 2.4(1)以降へのアップグレード方法

ASA/FTDバージョンをCSCvi97460の修正バージョンにアップグレードした後、FXOSを2.4(1)以降にアップグレードしてください。なお、CSCvi97460の修正バージョンアップグレード時にも、そのASA/FTD修正バージョンが現在利用のFXOSと互換性がない場合は、事前にFXOSを2.3.1.xの互換性のあるバージョンにあげるようにしてください。ASA/FTDとFXOSの互換性は、Cisco Firepower 4100/9300 FXOS Compatibility から確認できます。また、アップグレード先バージョンのリリースノートを確認し、Upgrade時の互換性情報や要件の事前確認をされることも強くお勧めします。

アップグレードシナリオ例 (ASA 9.8.2 → 9.12の場合)

「ASA 9.8.2.x + FXOS 2.2.2 を利用しており、ASA 9.12 + FXOS 2.6.1.xにアップグレードしたい場合」

手順：
1. ASAを 9.8(4)以降にバージョンアップ
2. FXOSを 2.6(1.131)以降にアップグレード
3. ASAを 9.12(x)以降にアップグレード

アップグレードシナリオ例 (FTD 6.2.2 → 6.4.0.4の場合)

「FTD 6.2.2.x + FXOS 2.3.1.x を利用しており、FTD 6.4.0.4 + FXOS 2.6.1.xにアップグレードしたい場合」

手順：
1. FXOSが 2.3(1.73)未満の場合、6.2.3.xと互換性のある FXOS 2.3(1.73)以降にFXOSアップグレード
2. FTDを 6.2.2.xから、6.2.3経由で、6.2.3.10以降(※安定バージョンの6.2.3.13など)にアップグレード
3. FXOSを 2.6(1.157)以降にアップグレード
4. FTDを 6.2.3.13などから、6.4.0経由(※)で、6.4.0.4にアップグレード (※6.3経由は不要、かつ非推奨)

Note: FMCでFTD管理時、FMCバージョンはFTDと同じか FTDより高い必要があるため、FTDバージョンアップ前にFMCの事前バージョンアップも必要です。FMCとFTDバージョンの互換性情報は、Cisco Firepower Compatibility Guide を参照してください

影響バージョンで FXOS 2.4(1)以降にアップグレードした場合

Logical Device (ASAもしくはFTD)が再起動を繰り返し起動不能に陥る恐れがあります。問題発生時は、ASA利用時の場合、セキュリティモジュールにコンソールアクセスすると、Thread Name: DATAPATH-x-xxxx でASAが再起動を繰り返していることを確認できます。

[クラッシュダンプ出力例]
Thread Name: DATAPATH-2-xxxxx <--- DATAPATHスレッドでの再起動
Page fault: Address not mapped
r8 0x0000000000000010
r9 0x00007f4344806020
r10 0x00007f4344806030
r11 0x0000000000000000
r12 0x0000000000000005
r13 0x0000000000000000
r14 0x0000000000000001
r15 0x0000000000000001
rdi 0x0000000000000000
rsi 0x00007f4583ce97d0
rbp 0x00007f4583ce9850
rbx 0x0000000000000005
rdx 0xfffffffffffffff5
rax 0x0000000000000001
rcx 0xffffffffffffda88
rsp 0x00007f4583ce9800
rip 0x000056025b84fb4a
eflags 0x0000000000013202
csgsfs 0x0000000000000033
error code 0x0000000000000004
vector 0x000000000000000e
old mask 0xffffffde3e3bfa07
cr2 0x0000000000000001

--- 略 ---

Cisco Adaptive Security Appliance Software Version 9.8(2)22

Compiled on Mon 19-Feb-18 13:47 PST by builders
Hardware: FPR4K-SM-12
Crashinfo collected on xx:xx:xx.xxx xxx xxx xxx xx xxxx
ASLR enabled, text region 56025af50000-56025f254ee4

再起動ループから抜けるには、FXOSバージョンを 2.3(1)以下に一旦ダウングレードしてください。その後、CSCvi97460の修正バージョンにASA/FTDをアップグレードしてから、再度 FXOSを2.4(1)以降にFXOSをアップグレードしてください。

よくある質問

当問題はFMCも影響をうけますか
いいえ、Firepower Management Center (FMC) は FXOSを搭載していないため影響をうけません。

当問題はFPR2100-ASA/FTDを利用時も影響をうけますか
いいえ、FPR2100シリーズは FPR4100/9300とアーキテクチャが異なり、発生しないことを確認済みです。

参考情報

Cisco Firepower 4100/9300 FXOS Compatibility
https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/compatibility/fxos-compatibility.html

Cisco Firepower Compatibility Guide
https://www.cisco.com/c/en/us/td/docs/security/firepower/compatibility/firepower-compatibility.html

Cisco Firepower Release Notes, Version 6.4.0 - Minimum Version to Upgrade
https://www.cisco.com/c/en/us/td/docs/security/firepower/640/relnotes/firepower-release-notes-640/upgrade.html#id_88320