はじめに
FTD 6.x系の安定リリースである 6.6系は、2023年3月にソフトウェアメンテナンス(不具合修正)が終了しており、2025年3月31日にソフトウェアのTACサポートが完全に終了します。そのため、不具合や脆弱性が修正された安全なバージョンとTACサポートの継続利用のためには、6.6系から7.x系へのアップグレードが不可欠です。
FMC/FTDは4世代先まで中継バージョンなしにアップグレードが可能であるため、アップグレードの有力候補は、7.2.8+ となります。バージョン 7.2.8 は2024年10月2日まで推奨リリースであった安定バージョンであり、2024年10月現在も十分安定したバージョンです。仮に、6.6から 7.4.x や 7.6.x にアップグレードしたい時も、7.2.8+ の経由が望ましいです。
本ドキュメントでは、より安全に 7.2.8+にアップグレードするための、FTD バージョン 6.6 から 7.2.8 へのアップグレードの良くあるトラブル例とその対策を紹介します。
6.6->7.2 アップグレードトラブル内訳
多くの場合、FTD 6.6 --> 7.2.x へのアップレードはトラブルなく可能です。 稀に発生するアップグレード時のグローバルトラブル事例から、原因が明らかな40事例をランダム抽出し、分析した結果は以下となります。
トラブルの6割が、「事前に発生していた障害(FTD以外起因も含む)の解決を見実施のまま実施」したことが起因です。 殆どが事前に確認、対処が可能です。
トラブルの 2.5 割が FTD 6.x --> 7.x 移行に伴う実装変更(FlexConfig機能廃止や Snort 3 挙動)に伴うトラブルです。 これも事前に対処や準備が可能です。
不具合起因のアップグレードトラブルは、7.2.8+では改修されているため収束しています。
そのため、事前に入念に確認し、かつ、安定したアップグレード先バージョン (7.2.8+)を選ぶことで、殆どのトラブルは通信影響なしに、回避や事前に対処・対策が可能です。
よくあるアップグレードトラブル例と原因、対策
以下の各アップグレードトラブル例の原因と対策例を紹介します。 アップグレードトラブル傾向を事前に理解し、自社環境が合致する可能性が高いか分析・評価や 事前に対策・準備することで、事前にトラブルの刈り取りや、アップグレード時の通信影響発生リスクを大きく下げることが可能です。
「事前障害。別トラブルを抱えた状態でUpgradeし失敗(発生確率:37.5%)」
原因:ディスク枯渇やインターフェイスダウン(対向スイッチ問題やケーブル抜け)、FMCとFTD間の通信不安定、インターネット接続切れ、DB破損、互換性問題などトラブルが発生している状態でアップグレードしようとしたため失敗
対策:アップグレード対象機は、ヘルシーな状態であり、最新設定がすべてデプロイされた状態である必要がある。そのため、アップグレード対象デバイスで、ディスク枯渇やインターフェイスダウンなどのヘルスアラートや、シスログでエラーが出ていないか確認を。より入念にエラーがないかチェックしたい場合、以下ドキュメントを参考にFMC/FTDの Syslog MessagesでCRITICALログがないかダブルチェックがお勧め。エラーがある場合は、アップグレード前に事前に問題原因を分析し取り除くこと
https://community.cisco.com/t5/-/-/ta-p/5143274
また、アップグレード前に行う「Readiness Check」を実施することで、システム内部の ソフトウェアエラーや互換性問題の有無は確認可能。「Readiness Check」はアップグレード予定日の2~3週間など早めにすることで、問題発見時に時間に余裕を持って対処可能になる。「Readiness Check」ついて詳しくは当ドキュメントを参照
「FDM管理時のみ発生する証明書期限切れ問題(発生確率:20%)」
原因:FDM管理時のみ発生する可能性のあるトラブル。FDMのGUIの証明書期限切れの場合、FTDアップグレードボタンを押してもバージョンアップが開始されない
対策:FMCでFTD管理時は影響をうけない。FDMでFTD管理時、かつバージョンアップが開始されない場合は、CSCwd11825 を参考に、記載のWorkaroundを実行し、GUIから 証明書の作り直しを
https://bst.cisco.com/bugsearch/bug/CSCwd11825?rfs=qvred
「7.xで廃止機能の利用・・・主に FlexConfig 機能 (発生確率:15%)」
原因:FTD 7.xで廃止されたFlexConfig機能が使えなくなり通信影響が発生 (例:EIGRPやRAVPN関連)
対策:FlexConfig (利用非推奨) を利用していない場合は影響をうけない。 FlexConfig とは、ASAベースのCLI設定を、FMC GUIから設定できる代替設定機能。 FMC GUIから 同様の設定ができないとき、かつ、何等か理由でASA機能をFTDでも使いたい場合に、FlexConfigからの設定が可能だが、FlexConfig利用は非推奨でTACサポート外。 FMC GUI から設定可能になると、FlexConfigによる設定は利用できなくなる
何等か理由で、FMC 6.x でFlexConfigを利用している場合は、FTD 7.xにアップグレード後に、該当FlexConfig設定を削除し、FMC GUIから設定作成・FTDに適用が必要。 FTD 7.x で廃止された主なFlexConfig 機能は、EIGRP、PBR、VXLAN、DHCP Relayで、各バージョンのリリースノートから廃止機能(deprecated)は確認できる
「既知不具合の影響 (7.2.8では改修済み) (発生確率:12.5%)」
原因:既知不具合の影響でアップグレードに失敗したり、アップグレード後にVPNダウン、SNMPポーリング不可に
対策:原因となる不具合(CSCwf82742/CSCvz61689/CSCwd61082/CSCwd47662)は7.2.8で全て改修済み。そのため、7.2.8+にアップグレードすれば影響はうけない
「FTD HA利用時にReadiness Check 失敗 (発生確率:5%)」
原因: FTDを冗長構成で運用時に、FTDのReadiness Checkに失敗する
対策: 仕様。FMC管理の場合、6.6系ではFTD冗長構成のReadiness Checkに対応していないため、CLIから実施が必要
https://community.cisco.com/t5/-/-/ta-p/4761881
「Snort 3 マイグレーション影響 (発生確率:5%)」
原因①:Snort 2 でカスタムルール(独自作成・編集)を使っている場合、Snort 3 にカスタムルールマイグレーションするようエラーがでる
対策①: Snort 2 でカスタムルールを未使用時は影響をうけない。FTD 7.xアップグレード時、Snort 3 に切り替える場合、かつ、Snort2でカスタムルールを利用時はコンバートが必要
https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/snort/720/snort3-configuration-guide-v72/migrating.html
原因②:FTD 6.6の頃に既にCPU高負荷、かつセッション量の多い環境で、FTD 7.xにあげた場合、CPUが一時的に100%になることがある
対策②: Snort 3に切り替えると通常 4割前後パフォーマンス改善するため、通常は対策は不要だが、Snort 3 切替後に何等かに理由でCPUがより高負荷になった場合は、通信量が膨大な通信を調べ、Elephantflow Remediationや Prefilter機能を使い高速処理・バイパスし負荷軽減を検討。
FTD 7.2 でも Snort 2は継続利用可能なため、Snort 2 を継続利用すれば当影響は回避できるが、Snrot 2は FTD 7.7以降で廃止予定であり、また通常 Snrot 2 のほうがパフォーマンスが低いため、極力 FTD 7.2 で Snort 3 への移行が推奨
https://youtu.be/ZpCV5Zs9lzw?si=nw6Wc-XXSmakF0sj
https://community.cisco.com/t5/-/-/ta-p/3194254
「H/W障害(発生確率:2.5%)」
原因:アップグレード対象機でSSDや内部チップ障害が発生しており、アップグレードでそのトラブルがはじめて顕在化
対策:RMA
「誤認 (発生確率:2.5%)」
原因:他機器による通信障害を、FTDのアップグレードによる影響であると誤認。 複数機器と同時に作業時などにまれに発生
対策:他機器側で対処し通信復旧
安全なアップグレード方法
当ドキュメントの上記確認・対策とあわせて、以下動画の手順を正しく実施することで、大部分のトラブルを事前に確認、対策が可能です。日本語版・英語版あわせ4,500以上視聴・利用されている、実績の高い安定した手順ですのでぜひご活用ください(2024年10月現在)。
https://youtu.be/Lq33Apxlq9w?si=nkhu8bULSgr6YdYV
また、何等か理由でリイメージやハードウェア交換が必要時の手順は、Cisco FTD How To の「RMA/リイメージ」ガイドを参照ください。リイメージはDB障害の素早い復旧に有効です。
https://community.cisco.com/t5/-/-/ta-p/5024782#toc-hId--1150815193
よくある質問
Q: アップグレード中に通信トラブルや誤操作などによりアップグレードプロセスが停止してしまいました。再開することは可能ですか
A: 問題原因を取り除いてから、まずFMC GUIからアップグレードを再実行してください。 何等か理由で、FMC GUI からアップグレード再開ができない場合は、CLIから FTDデバイス単体のアップグレード再開も可能ですが、Cisco TAC にケースオープンしていただき、TACのサポートを受けたうえでの実施を推奨します。
> expert
root@FMC:~$ sudo su
<Enter the root password>
root@FMC:# ls /var/sf/updates/
<アップロード済み update file名を確認>
root@FMC:# install_update.pl /var/sf/updates/<update file名>
※注: FTDの場合は /ngfw/var/sf/update フォルダにアップデートファイルあり
アップデートのステータス詳細は、上記の FMC CLIから cat /var/log/sf/<patch-image-folder>/status.log で確認できます。
root@FMC:/var/log/sf/Cisco_Firepower_Mgmt_Center_Hotfix_DE-6.6.5.2# tail -f status.log
ui:[98%] Upgrade complete
ui:[99%] Running script 999_finish/999_z_must_remain_last_finalize_boot.sh...
ui:[99%] Running script 999_finish/999_zz_install_bundle.sh...
ui:[100%] The system will now restart services.
ui:System will now restart services.
ui:[100%] Installation completed successfully.
ui:Upgrade has completed.
state:finished
Q: AIR-GAP 環境のため、トラブル時は現場でできる限り切り分けを実施したいのですが、参考資料はありますか
詳細なアップグレードのトラブルシューティングガイドは以下を参考にしてください。 問題とその原因を絞り込んでから、TACにケースオープンしていただくことで、やり取りと解決が早くなることを期待できます。
https://www.cisco.com/c/dam/en/us/products/se/2022/10/SC_Ops/EMEA_TAC_Security_Workshop_Monday_10th_Oct_2022_Secure_Firewall_2_of_4_.pdf
また、Sysltem Syslogベースでの切り分けも有効のため、System Syslogの見方は以下URLを参考にしてください。
https://community.cisco.com/t5/-/-/ta-p/5143274
参考情報
End-of-Sale and End-of-Life Announcement for the Cisco Firepower Threat Defense (FTD/FTDv) 6.6(x), Firepower Management Center (FMC/FMCv) 6.6(x) and Firepower eXtensible Operating System (FXOS) 2.8(x)
https://www.cisco.com/c/en/us/products/collateral/security/firepower-ngfw/firepower-ftd-fmc-6-6x-fxos-2-8x-eol.html
Cisco FTD How To
https://cs.co/ftd
