Firepower Upgrade

一、升级概述

1、升级背景

升级场景或背景无非就是击中Bug、设备故障、设备开局等等。此次升级背景是设备开局。

2、升级路径分析

Firepower系列兼容性极强，既可以安装FTD又可以安装ASA。这些位于Firepower中的子系统也叫做防火墙实例。无论是FTD还是ASA，都需要先升级机框版本，再升级实例版本。

ASA的常规升级中，需要考虑以下几个因素：

• 适用于Firepower的ASA镜像版本。

• ASDM镜像版本。

• ASA镜像版本与ASDM镜像版本的兼容性，ASDM向下兼容。

• ASA镜像版本升级路径

Step1. 通常选择适用于Firepower的ASA镜像版本的规则就是服从官网的推荐版本。

例如选择9.12版本，那么就需要康康当前设备的版本是多少，能不能直接升级还是需要先升级到中间版本，需要查阅官网资料，Upgrade Path一般位于Release Notes for the Cisco ASA Series, 9.X文档中。

Step2. 确认好适用于Firepower的ASA镜像版本后，便可以结合当前现网中的ASDM版本去选择兼容的ASDM版本。

根据Step1的选择，我们确定了ASA的版本号，现在我们需要确认兼容的ASDM版本号了。ASA & ASDM Compatibility一般位于Cisco Secure Firewall ASA Compatibility文档中。

Step3. 下载适用于Firepower的ASA镜像版本和ASDM版本。

前往Cisco Software Download Center下载镜像（需要有权限的CCO账号！！）。

3、升级标准流程

此次升级背景为设备开局。

1. 硬件检查：设备硬件检查，包括接口、板卡、SSD是否正常。

2. 信息备份：license信息备份。

3. 配置清空：执行垃圾配置清空。

4. 模式切换：升级完成后，修改FXOS Mode为appliance（默认为platform）。

二、升级过程

1、升级前准备

1. 下载镜像

2. 镜像校验

适用于Firepower的ASA镜像版本：9.12.4

ASDM版本：7.13.1.101

2、FPR2100系列升级过程

Firepower 2100系列升级采用CLI方式。升级内容包括实例升级、ASDM升级、操作模式修改。

Step1. 配置备份。

Step2. 上传适用于Firepower的ASA镜像版本9.12.4（通过插入U盘或者使用FTP上传）。

Step3. 机框升级ASA。

Step4. ASA升级ASDM。

Step5. 更改FXOS操作模式。

Step6. 检查适用于Firepower的ASA镜像版本和ASDM版本。

Step7. 检查license、接口是否识别。

firepower login: admin
Password:
Successful login attempts for user 'admin' : 1
Cisco Firepower Extensible Operating System (FX-OS) Software
TAC support: http://www.cisco.com/tac
Copyright (c) 2009-2019, Cisco Systems, Inc. All rights reserved.
firepower# connect local-mgmt 
firepower(local-mgmt)# erase configuration  #执行配置清空操作
All configurations will be erased and system will reboot. Are you sure? (yes/no):yes
Removing all the configuration. Please wait....
Configurations are cleaned up. Rebooting....

firepower# scope firmware
firepower/firmware# download image usbA:cisco-asa-fp2k.9.12.4.SPA  #下载镜像
firepower/firmware# show download-task #查看下载任务进度
Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    cisco-asa-fp2k.9.12.4.SPA
              Usb A                             0                 Downloaded
firepower/firmware# show package #查看安装包
firepower/firmware# scope auto-install #执行自动安装
firepower/firmware/auto-install# install security-pack version 9.12.4 #开始安装
During the upgrade, the system will be reboot
Do you want to proceed ? (yes/no):yes 
This operation upgrades firmware and software on Security Platform Components
Here is the checklist of things that are recommended before starting Auto-Install
(1) Review current critical/major faults
(2) Initiate a configuration backup
Do you want to proceed? (yes/no):yes
firepower# scope ssa
firepower/ssa# show app-instance #查看适用于Firepower的ASA镜像是否升级到了9.12.4
Application Name     Slot ID    Admin State     Operational State    Running Ver
sion Startup Version Deploy Type Profile Name Cluster Oper State   Cluster Role
-------------------- ---------- --------------- -------------------- -----------
---- --------------- ----------- ------------ -------------------- ------------
asa                  1          Enabled         Online               9.12.4     
     9.12.4          Native                   Not Applicable       None
firepower/ssa#exit
firepower# connect asa #进入ASA操作系统
Attaching to ASA CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

ciscoasa> en
The enable password is not set.  Please set it now.
Enter  Password: ********
Repeat Password: ********
Note: Save your configuration so that the password persists across reboots
("write memory" or "copy running-config startup-config").
ciscoasa(config-if)# show run int m1/1
interface Management1/1
 management-only
 nameif management
 security-level 100
 ip address 192.168.45.1 255.255.255.0 
ciscoasa#copy tftp://192.168.45.2/asdm-7131-101.bin disk0:  #上传ASDM镜像
ciscoasa(config)# dir disk0:  #查看ASDM镜像是否上传成功
Directory of disk0:/
1234   -rwx  100000    07:13:17 Feb 2 2000  asdm-7131-101.bin
ciscoasa(config)# asdm image disk0:asdm-7131-101.bin  #指定ASDM镜像为7.13.1.101

ciscoasa# show version  #查看ASA版本和ASDM版本
Cisco Adaptive Security Appliance Software Version 9.12(4) 
Device Manager Version 7.13(1)101
ciscoasa(config)# show fxos mode 
Mode is currently set to platform
ciscoasa(config)# fxos mode appliance #更改FXOS模式
Mode set to appliance mode
WARNING: The running-config must be saved and the system must 
be rebooted for this command to take effect. Upon reboot, the current 
configuration will be erased, and the default configuration for 
appliance mode will be applied.
ciscoasa(config)#copy run start
ciscoasa# reload 
WARNING: Mode change detected. Upon reboot,
current configuration will be cleared and the default
configuration for appliance mode will be applied.
Proceed with reload? [confirm] 
*** --- START GRACEFUL SHUTDOWN ---
Shutting down Application Agent
Shutting down isakmp
Shutting down webvpn
Shutting down fover_reload
Shutting down sw-module
Shutting down License Controller
Shutting down File system

[重启后，系统不在进入机框操作模式，而是直接进入ASA模式]

ciscoasa> en
The enable password is not set.  Please set it now.
Enter  Password: *********
Repeat Password: *********
Note: Save your configuration so that the password can be used for FXOS failsafe access and persists across reboots
("write memory" or "copy running-config startup-config").
ciscoasa(config)# show fxos mode 
Mode is currently set to appliance

3、FPR4100系列升级过程

Firepower 4100系列升级采用图形化界面方式。升级内容包括机框升级和实例升级。

Step1. 配置备份。

Step2. License备份。

Step3. 上传镜像。

Step4. 升级机框。

Step5. 升级实例。

Step3. 上传镜像（通过访问Firepower机框Web界面）。

GUI：System -> Updates -> Upload Image

Step4. 升级机框。

GUI：System -> Updates -> Select Firepower Boot Image -> Select Yes to proceed

Step5. 升级实例。

GUI：System -> Updates -> Select ASA Boot Image -> Select Yes to proceed

等待实例升级完成后的状态转换成Online即可完成升级。

参考文档：