升级怎么升级ios6

升级到版本6.
4.
0.
x本章提供版本6.
4.
0.
x的关键和版本特定信息.
您还应该参阅特性和功能,了解有关任何新的、更改的或弃用的特性和功能.

指引和警告:版本6.
4.
0.
x,第1页一般指引和警告,第2页要升级的最低版本,第4页时间测试和磁盘空间要求,第4页流量、检查和设备行为,第9页升级说明,第17页升级程序包,第17页指引和警告:版本6.
4.
0.
x此核对表中包含适用于版本6.
4.
0.
x修补程序的重要升级指南和警告.
此外,确保查看一般指引和警告,第2页.
表1:版本6.
4.
0.
x指引直接至升级自平台指南更高版本的修补程序6.
5.
06.
4.
0.
xFirepower4100/9300升级失败:容器实例上的磁盘空间不足,第2页6.
4.
0.
3至6.
4.
0.
5仅6.
4.
0Firepower1010Firepower1010设备上的Etherchannel可以将出口流量引入黑洞,第2页6.
4.
0.
1或6.
4.
0.
2仅6.
4.
0Firepower1000系列Firepower1000系列不支持版本6.
4.
0.
1和6.
4.
0.
2,第2页升级到版本6.
4.
0.
x1升级失败:容器实例上的磁盘空间不足部署:使用FTD的Firepower4100/9300升级自:版本6.
3.
0至6.
4.
0.
x直接到:版本6.
3.
0.
1到版本6.
5.
0最常见的情况是在主要升级期间,但在修补过程中,配置了容器实例的FTD设备可能会在预检查阶段失败,并出现错误磁盘空间不足的警告.
如果发生这种情况,您可以尝试释放更多的磁盘空间.
如果不起作用,请联系思科TAC.
Firepower1010设备上的Etherchannel可以将出口流量引入黑洞部署:使用FTD的Firepower1010受影响的版本:版本6.
4.
0至6.
4.
0.
5相关漏洞:CSCvq81354我们强烈建议您不要在运行FTD版本6.
4.
0到版本6.
4.
0.
5的Firepower1010设备上配置etherchannel.
(请注意,此型号不支持版本6.
4.
0.
1和6.
4.
0.
2.
)由于内部流量散列问题,Firepower1010设备上的某些Etherchannel可能会将某些出口流量引入黑洞.
散列计算基于源/目标IP地址,因此对于给定的源/目标IP而言,行为将一致.
也就是说,某些流量会正常工作,有些流量会失败.
我们将在即将推出的6.
4.
0补丁中修复此问题.
它也已在版本6.
5.
0中修复.
Firepower1000系列不支持版本6.
4.
0.
1和6.
4.
0.
2部署:Firepower1000系列升级自:版本6.
4.
0直接至:版本6.
4.
0.
1或6.
4.
0.
2不能将Firepower1000系列设备升级至版本6.
4.
0.
1或6.
4.
0.
2.
一般指引和警告这些重要的指引和警告适用于所有升级.
但这份清单并不全面.
如需与升级过程相关的其他重要信息的链接,包括规划升级路径、操作系统升级、准备情况检查、备份、维护窗口等,请参阅升级说明,第17页.
备份事件和配置数据我们强烈建议备份到外部位置并验证传输是否成功.
在升级设备时,它会清除本地存储的备份.
在FMC部署中,我们还建议您在升级部署后备份FMC.
这是因为您有一个新的FMC备份文件,它"知道"其设备已升级.
升级到版本6.
4.
0.
x2升级到版本6.
4.
0.
x升级失败:容器实例上的磁盘空间不足作为任何备份的第一步,请注意补丁级别和VDB版本.
这一点很重要,因为如果您需要将备份恢复到新的或重新映像设备,则必须首先将该新设备更新为完全这些版本.
您只能从相同型号和Firepower版本、具有相同VDB的设备还原备份.
设备访问Firepower设备可以在升级期间或在升级失败时停止传输流量(具体取决于接口配置).
在升级Firepower设备之前,请确保来自您所在位置的流量不必遍历设备本身即可访问设备的管理界面.
在Firepower管理中心部署中,您还必须能够访问FMC管理界面而不遍历设备.
签名的升级软件包因此,Firepower可以证实您使用的是正确的文件,来自版本6.
2.
1+的升级包(以及到版本6.
2.
1+的热补丁)是签名的tar档案(.
tar).
早期版本的升级继续使用未签名的包.
当您手动从思科支持和下载站点下载升级包时-例如用于重要升级或物理隔离部署-确保下载正确的包.
不要解压签名的(.
tar)包.
上传签名的升级包后,GUI可能需要几分钟才能加载,因为系统需要对包进行验证.
要加快显示速度,可删除不再需要的签名的包.
注释在ASAFirePOWER设备上禁用ASARESTAPI在升级ASAFirePOWER模块之前,确保禁用ASARESTAPI.
否则,升级可能会失败.
从ASACLI:norestapiagent.
可以在卸载后重新启用:rest-apiagent.
与思科共享数据一些功能包括与思科共享数据.
在6.
2.
3+中,思科成功网络会将使用情况信息和统计信息发送到思科,这些信息对于为您提供技术支持至关重要.
升级期间,系统可能会要求您接受或拒绝参与.
您还可以随时选择加入或退出.

在6.
2.
3+中,Web分析跟踪会将非个人可识别使用情况数据发送到思科,包括但不限于页面交互情况、浏览器版本、产品版本、用户位置以及您的FMC的管理IP地址或主机名.
如果要从版本6.
1升级到6.
2.
2.
x,升级将启用Web分析跟踪.
如果您不希望思科收集这些数据,可以在升级后选择退出.
(如果是从版本6.
2.
3.
x或版本6.
3.
0.
x升级,升级过程会考虑您当前的设置.
)在6.
5.
0+中,思科支持诊断(有时称为思科主动支持)将配置和运行状况数据发送到思科,并通过我们的自动化问题检测系统处理该数据,使我们能够主动通知您的问题.
在TAC情况下,此功能还允许思科TAC从您的设备收集基本信息.
升级期间,系统可能会要求您接受或拒绝参与.
您还可以随时选择加入或退出.
升级可以导入和自动启用入侵规则如果新的入侵规则使用您的不受当前Firepower版本支持的关键字,则在更新入侵规则数据库(SRU)时不会导入该规则.
升级到版本6.
4.
0.
x3升级到版本6.
4.
0.
x一般指引和警告升级Firepower软件并支持这些关键字后,系统将导入新的入侵规则,并且根据IPS配置,可以自动启用,从而开始生成事件并影响流量.
受支持的关键字取决于Firepower软件随附的Snort版本:FMC:依次选择帮助>关于.
使用FDM的FTD:使用showsummaryCLI命令.
使用ASDM的ASAFirePOWER:选择ASAFirePOWER配置>系统信息.
您还可以在《CiscoFirepower兼容性指南》的捆绑组件部分找到您的Snort版本.
Snort版本说明包含有关新关键字的详细信息.
您可以阅读Snort下载页面上的版本说明:https://www.
snort.
org/downloads.
无响应的升级请勿将更改部署到正在升级的设备或从其部署更改,手动重启正在升级的设备,或者关闭正在升级的设备.
请勿重启正在进行的升级.
升级过程在预检查期间可能会显示为非活动;这是预期行为.

如果您遇到升级问题,包括升级失败或设备无响应,请联系思科TAC.
要升级的最低版本只能在当前主版本序列中修补Firepower软件.
修补程序是累积的,因此始终可以直接跳到最新的修补程序.
表2:将Firepower软件升级到6.
4.
0.
x的最低版本最低版本平台6.
4.
0Firepower管理中心FMC部署中的所有受管设备).
6.
4.
0使用FDM的Firepower威胁防御(所有平台)6.
4.
0使用ASDM的ASAFirePOWER时间测试和磁盘空间要求要升级Firepower设备,必须具有足够的可用磁盘空间,否则升级会失败.
使用Firepower管理中心升级受管设备时,FMC的/Volume分区必须具备额外的磁盘空间来存放设备升级包.
此外,您还必须具有足够的时间来执行升级.
我们提供内部时间和磁盘空间测试报告以供参考.
升级到版本6.
4.
0.
x4升级到版本6.
4.
0.
x要升级的最低版本关于时间测试此处给出的时间值基于内部测试.
虽然我们报告的是针对特定平台/系列测试的所有升级的最慢时间,但由于多种原因(见下文),您的升级所需的时间可能比提供的时间长.

基本测试条件部署:值来自于Firepower管理中心部署中的测试.
这是因为在类似条件下,远程和本地管理设备的原始升级时间相似.
版本:对于主版本升级,我们测试所有先前符合条件的主版本的升级.
对于修补程序,我们测试基础版本和前一个修补程序的升级.
型号:大多数情况下,我们测试每个系列中的最低端型号,有时会对系列中的多个型号进行测试.
虚拟设置:我们使用内存和资源的默认设置进行测试.
不包括推送和重新启动值仅表示Firepower升级脚本本身以运行所花费的时间.
值不包括将升级包上传到本地受管设备或FMC所需的时间,也不包括将升级包从FMC复制(推送)到受管设备所需的时间.
在FMC部署中,如果FMC与受管设备之间的带宽不足,可能会延长升级时间甚至导致升级超时.

请确保您的带宽足以将大量数据从FMC传输到其设备.
有关详细信息,请参阅将数据从Firepower管理中心下载到受管设备的准则(故障排除技术说明).
值也不包括重新启动、准备情况检查、操作系统升级或配置部署.
时间适用于单个设备值是按设备提供的.
在高可用性或群集配置中,设备一次升级一个可保持操作的连续性,每个设备在升级时以维护模式运行.
因此,升级一对设备或整个群集所需的时间比升级独立设备所需的时间长.
请注意,堆叠的8000系列设备会同时升级,堆栈在有限的混合版本状态下运行,直到所有设备完成升级.
这样做所需的时间应该不会比升级独立设备花费的时间长.
受影响的配置和数据我们对具有最小配置和流量负载的设备进行了测试.
升级时间会随着配置的复杂性、事件数据库的大小以及这些事物是否/如何受到升级的影响而增加.
例如,如果您使用大量访问控制规则并且升级需要对这些规则的存储方式进行后端更改,则升级可能需要更长时间.
关于磁盘空间要求空间估计值在为所有升级报告的值中最大,为:没有四舍五入(小于1MB).
升级到版本6.
4.
0.
x5升级到版本6.
4.
0.
x关于时间测试四舍五入到下一个1MB(1MB-100MB).
四舍五入到下一个10MB(100MB-1GB).
四舍五入到下一个100MB(大于1GB).
版本6.
4.
0.
6的时间和磁盘空间表3:版本6.
4.
0.
6的时间和磁盘空间来自6.
4.
0的时间FMC上的空间/上的空间/Volume上的空间平台38分钟-170MB5.
5GBFMC33分钟-36MB3.
4GBFMCv:VMware6.
025分钟530MB2.
4GB2.
4GBFirepower1000系列16分钟500MB2.
4GB2.
4GBFirepower2100系列12分钟310MB1.
8GB1.
8GBFirepower4100系列15分钟310MB1.
8GB1.
8GBFirepower930023分钟290MB110MB1.
8GB具有ASA5500-X系列的FTD10分钟290MB110MB1.
8GBFTDv:VMware6.
025分钟650MB170MB3.
6GBFirepower7000/8000系列45分钟590MB36MB4.
1GBASAFirePOWER10分钟450MB150MB2.
1GBNGIPSv:VMware6.
0版本6.
4.
0.
5的时间和磁盘空间表4:版本6.
4.
0.
5的时间和磁盘空间来自6.
4.
0的时间FMC上的空间/上的空间/Volume上的空间平台39分钟-170MB5GBFMC27分钟-170MB3.
7GBFMCv:VMware6.
026分钟530MB2.
9GB2.
9GBFirepower1000系列16分钟500MB2.
5GB2.
5GBFirepower2100系列升级到版本6.
4.
0.
x6升级到版本6.
4.
0.
x版本6.
4.
0.
6的时间和磁盘空间来自6.
4.
0的时间FMC上的空间/上的空间/Volume上的空间平台12分钟310MB1.
8GB1.
8GBFirepower4100系列11分钟310MB1.
8GB1.
8GBFirepower930020分钟290MB110MB1.
8GB具有ASA5500-X系列的FTD10分钟290MB110MB1.
8GBFTDv:VMware6.
026分钟650MB170MB3.
6GBFirepower7000/8000系列45分钟590MB36MB4.
1GBASAFirePOWER10分钟450MB150MB2.
1GBNGIPSv:VMware6.
0版本6.
4.
0.
4的时间和磁盘空间表5:版本6.
4.
0.
4的时间和磁盘空间来自6.
4.
0的时间FMC上的空间/上的空间/Volume上的空间平台35分钟-170MB4.
4GBFMC31分钟-170MB4.
8GBFMCv:VMware6.
028分钟520MB2.
9GB2.
9GBFirepower1000系列10分钟500MB2.
4GB2.
4GBFirepower2100系列12分钟310MB2GB2GBFirepower4100系列10分钟310MB1.
7GB1.
7GBFirepower930029分钟290MB110MB1.
8GB具有ASA5500-X系列的FTD8分钟290MB110MB1.
8GBFTDv:VMware6.
024分钟650MB170MB3.
6GBFirepower7000/8000系列55分钟600MB36MB4.
2GBASAFirePOWER10分钟550MB150MB2.
1GBNGIPSv:VMware6.
0升级到版本6.
4.
0.
x7升级到版本6.
4.
0.
x版本6.
4.
0.
4的时间和磁盘空间版本6.
4.
0.
3的时间和磁盘空间表6:版本6.
4.
0.
3的时间和磁盘空间来自6.
4.
0的时间FMC上的空间/上的空间/Volume上的空间平台34分钟-24MB3.
2GBFMC25分钟-23MB2.
5GBFMCv:VMware6.
022分钟520MB2.
9GB2.
9GBFirepower1000系列19分钟500MB2.
4GB2.
4GBFirepower2100系列12分钟310MB1.
7GB1.
7GBFirepower4100系列14分钟310MB1.
7GB1.
7GBFirepower930018分钟290MB110MB1.
8GB具有ASA5500-X系列的FTD12分钟290MB110MB1.
8GBFTDv:VMware6.
020分钟370MB21MB1.
9GBFirepower7000/8000系列28分钟320MB2.
5GB2.
5GBASAFirePOWER8分钟210MB21MB690MBNGIPSv:VMware6.
0版本6.
4.
0.
2的时间和磁盘空间表7:版本6.
4.
0.
2的时间和磁盘空间来自6.
4.
0的时间FMC上的空间/上的空间/Volume上的空间平台39分钟-24MB3.
1GBFMC24分钟-23MB2.
5GBFMCv:VMware6.
019分钟480MB1.
9GB1.
9GBFirepower2100系列11分钟290MB2.
3GB2.
3GBFirepower4100系列11分钟290MB1.
7GB1.
7GBFirepower930021分钟270MB110MB1.
8GB具有ASA5500-X系列的FTD10分钟270MB110MB1.
2GBFTDv:VMware6.
0升级到版本6.
4.
0.
x8升级到版本6.
4.
0.
x版本6.
4.
0.
3的时间和磁盘空间来自6.
4.
0的时间FMC上的空间/上的空间/Volume上的空间平台20分钟350MB36MB1.
9GBFirepower7000/8000系列34分钟300MB21MB2GBASAFirePOWER10分钟190MB21MB630MBNGIPSv:VMware6.
0版本6.
4.
0.
1的时间和磁盘空间表8:版本6.
4.
0.
1的时间和磁盘空间来自6.
4.
0的时间FMC上的空间/上的空间/Volume上的空间平台50分钟-24MB1.
8GBFMC20分钟-23MB1.
8GBFMCv:VMware6.
017分钟300MB1.
4GB1.
4GBFirepower2100系列9分钟95MB1.
1GB1.
1GBFirepower4100系列10分钟95MB1.
1GB1.
1GBFirepower930016分钟76MB110MB550MB具有ASA5500-X系列的FTD15分钟76MB110MB550MBFTDv:VMware6.
014分钟2MB21MB59MBFirepower7000/8000系列30分钟2MB20MB85MBASAFirePOWER10分钟2MB21MB45MBNGIPSv:VMware6.
0流量、检查和设备行为升级期间必须确定流量和检测中的潜在中断.
以下情况下可能出现这种问题:设备重新启动时.
在设备上升级操作系统或虚拟主机环境时.
在设备上升级Firepower软件或卸载修补程序时.
在升级或卸载过程中部署配置更改时(Snort进程重新启动).
升级到版本6.
4.
0.
x9升级到版本6.
4.
0.
x版本6.
4.
0.
1的时间和磁盘空间设备类型、部署类型(独立、高可用性、群集)和接口配置(被动、IPS、防火墙等)决定了中断的性质.
我们强烈建议在维护窗口或者中断对部署的影响最小时执行升级或卸载.

FTD升级行为:Firepower4100/9300机箱本部分介绍在升级含FTD的Firepower4100/9300机箱时的设备和流量行为.
Firepower4100/9300机箱:FXOS升级在每个机箱上独立升级FXOS,即使配置了机箱间群集或高可用性对也是如此.
您执行升级的方式会确定设备在FXOS升级期间处理流量的方式.
表9:FXOS升级期间的流量行为流量行为方法部署被丢弃-独立式不受影响最佳实践:在备用设备上更新FXOS,切换主用对等设备,升级新的备用设备.
高可用性被丢弃,直到一个对等设备处于在线状态在备用设备完成升级之前,在主用对等设备上升级FXOS.
不受影响最佳实践:一次升级一个机箱,以便至少有一个模块始终处于在线状态.
机箱间群集(6.
2及更高版本)被丢弃,直到至少一个模块处于在线状态同时升级机箱,因此在某个时间所有模块都处于关闭状态.
不检查直接通过已启用故障时自动绕过:Bypass:Standby或Bypass-Force.
(6.
1及更高版本)机箱内群集(仅限Firepower9300)被丢弃,直到至少一个模块处于在线状态已禁用故障时自动绕过:Bypass:Disabled.
(6.
1及更高版本)被丢弃,直到至少一个模块处于在线状态没有故障时自动旁路模块.
独立式FTD设备:Firepower软件升级接口配置会确定在升级期间独立设备如何处理流量.
升级到版本6.
4.
0.
x10升级到版本6.
4.
0.
xFTD升级行为:Firepower4100/9300机箱表10:Firepower软件升级期间的流量行为:独立式FTD设备流量行为接口配置被丢弃路由或交换,包括EtherChannel、冗余、子接口切换接口也称为桥接组或透明接口.
防火墙接口可以为以下任意一项:被丢弃(6.
1至6.
2.
2.
x)不检查直接通过(6.
2.
3及更高版本)内联集,故障时自动旁路启用:Bypass:Standby或Bypass-Force(6.
1+)仅限IPS接口被丢弃内联集,已禁用故障时自动旁路:Bypass:Disabled(6.
1+)被丢弃内联集,没有故障时自动旁路模块立即传出数据包,不检查副本内联集,分流模式不中断,不检查被动,ERSPAN被动高可用性对:Firepower软件升级在高可用性对中的设备上升级Firepower软件时,流量或检查中不应出现中断.
为确保操作的连续性,它们一次升级一个.
升级时,设备会在维护模式下运行.
首先升级备用设备.
设备会交换角色,然后新的备用设备进行升级.
升级完成后,设备的角色保持交换后的状态.
如果您想要保留主用/备用角色,请先手动交换角色,然后再进行升级.
这样,升级流程会将它们交换回来.
群集:Firepower软件升级在Firepower威胁防御群集中的设备上升级Firepower软件时,流量或检查中不应出现中断.
为确保操作的连续性,它们一次升级一个.
升级时,设备会在维护模式下运行.
首先升级一个或多个从属安全模块,然后升级主模块.
升级时,安全模块在维护模式下运行.

在主安全模块升级期间,尽管流量检查和处理通常会继续,但系统会停止记录事件.
升级完成后,在日志记录关闭期间处理的流量事件显示有不同步的时间戳.
但是,如果日志记录关闭较长时间,则系统可能会删除最早事件,然后再记录事件.
从版本6.
2.
0、6.
2.
0.
1或6.
2.
0.
2升级机箱间群集会导致从群集中删除每个模块时,流量检查中出现2-3秒的流量中断.
流量在此中断期间丢弃还是不进一步检查而直接通过,取决于设备处理流量的方式.
注释升级到版本6.
4.
0.
x11升级到版本6.
4.
0.
xFTD升级行为:Firepower4100/9300机箱高可用性和集群无中断升级要求执行无中断升级具有以下其他要求.
流负载分流:由于在流负载分流功能中修复了漏洞,因此FXOS和FTD的一些组合不支持流负载分流;请参阅思科Firepower兼容性指南.
要在高可用性或集群部署中执行无中断升级,必须确保始终运行兼容的组合.
如果您的升级路径包括将FXOS升级到2.
2.
2.
91、2.
3.
1.
130或更高版本(包括FXOS2.
4.
1.
x、2.
6.
1.
x等),请使用此路径:1.
将FTD升级到6.
2.
2.
2或更高版本.
2.
将FXOS升级到2.
2.
2.
91、2.
3.
1.
130或更高版本.
3.
将FTD升级到您的最终版本.
例如,如果您运行的是FXOS2.
2.
2.
17/FTD6.
2.
2.
0,并且要升级到FXOS2.
6.
1/FTD6.
4.
0,则可以执行以下操作:1.
将FTD升级到6.
2.
2.
5.
2.
将FXOS升级到2.
6.
1.
3.
将FTD升级到6.
4.
0.
版本6.
1.
0升级:将FTD高可用性对无故障升级到版本6.
1.
0需要一个预安装包.
有关详细信息,请参阅Firepower系统发行说明6.
1.
0版预安装包.
部署过程中的流量行为升级过程中,您需要多次部署配置.
如果在升级后立即进行首次部署,Snort通常会重启.
该进程在其他部署期间不重启,除非您在部署之前修改特定策略或设备配置.
有关详细信息,请参阅Firepower管理中心配置指南中的在部署或激活时重启Snort进程的配置.
在部署时,资源需求可能会导致少量数据包未经检测而被丢弃.
此外,重启Snort进程会中断所有Firepower设备上的流量检查,包括为HA/可伸缩性配置的检查.
在中断期间,接口配置会确定是丢弃流量还是在不检查的情况下允许流量通过.
表11:FTD部署过程中的流量行为流量行为接口配置被丢弃路由或交换,包括EtherChannel、冗余、子接口切换接口也称为桥接组或透明接口.
防火墙接口升级到版本6.
4.
0.
x12升级到版本6.
4.
0.
xFTD升级行为:Firepower4100/9300机箱流量行为接口配置不检查直接通过如果已禁用Failsafe,并且Snort处于繁忙而非关闭状态,则系统可能会丢弃一些数据包.
内联集,已启用或禁用Failsafe(6.
0.
1-6.
1.
0.
x)仅限IPS接口被丢弃内联集,SnortFailOpen:Down:已禁用(6.
2及更高版本)不检查直接通过内联集,SnortFailOpen:Down:启用(6.
2+)立即传出数据包,不检查副本内联集,分流模式不中断,不检查被动,ERSPAN被动FTD升级行为:其他设备本部分介绍在Firepower1000/2100系列、ASA5500-X系列、ISA3000、和FTDv上升级Firepower威胁防御时的设备和流量行为.
独立式FTD设备:Firepower软件升级接口配置会确定在升级期间独立设备如何处理流量.
表12:Firepower软件升级期间的流量行为:独立式FTD设备流量行为接口配置被丢弃路由或交换,包括EtherChannel、冗余、子接口切换接口也称为桥接组或透明接口.
防火墙接口可以为以下任意一项:被丢弃(6.
1至6.
2.
2.
x)不检查直接通过(6.
2.
3及更高版本)内联集,故障时自动旁路启用:Bypass:Standby或Bypass-Force(6.
1+)仅限IPS接口被丢弃内联集,已禁用故障时自动旁路:Bypass:Disabled(6.
1+)被丢弃内联集,没有故障时自动旁路模块立即传出数据包,不检查副本内联集,分流模式不中断,不检查被动,ERSPAN被动升级到版本6.
4.
0.
x13升级到版本6.
4.
0.
xFTD升级行为:其他设备高可用性对:Firepower软件升级在高可用性对中的设备上升级Firepower软件时,流量或检查中不应出现中断.
为确保操作的连续性,它们一次升级一个.
升级时,设备会在维护模式下运行.
首先升级备用设备.
设备会交换角色,然后新的备用设备进行升级.
升级完成后,设备的角色保持交换后的状态.
如果您想要保留主用/备用角色,请先手动交换角色,然后再进行升级.
这样,升级流程会将它们交换回来.
部署过程中的流量行为升级过程中,您需要多次部署配置.
如果在升级后立即进行首次部署,Snort通常会重启.
该进程在其他部署期间不重启,除非您在部署之前修改特定策略或设备配置.
有关详细信息,请参阅Firepower管理中心配置指南中的在部署或激活时重启Snort进程的配置.
在部署时,资源需求可能会导致少量数据包未经检测而被丢弃.
此外,重启Snort进程会中断所有Firepower设备上的流量检查,包括为HA/可伸缩性配置的检查.
在中断期间,接口配置会确定是丢弃流量还是在不检查的情况下允许流量通过.
表13:FTD部署过程中的流量行为流量行为接口配置被丢弃路由或交换,包括EtherChannel、冗余、子接口切换接口也称为桥接组或透明接口.
防火墙接口不检查直接通过如果已禁用Failsafe,并且Snort处于繁忙而非关闭状态,则系统可能会丢弃一些数据包.
内联集,已启用或禁用Failsafe(6.
0.
1-6.
1.
0.
x)仅限IPS接口被丢弃内联集,SnortFailOpen:Down:已禁用(6.
2及更高版本)不检查直接通过内联集,SnortFailOpen:Down:启用(6.
2+)立即传出数据包,不检查副本内联集,分流模式不中断,不检查被动,ERSPAN被动Firepower7000/8000系列升级行为以下部分介绍升级Firepower7000/8000系列设备时的设备和流量行为.
独立式7000/8000系列:Firepower软件升级接口配置会确定在升级期间独立设备如何处理流量.
升级到版本6.
4.
0.
x14升级到版本6.
4.
0.
xFirepower7000/8000系列升级行为表14:升级时的流量行为:独立式7000/8000系列流量行为接口配置不检查直接通过,但是流量会在以下两个时间点短暂中断:升级过程开始时,链路关闭并重新开启(振荡),网卡切换到硬件绕过模式.
升级完成后,链路再次出现振荡,网卡退出硬件绕过模式.
终端重新连接并与设备接口重新建立链路后,检查会恢复.
内联,已启用硬件绕过(BypassMode:Bypass)被丢弃内联,没有硬件绕过模块,或已禁用硬件绕过模式(BypassMode:Non-Bypass)立即传出数据包,不检查副本内联,分流模式不中断,不检查被动被丢弃路由式、交换式7000/8000系列高可用性对:Firepower软件升级在高可用性对中升级设备(或设备堆叠)时,流量流或检查不应出现中断.
为确保操作的连续性,它们一次升级一个.
升级时,设备会在维护模式下运行.
首先升级哪一个对等设备取决于您的部署:路由式或交换式:优先升级备用设备.
设备会交换角色,然后新的备用设备进行升级.
升级完成后,设备的角色保持交换后的状态.
如果您想要保留主用/备用角色,请先手动交换角色,然后再进行升级.
这样,升级流程会将它们交换回来.
纯访问控制:优先升级主用设备.
升级完成后,主用设备和备用设备保持其原有角色.

8000系列堆栈:Firepower软件升级在8000系列堆栈中,设备同时进行升级.
在主设备完成其升级并且堆栈恢复操作之前,流量都会受到影响,就像堆栈是一个独立设备一样.
在所有设备完成升级之前,堆栈会在一个受限的混合版本状态下运行.
部署过程中的流量行为升级过程中,您需要多次部署配置.
如果在升级后立即进行首次部署,Snort通常会重启.
该进程在其他部署期间不重启,除非您在部署之前修改特定策略或设备配置.
有关详细信息,请参阅Firepower管理中心配置指南中的在部署或激活时重启Snort进程的配置.
在部署时,资源需求可能会导致少量数据包未经检测而被丢弃.
此外,重启Snort进程会中断所有Firepower设备上的流量检查,包括为HA/可伸缩性配置的检查.
在中断期间,接口配置会确定是丢弃流量还是在不检查的情况下允许流量通过.
升级到版本6.
4.
0.
x15升级到版本6.
4.
0.
xFirepower7000/8000系列升级行为表15:部署期间的流量行为:7000/8000系列流量行为接口配置不检查直接通过如果已禁用Failsafe,并且Snort处于繁忙而非关闭状态,则系统可能会丢弃一些数据包.
内联,Failsafe已启用或已禁用立即传出数据包,副本绕过Snort内联,分流模式不中断,不检查被动被丢弃路由式、交换式ASAFirePOWER升级行为在Firepower软件升级期间(包括在您部署会导致Snort进程重启的某些配置时),模块处理流量的方式由用于将流量重定向到ASAFirePOWER模块的ASA服务策略决定.
表16:ASAFirePOWER升级期间的流量行为流量行为流量重定向策略不检查直接通过故障时打开(sfrfail-open)被丢弃故障时关闭(sfrfail-close)立即传出数据包,不检查副本仅监控(sfr{fail-close}|{fail-open}monitor-only)ASAFirePOWER部署过程中的流量行为Snort进程重启时的流量行为与升级ASAFirePOWER模块时相同.
升级过程中,您需要多次部署配置.
如果在升级后立即进行首次部署,Snort通常会重启.
该进程在其他部署期间不重启,除非您在部署之前修改特定策略或设备配置.
有关详细信息,请参阅Firepower管理中心配置指南中的在部署或激活时重启Snort进程的配置.
在部署时,资源需求可能会导致少量数据包未经检测而被丢弃.
此外,重启Snort进程会中断流量检查.
在中断期间,您的服务策略会确定是丢弃流量还是在不检查的情况下允许流量通过.

NGIPSv升级行为本部分介绍在升级NGIPSv时的设备和流量行为.
Firepower软件升级接口配置决定了NGIPSv在升级期间如何处理流量.
升级到版本6.
4.
0.
x16升级到版本6.
4.
0.
xASAFirePOWER升级行为表17:NGIPSv升级期间的流量行为流量行为接口配置被丢弃内联立即传出数据包,不检查副本内联,分流模式不中断,不检查被动部署过程中的流量行为升级过程中,您需要多次部署配置.
如果在升级后立即进行首次部署,Snort通常会重启.
该进程在其他部署期间不重启,除非您在部署之前修改特定策略或设备配置.
有关详细信息,请参阅Firepower管理中心配置指南中的在部署或激活时重启Snort进程的配置.
在部署时,资源需求可能会导致少量数据包未经检测而被丢弃.
此外,重启Snort进程会中断流量检查.
在中断期间,接口配置会确定是丢弃流量还是在不检查的情况下允许流量通过.