Mục Lục:
I. Giới thiệu về mô hình bài Lab
II. Cấu hình upgrade firmware trên cụm HA Cisco FTD thông qua FDM
Lưu ý: tất cả các thiết bị Cisco FTD trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng phần mềm FDM để quản lý các thiết bị Cisco FTD. (phiên bản cisco FTD là 7.0.5-72)
I. Giới thiệu về mô hình bài Lab
Mô hình bài Lab bao gồm các thành phần như: Switch, WEB server, DNS server, AD server, Cisco FTD và các PC người dùng được phân chia làm các subnet:
Yêu cầu của bài Lab:
Cisco FTD upgrade firmware là quá trình nâng cấp phần mềm hệ thống của thiết bị Cisco Firepower Threat Defense (FTD) lên phiên bản mới hơn. Phiên bản firmware mới hơn có thể bao gồm các bản vá bảo mật mới, cải tiến hiệu suất và các tính năng mới. Cisco khuyến nghị nâng cấp firmware Cisco FTD thường xuyên để đảm bảo rằng bạn có được mức độ bảo mật, hiệu suất và tính năng tốt nhất.
Có nhiều lý do cần nâng cấp firmware Cisco FTD, bao gồm:
Đối với trường hợp upgrade firmware trên cụm thiết bị HA Cisco FTD thông qua FDM có thể được miêu ta bằng các bước sau:
Việc upgrade firmware cụm HA Cisco FTD nên thực hiện trên thiết bị standby để tránh downtime cho hệ thống, để thực hiện đảm bảo các yêu cầu ở trên rồi vào phần Device > Updates > View Configuration.
Sau đó tiến hành upload firmware muốn upgrade lên thiết bị chọn BROWSE (chọn file từ máy tính) sau khi upload thành công không nên chọn Run Upgrade immediately on upload vì hệ thống sẽ upgrade ngay lập tức sau khi firmware đã upload mà không kiểm tra trước file đó.
Lưu ý: truy cập link sau để download bản upgrade của versiom 7.2.5-208 với đuôi là *.sh.REL.tar (không giải nén file này). link này là chính hãng cisco.
Tiếp theo chọn Run Upgrade Readiness Check để kiểm tra file upgrade có tương thích với hệ thống và file có bị lỗi hay không có thể vào Task List để xem tình trạng kiểm tra.
Đảm bảo phần check thành công vào không có lỗi như hình bên dưới rồi chọn UPGRADE NOW để bắt đầu nâng cấp.
Đảm bảo chọn Automatically cancel on upgrade failure and roll back to the previous version để đảm hệ thống sẽ tự chuyển về version hiện tại nếu việc upgrade xảy ra vấn đề.
Có thể giữ nguyên session GUI để xem tiến trình upgrade và thời gian dự kiến upgrade cũng như chọn CANCEL UPGRADE để hủy quá trình này. Tùy thuộc vào hệ thống mà thời gian upgrade có thể diễn ra dài hay ngắn.
Sau khi xong tiến trình hệ thống sẽ tự reboot thiết bị và tiến hành cài đặt thêm tiến trình bootstrap như hình bên dưới. Sau khi hoàn thành tiến trình này chọn OK để Log in vào GUI của thiết bị. (lúc này thiết bị đã hoạt động ở version mới)
Sau đó chờ một khoảng thời gian để hệ thống hoạt động bình thường, trong lúc đó cũng có thể vào lại Device > Updates > View Configuration> Revert upgrade để thực hiện revert lại firmware cũ như hình bên dưới.
Sau khi đã hoàn thành upgrade trên thiết bị standby và kiểm tra trạng thái HA của cụm Cisco FTD (chờ một khoảng thời gian để đồng bộ lại trạng thái), tiến hành truy cập GUI thiết bị active và chuyển role nó sang standby để tiến hành upgrade firmware cho nó.
Lưu ý: nếu không thực hiện upgrade firmware trên thiết bị còn lại trong cụm HA cisco FTD thì trên CLI của 2 thiết bị sẽ xuất hiện thông báo version không tương thích mặc dù trong GUI vẫn thấy trạng thái HA của 2 thiết bị bình thường.
Truy cập vào phần Device > Updates > View Configuration để upload version firmware cần upgrade.
Sau khi upload file thành cộng chạy Run Upgrade Readiness Check và đảm bảo thành công sau đó chọn UPGRADE NOW.
Chọn Automatically cancel on upgrade failure and roll back to the previous version để đảm hệ thống sẽ tự chuyển về version hiện tại nếu việc upgrade xảy ra vấn đề.
Quan sát quá trình upgrade trên thiết bị còn lại hoặc có thể hủy quá trình này.
Sau khi thiết bị reboot sẽ cài đặt bootstrap như hình chọn OK khi quá trình hoàn thành.
Chờ một khoảng thời gian để hệ thống đồng bộ lại cấu hình HA và kết quả sẽ như hình bên dưới.
I. Giới thiệu về mô hình bài Lab
II. Cấu hình upgrade firmware trên cụm HA Cisco FTD thông qua FDM
[LAB-11] Cấu hình Upgrade Firmware trên cụm HA Cisco FTD
Lưu ý: tất cả các thiết bị Cisco FTD trong chuổi series này đều được dựng ảo hóa hoàn toàn trên VMware và sử dụng phần mềm FDM để quản lý các thiết bị Cisco FTD. (phiên bản cisco FTD là 7.0.5-72)
I. Giới thiệu về mô hình bài Lab
Mô hình bài Lab bao gồm các thành phần như: Switch, WEB server, DNS server, AD server, Cisco FTD và các PC người dùng được phân chia làm các subnet:
- Outside network: 10.120.190.0/24
- User network: 172.31.198.0/24 và 172.31.199.0/24
- Server network: 172.31.100.0/24 và 172.31.10.0/24
- HA Heartbeat Network: 169.254.91.0/29
- HA StateFul Network: 169.254.92.0/29
Yêu cầu của bài Lab:
- Cấu hình thực hiện upgrade firmware lên version 7.2.5-208 (version được recommand của hãng) trên thiết bị standby trong cụm HA để đảm bảo hệ thống hoạt động bình thường không xảy ra downtime.
- Thực hiện chuyển role thiết bị đã upgrade (từ standby sang active) rồi thực hiện upgrade firmware lên version 7.2.5-208 (version được recommand của hãng) trên thiết bị còn lại trong cụm HA.
Cisco FTD upgrade firmware là quá trình nâng cấp phần mềm hệ thống của thiết bị Cisco Firepower Threat Defense (FTD) lên phiên bản mới hơn. Phiên bản firmware mới hơn có thể bao gồm các bản vá bảo mật mới, cải tiến hiệu suất và các tính năng mới. Cisco khuyến nghị nâng cấp firmware Cisco FTD thường xuyên để đảm bảo rằng bạn có được mức độ bảo mật, hiệu suất và tính năng tốt nhất.
Có nhiều lý do cần nâng cấp firmware Cisco FTD, bao gồm:
- Cải thiện tính bảo mật: Các bản cập nhật firmware thường bao gồm các bản vá bảo mật mới để khắc phục các lỗ hổng bảo mật đã biết. Việc nâng cấp firmware có thể giúp bảo vệ mạng của bạn khỏi các cuộc tấn công mạng.
- Cải thiện hiệu suất: Các bản cập nhật firmware thường bao gồm các cải tiến hiệu suất để giúp FTD chạy nhanh hơn và hiệu quả hơn. Điều này có thể cải thiện trải nghiệm người dùng và giảm chi phí vận hành.
- Thêm các tính năng mới: Các bản cập nhật firmware thường bao gồm các tính năng mới để mở rộng khả năng của FTD. Điều này có thể giúp bạn đáp ứng các nhu cầu kinh doanh thay đổi của mình.
Đối với trường hợp upgrade firmware trên cụm thiết bị HA Cisco FTD thông qua FDM có thể được miêu ta bằng các bước sau:
- Tiến hành backup cấu hình trên cả 2 thiết bị trong cụm HA.
- Kiểm tra hoạt động HA của cả 2 thiết bị Cisco FTD đảm bảo hoạt động bình thường và trên thiết bị active không còn cấu hình cần Deploy.
- Tiến hành upgrade firmware trên thiết bị standby: upload firmware, kiểm tra mức độ upgrade đảm bảo kiểm tra thành công.
- Sau khi thiết bị standby đã upgrade thành công thực hiện truy cập GUI vào thiết bị active và chuyển role nó thành standby.
- Kiểm tra hoạt động của hệ thông trên thiết bị active với firmware mới, đảm bảo hệ thống hoạt động bình thường.
- Tiến hành upgrade firmware trên thiết bị còn lại (standby sau khi đã chuyển role) thực hiện tương tự.
Kiểm tra hoạt động HA của cả 2 thiết bị Cisco FTD sau khi upgrade. - (tùy chọn) có thể Deploy cấu hình mới hoặc chuyển role active về thiết bị mong muốn.
Việc upgrade firmware cụm HA Cisco FTD nên thực hiện trên thiết bị standby để tránh downtime cho hệ thống, để thực hiện đảm bảo các yêu cầu ở trên rồi vào phần Device > Updates > View Configuration.
Sau đó tiến hành upload firmware muốn upgrade lên thiết bị chọn BROWSE (chọn file từ máy tính) sau khi upload thành công không nên chọn Run Upgrade immediately on upload vì hệ thống sẽ upgrade ngay lập tức sau khi firmware đã upload mà không kiểm tra trước file đó.
Lưu ý: truy cập link sau để download bản upgrade của versiom 7.2.5-208 với đuôi là *.sh.REL.tar (không giải nén file này). link này là chính hãng cisco.
| 
|
| 
|
Đảm bảo chọn Automatically cancel on upgrade failure and roll back to the previous version để đảm hệ thống sẽ tự chuyển về version hiện tại nếu việc upgrade xảy ra vấn đề.
| 
|
Sau khi xong tiến trình hệ thống sẽ tự reboot thiết bị và tiến hành cài đặt thêm tiến trình bootstrap như hình bên dưới. Sau khi hoàn thành tiến trình này chọn OK để Log in vào GUI của thiết bị. (lúc này thiết bị đã hoạt động ở version mới)
| 
|
| 
|
Sau khi đã hoàn thành upgrade trên thiết bị standby và kiểm tra trạng thái HA của cụm Cisco FTD (chờ một khoảng thời gian để đồng bộ lại trạng thái), tiến hành truy cập GUI thiết bị active và chuyển role nó sang standby để tiến hành upgrade firmware cho nó.
Lưu ý: nếu không thực hiện upgrade firmware trên thiết bị còn lại trong cụm HA cisco FTD thì trên CLI của 2 thiết bị sẽ xuất hiện thông báo version không tương thích mặc dù trong GUI vẫn thấy trạng thái HA của 2 thiết bị bình thường.
| 
|
Sau khi upload file thành cộng chạy Run Upgrade Readiness Check và đảm bảo thành công sau đó chọn UPGRADE NOW.
| 
|
Quan sát quá trình upgrade trên thiết bị còn lại hoặc có thể hủy quá trình này.
Sau khi thiết bị reboot sẽ cài đặt bootstrap như hình chọn OK khi quá trình hoàn thành.
| 
|
Attachments
Last edited:
![[LAB-14] Cấu hình Advanced Malware Protection trên Cisco FTD (Phần 2)](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8Xw8AAoMBgDTD2qgAAAAASUVORK5CYII=)