Update Firepower
Update Firepower
Cześć,
czy jest jakieś oficjalne info co należy pierwszemu upgrade zrobić?
Sourcefire 3D Defense Center czy może Network Sensor ?;)
Kojarzę coś że pierwsze powinno być Network Sensor ale nie jestem pewny.
update z wersji 6.0.1.1 do 6.0.1.2
czy jest jakieś oficjalne info co należy pierwszemu upgrade zrobić?
Sourcefire 3D Defense Center czy może Network Sensor ?;)
Kojarzę coś że pierwsze powinno być Network Sensor ale nie jestem pewny.
update z wersji 6.0.1.1 do 6.0.1.2
Re: Update Firepower
czesc piter1789,
czytales Release notes?
troche wyrwane z kontektstu " After you update your Firepower Management Centers to Version 6.0.1.2, use them to update the devices they manage."
polecam caly dokument http://www.cisco.com/c/en/us/td/docs/se ... fId-377893
czytales Release notes?
troche wyrwane z kontektstu " After you update your Firepower Management Centers to Version 6.0.1.2, use them to update the devices they manage."
polecam caly dokument http://www.cisco.com/c/en/us/td/docs/se ... fId-377893
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Re: Update Firepower
Cześć,
dzięki,
czytałem, ale gdzieś musiałem przeoczyć;)
czyli najpierw Consola do zarządzania a dopiero potem sensor;) )
dzięki,
czytałem, ale gdzieś musiałem przeoczyć;)
czyli najpierw Consola do zarządzania a dopiero potem sensor;) )
Re: Update Firepower
jako rule-of-thumb - tak , ale zawsze lepiej przeczytac RNpiter1789 pisze:
czyli najpierw Consola do zarządzania a dopiero potem sensor;) )
z update-em / upgrade-em FP i FPMC mam rozne doswiadczenia, i albo wszystko dziala super (ale zajmuje znacznie wiecej czasu niz Cisco sugeruje), albo nie i wtedy sa dwa wyjscia: probowac jeszcze kilka razy tak samo (glupie ale dziala), albo TAC case.
przy tak malej zmianie wersji nie powinno byc problemow, mowie o FirePOWER services module w ASA, bo z fizycznymi pudelkami SF nie mialem do czynienia, ale powinno byc podobnie.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Re: Update Firepower
Dodam swoje trzy grosze. Zdecydowanie polecam najpierw wykonywac upgrade FPMC, następnie sensora. Nawet przy małej zmianie wersji, moga być np. modyfikacje table w bazach danych i będzie zonk. Przy aktualizacji sensora na ASA (a także sprzętowego) należy oglądać log aktualizacji (niby wyświetla się na FPMC, ale to nie to samo:) ) Piszę z pamięci, nazwa logu może byc nieco różna. Podobnie z logami jest na FPMC.
Jeśli są jakieś problemy należy odczytać szczegółowy log danego fragmentu aktualizacji, np. 200_SRU_Install.log (to tylko przykład).
Pzdr.
Kod: Zaznacz cały
expert
ls /var/log/sf
tail -f /var/log/sf/<tu folder danej aktualizacji>/main_upgrade.log
Nie do końca sie zgadzam. Miałem przypadek na 3D8140, że po czystej instalacji, żeby zrobić upgrade sondy, trzeba było najpierw wypchnąć Access Policy, bez tego w ogóle nie chciał zrobic update. Powyższe z logami, pozwoiło mi na uniknięcie case TAC.wyjscia: probowac jeszcze kilka razy tak samo (glupie ale dziala).
Pzdr.
“Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying.” - A.C.Clark
Re: Update Firepower
zgodzę się z tym...mihu pisze: probowac jeszcze kilka razy tak samo (glupie ale dziala)
ogólnie mam wrażenie:
1. że ten software jest niedopracowany (czasami muli i jest jakiś takiś, taki nie określony )
2. dwa nie rozumiem czemu Cisco nie wrzuci tego softu do zarzadzania do ASA'y na ten dysk SSD ?
3. Powinna być osobna certyfikacja do updateów software'u Cisco i knifami z tym związanymi typu, rób update tylko o godzinie 1 w nocy, ale nigdy nie w czasie pełni, bo to może mieć wpływ na elektrony
Ups I switched again =)
Re: Update Firepower
pisze z perspektywy ASA FP module services, z 3D sensorami mialem tylko stycznosc w postaci VMow w labie. Moze i glupie, ale dziala. Co do niedopracowania produktu tez sie zgadzam, przyklad: 2 identyczne ASy do A/S HA - identyczna procedura - jeden FP sie zainstalowal i zupdetowal bez problemow, drugi za cholere, a ze juz boxy byly w produkcji, bo pre-stage w labie ciezko zrobic (chyba ze sie cos zmienilo i mozna miec temporary FPMC wpiac w niego FPs zrobic updaty, wypiac przeniesc do klienta? bez wykorzystywania licencji klienta?). Nawet TAC mial problemy, zeby to naprawic bez reinstalacji, to bylo 5.4.cos_tam.Gizmo pisze:Nie do końca sie zgadzam. Miałem przypadek na 3D8140, że po czystej instalacji, żeby zrobić upgrade sondy, trzeba było najpierw wypchnąć Access Policy, bez tego w ogóle nie chciał zrobic update. Powyższe z logami, pozwoiło mi na uniknięcie case TAC.wyjscia: probowac jeszcze kilka razy tak samo (glupie ale dziala).
Drugi przypadek - czasy podawane przez Cisco do updatu / upgradeu sa wyssane z palca, niby update/upgrade powinien zajac 45min - zajal ponad 5h! I zero informacji w FPMC co sie dzieje. Nie ma takze konsolidacji patchy i trzeba jechac przez wszystkie.
ASA jest niestety martwa i FP to przyszlosc. nie wiem czy testowales FTD - polaczenie ASy i FP, ale w obecnym setupie i tak funkcjonalnosc sie naklada. Tylko klienta bedzie trzeba kasowac za wiecej dni pracy przez klikanie w GUI.art pisze:2. dwa nie rozumiem czemu Cisco nie wrzuci tego softu do zarzadzania do ASA'y na ten dysk SSD ?
Innymi slowy dostajemy CheckPointa od Cisco, ktory dziala tylko (glownie) ze Smart License. Jeszcze musze poswiecic troche czasu zeby sie przyjrzec produktowi, ale chyba znow spojrze na CP, tym bardziej w wersji R80.x, bardziej przychylnie.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Re: Update Firepower
1. Z 5.3(4).x rzeczywiście jest od cholery kłopotów, po kilku caseach, poprostu przeorałem klamota i teraz działa. W 6.x działa to lepiej, m.in. są scalone patche. Co do śledzenia aktualizacji to tylko logi z cli. Mam za sobą około 40 AS FP przewalonych na 6.0.1.2, tylko dwa kroki - reimage + ostatni patch.
2. Licencje są potrzebne do działania operacyjnego , do aktualizacji nie. Sprawdzone w labo. Poza tym zawsze możesz zrobić rehost licencji.
2. Licencje są potrzebne do działania operacyjnego , do aktualizacji nie. Sprawdzone w labo. Poza tym zawsze możesz zrobić rehost licencji.
“Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying.” - A.C.Clark
Re: Update Firepower
45 minut ?:D u mnie nie wiem ile to leciało ale znacznie dłużejjj, zapodałem update przy wychodzeniu z pracy i w domu wieczorem/nocą sprawdzałem jak tam postępymihu pisze:
Drugi przypadek - czasy podawane przez Cisco do updatu / upgradeu sa wyssane z palca, niby update/upgrade powinien zajac 45min - zajal ponad 5h! I zero informacji w FPMC co sie dzieje. Nie ma takze konsolidacji patchy i trzeba jechac przez wszystkie.
O, dzięki ! nie słyszałem o tym FTD, muszę pomęczyć partnera żeby mi to pokazał. A dysk SSD to chodzi mi o to, żeby tam był soft FirePower, a nie że osobna maszyna wirtualna. Dla mnie to trochę bez sensu.mihu pisze:ASA jest niestety martwa i FP to przyszlosc. nie wiem czy testowales FTD - polaczenie ASy i FP, ale w obecnym setupie i tak funkcjonalnosc sie naklada. Tylko klienta bedzie trzeba kasowac za wiecej dni pracy przez klikanie w GUI.art pisze:2. dwa nie rozumiem czemu Cisco nie wrzuci tego softu do zarzadzania do ASA'y na ten dysk SSD ?
Ogólnie, patrząc z perspektywy czasu, to lepiej było kupić coś innego niż ASA'ę. Mam wrażenie, że jest to produkt zrobiony na siłę i wypchnięte na prędko "żeby coś było", konkurenci gonili, a Cisco bardzo dobrze rozumie, że gdyby oddało pole rywalom to ciężko mieliby wrócić.
Ups I switched again =)
Re: Update Firepower
Poczytaj o różnicach pomiędzy softami do ASA + FM a FTD bo jest kilka i pomęcz partnera.. i nie koniecznie dobrych
Re: Update Firepower
wracajac do tematu. bylem ostatnio na szkoleniu z FTD, 2 dni, polecam. Szczegolnie zeby zobaczyc roadmap i co co jest jeszcze nie dopracowane.piter1789 pisze:Poczytaj o różnicach pomiędzy softami do ASA + FM a FTD bo jest kilka i pomęcz partnera.. i nie koniecznie dobrych
Btw niedawno wyszedl soft w wersji 6.2
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Re: Update Firepower
A gdzie byłeś?
Re: Update Firepower
piter1789 pisze:A gdzie byłeś?
Londyn, szkolenie prowadzone przez Dax-a Mickelson-a, ale nie jestem pewien czy w tej chwili nie jest tylko dla partnerow, bo gosciu lata po swiecie. Poprowadzone super, kazdy mial swojego poda i dobre materialy.
Szkolenie jest na poziomie podstawowym, ale pokazuje przejscie z ASA w/FP do FTD i ograniczenia, duzo ograniczen jesli mam porownac FTD z ASA (nie z FP), ale dajmy temu rok, dwa i produkt dojrzeje. Tylko mam nadzieje ze rozwiaza problem z mgmt interface jesli chce sie uzywac FMC dla zdalnych lokacji.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
Re: Update Firepower
Ja mam mieszane uczucia odnośnie FP. Produkt w kwestii funkcji i obsługi/konfiguracji bardzo mi się podoba, natomiast mam czasem wrażenie, że soft pisany na kolanie i niezbyt "przewidywalny" w zachowaniu. Odnośnie upgradów zawsze czytać release notes, wgrywać fixy itp. Z TAC'iem niestety różnie, raczej gorzej niż lepiej, bardzo dobrze wspominam czasy chwilę po akwizycji, jak moje case'y obsługiwał jeszcze Sourcefire. Natomiast mimo wszystko wykorzystywanie powyższego rozwiązania w produkcji bez kontraktu i możliwości skorzystania z TAC to samobójstwo. Jeżeli macie firesighta i asę z fp w labie popróbujcie różne scenariusze z backupem, odtwarzaniem danych, exportem/importem polityk, maszyny wirtualnej itd. Bajka:) W moich różnych bojach zawsze kończyło się reimagem sensora i pisaniem jakiś polityk ręcznie. Mam wrażenie, że najlepsza forma backupu to printscreeny:D
Re: Update Firepower
@eljoteljot pisze:Ja mam mieszane uczucia odnośnie FP. Produkt w kwestii funkcji i obsługi/konfiguracji bardzo mi się podoba, natomiast mam czasem wrażenie, że soft pisany na kolanie i niezbyt "przewidywalny" w zachowaniu. Odnośnie upgradów zawsze czytać release notes, wgrywać fixy itp. Z TAC'iem niestety różnie, raczej gorzej niż lepiej, bardzo dobrze wspominam czasy chwilę po akwizycji, jak moje case'y obsługiwał jeszcze Sourcefire. Natomiast mimo wszystko wykorzystywanie powyższego rozwiązania w produkcji bez kontraktu i możliwości skorzystania z TAC to samobójstwo. Jeżeli macie firesighta i asę z fp w labie popróbujcie różne scenariusze z backupem, odtwarzaniem danych, exportem/importem polityk, maszyny wirtualnej itd. Bajka:) W moich różnych bojach zawsze kończyło się reimagem sensora i pisaniem jakiś polityk ręcznie. Mam wrażenie, że najlepsza forma backupu to printscreeny:D
podobnie. FP vel FTD ma ogromny potencjal, kwestia tylko czy Cisco to wykorzysta i nie zniecheci do korzystania z niego, bo czesc klientow moze wolec przejesc/wrocic na CheckPointa, bo FTD z FMC to nic innego jak proba gonienia CP. Sam nigdy nie bylem zwolennikiem CP, ale jesli wszystko ma isc w GUI, coz wole produkt dopracowany a nie wypuszczenie czegos co samo Cisco mowi ze nie jest "direct replacement for ASA". Jak na razie (6.1) brak RVPN, L2L to kpina z firewalla, backupy tylko do identycznej wersji (patchy nie sprawdzalem), ale do tego mnie juz ISE przyzwyczailo. Calkowitym absurdem jest zalecenie wystawienia interfejsu mgmt po stronie Internetu w remote locations jesli chcemy korzystac z centralnego FMC, fajnie ze FDM jest ale jest bardzo okrojony co do funkcjonalnosci prownujac do FMC. A jesli ma jeszcze ten super feature co zarzadzanie FP przez ASDM - jedyna sluszna i niekonfigurowalna strefa czasowa to New York to ja sie pytam czy to jest produkt z dzialki "security".
potencjal jest, fajnie polaobowac i wiedziec co sie szykuje, ale na chwile obecna bede odradzal klientom. ASA+FP+FMC ok, czysty FTD - nie.
inne rzeczy ktore mi osobiscie nie pasuja w FP/FTD/FMC to:
- teoretycznie mozna zrobic template raportu nad ktorym sie napocimy, ale da sie go zaimportowac tylko do tej samej wersji !!! z punktu widzenia PS bezuzyteczne i zostaja print screeny i manual. W innych przypadkach tez slyszlem ze malo uzyteczne bo czesc ludzi zamiast upgradu robi re-image bo zajmuje mniej czasu.
tak przyszlosciowo jestem ciekawy jak beda wygladaly upgrady single mode i HA i jakie beda downtimy wymagane, i czas potrzebny na backup plan jak cos sie posypie w trakcie upgradu. Tu ASA rzadzi porownujac do innych vendorow.
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"