“思科FPR防火墙目前已广泛部署应用于各大数据中心，承载关键应用的数据转发及4层安全防护；但是其底层物理机系统与虚拟机系统分离的物理设计架构，在面临如软件版本升级等问题时如何确保业务零中断，是防火墙运维人员需要着重考虑的问题；本文发布之日前FPR系列防火墙的软件版本升级还未有先例，因此本文对于即将面临升级问题的广大运维/厂商人员将提供参考指导”

01

—

FRP防火墙物理架构剖析

FirePower系列防火墙是思科的下一代防火墙（Next-Generation Firewalls），Gartner统计截止2019年第四季度FPR处于魔力四象限的领导者位置：

FirePower防火墙相较于传统防火墙而言能够提供部署多种安全平台：

ASA with FirePower service：

NG-IPS（Next-Generation Intrusion Prevention Systems）

AMP（Advanced Malware Protection）

FMC（Firepower Management Center）

FTD（Firepower Threat Defense）

NG-IPS（Next-Generation Intrusion Prevention Systems）

AMP（Advanced Malware Protection）

FMC（Firepower Management Center）

ASA（Adaptive Security Appliance）：

Adaptive Security Device manager

Cisco Security manager

Cisco defense Orchestractor

目前各数据中心中已部署的FPR绝大多数都是使用ASA平台，而这些安全平台都是基于FPR物理设备而建立的虚拟机（相当于vmware虚拟机与宿主机的关系）；需要注意的是同一台FPR物理机中可以建立多个虚拟机（相同/不同平台），需要在物理机中给不同的虚拟机分配物理资源及license资源。

02

—

FPR防火墙升级需求及面临问题

通常情况下防火墙升级的需求有以下几点：

设备软件版本EOL（end of life）

设备命中已知/未知bug，业务可能面临重大风险

计划内升级（根据厂商推荐升级至更加稳定可靠的版本）

FPR防火墙因为其物理架构设计的特殊性在升级时将要面临更多的问题和需求：

FPR的FXOS和ASA软件版本是否需要同步升级？（思科Nexus交换机的kickstart版本与NXOS版本需要配套一起升级，FPR是否有相同问题）

升级FXOS时是否需要将ASA虚拟机关闭/铲掉

升级FXOS和ASA后license是否需要重新生效

一组设备中备机完成升级后，主备机软件版本不一致，failover是否能正常建立？连接表、ARP表等是否能同步？failover是否能正常切换？

03
—

FPR防火墙升级测试

针对以上升级需求及问题,我们在测试环境中进行了FRP4110防火墙的升级测试：

测试拓扑图：

2. 测试过程及结果

   a. 首先对FPR4110-02的FXOS进行升级，不关闭ASA虚拟机

       升级结果：FXOS升级后ASA可以正常登录，检查各种状态均为正常
   
   
   
      b. 对FRP4110-02上的ASA进行升级
   
   
   
   
        升级结果：ASA升级后可以正常启动
   

   c. 检查主备机failover状态是否正常，备机在新版本下的各种表项是否正常

图片

          检查结果：failover可以正常建立



  d. 完成主备机failover状态切换操作




      检查结果：failover可以正常切换



  e. 完成FPR4110-01FXOS软件版本升级操作

      升级结果：FXOS升级后ASA可以正常登录，检查各种状态均为正常



  f. 完成FPR4110-01ASA软件版本升级操作

      升级结果：ASA升级后可以正常启动



  g. 完成主备机failover状态回切

      回切结果：failover可以正常回切