| 機械翻訳のご利用について |
| 機械翻訳版 - October 16, 2008 |
| ライター翻訳版 - February 2, 2006 |
| 英語版 - October 16, 2008 |
| Document ID: 63879 |
注: この資料はPIX 500のシリーズのセキュリティアプライアンスモデルのソフトウェアをアップグレードする方法を取り扱っています。 PIX Softwareをダウンロードするためには、Software Center (登録ユーザのみ)を参照して下さい。 PIX ソフトウェアにアクセスするには、ログインしている必要があり、有効なサービス契約が必要です。
目次
概要
前提条件
要件
使用するコンポーネント
最小システム要件
PIX 515/515E アプライアンス向けのメモリのアップグレードに関する情報
表記法
PIX セキュリティ アプライアンスのアップグレード
ソフトウェアのダウンロード
アップグレード手順
モニタ モードからの PIX セキュリティ アプライアンスのアップグレード
モニタ モードに入る
モニタ モードからの PIX のアップグレード
copy tftp flashコマンドでPIXのセキュリティアプライアンスモデルをアップグレードして下さい
PIX 7.xから6.xにダウングレード
フェールオーバーの設定での PIX アプライアンスのアップグレード
Adaptive Security Device Manager(ASDM)のインストール
トラブルシューティング
FTPの点検を有効にして下さい
有効なサービス契約を得て下さい
NetPro ディスカッション フォーラム:特集対話
関連情報
概要
この資料にバージョン6.2または6.3アップグレードする方法をからバージョン7.xにPIX機器を説明されています。 また、Adaptive Security Device Manager(ASDM)バージョン 5.0 のインストール方法についても説明します。
前提条件
要件
このアップグレード手順を開始する前に、次の作業を実行してください。
-
show running-config コマンドまたは write net コマンドを使用して、現在の PIX の設定をテキスト ファイルまたは TFTP サーバに保存します。
-
show version コマンドを使用して、シリアル番号とアクティベーション キーを表示します。 この出力をテキスト ファイルに保存します。 古いバージョンのコードに復帰する必要があるときには、元のアクティベーション キーが必要になることがあります。 アクティベーション キーの詳細については、『Cisco Secure PIX Firewall に関する FAQ』を参照してください。
-
現在の設定に conduit コマンドまたは outbound コマンドがないことを確認します。 これらのコマンドは7.xでもはやサポートされないし、アップグレード・プロセスはそれらを取除きます。 アップグレードを行う前に、これらのコマンドをアクセスリストに変換するには、アウトプットインタープリタ(登録ユーザ専用)を使用します。
-
PIX が Point to Point Tunneling Protocol(PPTP)接続を終端していないことを確認します。 PIX 7.1の以降は現在PPTPの終了をサポートしません。
-
フェールオーバーを使用している場合は、LAN またはステートフル インターフェイスが、インターフェイスを通過するデータによって共有されていないことを確認します。 たとえば、データ トラフィックの送信用に内部インターフェイスを使用して、同様にステートフル フェールオーバー インターフェイス(内部フェールオーバー リンク)用にも使用している場合は、アップグレードを行う前に、ステートフル フェールオーバー インターフェイスを別のインターフェイスに移動させる必要があります。 これを行わないと、内部インターフェイスに関連付けられたすべての設定が削除されます。 また、アップグレード後はデータ トラフィックがこのインターフェイスを通過しなくなります。
-
作業を進める前に、PIX でバージョン 6.2 または 6.3 を実行していることを確認します。
-
アップグレードしようとしているバージョンのリリース ノートを読み、新しいコマンド、変更されたコマンド、廃止される予定のコマンドについてすべて把握してください。
-
バージョン 6.x と 7.x 間のその他のコマンドの変更については、『アップグレード ガイド』を参照してください。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
-
PIX セキュリティ アプライアンス 515、515E、525、および 535
-
PIX ソフトウェア バージョン 6.3(4)、7.0(1)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。
最小システム要件
バージョン7.xにアップグレード・プロセスを開始する前に、CiscoはPIXがバージョン6.2またはそれ以降を実行することを推奨します。 これによって、現在の設定が正しく変換されるようになります。 さらに、これらのハードウェア要件は、次に示す最小限の RAM およびフラッシュの要件を満たしている必要があります。
|
PIX モデル |
RAM の要件 |
フラッシュの要件 |
|
|---|---|---|---|
|
制限あり(R) |
制限なし(UR)/フェールオーバーのみ(FO) |
||
|
PIX-515 |
64 MB* |
128 MB* |
16 MB |
|
PIX-515 E |
64 MB* |
128 MB* |
16 MB |
|
PIX-525 |
128 MB |
256 MB |
16 MB |
|
PIX-535 |
512 MB |
1 GB |
16 MB |
* PIX-515 と PIX-515E アプライアンスでは、すべてメモリのアップグレードが必要です。
現在 PIX 上にインストールされている RAM とフラッシュの量を調べるには、show version コマンドを発行します。 この表にあるすべての PIX アプライアンスには、デフォルトで 16 MB がインストールされているため、フラッシュのアップグレードは必要ありません。
注: この表のPIXのセキュリティアプライアンスモデルだけバージョン7.x.より古いPIXセキュリティアプライアンスモデルで、PIX-520のような、510、10000サポートされ、クラシックは中断され、バージョン7.0またはそれ以降を実行しません。 これらの機器の1つがあり、7.xまたはそれ以降を実行したい場合より新しいセキュリティアプライアンスモデルを購入するために地元のCiscoアカウントチームか再販売業者に連絡して下さい。 また、64 MB 未満の RAM を搭載している PIX ファイアウォール(PIX-501、PIX-506、および PIX-506E)では、初期の 7.0 リリースを実行できません。
PIX 515/515E アプライアンス向けのメモリのアップグレードに関する情報
メモリのアップグレードが必要なのは、PIX-515 および PIX-515E アプライアンスだけです。 これらのアプライアンスでメモリをアップグレードするには、次の表で必要な部品番号を確認してください。
注: 部品番号は、PIX にインストールされているライセンスによって異なります。
|
現在のアプライアンスの設定 |
アップグレード ソリューション |
||
|---|---|---|---|
|
プラットフォームのライセンス |
合計メモリ(アップグレード前) |
部品番号 |
合計メモリ(アップグレード後) |
|
制限あり(R) |
32 MB |
PIX-515-MEM-32= |
64 MB |
|
制限なし(UR) |
32 MB |
PIX-515-MEM-128= |
128 MB |
|
フェールオーバーのみ(FO) |
64 MB |
PIX-515-MEM-128= |
128 MB |
詳細については、『Cisco PIX 515/515E セキュリティ アプライアンスでの PIX ソフトウェア v7.0 のためのメモリ アップグレードに関する製品速報』を参照してください。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
PIX セキュリティ アプライアンスのアップグレード
ソフトウェアのダウンロード
PIX 7.xのソフトウェアをダウンロードするためにCisco Software Center (登録ユーザのみ)にアクセスして下さい。 TFTPサーバソフトウェアはCisco.comからもはや利用できません。 ただし好みのインターネットのサーチエンジンの「TFTPサーバ」を捜すとき、TFTP多くのサーバを見つけることができます。 シスコでは、特定の TFTP の実装は推奨していません。 詳細については、TFTP サーバのページ(登録ユーザ専用)を参照してください。
アップグレード手順
バージョン7.xへのPIXのセキュリティアプライアンスモデルのアップグレードが重要な変更点であることに注意して下さい。 CLI の大半が変更されているため、アップグレード後の設定は、大きく異なったものになります。 アップグレード プロセスには多少のダウンタイムが必要であるため、アップグレードはメンテナンス時間の間にのみ行うようにしてください。 6.x のイメージに復帰する必要がある場合は、「ダウングレード」の手順に従ってください。 この手順に従わないと、PIX が連続的にリブートを繰り返します。 作業を進めるには、使用している PIX アプライアンスのモデルを次の表から探し、そのリンクをクリックして、アップグレード手順の説明を参照してください。
|
PIX モデル |
アップグレード方法 |
|---|---|
|
PIX-515 |
|
|
PIX-515E |
|
|
PIX-525 |
|
|
PIX-535 (インストールされるPDM無し) |
|
|
PIX-535 (インストールされるPDM) |
モニタ モードからの PIX セキュリティ アプライアンスのアップグレード
モニタ モードに入る
PIX でモニタ モードに入るには、次のステップを実行してください。
-
次の通信設定を使用して、コンソール ケーブルを PIX のコンソール ポートに接続します。
-
9600 bits per second
-
8 データ ビット
-
パリティなし
-
1 ストップ ビット
-
フロー制御なし
-
-
電源をオフにしてからオンにするか、PIX をリロードします。 起動時に、フラッシュ ブートを中断するには Break キーまたは Esc キーを使用するように指示するプロンプトが表示されます。 通常のブート プロセスを中断するための時間は、10 秒あります。
-
ESC キーを押すか、Break 文字を送信すると、モニタ モードに入ります。
-
Windows Hyper Terminal を使用している場合は、ESC キーか、Ctrl+Break キーを押すことで、Break 文字を送信できます。
-
PIX のコンソール ポートにアクセスするために、ターミナル サーバ経由で Telnet を行っている場合は、Telnet のコマンド プロンプトを得るために Ctrl+](Control + 右角カッコ)を押す必要があります。 その後、send break コマンドを入力します。
-
-
monitor> プロンプトが表示されます。
-
「モニタ モードからの PIX のアップグレード」のセクションに進んでください。
モニタ モードからの PIX のアップグレード
モニタ モードから PIX をアップグレードするには、次のステップを実行します。
-
PIX アプライアンスのバイナリ イメージ(たとえば pix701.bin)を TFTP サーバのルート ディレクトリにコピーします。
-
PIX でモニタ モードに入ります。 この方法がわからない場合は、このドキュメントの「モニタ モードに入る」の説明を参照してください。
注: モニタモードで、「使用できますか」。 利用可能なオプションのリストを見るキー。
-
TFTP サーバが接続されているインターフェイス番号か、TFTP サーバに最も近いインターフェイスを入力します。 デフォルトはインターフェイス 1(内部)です。
monitor>interface <num>
注: モニタ モードでは、インターフェイスはオート ネゴシエートによって速度とデュプレックスを設定します。 インターフェイスの設定はハード コードすることはできません。 したがって、PIX インターフェイスを速度やデュプレックスがハード コードされているスイッチに接続する場合は、モニタ モードに入っている間に、オート ネゴシエートするようにスイッチを再設定します。 また、PIX アプライアンスでは、モニタ モードからギガビット イーサネット インターフェイスを初期化できないことに注意してください。 代わりに、ファースト イーサネット インターフェイスを使用する必要があります。
-
ステップ 3 で入力したインターフェイスの IP アドレスを入力します。
monitor>address <PIX_ip_address>
-
TFTP サーバの IP アドレスを入力します。
monitor>server <tftp_server_ip_address>
-
(オプション)ゲートウェイの IP アドレスを入力します。 ゲートウェイ アドレスは、PIX のインターフェイスが TFTP サーバと同じネットワーク上にない場合に必要です。
monitor>gateway <gateway_ip_address>
-
ロードする TFTP サーバ上のファイルの名前を入力します。 これは PIX のバイナリ イメージのファイル名です。
monitor>file <filename>
-
PIX から TFTP サーバに対して PING を実行し、IP の接続性を確認します。
PING に失敗した場合は、ケーブル、PIX インターフェイスと TFTP サーバの IP アドレス、およびゲートウェイの IP アドレス(必要な場合)を再度チェックしてください。 以降のステップに進むには、PING が成功する必要があります。
monitor>ping <tftp_server_ip_address>
-
TFTP のダウンロードを開始するには、tftp と入力します。
monitor>tftp
-
PIX によってイメージが RAM にダウンロードされ、RAM が自動的にブートされます。
ブート プロセスの間、ファイル システムが現在の設定と一緒に変換されます。 ただし、作業はまだ完了していません。 ブートした後、ステップ 11 に進む前に、次の警告メッセージに注意してください。
****************************************************************** ** ** ** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** ** ** ** ** ----> Current image running from RAM only! <---- ** ** ** ** When the PIX was upgraded in Monitor mode the boot image was not ** ** written to Flash. Please issue "copy tftp: flash:" to load and ** ** save a bootable image to Flash. Failure to do so will result in ** ** a boot loop the next time the PIX is reloaded. ** ** ** ************************************************************************
-
ブートが完了したら、イネーブル モードに入り、同じイメージを PIX に再度コピーします。 今回は copy tftp flash コマンドを使用します。
この操作によって、イメージがフラッシュ ファイル システムに保存されます。 このステップを行わないと、次に PIX がリロードしたときに、ブート時にループに陥ります。
pixfirewall>enable pixfirewall#copy tftp flash
注: copy tftp flash コマンドを使用してイメージをコピーする方法の詳細については、「copy tftp flash コマンドによる PIX セキュリティ アプライアンスのアップグレード」のセクションを参照してください。
-
copy tftp flash コマンドを使用してイメージをコピーすれば、アップグレード プロセスは完了です。
設定例 - モニタ モードからの PIX セキュリティ アプライアンスのアップグレード
monitor>interface 1
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
2: i8255X @ PCI(bus:1 dev:0 irq:11)
3: i8255X @ PCI(bus:1 dev:1 irq:11)
4: i8255X @ PCI(bus:1 dev:2 irq:11)
5: i8255X @ PCI(bus:1 dev:3 irq:11)
Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81
monitor>address 10.1.1.2
address 10.1.1.2
monitor>server 172.18.173.123
server 172.18.173.123
monitor>gateway 10.1.1.1
gateway 10.1.1.1
monitor>file pix701.bin
file pix701.bin
monitor>ping 172.18.173.123
Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor>tftp
tftp pix701.bin@172.18.173.123..........................................
Received 5124096 bytes
Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar 7 17:39:03 PST 2005
#######################################################################
128MB RAM
Total NICs found: 6
mcwa i82559 Ethernet at irq 10 MAC: 0050.54ff.4d80
mcwa i82559 Ethernet at irq 7 MAC: 0050.54ff.4d81
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2014
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2015
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2016
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2017
BIOS Flash=AT29C257 @ 0xfffd8000
Old file system detected. Attempting to save data in flash
!--- This output indicates that the Flash file
!--- system is formatted. The messages are normal.
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-10627)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-14252)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-15586)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (5589)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (4680)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-21657)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-28397)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (2198)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-26577)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (30139)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (-17027)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (-2608)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (18180)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (0)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (29271)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (0)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 61...block number was (0)
flashfs[7]: erasing block 61...done.
flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0
flashfs[7]: 9 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 15998976
flashfs[7]: Bytes used: 10240
flashfs[7]: Bytes available: 15988736
flashfs[7]: flashfs fsck took 58 seconds.
flashfs[7]: Initialization complete.
Saving the datafile
!
Saving a copy of old datafile for downgrade
!
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
The version of image file in flash is not bootable in the current version of
software.
Use the downgrade command first to boot older version of software.
The file is being saved as image_old.bin anyway.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
Erasing sector 64...[OK]
Burning sector 64...[OK]
Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs : 25
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited
This platform has an Unrestricted (UR) license.
Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
--------------------------------------------------------------------------
. .
| |
||| |||
.|| ||. .|| ||.
.:||| | |||:..:||| | |||:.
C i s c o S y s t e m s
--------------------------------------------------------------------------
Cisco PIX Security Appliance Software Version 7.0(1)
****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.
A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************
Copyright (c) 1996-2005 by Cisco Systems, Inc.
Restricted Rights Legend
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
!--- These messages are printed for any deprecated commands.
.ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 71, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 76, "floodguard enable"
Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303
!--- All current fixups are converted to the
!--- new Modular Policy Framework.
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
************************************************************************
** **
** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** **
** **
** ----> Current image running from RAM only! <---- **
** **
** When the PIX was upgraded in Monitor mode the boot image was not **
** written to Flash. Please issue "copy tftp: flash:" to load and **
** save a bootable image to Flash. Failure to do so will result in **
** a boot loop the next time the PIX is reloaded. **
** **
************************************************************************
Type help or '?' for a list of available commands.
pixfirewall>
pixfirewall>enable
Password:
<password>
pixfirewall#
pixfirewall#copy tftp flash
Address or name of remote host []? 172.18.173.123
Source filename []? pix701.bin
Destination filename [pix701.bin]?
<enter>
Accessing tftp://172.18.173.123/pix701.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file flash:/pix701.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
5124096 bytes copied in 139.790 secs (36864 bytes/sec)
pixfirewall#
copy tftp flashコマンドでPIXのセキュリティアプライアンスモデルをアップグレードして下さい
copy tftp flash コマンドを使用して PIX をアップグレードするには、次のステップを実行します。
-
PIX アプライアンスのバイナリ イメージ(たとえば pix701.bin)を TFTP サーバのルート ディレクトリにコピーします。
-
イネーブル プロンプトから、copy tftp flash コマンドを発行します。
pixfirewall>enable Password: <password> pixfirewall#copy tftp flash
-
TFTP サーバの IP アドレスを入力します。
Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
-
ロードする TFTP サーバ上のファイルの名前を入力します。 これは PIX のバイナリ イメージのファイル名です。
Source file name [cdisk]? <filename>
-
TFTP コピーを開始するというプロンプトが表示されたら、yes と入力します。
copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]?yes
-
イメージが TFTP サーバからフラッシュにコピーされます。
次のメッセージが表示されます。このメッセージは、転送が成功し、フラッシュ上の古いバイナリ イメージが消去され、新しいイメージが書き込まれてインストールされたことを示しています。
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Writing 5066808 bytes of image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Image installed pixfirewall#
-
PIX アプライアンスをリロードして、新しいイメージをブートします。
pixfirewall#reload Proceed with reload? [confirm] <enter> Rebooting....
-
この時点で、PIX は 7.0 のイメージをブートします。これでアップグレード プロセスは完了です。
設定例 - copy tftp flash コマンドによる PIX アプライアンスのアップグレード
pixfirewall#copy tftp flash Address or name of remote host [0.0.0.0]? 172.18.173.123 Source file name [cdisk]? pix701.bin copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]? yes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Writing 5066808 bytes of image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Image installed pixfirewall# pixfirewall#reload Proceed with reload? [confirm] <enter> Rebooting..ÿ CISCO SYSTEMS PIX FIREWALL Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73 Compiled by morlee 128 MB RAM PCI Device Table. Bus Dev Func VendID DevID Class Irq 00 00 00 8086 7192 Host Bridge 00 07 00 8086 7110 ISA Bridge 00 07 01 8086 7111 IDE Controller 00 07 02 8086 7112 Serial Bus 9 00 07 03 8086 7113 PCI Bridge 00 0D 00 8086 1209 Ethernet 11 00 0E 00 8086 1209 Ethernet 10 00 13 00 11D4 2F44 Unknown Device 5 Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001 Platform PIX-515E System Flash=E28F128J3 @ 0xfff00000 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 5063168 bytes of image from flash. ###################################################################### ###################################################################### 128MB RAM Total NICs found: 2 mcwa i82559 Ethernet at irq 11 MAC: 0009.4360.ed44 mcwa i82559 Ethernet at irq 10 MAC: 0009.4360.ed43 BIOS Flash=am29f400b @ 0xd8000 Old file system detected. Attempting to save data in flash !--- This output indicates that the Flash file !--- system is formatted. The messages are normal. Initializing flashfs... flashfs[7]: Checking block 0...block number was (-27642) flashfs[7]: erasing block 0...done. flashfs[7]: Checking block 1...block number was (-30053) flashfs[7]: erasing block 1...done. flashfs[7]: Checking block 2...block number was (-1220) flashfs[7]: erasing block 2...done. flashfs[7]: Checking block 3...block number was (-22934) flashfs[7]: erasing block 3...done. flashfs[7]: Checking block 4...block number was (2502) flashfs[7]: erasing block 4...done. flashfs[7]: Checking block 5...block number was (29877) flashfs[7]: erasing block 5...done. flashfs[7]: Checking block 6...block number was (-13768) flashfs[7]: erasing block 6...done. flashfs[7]: Checking block 7...block number was (9350) flashfs[7]: erasing block 7...done. flashfs[7]: Checking block 8...block number was (-18268) flashfs[7]: erasing block 8...done. flashfs[7]: Checking block 9...block number was (7921) flashfs[7]: erasing block 9...done. flashfs[7]: Checking block 10...block number was (22821) flashfs[7]: erasing block 10...done. flashfs[7]: Checking block 11...block number was (7787) flashfs[7]: erasing block 11...done. flashfs[7]: Checking block 12...block number was (15515) flashfs[7]: erasing block 12...done. flashfs[7]: Checking block 13...block number was (20019) flashfs[7]: erasing block 13...done. flashfs[7]: Checking block 14...block number was (-25094) flashfs[7]: erasing block 14...done. flashfs[7]: Checking block 15...block number was (-7515) flashfs[7]: erasing block 15...done. flashfs[7]: Checking block 16...block number was (-10699) flashfs[7]: erasing block 16...done. flashfs[7]: Checking block 17...block number was (6652) flashfs[7]: erasing block 17...done. flashfs[7]: Checking block 18...block number was (-23640) flashfs[7]: erasing block 18...done. flashfs[7]: Checking block 19...block number was (23698) flashfs[7]: erasing block 19...done. flashfs[7]: Checking block 20...block number was (-28882) flashfs[7]: erasing block 20...done. flashfs[7]: Checking block 21...block number was (2533) flashfs[7]: erasing block 21...done. flashfs[7]: Checking block 22...block number was (-966) flashfs[7]: erasing block 22...done. flashfs[7]: Checking block 23...block number was (-22888) flashfs[7]: erasing block 23...done. flashfs[7]: Checking block 24...block number was (-9762) flashfs[7]: erasing block 24...done. flashfs[7]: Checking block 25...block number was (9747) flashfs[7]: erasing block 25...done. flashfs[7]: Checking block 26...block number was (-22855) flashfs[7]: erasing block 26...done. flashfs[7]: Checking block 27...block number was (-32551) flashfs[7]: erasing block 27...done. flashfs[7]: Checking block 28...block number was (-13355) flashfs[7]: erasing block 28...done. flashfs[7]: Checking block 29...block number was (-29894) flashfs[7]: erasing block 29...done. flashfs[7]: Checking block 30...block number was (-18595) flashfs[7]: erasing block 30...done. flashfs[7]: Checking block 31...block number was (22095) flashfs[7]: erasing block 31...done. flashfs[7]: Checking block 32...block number was (1486) flashfs[7]: erasing block 32...done. flashfs[7]: Checking block 33...block number was (13559) flashfs[7]: erasing block 33...done. flashfs[7]: Checking block 34...block number was (24215) flashfs[7]: erasing block 34...done. flashfs[7]: Checking block 35...block number was (21670) flashfs[7]: erasing block 35...done. flashfs[7]: Checking block 36...block number was (-24316) flashfs[7]: erasing block 36...done. flashfs[7]: Checking block 37...block number was (29271) flashfs[7]: erasing block 37...done. flashfs[7]: Checking block 125...block number was (0) flashfs[7]: erasing block 125...done. flashfs[7]: inconsistent sector list, fileid 7, parent_fileid 0 flashfs[7]: inconsistent sector list, fileid 12, parent_fileid 0 flashfs[7]: 5 files, 3 directories flashfs[7]: 0 orphaned files, 0 orphaned directories flashfs[7]: Total bytes: 16128000 flashfs[7]: Bytes used: 5128192 flashfs[7]: Bytes available: 10999808 flashfs[7]: flashfs fsck took 59 seconds. flashfs[7]: Initialization complete. Saving the configuration ! Saving a copy of old configuration as downgrade.cfg ! Saved the activation key from the flash image Saved the default firewall mode (single) to flash Saving image file as image.bin !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Upgrade process complete Need to burn loader.... Erasing sector 0...[OK] Burning sector 0...[OK] Licensed features for this platform: Maximum Physical Interfaces : 6 Maximum VLANs : 25 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Cut-through Proxy : Enabled Guards : Enabled URL Filtering : Enabled Security Contexts : 2 GTP/GPRS : Disabled VPN Peers : Unlimited This platform has an Unrestricted (UR) license. Encryption hardware device : VAC (IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5) -------------------------------------------------------------------------- . . | | ||| ||| .|| ||. .|| ||. .:||| | |||:..:||| | |||:. C i s c o S y s t e m s -------------------------------------------------------------------------- Cisco PIX Security Appliance Software Version 7.0(1) ****************************** Warning ******************************* This product contains cryptographic features and is subject to United States and local country laws governing, import, export, transfer, and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute, or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return the enclosed items immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. ******************************* Warning ******************************* Copyright (c) 1996-2005 by Cisco Systems, Inc. Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. Cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 !--- These messages are printed for any deprecated commands. ERROR: This command is no longer needed. The LOCAL user database is always enabled. *** Output from config line 50, "aaa-server LOCAL protoco..." ERROR: This command is no longer needed. The 'floodguard' feature is always enabled. *** Output from config line 55, "floodguard enable" Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 !--- All current fixups are converted to the new Modular Policy Framework. INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands INFO: converting 'fixup protocol ftp 21' to MPF commands INFO: converting 'fixup protocol h323_h225 1720' to MPF commands INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands INFO: converting 'fixup protocol http 80' to MPF commands INFO: converting 'fixup protocol netbios 137-138' to MPF commands INFO: converting 'fixup protocol rsh 514' to MPF commands INFO: converting 'fixup protocol rtsp 554' to MPF commands INFO: converting 'fixup protocol sip 5060' to MPF commands INFO: converting 'fixup protocol skinny 2000' to MPF commands INFO: converting 'fixup protocol smtp 25' to MPF commands INFO: converting 'fixup protocol sqlnet 1521' to MPF commands INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands INFO: converting 'fixup protocol tftp 69' to MPF commands INFO: converting 'fixup protocol sip udp 5060' to MPF commands INFO: converting 'fixup protocol xdmcp 177' to MPF commands Type help or '?' for a list of available commands. pixfirewall>
注: 制限のないライセンスを使用すると、PIX 515 E は最大 8 個の VLAN を持つことができ、PIX 535 は最大 25 個の VLAN を持つことができます。
PIX 7.xからの6.xへのダウングレード
PIX セキュリティ アプライアンス バージョン 7.0 以降では、以前の PIX バージョンとは異なるフラッシュ ファイルのフォーマットを使用します。 したがって、7.0 のイメージから 6.x のイメージに copy tftp flash コマンドを使用してダウングレードすることはできません。 代わりに downgrade コマンドを使用する必要があります。 この手順に従わないと、PIX がブート時にループに陥ります。
PIXが最初にアップグレードされたときに、6.x startup-configurationはdowngrade.cfgとしてフラッシュするで保存されました。 このダウングレードの手順に従うとき、この設定はデバイスにダウングレードとき復元されます。 この設定はコマンドをより多くのフラッシュする発行するとダウングレード前に検討することができます: 7.0のenable>のプロンプトからのdowngrade.cfg。 PIXがモニタモードによってアップグレードされたらさらに、そして前の6.xバイナリイメージまだimage_old.binとしてフラッシュするで保存されます。 show flashを発行するとこのイメージがあることを確認できます: コマンドを実行してください。 イメージがフラッシュ上にある場合は、この手順のステップ 1 で TFTP サーバからイメージをロードする代わりに、このイメージを使用できます。
PIX セキュリティ アプライアンスをダウングレードするには、次のステップを実行します。
-
downgrade コマンドを入力して、ダウングレードするイメージの場所を指定します。
pixfirewall#downgrade tftp://<tftp_server_ip_address>/<filename>
注: PIX をモニタ モードからアップグレードした場合は、古いバイナリ イメージはまだフラッシュに保存されています。 そのイメージにダウングレードする場合は、次のコマンドを発行します。
pixfirewall#downgrade flash:/image_old.bin
-
フラッシュがフォーマットされようとしていることを警告するメッセージが表示されます。 継続する場合は Enter キーを押します。
This command will reformat the flash and automatically reboot the system. Do you wish to continue? [confirm] <enter>
-
イメージが RAM にコピーされます。また、スタートアップ コンフィギュレーションも RAM にコピーされます。
Buffering image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Buffering startup config All items have been buffered successfully
-
フラッシュのフォーマットを開始することを示す 2 番目の警告メッセージが表示されます。 このプロセスを中断しないでください。中断するとフラッシュが破損する場合があります。 フォーマットを継続する場合は Enter キーを押します。
If the flash reformat is interrupted or fails, data in flash will be lost and the system might drop to monitor mode. Do you wish to continue? [confirm] <enter>
-
フラッシュがフォーマットされ、古いイメージがインストールされ、PIX がリブートします。
Acquiring exclusive access to flash Installing the correct file system for the image and saving the buffered data !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Flash downgrade succeeded Rebooting....
-
PIX がブートし、通常のプロンプトが表示されます。 これでダウングレード プロセスは完了です。
設定例 - PIX 7.x から 6.x へのダウングレード
pixfirewall#downgrade tftp://172.18.108.26/pix634.bin This command will reformat the flash and automatically reboot the system. Do you wish to continue? [confirm] <enter> Buffering image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Buffering startup config All items have been buffered successfully. If the flash reformat is interrupted or fails, data in flash will be lost and the system might drop to monitor mode. Do you wish to continue? [confirm] Acquiring exclusive access to flash Installing the correct file system for the image and saving the buffered data !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Flash downgrade succeeded Rebooting.... CISCO SYSTEMS PIX FIREWALL Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73 Compiled by morlee 128 MB RAM PCI Device Table. Bus Dev Func VendID DevID Class Irq 00 00 00 8086 7192 Host Bridge 00 07 00 8086 7110 ISA Bridge 00 07 01 8086 7111 IDE Controller 00 07 02 8086 7112 Serial Bus 9 00 07 03 8086 7113 PCI Bridge 00 0D 00 8086 1209 Ethernet 11 00 0E 00 8086 1209 Ethernet 10 00 13 00 11D4 2F44 Unknown Device 5 Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001 Platform PIX-515E System Flash=E28F128J3 @ 0xfff00000 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 1962496 bytes of image from flash. ################################################################################# ############################## 128MB RAM mcwa i82559 Ethernet at irq 11 MAC: 0009.4360.ed44 mcwa i82559 Ethernet at irq 10 MAC: 0009.4360.ed43 System Flash=E28F128J3 @ 0xfff00000 BIOS Flash=am29f400b @ 0xd8000 IRE2141 with 2048KB ----------------------------------------------------------------------- || || || || |||| |||| ..:||||||:..:||||||:.. c i s c o S y s t e m s Private Internet eXchange ----------------------------------------------------------------------- Cisco PIX Firewall Cisco PIX Firewall Version 6.3(4) Licensed Features: Failover: Enabled VPN-DES: Enabled VPN-3DES-AES: Enabled Maximum Physical Interfaces: 6 Maximum Interfaces: 10 Cut-through Proxy: Enabled Guards: Enabled URL-filtering: Enabled Inside Hosts: Unlimited Throughput: Unlimited IKE peers: Unlimited This PIX has an Unrestricted (UR) license. ****************************** Warning ******************************* Compliance with U.S. Export Laws and Regulations - Encryption. This product performs encryption and is regulated for export by the U.S. Government. This product is not authorized for use by persons located outside the United States and Canada that do not have prior approval from Cisco Systems, Inc. or the U.S. Government. This product may not be exported outside the U.S. and Canada either by physical or electronic means without PRIOR approval of Cisco Systems, Inc. or the U.S. Government. Persons outside the U.S. and Canada may not re-export, resell or transfer this product by either physical or electronic means without prior approval of Cisco Systems, Inc. or the U.S. Government. ******************************* Warning ******************************* Copyright (c) 1996-2003 by Cisco Systems, Inc. Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. Cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 Type help or '?' for a list of available commands. pixfirewall>
フェールオーバーの設定での PIX アプライアンスのアップグレード
PIX アプライアンス 6.x から 7.x へのアップグレードは、大きなアップグレードです。 PIX にフェールオーバーの設定がされていても、ダウンタイムなしで実行することはできません。 フェールオーバーのコマンドの多くは、アップグレードによって変わります。 推奨するアップグレード パスとしては、まずフェールオーバー設定のいずれかの PIX の電源をオフにします。 次に、このドキュメントの説明に従って、電源がオンの状態の PIX をアップグレードします。 アップグレードが完了したら、トラフィックが通過していることを確認します。また、PIX を一度リブートして、問題なく復帰することを確認します。 すべてが正しく動作することを確認したら、新しくアップグレードした PIX の電源をオフにして、もう一方の PIX の電源をオンにします。 このドキュメントの説明に従って、その PIX をアップグレードします。 アップグレードが完了したら、トラフィックが通過していることを確認します。 また、PIX を一度リブートして、問題なく復帰することを確認します。 すべてが正しく動作することを確認したら、もう一方の PIX の電源をオンにします。 PIXは両方とも7.xに今アップグレードされ、動力を与えられます。 show failover コマンドを使用して、フェールオーバーの通信が正しく確立していることを確認します。
注: 現在 PIX では、データ トラフィックを通過させるインターフェイスは、LAN フェールオーバー インターフェイス、あるいはステートフル フェールオーバー インターフェイスとしては使用できないという制限があります。 現在の PIX の設定に、通常のデータ トラフィックと一緒に LAN フェールオーバー情報やステートフル情報を通過させる共有インターフェイスが含まれている場合は、アップグレードすると、データ トラフィックはこのインターフェイスを通過できなくなります。 このインターフェイスに関連付けられているコマンドも実行できなくなります。
Adaptive Security Device Manager(ASDM)のインストール
シスコでは、ASDM をインストールする前に、インストールしようとしているバージョンのリリース ノートを読まれることを推奨しています。 リリース ノートには、サポートされている最低限必要なブラウザや Java のバージョン、サポートされている新しい機能や公開されている注意事項のリストが記載されています。
ASDM のインストール手順は、バージョン 7.0 では以前の手順とわずかに異なります。 また、ASDM イメージがフラッシュへコピーされたら、PIX がこれを使用するように、設定で指定する必要があります。 ASDM イメージをフラッシュにインストールするには、次のステップを実行します。
-
ASDMのイメージ(登録ユーザのみ)をCisco.comからダウンロードし、TFTPサーバのルートディレクトリにそれを置いて下さい。
-
PIX から TFTP サーバへの IP 接続が確立されていることを確認します。 これを行うには、TFTP サーバから PIX に PING を実行します。
-
イネーブル プロンプトから、copy tftp flash コマンドを発行します。
pixfirewall>enable Password: <password> pixfirewall#copy tftp flash
-
TFTP サーバの IP アドレスを入力します。
Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
-
ロードする TFTP サーバ上の ASDM ファイルの名前を入力します。
Source file name [cdisk]? <filename>
-
フラッシュに保存する ASDM ファイルの名前を入力します。 同じファイル名のままにするには、Enter キーを押します。
Destination filename [asdm-501.bin]? <enter>
-
イメージが TFTP サーバからフラッシュにコピーされます。 転送に成功したことを示す次のメッセージが表示されます。
Accessing tftp://172.18.173.123/asdm-501.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!! Writing file flash:/asdm-501.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!! 5880016 bytes copied in 140.710 secs (42000 bytes/sec)
-
ASDMのイメージがコピーされた後、asdmのイメージのフラッシュするを発行して下さい: コマンドASDMのイメージを使用するために指定するため。
pixfirewall(config)#asdm image flash:asdm-501.bin
-
write memory コマンドを発行して、設定をフラッシュに保存します。
pixfirewall(config)#write memory
-
これで ASDM のインストール プロセスは完了です。
トラブルシューティング
|
症状 |
解決策 |
|---|---|
|
PIX のアップグレードに copy tftp flash 方式を使用した後リブートすると、次のようなリブートのループ状態になる。 Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 5063168 bytes of image from flash. |
BIOS バージョンが 4.2 より前の PIX アプライアンスは、copy tftp flash コマンドを使用する方法でアップグレードすることはできません。 このような装置はモニタ モードを使用する方法でアップグレードする必要があります。 |
|
PIX で 7.0 を実行した後、リブートすると、次のようなリブートのループの状態になる。 Rebooting.... Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 115200 bytes of image from flash. PIX Flash Load Helper Initializing flashfs... flashfs[0]: 10 files, 4 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 15998976 flashfs[0]: Bytes used: 1975808 flashfs[0]: Bytes available: 14023168 flashfs[0]: Initialization complete. Unable to locate boot image configuration Booting first image in flash No bootable image in flash. Please download an image from a network server in the monitor mode Failed to find an image to boot |
PIX をモニタ モードから 7.0 へアップグレードしたものの、7.0 の初回ブート後に 7.0 のイメージがフラッシュに再コピーされなかった場合は、PIX がリロードされたときにリブートのループ状態になります。 解決策は、モニタ モードからイメージを再度ロードすることです。 ブートアップ後、copy tftp flash コマンドを使用して、イメージをもう一度コピーする必要があります。 |
|
copy tftp flash コマンドを使用する方法でアップグレードすると、次のエラー メッセージが表示される。 pixfirewall#copy tftp flash Address or name of remote host [0.0.0.0]? 172.18.173.123 Source file name [cdisk]? pix701.bin copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]? y !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Insufficient flash space available for this request: Size info: request:5066808 current:1966136 delta:3100672 free:2752512 Image not installed pixfirewall# |
通常、このメッセージは、PIX-535 または PIX-515(E でないもの)を copy tftp flash を使用する方法でアップグレードして、PDM もこの PIX のフラッシュにロードされている場合に表示されます。 解決策は、モニタ モードでアップグレードすることです。 |
|
PIX を 6.x から 7.0 へアップグレードした後、一部の設定が正しく移行されない。 |
show startup-config errors コマンドの出力には、設定の移行中に発生したエラーが表示されます。 エラーは PIX を初めてブートした後にこの出力に表示されます。 これらのエラーを調べて、解決を試みてください。 |
|
PIXはバージョン7.xを実行し、新しいバージョンはインストールされています。 PIX のリブート時に、古いバージョンが引き続きロードされる。 |
PIXバージョン7.xでは、フラッシュするの複数の画像を保存することができます。 PIXはあらゆるboot system flashを設定を最初に見ます: コマンド。 これらのコマンドでは、PIX がブートする必要のあるイメージを指定しています。 boot system flash無し: コマンドはフラッシュするで、PIX起動します最初のブート可能なイメージをあります。 別のバージョンを起動するためには、boot system flashを使用してファイルを指定して下さい: /<filename>のコマンド。 |
|
ASDM イメージがフラッシュにロードされているが、ユーザがブラウザで ASDM をロードできない。 |
最初に、フラッシュするでロードされるASDMのファイルを指定されますasdmのイメージのフラッシュするによって確認して下さい: //<asdm_file>のコマンド。 次に、http server enable コマンドが設定にあることを確認します。 最終的には、ASDMをロードする試みがhttpの<address>の<mask>の<interface>のコマンドによって与えられるホストを確認して下さい。 |
|
FTPはアップグレードの後ではたらきません。 |
FTPの点検はアップグレードの後で有効になりませんでした。 イネーブルのFTPの点検セクションに示すように2つの方法の1つのFTPの点検を有効にして下さい。 |
FTPの点検を有効にして下さい
FTPの点検はこれら二つの方式のどちらかと有効にすることができます:
-
デフォルトかグローバルな点検ポリシーにFTPを追加して下さい。
-
それがない場合、inspection_defaultのclass-mapを作成して下さい。
PIX1#configure terminal PIX1(config)#class-map inspection_default PIX1(config-cmap)#match default-inspection-traffic PIX1(config-cmap)#exit
-
作成しか、またはglobal_policyのポリシーマップを編集し、クラスのinspection_defaultのためのFTPの点検を有効にして下さい。
PIX1(config)#policy-map global_policy PIX1(config-pmap)#class inspection_default PIX1(config-pmap-c)#inspect dns preset_dns_map PIX1(config-pmap-c)#inspect ftp PIX1(config-pmap-c)#inspect h323 h225 PIX1(config-pmap-c)#inspect h323 ras PIX1(config-pmap-c)#inspect rsh PIX1(config-pmap-c)#inspect rtsp PIX1(config-pmap-c)#inspect esmtp PIX1(config-pmap-c)#inspect sqlnet PIX1(config-pmap-c)#inspect skinny PIX1(config-pmap-c)#inspect sunrpc PIX1(config-pmap-c)#inspect xdmcp PIX1(config-pmap-c)#inspect sip PIX1(config-pmap-c)#inspect netbios PIX1(config-pmap-c)#inspect tftp
-
global_policyをグローバルに有効にして下さい。
PIX1(config)#service-policy global_policy global
-
-
別途の点検ポリシーの作成によってFTPを有効にして下さい。
PIX1#configure terminal PIX1(config)#class-map ftp-traffic !--- Matches the FTP data traffic. PIX1(config-cmap)#match port tcp eq ftp PIX1(config-cmap)#exit PIX1(config)#policy-map ftp-policy PIX1(config-pmap)#class ftp-traffic !--- Inspection for the FTP traffic is enabled. PIX1(config-pmap-c)#inspect ftp PIX1(config-pmap)#exit PIX1(config)#exit !--- Applies the FTP inspection globally. PIX1(config)#service-policy ftp-policy global
有効なサービス契約を得て下さい
PIX Softwareをダウンロードするために有効なサービス契約を持たなければなりません。 サービス契約を得るためには、これらのステップを実行して下さい:
-
直接購買契約を結んでいる場合、Cisco の営業担当チームに連絡します。
-
Cisco のパートナーまたは代理店に連絡して、サービス契約を購入します。
-
Cisco.comのプロファイルをアップデートし、サービス契約にアソシエーションを要求するためにプロファイルのマネージャを使用して下さい。
NetPro ディスカッション フォーラム:特集対話
| NetPro ディスカッション フォーラム:セキュリティに関する特集対話 |
| セキュリティ: 侵入検知(システム) |
| セキュリティ: AAA |
| セキュリティ: 一般的なトピック |
| セキュリティ: ファイアウォール |
関連情報
- サポート ページ:PIX セキュリティ アプライアンス
- PIX ファイアウォールに関するドキュメント(英語)
- PIX コマンド リファレンス
-
Requests for Comments (RFC)
- Cisco Secure PIX Firewall に関する FAQ
- テクニカルサポート&ドキュメンテーション - シスコシステムズ