| 機械翻訳のご利用について |
| 機械翻訳版 - September 26, 2008 |
| 英語版 - September 26, 2008 |
| Document ID: 91976 |
目次
概要
前提条件
ハードウェアとソフトウェアの要件
使用するコンポーネント
表記法
マニュアル設定の変換
7.xにPIXソフトウェアバージョンをアップグレードして下さい
CiscoのPIX Software 7.0からCisco ASAのフォーマットにインターフェイス名を変換して下さい
PIXからASAに設定をコピーして下さい
ASAのソフトウェアバージョン7.xにPIX Softwareのバージョン6.xの設定を適用して下さい
-マニュアル設定の変換を解決して下さい
再度ブートするのループでスタックしているデバイス
エラー メッセージ
設定は正しくないようではないです
FTPのようないくつかのサービスははたらきません
NetPro ディスカッション フォーラム:特集対話
関連情報
概要
この資料にPIX 500のシリーズのセキュリティアプライアンスモデル移行する方法をからASAの5500シリーズの適応性があるセキュリティアプライアンスモデルに説明されています。
注: PIX 501、PIX 506およびPIX 506Eは支援ソフトウェアのバージョン7。
ASAの設定にPIXの設定を変換する2つの方法があります
-
ツール助けられた変換
-
手動変換
基づく自動ツールは/変換をツール助けました
CiscoはASAのコンフィギュレーションにPIXのコンフィギュレーションを変換するためにツール助けられた変換を使用することを推奨します。
ツール助けられた変換法は複数の変換をする場合ファーストおよびより拡張が容易です。 ただし、中間設定のプロセスの出力は古い構文および新しい構文が両方含まれています。 この方式はターゲットの適応性があるセキュリティアプライアンスモデルの中間設定のインストールに変換を完了するために頼ります。 それがターゲットデバイスでインストールされているまで、最終コンフィギュレーションを表示できません。
注: CiscoはASAの移行のツールに新しいASA機器への移行のプロセスの自動化を助けるためにPIXをリリースしました。 このツールはPIX Softwareのダウンロードサイトからダウンロードすることができます。 詳細についてはASAの5500シリーズの適応性があるセキュリティアプライアンスモデルへPIX 500のシリーズのセキュリティアプライアンスモデルの設定を移行することを参照して下さい。
前提条件
ハードウェアとソフトウェアの要件
バージョン7.0にPIX 515、515E、525を、535アップグレードできます。
バージョン7.xにアップグレード・プロセスを開始する前に、CiscoはPIXがバージョン6.2またはそれ以降を実行することを推奨します。 これによって、現在の設定が正しく変換されるようになります。 さらに、これらのハードウェア要件は最小RAMの要件のために満たす必要があります:
|
PIX モデル |
RAM の要件 |
|
|---|---|---|
|
制限あり(R) |
制限なし(UR)/フェールオーバーのみ(FO) |
|
|
PIX-515 |
64 MB* |
128 MB* |
|
PIX-515 E |
64 MB* |
128 MB* |
|
PIX-525 |
128 MB |
256 MB |
|
PIX-535 |
512 MB |
1 GB |
現在PIXでインストールされるRAMの量を判別するためにshow versionコマンドを発行して下さい。
注: PIX 515および515Eソフトウェアアップグレードはメモリアップグレードをまた必要とすることができます:
-
メモリの制限付きライセンスおよび32 MBとのそれらはメモリの64 MBにアップグレードする必要があります。
-
メモリの制限されていないライセンスおよび64 MBとのそれらはメモリの128 MBにアップグレードする必要があります。
これらのアプライアンスでメモリをアップグレードするには、次の表で必要な部品番号を確認してください。
|
現在のアプライアンスの設定 |
アップグレード ソリューション |
||
|---|---|---|---|
|
プラットフォームのライセンス |
合計メモリ(アップグレード前) |
部品番号 |
合計メモリ(アップグレード後) |
|
制限あり(R) |
32 MB |
PIX-515-MEM-32= |
64 MB |
|
制限なし(UR) |
32 MB |
PIX-515-MEM-128= |
128 MB |
|
フェールオーバーのみ(FO) |
64 MB |
PIX-515-MEM-128= |
128 MB |
注: PIXでインストールされる部品番号はライセンスに左右されます。
7.xへのソフトウェアのバージョン6.xのアップグレードはシームレス、が手動作業を必要とします、始める前にこれらのステップは完了する必要があります:
-
持っています現在のコンフィギュレーションでコンジットか発信またはapplyコマンド確認しないで下さい。 これらのコマンドは7.xでもはやサポートされないし、アップグレード・プロセスはそれらを取除きます。 アップグレードを試みる前にこれらのコマンドaccess-listを変換するためにコンジットのコンバータのツールを使用して下さい。
-
PIXがポイント・ツー・ポイントトンネルプロトコル(PPTP)の接続を終えないようにして下さい。 ソフトウェアバージョン7.xは現在PPTPの終了をサポートしません。
-
アップグレード・プロセスを開始する前にPIXのVPNの接続のためのデジタル認証をコピーして下さい。
-
新しいに気づいていることを確認するためにこれらの文書を、変更し、非難しましたコマンドを読んで下さい:
-
Cisco PIXのセキュリティアプライアンスモデルのリリースノートで見つけることができるアップグレードすることを計画するソフトウェアバージョンに関するリリースノート。
-
CiscoのPIX Softwareのバージョン7.0にアップグレードするCiscoのPIX 6.2および6.3人のユーザ向けにガイドして下さい
-
-
ダウンタイムの間に移行を行うことを計画して下さい。 移行が簡単なツーステップ・プロセスであるが、7.xへのPIXのセキュリティアプライアンスモデルのアップグレードは重要な変更点、ダウンタイムを必要とします。
-
Ciscoのダウンロード(登録ユーザのみ)から7.xソフトウェアをダウンロードして下さい。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
-
ASAの5500シリーズのセキュリティアプライアンスモデル
-
PIX セキュリティ アプライアンス 515、515E、525、および 535
-
PIXソフトウェアバージョン6.3、7.0
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
マニュアル設定の変換
手動変換プロセスによって、テキストエディタを1行毎設定を通過し、PIX特定のコマンドASAコマンドを変換するのに使用します。
ASAの設定へのPIXの設定の手動変換は変換プロセスのほとんどの制御を与えます。 ただし、プロセスは複数の変換を作る必要がある場合時間のかかり、よく拡張されません。
この3つのステップはPIXからASAに移行するために完了する必要があります:
-
7.x.にPIXソフトウェアバージョンをアップグレードして下さい。
-
CiscoのPIX Software 7.0からCisco ASAのフォーマットにインターフェイス名を変換して下さい。
-
Cisco ASA 5500にPIX Software 7.0の設定をコピーして下さい。
7.xにPIXソフトウェアバージョンをアップグレードして下さい
実際のアップグレード・プロセスを開始する前に、これらのステップを完了して下さい:
-
show running-configを発行しますか、またはテキストファイルかTFTPサーバにPIXの現在のコンフィギュレーションを保存するためにnetコマンドを書いて下さい。
-
RAMのような要件を、確認するためにshow versionコマンドを発行して下さい。 また、このコマンドの出力をテキストファイル保存して下さい。 コードのより古いバージョンに戻る必要がある場合可能性としてはオリジナルのアクティベーション・キーを必要とすることができます。
PIXに以前の基本的な入出力システム(BIOS)バージョンが4.2あるかまたはまたは既にインストールされるPDMのPIX 535 PIX 515をアップグレードすることを計画すればcopy tftp flashの方式のの代りにモニタモードのアップグレード手順を完了して下さい。 バイオスのバージョンを表示するために、接続したコンソールケーブルが付いているPIXを、および読み込みますブートでメッセージをリブートします。
バイオスのバージョンはメッセージに、リストされています(以下を参照):
Rebooting.... CISCO SYSTEMS PIX FIREWALL Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73 Compiled by morlee 64 MB RAM
注: 6.xコマンドはアップグレードの間に7.xコマンドに自動的に変換されます。 コマンドの自動変換は設定への変更という結果に終ります。 自動変更は満足であることを確認するために7.xソフトウェアが起動した後コンフィギュレーション変更を調べる必要があります。 それから、再度次にセキュリティアプライアンスモデルが起動することをシステムが設定を変換しないようにするためにフラッシュ・メモリに設定を保存して下さい。
注: システムが7.xにアップグレードされた後、7.xソフトウェア・イメージを破損し、モニタモードからのシステムを再始動するように要求するのでソフトウェアのバージョン6.x npのディスクユーティリティを、パスワードの回復のような使用しないことは重要です。 それによりまた以前のコンフィギュレーション、セキュリティカーネルおよび鍵情報を失います場合があります。
copy tftp flashコマンドでPIXのセキュリティアプライアンスモデルをアップグレードして下さい
copy tftp flash コマンドを使用して PIX をアップグレードするには、次のステップを実行します。
-
TFTPサーバのルートディレクトリにPIX機器のバイナリイメージ、たとえば、pix701.binを、コピーして下さい。
-
イネーブル プロンプトから、copy tftp flash コマンドを発行します。
pixfirewall>enable Password: <password> pixfirewall#copy tftp flash
-
TFTP サーバの IP アドレスを入力します。
Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
-
ロードしたいと思うTFTPサーバのファイルの名前を入力して下さい。 これは PIX のバイナリ イメージのファイル名です。
Source file name [cdisk]? <filename>
-
TFTP コピーを開始するというプロンプトが表示されたら、yes と入力します。
copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]?yes
-
イメージが TFTP サーバからフラッシュにコピーされます。
次のメッセージが表示されます。このメッセージは、転送が成功し、フラッシュ上の古いバイナリ イメージが消去され、新しいイメージが書き込まれてインストールされたことを示しています。
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Writing 5066808 bytes of image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Image installed pixfirewall#
-
新しいイメージを起動するためにPIX機器をリロードして下さい。
pixfirewall#reload Proceed with reload? [confirm] <enter> Rebooting....
-
この時点で、PIX は 7.0 のイメージをブートします。これでアップグレード プロセスは完了です。
設定例 - copy tftp flash コマンドによる PIX アプライアンスのアップグレード
pixfirewall#copy tftp flash Address or name of remote host [0.0.0.0]? 172.18.173.123 Source file name [cdisk]? pix701.bin copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]? yes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Writing 5066808 bytes of image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Image installed pixfirewall# pixfirewall#reload Proceed with reload? [confirm] <enter> Rebooting..ÿ CISCO SYSTEMS PIX FIREWALL Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73 Compiled by morlee 128 MB RAM PCI Device Table. Bus Dev Func VendID DevID Class Irq 00 00 00 8086 7192 Host Bridge 00 07 00 8086 7110 ISA Bridge 00 07 01 8086 7111 IDE Controller 00 07 02 8086 7112 Serial Bus 9 00 07 03 8086 7113 PCI Bridge 00 0D 00 8086 1209 Ethernet 11 00 0E 00 8086 1209 Ethernet 10 00 13 00 11D4 2F44 Unknown Device 5 Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001 Platform PIX-515E System Flash=E28F128J3 @ 0xfff00000 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 5063168 bytes of image from flash. ###################################################################### ###################################################################### 128MB RAM Total NICs found: 2 mcwa i82559 Ethernet at irq 11 MAC: 0009.4360.ed44 mcwa i82559 Ethernet at irq 10 MAC: 0009.4360.ed43 BIOS Flash=am29f400b @ 0xd8000 Old file system detected. Attempting to save data in flash !--- This output indicates that the Flash file !--- system is formatted. The messages are normal. Initializing flashfs... flashfs[7]: Checking block 0...block number was (-27642) flashfs[7]: erasing block 0...done. flashfs[7]: Checking block 1...block number was (-30053) flashfs[7]: erasing block 1...done. flashfs[7]: Checking block 2...block number was (-1220) flashfs[7]: erasing block 2...done. flashfs[7]: Checking block 3...block number was (-22934) flashfs[7]: erasing block 3...done. flashfs[7]: Checking block 4...block number was (2502) flashfs[7]: erasing block 4...done. flashfs[7]: Checking block 5...block number was (29877) flashfs[7]: erasing block 5...done. flashfs[7]: Checking block 6...block number was (-13768) flashfs[7]: erasing block 6...done. flashfs[7]: Checking block 7...block number was (9350) flashfs[7]: erasing block 7...done. flashfs[7]: Checking block 8...block number was (-18268) flashfs[7]: erasing block 8...done. flashfs[7]: Checking block 9...block number was (7921) flashfs[7]: erasing block 9...done. flashfs[7]: Checking block 10...block number was (22821) flashfs[7]: erasing block 10...done. flashfs[7]: Checking block 11...block number was (7787) flashfs[7]: erasing block 11...done. flashfs[7]: Checking block 12...block number was (15515) flashfs[7]: erasing block 12...done. flashfs[7]: Checking block 13...block number was (20019) flashfs[7]: erasing block 13...done. flashfs[7]: Checking block 14...block number was (-25094) flashfs[7]: erasing block 14...done. flashfs[7]: Checking block 15...block number was (-7515) flashfs[7]: erasing block 15...done. flashfs[7]: Checking block 16...block number was (-10699) flashfs[7]: erasing block 16...done. flashfs[7]: Checking block 17...block number was (6652) flashfs[7]: erasing block 17...done. flashfs[7]: Checking block 18...block number was (-23640) flashfs[7]: erasing block 18...done. flashfs[7]: Checking block 19...block number was (23698) flashfs[7]: erasing block 19...done. flashfs[7]: Checking block 20...block number was (-28882) flashfs[7]: erasing block 20...done. flashfs[7]: Checking block 21...block number was (2533) flashfs[7]: erasing block 21...done. flashfs[7]: Checking block 22...block number was (-966) flashfs[7]: erasing block 22...done. flashfs[7]: Checking block 23...block number was (-22888) flashfs[7]: erasing block 23...done. flashfs[7]: Checking block 24...block number was (-9762) flashfs[7]: erasing block 24...done. flashfs[7]: Checking block 25...block number was (9747) flashfs[7]: erasing block 25...done. flashfs[7]: Checking block 26...block number was (-22855) flashfs[7]: erasing block 26...done. flashfs[7]: Checking block 27...block number was (-32551) flashfs[7]: erasing block 27...done. flashfs[7]: Checking block 28...block number was (-13355) flashfs[7]: erasing block 28...done. flashfs[7]: Checking block 29...block number was (-29894) flashfs[7]: erasing block 29...done. flashfs[7]: Checking block 30...block number was (-18595) flashfs[7]: erasing block 30...done. flashfs[7]: Checking block 31...block number was (22095) flashfs[7]: erasing block 31...done. flashfs[7]: Checking block 32...block number was (1486) flashfs[7]: erasing block 32...done. flashfs[7]: Checking block 33...block number was (13559) flashfs[7]: erasing block 33...done. flashfs[7]: Checking block 34...block number was (24215) flashfs[7]: erasing block 34...done. flashfs[7]: Checking block 35...block number was (21670) flashfs[7]: erasing block 35...done. flashfs[7]: Checking block 36...block number was (-24316) flashfs[7]: erasing block 36...done. flashfs[7]: Checking block 37...block number was (29271) flashfs[7]: erasing block 37...done. flashfs[7]: Checking block 125...block number was (0) flashfs[7]: erasing block 125...done. flashfs[7]: inconsistent sector list, fileid 7, parent_fileid 0 flashfs[7]: inconsistent sector list, fileid 12, parent_fileid 0 flashfs[7]: 5 files, 3 directories flashfs[7]: 0 orphaned files, 0 orphaned directories flashfs[7]: Total bytes: 16128000 flashfs[7]: Bytes used: 5128192 flashfs[7]: Bytes available: 10999808 flashfs[7]: flashfs fsck took 59 seconds. flashfs[7]: Initialization complete. Saving the configuration ! Saving a copy of old configuration as downgrade.cfg ! Saved the activation key from the flash image Saved the default firewall mode (single) to flash Saving image file as image.bin !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Upgrade process complete Need to burn loader.... Erasing sector 0...[OK] Burning sector 0...[OK] Licensed features for this platform: Maximum Physical Interfaces : 6 Maximum VLANs : 25 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Cut-through Proxy : Enabled Guards : Enabled URL Filtering : Enabled Security Contexts : 2 GTP/GPRS : Disabled VPN Peers : Unlimited This platform has an Unrestricted (UR) license. Encryption hardware device : VAC (IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5) -------------------------------------------------------------------------- . . | | ||| ||| .|| ||. .|| ||. .:||| | |||:..:||| | |||:. C i s c o S y s t e m s -------------------------------------------------------------------------- Cisco PIX Security Appliance Software Version 7.0(1) ****************************** Warning ******************************* This product contains cryptographic features and is subject to United States and local country laws governing, import, export, transfer, and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute, or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return the enclosed items immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. ******************************* Warning ******************************* Copyright (c) 1996-2005 by Cisco Systems, Inc. Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. Cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 !--- These messages are printed for any deprecated commands. ERROR: This command is no longer needed. The LOCAL user database is always enabled. *** Output from config line 50, "aaa-server LOCAL protoco..." ERROR: This command is no longer needed. The 'floodguard' feature is always enabled. *** Output from config line 55, "floodguard enable" Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 !--- All current fixups are converted to the new Modular Policy Framework. INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands INFO: converting 'fixup protocol ftp 21' to MPF commands INFO: converting 'fixup protocol h323_h225 1720' to MPF commands INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands INFO: converting 'fixup protocol http 80' to MPF commands INFO: converting 'fixup protocol netbios 137-138' to MPF commands INFO: converting 'fixup protocol rsh 514' to MPF commands INFO: converting 'fixup protocol rtsp 554' to MPF commands INFO: converting 'fixup protocol sip 5060' to MPF commands INFO: converting 'fixup protocol skinny 2000' to MPF commands INFO: converting 'fixup protocol smtp 25' to MPF commands INFO: converting 'fixup protocol sqlnet 1521' to MPF commands INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands INFO: converting 'fixup protocol tftp 69' to MPF commands INFO: converting 'fixup protocol sip udp 5060' to MPF commands INFO: converting 'fixup protocol xdmcp 177' to MPF commands Type help or '?' for a list of available commands. pixfirewall>
注: PIXが今7.xソフトウェアバージョンを実行することを確認するためにshow versionコマンドを発行して下さい。
注: 設定の移行の間に生じたエラーを検査するためには、show startup-configのエラーコマンドを発行して下さい。 エラーは PIX を初めてブートした後にこの出力に表示されます。
モニタ モードからの PIX セキュリティ アプライアンスのアップグレード
モニタ モードに入る
PIX でモニタ モードに入るには、次のステップを実行してください。
-
次の通信設定を使用して、コンソール ケーブルを PIX のコンソール ポートに接続します。
-
9600 bits per second
-
8 データ ビット
-
パリティなし
-
1 ストップ ビット
-
フロー制御なし
-
-
電源をオフにしてからオンにするか、PIX をリロードします。 ブートアップの間にフラッシュブートを割り込むために中断かESCを使用するためにプロンプト表示されます。 通常のブート プロセスを中断するための時間は、10 秒あります。
-
ESC キーを押すか、Break 文字を送信すると、モニタ モードに入ります。
-
Windowsハイパーターミナルを使用する場合、ESCキーを押すか、またはブレークキャラクターを送るためにCtrl+Breakを押すことができます。
-
PIXのコンソールポートにアクセスするためにターミナル・サーバを通ってTelnetで接続する場合Telnetコマンドのプロンプトに到達するためにCtrl+] (コントロール+右の角カッコ)を押す必要があります。 それから、send breakコマンドを発行して下さい。
-
-
monitor> プロンプトが表示されます。
-
「モニタ モードからの PIX のアップグレード」のセクションに進んでください。
モニタ モードからの PIX のアップグレード
モニタ モードから PIX をアップグレードするには、次のステップを実行します。
-
TFTPサーバのルートディレクトリにPIX機器のバイナリイメージ、たとえば、pix701.binを、コピーして下さい。
-
PIX でモニタ モードに入ります。 これをする方法を不確実モニタモードを開始するために見ればなら。
注: モニタモードで、「使用できますか」。 キー利用可能なオプションのリストを見るため。
-
TFTP サーバが接続されているインターフェイス番号か、TFTP サーバに最も近いインターフェイスを入力します。 デフォルトはインターフェイス 1(内部)です。
monitor>interface <num>
注: モニタ モードでは、インターフェイスはオート ネゴシエートによって速度とデュプレックスを設定します。 インターフェイスの設定はハード コードすることはできません。 従って速度のためにハードコードされているまたはデュプレックスであるPIXインターフェイスがスイッチにプラグインされたら、モニタモードになる間、オートにそれをネゴシエートします再構成して下さい。 またPIX機器がモニタモードからのギガビット・イーサネットインターフェイスを初期化できないことに、注意して下さい。 代わりに、ファースト イーサネット インターフェイスを使用する必要があります。
-
ステップ3で定義されるインターフェイスのIPアドレスを入力して下さい。
monitor>address <PIX_ip_address>
-
TFTP サーバの IP アドレスを入力します。
monitor>server <tftp_server_ip_address>
-
(オプション)ゲートウェイの IP アドレスを入力します。 ゲートウェイ アドレスは、PIX のインターフェイスが TFTP サーバと同じネットワーク上にない場合に必要です。
monitor>gateway <gateway_ip_address>
-
ロードしたいと思うTFTPサーバのファイルの名前を入力して下さい。 これは PIX のバイナリ イメージのファイル名です。
monitor>file <filename>
-
PIX から TFTP サーバに対して PING を実行し、IP の接続性を確認します。
pingが通らない場合、PIXインターフェイスおよびTFTPサーバのケーブル、IPアドレス、およびゲートウェイのIPアドレスをダブルチェックして下さい(もし必要なら)。 以降のステップに進むには、PING が成功する必要があります。
monitor>ping <tftp_server_ip_address>
-
TFTP のダウンロードを開始するには、tftp と入力します。
monitor>tftp
-
PIX によってイメージが RAM にダウンロードされ、RAM が自動的にブートされます。
ブート プロセスの間、ファイル システムが現在の設定と一緒に変換されます。 ただし、作業はまだ完了していません。 ステップ11に起動した、進む後この警告メッセージに注意して下さい:
****************************************************************** ** ** ** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** ** ** ** ** ----> Current image running from RAM only! <---- ** ** ** ** When the PIX was upgraded in Monitor mode the boot image was not ** ** written to Flash. Please issue "copy tftp: flash:" to load and ** ** save a bootable image to Flash. Failure to do so will result in ** ** a boot loop the next time the PIX is reloaded. ** ** ** ************************************************************************
-
ブートが完了したら、イネーブル モードに入り、同じイメージを PIX に再度コピーします。 今回は、copy tftp flashコマンドを発行します。
これはフラッシュ・ファイルシステムにイメージを保存します。 このステップを完了する障害はブートのループという結果に次にPIXのリロード終ります時。
pixfirewall>enable pixfirewall#copy tftp flash
注: copy tftp flash コマンドを使用してイメージをコピーする方法の詳細については、「copy tftp flash コマンドによる PIX セキュリティ アプライアンスのアップグレード」のセクションを参照してください。
-
イメージがcopy tftp flashコマンドでコピーされれば、アップグレード・プロセスは完了しました。
設定例 - モニタ モードからの PIX セキュリティ アプライアンスのアップグレード
monitor>interface 1 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) 2: i8255X @ PCI(bus:1 dev:0 irq:11) 3: i8255X @ PCI(bus:1 dev:1 irq:11) 4: i8255X @ PCI(bus:1 dev:2 irq:11) 5: i8255X @ PCI(bus:1 dev:3 irq:11) Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81 monitor>address 10.1.1.2 address 10.1.1.2 monitor>server 172.18.173.123 server 172.18.173.123 monitor>gateway 10.1.1.1 gateway 10.1.1.1 monitor>file pix701.bin file pix701.bin monitor>ping 172.18.173.123 Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds: !!!!! Success rate is 100 percent (5/5) monitor>tftp tftp pix701.bin@172.18.173.123.......................................... Received 5124096 bytes Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar 7 17:39:03 PST 2005 ####################################################################### 128MB RAM Total NICs found: 6 mcwa i82559 Ethernet at irq 10 MAC: 0050.54ff.4d80 mcwa i82559 Ethernet at irq 7 MAC: 0050.54ff.4d81 mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2014 mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2015 mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2016 mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2017 BIOS Flash=AT29C257 @ 0xfffd8000 Old file system detected. Attempting to save data in flash !--- This output indicates that the Flash file !--- system is formatted. The messages are normal. Initializing flashfs... flashfs[7]: Checking block 0...block number was (-10627) flashfs[7]: erasing block 0...done. flashfs[7]: Checking block 1...block number was (-14252) flashfs[7]: erasing block 1...done. flashfs[7]: Checking block 2...block number was (-15586) flashfs[7]: erasing block 2...done. flashfs[7]: Checking block 3...block number was (5589) flashfs[7]: erasing block 3...done. flashfs[7]: Checking block 4...block number was (4680) flashfs[7]: erasing block 4...done. flashfs[7]: Checking block 5...block number was (-21657) flashfs[7]: erasing block 5...done. flashfs[7]: Checking block 6...block number was (-28397) flashfs[7]: erasing block 6...done. flashfs[7]: Checking block 7...block number was (2198) flashfs[7]: erasing block 7...done. flashfs[7]: Checking block 8...block number was (-26577) flashfs[7]: erasing block 8...done. flashfs[7]: Checking block 9...block number was (30139) flashfs[7]: erasing block 9...done. flashfs[7]: Checking block 10...block number was (-17027) flashfs[7]: erasing block 10...done. flashfs[7]: Checking block 11...block number was (-2608) flashfs[7]: erasing block 11...done. flashfs[7]: Checking block 12...block number was (18180) flashfs[7]: erasing block 12...done. flashfs[7]: Checking block 13...block number was (0) flashfs[7]: erasing block 13...done. flashfs[7]: Checking block 14...block number was (29271) flashfs[7]: erasing block 14...done. flashfs[7]: Checking block 15...block number was (0) flashfs[7]: erasing block 15...done. flashfs[7]: Checking block 61...block number was (0) flashfs[7]: erasing block 61...done. flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0 flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0 flashfs[7]: 9 files, 3 directories flashfs[7]: 0 orphaned files, 0 orphaned directories flashfs[7]: Total bytes: 15998976 flashfs[7]: Bytes used: 10240 flashfs[7]: Bytes available: 15988736 flashfs[7]: flashfs fsck took 58 seconds. flashfs[7]: Initialization complete. Saving the datafile ! Saving a copy of old datafile for downgrade ! Saving the configuration ! Saving a copy of old configuration as downgrade.cfg ! Saved the activation key from the flash image Saved the default firewall mode (single) to flash The version of image file in flash is not bootable in the current version of software. Use the downgrade command first to boot older version of software. The file is being saved as image_old.bin anyway. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Upgrade process complete Need to burn loader.... Erasing sector 0...[OK] Burning sector 0...[OK] Erasing sector 64...[OK] Burning sector 64...[OK] Licensed features for this platform: Maximum Physical Interfaces : 6 Maximum VLANs : 25 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Cut-through Proxy : Enabled Guards : Enabled URL Filtering : Enabled Security Contexts : 2 GTP/GPRS : Disabled VPN Peers : Unlimited This platform has an Unrestricted (UR) license. Encryption hardware device : VAC+ (Crypto5823 revision 0x1) -------------------------------------------------------------------------- . . | | ||| ||| .|| ||. .|| ||. .:||| | |||:..:||| | |||:. C i s c o S y s t e m s -------------------------------------------------------------------------- Cisco PIX Security Appliance Software Version 7.0(1) ****************************** Warning ******************************* This product contains cryptographic features and is subject to United States and local country laws governing, import, export, transfer, and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute, or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return the enclosed items immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. ******************************* Warning ******************************* Copyright (c) 1996-2005 by Cisco Systems, Inc. Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. Cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 !--- These messages are printed for any deprecated commands. .ERROR: This command is no longer needed. The LOCAL user database is always enabled. *** Output from config line 71, "aaa-server LOCAL protoco..." ERROR: This command is no longer needed. The 'floodguard' feature is always enabled. *** Output from config line 76, "floodguard enable" Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303 !--- All current fixups are converted to the !--- new Modular Policy Framework. INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands INFO: converting 'fixup protocol ftp 21' to MPF commands INFO: converting 'fixup protocol h323_h225 1720' to MPF commands INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands INFO: converting 'fixup protocol http 80' to MPF commands INFO: converting 'fixup protocol ils 389' to MPF commands INFO: converting 'fixup protocol netbios 137-138' to MPF commands INFO: converting 'fixup protocol rsh 514' to MPF commands INFO: converting 'fixup protocol rtsp 554' to MPF commands INFO: converting 'fixup protocol sip 5060' to MPF commands INFO: converting 'fixup protocol skinny 2000' to MPF commands INFO: converting 'fixup protocol smtp 25' to MPF commands INFO: converting 'fixup protocol sqlnet 1521' to MPF commands INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands INFO: converting 'fixup protocol tftp 69' to MPF commands INFO: converting 'fixup protocol sip udp 5060' to MPF commands INFO: converting 'fixup protocol xdmcp 177' to MPF commands ************************************************************************ ** ** ** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** ** ** ** ** ----> Current image running from RAM only! <---- ** ** ** ** When the PIX was upgraded in Monitor mode the boot image was not ** ** written to Flash. Please issue "copy tftp: flash:" to load and ** ** save a bootable image to Flash. Failure to do so will result in ** ** a boot loop the next time the PIX is reloaded. ** ** ** ************************************************************************ Type help or '?' for a list of available commands. pixfirewall> pixfirewall>enable Password: <password> pixfirewall# pixfirewall#copy tftp flash Address or name of remote host []? 172.18.173.123 Source filename []? pix701.bin Destination filename [pix701.bin]? <enter> Accessing tftp://172.18.173.123/pix701.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Writing file flash:/pix701.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 5124096 bytes copied in 139.790 secs (36864 bytes/sec) pixfirewall#
CiscoのPIX Software 7.0からCisco ASAのフォーマットにインターフェイス名を変換して下さい
プロセスの次のステップはオフ・ラインで最近変換されたCiscoのPIX Softwareの7.0ベースの設定を書き換えることです。
Cisco ASAのインターフェイスの命名規則がCisco PIXのセキュリティアプライアンスモデルと異なっているので、Cisco ASAの5500シリーズのセキュリティアプライアンスモデルにそれをコピーするか、またはアップロードする前にCisco PIXの設定で変更を行なう必要があります。
PIXの設定でインターフェイス名の名義変更を行なうためにこれらのステップを完了して下さい:
-
Ciscoの新しいPIX Softwareの7.0ベースの設定をオフ・ラインでコピーして下さい。 これをするためには、設定をTFTP/のFTPサーバにアップロードしますか、またはコンソールセッションからテキストエディタに設定をコピーして下さい。
TFTP/のFTPサーバにPIXの設定を、コンソールからアップロードすることは、このコマンドを発行します:
copy startup−config tftp://n.n.n.n/PIX7cfg.txt or copy startup−config ftp://n.n.n.n/PIX7cfg.txt -
CiscoのPIX Softwareの7.0ベースのコンフィギュレーション・ファイルがTFTP/のFTPサーバに正常に(またはテキストエディタに貼り付けられますか、またはコピーされます)アップロードしたら、PIXの設定のインターフェイス名を変更するためにNotepadかワードパッドまたは好みのテキストエディタ開いて下さい。
0からの位置かスロットに基づくn. Cisco ASAの5500シリーズのセキュリティアプライアンスモデルのナンバーインターフェイスへのCisco PIXのセキュリティアプライアンスモデルのナンバーインターフェイス。 組み込みインターフェイスは0/0から0/3まで番号が付いて、マネージメントインターフェイスは管理0/0です。 4GE SSMのモジュールのインターフェイスは1/0から1/3.まで番号が付いています。
7.0を実行する基礎ライセンスのCisco ASA 5510に3つのファーストイーサネットポート(利用可能な管理0/0インターフェイスと0/0が〜 0/2)あります。 ライセンスとセキュリティのCisco ASA 5510に利用可能な5つのファーストイーサネット・インターフェイスがすべてあります。 Cisco ASA 5520および5540に4ギガビットイーサネットポートおよび1つのファースト・イーサネットのマネージメントポートがあります。 Cisco ASA 5550に8ギガビットイーサネットポートおよび1つのファーストイーサネットポートがあります。
ASAのインターフェイスのフォーマットにPIXの設定のインターフェイス名を変更して下さい。
例:
Ethernet0 ==> Ethernet0/0 Ethernet1 ==> Ethernet0/1 GigabitEthernet0 ==> GigabitEthernet0/0
Ciscoセキュリティ機器のコマンドライン設定のガイド、詳細についてはバージョン7.0の設定のインターフェイスのパラメータのセクションを参照して下さい。
PIXからASAに設定をコピーして下さい
この時点で、インターフェイス名を用いる7.0ベースの設定がコピーされるか、またはCisco ASAに5500シリーズをアップロードされること準備ができた修正したCiscoのPIX Softwareを有します。 Cisco ASAの5500シリーズ機器にCiscoのPIX Softwareの7.0ベースの設定をロードする2つの方法があります。
方式1のステップを完了して下さい: 手動コピーかペーストまたは方式2: TFTP/FTPからのダウンロード。
方式1: 手動コピーかペースト
設定をコピーを通してコピーしますか、またはPIXコンソールからの方式を貼り付けて下さい:
-
修正されたCiscoのPIX Software 7.0の設定を貼り付ける前にCisco ASAに5500シリーズにコンソールによってログインし、設定を削除するためにclear config allコマンドを発行して下さい。
ASA#config t ASA(config)#clear config all
-
設定をASAのコンソールにコピーアンドペーストし、設定を保存して下さい。
注: テストし始める前にすべてのインターフェイスがno shutdownの州にあることを確かめて下さい。
方式2: TFTP/FTPからのダウンロード
第2方式はTFTP/のFTPサーバからCiscoのPIX Softwareの7.0ベースの設定をダウンロードすることです。 このステップに関しては、TFTP/FTPのダウンロードのためのCisco ASAの5500シリーズ機器のマネージメントインターフェイスを設定する必要があります:
-
ASAのコンソールから、これを発行して下さい:
ASA#config t ASA(config)#interface management 0 ASA(config)#nameif management ASA(config)#ip add <n.n.n.n> <netmask> ASA(config)#no shut
注: (オプションのの)ルート管理<ip>の<mask>の<next-hop>
-
マネージメントインターフェイスが確立するなら、ASAにPIXの設定をダウンロードできます:
ASA(Config)#copy tftp://<n.n.n.n>/PIX7cfg.txt running-config
-
設定を保存します。
ASAのソフトウェアバージョン7.xにPIX Softwareのバージョン6.xの設定を適用して下さい
新しいASAのセキュリティアプライアンスモデルへのPIX 6.2または6.3設定の変換は手動プロセスです。 ASA/PIXの管理者がASAの構文と一致し、ASAの設定にコマンドをタイプするためにPIX 6 .xの構文を変換するために必要となります。 access-listコマンドのようないくつかのコマンドをカットアンドペーストできます。 密接にPIX 6.2を比較することを忘れないでいれば新しいASAの設定への6.3設定は変換で間違いを確認するために作成されません。
注: Output Interpreterツール(登録ユーザのみ) (OIT)は適切なaccess-listにより古いののいくつかを、サポートされていない変換するために、コマンドのような適用します、発信かコンジット使用することができます。 変換された文は完全に検討される必要があります。 変換がセキュリティポリシーと一致することを確認することは必要です。
注: 新しいASA機器へのアップグレードのためのプロセスはアップグレードと新しいPIX機器に異なっています。 PIXのプロセスのASAにアップグレードする試みはASAでいくつかのConfigurationエラーを生成します。
-マニュアル設定の変換を解決して下さい
再度ブートするのループでスタックしているデバイス
-
PIX のアップグレードに copy tftp flash 方式を使用した後リブートすると、次のようなリブートのループ状態になる。
Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 5063168 bytes of image from flash.
BIOSのバージョンのPIX機器はcopy tftp flashコマンドを使用して先により4.2アップグレードすることができません。 このような装置はモニタ モードを使用する方法でアップグレードする必要があります。
-
PIXは7.xおよびリブートを実行した後、この再度ブートするのループにはまり込みます:
Rebooting.... Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 115200 bytes of image from flash. PIX Flash Load Helper Initializing flashfs... flashfs[0]: 10 files, 4 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 15998976 flashfs[0]: Bytes used: 1975808 flashfs[0]: Bytes available: 14023168 flashfs[0]: Initialization complete. Unable to locate boot image configuration Booting first image in flash No bootable image in flash. Please download an image from a network server in the monitor mode Failed to find an image to boot
PIXがモニタモードから7.0へアップグレードされるが、7.0イメージが7.0の最初のブートの後でフラッシュするに再コピーされない場合、PIXはリロードされるとき、再度ブートするのループでスタックするようになります。
解決策は、モニタ モードからイメージを再度ロードすることです。 それが起動した後、copy tftp flashの方式を使用してイメージをもう一度コピーして下さい。
エラー メッセージ
copy tftp flash コマンドを使用する方法でアップグレードすると、次のエラー メッセージが表示される。
pixfirewall#copy tftp flash Address or name of remote host [0.0.0.0]? 172.18.173.123 Source file name [cdisk]? pix701.bin copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]? y !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Insufficient flash space available for this request: Size info: request:5066808 current:1966136 delta:3100672 free:2752512 Image not installed pixfirewall#
既にインストールされるPDMのPIX 515かPIX 535がcopy tftp flashの方式とアップグレードされるときこのメッセージが普通現れます。
モニタモード方式のアップグレードこれを解決するため。
設定は正しくないようではないです
6.xから7.xへPIXをアップグレードした後、設定のいくつかはきちんと移行しません。
show startup-config errors コマンドの出力には、設定の移行中に発生したエラーが表示されます。 エラーは PIX を初めてブートした後にこの出力に表示されます。 これらのエラーを調べて、解決を試みてください。
FTPのようないくつかのサービスははたらきません
時折、FTPのようないくつかのサービスはアップグレードの後ではたらきません。
これらのサービスのための点検はアップグレードの後で有効になりません。 適切なサービスのための点検を有効にして下さい。 これをするか、それらをデフォルトかグローバルな点検ポリシーに追加するか、または望ましいサービスのための別途の点検ポリシーを作成するため。
Ciscoセキュリティ機器のコマンドライン設定のガイド、点検ポリシーに関する詳細についてはバージョン7.0の適用のアプリケ−ションレイヤプロトコルの点検セクションを参照して下さい。
NetPro ディスカッション フォーラム:特集対話
| NetPro ディスカッション フォーラム:セキュリティに関する特集対話 |
| セキュリティ: 侵入検知(システム) |
| セキュリティ: AAA |
| セキュリティ: 一般的なトピック |
| セキュリティ: ファイアウォール |