この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この付録では、Cisco Application Control Engine(ACE)モジュールのアップグレードについて説明します。この章の内容は、次のとおりです。
• 準備作業
• ACE ソフトウェア アップグレード クイック スタート
• ACE へのソフトウェア アップグレード イメージのコピー
• ソフトウェア イメージを自動ブートするための ACE の設定
ACE は、オペレーティング システム ソフトウェアをロードした状態で納品されます。新機能や不具合の修正を利用するために、新しいバージョンのソフトウェアが使用可能になった時点で、ACE をアップグレードできます。
管理コンテキストで、EXEC モードの copy コマンドを使用して、各 ACE にソフトウェアを手動でインストールします。ソフトウェアのインストールが完了してから、ブート変数とコンフィギュレーション レジスタを設定し、ソフトウェア イメージを自動ブートします。さらに、モジュールをリロードして、新しいソフトウェア イメージをロードします。
ソフトウェアのアップグレードまたはダウングレード時に、既存のネットワーク トラフィックをできるだけ妨げることがないように、ACE モジュールを冗長構成にしてください。冗長性の詳細については、 第 6 章「冗長ACEモジュールの設定」 を参照してください。
(注) ソフトウェア バージョン A2(1.0) では、ハードウェア支援型の SSL(HTTPS)プローブが採用されています。そのため、ACE ではデフォルトの SSL バージョンに all オプションを使用し、ip address コマンドに routed オプションが指定されているかどうかに関係なく、ルーティング テーブルを使用して(実サーバ IP アドレスのバイパスが可能)、HTTPS プローブをそれぞれの宛先に送ります。A1(6.x) のコンフィギュレーションでデフォルトの SSL バージョン(SSLv3)を指定し、routed オプションを指定しないで HTTPS プローブを使用した場合、HTTPS プローブの動作はバージョン A2(1.0) の場合と異なる可能性があります。HTTPS プローブの詳細についてはについては、『Cisco Application Control Engine Module Server Load-Balancing Configuration Guide』を参照してください。
ACE ソフトウェアをアップグレードする前に、この付録を最後まで読み、アップグレード プロセス全体を十分に理解してください。必ず、ACE コンフィギュレーションが次に説明するアップグレードの前提条件を満たしているかどうかを確認してください。
• FT プライオリティおよびプリエンプトに関するコンフィギュレーションの確認
• アプリケーション プロトコル インスペクション設定のアップデート
現在アクティブの ACE がソフトウェア アップグレード後も引き続きアクティブになるようにするには、アクティブ ACE のプライオリティがスタンバイ(ピア) ACE より高く設定されていて、なおかつ preempt コマンドが設定されている必要があります。ACE の冗長構成を確認するには、 show running-config ft コマンドを使用します。 preempt コマンドはデフォルトでイネーブルになり、実行コンフィギュレーションには表示されないことに注意してください。
ACE では、各コンテキストの実行コンフィギュレーション ファイルにチェックポイントを作成することを強く推奨します。チェックポイントによってコンフィギュレーションのスナップショットが作成されるので、アップグレードで問題が発生し、旧リリースにソフトウェアをダウングレードすることになっても、あとからロールバックできます。コンフィギュレーション チェックポイントを作成する各コンテキストで、EXEC モードの checkpoint create コマンドを使用し、チェックポイントに名前を割り当てます。チェックポイント作成およびコンフィギュレーション ロールバックの詳細については、 第 4 章「ACE ソフトウェアの管理」 を参照してください。ACE のダウングレード手順については、『 Release Note for the Cisco Application Control Engine Module 』の「Downgrading Your ACE Software」を参照してください。
ACE バージョン A2(1.x) は A1(x) ソフトウェア バージョンより、アプリケーション プロトコル インスペクション設定に関するエラー チェックが厳格なので、インスペクション設定が次に示す条件を満たしているかどうかを確認してください。A2(1.x) ソフトウェアのエラー チェック プロセスでは、インスペクション分類(クラス マップ)の誤設定が許容されず、エラー メッセージが表示されます。A2(1.x) ソフトウェアのロード前に、スタートアップまたは実行コンフィギュレーション ファイルにこのような誤設定が含まれていた場合は、冗長構成のスタンバイ ACE が STANDBY_COLD ステートでブートする可能性があります。冗長性のステートについては、 第 6 章「冗長ACEモジュールの設定」 を参照してください。
インスペクション トラフィックのクラス マップが非インスペクション トラフィックも一致するように総称( match . . . any または class-default が設定されている)場合、ACE はエラー メッセージを表示し、そのインスペクション設定を受け付けません。例を示します。
次に、A2(1.x) のインスペクション設定で認められない総称クラス マップの match 文および ACL の例を示します。
• match port tcp range 0 65535
• match port udp range 0 65535
• match virtual-address 192.168.12.15 255.255.255.0 any
• match virtual-address 192.168.12.15 255.255.255.0 tcp any
• access-list acl1 line 10 extended permit ip any any
アプリケーション プロトコル インスペクションに関しては、クラス マップに具体的なプロトコル(インスペクション タイプに対応)を設定し、具体的なポートまたはポート番号の範囲を指定する必要があります。
HTTP、FTP、RTSP、Skinny、および ILS プロトコル インスペクションの場合は、設定プロトコルとして TCP が必要です。また、具体的なポートまたはポート範囲も必要です。コマンドの入力例を示します。
SIP プロトコル インスペクションの場合は、クラス マップに設定プロトコルとして TCP または UDP が必要です。また、具体的なポートまたはポート範囲も必要です。コマンドの入力例を示します。
DNS インスペクションの場合は、クラス マップに設定プロトコルとして UDP が必要です。また、具体的なポートまたはポート範囲も必要です。コマンドの入力例を示します。
ICMP プロトコル インスペクションの場合は、クラス マップに設定プロトコルとして ICMP が必要です。コマンドの入力例を示します。
表A-1 に、各 ACE 上でソフトウェアを設定するために必要な手順の概要を示します。各手順には、作業に必要な CLI コマンドまたは手順の参照が含まれています。各機能および CLI コマンドに関連するすべてのオプションの詳細については、 表A-1 の後ろに続く各項を参照してください。このクイック スタートでは、わかりやすくするために、元のアクティブ ACE を ACE-1、元のスタンバイ ACE を ACE-2 で表します。
ACE にソフトウェア イメージをコピーするには、EXEC モードから管理コンテキストで copy コマンドを使用します。下記をはじめ、さまざまなコピー元から ACE にソフトウェア イメージをコピーできます。
copy コマンドを使用すると ACE にコピーしたイメージの名前を変更できます。
copy { ftp: // server / path [ / filename ] | sftp:// [ username @ ] server / path [ / filename ] | tftp:// server [ : port ] / path [ / filename ]} image: [ name ]
• ftp:// server / path [ / filename ] -- FTP サーバ上のソフトウェア イメージの URL を指定します。このパスは、省略した場合は ACE が情報を要求するので任意です。
• sftp:// [ username @ ] server / path [ / filename ] -- セキュア FTP サーバ上のソフトウェア イメージの URL を指定します。このパスは、省略した場合は ACE が情報を要求するので任意です。
• tftp:// server [ : port ] / path [ / filename ] -- TFTP サーバ上のソフトウェア イメージの URL を指定します。このパスは、省略した場合は ACE が情報を要求するので任意です。
• image: [ name ] ACE にコピーしたソフトウェア イメージの名前を指定します。 name 引数を入力しなかった場合、ACE はこのイメージのデフォルト名を使用します。
たとえば、FTP サーバ上のイメージ c6ace-t1k9-mz.A2_1.bin を ACE にコピーする場合は、次のように入力します。
ブート変数を設定し、このイメージを自動ブートするように ACE を設定する場合は、「ソフトウェア イメージを自動ブートするための ACE の設定」を参照してください。
ACE にイメージをコピーしてから、ブート変数とコンフィギュレーション レジスタを設定することによって、イメージを自動ブートするように ACE を設定します。ブート変数では、起動時に ACE がブートするイメージを指定します。コンフィギュレーション変数を設定すると、ブート変数で定義されたイメージを自動ブートできます。
• ブート変数の設定
• ブート変数を自動ブートするためのコンフィギュレーション レジスタの設定
ブート変数およびコンフィギュレーション レジスタの詳細については、 第 1 章「ACE の設定」 を参照してください。
ブート変数を設定するには、コンフィギュレーション モードから管理コンテキストで boot system image: コマンドを使用します。このコマンドの構文は、次のとおりです。
image_name 引数は、インストールされたイメージの名前です。
boot system コマンドを使用して、2 つまでイメージを設定できます。最初のイメージで失敗した場合、ACE は 2 番めのイメージを試行します。
たとえば、ブート変数を c6ace-t1k9-mz.A2_1.bin イメージに設定する場合は、次のように入力します。
設定済みのブート変数を削除する場合は、 no boot system image: コマンドを使用して、設定済みのブート変数を設定解除します。
ブート環境変数で指定されたシステム イメージを自動ブートするように ACE を設定するには、コンフィギュレーション モードから管理コンテキストで config-register コマンドを使用し、コンフィギュレーション レジスタを 1 に設定します。
(注) config-register を 0 に設定すると、リブート時に rommon プロンプトでブートすることが ACE に指示されます。その場合、起動した ACE は ROMMON モードのままになります。
ブート変数およびコンフィギュレーション レジスタを確認するには、EXEC モードから管理コンテキストで show bootvar コマンドを使用します。入力例を示します。
インストールされたソフトウェア アップグレードを ACE に使用させるには、ACE モジュールをリロードします。ACE をリロードするには、EXEC モードから管理コンテキストで reload コマンドを使用します。このコマンドの構文は、次のとおりです。
ACE をリロードしたときに rommon モード プロンプトが表示された場合は、アップグレードまたは ACE で問題が発生しています。詳細については、「ROMMON ユーティリティから ACE を回復させる方法」を参照してください。
ACE をリロードしたときに、rommon モード プロンプトが表示された場合は、次のいずれかの問題が発生したと考えられます。
• インストールしたイメージ名を誤って入力した。この問題は、ACE にイメージが正しくインストールされていることが前提です。
• ACE のコンパクト フラッシュでハードウェア障害が発生した。
イメージ名を誤って入力した場合は、rommon プロンプトから ACE をブートし、ACE のリブート後に、ブート変数のイメージ名を修正します。詳細については、「有効なイメージ名で ROMMON から ACE をブートする方法」を参照してください。
ダウンロードしたイメージが壊れていた場合、またはコンパクト フラッシュ障害の場合は、スーパーバイザ エンジンに ACE イメージをコピーし、スーパーバイザ エンジンから ACE をブートします。詳細については、「スーパーバイザ エンジンへの ACE イメージのコピー」を参照してください。
boot system コマンドでイメージを 1 つだけ設定する場合は、ACE が正しくリロードできるように、イメージ名を正確に入力する必要があります。そうしないと、ACE のリロードを試みたときに、無効なイメージ名が使用され、リロードが失敗し、ROMMON ユーティリティが起動し、rommon モード プロンプトが表示されます。
リロードの試行後、イメージをロードできなかったことを伝える、次のようなブート メッセージが CLI に表示されます。
イメージ名が正しいかどうかを確認してください。イメージ名が正しい場合、イメージが壊れているか、コンパクト フラッシュが故障している可能性があります。このような状況で ACE をリロードする方法の詳細については、「スーパーバイザ エンジンへの ACE イメージのコピー」を参照してください。
この例では、イメージ名が間違っています。メッセージの c6ace-t1k9mz.A2_1.bin イメージは c6ace-t1k9-mz.A2_1.bin でなければなりません。
rommon モードから正しいイメージ名で ACE をブートし、ブート変数のイメージ名を修正する手順は、次のとおりです。
ステップ 1 disk0: ディレクトリにアクセスして、正しいイメージ名を表示します。
ステップ 2 ACE 上に置くブート イメージを設定します。
ステップ 3 コンフィギュレーション変数でブート イメージを確認します。
ステップ 5 ログイン プロンプトが表示されてから、ACE にログインします。
ステップ 6 管理コンテキストでコンフィギュレーション モードにアクセスし、設定済みのブート変数を設定解除します。 no boot system image: コマンドを使用します。
ステップ 7 有効なイメージ名でブート変数をリセットします。 boot system image: コマンドを使用します。
ステップ 8 ブート変数に正しいイメージ名が設定されていることを確認するために、EXEC モードから管理コンテキストで show bootvar コマンドを使用します。
壊れている ACE イメージをダウンロードした場合、または ACE のコンパクト フラッシュが故障している場合は、スーパーバイザ エンジンにコピーしたイメージから ACE をブートできます。
スーパーバイザ エンジンの CLI から、次の手順を実行します。
ステップ 1 スーパーバイザ エンジンの disk0: に ACE を copy コマンドを使用してコピーします。たとえば、TFTP サーバから disk0: に c6ace-t1k9-mz.3.0.0_A1_4.bin をコピーする場合は、次のように入力します。
ステップ 2 スーパーバイザ エンジンにイメージをコピーしたあとで、コンフィギュレーション モードを開始して、ACE のブート変数およびイメージを設定します。たとえば、ACE がスロット 3 に搭載されている場合に、コンフィギュレーション モードを開始して、ブート変数を設定する場合は、次のように入力します。
ステップ 1 boot eobc コマンドを使用して、スーパーバイザ エンジン上のイメージから ACE をブートします。
ステップ 2 ログイン プロンプトが表示されてから、ACE にログインします。
ステップ 3 ACE 上のイメージが壊れていた場合は、ACE に別のイメージをコピーします。「ACE へのソフトウェア アップグレード イメージのコピー」を参照してください。その後、イメージを自動ブートするように ACE を設定します。「ソフトウェア イメージを自動ブートするための ACE の設定」を参照してください。
ACE 上のコンパクト フラッシュでハードウェア障害が発生した場合は、TAC サポートに連絡してください。
ACE 上のソフトウェア イメージを表示するには、EXEC モードで show version コマンドを使用します。このコマンドの構文は、次のとおりです。