セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX 500 セキュリティ アプライアンス 6.x から 7.x へのソフトウェア アップグレード手順

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2006 年 2 月 2 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


注: この資料は PIX 500 シリーズ セキュリティ アプライアンス モデルのソフトウェアをアップグレードする方法を取り扱っています。 PIX Software をダウンロードするために、Software Center登録ユーザのみ)を参照して下さい。 PIX ソフトウェアにアクセスするには、ログインしている必要があり、有効なサービス契約が必要です。


目次


概要

この資料にバージョン 6.2 または 6.3 アップグレードする方法をからバージョン 7.x に PIX アプライアンスを説明されています。 また、Adaptive Security Device Manager(ASDM)バージョン 5.0 のインストール方法についても説明します。

前提条件

要件

このアップグレード手順を開始する前に、次の作業を実行してください。

  • show running-config コマンドまたは write net コマンドを使用して、現在の PIX の設定をテキスト ファイルまたは TFTP サーバに保存します。

  • show version コマンドを使用して、シリアル番号とアクティベーション キーを表示します。 この出力をテキスト ファイルに保存します。 古いバージョンのコードに復帰する必要があるときには、元のアクティベーション キーが必要になることがあります。 アクティベーション キーの詳細については、『Cisco Secure PIX Firewall に関する FAQ』を参照してください。

  • 現在の設定に conduit コマンドまたは outbound コマンドがないことを確認します。 これらのコマンドは、7.x ではサポートされていないため、アップグレード プロセスによって削除されます。 アップグレードを行う前に、これらのコマンドをアクセスリストに変換するには、アウトプットインタープリタ登録ユーザ専用)を使用します。

  • PIX が Point to Point Tunneling Protocol(PPTP)接続を終端していないことを確認します。 PIX 7.1 およびそれ以降は現在 PPTP 終了をサポートしません。

  • フェールオーバーを使用している場合は、LAN またはステートフル インターフェイスが、インターフェイスを通過するデータによって共有されていないことを確認します。 たとえば、データ トラフィックの送信用に内部インターフェイスを使用して、同様にステートフル フェールオーバー インターフェイス(内部フェールオーバー リンク)用にも使用している場合は、アップグレードを行う前に、ステートフル フェールオーバー インターフェイスを別のインターフェイスに移動させる必要があります。 これを行わないと、内部インターフェイスに関連付けられたすべての設定が削除されます。 また、アップグレード後はデータ トラフィックがこのインターフェイスを通過しなくなります。

  • 作業を進める前に、PIX でバージョン 6.2 または 6.3 を実行していることを確認します。

  • アップグレードしようとしているバージョンのリリース ノートを読み、新しいコマンド、変更されたコマンド、廃止される予定のコマンドについてすべて把握してください。

  • バージョン 6.x と 7.x 間のその他のコマンドの変更については、『アップグレード ガイド』を参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • PIX セキュリティ アプライアンス 515、515E、525、および 535

  • PIX ソフトウェア バージョン 6.3(4)、7.0(1)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

最小システム要件

シスコでは、バージョン 7.x へのアップグレード プロセスを開始する前は、PIX でバージョン 6.2 以降が実行されていることを推奨します。 これによって、現在の設定が正しく変換されるようになります。 さらに、これらのハードウェア要件は、次に示す最小限の RAM およびフラッシュの要件を満たしている必要があります。

PIX モデル RAM 要件 フラッシュの要件
  制限あり(R) 制限なし(UR)/フェールオーバーのみ(FO)  
PIX-515 64 MB* 128 MB* 16 MB
PIX-515 E 64 MB* 128 MB* 16 MB
PIX-525 128 MB 256 MB 16 MB
PIX-535 512 MB 1 GB 16 MB

* PIX-515 と PIX-515E アプライアンスでは、すべてメモリのアップグレードが必要です。

現在 PIX 上にインストールされている RAM とフラッシュの量を調べるには、show version コマンドを発行します。 この表にあるすべての PIX アプライアンスには、デフォルトで 16 MB がインストールされているため、フラッシュのアップグレードは必要ありません。

注: この表の PIX セキュリティ アプライアンス モデルだけバージョン 7.x でサポートされます。 PIX-520、510、10000、および Classic など、以前の PIX セキュリティ アプライアンスはすでに製造中止になっており、バージョン 7.0 以降は実行できません。 これらのアプライアンスの 1 つがあり、7.x またはそれ以降を実行したい場合より新しいセキュリティ アプライアンス モデルを購入するために地元のCiscoアカウントチームか再販売業者に連絡して下さい。 また、64 MB 未満の RAM を搭載している PIX ファイアウォール(PIX-501、PIX-506、および PIX-506E)では、初期の 7.0 リリースを実行できません。

PIX 515/515E アプライアンス向けのメモリのアップグレードに関する情報

メモリのアップグレードが必要なのは、PIX-515 および PIX-515E アプライアンスだけです。 これらのアプライアンスでメモリをアップグレードするには、次の表で必要な部品番号を確認してください。

注: 部品番号は、PIX にインストールされているライセンスによって異なります。

現在のアプライアンスの設定 アップグレード ソリューション
プラットフォームのライセンス 合計メモリ(アップグレード前) 部品番号 合計メモリ(アップグレード後)
制限あり(R) 32 MB PIX-515-MEM-32= 64 MB
制限なし(UR) 32 MB PIX-515-MEM-128= 128 MB
フェールオーバーのみ(FO) 64 MB PIX-515-MEM-128= 128 MB

詳細については、『Cisco PIX 515/515E セキュリティ アプライアンスでの PIX ソフトウェア v7.0 のためのメモリ アップグレードに関する製品速報』を参照してください。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

PIX セキュリティ アプライアンスのアップグレード

ソフトウェアのダウンロード

PIX 7.x ソフトウェアをダウンロードするために Cisco Software Center登録ユーザのみ)を参照して下さい。 TFTPサーバソフトウェアは Cisco.com からもはや利用できません。 ただし好みのインターネット サーチ エンジンの「TFTPサーバ」を捜すとき、TFTP 多くのサーバを見つけることができます。 シスコでは、特定の TFTP の実装は推奨していません。 詳細については、TFTP サーバのページ登録ユーザ専用)を参照してください。

アップグレード手順

バージョン 7.x への PIX セキュリティ アプライアンス モデルのアップグレードが重要な変更点であることに注意して下さい。 CLI の大半が変更されているため、アップグレード後の設定は、大きく異なったものになります。 アップグレード プロセスには多少のダウンタイムが必要であるため、アップグレードはメンテナンス時間の間にのみ行うようにしてください。 6.x のイメージに復帰する必要がある場合は、「ダウングレード」の手順に従ってください。 この手順に従わないと、PIX が連続的にリブートを繰り返します。 作業を進めるには、使用している PIX アプライアンスのモデルを次の表から探し、そのリンクをクリックして、アップグレード手順の説明を参照してください。

PIX モデル アップグレード方式
PIX-515 モニタ
PIX-515E copy tftp flash
PIX-525 copy tftp flash
PIX-535 (インストールされる PDM 無し) copy tftp flash
PIX-535 (インストールされる PDM) モニタ

モニタ モードからの PIX セキュリティ アプライアンスのアップグレード

モニタ モードに入る

PIX でモニタ モードに入るには、次のステップを実行してください。

  1. 次の通信設定を使用して、コンソール ケーブルを PIX のコンソール ポートに接続します。

    • 9600 bits per second

    • 8 データ ビット

    • パリティなし

    • 1 ストップ ビット

    • フロー制御なし

  2. 電源をオフにしてからオンにするか、PIX をリロードします。 起動時に、フラッシュ ブートを中断するには Break キーまたは Esc キーを使用するように指示するプロンプトが表示されます。 通常のブート プロセスを中断するための時間は、10 秒あります。

  3. ESC キーを押すか、Break 文字を送信すると、モニタ モードに入ります。

    • Windows Hyper Terminal を使用している場合は、ESC キーか、Ctrl+Break キーを押すことで、Break 文字を送信できます。

    • PIX のコンソール ポートにアクセスするために、ターミナル サーバ経由で Telnet を行っている場合は、Telnet のコマンド プロンプトを得るために Ctrl+](Control + 右角カッコ)を押す必要があります。 その後、send break コマンドを入力します。

  4. monitor> プロンプトが表示されます。

  5. モニタ モードからの PIX のアップグレード」のセクションに進んでください。

モニタ モードからの PIX のアップグレード

モニタ モードから PIX をアップグレードするには、次のステップを実行します。

注: 64 ビット スロットのファースト イーサネット カードはモニタモードで目に見えません。 この問題は TFTPサーバがこれらのインターフェイスの 1 つに常駐できないことを意味します。 ユーザは TFTP を通して PIXファイアウォール イメージ ファイルをダウンロードするために copy tftp flash コマンドを使用する必要があります。

  1. PIX アプライアンスのバイナリ イメージ(たとえば pix701.bin)を TFTP サーバのルート ディレクトリにコピーします。

  2. PIX でモニタ モードに入ります。 この方法がわからない場合は、このドキュメントの「モニタ モードに入る」の説明を参照してください。

    注: モニタ モードに入ると、「?」キーを使用して、 利用可能 な オプションのリストを見るキー。

  3. TFTP サーバが接続されているインターフェイス番号か、TFTP サーバに最も近いインターフェイスを入力します。 デフォルトはインターフェイス 1(内部)です。

    monitor>interface <num>
    

    注:  モニタ モードでは、インターフェイスはオート ネゴシエートによって速度とデュプレックスを設定します。 インターフェイスの設定をハード コードすることはできません。 したがって、PIX インターフェイスを速度やデュプレックスがハード コードされているスイッチに接続する場合は、モニタ モードに入っている間に、オート ネゴシエートするようにスイッチを再設定します。 また、PIX アプライアンスでは、モニタ モードからギガビット イーサネット インターフェイスを初期化できないことに注意してください。 代わりに、ファスト イーサネット インターフェイスを使用する必要があります。

  4. ステップ 3 で入力したインターフェイスの IP アドレスを入力します。

    monitor>address <PIX_ip_address>
    
  5. TFTP サーバの IP アドレスを入力します。

    monitor>server <tftp_server_ip_address>
    
  6. (オプション)ゲートウェイの IP アドレスを入力します。 ゲートウェイ アドレスは、PIX のインターフェイスが TFTP サーバと同じネットワーク上にない場合に必要です。

    monitor>gateway <gateway_ip_address>
    
  7. ロードする TFTP サーバ上のファイルの名前を入力します。 これは PIX のバイナリ イメージのファイル名です。

    monitor>file <filename>
    
  8. PIX から TFTP サーバに対して ping を実行し、IP の接続性を確認します。

    PING に失敗した場合は、ケーブル、PIX インターフェイスと TFTP サーバの IP アドレス、およびゲートウェイの IP アドレス(必要な場合)を再度チェックしてください。 以降の手順に進むには、ping が成功する必要があります。

    monitor>ping <tftp_server_ip_address>
    
  9. TFTP のダウンロードを開始するには、tftp と入力します。

    monitor>tftp
    
  10. PIX によってイメージが RAM にダウンロードされ、RAM が自動的にブートされます。

    ブート プロセスの間、ファイル システムが現在の設定と一緒に変換されます。 ただし、作業はまだ完了していません。 ブートした後、ステップ 11 に進む前に、次の警告メッセージに注意してください。

    ******************************************************************
      **                                                                    **
      **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
      **                                                                    **
      **          ----> Current image running from RAM only! <----          **
      **                                                                    **
      **  When the PIX was upgraded in Monitor mode the boot image was not  **
      **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
      **  save a bootable image to Flash.  Failure to do so will result in  **
      **  a boot loop the next time the PIX is reloaded.                    **
      **                                                                    **
      ************************************************************************
  11. ブートが完了したら、イネーブル モードに入り、同じイメージを PIX に再度コピーします。 今回は copy tftp flash コマンドを使用します。

    この操作によって、イメージがフラッシュ ファイル システムに保存されます。 このステップを行わないと、次に PIX がリロードしたときに、ブート時にループに陥ります。

    pixfirewall>enable
    pixfirewall#copy tftp flash
    

    注: copy tftp flash コマンドを使用してイメージをコピーする方法の詳細は、「copy tftp flash コマンドによる PIX セキュリティ アプライアンスのアップグレード」セクションを参照してください。

  12. copy tftp flash コマンドを使用してイメージをコピーすれば、アップグレード プロセスは完了です。

設定例:モニタ モードからの PIX セキュリティ アプライアンスのアップグレード

monitor>interface 1 
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
2: i8255X @ PCI(bus:1 dev:0  irq:11)
3: i8255X @ PCI(bus:1 dev:1  irq:11)
4: i8255X @ PCI(bus:1 dev:2  irq:11)
5: i8255X @ PCI(bus:1 dev:3  irq:11)

Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81
monitor>address 10.1.1.2 
address 10.1.1.2 
monitor>server 172.18.173.123 
server 172.18.173.123 
monitor>gateway 10.1.1.1
gateway 10.1.1.1
monitor>file pix701.bin 
file pix701.bin 
monitor>ping 172.18.173.123 
Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds: 
!!!!! 
Success rate is 100 percent (5/5) 
monitor>tftp 
tftp pix701.bin@172.18.173.123.......................................... 
Received 5124096 bytes 

Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar  7 17:39:03 PST 2005
#######################################################################
128MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 10  MAC: 0050.54ff.4d80
mcwa i82559 Ethernet at irq  7  MAC: 0050.54ff.4d81
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2014
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2015
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2016
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2017
BIOS Flash=AT29C257 @ 0xfffd8000
Old file system detected. Attempting to save data in flash
 

!--- This output indicates that the Flash file
!--- system is formatted. The messages are normal.

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-10627)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-14252)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-15586)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (5589)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (4680)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-21657)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-28397)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (2198)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-26577)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (30139)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (-17027)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (-2608)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (18180)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (0)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (29271)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (0)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 61...block number was (0)
flashfs[7]: erasing block 61...done.
flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0
flashfs[7]: 9 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 15998976
flashfs[7]: Bytes used: 10240
flashfs[7]: Bytes available: 15988736
flashfs[7]: flashfs fsck took 58 seconds.
flashfs[7]: Initialization complete.

Saving the datafile
!
Saving a copy of old datafile for downgrade
!
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
The version of image file in flash is not bootable in the current version of
software.
Use the downgrade command first to boot older version of software.
The file is being saved as image_old.bin anyway.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
Erasing sector 64...[OK]
Burning sector 64...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6         
Maximum VLANs               : 25        
Inside Hosts                : Unlimited 
Failover                    : Active/Active
VPN-DES                     : Enabled   
VPN-3DES-AES                : Enabled   
Cut-through Proxy           : Enabled   
Guards                      : Enabled   
URL Filtering               : Enabled   
Security Contexts           : 2         
GTP/GPRS                    : Disabled  
VPN Peers                   : Unlimited 

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .                             
                                 |            |                             
                                |||          |||                            
                              .|| ||.      .|| ||.                          
                           .:||| | |||:..:||| | |||:.                       
                            C i s c o  S y s t e m s                        
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1) 

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706


!--- These messages are printed for any deprecated commands.

.ERROR: This command is no longer needed. The LOCAL user database is always enabled.
 *** Output from config line 71, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
 *** Output from config line 76, "floodguard enable"

Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303 

!--- All current fixups are converted to the 
!--- new Modular Policy Framework.

INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
  ************************************************************************
  **                                                                    **
  **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
  **                                                                    **
  **          ----> Current image running from RAM only! <----          **
  **                                                                    **
  **  When the PIX was upgraded in Monitor mode the boot image was not  **
  **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
  **  save a bootable image to Flash.  Failure to do so will result in  **
  **  a boot loop the next time the PIX is reloaded.                    **
  **                                                                    **
  ************************************************************************
Type help or '?' for a list of available commands.
pixfirewall>
pixfirewall>enable
Password:
<password>

pixfirewall# 
pixfirewall#copy tftp flash

Address or name of remote host []? 172.18.173.123

Source filename []? pix701.bin

Destination filename [pix701.bin]? 
<enter>


Accessing tftp://172.18.173.123/pix701.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file flash:/pix701.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
5124096 bytes copied in 139.790 secs (36864 bytes/sec)
pixfirewall# 

copy tftp flash コマンドによる PIX セキュリティ アプライアンスのアップグレード

copy tftp flash コマンドを使用して PIX をアップグレードするには、次のステップを実行します。

  1. PIX アプライアンスのバイナリ イメージ(たとえば pix701.bin)を TFTP サーバのルート ディレクトリにコピーします。

  2. イネーブル プロンプトから、copy tftp flash コマンドを発行します。

    pixfirewall>enable
    Password:
    <password>
    
    pixfirewall#copy tftp flash
    
  3. TFTP サーバの IP アドレスを入力します。

    Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
    
  4. ロードする TFTP サーバ上のファイルの名前を入力します。 これは PIX のバイナリ イメージのファイル名です。

    Source file name [cdisk]?
    <filename>
    
    
  5. TFTP コピーを開始するというプロンプトが表示されたら、yes と入力します。

    copying tftp://172.18.173.123/pix701.bin to flash:image
    [yes|no|again]?yes
    
  6. イメージが TFTP サーバからフラッシュにコピーされます。

    次のメッセージが表示されます。このメッセージは、転送が成功し、フラッシュ上の古いバイナリ イメージが消去され、新しいイメージが書き込まれてインストールされたことを示しています。

    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Received 5124096 bytes
    Erasing current image
    Writing 5066808 bytes of image
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Image installed
    pixfirewall#
  7. PIX アプライアンスをリロードして、新しいイメージをブートします。

    pixfirewall#reload
    Proceed with reload? [confirm] 
    <enter>
    
    
    
    Rebooting....
  8. この時点で、PIX は 7.0 のイメージをブートします。これでアップグレード プロセスは完了です。

設定例:copy tftp flash コマンドによる PIX アプライアンスのアップグレード

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall# 
pixfirewall#reload
Proceed with reload? [confirm] 
<enter>




Rebooting..?

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
128 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class?Irq
00?00?00?8086?7192?Host Bridge?
00?07?00?8086?7110?ISA Bridge?
00?07?01?8086?7111?IDE Controller?
00?07?02?8086?7112?Serial Bus?9
00?07?03?8086?7113?PCI Bridge?
00?0D?00?8086?1209?Ethernet?11
00?0E?00?8086?1209?Ethernet?10
00?13?00?11D4?2F44?Unknown Device?5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash.?
######################################################################
######################################################################
128MB RAM

Total NICs found: 2
mcwa i82559 Ethernet at irq 11?MAC: 0009.4360.ed44
mcwa i82559 Ethernet at irq 10?MAC: 0009.4360.ed43
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


!--- This output indicates that the Flash file
!--- system is formatted. The messages are normal.

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-27642)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-30053)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-1220)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-22934)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (2502)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (29877)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-13768)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (9350)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-18268)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (7921)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (22821)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (7787)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (15515)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (20019)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-25094)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-7515)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (-10699)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (6652)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (-23640)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (23698)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (-28882)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (2533)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-966)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-22888)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (-9762)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (9747)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (-22855)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-32551)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-13355)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (-29894)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-18595)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (22095)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (1486)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (13559)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (24215)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (21670)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (-24316)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 7, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 12, parent_fileid 0
flashfs[7]: 5 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 5128192
flashfs[7]: Bytes available: 10999808
flashfs[7]: flashfs fsck took 59 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6?
Maximum VLANs?: 25?
Inside Hosts?: Unlimited 
Failover?: Active/Active
VPN-DES?: Enabled?
VPN-3DES-AES?: Enabled?
Cut-through Proxy?: Enabled?
Guards?: Enabled?
URL Filtering?: Enabled?
Security Contexts?: 2?
GTP/GPRS?: Disabled?
VPN Peers?: Unlimited 

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC (IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5)
--------------------------------------------------------------------------
.?.?
|?|?
|||?|||?
.|| ||.?.|| ||.?
.:||| | |||:..:||| | |||:.?
C i s c o?S y s t e m s?
--------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1) 

****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.

A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

!--- These messages are printed for any deprecated commands.

ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 50, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 55, "floodguard enable"

Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 

!--- All current fixups are converted to the new Modular Policy Framework.

INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
pixfirewall>

注: 制限のないライセンスを使用すると、PIX 515 E は最大 8 個の VLAN を持つことができ、PIX 535 は最大 25 個の VLAN を持つことができます。

PIX 7.x からの 6.x へのダウングレード

PIX セキュリティ アプライアンス バージョン 7.0 以降では、以前の PIX バージョンとは異なるフラッシュ ファイルのフォーマットを使用します。 したがって、7.0 のイメージから 6.x のイメージに copy tftp flash コマンドを使用してダウングレードすることはできません。 代わりに downgrade コマンドを使用する必要があります。 この手順に従わないと、PIX がブート時にループに陥ります。

PIX が最初にアップグレードされたときに、6.x startup-configuration は downgrade.cfg としてフラッシュするで保存されました。 このダウングレード プロシージャに従うとき、この設定はデバイスにダウングレードとき復元する。 この設定はコマンド moreflash を発行するとダウングレード前に検討することができます: 7.0 のイネーブル > プロンプトからの downgrade.cfg。 PIX がモニタモードによってアップグレードされたらさらに、そして前の 6.x バイナリイメージはまだ image_old.bin としてフラッシュするで保存されます。 show flash を発行するとき存在 するこのイメージを確認できます: コマンドを使用します。 イメージがフラッシュ上にある場合は、この手順のステップ 1 で TFTP サーバからイメージをロードする代わりに、このイメージを使用できます。

PIX セキュリティ アプライアンスをダウングレードするには、次のステップを実行します。

  1. downgrade コマンドを入力して、ダウングレードするイメージの場所を指定します。

    pixfirewall#downgrade tftp://<tftp_server_ip_address>/<filename>
    

    注: PIX をモニタ モードからアップグレードした場合は、古いバイナリ イメージはまだフラッシュに保存されています。 そのイメージにダウングレードする場合は、次のコマンドを発行します。

    pixfirewall#downgrade flash:/image_old.bin
    
  2. フラッシュがフォーマットされようとしていることを警告するメッセージが表示されます。 継続する場合は Enter キーを押します。

    This command will reformat the flash and automatically reboot the system.
    Do you wish to continue? [confirm]  
    <enter>
    
    
  3. イメージが RAM にコピーされます。また、スタートアップ コンフィギュレーションも RAM にコピーされます。

    Buffering image
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    
    Buffering startup config
    
    All items have been buffered successfully
  4. フラッシュのフォーマットを開始することを示す 2 番目の警告メッセージが表示されます。 このプロセスを中断しないでください。中断するとフラッシュが破損する場合があります。 フォーマットを継続する場合は Enter キーを押します。

    If the flash reformat is interrupted or fails, 
    data in flash will be lost
    and the system might drop to monitor mode.
    Do you wish to continue? [confirm] 
    <enter>
    
    
  5. フラッシュがフォーマットされ、古いイメージがインストールされ、PIX がリブートします。

    Acquiring exclusive access to flash
    Installing the correct file system for the image and 
    saving the buffered data
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Flash downgrade succeeded
    
    
    Rebooting....
  6. PIX がブートし、通常のプロンプトが表示されます。 これでダウングレード プロセスは完了です。

設定例 - PIX 7.x から 6.x へのダウングレード

pixfirewall#downgrade tftp://172.18.108.26/pix634.bin
This command will reformat the flash and automatically reboot the system.
Do you wish to continue? [confirm] 
<enter>

Buffering image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Buffering startup config

All items have been buffered successfully.
If the flash reformat is interrupted or fails, data in flash will be lost
and the system might drop to monitor mode.
Do you wish to continue? [confirm] 
Acquiring exclusive access to flash
Installing the correct file system for the image and saving the buffered data
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Flash downgrade succeeded



Rebooting....


CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
128 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class?Irq
00?00?00?8086?7192?Host Bridge?
00?07?00?8086?7110?ISA Bridge?
00?07?01?8086?7111?IDE Controller?
00?07?02?8086?7112?Serial Bus?9
00?07?03?8086?7113?PCI Bridge?
00?0D?00?8086?1209?Ethernet?11
00?0E?00?8086?1209?Ethernet?10
00?13?00?11D4?2F44?Unknown Device?5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 1962496 bytes of image from flash.?
#################################################################################
##############################
128MB RAM
mcwa i82559 Ethernet at irq 11?MAC: 0009.4360.ed44
mcwa i82559 Ethernet at irq 10?MAC: 0009.4360.ed43
System Flash=E28F128J3 @ 0xfff00000
BIOS Flash=am29f400b @ 0xd8000
IRE2141 with 2048KB

-----------------------------------------------------------------------
||?||
||?||
||||?||||
..:||||||:..:||||||:..
c i s c o S y s t e m s 
Private Internet eXchange
-----------------------------------------------------------------------
Cisco PIX Firewall

Cisco PIX Firewall Version 6.3(4)
Licensed Features:
Failover:?Enabled
VPN-DES:?Enabled
VPN-3DES-AES:?Enabled
Maximum Physical Interfaces: 6
Maximum Interfaces:?10
Cut-through Proxy:?Enabled
Guards:?Enabled
URL-filtering:?Enabled
Inside Hosts:?Unlimited
Throughput:?Unlimited
IKE peers:?Unlimited

This PIX has an Unrestricted (UR) license.


****************************** Warning *******************************
Compliance with U.S. Export Laws and Regulations - Encryption.

This product performs encryption and is regulated for export
by the U.S. Government.

This product is not authorized for use by persons located
outside the United States and Canada that do not have prior
approval from Cisco Systems, Inc. or the U.S. Government.

This product may not be exported outside the U.S. and Canada
either by physical or electronic means without PRIOR approval
of Cisco Systems, Inc. or the U.S. Government.

Persons outside the U.S. and Canada may not re-export, resell
or transfer this product by either physical or electronic means
without prior approval of Cisco Systems, Inc. or the U.S.
Government.
******************************* Warning *******************************

Copyright (c) 1996-2003 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706


Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 
Type help or '?' for a list of available commands.
pixfirewall>

フェールオーバーの設定での PIX アプライアンスのアップグレード

PIX アプライアンス 6.x から 7.x へのアップグレードは、大きなアップグレードです。 PIX にフェールオーバーの設定がされていても、ダウンタイムなしで実行することはできません。 フェールオーバーのコマンドの多くは、アップグレードによって変わります。 推奨するアップグレード パスとしては、まずフェールオーバー設定のいずれかの PIX の電源をオフにします。 次に、このドキュメントの説明に従って、電源がオンの状態の PIX をアップグレードします。 アップグレードが完了したら、トラフィックが通過していることを確認します。また、PIX を一度リブートして、問題なく復帰することを確認します。 すべてが正しく動作することを確認したら、新しくアップグレードした PIX の電源をオフにして、もう一方の PIX の電源をオンにします。 このドキュメントの説明に従って、その PIX をアップグレードします。 アップグレードが完了したら、トラフィックが通過していることを確認します。 また、PIX を一度リブートして、問題なく復帰することを確認します。 すべてが正しく動作することを確認したら、もう一方の PIX の電源をオンにします。 PIX は両方とも 7.x に今アップグレードされ、動力を与えられます。 show failover コマンドを使用して、フェールオーバーの通信が正しく確立していることを確認します。

注: 現在 PIX では、データ トラフィックを通過させるインターフェイスは、LAN フェールオーバー インターフェイス、あるいはステートフル フェールオーバー インターフェイスとしては使用できないという制限があります。 現在の PIX の設定に、通常のデータ トラフィックと一緒に LAN フェールオーバー情報やステートフル情報を通過させる共有インターフェイスが含まれている場合は、アップグレードすると、データ トラフィックはこのインターフェイスを通過できなくなります。 このインターフェイスに関連付けられているコマンドも実行できなくなります。

Adaptive Security Device Manager(ASDM)のインストール

シスコでは、ASDM をインストールする前に、インストールしようとしているバージョンのリリース ノートを読まれることを推奨しています。 リリース ノートには、サポートされている最低限必要なブラウザや Java のバージョン、サポートされている新しい機能や公開されている注意事項のリストが記載されています。

ASDM のインストール手順は、バージョン 7.0 では以前の手順とわずかに異なります。 また、ASDM イメージがフラッシュへコピーされたら、PIX がこれを使用するように、設定で指定する必要があります。 ASDM イメージをフラッシュにインストールするには、次のステップを実行します。

  1. ASDM イメージ登録ユーザのみ)を Cisco.com からダウンロードし、TFTPサーバのルート ディレクトリにそれを置いて下さい。

  2. PIX から TFTP サーバへの IP 接続が確立されていることを確認します。 これを行うには、TFTP サーバから PIX に PING を実行します。

  3. イネーブル プロンプトから、copy tftp flash コマンドを発行します。

    pixfirewall>enable
    Password: 
    <password>
    
    pixfirewall#copy tftp flash
    
  4. TFTP サーバの IP アドレスを入力します。

    Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
    
  5. ロードする TFTP サーバ上の ASDM ファイルの名前を入力します。

    Source file name [cdisk]? <filename>
    
  6. フラッシュに保存する ASDM ファイルの名前を入力します。 同じファイル名のままにするには、Enter キーを押します。

    Destination filename [asdm-501.bin]? <enter>
    
  7. イメージが TFTP サーバからフラッシュにコピーされます。 転送に成功したことを示す次のメッセージが表示されます。

    Accessing tftp://172.18.173.123/asdm-501.bin...
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!
    Writing file flash:/asdm-501.bin...
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!
    5880016 bytes copied in 140.710 secs (42000 bytes/sec)
  8. ASDM イメージがコピーされた後、asdm イメージ フラッシュするを発行して下さい: コマンド ASDM イメージを使用するために規定 するため。

    pixfirewall(config)#asdm image flash:asdm-501.bin
    
  9. write memory コマンドを発行して、設定をフラッシュに保存します。

    pixfirewall(config)#write memory
    
  10. これで ASDM のインストール プロセスは完了です。

トラブルシューティング

症状 解決策
PIX のアップグレードに copy tftp flash 方式を使用した後リブートすると、次のようなリブートのループ状態になる。
 
Cisco Secure PIX Firewall BIOS (4.0) #0: 
Thu Mar  2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash.   
BIOS バージョンが 4.2 より前の PIX アプライアンスは、copy tftp flash コマンドを使用する方法でアップグレードすることはできません。 このような装置はモニタ モードを使用する方法でアップグレードする必要があります。
PIX で 7.0 を実行した後、リブートすると、次のようなリブートのループの状態になる。
Rebooting....

Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar?2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 115200 bytes of image from flash.?

PIX Flash Load Helper

Initializing flashfs...
flashfs[0]: 10 files, 4 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 15998976
flashfs[0]: Bytes used: 1975808
flashfs[0]: Bytes available: 14023168
flashfs[0]: Initialization complete.

Unable to locate boot image configuration

Booting first image in flash

No bootable image in flash. Please download 
an image from a network server in the monitor mode

Failed to find an image to boot
PIX をモニタ モードから 7.0 へアップグレードしたものの、7.0 の初回ブート後に 7.0 のイメージがフラッシュに再コピーされなかった場合は、PIX がリロードされたときにリブートのループ状態になります。 解決策は、モニタ モードからイメージを再度ロードすることです。 ブートアップ後、copy tftp flash コマンドを使用して、イメージをもう一度コピーする必要があります。
copy tftp flash コマンドを使用する方法でアップグレードすると、次のエラー メッセージが表示される。
pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? y
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Insufficient flash space available for this request:
Size info: request:5066808 current:1966136 delta:3100672 free:2752512
Image not installed
pixfirewall# 
通常、このメッセージは、PIX-535 または PIX-515(E でないもの)を copy tftp flash を使用する方法でアップグレードして、PDM もこの PIX のフラッシュにロードされている場合に表示されます。 解決策は、モニタ モードでアップグレードすることです。
PIX を 6.x から 7.0 へアップグレードした後、一部の設定が正しく移行されない。 show startup-config errors コマンドの出力には、設定の移行中に発生したエラーが表示されます。 エラーは PIX を初めてブートした後にこの出力に表示されます。 これらのエラーを調べて、解決を試みてください。
PIX はバージョン 7.x を実行し、新しいバージョンはインストールされています。 PIX のリブート時に、古いバージョンが引き続きロードされる。 PIXバージョン 7.x では、フラッシュするの複数の画像を保存することができます。 boot system flash のための設定の最初に PIX 外観: コマンド。 これらのコマンドでは、PIX がブートする必要のあるイメージを指定しています。 boot system flash 無し: コマンドはフラッシュするで、PIX 起動します最初のブート可能なイメージをあります。 異なるバージョンを起動するために、boot system flash の使用のファイルを規定 して下さい: /<filename> コマンド。
ASDM イメージがフラッシュにロードされているが、ユーザがブラウザで ASDM をロードできない。 最初に、フラッシュするでロードされる ASDM ファイルを規定 されます asdm イメージ flash:// <asdm_file> コマンドによって確認して下さい。 次に、http server enable コマンドが設定にあることを確認します。 最終的には、ASDM をロードする試みが http <address> <mask> <interface> コマンドによって与えられるホストを確認して下さい。
FTP はアップグレードの後ではたらきません。 FTP インスペクションはアップグレードの後で有効に なりません でした。 イネーブル FTP インスペクション セクションに示すように 2 つの方法の 1 つの FTP インスペクションを有効に して下さい。

FTP インスペクションを有効に して下さい

FTP インスペクションはこれら二つのメソッドのどちらかと有効に することができます:

  • デフォルト/グローバル な インスペクション ポリシーに FTP を追加して下さい。

    1. それがない場合、inspection_default class-map を作成して下さい。

      PIX1#configure terminal
      PIX1(config)#class-map inspection_default
      PIX1(config-cmap)#match default-inspection-traffic
      PIX1(config-cmap)#exit
      
    2. 作成しか、または global_policy ポリシーマップを編集し、クラス inspection_default のための FTP インスペクションを有効に して下さい。

      PIX1(config)#policy-map global_policy
      PIX1(config-pmap)#class inspection_default
      PIX1(config-pmap-c)#inspect dns preset_dns_map 
      PIX1(config-pmap-c)#inspect ftp 
      PIX1(config-pmap-c)#inspect h323 h225 
      PIX1(config-pmap-c)#inspect h323 ras 
      PIX1(config-pmap-c)#inspect rsh 
      PIX1(config-pmap-c)#inspect rtsp 
      PIX1(config-pmap-c)#inspect esmtp 
      PIX1(config-pmap-c)#inspect sqlnet 
      PIX1(config-pmap-c)#inspect skinny 
      PIX1(config-pmap-c)#inspect sunrpc 
      PIX1(config-pmap-c)#inspect xdmcp 
      PIX1(config-pmap-c)#inspect sip 
      PIX1(config-pmap-c)#inspect netbios 
      PIX1(config-pmap-c)#inspect tftp 
      
    3. global_policy をグローバルに 有効に して下さい。

      PIX1(config)#service-policy global_policy global
      
  • 別途のインスペクション ポリシーの作成によって FTP を有効に して下さい。

    PIX1#configure terminal
    PIX1(config)#class-map ftp-traffic
    
    !--- Matches the FTP data traffic.
    
    PIX1(config-cmap)#match port tcp eq ftp
    PIX1(config-cmap)#exit
    
    PIX1(config)#policy-map ftp-policy
    PIX1(config-pmap)#class ftp-traffic
    
    
    !--- Inspection for the FTP traffic is enabled.
    
    PIX1(config-pmap-c)#inspect ftp
    PIX1(config-pmap)#exit
    PIX1(config)#exit
    
    
    !--- Applies the FTP inspection globally.
    
    PIX1(config)#service-policy ftp-policy global
    

有効なサービス契約を得て下さい

PIX Software をダウンロードするために有効なサービス契約を持たなければなりません。 サービス契約を得るために、これらのステップを実行して下さい:

  • 直接購入契約書をお持ちの場合は、Cisco の営業担当にご連絡ください。

  • サービス契約をご購入になる場合は、Cisco のパートナーまたは販売代理店にご連絡ください。

  • Cisco.com プロファイルをアップデートし、サービス 契約にアソシエーションを要求するためにプロファイル マネージャを使用して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 63879