セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

Cisco Secure PIX セキュリティ アプライアンス 7.0 および ASDM ソフトウェアのアップグレード手順

2006 年 2 月 2 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 9 月 13 日) | 英語版 (2008 年 10 月 16 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      最小システム要件
      PIX 515/515E アプライアンス向けのメモリのアップグレードに関する情報
      表記法
PIX セキュリティ アプライアンスのアップグレード
      ソフトウェアのダウンロード
      アップグレード手順
モニタ モードからの PIX セキュリティ アプライアンスのアップグレード
      モニタ モードに入る
      モニタ モードからの PIX のアップグレード
copy tftp flash コマンドによる PIX セキュリティ アプライアンスのアップグレード
PIX 7.x から 6.x へのダウングレード
フェールオーバーの設定での PIX アプライアンスのアップグレード
Adaptive Security Device Manager(ASDM)のインストール
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、PIX アプライアンスのバージョン 6.3 または 6.2 からバージョン 7.0 へのアップグレード方法について説明します。また、Adaptive Security Device Manager(ASDM)バージョン 5.0 のインストール方法についても説明します。

前提条件

要件

このアップグレード手順を開始する前に、次の作業を実行してください。

  • show running-config コマンドまたは write net コマンドを使用して、現在の PIX の設定をテキスト ファイルまたは TFTP サーバに保存します。

  • show version コマンドを使用して、シリアル番号とアクティベーション キーを表示します。この出力をテキスト ファイルに保存します。古いバージョンのコードに復帰する必要があるときには、元のアクティベーション キーが必要になることがあります。アクティベーション キーの詳細については、『Cisco Secure PIX Firewall に関する FAQ』を参照してください。

  • 現在の設定に conduit コマンドまたは outbound コマンドがないことを確認します。これらのコマンドは、7.0 ではサポートされていないため、アップグレード プロセスによって削除されます。アップグレードを行う前に、これらのコマンドをアクセスリストに変換するには、アウトプットインタープリタ登録ユーザ専用)を使用します。
    一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • PIX が Point to Point Tunneling Protocol(PPTP)接続を終端していないことを確認します。現在、PIX 7.0 では PPTP の終端をサポートしていません。

  • フェールオーバーを使用している場合は、LAN またはステートフル インターフェイスが、インターフェイスを通過するデータによって共有されていないことを確認します。たとえば、データ トラフィックの送信用に内部インターフェイスを使用して、同様にステートフル フェールオーバー インターフェイス(内部フェールオーバー リンク)用にも使用している場合は、アップグレードを行う前に、ステートフル フェールオーバー インターフェイスを別のインターフェイスに移動させる必要があります。これを行わないと、内部インターフェイスに関連付けられたすべての設定が削除されます。また、アップグレード後はデータ トラフィックがこのインターフェイスを通過しなくなります。

  • 作業を進める前に、PIX でバージョン 6.2 または 6.3 を実行していることを確認します。

  • アップグレードしようとしているバージョンのリリース ノートを読み、新しいコマンド、変更されたコマンド、廃止される予定のコマンドについてすべて把握してください。

  • バージョン 6.x と 7.x 間のその他のコマンドの変更については、『アップグレード ガイド』を参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • PIX セキュリティ アプライアンス 515、515E、525、および 535

  • PIX ソフトウェア バージョン 6.3(4)、7.0(1)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されています。このドキュメントで使用するすべてのデバイスは、クリアな状態(デフォルト)から設定作業を始めています。対象のネットワークが実稼動中である場合には、すべてのコマンドによる潜在的な影響について確実に理解しておく必要があります。

最小システム要件

シスコでは、バージョン 7.0 へのアップグレード プロセスを開始する前は、PIX でバージョン 6.2 以降が実行されていることを推奨します。これによって、現在の設定が正しく変換されるようになります。さらに、これらのハードウェア要件は、次に示す最小限の RAM およびフラッシュの要件を満たしている必要があります。

PIX のモデル

RAM の要件

フラッシュの要件

 

制限あり(R)

制限なし(UR)/フェールオーバーのみ(FO)

 

PIX-515

64 MB*

128 MB*

16 MB

PIX-515 E

64 MB*

128 MB*

16 MB

PIX-525

128 MB

256 MB

16 MB

PIX-535

512 MB

1 GB

16 MB

* PIX-515 と PIX-515E アプライアンスでは、すべてメモリのアップグレードが必要です。

現在 PIX 上にインストールされている RAM とフラッシュの量を調べるには、show version コマンドを発行します。この表にあるすべての PIX アプライアンスには、デフォルトで 16 MB がインストールされているため、フラッシュのアップグレードは必要ありません。

注: この表中の PIX セキュリティ アプライアンスのみが、バージョン 7.0 以降でサポートされています。PIX-520、510、10000、および Classic など、以前の PIX セキュリティ アプライアンスはすでに製造中止になっており、バージョン 7.0 以降は実行できません。このようなアプライアンスのいずれかを所有していて、7.0 以降を実行する場合は、新型のセキュリティ アプライアンスの購入について、お近くのシスコの取引先または販売代理店にお問い合せください。また、64 MB 未満の RAM を搭載している PIX ファイアウォール(PIX-501、PIX-506、および PIX-506E)では、初期の 7.0 リリースを実行できません。

PIX 515/515E アプライアンス向けのメモリのアップグレードに関する情報

メモリのアップグレードが必要なのは、PIX-515 および PIX-515E アプライアンスだけです。これらのアプライアンスでメモリをアップグレードするには、次の表で必要な部品番号を確認してください。

注: 部品番号は、PIX にインストールされているライセンスによって異なります。

現在のアプライアンスの設定

アップグレード ソリューション

プラットフォームのライセンス

合計メモリ(アップグレード前)

部品番号

合計メモリ(アップグレード後)

制限あり(R)

32 MB

PIX-515-MEM-32=

64 MB

制限なし(UR)

32 MB

PIX-515-MEM-128=

128 MB

フェールオーバーのみ(FO)

64 MB

PIX-515-MEM-128=

128 MB

詳細については、『Cisco PIX 515/515E セキュリティ アプライアンスでの PIX ソフトウェア v7.0 のためのメモリ アップグレードに関する製品速報』を参照してください。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

PIX セキュリティ アプライアンスのアップグレード

ソフトウェアのダウンロード

PIX 7.0 ソフトウェアをダウンロードするには、Cisco Software Center登録ユーザ専用)にアクセスします。Cisco.com では、現在はもう TFTP サーバ ソフトウェアは入手できません。ただし、任意のインターネット サーチ エンジンで「tftp server」という語を検索すると、多数の TFTP サーバが見つかります。シスコでは、特定の TFTP の実装は推奨していません。詳細については、TFTP サーバのページ登録ユーザ専用)を参照してください。

アップグレード手順

PIX セキュリティ アプライアンスのバージョン 7.0 へのアップグレードは、大きな変更である点に注意してください。CLI の大半が変更されているため、アップグレード後の設定は、大きく異なったものになります。アップグレード プロセスには多少のダウンタイムが必要であるため、アップグレードはメンテナンス時間の間にのみ行うようにしてください。6.x のイメージに復帰する必要がある場合は、「ダウングレード」の手順に従ってください。この手順に従わないと、PIX が連続的にリブートを繰り返します。作業を進めるには、使用している PIX アプライアンスのモデルを次の表から探し、そのリンクをクリックして、アップグレード手順の説明を参照してください。

PIX のモデル

アップグレード方法

PIX-515

モニタ

PIX-515E

copy tftp flash

PIX-525

copy tftp flash

PIX-535

copy tftp flash

モニタ モードからの PIX セキュリティ アプライアンスのアップグレード

モニタ モードに入る

PIX でモニタ モードに入るには、次のステップを実行してください。

  1. 次の通信設定を使用して、コンソール ケーブルを PIX のコンソール ポートに接続します。

    • 9600 ビット/秒

    • 8 データ ビット

    • パリティなし

    • 1 ストップ ビット

    • フロー制御なし

  2. 電源を再投入するか、PIX をリロードします。起動時に、フラッシュ ブートを中断するには Break キーまたは Esc キーを使用するように指示するプロンプトが表示されます。通常のブート プロセスを中断するための時間は、10 秒あります。

  3. ESC キーを押すか、Break 文字を送信すると、モニタ モードに入ります。

    • Windows Hyper Terminal を使用している場合は、ESC キーか、Ctrl+Break キーを押すことで、Break 文字を送信できます。

    • PIX のコンソール ポートにアクセスするために、ターミナル サーバ経由で Telnet を行っている場合は、Telnet のコマンド プロンプトを得るために Ctrl+](Control + 右角カッコ)を押す必要があります。次に、send break コマンドを入力します。

  4. monitor> プロンプトが表示されます。

  5. モニタ モードからの PIX のアップグレード」のセクションに進んでください。

モニタ モードからの PIX のアップグレード

モニタ モードから PIX をアップグレードするには、次のステップを実行します。

  1. PIX アプライアンスのバイナリ イメージ(たとえば pix701.bin)を TFTP サーバのルート ディレクトリにコピーします。

  2. PIX でモニタ モードに入ります。この方法がわからない場合は、このドキュメントの「モニタ モードに入る」の説明を参照してください。

    注: モニタ モードに入ると、「?」キーを押して使用可能なオプションのリストを表示できます。

  3. TFTP サーバが接続されているインターフェイス番号か、TFTP サーバに最も近いインターフェイスを入力します。デフォルトは interface 1(内側)です。

    monitor>interface <num>
     

    注: モニタ モードでは、インターフェイスはオート ネゴシエートによって速度とデュプレックスを設定します。インターフェイスの設定はハード コードすることはできません。したがって、PIX インターフェイスを速度やデュプレックスがハード コードされているスイッチに接続する場合は、モニタ モードに入っている間に、オート ネゴシエートするようにスイッチを再設定します。また、PIX アプライアンスでは、モニタ モードからギガビット イーサネット インターフェイスを初期化できないことに注意してください。代わりに、ファースト イーサネット インターフェイスを使用する必要があります。

  4. ステップ 3 で入力したインターフェイスの IP アドレスを入力します。

    monitor>address <PIX_ip_address>
     
  5. TFTP サーバの IP アドレスを入力します。

    monitor>server <tftp_server_ip_address>
     
  6. (オプション)ゲートウェイの IP アドレスを入力します。ゲートウェイ アドレスは、PIX のインターフェイスが TFTP サーバと同じネットワーク上にない場合に必要です。

    monitor>gateway <gateway_ip_address>
     
  7. ロードする TFTP サーバ上のファイルの名前を入力します。これは PIX のバイナリ イメージのファイル名です。

    monitor>file <filename>
     
  8. PIX から TFTP サーバに対して PING を実行し、IP の接続性を確認します。

    PING に失敗した場合は、ケーブル、PIX インターフェイスと TFTP サーバの IP アドレス、およびゲートウェイの IP アドレス(必要な場合)を再度チェックしてください。以降のステップに進むには、PING が成功する必要があります。

    monitor>ping <tftp_server_ip_address>
     
  9. TFTP のダウンロードを開始するには、tftp と入力します。

    monitor>tftp
     
  10. PIX によってイメージが RAM にダウンロードされ、RAM が自動的にブートされます。

    ブート プロセスの間、ファイル システムが現在の設定と一緒に変換されます。ただし、作業はまだ完了していません。ブートした後、ステップ 11 に進む前に、次の警告メッセージに注意してください。

    ******************************************************************
       **                                                                    **
       **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
       **                                                                    **
       **          ----> Current image running from RAM only! <----          **
       **                                                                    **
       **  When the PIX was upgraded in Monitor mode the boot image was not  **
       **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
       **  save a bootable image to Flash.  Failure to do so will result in  **
       **  a boot loop the next time the PIX is reloaded.                    **
       **                                                                    **
       ************************************************************************
  11. ブートが完了したら、イネーブル モードに入り、同じイメージを PIX に再度コピーします。今回は copy tftp flash コマンドを使用します。

    この操作によって、イメージがフラッシュ ファイル システムに保存されます。このステップを行わないと、次に PIX がリロードしたときに、ブート時にループに陥ります。

    pixfirewall>enable
     pixfirewall#copy tftp flash
     

    注: copy tftp flash コマンドを使用してイメージをコピーする方法の詳細については、「copy tftp flash コマンドによる PIX セキュリティ アプライアンスのアップグレード」のセクションを参照してください。

  12. copy tftp flash コマンドを使用してイメージをコピーすれば、アップグレード プロセスは完了です。

設定例 - モニタ モードからの PIX セキュリティ アプライアンスのアップグレード

monitor>interface 1 
 0: i8255X @ PCI(bus:0 dev:13 irq:10)
 1: i8255X @ PCI(bus:0 dev:14 irq:7 )
 2: i8255X @ PCI(bus:1 dev:0  irq:11)
 3: i8255X @ PCI(bus:1 dev:1  irq:11)
 4: i8255X @ PCI(bus:1 dev:2  irq:11)
 5: i8255X @ PCI(bus:1 dev:3  irq:11)
 Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81
 monitor>address 10.1.1.2 
 address 10.1.1.2 
 monitor>server 172.18.173.123 
 server 172.18.173.123 
 monitor>gateway 10.1.1.1
 gateway 10.1.1.1
 monitor>file pix701.bin 
 file pix701.bin 
 monitor>ping 172.18.173.123 
 Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds: 
 !!!!! 
 Success rate is 100 percent (5/5) 
 monitor>tftp 
 tftp pix701.bin@172.18.173.123.......................................... 
 Received 5124096 bytes 
 Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar  7 17:39:03 PST 2005
 ###############################
 128MB RAM
 Total NICs found: 6
 mcwa i82559 Ethernet at irq 10  MAC: 0050.54ff.4d80
 mcwa i82559 Ethernet at irq  7  MAC: 0050.54ff.4d81
 mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2014
 mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2015
 mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2016
 mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2017
 BIOS Flash=AT29C257 @ 0xfffd8000
 Old file system detected. Attempting to save data in flash
 
 !--- この出力は、フラッシュ ファイル システムがフォーマットされていることを示しています。
 !--- ことを示しています。このメッセージは通常のものです。
 
 Initializing flashfs...
 flashfs[7]: Checking block 0...block number was (-10627)
 flashfs[7]: erasing block 0...done.
 flashfs[7]: Checking block 1...block number was (-14252)
 flashfs[7]: erasing block 1...done.
 flashfs[7]: Checking block 2...block number was (-15586)
 flashfs[7]: erasing block 2...done.
 flashfs[7]: Checking block 3...block number was (5589)
 flashfs[7]: erasing block 3...done.
 flashfs[7]: Checking block 4...block number was (4680)
 flashfs[7]: erasing block 4...done.
 flashfs[7]: Checking block 5...block number was (-21657)
 flashfs[7]: erasing block 5...done.
 flashfs[7]: Checking block 6...block number was (-28397)
 flashfs[7]: erasing block 6...done.
 flashfs[7]: Checking block 7...block number was (2198)
 flashfs[7]: erasing block 7...done.
 flashfs[7]: Checking block 8...block number was (-26577)
 flashfs[7]: erasing block 8...done.
 flashfs[7]: Checking block 9...block number was (30139)
 flashfs[7]: erasing block 9...done.
 flashfs[7]: Checking block 10...block number was (-17027)
 flashfs[7]: erasing block 10...done.
 flashfs[7]: Checking block 11...block number was (-2608)
 flashfs[7]: erasing block 11...done.
 flashfs[7]: Checking block 12...block number was (18180)
 flashfs[7]: erasing block 12...done.
 flashfs[7]: Checking block 13...block number was (0)
 flashfs[7]: erasing block 13...done.
 flashfs[7]: Checking block 14...block number was (29271)
 flashfs[7]: erasing block 14...done.
 flashfs[7]: Checking block 15...block number was (0)
 flashfs[7]: erasing block 15...done.
 flashfs[7]: Checking block 61...block number was (0)
 flashfs[7]: erasing block 61...done.
 flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0
 flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0
 flashfs[7]: 9 files, 3 directories
 flashfs[7]: 0 orphaned files, 0 orphaned directories
 flashfs[7]: Total bytes: 15998976
 flashfs[7]: Bytes used: 10240
 flashfs[7]: Bytes available: 15988736
 flashfs[7]: flashfs fsck took 58 seconds.
 flashfs[7]: Initialization complete.
 Saving the datafile
 !
 Saving a copy of old datafile for downgrade
 !
 Saving the configuration
 !
 Saving a copy of old configuration as downgrade.cfg
 !
 Saved the activation key from the flash image
 Saved the default firewall mode (single) to flash
 The version of image file in flash is not bootable in the current version of
 software.
 Use the downgrade command first to boot older version of software.
 The file is being saved as image_old.bin anyway.
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 Upgrade process complete
 Need to burn loader....
 Erasing sector 0...[OK]
 Burning sector 0...[OK]
 Erasing sector 64...[OK]
 Burning sector 64...[OK]
 Licensed features for this platform:
 Maximum Physical Interfaces : 6         
 Maximum VLANs               : 25        
 Inside Hosts                : Unlimited 
 Failover                    : Active/Active
 VPN-DES                     : Enabled   
 VPN-3DES-AES                : Enabled   
 Cut-through Proxy           : Enabled   
 Guards                      : Enabled   
 URL Filtering               : Enabled   
 Security Contexts           : 2         
 GTP/GPRS                    : Disabled  
 VPN Peers                   : Unlimited 
 This platform has an Unrestricted (UR) license.
 Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
   --------------------------------------------------------------------------
                                  .            .                             
                                  |            |                             
                                 |||          |||                            
                               .|| ||.      .|| ||.                          
                            .:||| | |||:..:||| | |||:.                       
                             C i s c o  S y s t e m s                        
   --------------------------------------------------------------------------
 Cisco PIX Security Appliance Software Version 7.0(1) 
   ****************************** Warning *******************************
   This product contains cryptographic features and is
   subject to United States and local country laws
   governing, import, export, transfer, and use.
   Delivery of Cisco cryptographic products does not
   imply third-party authority to import, export,
   distribute, or use encryption. Importers, exporters,
   distributors and users are responsible for compliance
   with U.S. and local country laws. By using this
   product you agree to comply with applicable laws and
   regulations. If you are unable to comply with U.S.
   and local laws, return the enclosed items immediately.
   A summary of U.S. laws governing Cisco cryptographic
   products may be found at:
   http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
   If you require further assistance please contact us by
   sending email to export@cisco.com.
   ******************************* Warning *******************************
 Copyright (c) 1996-2005 by Cisco Systems, Inc.
                 Restricted Rights Legend
 Use, duplication, or disclosure by the Government is
 subject to restrictions as set forth in subparagraph
 (c) of the Commercial Computer Software - Restricted
 Rights clause at FAR sec. 52.227-19 and subparagraph
 (c) (1) (ii) of the Rights in Technical Data and Computer
 Software clause at DFARS sec. 252.227-7013.
                 Cisco Systems, Inc.
                 170 West Tasman Drive
                 San Jose, California 95134-1706
 
 !--- これらのメッセージは、廃止されたコマンドに対して表示されます。
 
 .ERROR: This command is no longer needed. The LOCAL user database is always enabled.
  *** Output from config line 71, "aaa-server LOCAL protoco..."
 ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
  *** Output from config line 76, "floodguard enable"
 Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303 
 
 !--- 現在のすべてのフィックスアップは、
 !--- 新しいモジュラ ポリシー フレームワークに変換されます。
 
 INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
 INFO: converting 'fixup protocol ftp 21' to MPF commands
 INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
 INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
 INFO: converting 'fixup protocol http 80' to MPF commands
 INFO: converting 'fixup protocol ils 389' to MPF commands
 INFO: converting 'fixup protocol netbios 137-138' to MPF commands
 INFO: converting 'fixup protocol rsh 514' to MPF commands
 INFO: converting 'fixup protocol rtsp 554' to MPF commands
 INFO: converting 'fixup protocol sip 5060' to MPF commands
 INFO: converting 'fixup protocol skinny 2000' to MPF commands
 INFO: converting 'fixup protocol smtp 25' to MPF commands
 
 INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
 INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
 INFO: converting 'fixup protocol tftp 69' to MPF commands
 INFO: converting 'fixup protocol sip udp 5060' to MPF commands
 INFO: converting 'fixup protocol xdmcp 177' to MPF commands
   ************************************************************************
   **                                                                    **
   **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
   **                                                                    **
   **          ----> Current image running from RAM only! <----          **
   **                                                                    **
   **  When the PIX was upgraded in Monitor mode the boot image was not  **
   **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
   **  save a bootable image to Flash.  Failure to do so will result in  **
   **  a boot loop the next time the PIX is reloaded.                    **
   **                                                                    **
   ************************************************************************
 Type help or '?' for a list of available commands.
 pixfirewall>
 pixfirewall>enable
 Password:
 <password>
 
 pixfirewall# 
 pixfirewall#copy tftp flash
 Address or name of remote host []? 172.18.173.123
 Source filename []? pix701.bin
 Destination filename [pix701.bin]? 
 <enter>
 
 Accessing tftp://172.18.173.123/pix701.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 Writing file flash:/pix701.bin...
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 5124096 bytes copied in 139.790 secs (36864 bytes/sec)
 pixfirewall# 

copy tftp flash コマンドによる PIX セキュリティ アプライアンスのアップグレード

copy tftp flash コマンドを使用して PIX をアップグレードするには、次のステップを実行します。

  1. PIX アプライアンスのバイナリ イメージ(たとえば pix701.bin)を TFTP サーバのルート ディレクトリにコピーします。

  2. イネーブル プロンプトから、copy tftp flash コマンドを発行します。

    pixfirewall>enable
     Password:
     <password>
     
     pixfirewall#copy tftp flash
     
  3. TFTP サーバの IP アドレスを入力します。

    Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
     
  4. ロードする TFTP サーバ上のファイルの名前を入力します。これは PIX のバイナリ イメージのファイル名です。

    Source file name [cdisk]?
     <filename>
     
     
  5. TFTP コピーを開始するというプロンプトが表示されたら、yes と入力します。

    copying tftp://172.18.173.123/pix701.bin to flash:image
     [yes|no|again]?yes
     
  6. イメージが TFTP サーバからフラッシュにコピーされます。

    次のメッセージが表示されます。このメッセージは、転送が成功し、フラッシュ上の古いバイナリ イメージが消去され、新しいイメージが書き込まれてインストールされたことを示しています。

    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
     Received 5124096 bytes
     Erasing current image
     Writing 5066808 bytes of image
     !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
     Image installed
     pixfirewall#
  7. PIX アプライアンスをリロードして、新しいイメージをブートします。

    pixfirewall#reload
     Proceed with reload? [confirm] 
     <enter>
     
     Rebooting....
  8. この時点で、PIX は 7.0 のイメージをブートします。これでアップグレード プロセスは完了です。

設定例 - copy tftp flash コマンドによる PIX アプライアンスのアップグレード

pixfirewall#copy tftp flash
 Address or name of remote host [0.0.0.0]? 172.18.173.123
 Source file name [cdisk]? pix701.bin
 copying tftp://172.18.173.123/pix701.bin to flash:image
 [yes|no|again]? yes
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 Received 5124096 bytes
 Erasing current image
 Writing 5066808 bytes of image
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 Image installed
 pixfirewall# 
 pixfirewall#reload
 Proceed with reload? [confirm] 
 <enter>
 
 Rebooting..y
 CISCO SYSTEMS PIX FIREWALL
 Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
 Compiled by morlee
 128 MB RAM
 PCI Device Table.
 Bus Dev Func VendID DevID Class Irq
 00 00 00 8086 7192 Host Bridge 
 00 07 00 8086 7110 ISA Bridge 
 00 07 01 8086 7111 IDE Controller 
 00 07 02 8086 7112 Serial Bus 9
 00 07 03 8086 7113 PCI Bridge 
 00 0D 00 8086 1209 Ethernet 11
 00 0E 00 8086 1209 Ethernet 10
 00 13 00 11D4 2F44 Unknown Device 5
 Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
 Platform PIX-515E
 System Flash=E28F128J3 @ 0xfff00000
 Use BREAK or ESC to interrupt flash boot.
 Use SPACE to begin flash boot immediately.
 Reading 5063168 bytes of image from flash. 
 ##############################
 ##############################
 128MB RAM
 Total NICs found: 2
 mcwa i82559 Ethernet at irq 11 MAC: 0009.4360.ed44
 mcwa i82559 Ethernet at irq 10 MAC: 0009.4360.ed43
 BIOS Flash=am29f400b @ 0xd8000
 Old file system detected. Attempting to save data in flash
 
 !--- この出力は、フラッシュ ファイル システムがフォーマットされていることを示しています。
 !--- ことを示しています。このメッセージは通常のものです。
 
 Initializing flashfs...
 flashfs[7]: Checking block 0...block number was (-27642)
 flashfs[7]: erasing block 0...done.
 flashfs[7]: Checking block 1...block number was (-30053)
 flashfs[7]: erasing block 1...done.
 flashfs[7]: Checking block 2...block number was (-1220)
 flashfs[7]: erasing block 2...done.
 flashfs[7]: Checking block 3...block number was (-22934)
 flashfs[7]: erasing block 3...done.
 flashfs[7]: Checking block 4...block number was (2502)
 flashfs[7]: erasing block 4...done.
 flashfs[7]: Checking block 5...block number was (29877)
 flashfs[7]: erasing block 5...done.
 flashfs[7]: Checking block 6...block number was (-13768)
 flashfs[7]: erasing block 6...done.
 flashfs[7]: Checking block 7...block number was (9350)
 flashfs[7]: erasing block 7...done.
 flashfs[7]: Checking block 8...block number was (-18268)
 flashfs[7]: erasing block 8...done.
 flashfs[7]: Checking block 9...block number was (7921)
 flashfs[7]: erasing block 9...done.
 flashfs[7]: Checking block 10...block number was (22821)
 flashfs[7]: erasing block 10...done.
 flashfs[7]: Checking block 11...block number was (7787)
 flashfs[7]: erasing block 11...done.
 flashfs[7]: Checking block 12...block number was (15515)
 flashfs[7]: erasing block 12...done.
 flashfs[7]: Checking block 13...block number was (20019)
 flashfs[7]: erasing block 13...done.
 flashfs[7]: Checking block 14...block number was (-25094)
 flashfs[7]: erasing block 14...done.
 flashfs[7]: Checking block 15...block number was (-7515)
 flashfs[7]: erasing block 15...done.
 flashfs[7]: Checking block 16...block number was (-10699)
 flashfs[7]: erasing block 16...done.
 flashfs[7]: Checking block 17...block number was (6652)
 flashfs[7]: erasing block 17...done.
 flashfs[7]: Checking block 18...block number was (-23640)
 flashfs[7]: erasing block 18...done.
 flashfs[7]: Checking block 19...block number was (23698)
 flashfs[7]: erasing block 19...done.
 flashfs[7]: Checking block 20...block number was (-28882)
 flashfs[7]: erasing block 20...done.
 flashfs[7]: Checking block 21...block number was (2533)
 flashfs[7]: erasing block 21...done.
 flashfs[7]: Checking block 22...block number was (-966)
 flashfs[7]: erasing block 22...done.
 flashfs[7]: Checking block 23...block number was (-22888)
 flashfs[7]: erasing block 23...done.
 flashfs[7]: Checking block 24...block number was (-9762)
 flashfs[7]: erasing block 24...done.
 flashfs[7]: Checking block 25...block number was (9747)
 flashfs[7]: erasing block 25...done.
 flashfs[7]: Checking block 26...block number was (-22855)
 flashfs[7]: erasing block 26...done.
 flashfs[7]: Checking block 27...block number was (-32551)
 flashfs[7]: erasing block 27...done.
 flashfs[7]: Checking block 28...block number was (-13355)
 flashfs[7]: erasing block 28...done.
 flashfs[7]: Checking block 29...block number was (-29894)
 flashfs[7]: erasing block 29...done.
 flashfs[7]: Checking block 30...block number was (-18595)
 flashfs[7]: erasing block 30...done.
 flashfs[7]: Checking block 31...block number was (22095)
 flashfs[7]: erasing block 31...done.
 flashfs[7]: Checking block 32...block number was (1486)
 flashfs[7]: erasing block 32...done.
 flashfs[7]: Checking block 33...block number was (13559)
 flashfs[7]: erasing block 33...done.
 flashfs[7]: Checking block 34...block number was (24215)
 flashfs[7]: erasing block 34...done.
 flashfs[7]: Checking block 35...block number was (21670)
 flashfs[7]: erasing block 35...done.
 flashfs[7]: Checking block 36...block number was (-24316)
 flashfs[7]: erasing block 36...done.
 flashfs[7]: Checking block 37...block number was (29271)
 flashfs[7]: erasing block 37...done.
 flashfs[7]: Checking block 125...block number was (0)
 flashfs[7]: erasing block 125...done.
 flashfs[7]: inconsistent sector list, fileid 7, parent_fileid 0
 flashfs[7]: inconsistent sector list, fileid 12, parent_fileid 0
 flashfs[7]: 5 files, 3 directories
 flashfs[7]: 0 orphaned files, 0 orphaned directories
 flashfs[7]: Total bytes: 16128000
 flashfs[7]: Bytes used: 5128192
 flashfs[7]: Bytes available: 10999808
 flashfs[7]: flashfs fsck took 59 seconds.
 flashfs[7]: Initialization complete.
 Saving the configuration
 !
 Saving a copy of old configuration as downgrade.cfg
 !
 Saved the activation key from the flash image
 Saved the default firewall mode (single) to flash
 Saving image file as image.bin
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 Upgrade process complete
 Need to burn loader....
 Erasing sector 0...[OK]
 Burning sector 0...[OK]
 Licensed features for this platform:
 Maximum Physical Interfaces : 6 
 Maximum VLANs : 25 
 Inside Hosts : Unlimited 
 Failover : Active/Active
 VPN-DES : Enabled 
 VPN-3DES-AES : Enabled 
 Cut-through Proxy : Enabled 
 Guards : Enabled 
 URL Filtering : Enabled 
 Security Contexts : 2 
 GTP/GPRS : Disabled 
 VPN Peers : Unlimited 
 This platform has an Unrestricted (UR) license.
 Encryption hardware device : VAC (IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5)
 --------------------------------------------------------------------------
 . . 
 | | 
 ||| ||| 
 .|| ||. .|| ||. 
 .:||| | |||:..:||| | |||:. 
 C i s c o S y s t e m s 
 --------------------------------------------------------------------------
 Cisco PIX Security Appliance Software Version 7.0(1) 
 ****************************** Warning *******************************
 This product contains cryptographic features and is
 subject to United States and local country laws
 governing, import, export, transfer, and use.
 Delivery of Cisco cryptographic products does not
 imply third-party authority to import, export,
 distribute, or use encryption. Importers, exporters,
 distributors and users are responsible for compliance
 with U.S. and local country laws. By using this
 product you agree to comply with applicable laws and
 regulations. If you are unable to comply with U.S.
 and local laws, return the enclosed items immediately.
 A summary of U.S. laws governing Cisco cryptographic
 products may be found at:
 
 http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
 If you require further assistance please contact us by
 sending email to export@cisco.com.
 ******************************* Warning *******************************
 Copyright (c) 1996-2005 by Cisco Systems, Inc.
 Restricted Rights Legend
 Use, duplication, or disclosure by the Government is
 subject to restrictions as set forth in subparagraph
 (c) of the Commercial Computer Software - Restricted
 Rights clause at FAR sec. 52.227-19 and subparagraph
 (c) (1) (ii) of the Rights in Technical Data and Computer
 Software clause at DFARS sec. 252.227-7013.
 Cisco Systems, Inc.
 170 West Tasman Drive
 San Jose, California 95134-1706
 
 !--- これらのメッセージは、廃止されたコマンドに対して表示されます。
 
 ERROR: This command is no longer needed. The LOCAL user database is always enabled.
 *** Output from config line 50, "aaa-server LOCAL protoco..."
 ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
 *** Output from config line 55, "floodguard enable"
 Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 
 
 !--- 現在のすべてのフィックスアップは、新しいモジュラ ポリシー フレームワークに変換されます。
 
 INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
 INFO: converting 'fixup protocol ftp 21' to MPF commands
 INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
 INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
 INFO: converting 'fixup protocol http 80' to MPF commands
 INFO: converting 'fixup protocol netbios 137-138' to MPF commands
 INFO: converting 'fixup protocol rsh 514' to MPF commands
 INFO: converting 'fixup protocol rtsp 554' to MPF commands
 INFO: converting 'fixup protocol sip 5060' to MPF commands
 INFO: converting 'fixup protocol skinny 2000' to MPF commands
 INFO: converting 'fixup protocol smtp 25' to MPF commands
 INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
 INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
 INFO: converting 'fixup protocol tftp 69' to MPF commands
 INFO: converting 'fixup protocol sip udp 5060' to MPF commands
 INFO: converting 'fixup protocol xdmcp 177' to MPF commands
 Type help or '?' for a list of available commands.
 pixfirewall>

注: 制限のないライセンスを使用すると、PIX 515 E は最大 8 個の VLAN を持つことができ、PIX 535 は最大 25 個の VLAN を持つことができます。

PIX 7.x から 6.x へのダウングレード

PIX セキュリティ アプライアンス バージョン 7.0 以降では、以前の PIX バージョンとは異なるフラッシュ ファイルのフォーマットを使用します。したがって、7.0 のイメージから 6.x のイメージに copy tftp flash コマンドを使用してダウングレードすることはできません。代わりに downgrade コマンドを使用する必要があります。この手順に従わないと、PIX がブート時にループに陥ります。

PIX が最初にアップグレードされた時に、6.x のスタートアップ コンフィギュレーションはフラッシュに downgrade.cfg として保存されています。このダウングレード手順を実行すると、ダウングレード時にこの設定がデバイスに戻されます。この設定は、ダウングレードを行う前に、7.0 の enable> プロンプトから more flash:downgrade.cfg コマンドを発行することで確認できます。さらに、PIX がモニタ モードでアップグレードされた場合、以前の 6.x のバイナリ イメージはまだフラッシュに image_old.bin として保存されています。このイメージの有無を確認するには、show flash: コマンドを発行します。イメージがフラッシュ上にある場合は、この手順のステップ 1 で TFTP サーバからイメージをロードする代わりに、このイメージを使用できます。

PIX セキュリティ アプライアンスをダウングレードするには、次のステップを実行します。

  1. downgrade コマンドを入力して、ダウングレードするイメージの場所を指定します。

    pixfirewall#downgrade tftp://<tftp_server_ip_address>/<filename>
     

    注: PIX をモニタ モードからアップグレードした場合は、古いバイナリ イメージはまだフラッシュに保存されています。そのイメージにダウングレードする場合は、次のコマンドを発行します。

    pixfirewall#downgrade flash:/image_old.bin
     
  2. フラッシュがフォーマットされようとしていることを警告するメッセージが表示されます。継続する場合は Enter キーを押します。

    This command will reformat the flash and automatically reboot the system.
     Do you wish to continue? [confirm]  
     <enter>
     
     
  3. イメージが RAM にコピーされます。また、スタートアップ コンフィギュレーションも RAM にコピーされます。

    Buffering image
     !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
     !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
     Buffering startup config
     All items have been buffered successfully
  4. フラッシュのフォーマットを開始することを示す 2 番目の警告メッセージが表示されます。このプロセスを中断しないでください。中断するとフラッシュが破損する場合があります。フォーマットを継続する場合は Enter キーを押します。

    If the flash reformat is interrupted or fails, 
     data in flash will be lost
     and the system might drop to monitor mode.
     Do you wish to continue? [confirm] 
     <enter>
     
     
  5. フラッシュがフォーマットされ、古いイメージがインストールされ、PIX がリブートします。

    Acquiring exclusive access to flash
     Installing the correct file system for the image and 
     saving the buffered data
     !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
     !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
     Flash downgrade succeeded
     Rebooting....
  6. PIX がブートし、通常のプロンプトが表示されます。これでダウングレード プロセスは完了です。

設定例 - PIX 7.x から 6.x へのダウングレード

pixfirewall#downgrade tftp://172.18.108.26/pix634.bin
 This command will reformat the flash and automatically reboot the system.
 Do you wish to continue? [confirm] 
 <enter>
 
 Buffering image
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 Buffering startup config
 All items have been buffered successfully.
 If the flash reformat is interrupted or fails, data in flash will be lost
 and the system might drop to monitor mode.
 Do you wish to continue? [confirm] 
 Acquiring exclusive access to flash
 Installing the correct file system for the image and saving the buffered data
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 Flash downgrade succeeded
 
 Rebooting....
 CISCO SYSTEMS PIX FIREWALL
 Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
 Compiled by morlee
 128 MB RAM
 PCI Device Table.
 Bus Dev Func VendID DevID Class Irq
 00 00 00 8086 7192 Host Bridge 
 00 07 00 8086 7110 ISA Bridge 
 00 07 01 8086 7111 IDE Controller 
 00 07 02 8086 7112 Serial Bus 9
 00 07 03 8086 7113 PCI Bridge 
 00 0D 00 8086 1209 Ethernet 11
 00 0E 00 8086 1209 Ethernet 10
 00 13 00 11D4 2F44 Unknown Device 5
 Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
 Platform PIX-515E
 System Flash=E28F128J3 @ 0xfff00000
 Use BREAK or ESC to interrupt flash boot.
 Use SPACE to begin flash boot immediately.
 Reading 1962496 bytes of image from flash. 
 #
 ##############################
 128MB RAM
 mcwa i82559 Ethernet at irq 11 MAC: 0009.4360.ed44
 mcwa i82559 Ethernet at irq 10 MAC: 0009.4360.ed43
 System Flash=E28F128J3 @ 0xfff00000
 BIOS Flash=am29f400b @ 0xd8000
 IRE2141 with 2048KB
 -----------------------------------------------------------------------
 || ||
 || ||
 |||| ||||
 ..:||||||:..:||||||:..
 c i s c o S y s t e m s 
 Private Internet eXchange
 -----------------------------------------------------------------------
 Cisco PIX Firewall
 Cisco PIX Firewall Version 6.3(4)
 Licensed Features:
 Failover: Enabled
 VPN-DES: Enabled
 VPN-3DES-AES: Enabled
 Maximum Physical Interfaces: 6
 Maximum Interfaces: 10
 Cut-through Proxy: Enabled
 Guards: Enabled
 URL-filtering: Enabled
 Inside Hosts: Unlimited
 Throughput: Unlimited
 IKE peers: Unlimited
 This PIX has an Unrestricted (UR) license.
 ****************************** Warning *******************************
 Compliance with U.S. Export Laws and Regulations - Encryption.
 This product performs encryption and is regulated for export
 by the U.S. Government.
 This product is not authorized for use by persons located
 outside the United States and Canada that do not have prior
 approval from Cisco Systems, Inc. or the U.S. Government.
 This product may not be exported outside the U.S. and Canada
 either by physical or electronic means without PRIOR approval
 of Cisco Systems, Inc. or the U.S. Government.
 Persons outside the U.S. and Canada may not re-export, resell
 or transfer this product by either physical or electronic means
 without prior approval of Cisco Systems, Inc. or the U.S.
 Government.
 ******************************* Warning *******************************
 Copyright (c) 1996-2003 by Cisco Systems, Inc.
 Restricted Rights Legend
 Use, duplication, or disclosure by the Government is
 subject to restrictions as set forth in subparagraph
 (c) of the Commercial Computer Software - Restricted
 Rights clause at FAR sec. 52.227-19 and subparagraph
 (c) (1) (ii) of the Rights in Technical Data and Computer
 Software clause at DFARS sec. 252.227-7013.
 Cisco Systems, Inc.
 170 West Tasman Drive
 San Jose, California 95134-1706
 Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 
 Type help or '?' for a list of available commands.
 pixfirewall>

フェールオーバーの設定での PIX アプライアンスのアップグレード

PIX アプライアンス 6.x から 7.x へのアップグレードは、大きなアップグレードです。PIX にフェールオーバーの設定がされていても、ダウンタイムなしで実行することはできません。フェールオーバーのコマンドの多くは、アップグレードによって変わります。推奨するアップグレード パスとしては、まずフェールオーバー設定のいずれかの PIX の電源をオフにします。次に、このドキュメントの説明に従って、電源がオンの状態の PIX をアップグレードします。アップグレードが完了したら、トラフィックが通過していることを確認します。また、PIX を一度リブートして、問題なく復帰することを確認します。すべてが正しく動作することを確認したら、新しくアップグレードした PIX の電源をオフにして、もう一方の PIX の電源をオンにします。このドキュメントの説明に従って、その PIX をアップグレードします。アップグレードが完了したら、トラフィックが通過していることを確認します。また、PIX を一度リブートして、問題なく復帰することを確認します。すべてが正しく動作することを確認したら、もう一方の PIX の電源をオンにします。両方の PIX が 7.0 にアップグレードされ、電源がオンになりました。show failover コマンドを使用して、フェールオーバーの通信が正しく確立していることを確認します。

注: 現在 PIX では、データ トラフィックを通過させるインターフェイスは、LAN フェールオーバー インターフェイス、あるいはステートフル フェールオーバー インターフェイスとしては使用できないという制限があります。現在の PIX の設定に、通常のデータ トラフィックと一緒に LAN フェールオーバー情報やステートフル情報を通過させる共有インターフェイスが含まれている場合は、アップグレードすると、データ トラフィックはこのインターフェイスを通過できなくなります。このインターフェイスに関連付けられているコマンドも実行できなくなります。

Adaptive Security Device Manager(ASDM)のインストール

シスコでは、ASDM をインストールする前に、インストールしようとしているバージョンのリリース ノートを読まれることを推奨しています。リリース ノートには、サポートされている最低限必要なブラウザや Java のバージョン、サポートされている新しい機能や公開されている注意事項のリストが記載されています。

ASDM のインストール手順は、バージョン 7.0 では以前の手順とわずかに異なります。また、ASDM イメージがフラッシュへコピーされたら、PIX がこれを使用するように、設定で指定する必要があります。ASDM イメージをフラッシュにインストールするには、次のステップを実行します。

  1. ASDM イメージ登録ユーザ専用)を Cisco.com からダウンロードして、TFTP サーバのルート ディレクトリに置きます。

  2. PIX から TFTP サーバへの IP 接続が確立されていることを確認します。これを行うには、TFTP サーバから PIX に PING を実行します。

  3. イネーブル プロンプトから、copy tftp flash コマンドを発行します。

    pixfirewall>enable
     Password: 
     <password>
     
     pixfirewall#copy tftp flash
     
  4. TFTP サーバの IP アドレスを入力します。

    Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
     
  5. ロードする TFTP サーバ上の ASDM ファイルの名前を入力します。

    Source file name [cdisk]? <filename>
     
  6. フラッシュに保存する ASDM ファイルの名前を入力します。同じファイル名のままにするには、Enter キーを押します。

    Destination filename [asdm-501.bin]? <enter>
     
  7. イメージが TFTP サーバからフラッシュにコピーされます。転送に成功したことを示す次のメッセージが表示されます。

    Accessing tftp://172.18.173.123/asdm-501.bin...
     !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
     !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
     !!!!!!!!!!!!!!!!
     Writing file flash:/asdm-501.bin...
     !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
     !!!!!!!!!!!!!!!!!!!!
     5880016 bytes copied in 140.710 secs (42000 bytes/sec)
  8. ASDM イメージがコピーされたら、asdm image flash: コマンドを発行して、使用する ASDM イメージを指定します。

    pixfirewall(config)#asdm image flash:asdm-501.bin
     
  9. write memory コマンドを発行して、設定をフラッシュに保存します。

    pixfirewall(config)#write memory
     
  10. これで ASDM のインストール プロセスは完了です。

トラブルシューティング

症状

解決策

PIX のアップグレードに copy tftp flash 方式を使用した後リブートすると、次のようなリブートのループ状態になる。

 Cisco Secure PIX Firewall BIOS (4.0) #0: 
 Thu Mar  2 22:59:20 PST 2000
 Platform PIX-515
 Flash=i28F640J5 @ 0x300
 Use BREAK or ESC to interrupt flash boot.
 Use SPACE to begin flash boot immediately.
 Reading 5063168 bytes of image from flash.   

BIOS バージョンが 4.2 より前の PIX アプライアンスは、copy tftp flash コマンドを使用する方法でアップグレードすることはできません。このような装置はモニタ モードを使用する方法でアップグレードする必要があります。

PIX で 7.0 を実行した後、リブートすると、次のようなリブートのループの状態になる。

Rebooting....
 Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000
 Platform PIX-515
 Flash=i28F640J5 @ 0x300
 Use BREAK or ESC to interrupt flash boot.
 Use SPACE to begin flash boot immediately.
 Reading 115200 bytes of image from flash. 
 PIX Flash Load Helper
 Initializing flashfs...
 flashfs[0]: 10 files, 4 directories
 flashfs[0]: 0 orphaned files, 0 orphaned directories
 flashfs[0]: Total bytes: 15998976
 flashfs[0]: Bytes used: 1975808
 flashfs[0]: Bytes available: 14023168
 flashfs[0]: Initialization complete.
 Unable to locate boot image configuration
 Booting first image in flash
 No bootable image in flash. Please download 
 an image from a network server in the monitor mode
 Failed to find an image to boot
 

PIX をモニタ モードから 7.0 へアップグレードしたものの、7.0 の初回ブート後に 7.0 のイメージがフラッシュに再コピーされなかった場合は、PIX がリロードされたときにリブートのループ状態になります。

解決策は、モニタ モードからイメージを再度ロードすることです。ブートアップ後、copy tftp flash コマンドを使用して、イメージをもう一度コピーする必要があります。

copy tftp flash コマンドを使用する方法でアップグレードすると、次のエラー メッセージが表示される。

pixfirewall#copy tftp flash
 Address or name of remote host [0.0.0.0]? 172.18.173.123
 Source file name [cdisk]? pix701.bin
 copying tftp://172.18.173.123/pix701.bin to flash:image
 [yes|no|again]? y
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 Received 5124096 bytes
 Erasing current image
 Insufficient flash space available for this request:
 Size info: request:5066808 current:1966136 delta:3100672 free:2752512
 Image not installed
 pixfirewall# 

通常、このメッセージは、PIX-535 または PIX-515(E でないもの)を copy tftp flash を使用する方法でアップグレードして、PDM もこの PIX のフラッシュにロードされている場合に表示されます。

解決策は、モニタ モードでアップグレードすることです。

PIX を 6.x から 7.0 へアップグレードした後、一部の設定が正しく移行されない。

show startup-config errors コマンドの出力には、設定の移行中に発生したエラーが表示されます。エラーは PIX を初めてブートした後にこの出力に表示されます。これらのエラーを調べて、解決を試みてください。

PIX でバージョン 7.0 が実行されており、新しいバージョンをインストールした。PIX のリブート時に、古いバージョンが引き続きロードされる。

PIX バージョン 7.0 では、フラッシュに複数のイメージを保存できます。PIX は最初に設定を参照して、boot system flash: コマンドを探します。これらのコマンドでは、PIX がブートする必要のあるイメージを指定しています。boot system flash: コマンドが見つからない場合は、PIX はフラッシュ内の最初のブート可能なイメージをブートします。別のバージョンをブートするには、boot system flash:/<filename> コマンドを使用してそのファイルを指定します。

ASDM イメージがフラッシュにロードされているが、ユーザがブラウザで ASDM をロードできない。

まず、フラッシュにロードされている ASDM ファイルが asdm image flash://<asdm_file> コマンドで指定されていることを確認します。次に、http server enable コマンドが設定にあることを確認します。最後に、ASDM をロードしようとしているホストが、http <address> <mask> <interface> コマンドで許可されていることを確認します。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 63879