IP : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA:フェールオーバー ペアのライセンス キーのアップグレード

2010 年 12 月 14 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2009 年 3 月 9 日) | フィードバック

PIX/ASA:フェールオーバー ペアのライセンス キーのアップグレード

概要

フェールオーバー ユニット用のライセンスをアップグレードする間は、ネットワークのダウン時間が生じるのは避けられません。しかし、ダウン時間を最小限に抑えることはできます。このドキュメントでは、フェールオーバー ペアのライセンスをアップグレードする際に、ダウン時間を最小限に抑える方法を取り上げます。

Cisco PIX 515、515E、525、および 535 セキュリティ アプライアンスは、プラットフォーム ライセンスの概念をサポートします。ライセンス レベルには、制限付き(®)、無制限(UR)、フェールオーバー(FO)、およびフェールオーバー- アクティブ/アクティブ(FO-AA)があります。

セキュリティ アプライアンスでは、アクティブ/アクティブ フェールオーバーおよびアクティブ/スタンバイ フェールオーバーの 2 種類のフェールオーバー設定がサポートされています。

PIX/ASA アクティブ/スタンバイ フェールオーバーの概要説明を含む設定例については、「PIX/ASA:アクティブ/スタンバイ フェールオーバーの設定例」を参照してください。

PIX/ASA アクティブ/アクティブ フェールオーバーの概要説明を含む設定例については、「PIX/ASA:アクティブ/アクティブ フェールオーバーの設定例」を参照してください。



前提条件

要件

次の項目に関する知識があることが推奨されます。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco PIX 515、515E、525、および 535 セキュリティ アプライアンスのバージョン 7.x 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。



関連製品

この設定は、Cisco ASA セキュリティ アプライアンス バージョン 7.x 以降でも使用できます。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



ライセンスのアップグレード手順

フェールオーバー ペアのライセンスをアップグレードするには、以下の手順に従います。



新しいアクティベーション キー

デフォルトでは、PIX のライセンスは「制限付き」(®)です。「制限付き」のソフトウェア バンドルから、接続数の増加、フェールオーバー、IPSec、追加インターフェイスなどの追加機能をサポートするバンドルにアップグレードする場合は、新しいアクティベーション キーが必要です。また、PIX でフラッシュ アップグレードを行った後に、新しいアクティベーション キーが必要になる場合があります。

アクティベーション キーを要求するには、licensing@cisco.com に電子メールを送信してください。この場合、PIX のシリアル番号(フラッシュをアップグレードする場合はフラッシュ カードのシリアル番号)および show version コマンドの出力を添付してください。AES/3DES アクティベーション キーを要求するには、『Cisco ASA 3DES/AES ライセンス登録』(登録ユーザ専用)ページにアクセスしてください。

注:ERROR:Failed to update flash activation key」というエラーが返された場合は、アクティベーション キーに問題があります。このエラーを解決するには、新しいアクティベーション キーを要求してください。

次の show version コマンド サンプルは、セキュリティ アプライアンスのシリアル番号とアクティベーション キーを示します。

pix# show version

Cisco PIX Security Appliance Software Version 7.1(1)
Device Manager Version 5.1(1)

Compiled on Thu 19-Jan-06 15:02 by builders
System image file is "flash:/pix711.bin"
Config file at boot was "startup-config"

pix up 7 days 20 hours

Hardware:   PIX-515E, 128 MB RAM, CPU Pentium II 433 MHz
Flash E28F128J3 @ 0xfff00000, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
 0: Ext: Ethernet0           : address is 000f.908f.2d45, irq 10
 1: Ext: Ethernet1           : address is 000f.908f.2d46, irq 11
 2: Ext: Ethernet2           : address is 0005.5d19.7ad0, irq 11
 3: Ext: Ethernet3           : address is 0005.5d19.7ad1, irq 10
 4: Ext: Ethernet4           : address is 0005.5d19.7ad2, irq 9
 5: Ext: Ethernet5           : address is 0005.5d19.7ad3, irq 5

Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs               : 25
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.

Serial Number: 808150103
Running Activation Key: 0x8f5bdba6 0x0963cc7f 0xfeffd300 0x9b00f19d
Configuration last modified by enable_15 at 01:42:55.492 UTC Wed May 31 2006


ライセンスのアップグレード

Cisco から新しいアクティベーション キーを受け取ったら、個々の PIX にログインし、config terminal モードでキーを手動で入力してください。

注:ライセンスの種類によっては、アクティブ化した後で、セキュリティ アプライアンスのリロードが必要です。リロードが必要なライセンスのリストについては、「ライセンスのリロード要件」を参考にしてください。

PIX セキュリティ アプライアンス バージョン 7.0 以降では、次の 2 種類のライセンス キーをサポートしています。

  • 既存の 4 タプルのライセンス キー(PIX バージョン 6.3 以前)

  • 新しい 5 タプルのライセンス キー(PIX セキュリティ アプライアンス バージョン 7.0 以降のみ)

構文:activation-key [activation-key-four-tuple | activation-key-five-tuple]

例:

pix(config)# activation-key 0xe02888da
	 0x4ba7bed6 0xf1c123ae 0xffd8624e


CLI を使用したフェールオーバー用ライセンスのアップグレード(リロード不要)

リロードの必要がない新しいライセンスの場合は、次の手順に従ってください。この手順どおりに操作すると、ダウン時間がなくなります。

  1. アクティブ ユニットで no failover コマンドを使用して、アクティブ ユニットのフェールオーバーをディセーブルにします。スタンバイ ユニットは、擬似スタンバイ状態のままになります。アクティブ ユニットでフェールオーバーを無効にすると、スタンバイ ユニットが、ライセンスの照合が終わらないうちにアクティブ化されるのを回避できます。

  2. アクティブ ユニットで activation-key key コマンドを使用して、アクティブ ユニットに新しいライセンスをインストールします。ライセンスが、アクティブ ユニットのシリアル番号用であることを確認してください。

  3. スタンバイ ユニットで activation-key key コマンドを使用して、スタンバイ ユニットに新しいライセンスをインストールします。ライセンスが、スタンバイ ユニットのシリアル番号用であることを確認してください。

  4. failover コマンドを使用して、アクティブ ユニットのフェールオーバーを有効にします。手順は以上です。

    注:ライセンスをアップグレードする前に、両方のユニットが正しく動作していて、フェールオーバー LAN インターフェイスが起動し、緊急のフェイルオーバー イベントがないことを確認してください。たとえば、監視対象のインターフェイスが正常に動作していることを確認します。各ユニットで、show failover コマンドを入力します。あるいは、ASDM で [Monitoring] > [Properties] > [Failover] > [Status] を選択し、フェールオーバー ス テータスと監視対象インターフェイスのテータスを表示します。



ASDM を使用したフェールオーバー用ライセンスのアップグレード(リロード不要)

リロードの必要がない新しいライセンスの場合は、ASDM を使用して次の手順に従ってください。この手順どおりに操作すると、ダウン時間がなくなります。

  1. アクティブ ユニットで、[Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup] を選択し、[Enable Failover] チェック ボックスのチェック マークを外します。次に、[Apply] をクリックします。スタンバイ ユニットは、擬似スタンバイ状態のままになります。アクティブ ユニットでフェールオーバーを無効にすると、スタンバイ ユニットが、ライセンスの照合が終わらないうちにアクティブ化されるのを回避できます。

  2. [Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択して、アクティブ ユニットのシリアル番号とともに入手した新しいアクティベーション キーを入力します。次に、[Update Activation Key] をクリックします。

  3. デバイス リストのアドレスをダブルクリックして、スタンバイ ユニットにログインします。デバイスがデバイス リストにない場合は、[Add] をクリックして、デバイスを追加します。ログインする際に、クレデンシャルが要求されることがあります。

  4. [Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択して、スタンバイ ユニットのシリアル番号とともに入手した新しいアクティベーション キーを入力します。次に、[Update Activation Key] をクリックします。

  5. デバイス リストのアドレスをダブルクリックして、アクティブ ユニットにログインします。[Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup] を選択して、[Enable Failover] チェック ボックスに再度チェック マークを入れます。

  6. [Apply] をクリックします。手順は以上です。



CLI を使用したフェールオーバー用ライセンスのアップグレード(リロード要)

リロードが必要な新しいライセンスの場合は、次の手順に従ってください。フェールオーバー ペアをリロードすると、リロード中に接続が失われます。

  1. アクティブ ユニットで no failover コマンドを使用して、アクティブ ユニットのフェールオーバーをディセーブルにします。スタンバイ ユニットは、擬似スタンバイ状態のままになります。アクティブ ユニットでフェールオーバーを無効にすると、スタンバイ ユニットが、ライセンスの照合が終わらないうちにアクティブ化されるのを回避できます。

  2. アクティブ ユニットで activation-key key コマンドを使用して、アクティブ ユニットに新しいライセンスをインストールします。ライセンスが、アクティブ ユニットのシリアル番号用であることを確認してください。

    注:リロードが必要な場合は、次のメッセージが表示されます。WARNING:The running activation key was not updated with the requested key.The flash activation key was updated with the requested key, and will become active after the next reload.

  3. スタンバイ ユニットで activation-key key コマンドを使用して、スタンバイ ユニットに新しいライセンスをインストールします。ライセンスが、スタンバイ ユニットのシリアル番号用であることを確認してください。

  4. reload コマンドを使用して、スタンバイ ユニットをリロードします。

  5. アクティブ ユニットをリロードします。リロードする前に設定を保存するかどうかという確認が表示されたら、No と答えてください。これは、アクティブ ユニットが再びアクティブになったときに、フェールオーバーが引き続きイネーブルな状態になることを意味します。手順は以上です。

    注:ライセンスをアップグレードする前に、両方のユニットが正しく動作していて、フェールオーバー LAN インターフェイスが起動し、緊急のフェイルオーバー イベントがないことを確認してください。たとえば、監視対象のインターフェイスが正常に動作していることを確認します。各ユニットで、show failover コマンドを入力します。あるいは、ASDM で [Monitoring] > [Properties] > [Failover] > [Status] を選択し、フェールオーバー ス テータスと監視対象インターフェイスのテータスを表示します。



ASDM を使用したフェールオーバー用ライセンスのアップグレード(リロード要)

リロードが必要な新しいライセンスの場合は、ASDM を使用して次の手順に従ってください。フェールオーバー ペアをリロードすると、リロード中に接続が失われます。

  1. アクティブ ユニットで、[Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup] を選択し、[Enable Failover] チェック ボックスのチェック マークを外します。次に、[Apply] をクリックします。スタンバイ ユニットは、擬似スタンバイ状態のままになります。アクティブ ユニットでフェールオーバーを無効にすると、スタンバイ ユニットが、ライセンスの照合が終わらないうちにアクティブ化されるのを回避できます。

  2. [Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択して、アクティブ ユニットのシリアル番号とともに入手した新しいアクティベーション キーを入力します。次に、[Update Activation Key] をクリックします。

  3. デバイス リストのアドレスをダブルクリックして、スタンバイ ユニットにログインします。デバイスがデバイス リストにない場合は、[Add] をクリックして、デバイスを追加します。ログインする際に、クレデンシャルが要求されることがあります。

  4. [Configuration] > [Device Management] > [Licensing] > [Activation Key] を選択して、スタンバイ ユニットのシリアル番号とともに入手した新しいアクティベーション キーを入力します。次に、[Update Activation Key] をクリックします。

  5. デバイス リストのアドレスをダブルクリックして、アクティブ ユニットにログインします。[Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup] を選択して、[Enable Failover] チェック ボックスに再度チェック マークを入れます。次に、[Apply] をクリックします。

  6. [Tools] > [System Reload] を選択して、アクティブ セキュリティ アプライアンスのリロードをスケジュールします。

  7. 希望する時間にセキュリティ プライアンスをリロードするよう、リロード オプションを選択して、[Schedule Reload] をクリックします。サービスへの影響が最も少ない時間を選択してください。

  8. デバイス リストのアドレスをダブルクリックして、スタンバイ ユニットに再度ログインします。

  9. [Tools] > [System Reload] を選択して、スタンバイ セキュリティ アプライアンスのリロードをスケジュールします。

  10. アクティブ ユニットで選択したのと同じ時間にセキュリティ プライアンスをリロードするよう、リロード オプションを選択して、[Schedule Reload] をクリックします。

  11. 両方のユニットが同時にリロードされ、新しいライセンスが有効になります。手順は以上です。

注:プライマリ ユニットがスタンバイになっている場合は、次のとおり手順を逆に実行してください。プライマリ PIX をセカンダリ PIX に読み替え、セカンダリ PIX をプライマリ PIX に読み替えてください。



キーの確認

プライマリ ユニットとセカンダリ ユニットで show version または show activation-key コマンドを発行すると、アップデートされたライセンスを確認できます。




関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 70390