セキュリティ : Cisco 侵入防御システム

IPS は ASA フェールオーバー ペア 設定例のモジュールのためのプロセスをイメージ変更します

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料が適応性があるセキュリティ アプライアンス モデル(ASA)フェールオーバー ペアのハードウェアかソフトウェア 侵入防御システム(IPS) モジュールをイメージ変更するために必要なプロセスを説明したものです。 このプロセスはファイアウォール アプライアンスの Cisco ASA 5500 および 5500-X シリーズに適用することができます。 この資料の設定例はアクティブ/スタンバイ な フェールオーバー 設定のためです。 同じようなプロセスはアクティブの/アクティブコンフィギュレーションで従うことができます; ただし、リロードが実行された前に動作するアクティブなコンテキストがないことを確認して下さい。

Cisco TAC エンジニア Todd Pula 著

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • IPS ソフトウェアアップグレードのための Command Line Interface (CLI)の使用
  • ASA フェールオーバー 設定のための CLI の使用

使用するコンポーネント

この文書に記載されている情報はセキュリティ サービス モジュール(SSM)、セキュリティ サービス プロセッサ(SSP)、およびファイアウォール アプライアンスの ASA 5500 および 5500-X シリーズのソフトウェア IPS モジュールに基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

ある特定の状況で、ASA フェールオーバー ペア配備の IPS ハードウェアかソフトウエアモジュールをイメージ変更することは必要であるかもしれません。 たとえば、7.0(8) をリリースするリリース 7.1(7) からのダウングレードは IPS オペレーティング システムのための形式的なダウングレード オプションがないので、イメージ変更を必要とします。 これらのステップがイメージ変更の間にネットワーク停止または偽フェールオーバーの可能性を最小限に抑えるのに使用されています。

  1. スタンバイ ASA の IPS モジュールのイメージ変更プロセスを完了して下さい。
  2. スタンバイ ASA にアクティブ ASA をして下さい。
  3. 新しいスタンバイ ASA (前のアクティブ)のイメージ変更プロセスを完了して下さい。
  4. ACTIVE 状態に新しいスタンバイ ASA を、必要であれば復元する。

: モジュールが両方とも FAILED 状態にあるところでまれな状況の場合、最初のモジュールによって持って来られるオンラインにより ASA はフェールオーバー状態に優先します。 たとえば、プライマリ ASA に ACTIVE 状態があり、ダウン の 状態で子 モジュールがあります。 スタンバイ ASA の IPS はダウン の 状態にまたあります。 IPS はスタンバイ ASA でそれから再起動します。 プライマリ アクティブ ASA の FAILED 状態の IPS を使うと、フェールオーバー プロセスはスタンバイをより好ましい考慮し、アクティブになるために強制します。

設定

第 一歩

  1. CLI を使用して外部サーバに両方のセンサーの現在の実行コンフィギュレーションをバックアップして下さい(たとえば: 現在の構成 ftp://cisco123:cisco123@10.10.10.10/ips1-backup) をコピーして下さい
  2. 外部 TFTPサーバで IPS システムイメージファイルを置いて下さい(たとえば: IPS-SSM_40-K9-sys-1.1-a-7.0-8-E4.img)。

イメージ変更して下さい現在のスタンバイ ASA (ASA 5500 シリーズだけ)の IPS を

  1. コンソール、Telnet、またはセキュア シェル(SSH)によってスタンバイ ASA の CLI に接続して下さい。
  2. ASA がスタンバイユニットであることを確認するために show failover コマンドを入力して下さい。
  3. hw-module モジュール 1 を回復 し、ASA の configure コマンドを行います適切な IP/TFTP 設定を入力して下さい。
  4. hw-module モジュール 1 をイメージを変換し、IPS モジュールを再起動するために回復 します ASA の boot コマンドを入力して下さい。
  5. show module 1 詳細をリカバリ ステータスを監視するために命じます ASA で入力して下さい。
  6. 完了される、IPS モジュールに接続するために ASA のセッション 1 コマンドを入力して下さい。
  7. IPS で、setup コマンドを入力し、IP サブネット マスク/Gateway/ACL を設定して下さい。
  8. ネットワークの IPS モジュール背部によって、CLI によって前の configuraton を復元する(たとえば: ftp://cisco123:cisco123@10.10.10.10/ips1-backup 現在の構成をコピーして下さい)
  9. IPS 実行コンフィギュレーションが更新済であることを確認するために、show config コマンドを入力して下さい。
  10. シグニチャ ライセンスを再インストールし、シグニチャ 定義を要求に応じてアップグレードして下さい。
  11. スタンバイ ASA で、スタンバイユニット アクティブを作るために failover active コマンドを入力して下さい。

イメージ変更して下さい新しいスタンバイ ASA (ASA 5500 シリーズだけ)の IPS を

  1. コンソール、Telnet、または SSH によって新しいスタンバイ ASA の CLI に接続して下さい。
  2. ASA が新しいスタンバイユニットであることを確認するために show failover コマンドを入力して下さい。
  3. hw-module モジュール 1 を回復 し、ASA の configure コマンドを行います適切な IP/TFTP 設定を入力して下さい。
  4. hw-module モジュール 1 をイメージを変換し、IPS モジュールを再起動するために回復 します ASA の boot コマンドを入力して下さい。
  5. show module 1 詳細をリカバリ ステータスを監視するために命じます ASA で入力して下さい。
  6. 完了される、IPS モジュールに接続するために ASA のセッション 1 コマンドを入力して下さい。
  7. IPS で、setup コマンドを入力し、IP サブネット マスク/Gateway/ACL を設定して下さい。
  8. ネットワークの IPS モジュール背部によって、CLI によって以前のコンフィギュレーションを復元する(たとえば: ftp://cisco123:cisco123@10.10.10.10/ips1-backup 現在の構成をコピーして下さい)。
  9. IPS 実行コンフィギュレーションが更新済であることを確認するために、show config コマンドを入力して下さい。
  10. シグニチャ ライセンスを再インストールし、シグニチャ 定義を要求に応じてアップグレードして下さい。
  11. 必要であれば、ACTIVE 状態にそれを復元するために新しいスタンバイユニットの failover active コマンドを入力して下さい。

イメージ変更して下さい現在のスタンバイ ASA (ASA 5500-X シリーズだけ)の IPS を

  1. コンソール、Telnet、または SSH によってスタンバイ ASA の CLI に接続して下さい。
  2. ASA がスタンバイユニットであることを確認するために show failover コマンドを入力して下さい。
  3. sw モジュール モジュール IPS を回復 し、ASA の configure コマンドを行います適切な IP/TFTP 設定を入力して下さい。
  4. sw モジュール モジュール IPS をイメージを変換し、IPS モジュールを再起動するために回復 します ASA の boot コマンドを入力して下さい。
  5. show module IPS 詳細をリカバリ ステータスを監視するために命じます ASA で入力して下さい。
  6. 完了される、IPS モジュールに接続するために ASA のセッション IPS コマンドを入力して下さい。
  7. IPS で、setup コマンドを入力し、IP サブネット マスク/Gateway/ACL を設定して下さい。
  8. ネットワークの IPS モジュール背部によって、CLI によって前の構成を復元する(たとえば: ftp://cisco123:cisco123@10.10.10.10/ips1-backup 現在の構成をコピーして下さい)
  9. IPS 実行コンフィギュレーションが更新済であることを確認するために、show config コマンドを入力して下さい。
  10. シグニチャ ライセンスを再インストールし、シグニチャ 定義を要求に応じてアップグレードして下さい。
  11. スタンバイ ASA で、スタンバイユニット アクティブを作るために failover active コマンドを入力して下さい。

イメージ変更して下さい新しいスタンバイ ASA (ASA 5500-X シリーズだけ)の IPS を

  1. コンソール、Telnet、または SSH によって新しいスタンバイ ASA の CLI に接続して下さい。
  2. ASA が新しいスタンバイユニットであることを確認するために show failover コマンドを入力して下さい。
  3. sw モジュール モジュール IPS を回復 し、ASA の configure コマンドを行います適切な IP/TFTP 設定を入力して下さい。
  4. sw モジュール モジュール IPS をイメージを変換し、IPS モジュールを再起動するために回復 します ASA の boot コマンドを入力して下さい。
  5. show module IPS 詳細をリカバリ ステータスを監視するために命じます ASA で入力して下さい。
  6. 完了される、IPS モジュールに接続するために ASA のセッション IPS コマンドを入力して下さい。
  7. IPS で、setup コマンドを入力し、IP サブネット マスク/Gateway/ACL を設定して下さい。
  8. ネットワークの IPS モジュール背部によって、CLI によって以前のコンフィギュレーションを復元する(たとえば: ftp://cisco123:cisco123@10.10.10.10/ips1-backup 現在の構成をコピーして下さい)。
  9. IPS 実行コンフィギュレーションが更新済であることを確認するために、show config コマンドを入力して下さい。
  10. シグニチャ ライセンスを再インストールし、シグニチャ 定義を要求に応じてアップグレードして下さい。
  11. 必要であれば、ACTIVE 状態にそれを復元するために新しいスタンバイユニットの failover active コマンドを入力して下さい。

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

確認

ここでは、設定が正常に動作していることを確認します。

アウトプット インタープリタ ツール登録ユーザ専用)は、特定の show コマンドをサポートしています。 showコマンド出力の分析を表示するために Output Interpreter ツールを使用して下さい。

  • show failover - ASA で入力されたとき、show failover コマンドは現在のフェールオーバ ステータスを表示する、状態およびオペレーティングシステムのバージョンをインターフェイスさせます。
  • show failover ヒストリ- show failover history コマンドは ASA のタイムスタンプ付きフェールオーバー イベントのリストを表示する。
  • show module 1 詳細- show module 1 詳細 コマンドは ASA 5500 シリーズで IPS モジュールのオペレーティング システム、ネットワーク設定および制御/Dチャネル状態を表示するために使用されます。
  • show module IPS 詳細- show module IPS detials コマンドは ASA 5500-X シリーズで IPS モジュールのオペレーティング システム、ネットワーク設定および制御/Dチャネル状態を表示するために使用されます。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

  • debug module-boot [レベル] - IPS モジュールブート プロセスに関するデバッグ メッセージを表示する。
  • no debug module-boot [レベル] -無効デバッグ。

アウトプット インタープリタ ツール登録ユーザ専用)は、特定の show コマンドをサポートしています。 showコマンド出力の分析を表示するために Output Interpreter ツールを使用して下さい。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116155