Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ ルータ Firewall Services Module コンフィギュレーション ガイド Release 3.1(1)
ソフトウェア、ライセンス、および設 定の管理
ソフトウェア、ライセンス、および設定の管理
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

ソフトウェア、ライセンス、および設定の管理

ライセンスの管理

アクティベーション キーの取得

新しいアクティベーション キーの入力

アプリケーションまたはASDMソフトウェアのインストール

インストレーションの概要

FWSM CLIからのアプリケーション ソフトウェアのインストール

メンテナンス パーティションからのアプリケーション ソフトウェアのインストール

FWSM CLIからのASDMのインストール

フェールオーバー ペアのアップグレード

アクティブ/スタンバイ フェールオーバー ペアのアップグレード

アクティブ/アクティブ フェールオーバー ペアのアップグレード

メンテナンス ソフトウェアのインストール

メンテナンス ソフトウェア リリースの確認

メンテナンス ソフトウェアのアップグレード

コンフィギュレーション ファイルのダウンロードおよびバックアップ

フラッシュ メモリ内のファイルの確認

スタートアップまたは実行コンフィギュレーションへのテキスト コンフィギュレーションのダウンロード

ディスクへのコンテキスト コンフィギュレーションのダウンロード

設定のバックアップ

シングルモード コンフィギュレーションまたはマルチモード システム コンフィギュレーションのバックアップ

フラッシュ メモリ内のコンテキスト コンフィギュレーションのバックアップ

コンテキスト内のコンテキスト コンフィギュレーションのバックアップ

端末ディスプレイからの設定のコピー

自動アップデート サポートの設定

自動アップデート サーバとの通信の設定

自動アップデート ステータスの表示

ソフトウェア、ライセンス、および設定の管理

この章では、FTP、TFTP、HTTP、または HTTPS サーバからFWSMに新しいソフトウェアをインストールする方法について説明します。アプリケーション ソフトウェア、メンテナンス ソフトウェア、およびASDM管理ソフトウェアはアップグレード可能です。自動アップデート サポートをイネーブルにすることもできます。この章で説明する内容は次のとおりです。

「ライセンスの管理」

「アプリケーションまたはASDMソフトウェアのインストール」

「フェールオーバー ペアのアップグレード」

「メンテナンス ソフトウェアのインストール」

「コンフィギュレーション ファイルのダウンロードおよびバックアップ」

「自動アップデート サポートの設定」

ライセンスの管理

ソフトウェアをインストールすると、オリジナル イメージから既存のアクティベーション キーが取り出され、FWSMファイル システムのファイルに保存されます。ここでは、次の内容について説明します。

「アクティベーション キーの取得」

「新しいアクティベーション キーの入力」

アクティベーション キーの取得

アクティベーション キーを取得するには、製品許可キーが必要です。これは、シスコの代理店から購入できます。製品許可キーの取得後、アクティベーション キーを取得するための登録を Web 上で行います。手順は次のとおりです。


ステップ 1 次のコマンドを入力して、FWSMのシリアル番号を取得します。

hostname> show version | include Number
 

コマンドの一部としてパイプ記号(|)を入力します。

ステップ 2 Web ブラウザを次のいずれかの Web サイトに接続します(URL は大文字と小文字が区別されます)。

Cisco.com に登録されている場合、次の Web サイトを使用してください。

http://www.cisco.com/go/license
 

Cisco.com に登録されていない場合、次の Web サイトを使用してください。

http://www.cisco.com/go/license/public
 

ステップ 3 プロンプトが表示されたら、次の情報を入力します。

製品許可キー

FWSMのシリアル番号

電子メール アドレス

アクティベーション キーが自動的に生成され、入力した電子メール アドレスに送信されます。


 

新しいアクティベーション キーの入力

アクティベーション キーを入力するには、次のコマンドを入力します。

hostname(config)# activation-key key
 

keyは 4 つの要素からなる 16 進数の文字列です。各要素の間にスペースを 1 つずつ入れます。有効な形式のキーは、次のとおりです。

0xe02888da 0x4ba7bed6 0xf1c123ae 0xffd8624e

先行する 0x は、省略してもかまいません。値はすべて 16 進数とみなされます。

すでにマルチコンテキスト モードになっている場合は、システム実行スペースでこのコマンドを入力します。


) アクティベーション キーはコンフィギュレーション ファイルに保管されません。キーは、装置のシリアル番号と対応付けられています。

実行中のイメージに変更を反映するには、新しいアクティベーション キーの入力後にFWSMを再起動する必要があります。


次に、FWSMでアクティベーション キーを変更する例を示します。

hostname(config)# activation-key 0xe02888da 0x4ba7bed6 0xf1c123ae 0xffd8624e
 

アプリケーションまたはASDMソフトウェアのインストール

ここでは、次の内容について説明します。

「インストレーションの概要」

「FWSM CLIからのアプリケーション ソフトウェアのインストール」

「メンテナンス パーティションからのアプリケーション ソフトウェアのインストール」

「FWSM CLIからのASDMのインストール」

インストレーションの概要

アプリケーション ソフトウェアは、次のいずれかの方法でアップグレードできます。

FWSMCLI から現在のアプリケーション パーティションへのインストール

この方法の利点は、メンテナンス パーティションを起動する必要がないことです。通常どおりにログインし、新しいソフトウェアをコピーできます。

TFTP、FTP、HTTP、または HTTPS サーバからのダウンロードがサポートされます。

ソフトウェアを、他方のアプリケーション パーティションにコピーすることはできません。ただし、旧バージョンのソフトウェアをバックアップとして現在のパーティションに保存する場合には、他のパーティションにコピーするほうが便利なことがあります。

その場合には、ネットワーク アクセスにより運用設定を行う必要があります。マルチコンテキスト モードでは、admin コンテキスト経由でネットワークに接続する必要があります。

メンテナンス パーティションから任意のアプリケーション パーティションへのインストール

この方法の利点は、両方のアプリケーション パーティションにソフトウェアをコピーできることです。運用設定を行う必要はありません。メンテナンス パーティションのルーティング パラメータの一部を設定するだけで、VLAN 1 上のサーバに到達できます。

欠点としては、メンテナンス パーティションを起動しなければならない点があります。アプリケーション パーティションを運用している場合には、不便なことがあります。

この方法でサポートされるのは、FTP サーバからのダウンロードだけです。

ASDMをアップグレードする場合、FWSMCLI から現在のアプリケーション パーティションへのインストールのみが可能です。

アプリケーション パーティションおよびメンテナンス パーティションの詳細については、「Firewall Services Module ブート パーティションの管理」を参照してください。

FWSM CLIからのアプリケーション ソフトウェアのインストール

通常の運用中にFWSMにログインし、TFTP、FTP、HTTP、または HTTPS サーバからアプリケーション ソフトウェアを現在のアプリケーション パーティションにコピーすることができます。

マルチコンテキスト モードの場合は、システム実行スペースで作業する必要があります。

FTP、TFTP、または HTTP(S) サーバから現在のアプリケーション パーティションにソフトウェアをアップグレードする手順は、次のとおりです。


ステップ 1 選択した FTP、TFTP、または HTTP(S) サーバへのアクセスを確認するため、次のコマンドを入力します。

hostname# ping ip_address
 

ステップ 2 アプリケーション ソフトウェアをコピーするには、次のコマンドを使用して、適切なダウンロード サーバを指定します。

TFTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy tftp://server[/path]/filename flash:
 

flash キーワードは、FWSMのアプリケーション パーティションを示します。 flash パーティションにコピーできるのは、イメージとASDMソフトウェアのみです。コンフィギュレーション ファイルは disk パーティションにコピーされます。

FTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy ftp://[user[:password]@]server[/path]/filename flash:
 

HTTP または HTTPS サーバからコピーするには、次のコマンドを入力します。

hostname# copy http[s]://[user[:password]@]server[:port][/path]/filename flash:
 

セキュア コピーを使用するには、SSH をイネーブルにしてから、次のコマンドを入力します。

hostname# ssh scopy enable
 

次に、Linux クライアントから次のコマンドを入力します。

scp -v -pw password filename username@fwsm_address
 

-v は詳細の意味です。 -pw を指定しない場合、パスワードの入力を求められます。

 

次に、FTP サーバからアプリケーション ソフトウェアをコピーする例を示します。

hostname# copy ftp://10.94.146.80/tftpboot/bnair/cdisk flash:
 
copying ftp://10.94.146.80/tftpboot/bnair/cdisk to flash:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 6128128 bytes.
Erasing current image.This may take some time..
Writing 6127616 bytes of image.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed.
 

ステップ 3 新しいソフトウェアを実行するには、システムをリロードする必要があります。フェールオーバーのペアがない場合、次のコマンドを入力します。

hostname# reload
Proceed with reload? [confirm]
 

「Proceed with reload?」のプロンプトで、Enter を押してコマンドを確定します。

Rebooting...
 

フェールオーバーのペアがある場合は、「フェールオーバー ペアのアップグレード」を参照してください。


 

メンテナンス パーティションからのアプリケーション ソフトウェアのインストール

メンテナンス パーティションにログインすると、アプリケーション ソフトウェアをいずれかのアプリケーション パーティション(cf:4 または cf:5)にインストールできます。


) FWSMのメンテナンス パーティションで使用できるのは、スイッチ上の VLAN 1 だけです。FWSMは、VLAN 1 での 802.1Q タギングをサポートしていません。


FWSMでは、メンテナンス ソフトウェア Release 2.1(2) 以降を使用することが必要です。アップグレードの詳細については、「メンテナンス ソフトウェアのインストール」を参照してください。


) アクティブ/スタンバイのフェールオーバー ペアを使用している場合、まずスタンバイ ユニットでこの手順を実行し、スタンバイ ユニットのリロード後に、アクティブ ユニットのシステム実行スペースで no failover active コマンドを使用してアクティブ ユニットをスタンバイ ユニットに切り替えてから、アクティブ ユニットをアップグレードします。

アクティブ/アクティブのフェールオーバーの場合、プライマリ ユニットのシステム実行スペースで failover active コマンドを入力して、プライマリ ユニットで両方のフェールオーバー グループをアクティブにします。その後、セカンダリ ユニットでもこの手順を実行します。セカンダリ ユニットのアップグレード手順が完了したら、プライマリ ユニットのシステム実行スペースで no failover active コマンドを使用して、セカンダリ ユニットで両方のフェールオーバー グループをアクティブにします。その後、アクティブ ユニットをアップグレードします。

FWSMでは、2.3 から 3.1 へのフェールオーバー ペアのアップグレードを行うには、システムを停止させる必要があります。停止させずにアップグレードが行えるのは、リリース 3.1 以降のみです。2.x からのアップグレードの詳細については、『Upgrading the Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module to Release 3.1』を参照してください。


メンテナンス パーティションにログインし、FTP サーバからアプリケーション ソフトウェアをインストールする手順は、次のとおりです。


ステップ 1 アプリケーション パーティションには、それぞれ独自のスタートアップ コンフィギュレーションがあるため、必要に応じて、バックアップ アプリケーション パーティションにコピーするために、現在の設定を利用できるようにする必要があります。利用可能な TFTP、FTP、または HTTP(S) サーバにコピーするか、 show running-config コマンドを入力して、端末から設定をカット&ペーストします。

ステップ 2 必要に応じて、次のコマンドを入力して、FWSMのセッションを終了します。

hostname# exit
 
Logoff
 
[Connection to 127.0.0.31 closed by foreign host]
Router#
 

コンフィギュレーション モードで作業している場合、 exit コマンドを複数回入力しなければならないことがあります。

ステップ 3 現在のブート パーティションを表示するには、OS に応じたコマンドを入力します。新しいデフォルト ブート パーティションを設定する際、現在のブート パーティションをメモしておいてください。

Cisco IOS ソフトウェア

Router# show boot device [mod_num]
 

次に例を示します。

Router# show boot device
[mod:1 ]:
[mod:2 ]:
[mod:3 ]:
[mod:4 ]: cf:4
[mod:5 ]: cf:4
[mod:6 ]:
[mod:7 ]: cf:4
[mod:8 ]:
[mod:9 ]:
 

Catalyst OS ソフトウェア

Console> (enable) show boot device mod_num
 

次に例を示します。

Console> (enable) show boot device 4
Device BOOT variable = cf:4
 

ステップ 4 OS に応じて、次のコマンドを入力して、デフォルト ブート パーティションをバックアップに変更します。

Cisco IOS ソフトウェア

Router(config)# boot device module mod_num cf:{4 | 5}
 

Catalyst OS ソフトウェア

Console> (enable) set boot device cf:{4 | 5} mod_num
 

ステップ 5 OS に応じて、スイッチのプロンプトで次のコマンドを入力して、FWSMのメンテナンス パーティションを起動します。

Cisco IOS ソフトウェアの場合、次のコマンドを入力します。

Router# hw-module module mod_num reset cf:1
 

Catalyst OS ソフトウェアの場合、次のコマンドを入力します。

Console> (enable) reset mod_num cf:1
 

ステップ 6 OS に応じて、次のコマンドを入力して、FWSMへのセッションを開始します。

Cisco IOS ソフトウェア

Router# session slot number processor 1
 

Catalyst OS ソフトウェア

Console> (enable) session module_number
 

ステップ 7 次のコマンドを入力して、FWSMのメンテナンス パーティションにルートとしてログインします。

Login: root
Password:
 

デフォルトのパスワードは、 cisco です。

ステップ 8 ネットワーク パラメータを設定する手順は、次のとおりです。

a. 次のコマンドを入力して、メンテナンス パーティションに IP アドレスを割り当てます。

root@localhost# ip address ip _address netmask
 

これは、メンテナンス パーティションで使用できる唯一の VLAN である VLAN 1 のアドレスです。

b. 次のコマンドを入力して、メンテナンス パーティションにデフォルト ゲートウェイを割り当てます。

root@localhost# ip gateway ip_address
 

c. (任意)FTP サーバに ping を実行して接続していることを確認する場合は、次のコマンドを入力します。

root@localhost# ping ftp_address
 

ステップ 9 次のコマンドを入力して、FTP サーバからアプリケーション ソフトウェアをダウンロードします。

root@localhost# upgrade ftp://[user[:password]@]server[/path]/filename cf:{4 | 5}
 

cf:4 および cf:5 は、FWSM上のアプリケーション パーティションです。新しいソフトウェアをバックアップ パーティションにインストールします。

画面に表示されるプロンプトに従って、アップグレードします。

ステップ 10 次のコマンドを入力して、メンテナンス パーティションからログアウトします。

root@localhost# logout

ステップ 11 OS に応じたコマンドを入力して、バックアップ アプリケーション パーティション(ステップ 4でデフォルトとして設定した)でFWSMを再起動します。

Cisco IOS ソフトウェアの場合、次のコマンドを入力します。

Router# hw-module module mod_num reset
 

Catalyst OS ソフトウェアの場合、次のコマンドを入力します。

Console> (enable) reset mod_num
 

ステップ 12 OS に応じて、次のコマンドを入力して、FWSMへのセッションを開始します。

Cisco IOS ソフトウェア

Router# session slot number processor 1
 

Catalyst OS ソフトウェア

Console> (enable) session module_number
 

デフォルトでは、FWSMにログインするためのパスワードは cisco です( password コマンドで変更可能)。このパーティションにスタートアップ コンフィギュレーションがない場合、デフォルト パスワードが使用されます。

ステップ 13 次のコマンドを入力して、イネーブル EXEC モードを開始します。

hostname> enable
 

デフォルト パスワードは空白です( enable password コマンドで変更可能)。このパーティションにスタートアップ コンフィギュレーションが存在しない場合、デフォルト パスワードが使用されます。

ステップ 14 アプリケーション パーティションには、それぞれ独自のスタートアップ コンフィギュレーションがあるため、場合によっては、現在の設定をアプリケーション パーティションにコピーする必要あります。このパーティションで古い設定が動作している場合、実行コンフィギュレーションへのコピーを行う前に古い設定を消去することが必要な場合があります。実行コンフィギュレーションを消去するには、 clear configure all コマンドを入力します。設定を実行コンフィギュレーションにコピーするには、次のいずれかの方法を使用します。

コマンド ラインに設定をペーストします。

TFTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy tftp://server[/path]/filename running-config
 

FTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy ftp://[user[:password]@]server[/path]/filename running-config
 

HTTP または HTTPS サーバからコピーするには、次のコマンドを入力します。

hostname# copy http[s]://[user[:password]@]server[:port][/path]/filename running-config

ローカル フラッシュ メモリからコピーするには、次のコマンドを入力します。

hostname# copy disk:[path/]filename running-config
 

ステップ 15 次のコマンドを使用して、実行コンフィギュレーションをスタートアップに保存します。

hostname# write memory
 

ステップ 16 デフォルトのコンテキスト モードはシングル モードなので、マルチ コンテキスト モードで作業している場合は、次のコマンドを使用して、新しいアプリケーション パーティションでモードをマルチに設定します。

hostname# configuration terminal
hostname(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
 

確定すると、FWSMのリロードが開始されます。


 

FWSM CLIからのASDMのインストール

通常の運用中にFWSMにログインし、TFTP、FTP、HTTP、または HTTPS サーバからASDMソフトウェアを現在のアプリケーション パーティションにコピーすることができます。

マルチコンテキスト モードの場合は、システム実行スペースで作業する必要があります。

接続状態を確認するには、 ping コマンドを使用します。

ASDMソフトウェアをコピーするには、次のコマンドを使用して、適切なダウンロード サーバを指定します。

TFTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy tftp://server[/path]/filename flash:asdm
 

flash キーワードは、FWSMのアプリケーション パーティションを示します。 flash パーティションにコピーできるのは、イメージとASDMソフトウェアのみです。コンフィギュレーション ファイルは disk パーティションにコピーされます。

FTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy ftp://[user[:password]@]server[/path]/filename flash:asdm
 

HTTP または HTTPS サーバからコピーするには、次のコマンドを入力します。

hostname# copy http[s]://[user[:password]@]server[:port][/path]/filename flash:asdm
 

セキュア コピーを使用するには、SSH をイネーブルにしてから、次のコマンドを入力します。

hostname# ssh scopy enable
 

そして、Linux クライアントから次のコマンドを入力します。

scp -v -pw password filename username@fwsm_address
 

-v は詳細の意味です。 -pw を指定しない場合、パスワードの入力を求められます。

 

次に、TFTP サーバからASDMをコピーする例を示します。

hostname# copy tftp://209.165.200.226/cisco/asdm.bin flash:asdm
 

次に、HTTPS サーバからASDMをコピーする例を示します。

hostname# copy http://admin:letmein@209.165.200.228/adsm/asdm.bin flash:asdm

フェールオーバー ペアのアップグレード

フェールオーバー設定の 2 台のユニットには、同じメジャー(最初の番号)、マイナー(2 番めの番号)、メンテナンス(3 番めの番号)バージョンのソフトウエアがインストールされている必要があります。ただし、アップグレード作業中はユニットのバージョン パリティを維持する必要はなく、各ユニットで異なるバージョンのソフトウェアが動作していても、フェールオーバーはサポートされます。長期的な互換性と安定性を確保するには、できるだけ両モジュールとも同じバージョンにアップグレードすることを推奨します。

表22-1 に、フェールオーバー ペアで無停止アップグレードを実行するためにサポートされているシナリオを示します。

 

表22-1 無停止アップグレードのサポート

アップグレードのタイプ
サポート

メンテナンス リリース

マイナー リリース内の任意のメンテナンスから任意のメンテナンス リリースにアップグレードできます。

たとえば、中間のメンテナンス リリースをインストールしなくても、3.1(1) から 3.1(3) に直接アップグレードできます。

マイナー リリース

あるマイナー リリースからその次のマイナー リリースにアップグレードできます。連続していないマイナー リリースにアップグレードすることはできません。

たとえば、3.1 から 3.2 へのアップグレードが可能です。無停止アップグレードでは、3.1 から 3.3 に直接アップグレードすることはサポートされていません。まず 3.2 にアップグレードする必要があります。

メジャー リリース

前バージョンの最後のマイナー リリースから次のメジャー リリースにアップグレードできます。

たとえば、4.1 のリリースの前の最後のマイナー バージョンが 3.9 だとすると、3.9 から 4.1 へのアップグレードが可能です。


) FWSMでは、2.3 から 3.1 へのアップグレードを行うには、システムを停止させる必要があります。停止させずにアップグレードが行えるのは、リリース 3.1 以降のみです。2.x からのアップグレードの詳細については、『Upgrading the Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module to Release 3.1』を参照してください。


 

ここでは、次の内容について説明します。

「アクティブ/スタンバイ フェールオーバー ペアのアップグレード」

「アクティブ/アクティブ フェールオーバー ペアのアップグレード」

アクティブ/スタンバイ フェールオーバー ペアのアップグレード

アクティブ/スタンバイ フェールオーバー設定の 2 台のユニットをアップグレードする手順は、次のとおりです。


) FWSMでは、2.3 から 3.1 へのアップグレードを行うには、システムを停止させる必要があります。停止させずにアップグレードが行えるのは、リリース 3.1 以降のみです。2.x からのアップグレードの詳細については、『Upgrading the Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module to Release 3.1』を参照してください。



ステップ 1 新しいソフトウェアを 2 台のユニットにダウンロードします。「FWSM CLIからのアプリケーション ソフトウェアのインストール」を参照してください。

ステップ 2 アクティブ ユニットで次のコマンドを入力して、スタンバイ ユニットをリロードし、新しいイメージをブートします。

active# failover reload-standby
 

ステップ 3 スタンバイ ユニットのリロードが完了し、Standby Ready ステートになったら、アクティブ ユニットで次のコマンドを入力して、アクティブ ユニットをスタンバイ モードに切り替えます。


) スタンバイ ユニットが Standby Ready ステートになっているかどうかを確認するには、show failover コマンドを使用します。


active# no failover active
 

ステップ 4 次のコマンドを入力して、前のアクティブ ユニット(現在は新しいスタンバイ ユニット)をリロードします。

newstandby# reload
 

ステップ 5 (任意)新しいスタンバイ ユニットのリロードが完了し、Standby Ready ステートになったら、次のコマンドを入力して、元のアクティブ ユニットをアクティブ状態に戻します。

newstandby# failover active
 


 

アクティブ/アクティブ フェールオーバー ペアのアップグレード

アクティブ/アクティブ フェールオーバー設定の 2 台のユニットをアップグレードする手順は、次のとおりです。


) FWSMでは、2.3 から 3.1 へのアップグレードを行うには、システムを停止させる必要があります。停止させずにアップグレードが行えるのは、リリース 3.1 以降のみです。2.x からのアップグレードの詳細については、『Upgrading the Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module to Release 3.1』を参照してください。



ステップ 1 新しいソフトウェアを 2 台のユニットにダウンロードします。「FWSM CLIからのアプリケーション ソフトウェアのインストール」を参照してください。

ステップ 2 プライマリ ユニットのシステム実行スペースで次のコマンドを入力して、プライマリ ユニットで両方のフェールオーバー グループをアクティブにします。

primary# failover active
 

ステップ 3 プライマリ ユニットのシステム実行スペースで次のコマンドを入力して、セカンダリ ユニットをリロードと新しいイメージのブーとを行います。

primary# failover reload-standby
 

ステップ 4 セカンダリ ユニットのリロードが完了し、ユニットの両方のフェールオーバー グループが Standby Ready ステートになったら、プライマリ ユニットのシステム実行スペースで次のコマンドを入力して、セカンダリ ユニットで両方のフェールオーバー グループをアクティブにします。

primary# no failover active
 

) セカンダリ ユニットで両方のフェールオーバー グループが Standby Ready ステートになっているかどうかを確認するには、show failover コマンドを使用します。


ステップ 5 プライマリ ユニットの両方のフェールオーバー グループが Standby Ready ステートになっていることを確認してから、次のコマンドを使用してプライマリ ユニットをリロードします。

primary# reload
 

preempt コマンドで設定した場合、フェールオーバー グループは、先行遅延時間の経過後、指定ユニット上で自動的にアクティブになります。 preempt コマンドで設定されていない場合、フェールオーバー グループは、 failover active group コマンドを使用して指定ユニット上でアクティブ状態に戻すことができます。


 

メンテナンス ソフトウェアのインストール

FWSMRelease 3.1 へのアップグレードを行うには、事前にメンテナンス ソフトウェア Release 2.1(2) 以降をインストールしておく必要があります。ここでは、次の内容について説明します。

「メンテナンス ソフトウェア リリースの確認」

「メンテナンス ソフトウェアのアップグレード」

メンテナンス ソフトウェア リリースの確認

メンテナンス ソフトウェア リリースを確認するには、メンテナンス パーティションを起動し、次の手順でリリースを表示します。


ステップ 1 必要に応じて、次のコマンドを入力して、FWSMのセッションを終了します。

hostname# exit
 
Logoff
 
[Connection to 127.0.0.31 closed by foreign host]
Router#
 

コンフィギュレーション モードで作業している場合、 exit コマンドを複数回入力しなければならないことがあります。

ステップ 2 OS に応じて、スイッチのプロンプトで次のコマンドを入力して、FWSMのメンテナンス パーティションを起動します。

Cisco IOS ソフトウェアの場合、次のコマンドを入力します。

Router# hw-module module mod_num reset cf:1
 

Catalyst OS ソフトウェアの場合、次のコマンドを入力します。

Console> (enable) reset mod_num cf:1
 

ステップ 3 OS に応じて、次のコマンドを入力して、FWSMへのセッションを開始します。

Cisco IOS ソフトウェア

Router# session slot number processor 1
 

Catalyst OS ソフトウェア

Console> (enable) session module_number
 

ステップ 4 次のコマンドを入力して、FWSMのメンテナンス パーティションにルートとしてログインします。

Login: root
 
Password:
 

デフォルトのパスワードは、 cisco です。

FWSMでは、最初のログイン時にバージョンが表示されます。

Maintenance image version: 2.1(2)

ステップ 5 次のコマンドを入力して、ログイン後にメンテナンス バージョンを表示します。

root@localhost# show version
 
Maintenance image version: 2.1(2)
mp.2-1-2.bin : Thu Nov 18 11:41:36 PST 2004 : integ@kplus-build-lx.cisco.com
 
Line Card Number :WS-SVC-FWM-1
Number of Pentium-class Processors : 2
BIOS Vendor: Phoenix Technologies Ltd.
BIOS Version: 4.0-Rel 6.0.9
Total available memory: 1004 MB
Size of compact flash: 123 MB
Daughter Card Info: Number of DC Processors: 3
Size of DC Processor Memory (per proc): 32 MB
 


 

メンテナンス ソフトウェアのアップグレード

メンテナンス ソフトウェアをアップグレードする必要がある場合、次の手順を実行します。


ステップ 1 次の URL で Cisco.com からメンテナンス ソフトウェアをダウンロードします。

http://www.cisco.com/cgi-bin/tablebuild.pl/cat6000-serv-maint

FWSM管理コンテキストからアクセス可能な TFTP、HTTP、または HTTPS サーバにソフトウェアをプットします。

ステップ 2 必要に応じて、次の手順で、メンテナンス パーティションからログアウトし、アプリケーション パーティションをリロードします。

a. 次のコマンドを入力して、メンテナンス パーティションからログアウトします。

root@localhost# logout
 

b. 必要に応じて、OS に応じたコマンドを入力して、アプリケーション パーティションでFWSMを再起動します。

Cisco IOS ソフトウェアの場合、次のコマンドを入力します。

Router# hw-module module mod_num reset
 

Catalyst OS ソフトウェアの場合、次のコマンドを入力します。

Console> (enable) reset mod_num
 

c. OS に応じて、次のコマンドを入力して、FWSMへのセッションを開始します。

Cisco IOS ソフトウェア

Router# session slot number processor 1
 

Catalyst OS ソフトウェア

Console> (enable) session module_number
 

ステップ 3 メンテナンス パーティション ソフトウェアをアップグレードするには、次のいずれかのコマンドを使用して、適切なダウンロード サーバを指定します。

マルチコンテキスト モードの場合は、システム実行スペースで作業する必要があります。

TFTP サーバからメンテナンス ソフトウェアをダウンロードするには、次のコマンドを入力します。

hostname# upgrade-mp tftp[://server[:port][/path]/filename]
 

サーバ情報を確定するよう促されます。コマンドにサーバ情報を指定しなかった場合は、このプロンプトが出力された時点で入力することができます。

HTTP または HTTPS サーバからメンテナンス ソフトウェアをダウンロードするには、次のコマンドを入力します。

hostname# upgrade-mp http[s]://[user[:password]@]server[:port][/path]/filename
 

メンテナンス パーティションのルート アカウントおよびゲスト アカウントのパスワードは、アップグレード後も保持されます。

ステップ 4 次のコマンドを入力して、FWSMのリロードと新しいメンテナンス ソフトウェアのロードを行います。

hostname# reload
 

または、メンテナンス パーティションの起動の準備として FWSM からログアウトすることもできます。メンテナンス パーティションから、両方のアプリケーション パーティションにアプリケーション ソフトウェアをインストールできます。FWSMセッションを終了するには、次のコマンドを入力します。

hostname# exit
 
Logoff
 
[Connection to 127.0.0.31 closed by foreign host]
Router#
 

コンフィギュレーション モードで作業している場合、 exit コマンドを複数回入力しなければならないことがあります。

FWSMをメンテナンス パーティションにリロードする方法については、「メンテナンス パーティションからのアプリケーション ソフトウェアのインストール」を参照してください。


 

次に、TFTP サーバ情報のプロンプトの例を示します。

hostname# upgrade-mp tftp
Address or name of remote host [127.0.0.1]? 10.1.1.5
Source file name [cdisk]? mp.2-1-0-3.bin.gz
copying tftp://10.1.1.5/mp.2-1-0-3.bin.gz to flash
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!
Received 1695744 bytes.
Maintenance partition upgraded.
 

コンフィギュレーション ファイルのダウンロードおよびバックアップ

ここでは、コンフィギュレーション ファイルのダウンロードおよびバックアップの手順について説明します。内容は次のとおりです。

「フラッシュ メモリ内のファイルの確認」

「スタートアップまたは実行コンフィギュレーションへのテキスト コンフィギュレーションのダウンロード」

「ディスクへのコンテキスト コンフィギュレーションのダウンロード」

「設定のバックアップ」

フラッシュ メモリ内のファイルの確認

フラッシュ メモリ内のファイルを表示し、ファイルに関する情報を確認することができます。

フラッシュ メモリ内のファイルを表示するには、次のコマンドを入力します。

hostname# dir disk:
 

次に例を示します。

hostname# dir
 
Directory of disk:/
 
9 -rw- 1411 08:53:42 Oct 06 2005 old_running.cfg
10 -rw- 959 09:21:50 Oct 06 2005 admin.cfg
11 -rw- 1929 08:23:44 May 07 2005 admin_backup.cfg
 

特定のファイルに関する拡張情報を表示するには、次のコマンドを入力します。

hostname# show file information [path:/]filename
 

デフォルト パスは、内部フラッシュ メモリのルート ディレクトリ(ディスク:/)です。

次に例を示します。

hostname# show file info admin.cfg
 
disk:/admin.cfg:
type is ascii text
file size is 959 bytes
 

スタートアップまたは実行コンフィギュレーションへのテキスト コンフィギュレーションのダウンロード

次のタイプのサーバからシングル モード コンフィギュレーションまたはマルチモード システム コンフィギュレーションに、テキスト ファイルをダウンロードすることができます。

TFTP

FTP

HTTP

HTTPS

マルチモード コンテキストについては、「ディスクへのコンテキスト コンフィギュレーションのダウンロード」を参照してください。


) コンフィギュレーションを実行コンフィギュレーションにコピーする場合、2 つの設定を結合します。結合によって、新しいコンフィギュレーションのコマンドが実行コンフィギュレーションに追加されます。設定が同じ場合、変更はありません。コマンドが矛盾する場合、またはコマンドがコンテキストの稼働に影響を与える場合、結合の作用はコマンドによって異なります。エラーが発生することもあれば、予想外の結果が生じることもあります。


スタートアップ コンフィギュレーションまたは実行コンフィギュレーションを、サーバからFWSMにコピーするには、次のコマンドを使用して、適切なダウンロード サーバを指定します。

TFTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy tftp://server[/path]/filename {startup-config | running-config}
 

FTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy ftp://[user[:password]@]server[/path]/filename[;type=xx] {startup-config | running-config}
 

type には、次のいずれかのキーワードを指定できます。

ap ― ASCII パッシブ モード

an ― ASCII 標準モード

ip ― (デフォルト)バイナリ パッシブ モード

in ― バイナリ標準モード

コンフィギュレーション ファイルには、ASCII またはバイナリを使用できます。

HTTP または HTTPS サーバからコピーするには、次のコマンドを入力します。

hostname# copy http[s]://[user[:password]@]server[:port][/path]/filename {startup-config | running-config}
 

次に、TFTP サーバから設定をコピーする例を示します。

hostname# copy tftp://209.165.200.226/configs/startup.cfg startup-config
 

次に、FTP サーバから設定をコピーする例を示します。

hostname# copy ftp://admin:letmein@209.165.200.227/configs/startup.cfg;type=an startup-config
 

次に、HTTP サーバから設定をコピーする例を示します。

hostname# copy http://209.165.200.228/configs/startup.cfg startup-config
 

ディスクへのコンテキスト コンフィギュレーションのダウンロード

コンテキスト コンフィギュレーションをディスクにコピーするには、次のコマンドを使用して、システム実行スペースの適切なダウンロード サーバを指定します。

TFTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy tftp://server[/path]/filename disk:[path/]filename
 

FTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy ftp://[user[:password]@]server[/path]/filename disk:[path/]filename
 

HTTP または HTTPS サーバからコピーするには、次のコマンドを入力します。

hostname# copy http[s]://[user[:password]@]server[:port][/path]/filename disk:[path/]filename
 

シングルモード コンフィギュレーションまたはマルチモード システム コンフィギュレーションのバックアップ

シングル コンテキスト モードで、またはマルチモードのシステム コンフィギュレーションから、外部サーバまたはローカル フラッシュ メモリに、スタートアップ コンフィギュレーションまたは実行コンフィギュレーションをコピーすることができます。

TFTP サーバにコピーするには、次のコマンドを入力します。

hostname# copy {startup-config | running-config} tftp://server[/path]/filename
 

FTP サーバにコピーするには、次のコマンドを入力します。

hostname# copy {startup-config | running-config} ftp://[user[:password]@]server[/path]/filename
 

ローカル フラッシュ メモリにコピーするには、次のコマンドを入力します。

hostname# copy {startup-config | running-config} disk:[path/]filename
 

宛先ディレクトリが存在することを確認してください。存在しない場合、 mkdir コマンドを使用してディレクトリを作成します。

フラッシュ メモリ内のコンテキスト コンフィギュレーションのバックアップ

マルチ コンテキスト モードで、ローカル フラッシュ メモリ内のコンテキスト コンフィギュレーションをコピーするには、システム実行スペースで次のいずれかのコマンドを入力します。

TFTP サーバにコピーするには、次のコマンドを入力します。

hostname# copy disk:[path/]filename tftp://server[/path]/filename
 

FTP サーバにコピーするには、次のコマンドを入力します。

hostname# copy disk:[path/]filename ftp://[user[:password]@]server[/path]/filename
 

ローカル フラッシュ メモリにコピーするには、次のコマンドを入力します。

hostname# copy disk:[path/]filename disk:[path/]newfilename
 

宛先ディレクトリが存在することを確認してください。存在しない場合、 mkdir コマンドを使用してディレクトリを作成します。

コンテキスト内のコンテキスト コンフィギュレーションのバックアップ

マルチコンテキスト モードでは、コンテキスト内で、次のバックアップを実行できます。

実行コンフィギュレーションを(admin コンテキストに接続している)スタートアップ コンフィギュレーション サーバにコピーするには、次のコマンドを入力します。

hostname/contexta# copy running-config startup-config
 

実行コンフィギュレーションを、コンテキスト ネットワークに接続している TFTP サーバにコピーするには、次のコマンドを入力します。

hostname/contexta# copy running-config tftp:/server[/path]/filename
 

端末ディスプレイからの設定のコピー

設定を端末に出力するには、次のコマンドを入力します。

hostname# show running-config
 

コマンドの出力をコピーして、コンフィギュレーションをテキスト ファイルに貼り付けます。

自動アップデート サポートの設定

自動アップデートとは、自動アップデート サーバで設定とソフトウェア イメージを多数のFWSMにダウンロードし、中央の離れた場所からFWSMの基本的監視を行えるようにするためのプロトコル仕様です。FWSMは、ソフトウェア イメージやコンフィギュレーション ファイルのアップデートがないかどうか確認するため、定期的に自動アップデート サーバへのポーリングを行います。


) 自動アップデートは、シングル コンテキスト モードでのみサポートされています。


ここでは、次の内容について説明します。

「自動アップデート サーバとの通信の設定」

「自動アップデート ステータスの表示」

自動アップデート サーバとの通信の設定

自動アップデートを設定する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、AUS の URL を指定します。

hostname(config)# auto-update server url [source interface] [verify-certificate]
 

url の構文は次のとおりです。

http[s]://[user:password@]server_ip[:port]/pathname
 

設定できるサーバは 1 台のみです。 https を指定した場合、SSL が使用されます。URL の user および password 引数は、サーバへのログイン時の基本認証に使用されます。設定の表示に、 write terminal show configuration 、または show tech-support コマンドを使用した場合、user と password は「********」と表示されます。

デフォルト ポートは、HTTP の場合は 80、HTTPS の場合は 443 です。

source interface 引数には、AUS への要求送信時に使用するインターフェイスを指定します。 management-access コマンドで指定したのと同じインターフェイスを指定した場合、自動アップデート要求は、管理アクセスで使用されるのと同じ IPSec VPN トンネルを使用して送信されます。

verify-certificate キーワードを指定すると、AUS によって返された証明書を確認します。

ステップ 2 (任意)次のコマンドを入力して、AUS との通信時の送信先となる装置 ID を特定します。

hostname(config)# auto-update device-id {hardware-serial | hostname | ipaddress [if-name] | mac-address [if-name] | string text}
 

使用する ID を指定するには、次のいずれかのパラメータを使用します。

hardware-serial ― FWSMのシリアル番号を使用します。

hostname ― FWSMのホスト名を使用します。

ipaddress ― 指定したインターフェイスの IP アドレスを使用します。インターフェイス名を指定しなかった場合、AUS との通信に使用するインターフェイスの IP アドレスが使用されます。

mad-address ― 指定したインターフェイスの MAC アドレスを使用します。インターフェイス名を指定しなかった場合、AUS との通信に使用するインターフェイスの MAC アドレスが使用されます。

string ― 指定したテキスト識別子を使用します。テキスト識別子には、スペース、「‘」、「"」、「>」、「&」、「?」の文字は使用できません。

ステップ 3 (任意)次のコマンドを入力して、設定またはイメージのアップデートがあるかどうかを確認するための AUS へのポーリングの間隔を指定します。

hostname(config)# auto-update poll-period poll-period [retry-count [retry-period]]
 

poll-period 引数には、アップデートの確認を行う間隔(分単位)を指定します。デフォルトは 720 分(12 時間)です。

retry-count 引数には、最初の接続に失敗した場合の、サーバへの再接続の試行回数を指定します。デフォルトは 0 回です。

poll-period 引数には、次の再試行までの待ち時間(分単位)を指定します。デフォルトは 5 です。

ステップ 4 (任意)自動アップデート サーバへのアクセスが一定時間ない場合、次のコマンドを入力して、トラフィックを中断します。

hostname(config)# auto-update timeout period
 

period には、タイムアウト時間を分単位で指定します。指定可能な範囲は 1 ~ 35,791 です。デフォルトはタイムアウトなし(0)です。デフォルトに戻す場合は、このコマンドの no 形式を入力します。

このコマンドを使用して、FWSMのイメージとコンフィギュレーションが最新であることを保証します。この状態は、システム ログ メッセージ 201008 としてレポートされます。


 

次の例では、外部インターフェイスから IP アドレス 209.165.200.224、ポート番号 1742 の AUS にポーリングし、証明書の確認を行うようFWSMを設定します。

また、装置 ID としてFWSMのホスト名を使用し、ポーリング間隔をデフォルトの 720 分から 600 分に減らすよう設定します。ポーリングに失敗した場合、AUS への再接続を 10 回行い、次の再接続の試行まで 3 分待つようにします。

hostname(config)# auto-update server https://jcrichton:farscape@209.165.200.224:1742/management source outside verify-certificate
hostname(config)# auto-update device-id hostname
hostname(config)# auto-update poll-period 600 10 3

自動アップデート ステータスの表示

自動アップデートのステータスを表示するには、次のコマンドを入力します。

hostname(config)# show auto-update
 

次に、 show auto-update コマンドの出力例を示します。

hostname(config)# show auto-update
Server: https://********@209.165.200.224:1742/management.cgi?1276
Certificate will be verified
Poll period: 720 minutes, retry count: 2, retry period: 5 minutes
Timeout: none
Device ID: host name [corporate]
Next poll in 4.93 minutes
Last poll: 11:36:46 PST Tue Nov 13 2004
Last PDM update: 23:36:46 PST Tue Nov 12 2004