Cisco インターフェイスとモジュール : Cisco サービス モジュール

Catalyst 6500 シリーズ スイッチ/ Cisco 7600 シリーズ ルータ Firewall Services Module Release 2.x から Release 3.1 へのアップグレード

Catalyst 6500 シリーズ スイッチ/ Cisco 7600 シリーズ ルータ Firewall Services Module Release 2.x から Release 3.1 へのアップグレード
発行日;2012/01/21 | 英語版ドキュメント(2010/12/01 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Catalyst 6500 シリーズ スイッチ/

新しい機能

Release 2.x から 3.1 への FWSM のアップグレード

アップグレード要件

コンフィギュレーションのバックアップ

シングルモード コンフィギュレーションまたはマルチモード システム コンフィギュレーションのバックアップ

フラッシュ メモリでのコンテキスト コンフィギュレーションのバックアップ

コンテキスト内のコンテキスト コンフィギュレーションのバックアップ

端末ディスプレイからのコンフィギュレーションのコピー

Release 2.1(2) へのメンテナンス ソフトウェアのアップグレード

メンテナンス ソフトウェアのリリースの確認

メンテナンス ソフトウェアのアップグレード

アプリケーション ソフトウェアのアップグレード

FWSM CLI からのアプリケーション ソフトウェアのアップグレード

メンテナンス パーティションを使用したアプリケーション ソフトウェアのアップグレード

システム コンフィギュレーションから未使用コマンドを削除する

PDM から ASDM へのアップグレード

アップグレードの例

シングルモードのコンフィギュレーションの例

マルチモードのコンフィギュレーションの例

FWSM を Release 2.x に戻す

現在のアプリケーション パーティションへの Release 2.x のダウンロード

バックアップ アプリケーション パーティションからの Release 2.x の起動

Release 2.x のインストールとバックアップ アプリケーション パーティションの起動

変更および廃止されたコマンド

コマンドの概要

変更の概要

CLI プロセッサ

Show、Clear、No のコマンド

コンテキスト ヘルプの変更

コマンド構文の確認

モード ナビゲーションの変更

用語の変更

アプリケーション検査(fixup コマンド)

ルーテッド モードと透過モードの混在

透過モード ブリッジ グループ

インターフェイス

AAA

MGCP

NAT

その他のコマンド

フェールオーバー

Logging コマンド

デバイス管理コマンド

VPN コマンド

グループ管理

リモート ピア

Xauth

Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)コマンド

VPN コマンドの変更点

詳細の入手方法

マニュアルの入手方法

Cisco.com

Documentation DVD

マニュアルの発注方法

シスコ製品のセキュリティ

シスコ製品のセキュリティ問題の報告

テクニカル サポート

Cisco Technical Support Web サイト

Japan TAC Web サイト

Service Request ツールの使用

問題の重大度の定義

その他の資料および情報の入手方法

Catalyst 6500 シリーズ スイッチ/
Cisco 7600 シリーズ ルータ
Firewall Services Module Release 2.x から Release 3.1 へのアップグレード

このマニュアルでは、FWSM Release 2.2 または 2.3 から FWSM Release 3.1 へのアップグレード方法について説明します。また、FWSM Release 3.1 で変更された機能や廃止された機能、およびコマンドについても説明します。

このマニュアルは、FWSM の CLI(コマンドライン インターフェイス)とその機能を理解し、FWSM の設定を行った経験のある FWSM 管理者を対象としています。このマニュアルの内容は、次のとおりです。

「新しい機能」

「Release 2.x から 3.1 への FWSM のアップグレード」

「FWSM を Release 2.x に戻す」

「変更および廃止されたコマンド」

「詳細の入手方法」

新しい機能

ここでは、Release 3.1 の新しい機能について簡単に説明します。これらの機能および関連する CLI コマンドについての詳細は、以下を参照してください。

Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference

Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Configuration Guide

ASDM(FWSM の旧 PDM)のオンライン ヘルプ

FWSM Release 3.1 には、以下の新しい機能が導入されています。

Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)

同時 RADIUS アカウンティング サーバのサポート

管理トラフィックのアカウンティング

FTP(ファイル転送プロトコル)認証チャレンジの設定

MAC(メディア アクセス制御)アドレスベースの AAA の免除

ローカル データベースを使用したカットスルー プロキシ認証

アクセス リスト

時間ベースの Access Control Entry(ACE; アクセス制御エントリ)

Modular Policy Framework

ライン番号によるアクセス リストの編集

アクセス リストのアドレスとして interface キーワードを使用

Network Address Translation(NAT; ネットワーク アドレス変換)

設定可能な NAT 制御

スタティック NAT 設定のオーバーラップ

インスペクション エンジン(フィックスアップ)

アプリケーション検査の TCP ストリーム アセンブリ

URL フィルタリング用の固定 TCP 接続および TCP プール

設定可能なアプリケーション インスペクション エンジン

ESMTP アプリケーション検査

FTP コマンド フィルタリング

ActiveX および Java フィルタリング

拡張 PPTP(ポイントツーポイント トンネリング プロトコル)Port Address Translation(PAT; ポート アドレス変換)およびアプリケーション検査

Voice over IP(VoIP)インスペクション エンジン(フィックスアップ)

拡張 H.323 アプリケーション検査(T.38 およびGKRCS 用)

MGCP NAT

GTP アプリケーション検査

SIP インスタント メッセージング アプリケーション検査

TAPI/CTIQBE アプリケーション検査

Skinny ビデオのサポート

アプリケーション ファイアウォール

拡張 HTTP アプリケーション検査

HTTPトンネリングのアプリケーションおよび攻撃の検出とブロック

RFC 適合性チェック

HTTP コマンド フィルタリング

MIME タイプ フィルタリング

HTTP メッセージ、ヘッダー長および URI の最小および最大サイズのチェック

コンテンツ検証

キーワードによる HTTP メッセージ フィルタリング

ハイ アベイラビリティ

Active/Active フェールオーバー

Active/Active フェールオーバーのプリエンプト オプション

スケーラビリティ

250 のセキュリティ コンテキストのサポート

システム実行スペースからのすべてのコンテキスト設定の保存

グローバル ステートメントの数を 4 k に増加

拡張アクセス リスト メモリ

非 TCP/UDP パケットのセッション

最大 10 の DHSP リレー ステートメントをサポート

ASDM への HTTPS セッションを 80 までサポート

ネットワーク インテグレーション

コンテキスト用にルーテッドと透過の混合モードをサポート

透過モードの複数のインターフェイス ペア

プライベート VLAN のサポート

特定のインターフェイス上での DHCP リレーのイネーブル化

コア IP 拡張

IPv6

非対称ルーティングのサポート

シングル モードでのマルチキャストのサポート

OSPF ネイバのサポート

モニタリングと管理

SSHv2

ping、ロギング、メモリ管理の拡張

TCP トランスポート用の Syslog サーバ エラー ポリシー

4K 認証のサポート

SNMPv2c

MIBの追加

拡張パーサーとCLI

コマンド プロンプトの追加情報

デバッグ メッセージのタイムスタンプ

admin コンテキストを使用した外部 Syslog サーバへのシステム実行スペースのロギング

メッセージ 106023 の一部としての ACE 情報

Release 2.x から 3.1 への FWSM のアップグレード

ここでは、FWSM を 3.1 にアップグレードする方法について説明します。具体的な内容は以下のとおりです。

「アップグレード要件」

「コンフィギュレーションのバックアップ」

「Release 2.1(2) へのメンテナンス ソフトウェアのアップグレード」

「アプリケーション ソフトウェアのアップグレード」

「システム コンフィギュレーションから未使用コマンドを削除する」

「PDM から ASDM へのアップグレード」

「アップグレードの例」

アップグレード要件

FWSM Release 3.1 にアップグレードする前にメンテナンス ソフトウェア Release 2.1(2) をインストールします。詳細については、「Release 2.1(2) へのメンテナンス ソフトウェアのアップグレード」を参照してください。

ASDM Version 5.0F を使用する場合のクライアント PC の OS(オペレーティング システム)およびブラウザの要件については、 表1 を参照してください。

 

表1 ASDM Version 5.0 を使用する場合の OS およびブラウザの要件

OS
ブラウザ
その他の要件

Windows1

Windows 2000(Service Pack 4)または Windows XP

Java Plug-in 1.4.2 または 1.5.0 搭載の Internet Explorer 6.0


) HTTP 1.1 ― Internet Options/
Advanced/HTTP 1.1 の設定ではプロキシと非プロキシ接続の両方に HTTP 1.1 を使用できるようにします。


Netscape 7.1/7.2 および Java Plug-in 1.4.2 または 1.5.0

SSL 暗号化の設定 ― ブラウザの設定で、SSL の使用可能なすべての暗号化オプションをイネーブルにします。

Sun Solaris

Sun Solaris 8 または9(CDE ウィンドウ マネージャを使用)

Java Plug-in 1.4.2 または 1.5.0 搭載の Mozilla 1.7.3

Linux

Red Hat Linux 9.0 または Red Hat Linux WS Version 3(GNOME または KDE を実行)

Java Plug-in 1.4.2 または 1.5.0 搭載の Mozilla 1.7.3

1.ASDM は、Windows 3.1、95、98、ME、Windows NT4 には対応していません。

コンフィギュレーションのバックアップ

アップグレード手順を開始する前に、以下の手順でコンフィギュレーションをバックアップします。Release 2.x を復元しなければならない場合、オリジナルのコンフィギュレーションが必要になることがあります。「FWSM を Release 2.x に戻す」を参照してください。


) フェールオーバーが機能している場合は、必ず両方のユニットのコンフィギュレーションをバックアップしてください。セカンダリ ユニット上で同期コンフィギュレーションを保存し(write memory コマンドを使用)、フル コンフィギュレーションで独立して稼働できるようにします。


コンフィギュレーションのバックアップは、次の手順で行います。

「シングルモード コンフィギュレーションまたはマルチモード システム コンフィギュレーションのバックアップ」

「フラッシュ メモリでのコンテキスト コンフィギュレーションのバックアップ」

「コンテキスト内のコンテキスト コンフィギュレーションのバックアップ」

「端末ディスプレイからのコンフィギュレーションのコピー」


) 外部サーバにコンテキストがある場合は、そのサーバ上でコンテキストのコピーを作成します。


シングルモード コンフィギュレーションまたはマルチモード システム コンフィギュレーションのバックアップ

シングルコンテキスト モードで、またはマルチモードのシステム コンフィギュレーションから、スタートアップ コンフィギュレーションまたは実行コンフィギュレーションを外部サーバまたはローカル フラッシュ メモリにコピーできます。

TFTP サーバにコピーするには、次のコマンドを入力します。

hostname# copy {startup-config | running-config} tftp://server[/path]/filename
 

FTP サーバにコピーするには、次のコマンドを入力します。

hostname# copy {startup-config | running-config} ftp://[user[:password]@]server[/path]/filename
 

ローカル フラッシュ メモリにコピーするには、次のコマンドを入力します。

hostname# copy {startup-config | running-config} disk:[path/]filename
 

コピー先のディレクトリがあることを確認してください。コピー先ディレクトリがない場合は、最初に mkdir コマンドを使用してディレクトリを作成します。

フラッシュ メモリでのコンテキスト コンフィギュレーションのバックアップ

マルチコンテキスト モードでは、システム実行スペースで次のコマンドのいずれかを入力することにより、ローカル フラッシュ メモリ上のコンテキスト コンフィギュレーションをコピーします。

TFTP サーバにコピーするには、次のコマンドを入力します。

hostname# copy disk:[path/]filename tftp://server[/path]/filename
 

FTP サーバにコピーするには、次のコマンドを入力します。

hostname# copy disk:[path/]filename ftp://[user[:password]@]server[/path]/filename
 

ローカル フラッシュ メモリにコピーするには、次のコマンドを入力します。

hostname# copy disk:[path/]filename disk:[path/]newfilename
 

コピー先のディレクトリがあることを確認してください。コピー先ディレクトリがない場合は、最初に mkdir コマンドを使用してディレクトリを作成します。

たとえば、admin.cfg file to a 2_3 サブディレクトリをコピーする場合は、次のようにします。

hostname# mkdir 2_3
Create directory filename [2_3]?
 
Created dir disk:/2_3
hostname# copy disk:admin.cfg disk:2_3/admin.cfg
 

コンテキスト内のコンテキスト コンフィギュレーションのバックアップ

マルチコンテキスト モードでは、コンテキスト内から、次のバックアップを実行できます。

実行コンフィギュレーションを(admin コンテキストに接続している)スタートアップ コンフィギュレーション サーバにコピーするには、次のコマンドを入力します。

hostname/contexta# copy running-config startup-config
 

実行コンフィギュレーションを、コンテキスト ネットワークに接続している TFTP サーバにコピーするには、次のコマンドを入力します。

hostname/contexta# copy running-config tftp:/server[/path]/filename
 

端末ディスプレイからのコンフィギュレーションのコピー

コンフィギュレーションを端末に出力するには、次のコマンドを入力します。

hostname# show running-config
 

コマンドの出力をコピーして、コンフィギュレーションをテキスト ファイルに貼り付けます。

Release 2.1(2) へのメンテナンス ソフトウェアのアップグレード

FWSM Release 3.1 にアップグレードする前にメンテナンス ソフトウェア Release 2.1(2) 以上をインストールします。最新のメンテナンス リリースは、FWSM Release 2.x でも機能します。したがって、あとで FWSM Release 2.x に戻す場合にこの手順が問題になることはありません。


) フェールオーバーが機能している場合は、必ず両方のユニットでメンテナンス ソフトウェアをアップグレードしてください。


ここでは、次の内容について説明します。

「メンテナンス ソフトウェアのリリースの確認」

「メンテナンス ソフトウェアのアップグレード」

メンテナンス ソフトウェアのリリースの確認

メンテナンス ソフトウェアのリリースを確認するには、メンテナンス パーティションを起動し、次の手順でリリースを表示します。


ステップ 1 必要な場合は、次のコマンドを入力して、FWSM セッションを終了します。

hostname# exit
 
Logoff
 
[Connection to 127.0.0.31 closed by foreign host]
Router#
 

コンフィギュレーション モードでは、 exit コマンドを何回か入力しなければならない場合があります。

ステップ 2 OS に応じて、スイッチ プロンプトに次のコマンドを入力し、FWSM のメンテナンス パーティションを起動します。

Cisco IOS ソフトウェアの場合、次のコマンドを入力します。

Router# hw-module module mod_num reset cf:1
 

Catalyst OS ソフトウェアの場合、次のコマンドを入力します。

Console> (enable) reset mod_num cf:1
 

ステップ 3 OS に応じて、次のコマンドを入力し、FWSM とのセッションを開始します。

Cisco IOS ソフトウェア

Router# session slot number processor 1
 

Catalyst OS ソフトウェア

Console> (enable) session module_number
 

ステップ 4 次のコマンドを入力して、FWSM のメンテナンス パーティションに root としてログインします。

Login: root
 

ステップ 5 プロンプトにパスワードを入力します。

Password:
 

デフォルトのパスワードは、 cisco です。

FWSM は最初のログイン時に、次のようにバージョンを表示します。

Maintenance image version: 2.1(2)
 

ステップ 6 ログイン後にメンテナンス バージョンを表示するには、次のコマンドを入力します。

root@localhost# show version
 
Maintenance image version: 2.1(2)
mp.2-1-2.bin : Thu Nov 18 11:41:36 PST 2004 : integ@kplus-build-lx.cisco.com
 
Line Card Number :WS-SVC-FWM-1
Number of Pentium-class Processors : 2
BIOS Vendor: Phoenix Technologies Ltd.
BIOS Version: 4.0-Rel 6.0.9
Total available memory: 1004 MB
Size of compact flash: 123 MB
Daughter Card Info: Number of DC Processors: 3
Size of DC Processor Memory (per proc): 32 MB
 


 

メンテナンス ソフトウェアのアップグレード

メンテナンス ソフトウェアのアップグレードは、以下の手順で行います。フェールオーバー ペアがある場合は、まずスタンバイ ユニットをアップグレードしてから、アクティブ ユニットのアップグレードを行います。アクティブ ユニットのアップグレード中は、スタンバイ ユニットがアクティブになります。


ステップ 1 Cisco.com の次の URL からメンテナンス ソフトウェアをダウンロードします。

http://www.cisco.com/cgi-bin/tablebuild.pl/cat6000-serv-maint

FWSM admin コンテキストからアクセス可能な TFTP、HTTP、またはHTTPSのサーバにソフトウェアを保存します(マルチコンテキスト モードを使用している場合)。

ステップ 2 必要な場合は、次の手順に従って、メンテナンス パーティションからログアウトし、アプリケーション パーティションをリロードします。

a. 次のコマンドを入力して、メンテナンス パーティションからログアウトします。

root@localhost# logout
 

b. 必要な場合は、OS に応じて次のコマンドを入力し、アプリケーション パーティションを再起動します。

Cisco IOS ソフトウェアの場合、次のコマンドを入力します。

Router# hw-module module mod_num reset
 

Catalyst OS ソフトウェアの場合、次のコマンドを入力します。

Console> (enable) reset mod_num
 

c. OS に応じて、次のコマンドを入力し、FWSM とのセッションを開始します。

Cisco IOS ソフトウェア

Router# session slot number processor 1
 

Catalyst OS ソフトウェア

Console> (enable) session module_number
 

デフォルトのパスワードは cisco です( password コマンドを参照)。シングルモードでは、Telnet 認証を設定できるので、ユーザ名とパスワードはコンフィギュレーションによって異なります。

ステップ 3 メンテナンス パーティション ソフトウェアをアップグレードするには、次のいずれかのコマンドを使用して、適切なダウンロード サーバを指定します。マルチコンテキスト モードの場合は、システム実行スペースで作業する必要があります。

TFTP サーバからメンテナンス ソフトウェアをダウンロードするには、次のコマンドを入力します。

hostname# upgrade-mp tftp[://server[:port][/path]/filename]
 

サーバ情報を確認するプロンプトが表示されます。コマンドでサーバ情報を入力しない場合は、このプロンプトで入力できます。

HTTP または HTTPS サーバからメンテナンス ソフトウェアをダウンロードするには、次のコマンドを入力します。

hostname# upgrade-mp http[s]://[user[:password]@]server[:port][/path]/filename
 

メンテナンス パーティションのルート アカウントおよびゲスト アカウントのパスワードは、アップグレード後も保持されます。

次に、TFTP サーバ情報のプロンプトの例を示します。

hostname# upgrade-mp tftp
Address or name of remote host [127.0.0.1]? 10.1.1.5
Source file name [cdisk]? mp.2-1-0-3.bin.gz
copying tftp://10.1.1.5/mp.2-1-0-3.bin.gz to flash
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!
Received 1695744 bytes.
Maintenance partition upgraded.
 

ステップ 4 次のコマンドを入力して、FWSM リロードし、新しいメンテナンス ソフトウェアをロードします。

hostname# reload
 

あるいは、メンテナンス パーティションを起動するための準備として FWSM からログアウトし、メンテナンス パーティションから両方のアプリケーション パーティションにアプリケーション ソフトウェアをインストールすることもできます。FWSM セッションを終了するには、次のコマンドを入力します。

hostname# exit
 
Logoff
 
[Connection to 127.0.0.31 closed by foreign host]
Router#
 

コンフィギュレーション モードでは、 exit コマンドを何回か入力しなければならない場合があります。

FWSM のメンテナンス パーティションのリロードについては、「メンテナンス パーティションを使用したアプリケーション ソフトウェアのアップグレード」を参照してください。


 

アプリケーション ソフトウェアのアップグレード

FWSM アプリケーション ソフトウェアのアップグレードは、次のいずれかの手順で行います。

「FWSM CLI からのアプリケーション ソフトウェアのアップグレード」

この方法の利点は、メンテナンス パーティションを起動する必要がないことです。通常どおりにログインし、新しいソフトウェアをコピーできます。

TFTP、FTP、HTTP、または HTTPS サーバからのダウンロードが可能です。

ソフトウェアを、他方のアプリケーション パーティションにコピーすることはできません。ただし、旧バージョンのソフトウェアをバックアップとして現在のパーティションに保存しておきたい場合には、他のパーティションにコピーするほうが便利なこともあります。

その場合には、ネットワーク アクセスにより動作設定を行う必要があります。マルチコンテキスト モードでは、admin コンテキスト経由でネットワークに接続する必要があります。

「メンテナンス パーティションを使用したアプリケーション ソフトウェアのアップグレード」

この方法の利点は、両方のアプリケーション パーティションにソフトウェアをコピーできることです。アプリケーション コンフィギュレーションにオペレーショナル ネットワークを設定する必要はありません。いくつかのルーティング パラメータをメンテナンス パーティションに設定するだけで、VLAN 1 のサーバに到達できます。たとえば、FWSM を 2.x に戻さなければならない場合に備えて、一方のパーティションに Release 2.x を残しておいて、他方のパーティションに 3.1 をインストールすることもできます。

ただし、メンテナンス パーティションを起動する必要があるので、アクティブな接続がある場合には不便なことがあります。

この方法でサポートされるのは、FTP サーバからのダウンロードだけです。

FWSM CLI からのアプリケーション ソフトウェアのアップグレード

通常の稼働時に FWSM にログインすると、TFTP、FTP、HTTP、または HTTPS サーバからアプリケーション ソフトウェアを現在のアプリケーション パーティションにコピーできます。


) フェールオーバーが機能している場合は、必ず両方のユニットでアプリケーション ソフトウェアをアップグレードしてください。


FTP、TFTP、またはHTTP(S) サーバから、現在のアプリケーション パーティションにソフトウェアをアップグレードする手順は、次のとおりです。


ステップ 1 次の コマンドを入力して、選択したFTP、TFTP、またはHTTP(S) サーバにアクセスできるかどうかを確認します。

hostname# ping ip_address
 

ステップ 2 アプリケーション ソフトウェアをコピーするには、次のいずれかのコマンドを使用して、適切なダウンロード サーバを指定します。

TFTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy tftp://server[/path]/filename flash:
 

flash キーワードは、FWSM上のアプリケーション パーティションを表します。 flash パーティションにコピーできるのは、イメージとASDM ソフトウェアだけです。コンフィギュレーション ファイルは、 disk パーティションにコピーされます。

FTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy ftp://[user[:password]@]server[/path]/filename flash:
 

HTTP または HTTPS サーバからコピーするには、次のコマンドを入力します。

hostname# copy http[s]://[user[:password]@]server[:port][/path]/filename flash:
 

たとえば、FTP サーバからアプリケーション ソフトウェアをコピーする場合は、次の例のようにコマンドを入力します。

hostname# copy ftp://10.94.146.80/tftpboot/bnair/cdisk flash:
 
copying ftp://10.94.146.80/tftpboot/bnair/cdisk to flash:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 6128128 bytes.
Erasing current image.This may take some time..
Writing 6127616 bytes of image.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed.
 

ステップ 3 新しいソフトウェアを稼働させるためには、システムをリロードする必要があります。

フェールオーバー ペアがない場合は、次のコマンドを入力します。

hostname# reload
Proceed with reload? [confirm]
 

‘Proceed with reload?' プロンプトで、Enter キーを押し、入力したコマンドを確認します。

Rebooting...
 

フェールオーバー ペアがある場合は、次の手順を行います。

a. 次のコマンドを入力して、メモリに保存されているコンフィギュレーションがスタンバイ ユニットに存在するかどうかを確認します。

standby(config)# write memory
 

スタンバイ ユニットを再起動すると、メモリに保存されたコンフィギュレーションがロードされます。スタンバイ ユニットのソフトウェア バージョンがアクティブ ユニットと異なってしまうため、実行コンフィギュレーションを取得するためにアクティブ ユニットと同期をとることができなくなります。

マルチコンテキスト モードで、アクティブ ユニットのフラッシュ メモリにコンテキストコンフィギュレーションがある場合は、必ず各コンテキストで write memory コマンドを入力します。

b. 次のコマンドを入力して、スタンバイ ユニットを再起動し、新しいソフトウェアをロードします。

standby(config)# reload
 

スタンバイ ユニットの再起動後、バージョンの不一致が生じるため、フェールオーバー機能はディセーブルになります。スタンバイ ユニットはアクティブ ユニットとのバージョンの不一致を検出し、引き続きスタンバイ状態を維持します。

c. スタンバイ ユニットの再起動後、次のコマンドを入力して、アクティブ ユニットを再起動します。

active(config)# reload
 

アクティブユニットへの現在の接続は切断されます。新しい接続は、フェールオーバーを再度イネーブルにしたのちにスタンバイ ユニットで処理されます。

d. 次のコマンドを入力して、スタンバイ ユニットへのフェールオーバーを即座にイネーブルにします。

standby(config)# failover
 

スタンバイ ユニットは、フェールオーバー リンクの切断を検出し、アクティブになります。

e. (任意)次のコマンドを入力し、元のアクティブ ユニットをアクティブな状態に戻します。

formeractive(config)# failover active
 

トラフィックが失われることのないように、この手順を実行する前に、2 つのユニットの間でコンフィギュレーションとステートフル コネクションが同期していることを確認します。

FWSM Release 3.1 へのアップグレードの完了後も、スタートアップ コンフィギュレーションは Release 2.x コンフィギュレーションのままですが、実行コンフィギュレーションは新しく移行された 3.1 コンフィギュレーションに変更されます。FWSM で 3.1 イメージが稼働すると、Release 2.x のコマンドは入力できなくなります。

新しいコンフィギュレーションをフラッシュ メモリに保存しないと、FWSM を再起動するたびに古いスタートアップ コンフィギュレーションが自動的に変換されます。

ステップ 4 次のコマンドを入力して、変換された Release 3.1 のコンフィギュレーションをフラッシュ メモリに保存します。

hostname# write memory
 

マルチコンテキスト モードの場合は、システム実行スペースから、新しい write memory all コマンド を入力します。このコマンドを使用すると、FWSM が書き込みアクセス権を持つすべてのコンテキスト コンフィギュレーションが保存されます。

コンテキスト コンフィギュレーションが HTTP/HTTPS サーバにある場合、あるいは書き込みアクセス権がない場合は、 show running-config コマンドを使用して、新しいコンフィギュレーションを各コンテキストにコピーし、あとでサーバ上のコンテキスト コンフィギュレーションをアップデートできるようにします。


 

メンテナンス パーティションを使用したアプリケーション ソフトウェアのアップグレード

FWSM Release 3.1 にアップグレードする前にメンテナンス ソフトウェア Release 2.1(2) をインストールします。

メンテナンス パーティションにログインすると、アプリケーション ソフトウェアをいずれかのアプリケーション パーティション(cf:4 または cf:5)にインストールできます。


) FWSM のメンテナンス パーティションで使用できるのは、スイッチ上の VLAN 1 だけです。FWSM は、VLAN 1 での 802.1Q タギングをサポートしていません。


メンテナンス パーティションにログインし、FTP サーバからアプリケーション ソフトウェアをインストールする手順は、次のとおりです。


) フェールオーバー ペアがある場合は、まず、スタンバイ ユニットでこの手順を実行してください。スタンバイ ユニットでの作業が完了したら、アクティブ ユニットの作業を開始します。停止時間を最小限にするために、アクティブ ユニットを再起動したらすぐに、failover コマンドを使用して、スタンバイ ユニットでフェールオーバーをイネーブルにしてください。フェールオーバーは、スタンバイ ユニットがバージョンの不一致を検出したことにより、スタンバイ ユニット上でディセーブルになっています。アクティブ ユニットの停止中にスタンバイ ユニット上でフェールオーバーをイネーブルに戻すと、スタンバイ ユニットがアクティブになります。



ステップ 1 各アプリケーション パーティションにはそれぞれ独自のスタートアップ コンフィギュレーションが存在するので、2.x コンフィギュレーションを、3.1 のアプリケーション パーティションにコピーできるようにする必要があります。使用可能なTFTP、FTP、または HTTP(S) サーバにコンフィギュレーションをコピーすることもできるし、また、 show running-config コマンドを使用して端末からコンフィギュレーションをカットアンドペーストすることもできます。「シングルモード コンフィギュレーションまたはマルチモード システム コンフィギュレーションのバックアップ」を参照してください。

ステップ 2 必要な場合は、次のコマンドを入力して、FWSM セッションを終了します。

hostname# exit
 
Logoff
 
[Connection to 127.0.0.31 closed by foreign host]
Router#
 

コンフィギュレーション モードでは、 exit コマンドを何回か入力しなければならない場合があります。

ステップ 3 現在の(2.x)ブート パーティションを表示するには、OS に応じたコマンドを入力します。新しいデフォルト ブート パーティションを設定できるように、現在のブート パーティションを確認してください。

Cisco IOS ソフトウェア

Router# show boot device [mod_num]
 

次に例を示します。

Router# show boot device
[mod:1 ]:
[mod:2 ]:
[mod:3 ]:
[mod:4 ]: cf:4
[mod:5 ]: cf:4
[mod:6 ]:
[mod:7 ]: cf:4
[mod:8 ]:
[mod:9 ]:
 

Catalyst OS ソフトウェア

Console> (enable) show boot device mod_num
 

次に例を示します。

Console> (enable) show boot device 4
Device BOOT variable = cf:4
 

ステップ 4 OS に応じて次のコマンドを入力し、デフォルト ブート パーティションをバックアップに変更します。

Cisco IOS ソフトウェア

Router(config)# boot device module mod_num cf:{4 | 5}
 

Catalyst OS ソフトウェア

Console> (enable) set boot device cf:{4 | 5} mod_num
 

ステップ 5 OS に応じて、スイッチ プロンプトに次のコマンドを入力し、FWSM のメンテナンス パーティションを起動します。

Cisco IOS ソフトウェアの場合、次のコマンドを入力します。

Router# hw-module module mod_num reset cf:1
 

Catalyst OS ソフトウェアの場合、次のコマンドを入力します。

Console> (enable) reset mod_num cf:1
 

ステップ 6 OS に応じて、次のコマンドを入力し、FWSM とのセッションを開始します。

Cisco IOS ソフトウェア

Router# session slot number processor 1
 

Catalyst OS ソフトウェア

Console> (enable) session module_number
 

ステップ 7 次のコマンドを入力して、FWSM のメンテナンス パーティションに root としてログインします。

Login: root
Password:
 

デフォルトのパスワードは、 cisco です。

ステップ 8 次の手順に従って、ネットワーク パラメータを設定します。

a. 次のコマンドを入力して、メンテナンス パーティションに IP アドレスを割り当てます。

root@localhost# ip address ip _address netmask
 

これは、メンテナンス パーティションで使用できる唯一の VLAN である VLAN 1 のアドレスです。

b. 次のコマンドを入力して、メンテナンス パーティションにデフォルト ゲートウェイを割り当てます。

root@localhost# ip gateway ip_address
 

c. (任意)FTP サーバに ping を実行して接続を確認する場合は、次のコマンドを入力します。

root@localhost# ping ftp_address
 

ステップ 9 次のコマンドを入力して、FTP サーバからアプリケーション ソフトウェアをダウンロードします。

root@localhost# upgrade ftp://[user[:password]@]server[/path]/filename cf:{4 | 5}
 

cf:4 および cf:5 は、FWSM 上のアプリケーション パーティションです。新しいソフトウェアをバックアップ パーティションにインストールします。

画面に表示されるプロンプトに従って、アップグレードします。

ステップ 10 次のコマンドを入力して、メンテナンス パーティションからログアウトします。

root@localhost# logout
 

ステップ 11 FWSM を 3.1 アプリケーション パーティション(ステップ 4 でデフォルトに設定したもの)から再起動します。OS に応じて次のコマンドを入力してください。

Cisco IOS ソフトウェアの場合、次のコマンドを入力します。

Router# hw-module module mod_num reset
 

Catalyst OS ソフトウェアの場合、次のコマンドを入力します。

Console> (enable) reset mod_num
 

ステップ 12 OS に応じて、次のコマンドを入力し、FWSM とのセッションを開始します。

Cisco IOS ソフトウェア

Router# session slot number processor 1
 

Catalyst OS ソフトウェア

Console> (enable) session module_number
 

FWSM にログインするためのデフォルト パスワードは、 cisco です( password コマンドで設定)。このパーティションにスタートアップ コンフィギュレーションがない場合は、デフォルト パスワードが使用されます。

ステップ 13 次のコマンドを使用して、イネーブル EXEC モードを開始します。

hostname> enable
 

デフォルトのパスワードは空白です( enable password コマンドで設定)。このパーティションにスタートアップ コンフィギュレーションがない場合は、デフォルト パスワードが使用されます。

ステップ 14 各アプリケーション パーティションにはそれぞれ独自のスタートアップ コンフィギュレーションが存在するので、次のいずれかの方法で現在の 2.x コンフィギュレーションを 3.1 のアプリケーション パーティションにコピーする必要があります。

2.x コンフィギュレーションをコマンド ラインに貼り付ける場合は、次のコマンドを入力して保存します。

hostname# write memory
 

TFTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy tftp://server[/path]/filename startup-config
 

FTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy ftp://[user[:password]@]server[/path]/filename startup-config
 

HTTP または HTTPS サーバからコピーするには、次のコマンドを入力します。

hostname# copy http[s]://[user[:password]@]server[:port][/path]/filename startup-config
 

ステップ 15 デフォルトのコンテキスト モードはシングルモードです。したがって、マルチコンテキスト モードを使用している場合は、次のコマンドを入力して、3.1 アプリケーション パーティションにマルチモードを設定します。

hostname# configuration terminal
hostname(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
 

FWSM のリロードを確認します。

ステップ 16 ステップ 15 でモードの変更とリロードを行わなかった場合は、次のコマンドを使用して FWSM をリロードします。

hostname# reload
 

リロード後も、スタートアップ コンフィギュレーションは Release 2.x コンフィギュレーションのままですが、実行コンフィギュレーションは新しく移行された 3.1 コンフィギュレーションに変更されます。FWSM で 3.1 イメージが稼働すると、Release 2.x のコマンドは入力できなくなります。

新しいコンフィギュレーションをフラッシュ メモリに保存しないと、FWSM を再起動するたびに古いスタートアップ コンフィギュレーションが自動的に変換されます。

ステップ 17 次のコマンドを入力して、変換された Release 3.1 のコンフィギュレーションをフラッシュ メモリに保存します。

hostname# write memory
 

マルチコンテキスト モードの場合は、システム実行スペースから、 write memory all コマンド を入力します。このコマンドを使用すると、FWSM が書き込みアクセス権を持つすべてのコンテキスト コンフィギュレーションが保存されます。

コンテキスト コンフィギュレーションが HTTP/HTTPS サーバにある場合、あるいは書き込みアクセス権がない場合は、 show running-config コマンドを使用して、新しいコンフィギュレーションを各コンテキストにコピーし、あとでサーバ上のコンテキスト コンフィギュレーションをアップデートできるようにします。


 

システム コンフィギュレーションから未使用コマンドを削除する

Release 3.1 をロードすると、ほとんどのコマンドは自動変換されます。いくつかの廃止コマンドはコンフィギュレーション内に残りますが、このようなコマンドの扱いについてはユーザが決めることができます。たとえば、システム実行スペースでは logging コマンドを設定できなくなります。代わりに、admin コンテキストにシステム メッセージ(フェールオーバー メッセージを含む)が出力されます。ただし、 logging コマンドはシステム コンフィギュレーションから自動的に 削除されません

FWSM が廃止コマンドをロードすると、エラー メッセージが表示されますが、コンフィギュレーションの実行に影響は生じません。廃止コマンドをコンフィギュレーションから削除する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、廃止コマンドを表示します。

hostname# show startup-config errors
 

ステップ 2 コマンドを削除するには、そのコマンドを no 形式で入力します。


 

PDM から ASDM へのアップグレード

アプリケーション ソフトウェア リリース 3.1 で稼働するASDM 5.0F にPDM 4.x をアップグレードする手順については、『 Cisco ASDM Release Notes 』を参照してください。

アップグレードの例

ここでは、Release 2.3 のコンフィギュレーションと変換後の Release 3.1 のコンフィギュレーションの例を紹介します。提示する例は次の 2 つです。

「シングルモードのコンフィギュレーションの例」

「マルチモードのコンフィギュレーションの例」

シングルモードのコンフィギュレーションの例

以下に示すのは、FWSM Release 3.1 にアップグレードする前に、FWSM Release 2.3 が稼働するシステムで show version コマンドを実行した場合の出力例です。

hostname(config)# show version
 
FWSM Firewall Version 2.3(2)9
 
Compiled on Thu 14-Jul-05 01:30 by dalecki
 
FWSM up 28 mins 48 secs
 
Hardware: WS-SVC-FWM-1, 1024 MB RAM, CPU Pentium III 1000 MHz
Flash V1.01 SMART ATA FLASH DISK @ 0xc321, 20MB
 
0: gb-ethernet0: irq 5
1: gb-ethernet1: irq 7
2: ethernet0: irq 11
 
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES: Enabled
Maximum Interfaces: 256
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Throughput: Unlimited
ISAKMP peers: Unlimited
Security Contexts: 2
 
This machine has an Unrestricted (UR) license.
 
Serial Number: SAD062302U5
Running Activation Key: 0x00000000 0x00000000 0x00000000 0x00000000
Configuration last modified by enable_15 at 06:36:55 Aug 24 2005
 

表2 に、未変更のスタートアップ コンフィギュレーション、および Release 3.1 にアップグレードして変換された実行コンフィギュレーションを示します。

 

表2 2.3 のスタートアップ コンフィギュレーションと 3.1 の実行コンフィギュレーション

2.3 のスタートアップ コンフィギュレーション
3.1 の実行コンフィギュレーション
FWSM(config)# show startup-config
: Saved
: Written by enable_15 at 06:37:02 Aug 24 2005
 
FWSM Version 2.3(2)9
nameif Vlan10 outside security100
nameif Vlan30 inside security0
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname FWSM
ftp mode passive
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 H225 1720
fixup protocol h323 ras 1718-1719
fixup protocol rsh 514
fixup protocol sip 5060
no fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
access-list deny-flow-max 4096
access-list alert-interval 300
pager lines 24
logging buffer-size 4096
mtu outside 1500
mtu inside 1500
ip address outside 10.6.8.20 255.0.0.0
ip address inside 11.1.1.1 255.0.0.0
no failover
failover lan unit secondary
failover polltime unit 1 holdtime 15
failover polltime interface 15
failover interface-policy 50%
icmp permit any outside
no pdm history enable
arp timeout 14400
!
interface outside
!
interface inside
 
!
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 rpc
0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 sip 0:30:00 sip_media
0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
(続く...)
FWSM(config)# show running-config
: Saved
:
FWSM Version 3.1(0)78
!
hostname FWSM
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan10
nameif outside
security-level 100
ip address 10.6.8.20 255.0.0.0
!
interface Vlan30
nameif inside
security-level 0
ip address 11.1.1.1 255.0.0.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
pager lines 24
mtu outside 1500
mtu inside 1500
no failover
failover lan unit secondary
icmp permit any outside
no asdm history enable
arp timeout 14400
nat-control
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 non_TCP_UDP
0:10:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map class_sip_tcp
match port tcp eq sip
class-map inspection_default
match default-inspection-traffic
!
!
(続く...)
(...続き)
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
floodguard enable
fragment size 200 outside
fragment chain 24 outside
fragment size 200 inside
fragment chain 24 inside
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:c0c7b48ccf97530e2c57a90aeb5f9621
 
(...続き)
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect skinny
inspect smtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect xdmcp
class class_sip_tcp
inspect sip
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:c0c7b48ccf97530e2c57a90aeb5f9621
: end

以下に示すのは、FWSM Release 3.1 にアップグレード後のシステムで show version コマンドを実行した場合の出力例です。

hostname(config)# show version
 
FWSM Firewall Version 3.1(0)78
 
Compiled on Tue 23-Aug-05 23:54 by bnair
 
FWSM up 20 mins 17 secs
 
Hardware: WS-SVC-FWM-1, 1024 MB RAM, CPU Pentium III 1000 MHz
Flash SMART ATA FLASH DISK @ 0xc321, 20MB
Disk Partition: ATA Compact Flash, 57MB
 
0: Int: Not licensed : irq 5
1: Int: Not licensed : irq 7
2: Int: Not licensed : irq 11
The Running Activation Key is not valid, using default settings:
 
Licensed features for this platform:
Maximum Interfaces : 256
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited
 
Serial Number: SAD062302U5
Running Activation Key: 0x00000000 0x00000000 0x00000000 0x00000000
Configuration has not been modified since last system restart.

マルチモードのコンフィギュレーションの例

以下に示すのは、FWSM Release 3.1 にアップグレードする前に、FWSM Release 2.3 が稼働するシステムで show version コマンドを実行した場合の出力例です。

hostname/admin(config)# show version
 
FWSM Firewall Version 2.3(2)20 <context>
 
Compiled on Tue 20-Sep-05 02:29 by bnair
 
FWSM up 4 mins 4 secs
 
Hardware: WS-SVC-FWM-1, 1024 MB RAM, CPU Pentium III 1000 MHz
Flash V1.01 SMART ATA FLASH DISK @ 0xc321, 20MB
 
0: gb-ethernet0: irq 5
1: gb-ethernet1: irq 7
2: ethernet0: irq 11
 
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES: Enabled
Maximum Interfaces: 256 (per security context)
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Throughput: Unlimited
ISAKMP peers: Unlimited
Security Contexts: 2
 
This machine has an Unrestricted (UR) license.
 
Serial Number: SAD062302U5
Running Activation Key: 0x00000000 0x00000000 0x00000000 0x00000000
Configuration last modified by enable_15 at 04:46:56 Sep 20 2005
 

表3 に、未変更のシステム スタートアップ コンフィギュレーション、および Release 3.1 にアップグレードして変換されたシステム実行コンフィギュレーションを示します。

表4 には、未変更のコンテキスト スタートアップ コンフィギュレーション、および Release 3.1 にアップグレードして変換されたコンテキスト実行コンフィギュレーションを示します。

 

表3 システム コンフィギュレーション:2.3 のスタートアップ コンフィギュレーションと 3.1 の実行コンフィギュレーション

システムのコンフィギュレーション:2.3 の
スタートアップ コンフィギュレーション
システムのコンフィギュレーション:3.1 の
実行コンフィギュレーション
FWSM(config)# show startup-config
: Saved
: Written by enable_15 at 06:37:02 Aug 24 2005
 
FWSM Version 2.3(2)20 <system>
resource acl-partition 12
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname FWSM
ftp mode passive
pager lines 24
logging buffer-size 4096
class default
limit-resource IPSec 5
limit-resource Mac-addresses 65535
limit-resource PDM 5
limit-resource SSH 5
limit-resource Telnet 5
limit-resource All 0
!
no failover
failover lan unit secondary
failover polltime unit 1 holdtime 15
failover polltime interface 15
failover interface-policy 50%
arp timeout 14400
!
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 rpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
terminal width 80
admin-context admin
context admin
allocate-interface vlan10
config-url disk:/admin.cfg
!
Cryptochecksum:00000000000000000000000000000000
: end
FWSM(config)# show running-config
: Saved
:
FWSM Version 3.1(0)93 <system>
!
resource acl-partition 12
hostname FWSM
enable password 8Ry2YjIyt7RRXU24 encrypted
!
interface Vlan10
!
passwd 2KFQnbNIdI.2KYOU encrypted
class default
limit-resource IPSec 5
limit-resource Mac-addresses 65535
limit-resource ASDM 5
limit-resource SSH 5
limit-resource Telnet 5
limit-resource All 0
!
 
ftp mode passive
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0
 
admin-context admin
context admin
allocate-interface Vlan10
config-url disk:/admin.cfg
!
 
prompt hostname context
Cryptochecksum:1ee5609cafee6e7c8ce9c0541c56f05a
: end

 

表4 コンテキストのコンフィギュレーション:2.3 のスタートアップ コンフィギュレーションと 3.1 の実行コンフィギュレーション

コンテキストのコンフィギュレーション:2.3 の
スタートアップ コンフィギュレーション
コンテキストのコンフィギュレーション:3.1 の
実行コンフィギュレーション
FWSM(config)# show startup-config
: Saved
: Written by enable_15 at 06:37:02 Aug 24 2005
 
FWSM Version 2.3(2)20 <context>
nameif vlan10 outside security0
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname FWSM
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 H225 1720
fixup protocol h323 ras 1718-1719
fixup protocol rsh 514
fixup protocol sip 5060
no fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
access-list deny-flow-max 4096
access-list alert-interval 300
pager lines 24
logging buffer-size 4096
mtu outside 1500
ip address outside 10.6.8.20 255.0.0.0
icmp permit any outside
no pdm history enable
arp timeout 14400
!
interface outside
!
!
route outside 0.0.0.0 0.0.0.0 10.6.8.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 rpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
floodguard enable
fragment size 200 outside
fragment chain 24 outside
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:4119f9fbe77dd6c853e17f1c0626f06d
: end
FWSM(config)# show running-config
: Saved
:
FWSM Version 3.1(0)93 <context>
!
hostname FWSM
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan10
nameif outside
security-level 0
ip address 10.6.8.20 255.0.0.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
pager lines 24
mtu outside 1500
icmp permit any outside
no asdm history enable
arp timeout 14400
nat-control
route outside 0.0.0.0 0.0.0.0 10.6.8.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 non_TCP_UDP 0:10:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
!
class-map class_sip_tcp
match port tcp eq sip
class-map inspection_default
match default-inspection-traffic
!
!
 
(続く...)
 
(...続き)
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect skinny
inspect smtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect xdmcp
class class_sip_tcp
inspect sip
!
service-policy global_policy global
Cryptochecksum:4119f9fbe77dd6c853e17f1c0626f06d
: end

FWSM を Release 2.x に戻す

FWSM を Release 2.x に戻す手順は、次のとおりです。

「現在のアプリケーション パーティションへの Release 2.x のダウンロード」

「バックアップ アプリケーション パーティションからの Release 2.x の起動」

「Release 2.x のインストールとバックアップ アプリケーション パーティションの起動」

現在のアプリケーション パーティションへの Release 2.x のダウンロード

Release 3.1 を Release 2.1 に交換する場合は、現在のアプリケーション パーティション内の 3.1 ソフトウェアの上に 2.x ソフトウェアをダウンロードします。次の手順で 2.x に戻します。


ステップ 1 2.x コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。マルチコンテキスト モードでは、システム コンフィギュレーションをコピーします。フェールオーバー ペアがある場合は、両方のユニットに 2.x コンフィギュレーションをダウンロードします。

2.x コンフィギュレーションをコマンドラインに貼り付ける場合は、次のコマンドを入力して保存します。

hostname# write memory
 

TFTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy tftp://server[/path]/filename startup-config
 

FTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy ftp://[user[:password]@]server[/path]/filename startup-config
 

HTTP または HTTPS サーバからコピーするには、次のコマンドを入力します。

hostname# copy http[s]://[user[:password]@]server[:port][/path]/filename startup-config
 

ローカル フラッシュ メモリからコピーするには、次のコマンドを入力します。

hostname# copy disk:[path/]filename startup-config
 

ステップ 2 マルチモードで、外部サーバにコンテキスト コンフィギュレーションを保存している場合は、2.x のコンフィギュレーションをそのサーバにコピーします。フラッシュ メモリにコンテキスト コンフィギュレーションを保存している場合は、次のいずれかの方法で、システム実行スペースから 2.x のコンテキスト コンフィギュレーションをコピーします。

TFTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy tftp://server[/path]/filename disk:[path/]filename
 

FTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy ftp://[user[:password]@]server[/path]/filename disk:[path/]filename
 

HTTP または HTTPS サーバからコピーするには、次のコマンドを入力します。

hostname# copy http[s]://[user[:password]@]server[:port][/path]/filename disk:[path/]filename
 

ステップ 3 次のいずれかのコマンドを使用して、適切なダウンロード サーバを指定し、2.x ソフトウェアをコピーします。フェールオーバー ペアがある場合は、両方のユニットにソフトウェアをコピーします。

TFTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy tftp://server[/path]/filename flash:
 

FTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy ftp://[user[:password]@]server[/path]/filename flash:
 

HTTP または HTTPS サーバからコピーするには、次のコマンドを入力します。

hostname# copy http[s]://[user[:password]@]server[:port][/path]/filename flash:
 

ステップ 4 新しいソフトウェアを稼働させるには、システムをリロードする必要があります。

フェールオーバー ペアがない場合は、次のコマンドを入力します。

hostname# reload
Proceed with reload? [confirm]
 

‘Proceed with reload?' プロンプトで、Enter キーを押し、入力したコマンドを確認します。

Rebooting...
 

フェールオーバー ペアがある場合は、次の手順を行います。

a. 次のコマンドを入力して、スタンバイ ユニットを再起動し、新しいソフトウェアをロードします。

standby(config)# reload
 

スタンバイ ユニットの再起動後、バージョンの不一致が生じるため、フェールオーバー機能はディセーブルになります。スタンバイ ユニットはアクティブ ユニットとのバージョンの不一致を検出し、引き続きスタンバイ状態を維持します。

b. スタンバイ ユニットの再起動後、次のコマンドを入力して、アクティブ ユニットを再起動します。

active(config)# reload
 

アクティブユニットへの現在の接続は切断されます。新しい接続は、フェールオーバーを再度イネーブルにしたのちにスタンバイ ユニットで処理されます。

c. 次のコマンドを入力して、スタンバイ ユニットへのフェールオーバーを即座にイネーブルにします。

standby(config)# failover
 

スタンバイ ユニットは、フェールオーバー リンクの切断を検出し、アクティブになります。

d. (任意)次のコマンドを入力し、元のアクティブ ユニットをアクティブな状態に戻します。

formeractive(config)# failover active
 

トラフィックが失われることのないように、この手順を実行する前に、2 つのユニット間でコンフィギュレーションとステートフル コネクションが同期していることを確認します。


 

バックアップ アプリケーション パーティションからの Release 2.x の起動

すでに Release 2.x がインストールされていて、バックアップ アプリケーション パーティションに現在の 2.x スタートアップ コンフィギュレーションがある場合は、次の手順を行います。


) フェールオーバー ペアがある場合は、まず、スタンバイ ユニットでこの手順を実行してください。スタンバイ ユニットでの作業が完了したら、アクティブ ユニットの作業を開始します。停止時間を最小限にするために、アクティブ ユニットを再起動したらすぐに、failover コマンドを使用して、スタンバイ ユニットでフェールオーバーをイネーブルにしてください。フェールオーバーは、スタンバイ ユニットがバージョンの不一致を検出したため、スタンバイ ユニット上でディセーブルになっています。アクティブ ユニットの停止中にスタンバイ ユニット上でフェールオーバーをイネーブルに戻すと、スタンバイ ユニットはアクティブになります。



ステップ 1 各パーティションには、それぞれ独自のスタートアップ コンフィギュレーションが存在します。ただし、マルチモードで、外部サーバにコンテキスト コンフィギュレーションを保存している場合は、2.x のコンフィギュレーションをそのサーバにコピーします。フラッシュ メモリにコンテキスト コンフィギュレーションを保存している場合は、次のいずれかの方法で、システム実行スペースから 2.x のコンテキスト コンフィギュレーションをコピーします。

TFTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy tftp://server[/path]/filename disk:[path/]filename
 

FTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy ftp://[user[:password]@]server[/path]/filename disk:[path/]filename
 

HTTP または HTTPS サーバからコピーするには、次のコマンドを入力します。

hostname# copy http[s]://[user[:password]@]server[:port][/path]/filename disk:[path/]filename
 

ローカル フラッシュ メモリからコピーするには、次のコマンドを入力します。

hostname# copy disk:[path/]filename disk:[path/]newfilename
 

ステップ 2 次のコマンドを入力して、FWSM セッションを終了します。

hostname# exit
 
Logoff
 
[Connection to 127.0.0.31 closed by foreign host]
Router#
 

コンフィギュレーション モードでは、 exit コマンドを何回か入力しなければならない場合があります。

ステップ 3 現在の(3.1.x)ブート パーティションを表示するには、OS に応じて次のコマンドを入力します。次の手順でデフォルト パーティションを変更できるように現在のブート パーティションを確認します。

Cisco IOS ソフトウェア

Router# show boot device [mod_num]
 

次に例を示します。

Router# show boot device
[mod:1 ]:
[mod:2 ]:
[mod:3 ]:
[mod:4 ]: cf:4
[mod:5 ]: cf:4
[mod:6 ]:
[mod:7 ]: cf:4
[mod:8 ]:
[mod:9 ]:
 

Catalyst OS ソフトウェア

Console> (enable) show boot device mod_num
 

次に例を示します。

Console> (enable) show boot device 4
Device BOOT variable = cf:4
 

ステップ 4 OS に応じて次のコマンドを入力し、デフォルト ブート パーティションをバックアップ(2.x)パーティションに変更します。

Cisco IOS ソフトウェア

Router(config)# boot device module mod_num cf:{4 | 5}
 

Catalyst OS ソフトウェア

Console> (enable) set boot device cf:{4 | 5} mod_num
 

ステップ 5 FWSM をバックアップ アプリケーション パーティション(前の手順で新しいデフォルト ブート パーティションに設定したもの)で再起動します。OS に応じて次のコマンドを入力してください。

Cisco IOS ソフトウェアの場合、次のコマンドを入力します。

Router# hw-module module mod_num reset
 

Catalyst OS ソフトウェアの場合、次のコマンドを入力します。

Console> (enable) reset mod_num
 

ステップ 6 OS に応じて、次のコマンドを入力し、FWSM とのセッションを開始します。

Cisco IOS ソフトウェア

Router# session slot number processor 1
 

Catalyst OS ソフトウェア

Console> (enable) session module_number
 

FWSM にログインするためのデフォルト パスワードは、 cisco です( password コマンドで設定)。


 

Release 2.x のインストールとバックアップ アプリケーション パーティションの起動

3.1 のソフトウェア イメージを現在のアプリケーション パーティションに保存するには、バックアップ パーティションに Release 2.x をインストールし、バックアップ パーティションで起動します。現在のアプリケーション パーティション以外のパーティションにソフトウェアをインストールする場合は、メンテナンス パーティションを起動します。その場合、FTP サーバからのみ、いずれかのパーティションにソフトウェアをダウンロードできます。

FWSM のメンテナンス パーティションで使用できるのは、スイッチ上の VLAN 1 だけです。FWSM は、VLAN 1 での 802.1Q タギングをサポートしていません。

以下の手順に従って、メンテナンス パーティションにログインし、FTP サーバから 2..x ソフトウェアをインストールしてから、バックアップ パーティションで起動してください。


) フェールオーバー ペアがある場合は、まず、スタンバイ ユニットでこの手順を実行してください。スタンバイ ユニットでの作業が完了したら、アクティブ ユニットの作業を開始します。停止時間を最小限にするために、アクティブ ユニットを再起動したらすぐに、failover コマンドを使用して、スタンバイ ユニットでフェールオーバーをイネーブルにしてください。フェールオーバーは、スタンバイ ユニットがバージョンの不一致を検出したため、スタンバイ ユニット上でディセーブルになっています。アクティブ ユニットの停止中にスタンバイ ユニット上でフェールオーバーをイネーブルに戻すと、スタンバイ ユニットはアクティブになります。



ステップ 1 必要な場合は、次のコマンドを入力して、FWSM セッションを終了します。

hostname# exit
 
Logoff
 
[Connection to 127.0.0.31 closed by foreign host]
Router#
 

コンフィギュレーション モードでは、 exit コマンドを何回か入力しなければならない場合があります。

ステップ 2 現在の(3.1.x)ブート パーティションを表示するには、OS に応じて次のコマンドを入力します。新しいデフォルト ブート パーティションを設定できるように現在のブート パーティションを確認します。

Cisco IOS ソフトウェア

Router# show boot device [mod_num]
 

次に例を示します。

Router# show boot device
[mod:1 ]:
[mod:2 ]:
[mod:3 ]:
[mod:4 ]: cf:4
[mod:5 ]: cf:4
[mod:6 ]:
[mod:7 ]: cf:4
[mod:8 ]:
[mod:9 ]:
 

Catalyst OS ソフトウェア

Console> (enable) show boot device mod_num
 

次に例を示します。

Console> (enable) show boot device 4
Device BOOT variable = cf:4
 

ステップ 3 OS に応じて次のコマンドを入力し、デフォルト ブート パーティションをバックアップに変更します。

Cisco IOS ソフトウェア

Router(config)# boot device module mod_num cf:{4 | 5}
 

Catalyst OS ソフトウェア

Console> (enable) set boot device cf:{4 | 5} mod_num
 

ステップ 4 OS に応じて、スイッチ プロンプトに次のコマンドを入力し、FWSM のメンテナンス パーティションを起動します。

Cisco IOS ソフトウェアの場合、次のコマンドを入力します。

Router# hw-module module mod_num reset cf:1
 

Catalyst OS ソフトウェアの場合、次のコマンドを入力します。

Console> (enable) reset mod_num cf:1
 

ステップ 5 OS に応じて、次のコマンドを入力し、FWSM とのセッションを開始します。

Cisco IOS ソフトウェア

Router# session slot number processor 1
 

Catalyst OS ソフトウェア

Console> (enable) session module_number
 

ステップ 6 次のコマンドを入力して、FWSM のメンテナンス パーティションに root としてログインします。

Login: root
Password:
 

デフォルトのパスワードは、 cisco です。

ステップ 7 次の手順に従って、ネットワーク パラメータを設定します。

a. 次のコマンドを入力して、メンテナンス パーティションに IP アドレスを割り当てます。

root@localhost# ip address ip _address netmask
 

これは、メンテナンス パーティションで使用できる唯一の VLAN である VLAN 1 のアドレスです。

b. 次のコマンドを入力して、メンテナンス パーティションにデフォルト ゲートウェイを割り当てます。

root@localhost# ip gateway ip_address

c. (任意)FTP サーバに ping を実行して接続を確認する場合は、次のコマンドを入力します。

root@localhost# ping ftp_address
 

ステップ 8 次のコマンドを入力して、FTP サーバからアプリケーション ソフトウェアをダウンロードします。

root@localhost# upgrade ftp://[user[:password]@]server[/path]/filename cf:{4 | 5}
 

新しいソフトウェアをバックアップ パーティションにインストールします。

画面に表示されるプロンプトに従って、アップグレードします。

ステップ 9 次のコマンドを入力して、メンテナンス パーティションからログアウトします。

root@localhost# logout
 

ステップ 10 FWSM を 2.x アプリケーション パーティション(ステップ 3 で新しいデフォルト ブート パーティションに設定したもの)で再起動します。OS に応じて次のコマンドを入力してください。

Cisco IOS ソフトウェアの場合、次のコマンドを入力します。

Router# hw-module module mod_num reset
 

Catalyst OS ソフトウェアの場合、次のコマンドを入力します。

Console> (enable) reset mod_num
 

ステップ 11 OS に応じて、次のコマンドを入力し、FWSM とのセッションを開始します。

Cisco IOS ソフトウェア

Router# session slot number processor 1
 

Catalyst OS ソフトウェア

Console> (enable) session module_number
 

FWSM にログインするためのデフォルト パスワードは、 cisco です( password コマンドで設定)。このパーティションにスタートアップ コンフィギュレーションが存在しない場合は、デフォルト パスワードが使用されます。

ステップ 12 次のコマンドを使用して、イネーブル EXEC モードを開始します。

hostname> enable
 

デフォルトのパスワードは空白です( enable password コマンドで設定)。このパーティションにスタートアップ コンフィギュレーションが存在しない場合は、デフォルト パスワードが使用されます。

ステップ 13 マルチモードで、外部サーバにコンテキスト コンフィギュレーションを保存している場合は、2.x のコンフィギュレーションをそのサーバにコピーします。フラッシュ メモリにコンテキスト コンフィギュレーションを保存している場合は、次のいずれかの方法で、システム実行スペースから 2.x のコンテキスト コンフィギュレーションをコピーします。

TFTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy tftp://server[/path]/filename disk:[path/]filename
 

FTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy ftp://[user[:password]@]server[/path]/filename disk:[path/]filename
 

HTTP または HTTPS サーバからコピーするには、次のコマンドを入力します。

hostname# copy http[s]://[user[:password]@]server[:port][/path]/filename disk:[path/]filename
 

ローカル フラッシュ メモリからコピーするには、次のコマンドを入力します。

hostname# copy disk:[path/]filename disk:[path/]newfilename
 

ステップ 14 各アプリケーション パーティションにはそれぞれ独自のスタートアップ コンフィギュレーションが存在するので、2.x コンフィギュレーションを、アプリケーション パーティションにコピーする必要があります。このパーティションで古いコンフィギュレーションが稼働している場合は、実行コンフィギュレーションをコピーする前に古いコンフィギュレーションを消去します。実行コンフィギュレーションを消去するには、 clear configure all コマンドを入力します。次のいずれかの方法で、2.x のコンフィギュレーションを実行コンフィギュレーションにコピーします。

2.x のコンフィギュレーションをコマンドラインに貼り付けます。

TFTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy tftp://server[/path]/filename running-config
 

FTP サーバからコピーするには、次のコマンドを入力します。

hostname# copy ftp://[user[:password]@]server[/path]/filename running-config
 

HTTP または HTTPS サーバからコピーするには、次のコマンドを入力します。

hostname# copy http[s]://[user[:password]@]server[:port][/path]/filename running-config
 

ローカル フラッシュ メモリからコピーするには、次のコマンドを入力します。

hostname# copy disk:[path/]filename running-config
 

ステップ 15 次のコマンドを使用して、実行コンフィギュレーションをスタートアップに保存します。

hostname# write memory
 

ステップ 16 デフォルトのコンテキスト モードはシングルモードです。したがって、マルチコンテキスト モードを使用している場合は、次のコマンドを入力して、2.x アプリケーション パーティションにマルチモードを設定します。

hostname# configuration terminal
hostname(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
 

FWSM のリロードを確認します。


 

変更および廃止されたコマンド

ここでは、FWSM Release 3.1 の変更コマンドと廃止コマンドについて説明します。具体的な内容は次のとおりです。

「コマンドの概要」

「変更の概要」

「CLI プロセッサ」

「アプリケーション検査(fixup コマンド)」

「ルーテッド モードと透過モードの混在」

「透過モード ブリッジ グループ」

「インターフェイス」

「AAA」

「MGCP」

「NAT」

「その他のコマンド」

「Logging コマンド」

「デバイス管理コマンド」

「VPN コマンド」

コマンドの概要

既存の FWSM コマンドの多くは、FWSM Release 3.1 で導入された機能に伴い、新しいキーワードやその他のコマンドライン オプションで拡張されています( 表5 を参照)。FWSMRelease 3.1 には 「新しい機能」に一覧表示したように、50 以上の新しい機能が導入されています。詳細については、FWSM Release 3.1 のマニュアルを参照してください。

FWSM 3.1 へのアップグレード時に、廃止コマンドは自動的に新しい構文に変換されます。変換後、FWSM Release 3.1 では新しいコマンドのみが有効となります。古いコマンドを入力すると、構文エラーが表示されます。

コマンドの自動変換によって、コンフィギュレーションが変更されます。起動後、コンフィギュレーションの変更を見直してソフトウェアによる自動変更に問題がないかどうかを確認してください。その後、コンフィギュレーションをフラッシュ メモリに保存します。新しいコンフィギュレーションをフラッシュ メモリに保存すると、FWSM Release 3.1 の次回の起動時には、古いコンフィギュレーションの変換は実行されません。

変更の概要

FWSM Release 3.1 での主な変更点は以下のとおりです。

新しい Modular Policy Framework によって、Cisco IOS ソフトウェアの CLI の QoS と同様、一貫性のある柔軟な方法で FWSM 機能を設定できます。たとえば、Modular Policy Framework を使用して、TCP アプリケーション全体ではなく、特定の TCP アプリケーションだけにタイムアウトを設定することが可能です。

Modular Policy Framework は、次の機能に使用できます。

TCP 接続の制限およびタイムアウト

アプリケーション検査(フィックスアップ)

Modular Policy Framework の設定は、次の 3 つの手順で行います。

a. アクションを適用するトラフィックを特定します(クラス マップ)。

b. トラフィックにアクションを適用します(ポリシー マップ)。

c. インターフェイスでアクションをアクティブにします(サービス ポリシー)。

3.1 のデフォルト コンフィギュレーションには、デフォルトのアプリケーション検査トラフィックをすべて照合するポリシーが含まれ、すべてのインターフェイスのトラフィックに検査が適用されます(グローバル ポリシー)。適用できるグローバル ポリシーは1つだけなので、グローバル ポリシーを変更する場合は、デフォルトのポリシーを変更するか、またはデフォルトのポリシーをディセーブルにして、新しいポリシーを適用します。

fixup コマンドが廃止され、inspect コマンドが代わりに導入されました。 inspect コマンドは、Modular Policy Framework 内で機能します(アプリケーション検査(fixup コマンド)を参照)。

mgcp コマンドが mgcp-map コマンドの下に移動しました(MGCPを参照)。

aaa-server コマンドに aaa-server-group コンフィギュレーション モードへのアクセス機能が追加されました。これにより、特定の AAA サーバ グループへの設定が可能になります。 aaa コマンドなどの一部のコマンドで、より細かいパラメータの設定が可能になりました(AAAを参照)。

interface コマンドに、インターフェイス コンフィギュレーション モードへのアクセス機能が追加されました。このモードでは、特定のインターフェイスの IP アドレス、名前、セキュリティ レベルを設定できます(インターフェイスを参照)。

no、clear、および show のコマンドが変更され、動作の一貫性が改善されました(CLI プロセッサを参照)。

FWSM の新しいコマンドとして、nat-control コマンドがコンフィギュレーションに追加されました。このコマンドは、Release 2.x の NAT の要件を維持します。Release 3.1 の新機能によって、NAT 制御をディセーブルに設定できるようになりました。したがって、内部ホストと外部ホストとの通信時に変換が必要なくなります。NAT 制御をディセーブルにするには、no nat-control コマンドを入力します(NATを参照)。

コマンド完成機能とモード ナビゲーションが変更されました。

管理機能および VPN の機能に、様々な強化や改善が施されました。これらはセキュアな管理アクセスに役立ちます(デバイス管理コマンドを参照)。

変更または廃止された機能やコマンドのほとんどは、FWSM Release 3.1 の起動時に自動的に変換されます。

表5 に、変更または廃止されたコマンドを示します。

 

表5 変更コマンドと廃止コマンド

コマンド/記述
簡単な説明
詳細の参照先

aaa-server

変更

「AAA」

aaa-server radius-authport

変更

「AAA」

aaa-server radius-acctport

変更

「AAA」

auth-prompt

変更

「AAA」

ca

変更

「Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)コマンド」

ca generate/ca zeroize

廃止

「Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)コマンド」

ca identity/ca configure

廃止

「Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)コマンド」

ca authenticate

廃止

「Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)コマンド」

ca enroll

廃止

「Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)コマンド」

ca crl

廃止

「Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)コマンド」

ca subject-name

廃止

「Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)コマンド」

ca save all

廃止

「Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)コマンド」

ca verifycertdn

廃止

「Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)コマンド」

copy capture

変更

「デバイス管理コマンド」

crypto dynamic-map

変更

「VPN コマンド」

crypto ipsec

変更

「VPN コマンド」

crypto-map

変更

「VPN コマンド」

fixup

廃止。inspect コマンドと置き換え

「アプリケーション検査(fixup コマンド)」

floodguard

廃止

「AAA」

interface

変更

「インターフェイス」

ip address

interface コンフィギュレーション モード コマンドに変換

「インターフェイス」

isakmp

変更

「Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)コマンド」

mgcp

変更

「MGCP」

nameif

interface コンフィギュレーション モード コマンドに変換

「インターフェイス」

pager

変更

「デバイス管理コマンド」

pdm location

変更

「デバイス管理コマンド」

pdm group

変更

「デバイス管理コマンド」

pdm logging

変更

「デバイス管理コマンド」

security-level

interface コンフィギュレーション モードからの入力に変更

「インターフェイス」

show snmp-server

変更

「CLI プロセッサ」

url-server

変更

「その他のコマンド」

vpngroup

変更

「VPN コマンド」

CLI プロセッサ

FWSM Release 3.1 では、CLI パーサーの機能が強化され、コンテキスト ヘルプやコマンド完成機能など、Cisco IOS ソフトウェア同様のパーサー サービスが追加されました。そのため、FWSM Release 2.x の動作と比べて小さな変更点がいくつかあります。FWSM Release 3.1 では、モードのナビゲーションと用語もわずかに変更され、Cisco IOS ソフトウェアの CLI に近いものとなっています。

ここでは、このような変更点が FWSM Release 3.1 の CLI コマンドに及ぼす影響について説明します。内容は次のとおりです。

「Show、Clear、No のコマンド」

「コンテキスト ヘルプの変更」

「コマンド構文の確認」

「モード ナビゲーションの変更」

「用語の変更」

Show、Clear、No のコマンド

FWSM Release 2.x では、show と clear のコマンドの適用に一貫性がありませんでした。これらのコマンドは、コンフィギュレーション項目の表示と消去に使用される場合もあれば、作業データや統計情報の表示や消去に使用されることもありました。コンフィギュレーションと統計の動作に一貫性と区別をもたらすために、show と clear のコマンドが変更され、コンフィギュレーションの表示または消去用のキーワードが追加されました。

no の付いたコマンドを使用しても、複数ラインのコンフィギュレーションが同時に削除されることはなくなりました。FWSM Release 3.1 では、no の付いたコマンドは、単一のコンフィギュレーション ラインだけを削除します。FWSMRelease 3.1 では、コンフィギュレーションを消去する場合、コンフィギュレーション モードで使用できるのは clear configure cmd コマンドだけです。

たとえば、FWSM Release 2.x では、1 つの no access-list access-list name コマンドだけで、以下のコマンドが削除されます。

access-list myaccesslist extended permit tcp host 10.175.28.97 host 10.180.210.209 eq 37000
access-list myaccesslist extended permit tcp host 10.175.28.97 host 10.180.210.68 eq 37000
access-list myaccesslist extended permit tcp host 10.175.28.98 host 10.180.210.68 eq 37000
 

しかし、FWSM Release 3.1 では、前のコマンドを削除するには、clear configure access-list access-list name コマンドを使用するか、または各ラインに no コマンドを入力します。

no access-list myaccesslist extended permit tcp host 10.175.28.97 host 10.180.210.209 eq 37000
no access-list myaccesslist extended permit tcp host 10.175.28.97 host 10.180.210.68 eq 37000
no access-list myaccesslist extended permit tcp host 10.175.28.98 host 10.180.210.68 eq 37000
 

以下に、clear configure コマンドの使用例を示します。

FWSM Release 2.x の構文

clear access-list name
clear ssh
 

FWSM Release 3.1 の構文

clear configure access-list name
clear configure ssh
 

この例で、no access-list name コマンドを使うと、エラー メッセージが表示されます。

show cmd コマンドは、統計、バッファ、カウンタなどを表示します。 show running-config cmd コマンドは、コンフィギュレーションを表示します。

たとえば、FWSM Release 2.x では、show snmp-server コマンドを使用すると、実行コンフィギュレーションが表示されました。FWSM Release 3.1 では、show running-config snmp-server コマンドを使用すると実行コンフィギュレーションが表示され、show snmp-server statistics コマンドを使用するとSNMPについてのランタイム情報が表示されます。

コンテキスト ヘルプの変更

表6 に、FWSM Release 3.1 でのコンテキスト ヘルプの変更点を示します。

 

表6 コンテキスト ヘルプの変更

機能
FWSM Release 2.x
FWSM Release 3.1

コマンド完成機能

TAB キーを押しても無視されます。

? を入力すると、次のメッセージが表示されます。

Type help or ? for a list of available commands.

コマンドの一部を入力して TAB キーを押すと、コマンドの残りが入力されます。あるいは、コマンドの一部を入力して ? を入力すると、入力した部分から始まるコマンドがすべて表示されます。

コマンド ?

そのコマンドの使用方法が表示されます。

コマンドを入力して、スペースを 1 つ入れてから ? を入力すると、該当する入力選択肢が表示されます。

コマンド キーワード ?

そのコマンドの使用方法が表示されます。

そのキーワードに使用できる引数が一覧表示されます。

コマンド構文の確認

表7 に、FWSM Release 3.1 へのアップグレードによる変更点をまとめます。

 

表7 コマンド構文の確認

機能
FWSM Release 2.x
FWSM Release 3.1

構文エラー

エラー メッセージのあとに、そのコマンドの使用方法が表示される場合もあります。

FWSM は、コマンド構文のエラーの箇所を ^ 記号で示します。

不完全なコマンド

“Not enough arguments” というエラー メッセージのあとに、そのコマンドの使用方法が表示される場合もあります。

FWSM は ‘Incomplete command’ メッセージを表示し、引数が足りないことを示します。

モード ナビゲーションの変更

FWSM Release 3.1 では、モード ナビゲーションがわずかに変更され、Cisco IOS ソフトウェア CLI によく似た動作になっています。

Release 2.x では、Ctrl+Z を押すとコンソールからログアウトしますが、Release 3.1 では、Ctrl+Z を押しても終了できません。ただし、exit、quit、または logout のコマンドは FWSM Release 2.x と同じように使用できます。FWSM Release 3.1 では、Ctrl+Z を入力すると、次のエラー メッセージが表示されます。

ERROR:% Invalid input detected at '^' marker.
 

用語の変更

FWSM Release 3.1 では、Cisco IOS の用語により近づけるため、いくつかの用語が変更されています。

表8 に、FWSM Release 2.x とFWSM Release 3.1 の用語の違いをまとめます。

 

表8 モード用語の変更

FWSM Release 2.x の用語
FWSM Release 3.1 の用語

ユーザ モード

ユーザ EXEC モード

イネーブル モード

イネーブル EXEC モード

コンフィギュレーション モード

グローバル コンフィギュレーション モード

サブコマンド モード

コマンド固有のコンフィギュレーション モード

アプリケーション検査(fixup コマンド)

FWSM は、フィックスアップとも呼ばれるステートフル アプリケーション検査を使用して、アプリケーションやサービスのセキュアな使用を保証します。FWSM Release 3.1 では、fixup コマンドは廃止され、代わりにModular Policy Framework に inspect コマンドが追加されました。


) FWSM Release 3.1 で導入された inspect コマンドは、Cisco IOS ソフトウェア コマンドの ip inspect とは異なります。


Modular Policy Framework は、トラフィック クラスを定義したり、それらに機能固有の動作(ポリシー)を適用したりできるCLI フレームワークです。これにより、ネットワーク ポリシー設定時の粒度や柔軟性が向上します。

FWSM Release 3.1 にアップグレードすると、各 fixup コマンドは、Modular Policy Framework 内の対応する inspect コマンドに自動的に変換されます。手動で設定する必要はありません。以前は設定できなかったfixups(NetBIOS など)も設定できるようになり、Modular Policy Framework コマンドに変換されます。

FWSM Release 3.1 でも、fixup コマンドは CLI に受け入れられますが、次のような通知メッセージが表示されます。

hostname(config)# fixup protocol http 8080
INFO: converting 'fixup protocol http 8080' to MPF commands
 

CTIQBE など、FWSM Release 3.1 で導入されたアプリケーション インスペクション エンジンには、Modular Policy Framework の inspect コマンドを使用してください。

表9 に、各 fixup コマンドに対応する inspect コマンドを示します。すべてのインターフェイスの全トラフィックにアプリケーション検査を適用する代わりに、トラフィックを判断するためのクラス マップ、そのトラフィックにインスペクションを適用するためのポリシー マップ、そのポリシーを 1 つまたは複数のインターフェイスに適用するためのサービス ポリシーを設定できます。デフォルト ポリシーでは、FWSM は、すべてのインターフェイスのデフォルト ポート番号上の全トラフィックに検査を適用します。したがって、デフォルトの機能は Release 2.x と同じです。

 

表9 fixup コマンドの変更点

FWSM Release 2.x
FWSM Release 3.1
fixup protocol dns maximum-length 512
fixup protocol h323 h225 1720
fixup protocol http 80
fixup protocol rsh 514
fixup protocol sip 5060
fixup protocol smtp 25
fixup protocol ftp 21
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rtsp 554
fixup protocol skinny 2000
fixup protocol sqlnet 1521
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ils
inspect rsh
inspect rtsp
inspect smtp
inspect sqlnet
inspect sip
inspect skinny
inspect netbios
inspect ctiqbe
inspect icmp
inspect http
inspect dns
service-policy global_policy global

表9 の FWSM Release 3.1 の欄からわかるように、inspect コマンドにはポート番号がありません。その点が FWSM Release 2.x の対応する fixup コマンドとは異なります。この例は、ポート番号がデフォルト クラス マップに含まれていることを示しています。 表9 に示されている各アプリケーション インスペクション エンジンのデフォルト ポートを 表10 に示します。

 

表10 表9 のコマンドのデフォルト ポート

検査対象のプロトコル名
プロトコル
送信元ポート
宛先ポート

ctiqbe

dns

ftp

gtp

h323 h225

h323 ras

http

icmp

ils

mgcp

netbios

rpc

rsh

rtsp

sip

skinny

smtp

sqlnet

tftp

xdmcp

tcp

udp

tcp

udp

tcp

udp

tcp

icmp

tcp

udp

udp

udp

tcp

tcp

tcp、udp

tcp

tcp

tcp

udp

udp

適用外

53

適用外

2123、3386

適用外

適用外

適用外

適用外

適用外

2427、2727

137 ~ 138

111

適用外

適用外

適用外

適用外

適用外

適用外

適用外

177

2748

53

21

2123、3386

1720

1718 ~ 1719

80

適用外

389

2427、2727

適用外

111

514

554

5060

2000

25

1521

69

177

ルーテッド モードと透過モードの混在

FWSM Release 3.1 では、コンテキスト別に複数のファイアウォール モードを混在させることができます。コンテキストごとに独立してファイアウォールを設定できるので、一部のコンテキストはルーテッド モード、ほかのコンテキストは透過モードにすることが可能です。したがって、ファイアウォール モードはシステム コンフィギュレーション( firewall transparent コマンド)ではなく、各コンテキストで設定します。各実行コンテキスト コンフィギュレーションに、 firewall transparent コマンド(またはその no 形式)が自動的に追加されます。

すべてのコンテキストのモードを表示するには、システム実行スペースで show firewall コマンドを入力します。以下に show firewall コマンドの出力例を示します。

 
hostname(config)# show firewall
Context Mode
-------------------------
contexta Transparent
contextb Routed

透過モード ブリッジ グループ

FWSM Release 3.1 では、透過モードの各インターフェイス ペアは 1 つのブリッジ グループに属します。それぞれ 2 個のインターフェイスを含むブリッジ グループを最大 8 個まで設定できます。各ブリッジ グループは別個のネットワークに接続します。ブリッジ グループのトラフィックは、別のブリッジ グループから隔離されます。FWSM 内の別のブリッジ グループにトラフィックがルーティングされることはありません。また、外部ルータによって FWSM の別のブリッジ グループにトラフィックが戻る前に、FWSM にトラフィックが存在している必要があります。

セキュリティ コンテキストのオーバーヘッドが望ましくない場合や、セキュリティ コンテキストを最大限に使用したい場合は、複数のブリッジ グループを使用できます。ブリッジング機能は、ブリッジ グループごとに別になっていますが、すべてのブリッジ グループで共用する機能も多数あります。たとえば、Syslog サーバや AAA サーバのコンフィギュレーションはすべてのブリッジ グループで共有します。セキュリティ ポリシーを完全に分離するには、各コンテキストに 1 つのブリッジ グループを割り当て、別個のセキュリティコンテキストを使用します。

インターフェイス コンフィギュレーション モードで新しい bridge-group コマンドを使用すると、ブリッジ グループにインターフェイスを指定できます。また、新しい interface bvi コマンドでは、ブリッジ グループの管理 IP アドレスを設定できます。

デフォルトでは、アップグレード時に、透過ファイアウォールのインターフェイスがブリッジ グループ 1 に割り当てられます。次の CLI が追加されます(マルチモードでは、各透過コンテキストに追加されます)。

interface vlan y
bridge-group 1
interface vlan z
bridge-group 1
interface bvi 1
ip address n.n.n.n
 

interface vlan コマンドの下に、nameifsecurity-level のコマンドもあります。


インターフェイス

FWSM Release 3.1 では、 interface name コマンドの代わりに interface vlan コマンドを使用します。また、FWSM Release 3.1 では、 nameif ip address security-level のコマンドもインターフェイス コンフィギュレーション モードで使用できるようになりました。インターフェイス コンフィギュレーション モードでは、IPv6 のサポートなど、他の機能強化も促進されています。また、階層が出力されるので、FWSM Release 2.x で使用されているフラット構造と比較して、コンフィギュレーション ファイルが見やすくなっています。

FWSM Release 3.1 へのアップグレード後、 allocate-interface コマンドでコンテキストに割り当てられた各 VLAN ごとに、 interface コマンドがシステム コンフィギュレーションと各コンテキストに追加されます。システム コンフィギュレーションでは、全コンテキストに対して、1 つのインターフェイスをシャットダウンしたりイネーブルにしたりすることができます。

次の例は、FWSM Release 2.x の構文と、対応する FWSM Release 3.1 のコンフィギュレーションを示しています。

FWSM Release 2.x

nameif vlan10 outside security0
nameif vlan15 inside security100
ip address outside 10.6.37.124 255.255.255.0
ip address inside 192.16.1.1 255.255.255.0
interface inside
no shutdown
interface outside
shutdown
 

FWSM Release 3.1

interface vlan 10
nameif outside
security-level 0
ip address 10.6.37.124 255.255.255.0
no shutdown
interface vlan 15
nameif inside
security-level 100
ip address 192.16.1.1 255.255.255.0
no shutdown
 

マルチコンテキスト モードでは、システム コンフィギュレーションに次の設定も含まれます。

interface vlan 10
no shutdown
interface vlan 15
no shutdown
 

表11 に、interface コマンドの構文の変更点をまとめます。

 

表11 インターフェイスおよびインターフェイス コンフィギュレーション モードのコマンド

FWSM Release 2.x
FWSM Release 3.1
説明
interface interface-name
interface { vlan number | mapped_name}

名前、セキュリティ レベル、IP アドレスは、インターフェイス コンフィギュレーション モードの nameif
security-level
ip address コマンドで設定します。 allocate-interface コマンドでマップ名を作成した場合は、マルチコンテキスト モードでマップ名を使用します。

ip address interface-name ip_address [netmask] [standby stdby_address]
ip address ip_address [netmask] [standby stdby_address]

interface コンフィギュレーション モードに変換します。

nameif vlan_id interface-name security_level
nameif interface-name
 
security-level level

interface コンフィギュレーション モード コマンドに変換します。

security_level は、個別の security-level コマンドで設定します。

AAA

FWSM Release 2.x では、サーバ パラメータはサーバ グループごとに設定されていました。FWSM Release 3.1 では、AAA サーバごとにサーバ パラメータを設定できます。ただし、AAA サーバ グループ全体でしか設定できないパラメータもあります。AAA サーバ グループを VPN トンネルにマッピングする方法も変更されています。

FWSM Release 3.1 では、 aaa-server コマンドで、コンフィギュレーション モードをイネーブルにして AAA サーバ グループのパラメータを定義できます。認証、許可、またはアカウンティングにAAA サーバを使用するには、まず AAA サーバ グループを最低でも 1 つ作成し、そのグループに 1 つまたは複数のサーバを追加します。AAA サーバ グループは名前で識別します。各サーバ グループには、Kerberos、LDAP、NT、RADIUS、SDI、TACACS+ など、それぞれ固有のプロトコル タイプを 1 つ指定します。

FWSM Release 3.1 では、AAA サーバ コンフィギュレーション パラメータのほとんどをサーバ単位で設定できます。現在 aaa-server コマンドには、次の 2 つのコンフィギュレーション モードがあります。

ホスト コンフィギュレーション モード ― AAA サーバ固有のパラメータを設定します。

グループ コンフィギュレーション モード ― AAA サーバ グループ全体にしか適用できないパラメータを設定します。

次の例を示します。

aaa-server svrgrp1 protocol radius
aaa-server svrgrp1 host 10.10.10.1
timeout 30
retry 3
exit
aaa-server svrgrp1 host 10.10.10.2
timeout 60
retry 3
exit

) FWSM Release 3.1 では、許可が拒否されると即座に FTP 接続がリセットされます。FWSM Release 2.x では、許可拒否前に FTP ログインを提供していました。


表12 に、aaa-server、auth-prompt、floodguard のコマンドの変更点を示します。

 

表12 AAA、auth-prompt、floodguard のコマンドの変更点

FWSM Release 2.x
FWSM Release 3.1
説明
aaa-server radius-acctport [acct_port]
aaa-server server-tag [ ( interface-name ) ] host server-ip
accounting-port port

radius-acctport および radius-authport の値は、aaa-server ホスト固有のコンフィギュレーション モード コマンドの一部として設定されるようになっています。これらの設定値は、以前はサーバ グループ単位でしたが、現在はホスト単位になっています。

aaa-server radius-authport [auth_port]
aaa-server server-tag [ ( interface-name)] host server-ip
authentication-port port
aaa-server server_tag [ interface_name ] host server_ip [ key ] [ timeout seconds ]
aaa-server server-tag [ ( interface-name)] host server-ip
key key
timeout seconds

--

auth-prompt [prompt | accept | reject] prompt text
auth-prompt {prompt | accept | reject} text

次のキーワードのいずれかの設定が必須になりました。

{prompt | accept | reject}

floodguard [enable|disable]

サポートされていません。

次のメッセージが表示されます。
“This command is no longer needed. The floodguard feature is always enabled.”

show floodguard
clear floodguard

MGCP

Modular Policy Framework の導入により、fixup mgcp を含めたすべての fixup コマンドが inspect コマンドに変換されました(アプリケーション検査(fixup コマンド)を参照)。また、既存の Media Gateway Control Protocol(MGCP)コマンドは mgcp-map コマンドの下に移動し、Modular Policy Framework 内で機能します。

fixup mgcp および mgcp のコマンドは廃止され、MGCP-map コンフィギュレーション モード内のコマンドに inspect mgcp と mgcp-map のコマンドが追加されました。FWSM Release 3.1 へのアップグレード時に、MGCP コマンドは自動的に変換されるので、手動で設定する必要はありません。 表13 に、FWSM Release 3.1 の MGCP コマンドの変更点をまとめます。

 

表13 MGCP コマンドの変更点

FWSM Release 2.x
FWSM Release 3.1
説明
mgcp call-agent ip-address group-id
mgcp gateway ip-address group-id
mgcp command-queue limit
mgcp-map map_name
call-agent ip-address group-id
gateway ip-address group-id
command-queue limit
 

コール エージェントとゲートウェイを識別する場合、またはコマンド キューの最大コマンド数を変更する場合に必要なのは、mgcp-map コマンドだけです。

MGCP マップとそれに対応付けられたコンフィギュレーションをアプリケーション インスペクション エンジンに適用するには、inspect mgcp map_name コマンドを入力します。

NAT

FWSM Release 3.1では、新コマンド nat-control が導入され、FWSM Release 2.x の NAT 機能が維持されています。FWSM Release 3.1 にアップグレードすると、新しい nat-control コマンドが自動的にコンフィギュレーションに組み込まれます。

FWSM Release 2.x では、高セキュリティのインターフェイスが低セキュリティのインターフェイスと通信する場合は必ず高セキュリティのインターフェイスに NAT を設定してください。FWSM Release 3.1 では、この NAT 制御をディセーブルにできます。NAT を設定することもできますが、通信には NAT は必要ありません。たとえば、NAT 制御をディセーブルにすれば、外部ホストが内部ホストに接続するために スタティック NAT ステートメントを設定せずにすみます。FWSM Release 2.x から Release 3.1 へのアップグレード時には、NAT 制御はイネーブルになっています。

NAT 制御をディセーブルにするには、no nat-control コマンドを入力します

その他のコマンド

 

表14 その他のコマンドの変更点

FWSM Release 2.x
FWSM Release 3.1
説明
copy capture:buffer name tftp URL [pcap]
 
copy capture: [ context-name /] capture-name tftp:// location / pathname [ pcap ]
copy [/pcap] capture:bufferSpe URL

シングルモードでは、bufferSpec:= buffername

マルチモードでは、[context name/] buffername

sysopt connection permit-ipsec

--

廃止。IPSec トラフィックは、常にインターフェイス アクセス リストから免除されるので、このコマンドはトラフィックに影響を及ぼしませんでした。

terminal pager lines lines
terminal pager [ lines ] lines

lines キーワードは任意設定になりました。

pager lines lines
pager [lines] lines

フェールオーバー

FWSM Release 3.1では、ファイル システム コマンド(rename、mkdir、rmdir、delete、copy running-config startup-config)がスタンバイ ユニットに複製されます。

コンフィギュレーションにはファイル システム コマンドが含まれていないため、ファイル システム コマンドがスタンバイ デバイスで実行されない場合、アクティブとスタンバイのデバイス間のコンフィギュレーションの同期が失われます。ファイル システム コマンドがスタンバイ デバイスで実行できない場合は、ファイル システムが同期外れになっている可能性があることをメッセージで通知します。

write memory と copy running-config startup-config コマンドは両方とも複製されます。format コマンドは複製されません。

Logging コマンド

システム実行スペースで logging コマンドの設定ができなくなりました。代わりに、admin コンテキストにシステム メッセージ(フェールオーバー メッセージを含む)が出力されます。システム メッセージと管理メッセージを区別するには、admin コンテキストに次のコマンドを入力します。

hostname/admin(config)# logging device-id context-name
 

logging コマンドはシステム コンフィギュレーションから自動的に削除されません。システム コンフィギュレーションから admin コンテキスト コンフィギュレーションにこのコマンドを移すまで、エラーが表示されます。


デバイス管理コマンド

FWSM Release 3.1 では、デバイス マネージャは PDM ではなく、ASDM と呼ばれます。 pdm コマンドはすべて、 asdm コマンドになりました。FWSM Release 3.1 へのアップグレード時に、これらのコマンドは自動的に変換されます。手動での設定は必要ありません。

表15 に、これらのコマンドの変更点を示します。

 

表15 デバイス管理コマンドの変更点

FWSM Release 2.x
FWSM Release 3.1
説明
pdm disconnect session_id
asdm disconnect session
asdm disconnect log_session session

--

pdm group ref_group_name ref_intf_name reference real_group_name
asdm group real_grp_name real_if_name
このコマンドを手動で設定しないでください。 asdm group コマンドは ASDM によって実行コンフィギュレーションに追加され、内部で使用されます。
pdm history [ view {all | 12h | 5d | 60m | 10m } ] [ snapshot ] [ feature { all | blocks | cpu | failover | ids | interface interface_name | memory | perfmon | xlates }] [ pdmclient ]
asdm history enable

--

pdm location ip_address netmask interface_name
asdm location ip_addr netmask if_name

このコマンドを手動で設定しないでください。 asdm location コマンドは ASDM によって実行コンフィギュレーションに追加され、内部通信に使用されます。

pdm logging [ level [ messages ]]
logging asdm

--

show pdm history [ view {all | 12h | 5d | 60m | 10m } ] [ snapshot ] [ feature { all | blocks | cpu | failover | ids | interface interface_name | memory | perfmon | xlates }] [ pdmclient ]
show asdm history [ view timeframe ] [ snapshot ] [ feature feature ] [ asdmclient ]

--

show pdm logging
show logging asdm

--

show pdm sessions
show asdm log_sessions
show asdm sessions

show asdm log_sessions コマンドは、アクティブな ASDM ロギング セッションとこれらに関連づけられたセッション IDのリストを表示します。

VPN コマンド

ここでは、FWSM Release 3.1 で変更された VPN コマンドについて説明します。内容は次のとおりです。

「グループ管理」

「リモート ピア」

「Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)コマンド」

「VPN コマンドの変更点」

グループ管理

vpngroup コマンドは、tunnel-group と group-policy のコマンドに置き換えられました。グループ ポリシーの共有化を促進するため、 tunnel-group group-policy のコマンドの間でコンフィギュレーション データが分割されています。

トンネル グループは、一般的に VPN ピアまたはピア グループに対応付けられています。グループ ポリシーは、単一のトンネル グループまたは複数のトンネル グループに適用されます。グループ ポリシーを外部ポリシー サーバに保存し、維持できるという点も、利点といえます。

vpngroup コマンドのユーザはすべて、tunnel-group と group-policy のコマンドに自動的に変換されます。以下に示すのは、新しい構文に変換されたいくつかの vpngroup コマンドの例です。

FWSM Release 2.x の構文

vpngroup group1 address-pool pool1
vpngroup group1 password mypassword
 

FWSM Release 3.1 の構文

tunnel-group group1 type ipsec-ra
tunnel-group group1 general-attributes
address-pool pool1
tunnel-group group1 ipsec-attributes
pre-shared-key mypassword
 

FWSM Release 2.x の構文

crypto map map_name client authenticate aaa_server_group_name
 

FWSM Release 3.1 の構文

tunnel-group group1 type ipsec-ra
tunnel-group group1 general-attributes
authentication-server-group myservergroup
 

リモート ピア

FWSM Release 2.x から FWSM Release 3.1 にアップグレードしたあとは、Cisco IOS ピアからのリモート接続を終端する FWSM で、ダイナミック クリプト マップと証明書を使用すると、接続が確立されません。この問題を解決するには、コンフィギュレーションを変更して、接続しているCisco IOS ピアを強制的に ipsec-121 グループにします。

以下に示すのは、FWSM Release 3.1 にアップグレード後に debug crypto isakmp 50 コマンドを実行した場合の出力例です。

debug crypto isakmp 50
...
[IKEv1], IP = x.x.x.x , Connection landed on tunnel_group DefaultRAGroup
[IKEv1], Group = DefaultRAGroup, IP = x.x.x.x Xauth
required but selected Proposal does not support xauth, Check
priorities of ike xauth proposals in ike proposal list,
...

Xauth

FWSM Release 2.x では、ダイナミックまたはリモート アクセス(クライアント)トンネルの Xauth は、デフォルトでディセーブルに設定されていました。Xauth を使用していない場合、この設定に関する記述はコンフィギュレーション内には存在しません。

FWSM Release 3.1 にアップグレードすると、デフォルトのリモート アクセス トンネル グループでの Xauth はイネーブルになり、ローカル データベースからトンネルの認証が試行されます。

FWSM Release 2.x の場合、Xauth を使用せずにダイナミック VPN トンネルを終端すると、アップグレードして Xauth をディセーブルにしたあとで、次の情報をコンフィギュレーションに追加する必要があります。

デフォルト グループの場合

tunnel-group DefaultRAGroup general-attributes
authentication-server-group none
 

トンネル グループがほかにも変換された場合は、各トンネル グループに次のコマンドを追加します。

tunnel-group group_name general-attributes
authentication-server-group none
 

FWSM Release 3.1 では、ISAKMP デフォルト ポリシーは非表示になっていません。ISAKMP デフォルト ポリシーは実行コンフィギュレーションに表示されるので、取得、変更、削除が可能です。

FWSM Release 2.x の構文

Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
 

FWSM Release 3.1 の構文

isakmp policy 65535 authentication rsa-sig
isakmp policy 65535 encryption des
isakmp policy 65535 hash sha
isakmp policy 65535 group 1
 
isakmp policy 65535 lifetime 86400
 

Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)コマンド

ここでは、FWSM Release 3.1 へのアップグレード時に影響が生じる PKI コマンドについて説明します。

認証局(ca)コマンドは変更され、より多くの PKI 機能が含まれ、前よりも Cisco IOS ソフトウェア コマンドに類似しています。

FWSM Release 3.1 ではトラストポイントという概念が新たに取り込まれています。トラストポイントとは、CA 証明書/アイデンティティ証明書を組み合わせたもので、次の情報が含まれています。

CAのアイデンティティ

CA固有のコンフィギュレーション パラメータ

登録されている 1 つのアイデンティティ証明書とのアソシエーション

FWSM Release 2.x では、トラストポイントの機能は CA アイデンティティを通じて提供され、ca identity コマンドで設定していました。

FWSM Release 3.1 では、トラストポイントによって、複数の CA 証明書の設定や使用が可能になり、その結果、複数のアイデンティティ証明書を設定できるようになっています。FWSM Release 2.x では、単一のアイデンティティ証明書の設定と使用のみがサポートされていました。以下に CLI の変更例を示します。

FWSM Release 2.x の構文

ca identity myca 10.10.10.100 10.10.10.110
ca configure myca ca 3 3
 

FWSM Release 3.1 の構文

crypto ca trustpoint myca
enroll url 10.10.10.100
enrollment mode ca
enrollment retry period 3
enrollment retry count 3
crl required
crl
ldap_defaults 10.10.10.110
 

FWSM Release 3.1 では、キーに次の 2 つの変更点があります。

FWSM Release 3.1 では、このコマンドは crypto キーワードに基づいていますが、FWSM Release 2.x では、PKI コマンドはca キーワードに基づいていました。

FWSM Release 3.1 では、証明書はコンフィギュレーション ファイルに保存され、crypto コマンド ツリーに基づいていますが、FWSM Release 2.xでは、証明書はプライベートの隠しデータ ファイルに保存されていました。

FWSM Release 3.1では、clear configure crypto コマンドによって、CA コンフィギュレーションも含め、すべての暗号コンフィギュレーションが削除されます。clear config keyword コマンドは、keyword に基づいて実行コンフィギュレーションからすべてのラインを削除します。CA 情報を表示するには、show crypto コマンドを入力します。

FWSM Release 2.x では、clear crypto コマンドは、トラストポイント、証明書、証明書マップなどの CA コンフィギュレーション以外のすべての暗号コンフィギュレーションを削除します。

廃止された ca コマンドは、FWSM Release 3.1 へのアップグレード時に自動的に変換されます。また、新たに追加された ca コマンドもあります。新しい ca コマンドについての詳細は、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』を参照してください。

ca save all コマンドは削除され、Cisco IOS ソフトウェアと同様、キーおよび証明書のデータは、コンフィギュレーションがメモリに書き込まれると同時に保存されます。

VPN コマンドの変更点

表16 に、FWSM Release 2.x と FWSM Release 3.1 の間で行われた VPN コマンドの変更点をまとめます。

 

表16 VPN コマンドの変更点

FWSM Release 2.x
FWSM Release 3.1
説明
ca generate rsa { key | specialkey } key_modulus_size
crypto key generate rsa [ usage-keys | general-keys ] [ label key-pair-label ] [ modulus size ] [ noconfirm ]

ca generate コマンドは FWSM Release 3.1 で廃止されました。

ca zeroize rsa [ keypair_name ]
crypto key zeroize rsa

ca zeroize コマンドは FWSM Release 3.1 で廃止されました。

ca identity ca_nickname [ ca_ipaddress | hostname [: ca_script_location ] [ ldap_ip address | hostname ]]
crypto ca trustpoint trustpoint-name
enroll url ip_address | hostname [: ca_script_location ]
crl
ldap_defaults ldap_ip | hostname
exit
exit

ca identity コマンドは FWSM Release 3.1 で廃止されました。

ca configure ca_nickname { ca | ra } retry_period retry_count [ crloptional ]
crypto ca trustpoint name
crl { required | optional | nocheck }
enrollment retry period retry_period
enrollment retry count retry_count

ca configure コマンドは FWSM Release 3.1 で廃止されました。

再試行の期間と回数はトラストポイント コンフィギュレーション モードを使用して設定します。CRL コンフィギュレーション モードはトラストポイント コンフィギュレーション モードからアクセスできます。

ca authenticate name [ fingerprint ]
crypto ca authenticate name [ fingerprint | nointeractive ]

ca authenticate コマンドは FWSM Release 3.1 で廃止されました。

ca enroll ca_nickname challenge_password [ serial ] [ ipaddress ]
crypto ca trustpoint name
ip-address address
serial-number
password password
exit
crypto ca enroll name

ca enroll コマンドは FWSM Release 3.1 で廃止されました。

ca crl request id_name
crypto ca crl request trustpoint

ca crl request コマンドは FWSM Release 3.1 で廃止されました。

ca subject-name ca_nickname X.500_string
crypto ca trustpoint name
subject-name X.500 string

ca subject-name コマンドは FWSM Release 3.1 で廃止されました。

ca verifycertdn X.500_string
crypto ca verifycertdn x.500 string

ca verifycertdn コマンドは FWSM Release 3.1 で廃止されました。

crypto dynamic-map dynamic-map-name dynamic-seq-num match address access list_name
crypto dynamic-map dynamic-map-name dynamic-seq-num match address access list_name

Diffie-Hellman グループ タイプがさらに追加されました。

crypto dynamic-map dynamic-map-name dynamic-seq-num set peer hostname | ip_address
crypto dynamic-map dynamic-map-name dynamic-seq-num set peer {ip_address | hostname}

--

crypto dynamic-map dynamic-map-name dynamic-seq-num set pfs [group1 | group2]
crypto dynamic-map dynamic-map-name dynamic-seq-num set pfs [group1 | group2 | group5 | group7]

--

crypto dynamic-map dynamic-map-name dynamic-seq-num set security-association lifetime seconds seconds | kilobytes kilobytes
crypto dynamic-map dynamic-map-name dynamic-seq-num set security-association lifetime seconds seconds | kilobytes kilobytes

--

crypto dynamic-map dynamic-map-name dynamic-seq-num set transform-set transform-set-name1 [transform-set-name9]
crypto dynamic-map dynamic-map-name dynamic-seq-num set transform-set transform-set-name1 [... transform-set-name6]

--

crypto ipsec security-association lifetime seconds seconds | kilobytes kilobytes
[crypto] ipsec security-association lifetime seconds seconds | kilobytes kilobytes

AH(認証ヘッダー)のサポートは削除されました。


) この ipsec コマンドのスタンドアロン バージョンは、crypto バージョンと同じように機能します。


次のコマンドが追加されました。

[crypto] ipsec df-bit [clear-df | copy-df | set-df] interface-name

[crypto] ipsec fragmentation [after-encryption | before-encryption] interface-name

clear configure [crypto] ipsec transform-set transform-set-name

show [crypto] ipsec stats

show [crypto] ipsec df-bit interface-name

show [crypto] ipsec fragmentation interface-name

crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]
[crypto] ipsec transform-set transform-set-name transform1 [transform3]
crypto ipsec transform-set trans-name [ah-md5-hmac | ah-sha-hmac] [esp-aes | esp-aes-192 | esp-aes-256| esp-des | esp-3des| esp-null] [esp-md5-hmac | esp-sha-hmac | esp-none]
[crypto] ipsec transform-set transform-set-name [esp-aes |esp-aes-192 | esp-aes-256| esp-des | esp-3des| esp-null] [esp-md5-hmac | esp-sha-hmac | esp-null]
crypto ipsec transform-set transform-set-name mode transport
[crypto] ipsec transform-set transform-set-name mode transport [crypto] ipsec df-bit [clear-df | copy-df | set-df] interface-name
crypto map map-name interface interface-name
crypto map map-name interface interface-name

次のコマンドのサポートは削除されました。

crypto map map-name seq-num set session-key inbound | outbound ah spi hex-key-string

 

crypto map map-name seq-num set session-key inbound | outbound esp spi cipher hex-key-string [authenticator hex-key-string]

 

Diffie-Hellman(DH)グループ仕様に新しいグループ番号が追加されました。

指定ピア数として 10 という限界値が追加されました。追加された 9 つのピアは、そのデバイスが connection-type パラメータを介して「発信のみ」モードで使用される場合にフォールバック ピアとして使用されます。


) map コマンドのスタンドアロン バージョンは、crypto バージョンと同じように機能します。


crypto map map-name client [token] authentication aaa-server-name

廃止

crypto map map-name seq-num ipsec-isakmp | ipsec-manual [dynamic dynamic-map-name]
crypto map map-name seq-num ipsec-isakmp dynamic dynamic-map-name
crypto map map-name seq-num set pfs [group1 | group2]
crypto map map-name seq-num set pfs [group1 | group2 | group5 |group7]
crypto map map-name seq-num match address access list_name
crypto map map-name seq-num match address access list_name
crypto map map-name seq-num set peer {ip_address | hostname}
crypto map map-name seq-num set peer {ip_address1 | hostname1} [..ip_address10 | hostname10]
crypto map map-name seq-num set security-association lifetime seconds seconds | kilobytes kilobytes
crypto map map-name seq-num set security-association lifetime seconds seconds | kilobytes kilobytes
crypto map map-name seq-num set transform-set transform-set-name1
[transform-set-name6]
crypto map map-name seq-num set transform-set transform-set-name1
[.. transform-set-name6]
crypto map map-name client configuration address initiate | respond

サポートされていません。

isakmp keepalive seconds [retry-seconds]
tunnel-group group name type ipsec-ra|ipsec-l2l
tunnel-group group name ipsec-attributes
isakmp keepalive [threshold seconds][retry seconds]

--

isakmp key keystring address peer-address [netmask mask] [no-xauth] [no-config-mode]
tunnel-group group name type ipsec-l2l
tunnel-group group name ipsec-attributes
pre-shared-key preshared key

isakmp コマンドは、LAN-to-LAN トンネルの事前共有キーの設定に使用されていました。現在では、tunnel-group コマンドを使用することにより、LAN-to-LAN とリモート アクセスの両方のトンネルが使用されています。

isakmp client configuration address-pool local pool-name [interface-name]
tunnel-group group name type ipsec-l2l
tunnel-group group name general-attributes
address-pool [ ( interface ) ] address_pool1 [...address-pool6]

--

isakmp peer fqdn | ip fqdn | ip-address {no-xauth |no-config-mode}
tunnel-group group name type ipsec-l2l|ipsec-ra

トンネル グループの定義では Xauth と modecfg は暗黙的に除外されています。トンネル グループが ipsec-l2l として定義されている場合、Xauth と
modecfg は自動的に除外されます。

vpngroup group_name

address-pool pool_name

tunnel-group group name type ipsec-l2l
tunnel-group group name general-attributes
address-pool [ ( interface ) ] address_pool1 [...address-pool6]

tunnel-group 構文に変換されました。

vpngroup group_name

authentication-server servers

サポートされていません。

FWSM Release 2.x では、ハードウェア クライアントで使用される機能である Individual User Authentication(IUA; 個別ユーザ認証)の AAA サーバ アドレスを渡すために使用されていました。FWSM 3.1 は、ハードウェア クライアントの AAA 要求をプロキシするので、常にそれ自体のアドレスを送信します。

vpngroup group_name backup-server

{{ip1 [ip2 ... ip10]} | clear-client-cfg}

グループ ポリシー属性コンフィギュレーション モードで:

backup-servers peer1 peer2 .....peer10 | clear-client-config | keep-client-config

group-policy 構文に変換されました。

vpngroup group_name

default-domain domain_name

グループ ポリシー属性コンフィギュレーション モードで:

default-domain value domain-name

group-policy 構文に変換されました。

vpngroup group_name device-pass-through

グループ ポリシー属性コンフィギュレーション モードで:

ip-phone-bypass enable|disable
leap-bypass enable|disable

group-policy 構文に変換されました。

IUA 免除には MAC アドレスは使用されなくなりました。管理者は、Cisco IP Phones と LEAP データの両方またはいずれかを選択して IUA を免除できます。

vpngroup group_name

dns-server dns_ip_prim [dns_ip_sec]

グループ ポリシー属性コンフィギュレーション モードで:

dns-server value ip_address [ip_address]

group-policy 構文に変換されました。

vpngroup group_name

idle-time idle_seconds

グループ ポリシー属性コンフィギュレーション モードで:

vpn-idle-timeout minutes | none

group-policy 構文に変換されました。

vpngroup group_name

max-time max_seconds

グループ ポリシー属性コンフィギュレーション モードで:

vpn-session-timeout minutes | none

group-policy 構文に変換されました。

vpngroup group_name

password preshared_key

tunnel-group group name type ipsec-ra
tunnel-group group name ipsec-attributes
pre-shared-key preshared key

tunnel-group 構文に変換されました。

vpngroup group_name pfs

グループ ポリシー属性コンフィギュレーション モードで:

pfs enable | disable

group-policy 構文に変換されました。

vpngroup group_name

secure-unit-authentication

グループ ポリシー属性コンフィギュレーション モードで:

secure-unit-authentication enable | disable

group-policy 構文に変換されました。

vpngroup group_name

split-dns domain_name1

[domain_name2 ... domain_name8]

グループ ポリシー属性コンフィギュレーション モードで:

split-dns value domain_name1 domain_name2 ... domain_nameN

group-policy 構文に変換されました。

vpngroup group_name split-tunnel access_list

グループ ポリシー属性コンフィギュレーション モードで:

split-tunnel-network-list value access-list name

group-policy 構文に変換されました。

vpngroup group_name user-authentication

グループ ポリシー属性コンフィギュレーション モードで:

user-authentication enable | disable

group-policy 構文に変換されました。

vpngroup group_name

user-idle-timeout user_idle_seconds

グループ ポリシー属性コンフィギュレーション モードで:

user-authentication-idle-timeout minutes | none

group-policy 構文に変換されました。

vpngroup group_name

wins-server wins_ip_prim [wins_ip_sec]

グループ ポリシー属性コンフィギュレーション モードで:

wins-server value ip_address [ ip_address ]

group-policy 構文に変換されました。

show vpngroup [group_name]

show running-config [ default ] tunnel-group [ name [general-attributes | ipsec-attributes | ppp-attributes]]
 
show running-config [default] group-policy [ name [attributes]]

tunnel-group と group-policy の構文に変換されました。この両方のコマンドが vpngroup コマンドの代わりとして使用されます。

詳細の入手方法

ここでは、詳細情報の入手方法について説明します。内容は次のとおりです。

「マニュアルの入手方法」

「シスコ製品のセキュリティ」

「シスコ製品のセキュリティ問題の報告」

「テクニカル サポート」

「その他の資料および情報の入手方法」

マニュアルの入手方法

シスコ製品のマニュアルおよびその他の資料は、Cisco.com で入手することができます。また、テクニカル サポートおよびその他のテクニカル リソースは、さまざまな方法で入手することができます。ここでは、シスコ製品に関する技術情報を入手する方法について説明します。

Cisco.com

シスコの最新のマニュアルは、次の URL からアクセスしてください。

http://www.cisco.com/univercd/home/home.htm

シスコの Web サイトには、次の URL からアクセスしてください。

http://www.cisco.com

http://www.cisco.com/jp

シスコの Web サイトの各国語版へは、次の URL からアクセスしてください。

http://www.cisco.com/public/countries_languages.shtml

Documentation DVD

シスコ製品のマニュアルおよびその他の資料は、製品に付属の Documentation DVD パッケージでご利用いただけます。Documentation DVD は定期的に更新されるので、印刷資料よりも新しい情報が得られます。この DVD パッケージは、単独で入手することができます。

Cisco.com(Cisco Direct Customers)に登録されている場合、Ordering ツールまたは Cisco Marketplace から Cisco Documentation DVD(Customer Order Number DOC-DOCDVD=)を発注できます。

Cisco Ordering ツール:

http://www.cisco.com/en/US/partner/ordering/

Cisco Marketplace:

http://www.cisco.com/go/marketplace/

マニュアルの発注方法

マニュアルの発注方法については、次の URL にアクセスしてください。

http://www.cisco.com/univercd/cc/td/doc/es_inpck/pdi.htm

シスコ製品のマニュアルは、次の方法でご発注いただけます。

Cisco.com(Cisco Direct Customers)に登録されている場合、Ordering ツールからシスコ製品のマニュアルを発注できます。次の URL にアクセスしてください。

http://www.cisco.com/en/US/partner/ordering/

Cisco.com に登録されていない場合、製品を購入された代理店へお問い合わせください。

シスコ製品のセキュリティ

シスコでは、無償の Security Vulnerability Policy ポータルを次の URL で提供しています。

http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html

このサイトから、以下のタスクを実行できます。

シスコ製品における脆弱性を報告する。

シスコ製品のセキュリティ問題に対する支援を受ける。

シスコからのセキュリティ情報を入手するために登録を行う。

シスコ製品に関するセキュリティ勧告および注意のリストが以下の URL で確認できます。

http://www.cisco.com/go/psirt

勧告および注意事項が変更された際に、リアルタイムで確認したい場合は、以下の URL から Product Security Incident Response Team Really Simple Syndication(PSIRT RSS)にアクセスできます。

http://www.cisco.com/en/US/products/products_psirt_rss_feed.html

シスコ製品のセキュリティ問題の報告

シスコでは、安全な製品を提供することを目指しています。製品のリリース前に社内でテストを実施し、すべての脆弱性を迅速に修正するように努めております。お客様がシスコ製品の脆弱性を発見したと思われる場合は、次の PSIRT にご連絡ください。

緊急度の高い問題 ― security-alert@cisco.com

緊急度の低い問題 ― psirt@cisco.com


ヒント お客様が第三者に知られたくない情報をシスコに送信する場合、Pretty Good Privacy(PGP)または PGP と互換性のある製品を使用して情報を暗号化することを推奨します。PSIRT は、PGP バージョン 2. x ~ 8. x と互換性のある暗号化情報を取り扱うことができます。

無効な暗号鍵または失効した暗号鍵は使用しないでください。PSIRT と通信する際は、次の公開鍵サーバの一覧に記載されている有効な公開鍵を使用してください。

http://pgp.mit.edu:11371/pks/lookup?search=psirt%40cisco.com&op=index&exact=on


 

緊急度の高い問題の場合、次の電話番号で PSIRT に問い合わせることができます。

1 877 228-7302

1 408 525-6532

テクニカル サポート

Cisco Technical Support では、シスコシステムズとサービス契約を結んでいるお客様、パートナー、リセラー、販売店を対象として、評価の高い 24 時間体制のテクニカル サポートを提供しています。Cisco.com の Cisco Technical Support Web サイトでは、広範囲にわたるオンラインでのサポート リソースを提供しています。さらに、Technical Assistance Center(TAC)では、電話でのサポートも提供しています。シスコシステムズとサービス契約を結んでいない場合は、リセラーにお問い合わせください。

Cisco Technical Support Web サイト

Cisco Technical Support Web サイトでは、オンラインで資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。Cisco Technical Support Web サイトは、1 年中いつでも利用することができます。次の URL にアクセスしてください。

http://www.cisco.com/techsupport

Cisco Technical Support Web サイト上のツールにアクセスする際は、いずれも Cisco.com のログイン ID およびパスワードが必要です。サービス契約が有効で、ログイン ID またはパスワードを取得していない場合は、次の URL で登録手続きを行ってください。

http://tools.cisco.com/RPF/register/register.do


) テクニカル サポートにお問い合わせいただく前に、Cisco Product Identification(CPI)ツールを使用して、製品のシリアル番号をご確認ください。CPI ツールへは、Documentation & Tools の下にあるTools & Resourcesリンクをクリックして、Cisco Technical Support Web サイトからアクセスできます。Alphabetical Index ドロップダウン リストから Cisco Product Identification Tool を選択するか、Alerts & RMAs の下にある Cisco Product Identification Tool リンクをクリックしてください。CPI ツールは、製品 ID またはモデル名、ツリー表示、または特定の製品に対する show コマンド出力のコピー & ペーストによる 3 つの検索オプションを提供します。検索結果には、シリアル番号のラベルの場所がハイライトされた製品の説明図が表示されます。テクニカル サポートにお問い合わせいただく前に、製品のシリアル番号のラベルを確認し、メモなどに控えておいてください。


Japan TAC Web サイト

Japan TAC Web サイトでは、利用頻度の高い TAC Web サイト( http://www.cisco.com/tac )のドキュメントを日本語で提供しています。Japan TAC Web サイトには、次の URL からアクセスしてください。

http://www.cisco.com/jp/go/tac

サポート契約を結んでいない方は、「ゲスト」としてご登録いただくだけで、Japan TAC Web サイトのドキュメントにアクセスできます。

Japan TAC Web サイトにアクセスするには、Cisco.com のログイン ID とパスワードが必要です。ログイン ID とパスワードを取得していない場合は、次の URL にアクセスして登録手続きを行ってください。

http://www.cisco.com/jp/register/

Service Request ツールの使用

オンラインの TAC Service Request ツールを使えば、S3 および S4 の問題について最も迅速にテクニカル サポートを受けられます(ネットワークの障害が軽微である場合、あるいは製品情報が必要な場合)。状況をご説明いただくと、TAC Service Request ツールが推奨される解決方法を提供します。これらの推奨リソースを使用しても問題が解決しない場合は、TAC の技術者が対応します。TAC Service Request ツールは次の URL からアクセスできます。

http://www.cisco.com/techsupport/servicerequest

問題が S1 または S2 であるか、インターネットにアクセスできない場合は、電話で TAC にご連絡ください(運用中のネットワークがダウンした場合、あるいは重大な障害が発生した場合)。S1 および S2 の問題には TAC の技術者がただちに対応し、業務を円滑に運営できるよう支援します。

電話でテクニカル サポートを受ける際は、次の番号のいずれかをご使用ください。

アジア太平洋:+61 2 8446 7411(オーストラリア:1 800 805 227)
EMEA:+32 2 704 55 55
米国: 1 800 553-2447

TAC の連絡先一覧については、次の URL にアクセスしてください。

http://www.cisco.com/techsupport/contacts

問題の重大度の定義

すべての問題を標準形式で報告するために、問題の重大度を定義しました。

重大度 1(S1) ― ネットワークがダウンし、業務に致命的な損害が発生する場合。24 時間体制であらゆる手段を使用して問題の解決にあたります。

重大度 2(S2) ― ネットワークのパフォーマンスが著しく低下、またはシスコ製品のパフォーマンス低下により業務に重大な影響がある場合。通常の業務時間内にフルタイムで問題の解決にあたります。

重大度 3(S3) ― ネットワークのパフォーマンスが低下しているが、ほとんどの業務運用が機能している場合。通常の業務時間内にサービスの復旧を行います。

重大度 4(S4) ― シスコ製品の機能、インストレーション、基本的なコンフィギュレーションについて、情報または支援が必要で、業務への影響がほとんどまたはまったくない場合。

その他の資料および情報の入手方法

シスコの製品、テクノロジー、およびネットワーク ソリューションに関する情報について、さまざまな資料をオンラインおよび印刷物で入手することができます。

Cisco Marketplace では、さまざまなシスコの書籍、参考資料、およびロゴ入り商品を提供しています。Cisco Marketplace には、次の URL からアクセスしてください。

http://www.cisco.com/go/marketplace/

Cisco Pressでは、ネットワーク、トレーニング、認定関連の出版物を幅広く発行しています。初心者から上級者まで、さまざまな読者向けの出版物があります。Cisco Press の最新の出版情報などについては、次の URL からアクセスしてください。

http://www.ciscopress.com

Packet 』は、シスコシステムズが発行するテクニカル ユーザ向けの季刊誌で、インターネットやネットワークへの投資を最大限に活用するのに役立ちます。『 Packet 』には、ネットワーク分野の最新動向、テクノロジーの進展、およびシスコの製品やソリューションに関する記事をはじめ、ネットワークの配置やトラブルシューティングのヒント、設定例、お客様の事例研究、認定やトレーニングに関する情報、および多数の詳細なオンライン リソースへのリンクが盛り込まれています。『 Packet 』には、次の URL からアクセスしてください。

http://www.cisco.com/packet

iQ Magazine 』は、シスコのテクノロジーを使って収益の増加、ビジネス効率の向上、およびサービスの拡大を図る方法について学ぶことを目的とした、シスコシステムズが発行する成長企業向けの季刊誌です。この季刊誌は、実際の事例研究や事業戦略を用いて、これら企業が直面するさまざまな課題や、問題解決の糸口となるテクノロジーを明確化し、テクノロジーの投資に関して読者が正しい決断を行う手助けをします。『 iQ Magazine 』には、次の URL からアクセスしてください。

http://www.cisco.com/go/iqmagazine

Internet Protocol Journal 』は、インターネットおよびイントラネットの設計、開発、運用を担当するエンジニア向けに、シスコシステムズが発行する季刊誌です。『 Internet Protocol Journal 』には、次の URL からアクセスしてください。

http://www.cisco.com/ipj

シスコシステムズは最高水準のネットワーク関連のトレーニングを実施しています。トレーニングの最新情報については、次の URL からアクセスしてください。

http://www.cisco.com/en/US/learning/index.html