Cisco PIX Firewall/VPN コンフィギュレーション ガイド
フィーチャ ライセンスとシステム ソ フトウェアの変更
フィーチャ ライセンスとシステム ソフトウェアの変更
発行日;2012/02/04 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

フィーチャ ライセンスとシステム ソフトウェアの変更

新しいアクティベーション キーによるライセンスのアップグレード

アクティベーション キーの取得

新しいアクティベーション キーの入力

ライセンス アップグレードのトラブルシューティング

HTTP によるソフトウェアとコンフィギュレーションのコピー

PIX Firewall コンフィギュレーションのコピー

PIX Firewall ソフトウェア イメージまたは PDM ソフトウェアのコピー

現在のソフトウェアのダウンロード

TFTP サーバの取得

Web からのソフトウェアのダウンロード

FTP によるソフトウェアのダウンロード

ソフトウェアのインストール

概要

モニタ モードの使用方法

Boothelper の使用方法

Boothelper バイナリ イメージの取得

UNIX、Solaris、LINUX における Boothelper ディスクの作成

Windows システムでの Boothelper ディスクの作成

Boothelper によるイメージのダウンロード

ソフトウェアの旧バージョンへのダウングレード

旧バージョンのフェールオーバー システムのアップグレード

モニタ モードによるフェールオーバー システムのアップグレード

Boothelper によるフェールオーバー システムのアップグレード

TFTP ダウンロードのエラー コード

フィーチャ ライセンスとシステム ソフトウェアの変更

この章では、 Cisco PIX Firewall におけるフィーチャ ライセンスまたはソフトウェア イメージを変更(アップグレードまたはダウングレード)する方法について説明します。次の項目について説明します。

新しいアクティベーション キーによるライセンスのアップグレード

HTTP によるソフトウェアとコンフィギュレーションのコピー

現在のソフトウェアのダウンロード

ソフトウェアのインストール

ソフトウェアの旧バージョンへのダウングレード

旧バージョンのフェールオーバー システムのアップグレード

TFTP ダウンロードのエラー コード

PIX Firewall では、コンフィギュレーション ファイル(フラッシュ メモリに格納)が、現在ロード中の PIX Firewall ソフトウェア バージョンよりも新しい場合に警告メッセージが表示されます。このメッセージでは、コンフィギュレーション ファイルに認識できないコマンドが含まれている可能性があることが警告されます。たとえば、現在のバージョンが 6.2 であるにもかかわらず Version 6.0 のソフトウェアをインストールすると、スタートアップ時に次のメッセージが表示されます。

Configuration Compatibility Warning:
The config is from version 6.2(1).
but the image is version 6.0(1).
 

このメッセージでは、「config」がフラッシュ メモリのバージョンで、「image」がインストールしているバージョンです。


注意 旧バージョンからアップグレードする場合は、事前にコンフィギュレーション ファイルを保存し、アクティベーション キーを書き留めておいてください。

新しいアクティベーション キーによるライセンスのアップグレード

ここでは、PIX Firewall ライセンスをアップグレードする方法について説明します。次の項目について説明します。

「アクティベーション キーの取得」

「新しいアクティベーション キーの入力」

「ライセンス アップグレードのトラブルシューティング」

アクティベーション キーの取得

アクティベーション キーを取得するには、シスコの代理店から購入できる Product Authorization Key が必要になります。Product Authorization Key を入手したら Web 上でキーを登録し、次の手順を実行してアクティベーション キーを取得します。


ステップ 1 Web ブラウザを次のいずれかの Web サイトに接続します(URL は大文字と小文字を区別します)。

Cisco Connection Online の登録ユーザの場合、次の Web サイトを使用します。

http://www.cisco.com/cgi-bin/Software/FormManager/formgenerator.pl
 

Cisco Connection Online の登録ユーザではない場合、次の Web サイトを使用します。

http://www.cisco.com/pcgi-bin/Software/FormManager/formgenerator.pl
 

ステップ 2 次のコマンドを入力して、PIX Firewall のシリアル番号を取得します。

show version
 

ステップ 3 プロンプトが表示されたら、次の情報を入力します。

Product Authorization Key

PIX Firewall のシリアル番号

電子メール アドレス

アクティベーション キーが自動的に生成され、指定した電子メール アドレスに送信されます。


 

新しいアクティベーション キーの入力

PIX Firewall Version 6.2 以降では、PIX Firewall のライセンスをリモートでアップグレードまたは変更する方法が導入されました。この方法では、モニタ モードを実行したり、ソフトウェア イメージを交換したりする必要はありません。この機能を使用すると、コマンドライン インターフェイス(CLI)から、別の PIX Firewall ライセンスに対して新しいアクティベーション キーを入力できます。

アクティベーション キーを入力する前に、フラッシュ メモリ内のイメージと実行イメージが同一であることを確認します。これは、PIX Firewall を再度ブートしてからアクティベーション キーを入力することで確認できます。


) 実行イメージで変更内容を有効にするには、新しいアクティベーション キーを入力した後で PIX Firewall を再度ブートする必要があります。


アクティベーション キーを入力するには、次のコマンドを入力します。

activation-key activation-key-four-tuple
 

このコマンドで、 activation-key-four-tuple には、新しいライセンスで取得したアクティベーション キーを指定します。

次に例を示します。

activation-key 0x12345678 0xabcdef01 0x2345678ab 0xcdef01234
 

先頭の 16 進数インジケータ「0x」 はオプションです。これを省略すると、次の例に示すように、パラメータは 16 進数値であるとみなされます。

activation-key 12345678 abcdef01 2345678ab cdef01234
 

アクティベーション キーの入力後は、アクティベーション キーの変更が成功すると、システムによって次の出力が表示されます。

pixfirewall(config)# activation-key 0x01234567 0x89abcdef01 0x23456789 0xabcdef01
Serial Number: 12345678 (0xbc614e)
 
Flash activation key: 0xyadayada 0xyadayada 0xyadayada 0xyadayada
Licensed Features:
Failover: yada
VPN-DES: yada
VPN-3DES: yada
Maximum Interfaces: yada
Cut-through Proxy: yada
Guards: yada
Websense: yada
Throughput: yada
ISAKMP peers: yada
 
The flash activation key has been modified.
The flash activation key is now DIFFERENT than the running key.
The flash activation key will be used when the unit is reloaded.
pixfirewall(config)#
-----
 

このメッセージに示されているように、新しいライセンスを使用可能にするには、新しいアクティベーション キーの入力後、PIX Firewall を再度ブートする必要があります。

イメージを新しいバージョンにアップグレードすると同時に、アクティベーション キーも変更する場合は、次の手順に示すように、システムを 2 度リブートします。

1. 新しいイメージをインストールします。

2. システムを再度ブートします。

新しいイメージでも、古いキーを使用することが可能です。すべてのライセンス キーには下位互換性があるため、アクティベーション キーの不一致によってリロードが失敗することはありません。

3. 新しいアクティベーション キーに更新します。

4. システムを再度ブートします。

キーの更新が完了すると、システムが再度リロードされるため、更新後のライセンス方式が実行イメージ内で有効になります。

イメージをダウングレードする場合は、新しいイメージをインストールした後で、1 度リブートするだけで済みます。その場合、元のキーが新しいイメージで検証、および変更されるため、イメージの更新が可能となり、最後にシステムがリロードされます。

ライセンス アップグレードのトラブルシューティング

表 11-1 に、アクティベーション キーが変更されなかったときに、システムによって表示されるメッセージを示します。

 

表 11-1 ライセンス アップグレードのトラブルシューティング

表示されるシステム メッセージ
説明

The activation key you entered is the same as the Running key.

アクティベーション キーがアップグレード済みです。または、別のキーを入力する必要があります。

The Flash image and the Running image differ.

PIX Firewall を再度ブートした後で、アクティベーション キーを再入力します。

The activation key is not valid.

アクティベーション キーの入力で誤りがありました。または、有効なアクティベーション キーを取得する必要があります。

フラッシュ メモリにイメージをコピーするときに、 copy tftp flash:image コマンドを使用すると、問題が発生する場合があります。このコマンドは、フラッシュ メモリ内のアクティベーション キーと一緒に使用することはできません。問題が発生した場合は、装置を復元するために別のアクティベーション キーを使用するか、またはモニタ モードか Boothelper からインストールするかの、一方または両方を実行することが必要になります。

現在のアクティベーション キーを表示するには、次のコマンドを入力します。

show activation-key
 

例11-1例11-2、および例11-3 に、それぞれ異なる状況下での、このコマンドの出力を示します。

例11-1 アクティベーション キーの表示:フラッシュ キーとイメージが実行版と同じ場合

pixfirewall(config)# show activation-key
Serial Number: 12345678 (0xbc614e)
 
Running activation key: 0xe02888da 0x4ba7bed6 0xf1c123ae 0xffd8624e
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES: Enabled
Maximum Interfaces: 6
Cut-through Proxy: Enabled
Guards: Enabled
Websense: Enabled
Throughput: Unlimited
ISAKMP peers: Unlimited
 
The flash activation key is the SAME as the running key.
 

例11-2 アクティベーション キーの表示:フラッシュ キーが実行キーと異なる場合

pixfirewall(config)# show activation-key
Serial Number: 12345678 (0xbc614e)
 
Running activation key: 0xe02888da 0x4ba7bed6 0xf1c123ae 0xffd8624e
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES: Enabled
Maximum Interfaces: 6
Cut-through Proxy: Enabled
Guards: Enabled
Websense: Enabled
Throughput: Unlimited
ISAKMP peers: Unlimited
 
Flash activation key: 0xyadayada 0xyadayada 0xyadayada 0xyadayada
Licensed Features:
Failover: yada
VPN-DES: yada
VPN-3DES: yada
Maximum Interfaces: yada
Cut-through Proxy: yada
Guards: yada
Websense: yada
Throughput: yada
ISAKMP peers: yada
 
The flash activation key is DIFFERENT than the running key.
The flash activation key takes effect after the next reload.
 

例11-3 アクティベーション キーの表示:フラッシュ イメージが実行イメージと異なる場合

pixfirewall(config)# show activation-key
Serial Number: 12345678 (0xbc614e)
 
Running activation key: 0xe02888da 0x4ba7bed6 0xf1c123ae 0xffd8624e
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES: Enabled
Maximum Interfaces: 6
Cut-through Proxy: Enabled
Guards: Enabled
Websense: Enabled
Throughput: Unlimited
ISAKMP peers: Unlimited
 
The flash image is DIFFERENT than the running image.
The two images must be the same in order to examine the flash activation key.
pixfirewall(config)#
------------

HTTP によるソフトウェアとコンフィギュレーションのコピー

PIX Firewall Version 6.2 以降には、HTTP サーバから PIX Firewall のコンフィギュレーションやソフトウェア イメージ、または Cisco PIX Device Manager(PDM)ソフトウェアを取得するために copy コマンドを使用できる HTTP クライアントが含まれています。ここでは、その操作方法について説明します。

「PIX Firewall コンフィギュレーションのコピー」

「PIX Firewall ソフトウェア イメージまたは PDM ソフトウェアのコピー」

PIX Firewall コンフィギュレーションのコピー

HTTP サーバからコンフィギュレーションを取得するには、次のコマンドを入力します。

configure http[s]://[user:password@]location[:port]/pathname
 

https を入力すると、SSL が使用されます。user オプションと password オプションは、HTTP サーバにログインするときの基本認証に使用されます。location オプションには、HTTP サーバの IP アドレス(または、IP アドレスに解決される名前)を指定します。port オプションには、サーバ上の通信相手のポートを指定します。デフォルト値は、HTTP の場合は 80 で、HTTPS の場合は 443 です。pathname オプションには、取得するコンフィギュレーションを格納しているリソースの名前を指定します。

PIX Firewall ソフトウェア イメージまたは PDM ソフトウェアのコピー

HTTP サーバから PIX Firewall ソフトウェア イメージまたは PDM ソフトウェアをコピーにするには、次のコマンドを入力します。

copy http[s]://[user:password@]location[:port]/pathname flash[:[image | pdm]]
 

https を入力すると、SSL が使用されます。user オプションと password オプションは、HTTP サーバにログインするときの基本認証に使用されます。location オプションには、HTTP サーバの IP アドレス(または、IP アドレスに解決される名前)を指定します。port オプションには、サーバ上の通信相手のポートを指定します。デフォルト値は、HTTP の場合は 80 で、HTTPS の場合は 443 です。pathname オプションには、コピーする PIX Firewall ソフトウェア イメージまたは PDM ファイルを格納しているリソースの名前を指定します。

このコマンドの出力は、copy tftp コマンドの出力と同じになります。ソフトウェア イメージの成功および失敗の応答は、それぞれ次のようになります。

Image installed

Image not installed

現在のソフトウェアのダウンロード

ここでは、次の項目について説明します。

「TFTP サーバの取得」

「Web からのソフトウェアのダウンロード」

「FTP によるソフトウェアのダウンロード」

Cisco Connection Online (CCO)ログイン権限を取得している場合は、次の Web サイトからソフトウェアを入手できます。

http://www.cisco.com/cgi-bin/tablebuild.pl/pix

この Web サイトで入手可能なソフトウェアには、次のものがあります( nn を使用可能な最新バージョンの番号で置き換えてください)。

bh n nn .bin :TFTP サーバから PIX Firewall ソフトウェアのダウンロードに必要な 「Boothelper」インストレーション ディスクを作成できます。

pix6 n n .bin :最新のソフトウェア イメージです。このイメージを TFTP ディレクトリ内に格納すると、PIX Firewall 装置にダウンロード可能になります。

pfss512.exe :Windows NT、Windows 2000、または Windows XP でサポートされる PIX Firewall Syslog Server(PFSS)が含まれています。PFSS をインストールすると、PIX Firewall から syslog メッセージを受信し、日次ログ ファイルに格納できます。PIX Firewall は、TCP または UDP 経由で PFSS にメッセージを送信し、最大 10 台の PIX Firewall 装置から syslog メッセージを受信できます。

rawrite.exe :PIX Firewall 用の Boothelper ディスクの作成に使用するプログラムです。

TFTP サーバの取得


) フロッピーディスク ドライブを装備する PIX Firewall 装置を使用している場合は、「Boothelper」ディスクを使用して TFTP サーバ経由で PIX Firewall イメージをダウンロードします。Cisco ルータをサイトで使用している場合には、Cisco IOS ソフトウェアをルータにダウンロードする場合と同様の方法で TFTP を使用できます。


PIX Firewall ソフトウェアのインストールには TFTP サーバを使用する必要があります。


) TFTP ファイル転送中に PIX Firewall がハングした場合は、Esc キーを押して TFTP セッションを打ち切り、コマンド プロンプトに戻ります。


CCO アカウントを取得している場合は、FTP サイトまたはシスコの Web サイトから TFTP サーバをダウンロードできます。

TFTP サーバ ソフトウェアは、次の Web サイトからダウンロードできます。

http://www.cisco.com/cgi-bin/tablebuild.pl/tftp

FTP サイトからサーバをダウンロードするには、次の手順を実行します。


ステップ 1 FTP クライアントを起動し、ftp.cisco.com に接続します。CCO ユーザ名とパスワードを入力します。

ステップ 2 コマンド cd /cisco/web/tftp を入力してから、ls コマンドを使用して、ディレクトリの内容を表示します。

ステップ 3 get コマンドを使用して、TFTP 実行可能ファイルをローカルのディレクトリにコピーします。


 

Web からのソフトウェアのダウンロード

PIX Firewall ソフトウェアは、シスコの Web サイトまたは FTP サイトからダウンロードして入手できます。FTP を使用する場合は、「FTP によるソフトウェアのダウンロード」を参照してください。

ソフトウェアをダウンロードするには、CCO のユーザ名とパスワードを取得している必要があります。CCO のユーザ名とパスワードを取得していない場合は、次の Web サイトで登録してください。

http://tools.cisco.com/RPF/register/register.do

最新の PIX Firewall ソフトウェアをインストールするには、次の手順を実行します。


ステップ 1 Netscape Navigator などのネットワーク ブラウザを使用して、http://www.cisco.com にアクセスします。

ステップ 2 CCO 登録済みユーザである場合は、ページの上の領域にある LOGIN をクリックします。登録済みユーザでない場合は、REGISTER をクリックして、登録手順に従います。

ステップ 3 LOGIN をクリックすると、ユーザ名とパスワードの入力を要求するダイアログボックスが表示されます。ユーザ名とパスワードを入力し、OK をクリックします。

ステップ 4 http://www.cisco.com で、CCO にアクセスしてログインします。その後、次の Web サイトで PIX Firewall software downloads にアクセスします。

http://www.cisco.com/cgi-bin/tablebuild.pl/pix

ステップ 5 必要なソフトウェアを入手します。フロッピーディスク ドライブを装備した PIX Firewall 装置を使用している場合は、Boothelper バイナリ イメージ ファイル bh512.bin を取得すると、PIX Firewall イメージをフロッピーディスクに格納することが可能になります。PIX 501、PIX 506E、PIX 515E、PIX 525、または PIX 535 を使用している場合は、Boothelper ディスクに関する手順説明を省略できます。


 

FTP によるソフトウェアのダウンロード

FTP を使用するには、CCO のユーザ名とパスワードを取得している必要があります。CCO のユーザ名とパスワードを取得していない場合は、次の Web サイトで登録してください。

http://tools.cisco.com/RPF/register/register.do

登録が完了したら、FTP クライアントをパッシブ モードに設定します。パッシブ モードで実行しない限り、ログインしてシスコのプレゼンテーション メッセージを見ることはできても、コマンドを入力するとクライアントは実行を中断します。

Windows 95 および Windows NT のコマンド ライン FTP プログラムは、パッシブ モードをサポートしていません。

FTP を使用して最新のソフトウェアを入手するには、次の手順を実行します。


ステップ 1 FTP クライアントを起動し、ftp.cisco.com に接続します。CCO ユーザ名とパスワードを入力します。

ステップ 2 ls コマンドを入力すると、メイン ディレクトリ内のファイルを表示できます。

ステップ 3 cd /cisco/ciscosecure/pix コマンドを入力してから、ls コマンドを使用し、ディレクトリの内容を表示します。

ステップ 4 この項で前述した説明に従って get コマンドを使用し、適切なファイルをローカルのワークステーションにコピーします。

ステップ 5 cd /cisco/web/tftp コマンドを入力します。次に、get コマンドを使用して、TFTP 実行可能ファイルをローカルのディレクトリにコピーします。


 

ソフトウェアのインストール

ここでは、現在のバージョンをダウンロードした後で、ソフトウェアをインストールする方法について説明します。次の項目について説明します。

概要

モニタ モードの使用方法

Boothelper の使用方法

Boothelper によるイメージのダウンロード

概要

ダウンロードする TFTP ソフトウェア ファイルは自己解凍型アーカイブで、Windows 95、Windows 98、Windows NT Version 4.0、または Windows 2000 で使用できます。ファイルを Windows システムに格納してからダブルクリックすると、セットアップ プログラムが起動されます。表示されるプロンプトに従って、システムに TFTP サーバをインストールしてください。UNIX、Solaris および LINUX の各オペレーティング システムには、TFTP サーバが含まれています。


) モニタ モードで使用できるのは、ファースト イーサネット カードだけです。ギガビット イーサネット カードは、モニタ モードで使用できません。また、64ビット スロットに装着されているファースト イーサネット カードは、モニタ モードでは認識されません。この問題は、TFTP サーバをインターフェイスに設定できないことを表しています。copy tftp flash コマンドを使用して、TFTP 経由で PIX Firewall イメージ ファイルをダウンロードしてください。



注意 Version 4.4 より以前の PIX Firewall イメージは、絶対に TFTP を使用してダウンロードしないでください。ダウンロードを行うと、PIX Firewall フラッシュ メモリ装置が壊れます。これを回復するには、Cisco TAC による特別な回復方法が必要になります。

モニタ モードの使用方法

モニタ モードを使用し、TFTP 経由でイメージをダウンロードするには、次の手順を実行します。


ステップ 1 PIX Firewall に電源を入れて始動メッセージが表示されたら、すぐに BREAK 文字を送信するか、または Esc (Escape)キーを押します。

monitor> プロンプトが表示されます。

ステップ 2 必要に応じて、疑問符(?)を入力して、使用可能なコマンドのリストを表示します。

ステップ 3 address コマンドを使用して、TFTP サーバがある PIX Firewall 装置のインターフェイスの IP アドレスを指定します。

ステップ 4 server コマンドで、TFTP サーバを実行するホストの IP アドレスを指定します。

ステップ 5 fileコマンドで、PIX Firewall イメージのファイル名を指定します。UNIX では、TFTP サーバがアクセスするためには、このファイルが世界標準に準拠している必要があります。

ステップ 6 必要に応じて、gateway コマンドを入力して、サーバへのアクセスで経由するルータ ゲートウェイの IP アドレスを指定します。

ステップ 7 必要に応じて、ping コマンドを使用してアクセス可能性を確認します。interface コマンドを使用して、ping トラフィックが使用するインターフェイスを指定します。PIX Firewall にインターフェイスが 2 つしかない場合、内部インターフェイスのデフォルトはモニタ モードになります。このコマンドがエラーになった場合は、サーバにアクセスできるように修正した後で先に進みます。

ステップ 8 tftp コマンドで、ダウンロードを開始します。

次に例を示します。

Rebooting....
PIX BIOS (4.0) #47: Sat May 8 10:09:47 PDT 2001
Platform PIX-525
Flash=AT29C040A @ 0x300
 
Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Flash boot interrupted.
0: i8255X @ PCI(bus:0 dev:13 irq:11)
1: i8255X @ PCI(bus:0 dev:14 irq:10)
 
Using 1: i82558 @ PCI(bus:0 dev:14 irq:10), MAC: 0090.2722.f0b1
Use ? for help.
monitor> addr 192.168.1.1
address 192.168.1.1
monitor> serv 192.168.1.2
server 192.168.1.2
monitor> file pix601.bin
file cdisk
monitor> ping 192.168.1.2
Sending 5, 100-byte 0x5b8d ICMP Echoes to 192.168.1.2, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor> tftp
tftp pix601.bin@192.168.1.2................................
Received 626688 bytes
 
PIX admin loader (3.0) #0: Mon Aug 7 10:43:02 PDT 1999
Flash=AT29C040A @ 0x300
Flash version 6.0.1, Install version 6.0.1
 
Installing to flash
...


 

Boothelper の使用方法

フロッピーディスク ドライブを装備した PIX Firewall 装置を使用している場合は、Boothelper バイナリ イメージ ファイル を入手して、ディスクを作成する必要があります。

ここでは、次の項目について説明します。

Boothelper バイナリ イメージの取得

UNIX、Solaris、LINUX における Boothelper ディスクの作成

Windows システムでの Boothelper ディスクの作成

Boothelper バイナリ イメージの取得

Boothelper バイナリ イメージをダウンロードするには、次の手順を実行します。


ステップ 1 CCO にログインした後、前項の「Web からのソフトウェアのダウンロード」または「FTP によるソフトウェアのダウンロード」の説明に従って、PIX Firewall ソフトウェア ディレクトリに移動します。

ステップ 2 CCO から最新の Boothelper イメージ(bh5 nn .bin、 nn は使用可能な最新バージョンの番号)をダウンロードし、この後の項の説明に従ってフロッピーディスクを作成します。


) Boothelper インストレーションでは、PIX Firewall Version 5.1、5.2、5.3、および 6.0 以降だけがサポートされています。Boothelper は TFTP 経由で PIX Firewall イメージをダウンロードした後で、イメージのチェックサムを確認します。Version 5.1 以降でない場合は、メッセージ「Checksum verification on flash image failed」が表示され、PIX Firewall が再度ブートされます。


ステップ 3 CCO から PIX Firewall ソフトウェア バイナリ イメージ ファイル pix6 nn .bin ( nn は使用可能な最新バージョンの番号)をダウンロードし、TFTP サーバからアクセス可能なディレクトリに格納します。


 

UNIX、Solaris、LINUX における Boothelper ディスクの作成

Boothelper ディスクを作成するには、次の手順を実行します。


ステップ 1 PIX Firewall にイメージを転送できるように、UNIX、Solaris または LINUX の TFTP サーバを準備するには、inetd.conf ファイルを編集して、「tftp」文の先頭から # (コメント文字)を削除します。

ステップ 2 現在の inetd プロセスのプロセス ID を決定します。

ステップ 3 このプロセスを中止するには、 kill -HUP process_id コマンドを使用します。プロセスは自動的に再起動します。

ステップ 4 dd コマンドを使用して、PIX Firewall 装置用の Boothelper ディスクを作成します。たとえば、ディスクのデバイス名が rfd0 である場合は、次のコマンドを使用します。

dd bs=18b if=./bh510.bin of=/dev/rd0
 

このコマンドによって、バイナリ ファイルが出力装置ファイルにブロック サイズ 18 でコピーされます。


) 一部の UNIX システムでは、ディスクに rd0 以外の名前が指定されることがあります。


ステップ 5 ディスクを取り出して、PIX Firewall のフロッピーディスク ドライブに挿入し、電源を一度切ってから再投入します。または、使用可能であれば、PIX Firewall 装置の Reset スイッチを使用するか、または PIX Firewall コンソールから reload コマンドを入力します。PIX Firewall が、新しいディスクからブートします。


 

Windows システムでの Boothelper ディスクの作成

Windows システムから Boothelper ディスクを作成するには、次の手順を実行します。


ステップ 1 重要なファイルの入っていない IBM フォーマットのフロッピーディスクを用意します。オリジナルの PIX Firewall の購入時に添付されていた PIX Firewall ブート ディスクは使用しないでください。バージョンのダウングレードが必要になった場合に、このディスクを使用してシステムを回復することになります。

ステップ 2 MS-DOS コマンド プロンプトで rawrite と入力し、表示されたプロンプトに、.bin バイナリ ファイルの名前、出力装置(3.5 インチ ディスクの場合は、a: または b:)を入力し、フォーマット済みのディスクを挿入します。 rawrite セッションの例を、次に示します。

C:\pix> rawrite
RaWrite 1.2 - Write disk file to raw floppy diskette
 
Enter source file name: bh512.bin
Enter destination drive: a:
Please insert a formatted diskette into drive A: and press -ENTER- :
Number of sectors per track for this disk is 18
Writing image to drive A:. Press ^C to abort.
Track: 78 Head: 1 Sector: 16
Done.
C:\pix>
 

バイナリ ファイル名が「8.3」文字形式(ドットの前に 8 文字、ドットの後に 3 文字)になっていることを確認してください。

 

ステップ 3 操作が終了したらディスクを取り出して、PIX Firewall のディスク ドライブに挿入し、電源を一度切ってから再投入します。または、使用可能であれば、PIX Firewall 装置の Reset スイッチを使用するか、または PIX Firewall コンソールから reload コマンドを入力します。PIX Firewall が、新しいディスクからブートします。


 

Boothelper によるイメージのダウンロード

Boothelper ディスクを使用して TFTP サーバからイメージをダウンロードするには、次の手順を実行します。


ステップ 1 CCO(Cisco Connection Online)から PIX Firewall イメージをダウンロードし、TFTP サーバを実行しているホストに格納します。

ステップ 2 リモート ホスト上で TFTP サーバを起動し、TFTP サーバに対して PIX Firewall イメージが格納されているディレクトリを指定します。それには、Cisco TFTP サーバで View > Options メニューにアクセスし、イメージが格納されているディレクトリ名を TFTP server root directory ボックスに入力します。

ステップ 3 コンソールを PIX Firewall に接続し、使用可能な状態になったことを確認します。

ステップ 4 作成した Boothelper ディスクを PIX Firewall に挿入し、再度ブートします。PIX Firewall が起動すると、 pixboothelper> プロンプトが表示されます。

ステップ 5 この時点でコマンドを入力し、TFTP サーバからバイナリ イメージをダウンロードできます。多くの場合、 address コマンド、 server コマンド、 file コマンドを使用してから、 tftp コマンドを入力するとダウンロードが開始します。各コマンドについて次に説明します。

a. (必要に応じて)疑問符(?)または help コマンドを使用すると、使用可能なコマンドのリストが表示されます。

b. address コマンドは、TFTP サーバがあるネットワーク インターフェイスの IP アドレスを指定します。

c. server コマンドで、TFTP サーバを実行するホストの IP アドレスを指定します。

d. file コマンドで、PIX Firewall イメージのファイル名を指定します。

e. (必要に応じて) gateway コマンドで、サーバが経由するルータ ゲートウェイの IP アドレスを指定します。

f. (必要に応じて) ping コマンド でアクセス可能性を確認します。このコマンドがエラーになった場合は、サーバにアクセスできるように修正した後で先に進みます。 interface コマンドでは、ping トラフィックで使用するインターフェイスを指定します。Boothelper のデフォルトはインターフェイス 1 です。

g. tftp コマンドで、ダウンロードを開始します。

ステップ 6 イメージのダウンロード後、新しいイメージをインストールするかどうか確認されます。y を入力します。

ステップ 7 プロンプトが表示されたら、アクティベーション キーを入力します。

ステップ 8 アクティベーション キーを入力すると、PIX Firewall によって、Boothelper ディスクを取り出すようにプロンプトで指示されます。ディスクの取り出しには 30 秒の時間が与えられます。この間に、次の 3 つのオプションのいずれかを実行できます。

a. ディスクを取り出して、リブート スイッチを押して装置を再度ブートする。

b. ディスクを装置に入れたまま、 reload コマンドを使用する。

c. 30 秒が経過すると、PIX Firewall が Boothelper ディスクから自動的にブートする。

Boothelper は TFTP 経由で PIX Firewall イメージをダウンロードした後で、イメージのチェックサムを確認します。Version 5.1 以降でない場合は、メッセージ「Checksum verification on flash image failed」が表示され、PIX Firewall が再度ブートされます。

今後のアップグレードで使用できるように、Boothelper ディスクを保管しておいてください。
PIX Firewall 装置にイメージをダウンロードするたびに、上記の手順を繰り返す必要があります。または、 copy tftp flash コマンドを使用して、PIX Firewall のコマンド ラインから直接イメージをダウンロードできます。


 

ソフトウェアの旧バージョンへのダウングレード

ここでは、PIX Firewall 装置上で現在動作しているバージョンよりも前のバージョンに、PIX Firewall を変更する方法について説明します。PIX Firewall ソフトウェアは、使用中のプラットフォームが旧バージョンをサポートする場合に限り、ダウングレードできます。


) 最新のセキュリティ機能や特長を活用するには、最新バージョンの PIX Firewall ソフトウェアを常時使用してください。旧バージョンの PIX Firewall は、それより新しいバージョンで導入された機能の設定内容をサポートできません。


旧バージョンにダウングレードするには、次のコマンドを入力します。

flash downgrade version
 

version には次の値のいずれか 1 つを指定します。

4.2

5.0

5.1

flash downgrade コマンドは、Version 6.1 から Version 5.2 または 5.3 にダウングレードする場合には、使用する必要はありません。

旧バージョンのフェールオーバー システムのアップグレード

ここでは、フェールオーバーが設定されている PIX Firewall 装置をアップグレードする方法について説明します。次の項目について説明します。

「モニタ モードによるフェールオーバー システムのアップグレード」

「Boothelper によるフェールオーバー システムのアップグレード」

モニタ モードによるフェールオーバー システムのアップグレード

フロッピーディスク ドライブを装備していない PIX Firewall に対して、モニタ モードで TFTP を使用して次の手順を実行します。


ステップ 1 プライマリ装置とセカンダリ装置に別々のコンソールを接続します。

ステップ 2 両方の PIX Firewall 装置をリロードし、モニタ モードにします。

ステップ 3 プライマリ装置で、モニタ モード TFTP を使用して新しい PIX Firewall イメージをロードします。イメージはフラッシュ メモリに保存して、起動できます。show failover コマンドを入力して、問題がないことを確認します。

ステップ 4 セカンダリ装置でステップ 3 を繰り返します。

ステップ 5 スタンバイ(セカンダリ)装置が起動すると、アクティブ(プライマリ)装置は、プライマリ装置とセカンダリ装置のコンフィギュレーションの同期を開始します。コンフィギュレーションの複製が完了するまで待ってから、両方の PIX Firewall 装置で show failover コマンドを使用して、フェールオーバーが正常に動作していることを確認します。


 

Boothelper によるフェールオーバー システムのアップグレード

フロッピーディスク ドライブを装備する PIX Firewall に対して、次の手順を実行します。


ステップ 1 プライマリ装置とセカンダリ装置に別々のコンソールを接続します。

ステップ 2 プライマリ装置のディスク ドライブに boothelper フロッピーディスクを挿入し、システムを再度ブートします。

PIX Firewall が起動すると、pixboothelper> プロンプトが表示されます。

ステップ 3 プライマリ装置が再度ブートすると、イメージをフラッシュ メモリへ書き込むように、PIX Firewall からプロンプトで指示されます。応答を入力する前に、次の a. ~ c. を読み、迅速に完了できるように準備してください。準備ができたら、プロンプトで yes を表す y を入力します。

a. すぐにプライマリ装置からフロッピーディスクを取り出して、スタンバイ装置に挿入します。スタンバイ装置の前面のリセット ボタンを見つけます。

b. PIX Firewall の Cisco バナーがプライマリ装置のコンソールに表示されたら、スタンバイ装置のリセット ボタンを押して新しいイメージをロードします。

c. プライマリ装置で、show failover コマンドを入力し、プライマリ装置がアップグレードされた後に、プライマリ装置がアクティブになり、セカンダリ装置がスタンバイ モードになっていることを確認します。

ステップ 4 スタンバイ装置のブートが終了するまで待ちます。スタンバイ装置がアクティブになると、2 台の装置は同期を取ります。その間、プライマリ装置のコンソールでは入力を受け付けません。スタンバイ装置で、show failover コマンドを使用して進捗状況を監視します。複製が完了すると、両方の PIX Firewall 装置によって、Normal という報告が表示されます。


 

TFTP ダウンロードのエラー コード


) TFTP ファイル転送中に PIX Firewall がハングした場合は、Esc キーを押して TFTP セッションを打ち切り、コマンド プロンプトに戻ります。


TFTP ダウンロードの実行中に、トレーシングがイネーブルになっている場合は、ソフトウェアのダウンロードの進行に合せて表示されるドットの途中に、非重大エラーが表示されます。エラー コードは、かっこ内に表示されます。 表 11-2 に、エラー コード値を示します。

たとえば、ランダムに生じる不良ブロックは次のように表示されます。

....<11>..<11>.<11>......<11>...
 

さらに、トレーシングではそれぞれ ARP とタイムSアウトを示す「A」および「T」が表示されます。非IP パケットを受信すると、カッコ内にプロトコル番号が表示されます。

 

表 11-2 エラー コードの数値

エラー コード
説明

-1

PIX Firewall と TFTP サーバ間のタイムアウト。

2

イーサネット デバイスから受信したパケット長が、有効な TFTP パケットのパケット長に足りませんでした。

3

受信したパケットが、server コマンドで指定されたサーバから送信されたパケットではありませんでした。

4

IPヘッダー長が、有効な TFTP パケットのヘッダー長に足りませんでした。

5

受信パケットの IP プロトコル タイプが TFTP で使用される基本プロトコルの UDP ではありませんでした。

6

受信した IP パケットの宛先アドレスが、address コマンドで指定されたアドレスと一致していませんでした。

7

接続の両端にある UDP ポートが、期待値と一致しませんでした。 これは、ローカル ポートが以前に選択されたポートではない、または外部ポートが TFTP ポートではない、あるいはその両方であることを意味します。

8

パケットの UDP チェックサム計算でエラーが検出されました。

9

予想外の TFTP コードが発生しました。

10

TFTP 転送エラーが発生しました。

-10

指定したイメージ ファイル名が見つかりません。ファイル名のスペルを確認し、そのファイルへのアクセス権が TFTP サーバに許可されているか調べてください。UNIX では、このファイルは世界標準に準拠している必要があります。

11

シーケンス外れの TFTP パケットが受信されました。

エラー コード 9 と 10 の場合、ダウンロードは停止します。