セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

Cisco PIX 6.2 および 6.3 ユーザ用 Cisco Security Appliance Software Version 7.0 アップグレード ガイド

Cisco PIX 6.2 および 6.3 ユーザ用 Cisco Security Appliance Software Version 7.0 アップグレード ガイド
発行日;2012/01/21 | 英語版ドキュメント(2011/07/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco PIX 6.2 および 6.3 ユーザ用

特記事項

概要

変更の概要

変更および非推奨になったコマンド

新機能

変更および非推奨になった機能とコマンド

CLI コマンド プロセッサ

影響を受けるコマンド

アップグレード要件

変更の影響

conduit と outbound

影響を受けるコマンド

アップグレード要件

変更の影響

conduit コマンドから access-list コマンドへの変換

outbound コマンドから access-list コマンドへの変換

fixup と inspect

影響を受けるコマンド

アップグレード要件

コマンドの変更の説明

変更の影響

interface

影響を受けるコマンド

コマンドの変更の説明

アップグレード要件

変更の影響

アクセス コントロール リスト(ACL)

影響を受けるコマンド

アップグレード要件

コマンドの変更の説明

変更の影響

VPN

影響を受けるコマンド

アップグレード要件

コマンドの変更の説明

変更の影響

フェールオーバー

特記事項

影響を受けるコマンド

アップグレード要件

コマンドの変更の説明

変更の影響

AAA

影響を受けるコマンド

アップグレード要件

コマンドの変更の説明

変更の影響

管理

影響を受けるコマンド

アップグレード要件

コマンドの変更の説明

変更の影響

OSPF

影響を受けるコマンド

アップグレード要件

コマンドの変更の説明

変更の影響

メディア ゲートウェイ コントロール プロトコル(MGCP)

影響を受けるコマンド

アップグレード要件

MGCP 用の class-map、mgcp-map、および policy-map の設定

マルチキャスト

背景説明

影響を受けるコマンド

アップグレード要件

コマンドの変更の説明

変更の影響

NAT

影響を受けるコマンド

アップグレード要件

コマンドの変更の説明

変更の影響

公開キー インフラストラクチャ(PKI)

影響を受けるコマンド

アップグレード要件

コマンドの変更の説明

変更の影響

その他

影響を受けるコマンド

アップグレード要件

コマンドの変更の説明

変更の影響

ライセンスの変更

アップグレードの前提条件

最小ハードウェア要件

最小ソフトウェア要件

最小メモリ要件

クライアント PC のオペレーティング システムとブラウザの要件

最小接続要件

アップグレード手順

特記事項

基本的なアップグレード手順

モニタ モードでのアップグレード

特記事項

手順

アップグレードの例

PIX Version 6.3 から Security Appliance Version 7.0 への基本的なアップグレード

前提条件

アップグレード前

アップグレード

アップグレード後

リモート アクセス機能を持つ VPN クライアントへのアップグレード

前提条件

アップグレード前

アップグレード

アップグレード後

VLAN を使用する Security Appliance Version 7.0 へのアップグレード

前提条件

アップグレード前

アップグレード

アップグレード後

Voice Over IP 機能を持つ Security Appliance Version 7.0 へのアップグレード

前提条件

アップグレード前

アップグレード

アップグレード後

認証機能を持つ Security Appliance Version 7.0 へのアップグレード

前提条件

アップグレード前

アップグレード

アップグレード後

アクティブ/スタンバイ フェールオーバー機能を持つ Security Appliance Version 7.0 へのアップグレード

前提条件

概要

アクティブな PIX のアップグレード

スタンバイの PIX のアップグレード

コンジットを持つ Security Appliance Version 7.0 へのアップグレード

前提条件

アップグレード前

アップグレード

アップグレード後

syslog(システム ログ メッセージ)の変更と削除

変更された syslog メッセージ

削除された syslog メッセージ

ダウングレード手順

ダウングレードのガイドライン

ダウングレード手順

設定例

マニュアルの入手

Cisco.com

Product Documentation DVD(英語版)

マニュアルの発注方法(英語版)

シスコシステムズマニュアルセンター

シスコ製品のセキュリティの概要

シスコ製品のセキュリティ問題の報告

テクニカル サポート

Cisco Technical Support & Documentation Web サイト

Japan TAC Web サイト

サービス リクエストの発行

サービス リクエストのシビラティの定義

その他の資料および情報の入手

Cisco PIX 6.2 および 6.3 ユーザ用
Cisco Security Appliance Software
Version 7.0 アップグレード ガイド

このマニュアルでは、Cisco PIX Version 6.3 または 6.2 から Cisco PIX Security Appliance Version 7.0 へのアップグレード方法について説明します。PIX Security Appliance Version 7.0 へのアップグレードは通常シームレスで、ユーザ側で手動操作を行う必要はほとんどありません。このマニュアルでは、変更および非推奨になった機能とコマンドについて詳細に説明します。また、このような変更の例も取り上げます。PIX Security Appliance Version 7.0 で追加された新機能については、簡単に概要を紹介します。

このマニュアルの対象読者は、CLI コマンドとその機能、および PIX の設定経験のあるセキュリティ アプライアンス管理者です。

特記事項


注意 セキュリティ アプライアンスに PIX Security Appliance Version 7.0 をダウンロードする前に、このマニュアルの「アップグレードの前提条件」および「アップグレード手順」を確認してください。確認を怠ると、インストールに障害が発生する場合があります。

PIX Security Appliance Version 7.0 は、PIX 515/515E、PIX 525、および PIX 535 で動作しますが、現在 PIX 501 と PIX 506/506E のプラットフォームではサポートされていません。

PIX Security Appliance Version 7.0 の一般出荷前に出荷された PIX 515/515E システムでは、必須メモリのアップグレードが必要になります。詳細については、「最小メモリ要件」を参照してください。

PIX Security Appliance Version 7.0 では、ステートフル フェールオーバー インターフェイスと通常のファイアウォール インターフェイスを共通で使用する設定はサポートされません。この制限は PIX Version 6.3 以前のバージョンでも同じでしたが、ソフトウェアによる強制ではありませんでした。PIX Security Appliance Version 7.0 では、強制的に制限されます。ステートフル フェールオーバー リンク用の専用インターフェイスが存在しない場合は、PIX Security Appliance Version 7.0 にアップグレードする前に PIX Version 6.3 の設定を手動で変更する必要があります。変更を行わないと、PIX Security Appliance Version 7.0 による設定のアップグレード中にエラーが発生します。「フェールオーバー」を参照してください。

PIX Version 6.3 の npdisk ユーティリティ(パスワード回復など)を使用すると、PIX Security Appliance Version 7.0 のイメージが壊れてモニタ モードからのシステム再起動が必要になり、以前の設定やセキュリティ カーネルなどの重要な情報が失われるおそれがあります。「モニタ モードでのアップグレード」を参照してください。

特に指定がない限り、このマニュアルで PIX Version 6.3 に該当する記述がある場合、その内容は PIX Version 6.2 にも該当します。

このマニュアルは、次の項目で構成されています。

「概要」

「新機能」

「変更および非推奨になった機能とコマンド」

「conduit と outbound」

「fixup と inspect」

「interface」

「アクセス コントロール リスト(ACL)」

「VPN」

「フェールオーバー」

「AAA」

「管理」

「OSPF」

「メディア ゲートウェイ コントロール プロトコル(MGCP)」

「マルチキャスト」

「NAT」

「公開キー インフラストラクチャ(PKI)」

「その他」

「ライセンスの変更」

「アップグレードの前提条件」

「アップグレード手順」

「アップグレードの例」

「syslog(システム ログ メッセージ)の変更と削除」

参考資料

「マニュアルの入手」

「シスコ製品のセキュリティの概要」

「シスコ製品のセキュリティの概要」

「テクニカル サポート」

「その他の資料および情報の入手」

概要

PIX Security Appliance Version 7.0 では、広範囲にわたる機能拡張と改良の結果、多くの既存の CLI コマンドが変更または非推奨になっています( 表1 を参照)。また、PIX Security Appliance Version 7.0 には 50 を超える新機能があります。新機能については「新機能」に一覧がありますが、詳細については PIX Security Appliance Version 7.0 の別のマニュアルを参照してください。

一般に、非推奨になったコマンドは、自動的に新しい構文に変換されます。変換後、PIX Security Appliance Version 7.0 は新しいコマンドのみを受け入れ、古いコマンドを使用すると構文エラーが発生します。

変更の概要

PIX Security Appliance Version 7.0 での主な変更内容は次のとおりです。

PIX 515/515E デバイスの最小メモリ要件が新しくなりました(「アップグレード手順」を参照)。

fixup コマンドが非推奨になり、inspect コマンドに置き換えられました(「fixup と inspect」を参照)。

outbound コマンドと conduit コマンドのサポートがなくなりました(「conduit と outbound」を参照)。

no、clear、show の各コマンドの操作が大幅に変更されました(「CLI コマンド プロセッサ」を参照)。

アクセス リストをコンパイルする必要がなくなり、access-list <id> compiled コマンドと access-list compiled コマンドが影響を受けています(「アクセス コントロール リスト(ACL)」を参照)。

aaa-server コマンドに、2 つの新しいコンフィギュレーション モードである key と timeout が追加されました(「AAA」を参照)。

interface コマンド、および isakmp、crypto-map、vpngroup の各コマンドが拡張され、階層構造になりました(「interface」および「VPN」を参照)。

failover コマンドが変更され、コマンド内の統一性が高められました(「フェールオーバー」を参照)。

AAA コマンドなどのコマンドが変更され、より具体的なパラメータ設定が可能になりました(「AAA」を参照)。

mgcp コマンドが mgcp-map コマンドの下位に組み込まれました(「メディア ゲートウェイ コントロール プロトコル(MGCP)」を参照)。

copy コマンドが新しいフラッシュ ファイルシステムに適用されるようになりました。構文変更により、copy のオプションはコマンドの最後ではなく最初に指定されます(「管理」を参照)。

interface コマンドにコンフィギュレーション モードが導入され、インターフェイス固有の OSPF パラメータが interface のコンフィギュレーション モードで設定されるようになりました(「OSPF」を参照)。

マルチキャスト コマンドが変更され、PIM 希薄モード(PIM-SM)対応となり、PIX Security Appliance Version 7.0 と Cisco IOS ソフトウェアのマルチキャストの実装の統一性が高まりました(「マルチキャスト」を参照)。

PIX Security Appliance Version 7.0 はデフォルトで NAT 対応であるため、セキュリティ レベルの高いインターフェイスのホストは、NAT を設定しなくてもセキュリティ レベルの低いインターフェイスのホストと通信することができます。PIX Version 6.3 の既存の NAT 要件を維持するために nat-control コマンドが追加されており、PIX Security Appliance Version 7.0 にアップグレードするシステムではこのコマンドがデフォルトで実装されます。no nat-control コマンドを使用すると、PIX Security Appliance Version 7.0 のデフォルトの動作に戻ります(「NAT」を参照)。

established コマンドの一部のキーワードが非推奨になりました。また、sysopt コマンドが変更されています。PIX Security Appliance Version 7.0 では、flashfs コマンドはサポートされません。PIX Version 6.3 では、BGP MD5 によって使用される TCP オプション 19 が自動的に許可されていましたが、PIX Security Appliance Version 7.0 では追加の設定が必要になります。「その他」を参照してください。

コマンド補完とモード ナビゲーションが変更されました。

変更および非推奨になったコマンド

変更および非推奨になった機能やコマンドのほとんどは、システムで PIX Security Appliance Version 7.0 がブートするときに自動的に変換されますが、アップグレードの前または実行中に手動操作が必要になるものもいくつかあります。詳細については、「変更および非推奨になった機能とコマンド」を参照してください。

表1 に、自動的に変換されるコマンドと手動変換が必要なコマンドを示します。

 

表1 コマンドの変更の概要

コマンド
簡単な説明
詳細の参照先

aaa-server

変更

「AAA」

aaa-server radius-authport

変更

「AAA」

aaa-server radius-acctport

変更

「AAA」

auth-prompt

変更

「AAA」

access-list compiled

非推奨

「アクセス コントロール リスト(ACL)」

access-list <id> compiled

非推奨

「アクセス コントロール リスト(ACL)」

ca

変更

「公開キー インフラストラクチャ(PKI)」

ca generate/ca zeroize

非推奨

「公開キー インフラストラクチャ(PKI)」

ca identity/ca configure

非推奨

「公開キー インフラストラクチャ(PKI)」

ca authenticate

非推奨

「公開キー インフラストラクチャ(PKI)」

ca enroll

非推奨

「公開キー インフラストラクチャ(PKI)」

ca crl

非推奨

「公開キー インフラストラクチャ(PKI)」

ca subject-name

非推奨

「公開キー インフラストラクチャ(PKI)」

ca save all

非推奨

「公開キー インフラストラクチャ(PKI)」

ca verifycertdn

非推奨

「公開キー インフラストラクチャ(PKI)」

conduit

非推奨

「conduit と outbound」

copy capture

変更

「管理」

crashinfo

変更

「管理」

crypto dynamic-map

変更

「VPN」

crypto ipsec

変更

「VPN」

crypto-map

変更

「VPN」

dhcpd auto_config

変更

「管理」

duplex

新しい interface のコンフィギュレーション モード コマンドに変更

「interface」

established

変更

「その他」

failover

変更

「フェールオーバー」

fixup

inspect コマンドに変更

「fixup と inspect」

flashfs

サポートされていない

「その他」

floodguard

非推奨

「AAA」

interface

interface のコンフィギュレーション モード コマンドの入力に使用

「interface」

ipaddress

interface のコンフィギュレーション モード コマンドに変換

「interface」

igmp max-groups

変更

「マルチキャスト」

isakmp

変更

「VPN」

mgcp

変更

「メディア ゲートウェイ コントロール プロトコル(MGCP)」

mroute

変更

「マルチキャスト」

multicast interface

非推奨

「マルチキャスト」

nameif

interface のコンフィギュレーション モード コマンドに変換

「interface」

nat-control

no バージョンの使用によりインターフェイスで NAT セキュリティが維持される

「NAT」

ospf のコンフィギュレーション モード コマンド

routing interface コマンドの下位のコンフィギュレーション モード コマンド(自動的に interface のコンフィギュレーション モードに変換される)

「OSPF」

pager

変更

「管理」

pdm location

変更

「管理」

pdm group

変更

「管理」

pdm logging

変更

「管理」

routing interface

ospf のコンフィギュレーション モード コマンドを参照

「OSPF」

security-level

新しい interface のコンフィギュレーション モード コマンド

「interface」

set ip next-hop

非推奨

「OSPF」

set metric-type

変更

「OSPF」

show snmp-server

変更

「CLI コマンド プロセッサ」

shutdown

新しい interface のコンフィギュレーション モード コマンド

「interface」

speed

新しい interface のコンフィギュレーション モード コマンド

「interface」

ssh

変更

「管理」

sysopt permit pptp | permit l2tp

非推奨

「その他」

telnet

変更

「管理」

tftp-server

変更

「管理」

url-server

変更

「その他」

vlan

新しい interface のコンフィギュレーション モード コマンド

「interface」

vpdn

変更

「VPN」

vpngroup

変更

「VPN」

機能

このマニュアルでは、PIX Security Appliance Version 7.0 で変更および非推奨になった機能とコマンドの説明に主な重点を置いていますが、ここでは新機能の概要を紹介します。PIX Security Appliance Version 7.0 の新機能の詳細とそれに付随する CLI コマンドについては、次のマニュアルを参照してください。

Cisco PIX Security Appliance Command Reference, Version 7.0

Cisco Security Appliance CLI Configuration Guide, Version 7.0

Adaptive Security Device Manager(旧 PIX Device Manager(PDM))のオンライン ヘルプ

PIX Security Appliance Version 7.0 では、次の新機能が導入されています。

拡張ファイアウォール サービス

Cisco モジュラ ポリシー フレームワーク

拡張 Web セキュリティ サービス

トンネリング アプリケーション制御

セキュリティ コンテキスト

レイヤ 2 透過ファイアウォール

FTP セッション コマンドのフィルタリング

拡張 Simple Mail Transport Protocol(ESMTP)の電子メール検査サービス

3G モバイルのワイヤレス セキュリティ サービス

Sun RPC と NIS+ の検査サービス

Internet Control Message Protocol(ICMP)の検査サービス

拡張 TCP セキュリティ エンジン

発信アクセス コントロール リスト(ACE; Access Control List)

時間ベースの ACL

個別の ACL エントリのイネーブル化/ディセーブル化

Websence の URL フィルタリング パフォーマンスの向上

Voice over IP(VoIP)およびマルチメディアのセキュリティ サービス

T.38 Fax over IP(FoIP)

Gatekeeper Routed Control Signaling(GKRCS)

フラグメント化およびセグメント化されたマルチメディア ストリームの検査

MGCP アドレス変換サービス

RTSP アドレス変換サービス

堅牢な IPSec VPN サービス

VPN クライアントのセキュリティ対応の強制

オペレーティング システムとタイプによる VPN クライアントのブロッキング

VPN クライアント ソフトウェアの自動アップデート

非スプリット トンネリングのリモート アクセス VPN 環境のサポートの強化

VPN の NAT 透過性の向上

一般的なユーザ認証サービスとのネイティブ統合

VPN トンネル経由の OSPF のダイナミック ルーティング

スポーク間の VPN サポートの拡張

X.509 証明書サポートの拡張

Cisco IOS ソフトウェア認証局(CA; Certificate Authority)のサポート

復元力の高いアーキテクチャ

アクティブ/アクティブのステートフル フェールオーバー

VPN のステートフル フェールオーバー

フェールオーバー トランザクション時間の改善

ダウンタイムのないソフトウェア アップグレード

インテリジェントなネットワーク サービス

PIM マルチキャスト ルーティング

QoS サービス

IPv6 ネットワーキング

複数のインターフェイスに対応する共通のセキュリティ レベル

VLAN キャパシティの向上

オプションのアドレス変換サービス

柔軟な管理ソリューション

SNMP 監視機能の向上

SSHv2 と Secure Copy Protocol(SCP)

フラッシュ メモリへの複数の設定の保存

安全な資産リカバリ

スケジュールされたシステム リロード

専用のアウトオブバンド管理インターフェイス

拡張 ICMP ping サービス

コマンドライン インターフェイス(CLI)の使用可能範囲の拡大

SMTP 電子メール アラート

管理のための TACACS+ アカウンティング

複数のサーバに対する RADIUS アカウンティング

変更および非推奨になった機能とコマンド

ここでは、変更および非推奨になった機能とコマンドについて詳細に説明します。


) コマンドが自動変換されると、設定内容が変更されます。PIX Security Appliance Version 7.0 によって実行された設定変更をブート後に確認し、ソフトウェアによる自動変更が目的に合っているかを確認する必要があります。その後、その設定をフラッシュ メモリに保存してください。新しい設定をフラッシュ メモリに保存することにより、PIX Security Appliance Version 7.0 が次回ブートするときに設定が再び変換されないようにできます。

PIX Security Appliance Version 7.0 に導入された新機能により、多くの既存の CLI コマンドが拡張され、新しいキーワードやその他のコマンドライン オプションが追加されました。


変更および非推奨になった機能は次のとおりです。

「CLI コマンド プロセッサ」

「conduit と outbound」

「fixup と inspect」

「interface」

「アクセス コントロール リスト(ACL)」

「VPN」

「フェールオーバー」

「AAA」

「管理」

「OSPF」

「メディア ゲートウェイ コントロール プロトコル(MGCP)」

「マルチキャスト」

「NAT」

「公開キー インフラストラクチャ(PKI)」

「その他」

CLI コマンド プロセッサ

PIX Version 6.3 と同様に、PIX Security Appliance Version 7.0 も、セキュリティ アプライアンスの設定、監視、保守のユーザ インターフェイスとして CLI をサポートします。PIX Security Appliance Version 7.0 では、CLI パーサー機能が拡張されて Cisco IOS ソフトウェアのようなパーサー サービス(文脈依存ヘルプやコマンド補完など)が組み込まれたために、PIX Version 6.3 と比べると動作に若干の変更があります。

また、PIX Version 6.3 では、show コマンドと clear コマンドの適用に一貫性がありませんでした。これらのコマンドは、設定オブジェクトの表示とクリアに使用される場合もあれば、運用のデータや統計の表示とクリアに使用される場合もありました。このような動作を一貫性のあるものにし、設定の操作と統計の操作を区別するために、show コマンドと clear コマンドが変更され、追加のキーワードが必要になりました。

また、PIX Security Appliance Version 7.0 ではモード ナビゲーションや用語でもわずかに変更が行われ、Cisco IOS ソフトウェアの CLI により近くなっています。

ここでは、次の項目について説明します。

「影響を受けるコマンド」

「アップグレード要件」

「変更の影響」

影響を受けるコマンド

PIX Security Appliance Version 7.0 へのアップグレードでは、次のコマンドが影響を受けます。

no

show

clear

上記のコマンドに加えて、PIX Security Appliance Version 7.0 では、コマンド補完やモード ナビゲーションも変更されています。

アップグレード要件

新しい形式の no、show、および clear コマンドを使用する必要があります。新しい形式を使用しないと、エラーが出力されます。

変更の影響

ここでは、この変更が PIX Security Appliance Version 7.0 の CLI コマンドに及ぼす影響について説明します。

「操作上の変更」

「文脈依存ヘルプの変更」

「コマンドの構文チェック」

「モード ナビゲーションと用語の変更」

操作上の変更

PIX Security Appliance Version 7.0 では、no、clear、show の各コマンドの操作が次のように変更されています。

no バリアントでは、複数行の設定が同時に削除されなくなりました。PIX Security Appliance Version 7.0 では、no バリアントによって 1 つの設定行のみが削除されます。たとえば、1 つの no access-list <access-list name> により、PIX Version 6.3 では次のコマンドが削除されていました。

access-list myaccesslist extended permit tcp host 10.175.28.97 host 10.180.210.209 eq 37000
access-list myaccesslist extended permit tcp host 10.175.28.97 host 10.180.210.68 eq 37000
access-list myaccesslist extended permit tcp host 10.175.28.98 host 10.180.210.68 eq 37000
 

しかし、PIX Security Appliance Version 7.0 では、上記の各コマンドは、clear configure access-list <access-list name> コマンドまたは次の方法で削除されます。

no access-list myaccesslist extended permit tcp host 10.175.28.97 host 10.180.210.209 eq 37000
no access-list myaccesslist extended permit tcp host 10.175.28.97 host 10.180.210.68 eq 37000
no access-list myaccesslist extended permit tcp host 10.175.28.98 host 10.180.210.68 eq 37000
 

第 2 の例:1 つの no fixup protocol http コマンドにより、PIX Version 6.3 では次のコマンドが削除されていました。

fixup protocol http 80
fixup protocol http 8080
 

しかし、PIX Security Appliance Version 7.0 では、上記の各コマンドは次の方法で削除されます。

no inspect protocol http 80
no inspect protocol http 8080
 

no バリアントでは、コンフィギュレーション モード コマンドが削除されます。つまり、該当のコマンドと、そのすべてのコンフィギュレーション モード コマンドが削除されます。この動作は、PIX Version 6.3 でも PIX Security Appliance Version 7.0 でも同じです。

設定をクリアする場合、PIX Security Appliance Version 7.0 ではコンフィギュレーション モードからの clear configure <cmd> コマンドの使用のみがサポートされます。

次の例は、clear configure コマンドの使用方法を示しています。

 

PIX Version 6.3
PIX Security Appliance Version 7.0
clear access-list <access-list name>
clear configure access-list <access-list name>

no access-list <access-list name> コマンドを使用すると、エラー メッセージが表示されます。

clear ssh
clear configure ssh
--
clear crypto dynamic-map
clear configure crypto dynamic-map
--

) PIX Version 6.3 では、clear crypto コマンドにより、トラストポイント、証明書、証明書マップなど、認証局(CA)の設定以外のすべての暗号設定が削除されていました。PIX Security Appliance Version 7.0 では、clear configure crypto コマンドで、CA の設定も含めたすべての暗号設定が削除されます。CA 情報は、show crypto コマンドの出力にも表示されます。


PIX Version 6.3 では、show snmp-server コマンドで実行コンフィギュレーションが表示されていました。PIX Security Appliance Version 7.0 では、show running-config snmp-server コマンドで実行コンフィギュレーションが表示され、show snmp-server statistics コマンドで SNMP のランタイム情報が表示されます。

show <cmd> コマンドでは、統計、バッファ、カウンタなどが表示されます。すべての show コマンドは次の例に示すモデルに従います。

 

PIX Version 6.3
PIX Security Appliance Version 7.0
show crypto map
show running-config crypto map

文脈依存ヘルプの変更

表2 に、PIX Security Appliance Version 7.0 での文脈依存ヘルプの変更内容を示します。

 

表2 文脈依存ヘルプの変更

機能
PIX Version 6.3
PIX Security Appliance Version 7.0

コマンド補完

Tab キーを押すと、無視されます。

? を入力すると、次のメッセージが表示されます。

使用可能なコマンドの一覧を表示するには、help または ? と入力します。

コマンドの一部を入力してから Tab キーを押すと、コマンドを補完できます。また、コマンドの一部を入力してから ? を入力すると、その部分で始まるすべてのコマンドが表示されます。

コマンド ?

そのコマンドの使用方法がテキスト表示されます。

コマンドの後ろにスペースを入力し、その後ろに ? を入力すると、関連する入力の選択肢が表示されます。

コマンド <keyword> ?

そのコマンドの使用方法がテキスト表示されます。

そのキーワードで使用可能な引数が一覧表示されます。

コマンドの構文チェック

表3 に、PIX Security Appliance Version 7.0 へのアップグレードの結果として発生する変更内容を示します。

 

表3 コマンドの構文チェック

機能
PIX Version 6.3
PIX Security Appliance Version 7.0

構文エラー

エラー メッセージの後ろにコマンドの使用方法がテキスト表示される場合があります。

コマンドの構文エラーの場所を示すために ^ 記号が表示されます。

コマンドの不備

エラー メッセージ「Not enough
arguments.」の後ろにコマンドの使用方法がテキスト表示される場合があります。

追加の引数が必要であることを示すために、「Incomplete command」メッセージが表示されます。

モード ナビゲーションと用語の変更

PIX Security Appliance Version 7.0 では、モード ナビゲーションと用語でわずかな変更が行われ、動作が Cisco IOS ソフトウェアの CLI により近くなっています。

表4 に、PIX Version 6.3 と PIX Security Appliance Version 7.0 の間のモード ナビゲーションの変更の説明を示します。

 

表4 モードの用語の変更

モード/コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
ユーザ EXEC モード

用語

ユーザ モード

ユーザ EXEC モード

終了方法

^Z でコンソールからログアウトします。

^Z は終了方法としてはサポートされませんが、exit、quit、または logout の各コマンドは PIX Version 6.3 の場合と同様に使用できます。

^Z を入力すると次のエラー メッセージが表示されます。

ERROR:% Invalid input detected at '^' marker.

特権 EXEC モード

用語

特権モード

特権 EXEC モード

終了方法

^Z でコンソールからログアウトします。

^Z は終了方法としてはサポートされませんが、exit、quit、または logout の各コマンドは PIX Version 6.3 の場合と同様に使用できます。

^Z を入力すると次のエラー メッセージが表示されます。

ERROR:% Invalid input detected at '^' marker.

グローバル コンフィギュレーション モード

用語

コンフィギュレーション モード

グローバル コンフィギュレーション モード

コマンド固有のコンフィギュレーション モード

用語

サブコマンド モード

コマンド固有のコンフィギュレーション モード

conduit と outbound

PIX Security Appliance Version 7.0 では、conduit コマンドと outbound コマンドはサポートされません。ただし、広く使用されている access-list コマンドはサポートされます。access-list コマンドは、より Cisco IOS ソフトウェアのコマンドに近くなり、conduit コマンドと outbound コマンドは完全に置き換えられました。また、access-list コマンドの機能も増えています。conduit または outbound コマンド(あるいはその両方)を使用した設定を含む PIX Version 6.3 システムを PIX Security Appliance Version 7.0 にアップグレードする場合は、最初に conduit および outbound コマンドを移行しないとエラーが出力されます。

ここでは、次の項目について説明します。

「影響を受けるコマンド」

「アップグレード要件」

「変更の影響」

「conduit コマンドから access-list コマンドへの変換」

「outbound コマンドから access-list コマンドへの変換」

影響を受けるコマンド

PIX Security Appliance Version 7.0 へのアップグレードでは、次のコマンドが影響を受けます。

conduit

outbound

アップグレード要件

PIX Security Appliance Version 7.0 では、PIX Security Appliance Version 7.0 へのアップグレードを実行する前に、conduit コマンドと outbound コマンドをアクセス コントロール リスト(access-list)コマンドに変換する必要があります。

変更の影響

PIX Security Appliance Version 7.0 へのアップグレードを実行する前に、まず conduit コマンドと outbound コマンドを移行しないと、エラーが出力されます。この処理の実行にあたっては、次の資料を役立ててください。

conduit コマンドから access-list コマンドへの変換、および outbound コマンドから outgoing コマンドの変換設定の詳細な手順は、「conduit コマンドから access-list コマンドへの変換」および「outbound コマンドから access-list コマンドへの変換」で説明されています。詳細については、『 Cisco PIX Firewall Command Reference, Version 6.3 』を参照してください。

契約ユーザは、Cisco.com の Software Center の PIX ディレクトリ
http://www.cisco.com/pcgi-bin/tablebuild.pl/pix )から PIX Outbound Conduit Converter を入手できます。 このページは 登録されたお客様専用です。ユーザ登録するには、
http://tools.cisco.com/RPF/register/register.do にアクセスしてください。

このツールにより、conduit コマンドと outbound コマンドを容易にアクセス コントロール リストの設定に変換できます。ただし、これらのアクセス コントロール方法には性質の違いがあるため、実際の機能と動作に多少の違いが生じる可能性があります。そのため、このツールは補助的なものと考え、手始めの手段として使用してください。Outbound/Conduit Converter(OCC)ツールで変換されたすべての設定は、導入前に該当のネットワークとそのポリシーに精通したネットワーク セキュリティ管理者が検証およびテストする必要があります。


) OCC ツールは、alias コマンドと policy nat コマンドをサポートしません。OCC ツールでは、内部(高いセキュリティ レベルの)インターフェイスの後ろにあるすべてのアドレスが公開された設定と、このインターフェイスへのデフォルト ルートまたは RIP/OSPF をイネーブルにするコマンドを組み合せた設定は変換されません。


Output Interpreter は、既存の設定を入力として受け取り、修正した設定を出力として作成する Web インターフェイスを提供します。このツールは、
https://www.cisco.com/cgi-bin/Support/OutputInterpreter/home.pl から入手できます。 このページは 登録されたお客様専用です。ユーザ登録するには、 http://tools.cisco.com/RPF/register/register.do にアクセスしてください。Output Interpreter を使用するには、端末クライアントのワード ラップを必ずオフにして、write terminal コマンドまたは show running-config コマンドからの出力をすべて取り込んで Output Interpreter に貼り付けます。Output Interpreter を使用するには、JavaScript がイネーブルである必要があります。Output Interpreter による設定変換でも、検証とテストに関して前述と同じ注意事項が当てはまります。

PIX Version 6.3 では、アドレスの最後のオクテットが 0 と 255 である内部ホストのみが外部インターフェイスへの接続を開始することができました。また、外部インターフェイスに接続されたホストが、IP アドレスの最後のオクテットに .0 または .255 を持つ内部ホストへの接続を開始しようとすると、PIX Version 6.3 は接続を拒否していました。

PIX Security Appliance Version 7.0 では、外部ホストからの接続は、access-list で許可されていれば拒否されません。

conduit コマンドから access-list コマンドへの変換

conduit コマンド文を access-list コマンドに変換するには、次の手順を実行します。


ステップ 1 static コマンドの形式を確認します。通常、このコマンドは conduit コマンドと access-list コマンドの前に指定されます。static コマンドの構文は次のとおりです。

static (high_interface,low_interface) global_ip local_ip netmask mask
 

次の例を参考にしてください。

static (inside,outside) 209.165.201.5 192.168.1.5 netmask 255.255.255.255
 

このコマンドは、外部インターフェイス上のグローバル IP アドレス 209.165.201.5 を内部インターフェイス上の Web サーバ 192.168.1.5 にマッピングします。ホスト アドレスには 255.255.255.255 が使用されています。

ステップ 2 conduit コマンドの形式を確認します。conduit コマンドは、static コマンドで実行されたマッピングへのアクセスを制限するという点で、access-list コマンドと同様です。conduit コマンドの構文は次のとおりです。

conduit action protocol global_ip global_mask global_operator global_port [global_port] foreign_ip foreign_mask foreign_operator foreign_port [foreign_port]
 

次の例を参考にしてください。

conduit permit tcp host 209.165.201.5 eq www any
 

このコマンドは、static コマンド文で指定されたグローバル IP アドレス 209.165.201.5 に TCP を許可し、ポート 80(www)によるアクセスを許可します。「any」オプションにより、外部インターフェイス上の任意のホストがこのグローバル IP アドレスにアクセスすることができます。

static コマンドは、conduit コマンドでアクセスを制限するインターフェイスを指定します。

ステップ 3 conduit コマンドのオプションから access-list コマンドを作成します。access-list コマンドの acl_name は、access-list コマンド文を access-group コマンド文または crypto map コマンド文と関連付けるために作成する名前または数値です。

通常、access-list コマンドの形式は次のとおりです。

access-list acl_name [deny | permit] protocol src_addr src_mask operator port dest_addr dest_mask operator port
 

ここで、conduit コマンドの構文を access-list コマンドで使用してみると、conduit コマンドの foreign_ip が access-list コマンドの src_addr と同じであり、conduit コマンドの global_ip オプションが access-list コマンドの dest_addr と同じであることがわかります。access-list コマンドの構文に conduit コマンドのオプションを重ねてみると、次のようになります。

access-list acl_name action protocol foreign_ip foreign_mask foreign_operator foreign_port [foreign_port] global_ip global_mask global_operator global_port [global_port]
 

次の例を参考にしてください。

access-list acl_out permit tcp any host 209.165.201.5 eq www
 

このコマンドでは、access-list コマンド文のグループに「acl_out」という識別子を指定しています。識別子には任意の名前や数値を使用できます(この例では、識別子「act」は ACL(アクセス コントロール リストの意味)に由来し、「out」は外部インターフェイスの略です)。該当の access-list コマンド文を関連付けているインターフェイスを示す識別子名を使用すると、設定がよりわかりやすくなります。この例の access-list コマンドは、conduit コマンドと同様に、外部インターフェイス上の任意のシステムからの TCP 接続を許可します。access-list コマンドは、access-group コマンドによって外部インターフェイスと関連付けられます。

ステップ 4 access-list コマンドの acl_name と static コマンドの low_interface オプションを使用して、access-group コマンドを作成します。access-group コマンドの形式は、次のとおりです。

access-group acl_name in interface low_interface
 

次の例を参考にしてください。

access-group acl_out in interface outside
 

このコマンドは、access-list コマンド文の「acl_out」グループと関連付けられ、access-list コマンド文が外部インターフェイスへのアクセスを制限することを示します。


 

これで、conduit コマンドから access-list コマンドへの変換手順は完了です。

outbound コマンドから access-list コマンドへの変換

outbound コマンドは、アクセス コントロール ルールのリストを作成します。アクセス コントロール ルールでは次の内容を指定できます。

内部ユーザが発信接続を作成できるかどうか

内部ユーザが特定の外部サーバにアクセスできるかどうか

内部ユーザが発信接続や外部サーバへのアクセスに使用できるサービス

Cisco PIX Firewall Command Reference, Version 6.3 』の発信リストのルールを参照してください。

outgoing_src に適用された outbound コマンドから access-list コマンドへの変換

outbound コマンド文を変換してアクセス リストを作成するには、次の手順を実行します。


ステップ 1 次の既存の PIX の発信設定例を使用して、access-list コマンドの形式を確認します。

outbound 1 deny 10.10.10.0 255.255.255.0 0
outbound 1 permit 10.10.20.20 255.255.255.255 0
outbound 1 except 192.168.10.1 255.255.255.255 0
apply (inside) 1 outgoing_src
 

access-list コマンドの形式(単純なバージョン)は次のとおりです。

access-list acl_name [deny | permit] protocol src_addr src_mask dest_addr dest_mask
 

ステップ 2 outgoing_src コマンドに適用された発信設定で指定された IP アドレスが、アクセス リストの送信元アドレス(src_addr)に対応していることを確認します。宛先アドレス(dest_addr)は「any」になります。最初の 2 つの発信設定のコマンドは、次のように変換されます。

access-list inside_acl permit ip host 10.10.20.20 any
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any
 

設定に例外がある場合、例外はそのリスト内の発信設定全体に適用されます。outgoing_src に適用された例外で指定された IP アドレスは、アクセス リストの dest_addr にあたります。except を使用した 3 番目の発信設定は、次のように変換されます。

access-list inside_acl deny ip host 10.10.20.20 host 192.168.10.1
access-list inside_acl permit ip 10.10.10.0 255.255.255.0 host 192.168.10.1
 

ステップ 3 前述の access-list の各要素を outbound コマンド文の処理順に並べます(『 Cisco PIX Firewall
Command Reference, Version 6.3
』の outbound のルールを参照)。PIX はまず例外を処理してから、outbound コマンド文の中で最適な指定を処理します。アクセス リストは次の順序で適用されます。

access-list inside_acl permit ip 10.10.10.0 255.255.255.0 host 192.168.10.1
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any
access-list inside_acl permit ip 10.10.10.0 255.255.255.0 host 192.168.10.1
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any
 

ステップ 4 PIX のデフォルトの動作を維持するには、次の access-list 要素を追加します。デフォルトでは、PIX は発信トラフィックを許可することに注意してください。パケットのフィルタリングにアクセス リストが使用される場合、アクセス リストに適合しないトラフィックは拒否されます。

access-list inside_acl permit ip any any
 

ステップ 5 発信設定を適用するインターフェイスを指定するには、次の access-group コマンドを追加します。アクセス リストをインターフェイスにバインドするには、対応するアクセスグループが必要であることに注意してください。

access-group inside_acl in interface inside
 

ステップ 6 outgoing_src に適用された outbound コマンドから access-list コマンドに変換した次の設定を確認します。

access-list inside_acl permit ip 10.10.10.0 255.255.255.0 host 192.168.10.1
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any
access-list inside_acl permit ip 10.10.10.0 255.255.255.0 host 192.168.10.1
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any
access-list inside_acl permit ip any any
access-group inside_acl in interface inside
 


 

outgoing_dest に適用された outbound コマンドから access-list コマンドへの変換

outbound コマンド文を変換してアクセス リストを作成するには、次の手順を実行します。


ステップ 1 次の既存の PIX の発信設定例を使用して、アクセス リストの形式を確認します。

outbound 1 deny 192.168.10.0 255.255.255.0 0
outbound 1 permit 192.168.20.20 255.255.255.255 0
outbound 1 except 10.10.10.10 255.255.255.255 0
apply (inside) 1 outgoing_dest
 

access-list コマンドの形式(単純なバージョン)は次のとおりです。

access-list acl_name [deny | permit] protocol src_addr src_mask dest_addr dest_mask
 

ステップ 2 outgoing_dest コマンドに適用された発信設定で指定された IP アドレスが、アクセス リストの宛先アドレス(dest_addr)に対応していることを確認します。送信元アドレス(src_addr)は「any」になります。最初の 2 つの発信設定のコマンドは、次のように変換されます。

access-list inside_acl permit ip any host 192.168.20.20
access-list inside_acl deny ip any 192.168.10.0 255.255.255.0
 

例の 3 行目のように、設定に例外がある場合、例外はそのリスト内の発信設定全体に適用されます。outgoing_dest に適用された例外で指定された IP アドレスは、アクセス リストの src_addr にあたります。例外を指定した 3 番目の発信設定は、次のように変換されます。

access-list inside_acl deny ip host 10.10.10.10 host 192.168.20.20
access-list inside_acl permit ip host 10.10.10.10 192.168.10.0 255.255.255.0
 

ステップ 3 前述の access-list の各要素を outbound コマンド文の処理順に並べます(『 Cisco PIX Firewall
Command Reference Guide, Version 6.3
』の outbound のルールを参照)。PIX はまず例外を処理してから、outbound コマンド文の中で最適な指定を処理します。アクセス リストは次の順序で適用されます。

access-list inside_acl deny ip host 10.10.10.10 host 192.168.20.20
access-list inside_acl permit ip any host 192.168.20.20
access-list inside_acl permit ip host 10.10.10.10 192.168.10.0 255.255.255.0
access-list inside_acl deny ip any 192.168.10.0 255.255.255.0
 

ステップ 4 PIX のデフォルトの動作を維持するには、次の access-list 要素を追加します。デフォルトでは、PIX は発信トラフィックを許可することに注意してください。パケットのフィルタリングにアクセス リストが使用される場合、アクセス リストに適合しないトラフィックは拒否されます。

access-list inside_acl permit ip any any
 

ステップ 5 発信設定を適用するインターフェイスを指定するには、次の access-group コマンドを追加します。アクセス リストをインターフェイスにバインドするには、対応するアクセスグループが必要であることに注意してください。

access-group inside_acl in interface inside
 

ステップ 6 outgoing_src に適用された outbound コマンドから access-list コマンドに変換した次の設定を確認します。

access-list inside_acl deny ip host 10.10.10.10 host 192.168.20.20
access-list inside_acl permit ip any host 192.168.20.20
access-list inside_acl permit ip host 10.10.10.10 192.168.10.0 255.255.255.0
access-list inside_acl permit ip any host 192.168.20.20
access-list inside_acl permit ip any any
access-group inside_acl in interface inside
 

outgoing_src と outgoing_dest の両方に適用された outbound コマンドから access-list コマンドへの変換

outbound コマンド文を変換してアクセス リストを作成するには、次の手順を実行します。


ステップ 1 次の既存の PIX の発信設定例を使用して、access-list コマンドの形式を確認します。

outbound 1 deny 10.10.10.0 255.255.255.0 0
outbound 1 permit 10.10.20.20 255.255.255.255 0
apply (inside) 1 outgoing_src
 
outbound 2 deny 192.168.10.0 255.255.255.0 0
outbound 2 permit 192.168.20.20 255.255.255.255 0
apply (inside) 2 outgoing_dest
 

access-list コマンドの形式(単純なバージョン)は次のとおりです。

access-list acl_name [deny | permit] protocol src_addr src_mask dest_addr dest_mask
 

ステップ 2 outgoing_src コマンドに適用された発信設定で指定された IP アドレスが、アクセス リストの送信元アドレス(src_addr)に対応していることを確認します。宛先アドレス(dest_addr)は「any」になります。最初の 2 つの発信設定のコマンドは、次のように変換されます。

access-list inside_acl permit ip host 10.10.20.20 any
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any
 

ステップ 3 outgoing_dest コマンドに適用された発信設定で指定された IP アドレスが、アクセス リストの宛先アドレス(dest_addr)に対応していることを確認します。送信元アドレス(src_addr)は「any」になります。4 行目と 5 行目の発信設定のコマンドは、次のように変換されます。

access-list inside_acl permit ip any host 192.168.20.20
access-list inside_acl deny ip any 192.168.10.0 255.255.255.0

ステップ 4 両方の発信リストが同じインターフェイスに適用される場合は、outgoing_src オプションと
outgoing_dest の発信リストは個別にフィルタリングされるというルールが適用されます。フィルタに deny オプションが含まれている場合、発信パケットは拒否されます。結果は次の 2 つの access-list 要素になります。

access-list inside_acl deny ip 10.10.10.0 255.255.255.0 host 192.168.20.20
access-list inside_acl permit ip host 10.10.20.20 host 192.168.20.20
 

ステップ 5 PIX のデフォルトの動作を維持するには、次の access-list 要素を追加します。デフォルトでは、PIX は発信トラフィックを許可することに注意してください。パケットのフィルタリングにアクセス リストが使用される場合、アクセス リストに適合しないトラフィックは拒否されます。

access-list inside_acl permit ip any any
 

発信設定を適用するインターフェイスを指定するには、次の access-group コマンドを追加します。アクセス リストをインターフェイスにバインドするには、対応するアクセスグループが必要であることに注意してください。

access-group inside_acl in interface inside
 

ステップ 6 outgoing_src と outgoing_dest の両方に適用された outbound コマンドから access-list コマンドに変換した設定が次に示す順序で適用されることを確認します。

access-list inside_acl deny ip 10.10.10.0 255.255.255.0 host 192.168.20.20
access-list inside_acl permit ip host 10.10.20.20 host 192.168.20.20
access-list inside_acl permit ip any host 192.168.20.20
access-list inside_acl deny ip any 192.168.10.0 255.255.255.0
access-list inside_acl permit ip host 10.10.20.20 any
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any
access-list inside_acl permit ip any any
access-group inside_acl in interface inside
 


 

fixup と inspect

PIX では、フィックスアップとして知られるステートフルなアプリケーション検査を使用して、アプリケーションとサービスの安全な使用を保証します。PIX Security Appliance Version 7.0 では、fixup コマンドが非推奨になり、モジュラ ポリシー フレームワーク(MPF)インフラストラクチャの inspect コマンドに置き換えられました。

MPF は、トラフィックのクラスを定義し、それらに機能固有のアクション(ポリシー)を適用する CLI フレームワークで、よりきめ細かい柔軟なネットワーク ポリシーの設定を可能にします。

ここでは、次の項目について説明します。

「影響を受けるコマンド」

「アップグレード要件」

「コマンドの変更の説明」

「変更の影響」

影響を受けるコマンド

PIX Security Appliance Version 7.0 へのアップグレードでは、次のコマンドが影響を受けます。

fixup

アップグレード要件

fixup コマンドは、PIX Security Appliance Version 7.0 へのアップグレード時に自動的に MPF の inspect コマンドに移行されます。手動の操作は不要です。

設定内のすべての既存の fixup コマンドは、自動的に MPF コマンドに変換されます。

現在設定不可能なすべての フィックスアップ(NetBIOS など)も設定可能になり、MPF のコマンドに変換されます。

コマンドの変更の説明

表5 に、fixup コマンドの変更内容を示します。また、 表6 には 表5 の各コマンドのデフォルト ポートを示します。

fixup


表5 の PIX Security Appliance Version 7.0 のカラムでは、対応する PIX Version 6.3 の fixup コマンドの場合と違って inspect コマンドにポート番号が存在しないことに注意してください。この例のポート番号は、「class inspection-default」に暗黙的に含まれています。プロトコルに
「class inspection-default」で inspect を設定すると、そのプロトコルは自動的にデフォルト ポートで検査されます。これは、このクラスが各プロトコルの「default-inspection-traffic」を照合するためです。表6 に、表5 に示す各 inspect のデフォルト ポートを示します。


 

表5 fixup コマンドの変更

PIX Version 6.3
PIX Security Appliance Version 7.0
fixup protocol esp-ike

サポートされていない

fixup protocol dns maximum-length 512
fixup protocol h323 h225 1720
fixup protocol http 80
fixup protocol rsh 514
fixup protocol sip 5060
fixup protocol smtp 25
fixup protocol ftp 21
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rtsp 554
fixup protocol skinny 2000
fixup protocol sqlnet 1521
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ils
inspect rsh
inspect rtsp
inspect smtp
inspect sqlnet
inspect sip
inspect skinny
inspect netbios
inspect ctiqbe
inspect icmp
inspect http
inspect dns
!
service-policy global_policy global

) fixup protocol esp-ike コマンドは、PIX Security Appliance Version 7.0 ではサポートされません。この機能は PIX 501 および 506/506E の各プラットフォームに適していますが、PIX Security Appliance Version 7.0 は現在これらをサポートしていません。

PIX Security Appliance Version 7.0 で導入された inspect コマンドは、Cisco IOS のコマンド ip inspect とは異なります。


 

表6 表5 の各コマンドのデフォルト ポート

検査対象のプロトコル名
プロトコル
送信元ポート
宛先ポート

ctiqbe

dns

ftp

gtp

h323 h225

h323 ras

http

icmp

ils

mgcp

netbios

rpc

rsh

rtsp

sip

skinny

smtp

sqlnet

tftp

xdmcp

tcp

udp

tcp

udp

tcp

udp

tcp

icmp

tcp

udp

udp

udp

tcp

tcp

tcp、udp

tcp

tcp

tcp

udp

udp

N/A

53

N/A

2123、3386

N/A

N/A

N/A

N/A

N/A

2427、2727

137~138

111

N/A

N/A

N/A

N/A

N/A

N/A

N/A

177

2748

53

21

2123、3386

1720

1718~1719

80

N/A

389

2427、2727

N/A

111

514

554

5060

2000

25

1521

69

177

変更の影響

ここでは、この変更が PIX Security Appliance Version 7.0 の CLI コマンドに及ぼす影響について説明します。

PIX Security Appliance Version 7.0 では、fixup コマンドを CLI で使用することはできますが、設定内ではこれらは MPF の同等のコマンドに変換されます。つまり、CLI で fixup コマンドを入力することはできても、設定に表示される内容は変換された MPF 形式のコマンドになります。また、CLI で fixup コマンドを入力すると、次のような通知メーセージが表示されます。

pix1(config)# fixup protocol http 8080
INFO: converting 'fixup protocol http 8080' to MPF commands
 

次回のリリースでは、fixup コマンドは非推奨になり、すべての検査エンジンで MPF コマンドのみが受け入れられるようになります。

表7 に、PIX Security Appliance Version 7.0 における fixup コマンドの動作の変更の説明を示します。

 

表7 fixup コマンドの動作の変更

コマンド
変更の説明

fixup

MPF コマンドに変換されます。

no fixup

変換後の MPF コマンドが削除されます。

clear fixup

clear configure fixup コマンドに変換されます。他のすべての clear configure コマンドと同様に、このコマンドを適用するとデフォルトの設定(この場合は検査エンジンのデフォルト設定)に戻ります。

write memory

fixup コマンドはフラッシュ メモリに書き込まれなくなりました。変換後の MPF コマンドのみが書き込まれます。

PIX Security Appliance Version 7.0 で導入された新しいフィックスアップでは、MPF 形式の CLI コマンドのみがサポートされます。

fixup コマンドが MPF の inspect コマンドに変換される場合、inspect コマンドはイネーブルになっているグローバル ポリシーの中で作成されます。グローバル ポリシーがイネーブルになっていない場合は、グローバル ポリシーが作成されます。

検査をディセーブルにするには、ポリシーマップから inspect コマンドを削除するか、デフォルトのポート値を使用して対応する fixup コマンドを発行します。

MGCP など、デフォルトでイネーブルになっていない検査を追加するには、単にその inspect コマンドをポリシーマップに追加するか、デフォルトのポート値を使用して対応する fixup コマンドを発行します(PIX Security Appliance Version 7.0 より前でサポートされている場合)。

検査にデフォルト以外の追加ポートが必要な場合は、次のようにします。

別のクラスマップに新しいポートを追加して、新しいクラスと inspect コマンドをポリシーマップに追加します。

または

対応する fixup コマンドを発行します。

たとえば、HTTP の検査用にポート 8080 を追加する場合は、次の fixup コマンドを入力します。

fixup protocol http 8080
 

または、次の MPF コマンドを入力します。

class-map non_default_http_inspection <==== 新しいクラスマップを定義します。
match port tcp eq 8080 <==== tcp ポート 8080 トラフィックを照合します。
 
policy-map global_policy <==== ポリシーマップを選択します。
class non_default_http_inspection <==== 新しいクラスを追加します。
inspect http <==== 新しいクラスにアクションを追加します。
 

MPF コマンドを入力する前の設定が次のようになっているとします。

class-map inspection_default
match default-inspection-traffic
 
policy-map global_policy
class inspection_default
inspect ftp
inspect http
 

MPF コマンドの入力後、設定は次のようになります。

class-map inspection_default
match default-inspection-traffic
 
class-map non_default_http_inspection
match port tcp 8080
 
policy-map global_policy
class inspection_default
inspect ftp
inspect http
class non_default_http_inspection
inspect http
 

検査用のデフォルト ポートを新しいポートに置き換える場合は、次のようにします。

対応する inspect コマンドをポリシーマップから削除し、前の例に従って検査用の新しいポートを追加します。

または

デフォルト ポートを使用して no fixup コマンドを発行し、その後新しいポートで fixup コマンドを発行します。

たとえば、HTTP 検査用のポート 80 をポート 8080 に置き換える場合は、次の fixup コマンドを入力します。

no fixup protocol http 80
fixup protocol http 8080
 

または、次の MPF コマンドを入力します。

policy-map global_policy    <==== ポリシーマップを選択します。
class inspection_default <==== クラスを選択します。
no inspect http <==== クラスから http を削除します。
class-map non_default_http_inspection <==== 新しいクラスマップを定義します。
match port tcp 8080 <==== tcp ポート 8080 トラフィックを照合します。
 
policy-map global_policy    <==== ポリシーマップを選択します。
class non_default_http_inspection <==== 新しいクラスを追加します。
inspect http <==== 新しいクラスにアクションを追加します。
 

MPF コマンドを入力する前の設定が次のようになっているとします。

class-map inspection_default
match default-inspection-traffic
 
policy-map global_policy
class inspection_default
inspect ftp
inspect http
 

MPF コマンドの入力後、設定は次のようになります。

ss-map inspection_default
match default-inspection-traffic
 
class-map non_default_http_inspection
match port tcp 8080
 
policy-map global_policy
class inspection_default
inspect ftp
class non_default_http_inspection
inspect http

interface

PIX Security Appliance Version 7.0 では、interface の CLI と関連コマンドが拡張され、階層構造になりました。Ethernet0 などの「メイン インターフェイス」と Ethernet0.10 などの「サブインターフェイス」という概念が導入されています。interface のコンフィギュレーション モード コマンドは、このコマンドに移行または追加された複数のコマンドを使用して作成されます。この変更には、次の利点があります。

メイン インターフェイスとサブインターフェイスの表記により、セキュリティ アプライアンス上の複数の物理インターフェイスおよび VLAN 論理インターフェイスを簡単で一貫性のある方法で表現することができます。

セキュリティ コンテキストをサポートするプラットフォームでは、PIX Security Appliance Version 7.0 の機能により、新しいインターフェイス構造を備えたコンテキストに対するインターフェイスの定義や割り当てが容易になります。

interface のコンフィギュレーション モード コマンドにより、IPv6 サポートをはじめとするその他の機能拡張が容易になります。

階層的な出力により、平面的な構造の場合よりコンフィギュレーション ファイルが読みやすくなります。

ここでは、次の項目について説明します。

「影響を受けるコマンド」

「コマンドの変更の説明」

「アップグレード要件」

「変更の影響」

影響を受けるコマンド

PIX Security Appliance Version 7.0 へのアップグレードでは、次のコマンドが影響を受けます。

interface

nameif

ip address

コマンドの変更の説明

PIX Version 6.3 の auto キーワードは、PIX Security Appliance Version 7.0 では speed auto と duplex auto の 2 行の設定になっています。どちらの行もデフォルト設定であるため、表示はされません。

表8 に、設定のアップグレード例を示します。また、 表9 に interface コマンドの変更内容を示し、 表10 に interface のコンフィギュレーション モードの変更内容を示します。

 

表8 設定のアップグレード例

PIX Version 6.3
PIX Security Appliance Version 7.0
interface ethernet0 auto
interface ethernet1 auto
interface ethernet1 vlan101 logical
interface ethernet1 vlan102 physical
interface ethernet2 auto shutdown
 
nameif ethernet0 outside security0
nameif vlan101 dmz security50
nameif vlan102 inside security100
 
ip address outside 171.45.0.13
ip address dmz 10.1.32.12
ip address inside 192.168.15.12
interface Ethernet0
nameif outside
security-level 0
ip address 171.45.0.13
interface Ethernet1
no nameif
no security-level
no ip address
interface Ethernet1.101
vlan 101
nameif dmz
security-level 50
ip address 10.1.32.12
interface Ethernet1.102
vlan 102
nameif inside
security-level 100
ip address 192.168.15.12
interface Ethernet2
shutdown
no nameif
no security-level
no ip address

 

表9 interface コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
interface
interface <hardware_id> [<hardware_speed> [shutdown]]
interface <type><port>

<hardware_speed> は、duplex と
speed の各コンフィギュレーション モード コマンドによって設定されます。

[shutdown] は shutdown コンフィギュレーション モード コマンドによって実行されます。

[no] interface <hardware_id> <vlan_id> [logical | physical] [shutdown]
[no] interface <type><port>.<subif_number>

<vlan_id> は、vlan コンフィギュレーション モード コマンドによって設定されます。

interface <hardware_id> change-vlan <old_vlan_id> <new_vlan_id>

vlan <new_vlan_id> コンフィギュレーション モード コマンドを使用

--

 

表10 interface のコンフィギュレーション モード コマンド

interface の
コンフィギュレーション モード
コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
duplex

interface コマンドの一部である <hardware_speed> オプション

duplex {auto | full | half}
no duplex [auto | full | half]

新しい interface のコンフィギュレーション モード コマンドです。

ip address
[no] ip address <if_name> <ip_address> [<netmask>]
[no] ip address <ip_address> [<netmask>] [standby <stdby_address>]

interface のコンフィギュレーション モード コマンドに変換されます。

[no] ip address <if_name> dhcp [setroute] [retry <retry_cnt>]
[no] ip address dhcp [setroute] [retry <retry_cnt>]

--

nameif
[no] nameif {<hardware_id> | <vlan_id>} <if_name> <security_level>
nameif <if_name>
[no] nameif [<if_name>]

interface のコンフィギュレーション モード コマンドに変換されます。

<security_level> は、security-level コンフィギュレーション モード コマンドによって設定されます。

security-level

nameif コマンドの一部である <security_level> オプション

security-level <level>
[no] security-level [<level>]

新しい interface のコンフィギュレーション モード コマンドです。

shutdown

interface コマンドの一部である shutdown オプション

[no] shutdown

新しい interface のコンフィギュレーション モード コマンドです。

speed

interface コマンドの一部である <hardware_speed> オプション

speed {auto | 10 | 100 | 1000}
no speed [auto | 10 | 100 | 1000]

新しい interface のコンフィギュレーション モード コマンドです。

vlan

interface コマンドの一部である <vlan_id> オプション

vlan <id>
no vlan [<id>]

新しい interface のコンフィギュレーション モード コマンドです。

アップグレード要件

PIX Version 6.3 のコンフィギュレーション ファイル内にある interface、nameif、ip address の各コマンドは、PIX Security Appliance Version 7.0 へのアップグレード時に自動的に変換されます。手動の操作は不要です。

sysopt connection permit-pptp コマンドと sysopt connection permit-l2tp コマンドは、PIX Security Appliance Version 7.0 ではサポートされません。

変更の影響

PIX Security Appliance Version 7.0 イメージを使用してシステムをブートした後は、新しい interface の CLI のみが受け入れられます。古い CLI 形式を使用しようとすると、構文エラーが発生します。

アクセス コントロール リスト(ACL)

PIX Security Appliance Version 7.0 では、アクセス リストをコンパイルする必要がなくなりました。アクセス リストの処理はシステムで自動的に最適化されます。

ここでは、次の項目について説明します。

「影響を受けるコマンド」

「アップグレード要件」

「コマンドの変更の説明」

「変更の影響」

影響を受けるコマンド

PIX Security Appliance Version 7.0 へのアップグレードでは、次のコマンドが影響を受けます。

access-list <id> compiled

access-list compiled

アップグレード要件

アクセス コントロール リスト(ACL)のコマンドは、PIX Security Appliance Version 7.0 へのアップグレード時に自動的に変換されます。手動の操作は不要で、影響を受ける機能もありません。

コマンドの変更の説明

表11 に、access-list コマンドの変更内容を示します。

access-list

 

表11 access-list コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
access-list
[no] access-list compiled

サポートされていない

--

[no] access-list <id> compiled

サポートされていない

--

変更の影響

ここでは、この変更が PIX Security Appliance Version 7.0 の ACL に及ぼす影響について説明します。

compiled オプションを使用するすべてのアクセス リスト設定文はパーサーで無視されます。これは、常にルックアップが効率的に実行される状態にアクセス リストが維持されているために、このオプションが効果を持たないことによります。アクセス リスト設定の他のすべての文は受け入れられ、PIX Version 6.3 の場合と同様に動作します。

PIX Version 6.3 の compiled キーワード付きの設定行は、新しいパーサーでは受け入れられません。次の例に示すようなエラー メッセージが表示され、その文は実行コンフィギュレーションに保存されません。

pix(config)# access-list compiled
ERROR:% Incomplete command
 

上記のエラー文は、compiled がキーワードではなくなり、アクセス リストの名前として扱われたために発生しています。

pix(config)# access-list 888 compiled
 
WARNING:% This command has been DEPRECATED. The access-lists are always maintained in optimized form
 

compiled キーワードが削除されたため、この設定行は無効になり、パーサーに受け入れられません。

その他のすべてのアクセス リストの設定は、シームレスにアップデートされます。

VPN

ユーザとグループの階層構造をサポートするために、isakmp、crypto-map、vpngroup などの VPN コマンドが追加されました。階層構造の導入により、ユーザ固有のポリシーによるグループ ポリシーのオーバーライドが可能になり、ユーザ グループ単位で柔軟にセキュリティ ポリシー情報を定義できるようになります。また、トンネルグループとグループ ポリシーの区別により、ポリシー情報全体をセキュリティ アプライアンスで設定する場合とは対照的に、このような情報の多くを外部サーバにオフロードすることができます。

さらに、ca コマンドと vpdn コマンドが次のように変更されています(「コマンドの変更の説明」を参照)。

ca コマンド:認証局(ca)コマンドが変更され、より多くの PKI 機能が組み込まれるとともに、Cisco IOS ソフトウェアのコマンドにより近くなりました。ca コマンドの変更の詳細については、「公開キー インフラストラクチャ(PKI)」を参照してください。

vpdn コマンド:vpdn コマンドの多くの設定機能はグループの階層に移ったため、このコマンドは削除されました。PIX Security Appliance Version 7.0 では、古い VPDN オブジェクトのグループ レベルでの設定は、tunnel-group コマンドと group-policy コマンドによって実行されます。


注意 PIX Version 6.3 でスプリット トンネリングがイネーブルになっており、スプリット トンネル リストに使用される ACL が送信元 IP と宛先 IP を持つ拡張 ACL である場合、そのスプリット トンネル リストを適用するコマンドは失敗します。スプリット トンネルの ACL は標準の ACL でなければならないため、そのようなスプリット トンネル リストは適用されません。この問題を解決するには、拡張 ACL を標準 ACL に変換し、暗号化するネットワークのみを ACL で指定します。

ここでは、次の項目について説明します。

「影響を受けるコマンド」

「アップグレード要件」

「コマンドの変更の説明」

「変更の影響」

影響を受けるコマンド

PIX Security Appliance Version 7.0 へのアップグレードでは、次のコマンドが影響を受けます。

ca(「公開キー インフラストラクチャ(PKI)」を参照)

crypto dynamic-map

crypto ipsec

crypto-map

isakmp

url-server

vpdn

vpngroup

アップグレード要件

ほとんどの VPN コマンドは、手動操作をしなくても、PIX Security Appliance Version 7.0 へのアップグレード時に自動的に変換されます。

コマンドの変更の説明

ca、crypto dynamic-map、crypto ipsec、crypto map、isakmp、vpdn、vpngroup の各コマンドの変更内容を、順に、 表12 表13 表14 表15 表16 表17 表18 に示します。

 

表12 ca コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
ca
ca authenticate <ca_nickname> [<fingerprint>]
crypto ca authenticate <trustpoint>
[fingerprint <hex value>]
[nointeractive]

--

 
[no] ca crl request <ca_nickname>
crypto ca crl request <trustpoint>

--

 
[no] ca enroll <ca_nickname>
<challenge_password> [serial] [ipaddress]
crypto ca trustpoint <name>
[no] ip-address <address>
[no] serial-number
password <password>
exit
crypto ca enroll <name>

--

 
ca generate rsa {key | specialkey}
<key_modulus_size>
crypto key generate rsa [usage-keys | general-keys]
[label <key-pair-label>]
[modulus <size>]
[noconfirm]

--

 
[no] ca identity <ca_nickname>
[<ca_ipaddress> | <hostname>
[:<ca_script_location>]
[<ldap_ip address> | <hostname>]]
crypto ca trustpoint <name>
enroll url <ip_address|hostname>[:<ca_script_location>]
crl
ldap_defaults <ldap_ip|hostname>
exit
exit

--

 
[no] ca save all

サポートされていない

証明書とキーは設定の保存時に必ず保存されます。

 
[no] ca subject-name
<ca_nickname> <X.500_string>
crypto ca trustpoint <name>
[no] subject-name <X.500 string>

--

 
ca zeroize rsa [<keypair_name>]
crypto key zeroize rsa|dsa [label <key-pair-label>]
[noconfirm]

--

 
ca generate rsa key <modulus>
crypto key generate rsa [usage-keys | general-keys]
[label <key-pair-label>]
[modulus <size>]
[noconfirm]

--

 
ca generate rsa specialkey <size>
crypto key generate rsa usage-keys modulus <size>

--

 
[no] ca configure <ca_nickname> ca | ra
<retry_period> <retry_count> [crloptional]
crypto ca trustpoint <trustpoint name>
enrollment retry period <minutes>
enrollment retry count <num>
crl configure

リトライ間隔と回数は、
trustpoint コンフィギュレーション モードによって設定されるようになりました。crl 設定は、trustpoint コンフィギュレーション モードからアクセス可能な追加のコンフィギュレーション モードです。

 
[no] ca verifycertdn <x.500 string>
crypto ca verifycertdn <x.500 string>

--

crypto dynamic-map

 

表13 crypto dynamic-map コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
crypto dynamic-map
[no] crypto dynamic-map <dynamic-map-name> <dynamic-seq-num> match address <acl_name>
[no] crypto map <dynamic-map-name> <dynamic-seq-num> match address <acl_name>

Diffie-Hellman(DH)グループ タイプがさらに追加されました。

[no] crypto dynamic-map <dynamic-map-name> <dynamic-seq-num> set peer <hostname> | <ip_address>
[no] crypto map <dynamic-map-name> <dynamic-seq-num> set peer {<ip_address> | <hostname>}

--

[no] crypto dynamic-map <dynamic-map-name> <dynamic-seq-num> set pfs [group1 | group2]
[no] crypto map <dynamic-map-name> <dynamic-seq-num> set pfs [group1 | group2 | group5 |group7]

--

[no] crypto dynamic-map <dynamic-map-name> <dynamic-seq-num> set security-association lifetime seconds <seconds> | kilobytes <kilobytes>
[no] crypto map <dynamic-map-name> <dynamic-seq-num> set security-association lifetime seconds <seconds> | kilobytes <kilobytes>

--

[no] crypto dynamic-map <dynamic-map-name> <dynamic-seq-num> set transform-set <transform-set-name1> [<transform-set-name9>]
[no] crypto map <dynamic-map-name> <dynamic-seq-num> set transform-set <transform-set-name1> [... <transform-set-name6>]

--

crypto ipsec

 

表14 crypto ipsec コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
crypto ipsec
[no] crypto ipsec security-association lifetime seconds <seconds> | kilobytes <kilobytes>
[no] [crypto] ipsec security-association lifetime seconds <seconds> | kilobytes <kilobytes >

認証ヘッダー(AH)のサポートがなくなりました。


) この ipsec コマンドの単独バージョンは、crypto バージョンと同じ動作をします。


次のコマンドが追加されました。

[crypto] ipsec df-bit [clear-df | copy-df | set-df] <interface-name>

[crypto] ipsec fragmentation [after-encryption | before-encryption] <interface-name>

clear configure [crypto] ipsec transform-set <transform-set-name>

show [crypto] ipsec stats

show [crypto] ipsec df-bit <interface-name>

show [crypto] ipsec fragmentation <interface-name>

crypto ipsec transform-set < transform-set-name> <transform1> [<transform2> [<transform3>]]
[no] [crypto] ipsec transform-set <transform-set-name> transform1 [transform3]
[no] crypto ipsec transform-set <trans-name> [ah-md5-hmac | ah-sha-hmac] [esp-aes | esp-aes-192 | esp-aes-256| esp-des | esp-3des| esp-null] [esp-md5-hmac | esp-sha-hmac | esp-none]
[no] [crypto] ipsec transform-set <transform-set-name> [esp-aes |esp-aes-192 | esp-aes-256| esp-des | esp-3des| esp-null] [esp-md5-hmac | esp-sha-hmac | esp-null]
crypto ipsec transform-set <transform-set-name> mode transport
[no] [crypto] ipsec transform-set <transform-set-name> mode transport [crypto] ipsec df-bit [clear-df | copy-df | set-df] <interface-name>

crypto map

 

表15 crypto map コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
crypto map
[no] crypto map <map-name> interface <interface-name>
[no] crypto map <map-name> interface <interface-name>

次のコマンドのサポートがなくなりました。

[no] crypto map <map-name> <seq-num> set session-key inbound | outbound ah <spi> <hex-key-string>

 

[no] crypto map <map-name> <seq-num> set session-key inbound | outbound esp <spi> <cipher hex-key-string> [authenticator <hex-key-string>]

 

Diffie-Hellman(DH)グループの指定に新しいグループ番号が追加されました。

指定するピア数に 10 という制限が追加されました。追加の 9 個のピアは、デバイスが
connection-type パラメータによって「発信専用」モードで使用される場合に、フォールバック ピアとして使用されます。


) map コマンドの単独バージョンは crypto バージョンと同じ動作をします。


 

[no] crypto map <map-name> client [token] authentication <aaa-server-name>

非推奨

[no] crypto map <map-name> <seq-num> ipsec-isakmp | ipsec-manual [dynamic <dynamic-map-name>]
[no] crypto map <map-name> <seq-num> ipsec-isakmp dynamic <dynamic-map-name>
[no] crypto map <map-name> <seq-num> set pfs [group1 | group2]
[no] crypto map <map-name> <seq-num> set pfs [group1 | group2 | group5 |group7]
[no] crypto map <map-name> <seq-num> match address <acl_name>
[no] crypto map <map-name> <seq-num> match address <acl_name>
[no] crypto map <map-name> <seq-num> set peer {<ip_address> | <hostname>}
[no] crypto map <map-name> <seq-num> set peer {ip_address1 | hostname1} [..ip_address10 | hostname10]
[no] crypto map <map-name> <seq-num> set security-association lifetime seconds <seconds> | kilobytes <kilobytes>
[no] crypto map <map-name> <seq-num> set security-association lifetime seconds <seconds> | kilobytes <kilobytes>
[no] crypto map map-name seq-num set transform-set <transform-set-name1>
[<transform-set-name6>]
[no] crypto map <map-name> <seq-num> set transform-set <transform-set-name1>
[.. <transform-set-name6>]
[no] crypto map <map-name> client configuration address initiate | respond

サポートされていない

isakmp

 

表16 isakmp コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
isakmp
isakmp keepalive <seconds> [<retry-seconds>]
tunnel-group <group name> type ipsec-ra|ipsec-l2l
tunnel-group <group name> ipsec-attributes
isakmp keepalive [threshold <seconds>][retry <seconds>]

--

isakmp key <keystring> address <peer-address> [netmask <mask>] [no-xauth] [no-config-mode]
tunnel-group <group name> type ipsec-l2l
tunnel-group <group name> ipsec-attributes
pre-shared-key <preshared key>

isakmp コマンドは、LAN 間トンネルの事前共有キーの設定に使用されていました。この処理は、一般に LAN 間トンネルとリモート アクセス トンネルの両方で、
tunnel-group コマンドを使用して実行されるようになりました。

isakmp client configuration address-pool local <pool-name> [<interface-name>]
tunnel-group <group name> type ipsec-l2l
tunnel-group <group name> general-attributes
address-pool [(interface name)] <address_pool1> [...<address-pool6>]

--

isakmp peer fqdn | ip <fqdn | ip-address> {no-xauth |no-config-mode}
tunnel-group <group name> type ipsec-l2l|ipsec-ra

トンネルグループの定義では、
Xauth と modecfg は暗黙的に除外されます。トンネルグループが ipsec-l2l として定義されている場合、Xauth と modecfg は自動的に除外されます。

PIX Security Appliance Version 7.0 では、ISAKMP のデフォルト ポリシーが非表示ではなくなることに注意してください。ISAKMP のデフォルト ポリシーは実行コンフィギュレーションに表示され、保持、修正、削除が可能になっています。

PIX Version 6.3 の構文:

Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
 

PIX Security Appliance Version 7.0 の構文:

isakmp policy 65535 authentication rsa-sig
isakmp policy 65535 encryption des
isakmp policy 65535 hash sha
isakmp policy 65535 group 1
 
isakmp policy 65535 lifetime 86400
 

vpdn

 

表17 vpdn コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
vpdn

vpdn group <group_name>

pptp echo <echo_time>

サポートされていない

PIX Security Appliance Version 7.0 では PPTP はサポートされません。

vpdn group <group_name> accept dialin l2tp

group-policy または username のいずれかのアトリビュートコンフィギュレーション モードで、次のように指定:

vpn-tunnel-protocol <webvpn|IPSec|L2TP/IPSec>

group-policy または username コンフィギュレーション モードの構文に変換されます。

L2TP は IPSec 上でのみサポートされるため、L2TP をグローバルに除外する必要はありません。PIX Security Appliance Version 7.0 では、username の設定が
group-policy の設定より優先される場合に、ユーザまたはグループ単位の L2TP のイネーブル化/ディセーブル化が許可されます。

vpdn group <group_name> accept dialin pptp

サポートされていない

PIX Security Appliance Version 7.0 では PPTP はサポートされません。

vpdn group <group_name>

[client configuration address local <address_pool_name>]

tunnel-group <group name> type ipsec-ra
tunnel-group <group name> general-attributes
address-pool [(interface name)] <address_pool1> [...<address-pool6>]

tunnel-group の構文に変換されます。

vpdn group <group_name> client configuration <dns dns_ip1> [<dns_ip2>]

group-policy のアトリビュートコンフィギュレーション モードで次のように指定:

[no] dns-server value <ip_address> [ip_address]

group-policy のアトリビュート コンフィギュレーション モードに変換されます。

ユーザ固有の設定はできません。

vpdn group <group_name> client configuration wins <wins_ip1> [<wins_ip2>]

group-policy のアトリビュート コンフィギュレーション モードで次のように指定:

[no] wins-server value <ip_address> [ip_address]

group-policy のアトリビュート コンフィギュレーション モードに変換されます。

ユーザ固有の設定はできません。

vpdn group <group_name> client authentication local | aaa <auth_aaa_group>

tunnel-group <group name> type ipsec-ra
tunnel-group <group name> general-attributes
[no] authentication-server-group [(interface id)] <server group> [LOCAL]

tunnel-group の構文に変換されます。

vpdn group <group_name> client accounting aaa <auth_aaa_group>

tunnel-group <group name> type ipsec-ra
tunnel-group <group name> general-attributes
[no] accounting-server-group <server group>

tunnel-group の構文に変換されます。

vpdn group <group_name>

l2tp tunnel hello <hello_timeout>

l2tp tunnel hello <hello_timeout>

l2tp tunnel hello <hello timeout> コマンドに変換されます。

vpdn enable <if_name>

サポートされていない

不要。すべての PPP トラフィックは IPSec によってカプセル化されます。

vpdn group <group_name> ppp authentication pap|chap|mschap

tunnel-group <name> ppp-attributes
authentication pap|chap|mschap

tunnel-group の構文に変換されます。

vpdn group <group_name> ppp encryption mppe 40 | 128| auto [required]

サポートされていない

不要。すべての PPP トラフィックは IPSec によってカプセル化されます。

show vpdn tunnel [l2tp|pptp|pppoe]

[id <tnl_id> | packets | state

| summary | transport]

show vpn-sessiondb [detail] [full]
{remote | l2l} [filter {name username | ipaddress IPaddr| a-ipaddress IPaddr| p-ipaddress IPaddr| tunnel-group groupname | protocol protocol-name | encryption encryption-algo}]
[sort {name | ipaddress | a-ipaddress | p-ipaddress | tunnel-group | protocol | encryption}]

vpn-sessiondb コマンドによって機能が置き換えられました。

show vpdn session [l2tp|pptp|pppoe]

[id <sess_id> | packets | state| window]

show vpn-sessiondb [detail] [full]
{remote | l2l} [filter {name username | ipaddress IPaddr| a-ipaddress IPaddr| p-ipaddress IPaddr| tunnel-group groupname | protocol protocol-name | encryption encryption-algo}]
[sort {name | ipaddress | a-ipaddress | p-ipaddress | tunnel-

vpn-sessiondb コマンドによって機能が置き換えられました。

show vpdn pppinterface [id <dev_id>]

show vpn-sessiondb [detail] [full]
{remote | l2l} [filter {name username | ipaddress IPaddr| a-ipaddress IPaddr| p-ipaddress IPaddr| tunnel-group groupname | protocol protocol-name | encryption encryption-algo}]
[sort {name | ipaddress | a-ipaddress | p-ipaddress | tunnel-

vpn-sessiondb コマンドによって機能が置き換えられました。

clear vpdn [group | interface|

tunnel <tnl_id> | username]

vpn-sessiondb logoff
{l2tp | ipsec | l2l | name username | ipaddress IPaddr | tunnel-group groupname | all}

vpn-sessiondb コマンドによって機能が置き換えられました。

vpdn group <group_name> request dialout pppoe

サポートされていない

PPOE 専用ですが、このリリースでは PPOE はサポートされません。

show vpngroup [<group_name>]

show running-config tunnel-group and show running-config group-policy

--

vpngroup

 

表18 vpngroup コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0

vpngroup

vpngroup <group_name>

address-pool <pool_name>

tunnel-group <group name> type ipsec-l2l
tunnel-group <group name> general-attributes
address-pool [(interface name)] <address_pool1> [...<address-pool6>]

tunnel-group の構文に変換されます。

vpngroup <group_name>

authentication-server <servers>

サポートされていない

PIX Version 6.3 では、ハードウェア クライアントで使用される機能である個別ユーザ認証(IUA)用に AAA サーバのアドレスを渡すために使用されていました。PIX Security Appliance Version 7.0 では、ハードウェア クライアントの AAA 要求がプロキシで処理されるため、常に自分自身のアドレスが送信されます。

vpngroup <group_name> backup-server

{<{ip1> [<ip2> ... <ip10>]} | clear-client-cfg}

group-policy のアトリビュート コンフィギュレーション モードで次のように指定:

[no] backup-servers <peer1 peer2 .....peer10> | clear-client-config | keep-client-config

group-policy の構文に変換されます。

vpngroup <group_name>

default-domain <domain_name>

group-policy のアトリビュート コンフィギュレーション モードで次のように指定:

[no] default-domain value <domain-name>

group-policy の構文に変換されます。

vpngroup <group_name> device-pass-through

group-policy のアトリビュート コンフィギュレーション モードで次のように指定:

ip-phone-bypass <enable|disable>
leap-bypass <enable|disable>

group-policy の構文に変換されます。

IUA 免除は MAC アドレス ベースではなくなりました。管理者は、Cisco IP Phone や 任意の LEAP データを選択して IUA を免除することができます。

vpngroup <group_name>

dns-server <dns_ip_prim> [<dns_ip_sec>]

group-policy のアトリビュート コンフィギュレーション モードで次のように指定:

[no] dns-server value <ip_address> [ip_address]

group-policy の構文に変換されます。

vpngroup <group_name>

idle-time <idle_seconds>

group-policy のアトリビュート コンフィギュレーション モードで次のように指定:

[no] vpn-idle-timeout <minutes> | none

group-policy の構文に変換されます。

vpngroup <group_name>

max-time <max_seconds>

group-policy のアトリビュート コンフィギュレーション モードで次のように指定:

[no] vpn-session-timeout <minutes> | none

group-policy の構文に変換されます。

vpngroup <group_name>

password <preshared_key>

tunnel-group <group name> type ipsec-ra
tunnel-group <group name> ipsec-attributes
pre-shared-key <preshared key>

tunnel-group の構文に変換されます。

vpngroup <group_name> pfs

group-policy のアトリビュート コンフィギュレーション モードで次のように指定:

pfs <enable|disable>

group-policy の構文に変換されます。

vpngroup <group_name>

secure-unit-authentication

group-policy のアトリビュート コンフィギュレーション モードで次のように指定:

secure-unit-authentication <enable|disable>

group-policy の構文に変換されます。

vpngroup <group_name>

split-dns <domain_name1>

[<domain_name2> ... <domain_name8>]

group-policy のアトリビュート コンフィギュレーション モードで次のように指定:

[no] split-dns value <domain_name1 domain_name2 ... domain_nameN>

group-policy の構文に変換されます。

vpngroup <group_name> split-tunnel <access_list>

group-policy のアトリビュート コンフィギュレーション モードで次のように指定:

[no] split-tunnel-network-list value <access-list name>

group-policy の構文に変換されます。

vpngroup <group_name> user-authentication

group-policy のアトリビュート コンフィギュレーション モードで次のように指定:

user-authentication <enable|disable>

group-policy の構文に変換されます。

vpngroup <group_name>

user-idle-timeout <user_idle_seconds>

group-policy のアトリビュート コンフィギュレーション モードで次のように指定:

[no] user-authentication-idle-timeout <minutes> | none

group-policy の構文に変換されます。

vpngroup <group_name>

wins-server <wins_ip_prim> [<wins_ip_sec>]

group-policy のアトリビュート コンフィギュレーション モードで次のように指定:

[no] wins-server value <ip_address> [ip_address]

group-policy の構文に変換されます。

show vpngroup [<group_name>]

show running-config [default] tunnel-group [<name> [general-attributes | ipsec-attributes | ppp-attributes]]
 
show running-config [default] group-policy [<name> [attributes]]

tunnel-group および
group-policy の構文に変換されます。どちらのコマンドも、vpngroup コマンドの置換に使用されます。

変更の影響

ここでは、この変更が PIX Security Appliance Version 7.0 の CLI コマンドに及ぼす影響について説明します。

トラストポイント:PIX Security Appliance Version 7.0 では、トラストポイントの概念と構文が新しくなっています。トラストポイントは、一対の CA 証明書と ID 証明書で構成されます。トラストポイントにより、複数の CA 証明書、および PIX Security Appliance Version 7.0 上の複数の ID 証明書の設定と使用が可能になります。PIX Version 6.3 では 1 つの ID 証明書の設定と使用のみがサポートされていました。CLI の変更例を次に示します。

PIX Version 6.3 の構文:

ca identity myca 10.10.10.100 10.10.10.110
ca configure myca ca 3 3
 

PIX Security Appliance Version 7.0 の構文:

crypto ca trustpoint myca
enroll url 10.10.10.100
enrollment mode ca
enrollment retry period 3
enrollment retry count 3
crl required
crl
ldap_defaults 10.10.10.110
exit
exit
 

グループ管理:vpngroup コマンドが tunnel-group コマンドと group-policy コマンドに置き換えられました。設定データが tunnel-group と group-policy に分割されましたが、これはグループ ポリシーの共有を容易にするためです。トンネルグループは、一般に VPN ピアまたはピアのグループに結び付けられます。その後、グループ ポリシーは、1 つのトンネルグループまたは複数のトンネルグループに適用されます。また、グループ ポリシーを外部のポリシー サーバで保存、管理できるという利点もあります。使用されているすべての vpngroup コマンドは、自動的に tunnel-group コマンドと group-policy コマンドに変換されます。次に、新しい構文に変換された vpngroup コマンドの例をいくつか示します。

PIX Version 6.3 の構文:

vpngroup group1 address-pool pool1
vpngroup group1 password mypassword
 

PIX Security Appliance Version 7.0 の構文:

tunnel-group group1 type ipsec-ra
tunnel-group group1 general-attributes
address-pool pool1
tunnel-group group1 ipsec-attributes
pre-shared-key mypassword
 

PIX Version 6.3 の構文:

crypto map map_name client authenticate aaa_server_group_name
 

PIX Security Appliance Version 7.0 の構文:

tunnel-group group1 type ipsec-ra
tunnel-group group1 general-attributes
authentication-server-group myservergroup
 

PPP ユーザの設定:PPP は L2TP で使用する場合にのみサポートされ、L2TP は IPSec を使用して実行する場合にのみサポートされます。IPSec を使用した L2TP は、ネイティブの Microsoft VPN クライアントでサポートされる IPSec のタイプです。vpdn コマンドを使用した PPP ユーザの設定がサポートされなくなり、このコマンドは PIX Security Appliance Version 7.0 では非推奨になっています。この廃止された構文は、次の各コマンドに移行されています。

トンネル固有の設定データは、tunnel-group/group-policy 構文で設定されます。

すべてのアクティブ セッション データのクエリーの監視と管理は、vpn-sessiondb 構文を使用して設定されます。

username 構文により、ローカル AAA データベースにユーザ エントリが作成されます。

リモート ピア:PIX Version 6.3 から PIX Security Appliance Version 7.0 にアップグレードすると、PIX で接続にエラーが発生し、ダイナミック暗号マップ上の証明書を持った IOS ピアからのリモート接続が終了されます。これを解決するには、接続元の IOS ピアを強制的に ipsec-l2l グループにするように設定を変更します。

次の例は、 PIX Security Appliance Version 7.0 へのアップグレードを実行した後で debug crypto isakmp 50 コマンドを入力したときの出力を示しています。

...
[IKEv1], IP = x.x.x.x , Connection landed on tunnel_group DefaultRAGroup
[IKEv1], Group = DefaultRAGroup, IP = x.x.x.x Xauth
required but selected Proposal does not support xauth, Check
priorities of ike xauth proposals in ike proposal list,
...

Xauth のディセーブル化/イネーブル化:PIX Version 6.3 では、ダイナミックまたはリモート アクセス(クライアント)トンネルで Xauth がデフォルトでディセーブルになっていたため、Xauth を使用していなければ、これによって設定が影響を受けることはありません。PIX Security Appliance Version 7.0 にアップグレードすると、デフォルトのリモート アクセス トンネルグループで Xauth がデフォルトでイネーブルになり、トンネルをローカル データベースに対して認証しようとします。PIX Version 6.3 で Xauth を使用しないダイナミック VPN トンネルを終了する場合は、アップグレードの後で設定に次の情報を追加し、Xauth を停止する必要があります。

デフォルト グループの場合:

tunnel-group DefaultRAGroup general-attributes
authentication-server-group none
 

追加のトンネルグループが変換されている場合は、各トンネルグループに次のコマンドを追加する必要があります。

tunnel-group <group_name> general-attributes
authentication-server-group none
 

フェールオーバー

セキュリティ アプライアンスの高可用性の管理に使用されるコマンドに、多くの変更が加えられています。PIX Security Appliance Version 7.0 で failover コマンドが変更された主な理由は、Cisco Service Module とセキュリティ アプライアンスのコマンド インターフェイスを統一するためです。


注意 ステートフル フェールオーバー アップデートのリンクと内部インターフェイスなどの通常トラフィックのリンクが共通で使用されている場合、PIX Security Appliance Version 7.0 ではこのような設定がサポートされないため、アップグレード前に設定を変更する必要があります。PIX Security Appliance Version 7.0 では、LAN フェールオーバーとステートフル フェールオーバーのアップデート インターフェイスはそれぞれ専用のインターフェイスとして扱われます。PIX Version 6.3 で 1 つのインターフェイスが通常のトラフィックとステートフル フェールオーバー アップデートの両方のインターフェイスとして使用されている場合は、この設定を変更しないと、アップグレード後に通常のトラフィックのインターフェイスに関連する設定が失われます。この設定が失われることによって、ネットワーク経由でセキュリティ アプライアンスに接続できなくなるおそれがあります。

ここでは、次の項目について説明します。

「特記事項」

「影響を受けるコマンド」

「アップグレード要件」

「コマンドの変更の説明」

特記事項

PIX Security Appliance Version 7.0 では、ステートフル フェールオーバー インターフェイスと通常のファイアウォール インターフェイスを共通で使用する設定はサポートされません。この制限は PIX Version 6.3 以前のバージョンでは強制されていませんでした。PIX をこのような共有設定にしている場合は、PIX Security Appliance Version 7.0 へのアップグレード後に、ファイアウォールのインターフェイスに関する設定が失われます。

たとえば、次の行を含むコンフィギュレーション ファイルを持つ PIX をアップグレードするとします。

nameif ethernet1 inside security100
failover link inside
static (inside,outside) 172.33.12.10 192.168.10.1 netmask 255.255.255.255 0 0
 

インターフェイス「inside」はステートフル フェールオーバーと通常のトラフィックの両方に使用されます。アップグレード後は、static コマンドをはじめ、インターフェイス「inside」を使用するその他のすべてのコマンドを含む行が失われます。

設定が失われないようにするには、PIX Security Appliance Version 7.0 にアップグレードする前に、ステートフル フェールオーバーを別の物理インターフェイスに移動するか、no failover link <interface> コマンドを発行してステートフル フェールオーバーをディセーブルにし、write memory コマンドを使用してその設定をフラッシュ メモリに保存します。

影響を受けるコマンド

PIX Security Appliance Version 7.0 へのアップグレードでは、次のコマンドが影響を受けます。

failover

アップグレード要件

すべての failover コマンドは、PIX Security Appliance Version 7.0 へのアップグレード時に自動的に変換されます。手動の操作は不要です。


) PIX Security Appliance Version 7.0 では、アクティブ/アクティブのフェールオーバー構成で、クロスケーブルとシリアル フェールオーバー ケーブルの両方がサポートされます。


コマンドの変更の説明

表19 に、failover コマンドの変更内容を示します。

failover

 

表19 failover コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0

failover

failover poll <sec>

failover polltime [unit] [msec] <sec_and_msec> [holdtime <sec>]

--

no failover poll [<sec>]

no failover polltime unit| interface [<sec>]

--

[no] failover ip address <intf> [<ipaddr>]

サポートされていない

interface コマンドの IP アドレスの「standby」オプションを使用します。

failover lan interface <intf>

[no] failover lan interface <intf> <main_or_sub_intf>

--

failover link <intf>

failover link <intf> [<main_or_sub_intf>]

--

failover lan key <secret>

[no] failover key <key>

--

変更の影響

ここでは、フェールオーバーの変更が PIX Security Appliance Version 7.0 の CLI コマンドに及ぼす影響について説明します。

failover ip address コマンドは、interface コマンドの ip address コンフィギュレーション モード コマンドの下位にある standby オプションに置き換えられました。次の例を参考にしてください。

PIX Version 6.3 の構文:

interface ethernet0 100full
nameif ethernet0 outside security0
ip address outside 10.0.1.1 255.255.0.0
failover ip address outside 10.0.1.11
 

PIX Security Appliance Version 7.0 の構文:

interface e0
nameif outside
ip address 10.0.1.1 255.255.255.0 standby 10.0.1.11
exit
!
 

failover lan のインターフェイスと failover link コマンドも同じように変更されました。

PIX Version 6.3 の構文:

interface ethernet3 auto
nameif ethernet3 stlink security0
ip address stlink 10.0.4.1 255.255.0.0
failover ip address stlink 10.0.4.11
failover link stlink
interface ethernet4 auto
nameif ethernet4 folink security0
ip address folink 10.0.5.1 255.255.0.0
failover ip address outside 10.0.5.11
failover lan int folink
 

PIX Security Appliance Version 7.0 の構文:

failover lan interface folink e4
failover link stlink e3
failover interface ip folink 10.0.5.1 255.255.255.0 standby 10.0.5.11
failover interface ip stlink 10.0.4.1 255.255.255.0 standby 10.0.4.11
 

PIX Security Appliance Version 7.0 では、 failover lan key <key> コマンドが failover key <key> コマンドに変更されています。PIX Version 6.3 では、フェールオーバーの暗号化メッセージは LAN フェールオーバーに対してのみ適用することができました。PIX Security Appliance Version 7.0 では、フェールオーバーの暗号化メッセージをシリアル ケーブルのフェールオーバーにも適用できます。failover key <key> コマンドが LAN とシリアルの両方の暗号化フェールオーバーをサポートするようになったため、lan キーワードは削除されました。

PIX Version 6.3 では、failover poll コマンドでユニットの設定のみが指定されていたため、暗黙的に指定されているという理由から、unit は省略されていました。PIX Security Appliance Version 7.0 では、holdtime のサポートが追加されたため、unit と holdtime の各キーワードが追加されています。PIX Version 6.3 での構文(failover poll 3 など)も受け入れられますが、PIX Security Appliance Version 7.0 では自動的に変換されます(failover polltime unit 3 holdtime 9 など)。

PIX Security Appliance Version 7.0 では、VPN のフェールオーバーをイネーブルにするには、フェールオーバー キーを設定する必要があります。キーを設定しないと、VPN のフェールオーバーは自動的にディセーブルになります。キーを設定すると、VPN フェールオーバーは再び機能します。この変更は、セキュリティ上の理由から実装されました。

AAA

AAA の CLI には、次の機能のパラメータ設定が含まれます。ただし、すべての機能がこの変更によって直接影響を受けるわけではありません。

VPN のリモート アクセス ユーザ(IPSec、IPSec を使用した L2TP)

FTP、Telnet、HTTP、および HTTPS 用のカットスルー認証プロキシ

デバイス管理

AAA コマンドには、多くの変更とともに、PIX Security Appliance Version 7.0 での AAA の設定方法に影響を与えるパラダイム シフトも加えられています。このパラダイム シフトとは、サーバ固有のパラメータが設定されるようになったことを指します。PIX Version 6.3 では、サーバ パラメータはサーバ グループ単位で設定されていました。PIX Security Appliance Version 7.0 では、サーバ パラメータを AAA ホスト単位で設定できます(一部のパラメータは AAA サーバ グループ全体に対してのみ設定可能です)。

また、AAA サーバ グループを VPN トンネルにマッピングする方法でもパラダイム シフトがありました(これらの変更については、「VPN」を参照してください)。

ここでは、AAA の移行に関して、次の項目について詳しく説明します。

「影響を受けるコマンド」

「アップグレード要件」

「コマンドの変更の説明」

「変更の影響」

影響を受けるコマンド

PIX Security Appliance Version 7.0 へのアップグレードでは、次のコマンドが影響を受けます。

aaa-server

aaa-server radius-acctport

aaa-server radius-authport

auth-prompt

floodguard

アップグレード要件

aaa コマンドは、PIX Security Appliance Version 7.0 へのアップグレード時に自動的に変換されます。手動の操作は不要です。


) PIX Security Appliance Version 7.0 では、認可拒否が設定されると、FTP 接続は即座にリセットされます。PIX Version 6.3 では、FTP ログインの後で認可が拒否されていました。


コマンドの変更の説明

aaa-server、auth-prompt、floodguard の各コマンドの変更内容を、順に、 表20 表21 表22 に示します。

aaa-server

 

表20 aaa-server コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
aaa-server
[no] aaa-server radius-acctport [<acct_port>]
aaa-server <group tag> [<(if_name)>] host <server ip>
[no] accounting-port <port>

radius-acctport と radius-authport の値は、aaa-server のホスト固有のコンフィギュレーション モード コマンドの一部として設定されるようになりました。

これらの設定は、以前はサーバ グループ単位でしたが、ホスト単位になりました。

[no] aaa-server radius-authport [<auth_port>]
aaa-server <group tag> [<(if_name)>] host <server ip>
[no] authentication-port <port>
aaa-server <group name> [(if_name)] host server_ip [key] [timeout seconds]
aaa-server <group name> [(if_name)] host server_ip
key <key>
timeout <seconds>

aaa-server のコンフィギュレーション モード コマンドに、2 つの新しいコンフィギュレーション モード コマンド(key および timeout)が追加されました。

auth-prompt

 

表21 auth-prompt コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
auth-prompt
auth-prompt {<prompt> | accept | reject} <text>
auth-prompt {prompt | accept | reject} <text>

次のいずれかのキーワードが必須になりました。

{prompt | accept | reject}

no auth-prompt [<prompt> | accept | reject][<text>]
no auth-prompt {prompt | accept | reject} [<text>]

次のいずれかのキーワードが必須になりました。

{prompt | accept | reject}

floodguard

 

表22 floodguard コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
floodguard
[no] floodguard [enable|disable]

サポートされていない

次のメッセージが表示されます。
「This command is no longer needed.The floodguard feature is always enabled.」

show run floodguard
clear config floodguard

変更の影響

ここでは、この変更が PIX Security Appliance Version 7.0 の CLI コマンドに及ぼす影響について説明します。

PIX Security Appliance Version 7.0 では、ほとんどの AAA サーバ設定パラメータをホスト単位で設定できます。これにより、aaa server コマンドには、AAA ホスト固有のパラメータを設定するためのホスト コンフィギュレーション モードと、AAA サーバ グループ全体に対してのみ適用可能なパラメータを設定するためのグループ コンフィギュレーション モードができました。

次に例を示します。

aaa-server svrgrp1 protocol radius
aaa-server svrgrp1 host 10.10.10.1
timeout 30
retry 3
exit
aaa-server svrgrp1 host 10.10.10.2
timeout 60
retry 3
exit
 

PIX Security Appliance Version 7.0 では、次のコマンド形式は非推奨になっています。

[no] aaa-server radius-authport [auth_port]

[no] aaa-server radius-acctport [acct_port]

これらのコマンドは、RADIUS サーバが含まれるサーバ グループに対してのみ適用されるものですが、意味が変化しています。これらのコマンドは非推奨になったため、コンフィギュレーション ファイルには書き込まれません。これらのコマンドは、すべてのサーバのデフォルトの RADIUS 認証ポートとアカウンティング ポートのオーバーライドに使用できます(暗黙的なデフォルト値は、それぞれポート 1645 と 1646 です)。このグローバルなポート設定は、後からホスト固有のコンフィギュレーション モード コマンドでオーバーライドできます。

管理

新しいフラッシュ ファイルシステムの導入とともに、PIX システムの管理に使用されるコマンドに多くの変更が加えられています。新しいフラッシュ ファイルシステム、およびそのコマンドと機能の詳細については、『 Cisco PIX Security Appliance Command Reference, Version 7.0 』および『 Cisco Security Appliance CLI Configuration Guide, Version 7.0 』を参照してください。

ここでは、次の項目について説明します。

「影響を受けるコマンド」

「アップグレード要件」

「コマンドの変更の説明」

「変更の影響」

影響を受けるコマンド

PIX Security Appliance Version 7.0 へのアップグレードでは、次のコマンドが影響を受けます。

clear flashfs

copy capture

crashinfo

dhcpd auto_config

pager

pdm location

pdm group

pdm logging

show flashfs

ssh

telnet

tftp-server

アップグレード要件

管理コマンドは、PIX Security Appliance Version 7.0 へのアップグレード時に自動的に変換されます。手動の操作は不要です。

コマンドの変更の説明

copy、dhcp、pager、ssh、telnet、tftp-server の各コマンドの変更内容を、それぞれ、 表23 表24 表25 表26 表27 、および 表28 に示します。

copy

 

表23 copy コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
copy
copy capture:buffer name tftp URL [pcap]
copy [/pcap] capture:<bufferSpec> <URL>

<bufferSpec>: シングル モードでは、<buffername>

マルチモードでは、
[<context name>/]<buffername>


) PIX Version 6.3 の copy コマンドは、新しいフラッシュ ファイルシステムに対応するように拡張され、新しいパーサーを使用して実装されています。PIX Security Appliance Version 7.0 では、copy のオプションの構文が変更されています。PIX Version 6.3 では、copy のオプションは copy コマンドの最後に指定されていました。


dhcpd

 

表24 dhcpd コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
dhcpd
[no] dhcpd auto_config [<intf>]
[no] dhcpd auto_config <intf>

「intf」が必須のパラメータになりました。

pager

 

表25 pager コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
pager
terminal pager lines <lines>
terminal pager [lines] <lines>

既存の EXEC モード コマンドが変更され、lines キーワードがオプションになりました。

[no] pager lines <lines>
[no] pager [lines] <lines>

ssh

 

表26 ssh コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
ssh
[no] ssh <local_ip> [<mask> [<if_name>]]
[no] ssh <local_ip> <mask> <if_name>

「mask」と「if_name」が必須パラメータになりました。

telnet

 

表27 telnet コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
telnet
[no] telnet <local_ip> [<mask> [<if_name>]]
[no] telnet <local_ip> <mask> <if_name>

「mask」と「if_name」が必須パラメータになりました。

PIX Security Appliance Version 7.0 では、no telnet timeout [<num>] コマンドにより、telnet のタイムアウトがデフォルトの 5 に戻ります。また、clear conf telnet コマンドでも telnet のタイムアウトがデフォルトに戻ります。

PIX Security Appliance Version 7.0 では、help telnet および telnet timeout ? コマンドの出力が増え、デフォルト値も表示されるようになりました。

telnet timeout ? コマンドの出力例を次に示します。

sw1-535(config)# telnet timeout 1
sw1-535(config)# telnet 0 0 inside
sw1-535(config)# sho run telnet
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 1
sw1-535(config)# no telnet timeout
sw1-535(config)# sho run telnet
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 5
sw1-535(config)# telnet timeout 1
sw1-535(config)# sho run telnet
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 1
sw1-535(config)# clear conf telnet
sw1-535(config)# sho run telnet
telnet timeout 5
sw1-535(config)#

tftp-server

 

表28 tftp-server コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
tftp-server
tftp-server [<if_name>] <ip> <dir>
[no] tftp-server <if_name> <ip> <dir>

「if_name」が必須のパラメータになりました。

clear tftp-server

非推奨

TFTP サーバをクリアするには、no コマンドを使用します。

変更の影響

ここでは、フラッシュ ファイルシステムのコマンドの変更と、その注意事項を説明します。

すべてコマンドでは、フル パスを指定しない場合、パスは現在の作業ディレクトリへの相対パスであると想定されます。

/noconfirm オプションを指定すると、ファイルシステム コマンドの確認プロンプトが表示されません。

PIX Security Appliance Version 7.0 では、ファイルシステム コマンドはスタンバイ ユニットに複製されます。このようなコマンドには、rename、mkdir、rmdir、delete、copy running-config startup- config があります。

PIX Security Appliance Version 7.0 での実装で注目される機能は、次のとおりです。

write memory と copy running start の両方のコマンドが複製されます。

copy コマンドが複製されるため、write memory の複製はディセーブルになります。

スタンバイ デバイスでファイルシステム コマンドが失敗した場合は、アクティブ デバイスとスタンバイ デバイスの間で設定は同期されません。ファイルシステム コマンドは設定の一部ではないため、設定を同期しても意味がありません。スタンバイ デバイスでファイルシステム コマンドが失敗すると、通知メッセージが表示され、ファイルシステムが同期されていない可能性があることが示されます。

format コマンドは複製されません。


) PIX との互換性のために、[flash:image] では boot system を使用して設定された最初のローカル ファイルが照合され、[flash:pdm] では pdm image コマンドを使用して設定されたファイルが照合されます。


OSPF

PIX Security Appliance Version 7.0 では、interface のコンフィギュレーション モードが導入され、インターフェイス固有の OSPF パラメータが interface のコンフィギュレーション モードで設定されるようになりました。

ここでは、次の項目について説明します。

「影響を受けるコマンド」

「アップグレード要件」

「コマンドの変更の説明」

「変更の影響」

影響を受けるコマンド

PIX Security Appliance Version 7.0 へのアップグレードでは、次のコマンドが影響を受けます。

routing interface コマンドの下位にある ospf コンフィギュレーション モード コマンド

set ip next-hop

set metric-type

アップグレード要件

routing interface コマンドの下位にある ospf コンフィギュレーション モード コマンドは、PIX Security Appliance Version 7.0 へのアップグレード時に自動的に変換されます。手動の操作は不要です。

コマンドの変更の説明

set ip next-hop コマンドは、ポリシー ルーティングのためだけに使用されていましたが、PIX Security Appliance Version 7.0 はポリシー ルーティングをサポートしないため、削除されました。

set metric-type コマンドは、PIX Security Appliance Version 7.0 で、次のように OSPF の経路再配送のメトリック タイプの設定に使用されます。

Pix(config-route-map)# set metric-type {type-1 | type-2}
 

例:

hostname(config)# route-map 1-to-2 permit
hostname(config-route-map)# match metric 1
hostname(config-route-map)# set metric 5
hostname(config-route-map)# set metric-type type-1
 

次の例は、ospf コンフィギュレーション モード コマンドの構文の違いを示しています。

PIX Version 6.3

routing interface outside
ospf ...
 

PIX Security Appliance Version 7.0

interface ethernet0
ospf ...
 

) インターフェイス名の違いに注意してください。PIX Version 6.3 では、nameif コマンドで指定されたインターフェイス名が指定されていますが、PIX Security Appliance Version 7.0 では物理インターフェイス名が使用されます。


変更の影響

routing interface コマンドの下位にある ospf コンフィギュレーション モード コマンドは、PIX Security Appliance Version 7.0 へのアップグレード時に、自動的に interface のコンフィギュレーション モードに変換されます。set ip next-hop コマンドと set metric-type コマンドは自動的に削除されます。

メディア ゲートウェイ コントロール プロトコル(MGCP)

モジュラ ポリシー フレームワーク(MPF)の導入により、fixup mgcp も含めたすべての fixup コマンドが MPF の inspect コマンドに変換されています(「fixup と inspect」を参照)。また、MPF フレームワークに適合するように、既存のメディア ゲートウェイ コントロール プロトコル(MGCP)コマンドが mgcp-map コマンドの下位に移されました。

ここでは、次の項目について説明します。

「影響を受けるコマンド」

「アップグレード要件」

「MGCP 用の class-map、mgcp-map、および policy-map の設定」

影響を受けるコマンド

PIX Security Appliance Version 7.0 へのアップグレードでは、次のコマンドが影響を受けます。

mgcp

アップグレード要件

既存の mgcp コマンドは非推奨になり、MPF フレームワークの mgcp-map の下位コマンドに置き換えられました。PIX Security Appliance Version 7.0 では、mgcp コマンドは自動的に変換されます。手動の操作は不要です。

mgcp-map コマンド(次の例)はオプションで、call-agent、gateway、および command-queue が指定されている場合にのみ設定する必要があります。

mgcp-map mgcp-policy(オプション)

[no] call-agent <ip-address> <group-id>
[no] gateway <ip-address> <group-id>
command-queue <limit>
 

 

PIX Version 6.3
PIX Security Appliance Version 7.0
mgcp call-agent <ip-address> <group-id>
mgcp gateway <ip-address> <group-id>
mgcp command-queue <limit>
mgcp-map mgcp-policy
call-agent <ip-address> <group-id>
gateway <ip-address> <group-d>
command-queue <limit>

上記の表のように設定された mgcp-policy コマンドは、その後、次のように inspect mgcp コマンドに組み込まれます。

inspect mgcp mgcp-policy

詳細な設定方法については、次の手順を参照してください。

MGCP 用の class-map、mgcp-map、および policy-map の設定

class-map、mgcp-map、およびpolicy-map を MGCP 用に設定するには、次の手順を実行します。


ステップ 1 ポート 2427 のすべてのトラフィックを照合するトラフィック クラスを定義します。

class-map f1_mgcp_class
match port 2427
 

または、

すべての MGCP トラフィックを類別する ACL を作成します。MGCP トラフィックは、ポート 2427 と 2727 を使用します。

access-list f1_mgcp_class permit udp any any eq 2427
access-list f1_mgcp_class permit udp any eq 2427 any
class-map f1_mgcp_class
match access-list f1_mgcp_class
access-list f1_mgcp_class1 permit udp any any eq 2727
access-list f1_mgcp_class1 permit udp any eq 2727 any
class-map f1_mgcp_class1
match access-list f1_mgcp_class1
 

次の mgcp-map コマンドは、既存の mgcp コマンドの新しい CLI です。

mgcp-map mgcp-policy (optional)
call-agent <ip-address> <group-id>
gateway <ip-address> <group-id>
command-queue <limit>
 

ステップ 2 このトラフィック クラスに、MGCP の検査を実行するためのポリシーマップを設定します。

policy-map inspection_policy
class f1_mgcp_class
inspect mgcp mgcp-policy
 

ステップ 3 このポリシーをグローバルに適用してアクティブにします。

service-policy inspection-policy global
 

mgcp の既存の show コマンドは PIX Security Appliance Version 7.0 に引き継がれます。

show mgcp {commands|sessions} [detail]
 

show service-policy inspect mgcp コマンドでも同じ結果が表示されます。


 

マルチキャスト

PIX Security Appliance Version 7.0 で PIM 希薄モード(PIM-SM)に対応し、PIX と Cisco IOS ソフトウェアのマルチキャストの実装の統一性を高めるために、CLI の multicast コマンドにいくつかの変更が加えられています。

ここでは、次の項目について説明します。

「背景説明」

「影響を受けるコマンド」

「アップグレード要件」

「コマンドの変更の説明」

「変更の影響」

背景説明

PIX Version 6.2 では、IGMP などのネイティブ マルチキャスト サポート機能を持つ Stub Multicast Routing(SMR)、スタティック マルチキャスト ルート、ドライバの拡張、マルチキャスト転送情報ベース(MFIB)、および転送とポリシーの決定を行うマルチキャスト転送エンジン(MFWD)が導入されました。これにより、直接接続された受信者は、PIM などのマルチキャスト ルーティング プロトコルを実行するアップストリーム ルータにホスト レポートを転送することにより、動的にマルチキャスト グループに参加し、データを受信できるようになりました。アップストリーム ルータは、マルチキャスト トラフィックの送信元に、受信者が対象としている受信データを通知します。ホスト レポートは、配信を設定するために直接 MFIB に追加されていました。また、マルチキャスト データの送信を容易にするために、スタティックな mroute(マルチキャスト ルート)が指定されました。これらのメカニズムは、直接接続された受信者を持たないサイトにとっては、スケーラビリティの課題を伴うものでした。また、直接接続されたマルチキャスト トラフィックの送信元には、NAT と稠密モード プロトコルの操作が必要でした。

影響を受けるコマンド

PIX Security Appliance Version 7.0 へのアップグレードでは、次のコマンドが影響を受けます。

mroute

multicast interface

igmp max-groups

アップグレード要件

PIX は PIM-SM をサポートするようになったため、マルチキャストの設定を見直し、PIM-SM を活用するようにしてください。PIX Version 6.2 または PIX Version 6.3 を導入し、直接接続のマルチキャスト トラフィックの送信元にファイアウォールを使用していた場合は、PIM-SM の設定に移行する必要があります。

コマンドの変更の説明

mroute、igmp max-groups、および multicast の各コマンドの変更内容を、それぞれ、 表29 表30 表31 に示します。

mroute

 

表29 mroute コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
mroute
mroute <src> <smask> <interface-name> <dst> <dmask> <interface-name>
mroute <src> <smask> <interlace-name> [dense <interface-name>] [distance]

アップグレード時に自動的に変換されます。

igmp max-groups

 

表30 igmp max-groups コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
igmp max-groups
igmp max-groups <number>
igmp limit <number>

アップグレード時に自動的に変換されます。

新しいデフォルトは 500 グループです。

multicast

 

表31 multicast コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
multicast
multicast interface <interface-name>

サポートされていない

アップグレード時に自動的に変換されます。

変更の影響

mroute、igmp max-groups、multicast の各コマンドは、この変更によって Cisco IOS ソフトウェア CLI のインライン コマンドになりました。

mroute

PIX Version 6.3 からアップグレードした場合、mroute コマンドは自動的に新しい形式に変換されます。PIX に直接接続されたマルチキャスト送信元をサポートする拡張 mroute 構文を利用し、PIM-SM を活用するように構文を変更して、稠密モードのフラッディングとそれに関連するスケーラビリティの問題を回避することができます。詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』のPIM-SMに関する項を参照してください。

<dst> <dmask> オプションを削除すると、<src> IP アドレスを送信元とするすべてのマルチキャスト グループが自動的に新しい形式に変換されます。

次の設定は自動的に新しい形式に変換されますが、動作は当初意図していたものとわずかに異なる場合があります。

mroute 1.0.0.0 255.0.0.0 inside 224.1.1.0 255.255.255.0 outside
mroute 1.0.0.0 255.0.0.0 inside 224.2.2.0 255.255.255.0 dmz
 

IGMP 転送が設定されていなかったと仮定すると、変換後の設定は次のようになります。

mroute 1.0.0.0 255.0.0.0 dmz
 

dense モード オプションは、PIX Security Appliance Version 7.0 の Stub Multicast Routing(SMR)を使用している場合にのみ意味を持ちます。dense キーワードは、すべての mroute コマンドで受け入れられますが、効力を持つのは SMR がイネーブルの場合のみです。

PIM-SM をイネーブルにすると、機能の面では mroute コマンドの出力インターフェイスは無視されます。

igmp max-groups

PIX Version 6.3 からアップグレードした場合、igmp max-groups コマンドは自動的に新しい igmp limit コマンドに変換されます。デフォルトの制限は 2000 から 500 に変更されています。設定で制限が指定されていない場合、デフォルトは 500 になります。設定で制限が指定されている場合は、それがシームレスに引き継がれます。

multicast

multicast コマンドと、関連の multicast のコンフィギュレーション モード コマンドは、自動的に interface のコンフィギュレーション モードに変換されます。

たとえば、PIX Version 6.3 の設定で動作している PIX 515E デバイスには、次のマルチキャスト設定のコードが含まれます。

.
multicast interface outside
multicast interface inside
igmp forward interface outside
.
.
.
 

この設定は、PIX Security Appliance Version 7.0 へのアップグレード時に、次のように変換されます。

multicast-routing
interface Ethernet0
nameif outside
security-level 0
ip address 192.168.3.1 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
igmp forward interface outside
!
 

上記の変換では、外部インターフェイスと内部インターフェイスがそれぞれ ethernet0 と ethernet1 で、サンプルのセキュリティ レベルと IP アドレスを使用していると想定しています。変換結果は、対象となるインターフェイスと、そのセキュリティ レベルおよび IP アドレスによって若干異なる場合があります。

NAT

PIX Version 6.3 では、セキュリティ レベルの高いインターフェイス(内部)のホストがセキュリティ レベルの低いインターフェイス(外部)のホストと通信する場合に、内部ホストに NAT を設定する必要があります。PIX Security Appliance Version 7.0 では、この NAT 制御をディセーブルにすることができます。従来どおり NAT を設定することもできますが、通信に NAT は不要です。たとえば、NAT 制御をディセーブルにすると、外部ホストから内部ホストに接続するための静的な NAT 文を設定する必要がなくなります。

ここでは、次の項目について説明します。

「影響を受けるコマンド」

「アップグレード要件」

「コマンドの変更の説明」

「変更の影響」

影響を受けるコマンド

PIX Security Appliance Version 7.0 で導入された nat-control コマンドは、PIX Version 6.3 の NAT 制御機能を自動的に PIX Security Appliance Version 7.0 に組み込みます。NAT 制御をディセーブルにするには、no nat-control コマンドを入力します。

アップグレード要件

PIX Security Appliance Version 7.0 にアップグレードすると、新しい nat-control コマンドは自動的に設定に組み込まれます。手動の操作は不要です。

コマンドの変更の説明

PIX Security Appliance Version 7.0 では、PIX Version 6.3 の NAT 機能を維持するために、新しいコマンド、nat-control が導入されています。

PIX Security Appliance Version 7.0 では、nat および static コマンドに対する tcp_max_conns 引数と udp_max_conns 引数は、実 IP 範囲のスコープ内にローカルホストが含まれている最後の設定エンティティに適用されます。static 文は nat 文の後ろに配置されるため、nat 文と static 文 の実 IP の範囲が重なっている場合は、設定内でより遅く指定されているという理由で、static 文の制限が nat 文の制限よりも優先されます。

たとえば、PIX Security Appliance Version 7.0 で次のような設定があるとします。

nat (inside) 1 10.10.12.0 255.255.255.0 50 10
static (inside,dmz) 10.0.0.0 10.0.0.0 netmask 255.0.0.0
 

static セクションは設定内で nat セクションより後ろにあるため、tcp_max_conns、udp_max_conns、emb_limit の各変数は、static 文に従って適用されます(無制限)。

PIX Version 6.3 以前のバージョンでは、max_conns 変数と emb_limit 変数(PIX Security Appliance Version 7.0 より前には udp_max_conns は存在しません)は、ローカルホストに作成された xlate に応じてローカルホストに適用されていました。そのため、次のようになります。たとえば、PIX Version 6.3 で次の設定があるとします。

global (outside) 1 interface
nat (inside) 1 10.10.12.0 255.255.255.0 50 10
static (inside,dmz) 10.0.0.0 10.0.0.0 netmask 255.0.0.0
 

この例では、10.10.12.99 というアドレスのローカルホストがあり、まだ xlate が作成されていないと想定しています。このホストが最初に外部に対して接続を開始する場合、ローカルホストの max_conns と emb_limit にはそれぞれ 50 と 10 の制限が適用されます。また、このホストが最初に DMZ に対して接続を開始すると、max_conns と emb_limit は無制限になります。

変更の影響

デフォルトでは、nat-control コマンドの導入により、PIX Version 6.3 の NAT 制御機能は PIX Security Appliance Version 7.0 でも維持されます。ただし、 no nat-control コマンドを入力すると、NAT 制御はディセーブルになります。内部ホストが外部ホストと通信する際に、NAT は必要ありません。

PIX Version 6.3 から PIX Security Appliance Version 7.0 にアップグレードすると、同じ実 IP 範囲を持った static 文が存在する場合には、nat コマンドに対する tcp_max_conns 引数と udp_max_conns 引数は適用されません。

公開キー インフラストラクチャ(PKI)

認証局(ca)コマンドが変更され、より多くの Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)機能が組み込まれるとともに、Cisco IOS ソフトウェアのコマンドにより近くなりました。この変更のために、PIX Security Appliance Version 7.0 には Cisco IOS ソフトウェアのトラストポイントの概念が取り込まれています。トラストポイントは、認証局(CA)証明書と ID 証明書のペアを表し、次のものを含みます。

CA の ID

CA 固有の設定パラメータ

1 つの登録された ID 証明書との関連付け

PIX Security Appliance Version 7.0 では、次の 2 つの主要な変更点があります。

PIX Version 6.3 では、PKI コマンドのルートは ca キーワードでしたが、PIX Security Appliance Version 7.0 では crypto キーワードがルートになっています。

PIX Version 6.3 では、証明書はプライベートな非表示のデータ ファイルに格納されていましたが、PIX Security Appliance Version 7.0 ではコンフィギュレーション ファイル内にあり、crypto コマンド ツリーをルートとしています。

すべての clear config <keyword> コマンドは、実行コンフィギュレーションから <keyword> をルートとするすべての行を削除する動作をします。PIX Security Appliance Version 7.0 では、証明書、トラストポイント、および証明書マップが crypto コマンド ツリー内にあるため、clear config crypto コマンドによってこれらがすべて削除されます。

PIX Security Appliance Version 7.0 では、clear configure crypto コマンドが導入され、clear crypto コマンドはこれに置き換えられています。PIX Security Appliance Version 7.0 で導入されたトラストポイントは、PIX Version 6.3 では CA の ID として参照され、ca identity コマンドで設定されていました。

表32 に、非推奨になった PKI コマンドと、非推奨になった理由を示します。

 

表32 PKI の非推奨コマンドと非推奨になった理由

PIX Version 6.3 のコマンド
PIX Security Appliance Version 7.0 で非推奨になった理由
ca generate rsa key <size>

Cisco IOS CLI コマンドの構文および機能との統一性を高めるために、 crypto key コマンドに置き換えられました。

ca generate rsa specialkey <size>
ca zeroize rsa
ca identity <name> <ip_address|hostname> [:<ca_script_location>] [<ldap_ip|hostname>]

Cisco IOS CLI コマンドの構文および機能との統一性を高めるために、crypto ca trustpoint コマンドに置き換えられました。

no ca identity <name>
ca configure <name> [ca|ra <retry_period> <retry_count> [crloptional]]
ca enroll <name> <password> [serial] [ipaddress]
[no] ca subject name <name><X.500 string>
ca authenticate <name> [<fingerprint>]

Cisco IOS CLI の PKI コマンドの構文および機能との統一性を高めるために、crypto ca コマンドに置き換えられました。

ca crl request <id_name>
ca verifycertdn <x.500 string>

ここでは、次の項目について説明します。

「影響を受けるコマンド」

「アップグレード要件」

「コマンドの変更の説明」

「変更の影響」

影響を受けるコマンド

ca generate/ca zeroize

ca identity/ca configure

ca authenticate

ca enroll

ca crl

ca subject-name

ca save all

ca verifycertdn

アップグレード要件

影響を受ける各 ca コマンドは、非推奨になったか、サポートされなくなりました。PIX Security Appliance Version 7.0 では、ca コマンドは自動的に変換されます。手動の操作は不要です。

コマンドの変更の説明

ca generate コマンドと ca zeroize コマンドの変更内容を 表33 に示し、 ca identity コマンドと
ca configure コマンドの変更内容を 表34 に示します。また、ca authenticate、ca enroll、ca crl、
ca subject-name、ca verifycertdn の各コマンドの変更内容を、それぞれ、 表35 表36 表37 表38 表39 に示します。

ca generate および ca zeroize

 

表33 ca generate コマンドと ca zeroize コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
ca generate
ca generate rsa key <size>
crypto key generate rsa general-keys modulus <size>

非推奨

ca generate rsa specialkey <size>
crypto key generate rsa usage-keys modulus <size>
ca zeroize
ca zeroize rsa
crypto key zeroize rsa

ca identify および ca configure

 

表34 ca identify コマンドと ca configure コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
ca identity
ca identity <name> <ip_address|hostname>
[:<ca_script_location>] [<ldap_ip|hostname>]
crypto ca trustpoint <name>
enroll url <ip_address|hostname>[:<ca_script_location>]
crl
ldap_defaults <ldap_ip|hostname>
exit
exit

非推奨

no ca identity <name>
no crypto ca trustpoint <name>
ca configure
ca configure <name> [ca|ra <retry_period>
<retry_count> [crloptional]]
crypto ca trustpoint <name>
enrollment mode <ca|ra>
enrollment retry period <retry_period>
enrollment retry count <retry_count>
crl <optional|required>
exit

ca authenticate

 

表35 ca authenticate コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
ca authenticate
ca authenticate <name> [<fingerprint>]
crypto ca authenticate <name> [<fingerprint>]

非推奨

ca enroll

 

表36 ca enroll コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
ca enroll
ca enroll <name> <password> [serial] [ipaddress]
crypto ca trustpoint <name>
[no] ip-address <address>
[no] serial-number
password <password>
exit
crypto ca enroll <name>

非推奨

ca crl

 

表37 ca crl コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
ca crl
ca crl request <id_name>
crypto ca crl request <trustpoint>

非推奨

ca subject-name

 

表38 ca subject-name コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
ca subject-name
[no] ca subject name <name> <X.500 string>
crypto ca trustpoint <name>
[no] subject-name <X.500 string>

非推奨

ca save all

このコマンドは削除されました。Cisco IOS コマンドの場合と同様に、キーと証明書のデータは、設定がメモリに書き込まれると同時に保存されます。

ca verifycertdn

 

表39 ca verifycertdn コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
ca verifycertdn
ca verifycertdn <x.500 string>
crypto ca verifycertdn <x.500 string>

非推奨

no ca verifycertdn
no crypto ca verifycertdn

変更の影響

非推奨になった ca コマンドは、PIX Security Appliance Version 7.0 へのアップグレード時に自動的に変換されます。また、新しく追加された ca コマンドも存在します。新しい ca コマンドの詳細については、『 Cisco PIX Security Appliance Command Reference, Version 7.0 』を参照してください。

その他

ここでは、PIX Security Appliance Version 7.0 で変更されたその他の機能とコマンドについて説明します。

PIX Version 6.3 では、clear flashfs コマンドと flashfs downgrade x.x コマンドにより、PIX Security Appliance Version 7.0 のフラッシュ メモリのファイルシステム部分がクリアされ、show flashfs コマンドによって各ファイルシステム セクタのサイズ(バイト単位)とファイルシステムの現在の状態が表示されていました。

PIX Security Appliance Version 7.0 では、flashfs コマンドはサポートされません。代わりに show flash コマンドを使用してください。show flashfs コマンドと show flash コマンドの短縮形は、両方とも show flash になります。

PIX Security Appliance Version 7.0 では、established コマンドの一部のキーワードが非推奨になっています。

PIX Security Appliance Version 7.0 では、sysopt コマンドに一部変更が加えられています。

URL フィルタリングを使用する PIX Version 6.3 を使用し、url-server コマンドでデフォルトのタイムアウト(5 秒)を使用していた場合は、PIX Security Appliance Version 7.0 にアップグレードすると url-server コマンドが削除されます。PIX Security Appliance Version 7.0 での最小タイムアウトが 10 秒であるのに対して、PIX Version 6.3 のデフォルト タイムアウトが 5 秒であるためです。url-server コマンドが拒否されるために、すべての filter コマンドも拒否されます。解決方法としては、30 秒(PIX Security Appliance Version 7.0 でのデフォルト値)などのより大きなタイムアウト値を使用して url-server コマンドを再入力し、その後すべての filter 文を元のように追加します。

PIX Version 6.3 では、BGP MD5 によって使用される TCP オプション 19 が自動的に許可されていましたが、PIX Security Appliance Version 7.0 では追加の設定が必要になります。

ここでは、次の項目について説明します。

「影響を受けるコマンド」

「アップグレード要件」

「コマンドの変更の説明」

「変更の影響」

影響を受けるコマンド

established

flashfs

sysopt permit pptp | permit l2tp

アップグレード要件

PIX Version 6.3 の flashfs、clear flashfs、show flashfs の各コマンドは、EXEC モード コマンドであり、設定には保存されません。そのため、PIX Security Appliance Version 7.0 へのアップグレード時にこれらを変換する必要はありません。

コマンドの変更の説明

established、flashfs、sysopt の各コマンドの変更内容を、それぞれ、 表40 表41 表42 に示します。

established

 

表40 established コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
established
[to | permitto <protocol> <port1>[-<port2>]]
[permitto <protocol> <port1>[-<port2>]]

キーワード、to および from は非推奨になりました。代わりに permitto および permitfrom を使用してください。

[from | permitfrom <protocol> <port1>[-<port2>]]}
[permitfrom <protocol> <port1>[-<port2>]]}

flashfs

 

表41 flashfs コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
flashfs
clear flashfs

サポートされていない

--

flashfs

サポートされていない

PIX Version 6.3 バージョンのロードには downgrade コマンドを使用してください。

show flashfs
show flash

show flashfs コマンドと show flash コマンドの短縮形は、両方とも show flash になります。

sysopt

 

表42 sysopt コマンドの変更

コマンド
PIX Version 6.3
PIX Security Appliance Version 7.0
sysopt
[no] sysopt connection permit-pptp | permit-l2tp

サポートされていない

--

変更の影響

ここでは、この変更が PIX Security Appliance Version 7.0 に及ぼす影響について説明します。

established コマンドから、to および from キーワードが削除されました。PIX Version 6.3 では、to および from は受け入れられていましたが、permitto および permitfrom の形式で保存されていました。このような理由から、古い設定はシームレスに更新することができます。ただし、今後は、to および from の代わりに、それぞれ permitto および permitfrom を使用する必要があります。

PIX Security Appliance Version 7.0 には、clear flashfs コマンドと同等のコマンドはありません。代わりに、downgrade コマンドを使用して PIX Version 6.3 バージョンをロードします(「ダウングレードのガイドライン」および「ダウングレード手順」を参照)。

clear コマンドと show コマンドの詳細については、「CLI コマンド プロセッサ」を参照してください。

sysopt コマンドの permit-l2tp オプションと permit-pptp オプション、および uauth allow-http-cache オプションは非推奨になりました。

PIX Security Appliance Version 7.0 では、sysopt connection permit-ipsec オプションがデフォルトでイネーブルになっており、VPN トラフィックが ユーザとグループの ACL をバイパスできなくなりました。ただし、VPN トラフィックはインターフェイスの ACL をバイパスできます。

PIX Version 6.3 の設定に新しい行として sysopt connection permit-ipsec オプションを指定していた場合、この行は PIX Security Appliance Version 7.0 の設定から自動的に削除されます。これは、 sysopt connection permit-ipsec オプションがデフォルトでイネーブルになるため、このオプションを独立した行として明示的に指定する必要がなくなったためです。PIX Security Appliance Version 7.0 で、show running-configuration sysopt コマンドを使用すると、デフォルト値に設定された sysopt の設定内容が表示されます。

PIX Version 6.3 で、sysopt connection permit-ipsec オプションを独立した行として指定していなかった場合は、このオプションが自動的に PIX Security Appliance Version 7.0 の設定に追加されます[DAA]シングル ファイアウォール モードで実行されている場合[/DAA]。sysopt connection permit-ipsec オプションはディセーブル(PIX Version 6.3 のデフォルト)のままで、PIX Security Appliance Version 7.0 でも同じ動作を維持します。

BGP のセキュリティを高めるために、TCP セグメントでの MD5 ダイジェストの伝送には、TCP オプション番号 19 が使用されます。TCP オプション 19 は、PIX Security Appliance Version 7.0 ではデフォルトでクリアされます。この TCP オプションを許可するには、次の設定を使用します。

class-map BGP-MD5-CLASSMAP
match port tcp eq 179
tcp-map BGP-MD5
tcp-options range 19 19 allow
 
policy-map global_policy
class BGP-MD5-CLASSMAP
set connection advanced-options BGP-MD5 service-policy
global_policy global
 

詳細については、http://www.cisco.com/warp/public/459/bgp-pix.html を参照してください。

ライセンスの変更

PIX Security Appliance Version 7.0 は、2 種類のライセンス キーをサポートします。

PIX Version 6.3 以前に対応する既存の 4 タプル ライセンス キー

PIX Security Appliance Version 7.0 のみに対応する新しい 5 タプル ライセンス キー

PIX Version 6.3 から PIX Security Appliance Version 7.0 にアップグレードすると、PIX Version 6.3 用の既存のライセンス キーが保持され、フラッシュ ファイルシステムの中央部に保存されます。

PIX Security Appliance Version 7.0 から PIX Version 6.2 または 6.3 にダウングレードすると、アップグレード処理中に保存された元の PIX Version 6.2 または 6.3 用の既存のライセンス キーが取り出され、PIX Version 6.2 または 6.3 イメージに保存されます。

PIX Version 6.3 と PIX Security Appliance Version 7.0 のどちらのライセンスもインストールされていない場合、PIX Security Appliance Version 7.0 はデフォルト設定である制限付きライセンスで実行されます。

アップグレードの前提条件


) この「アップグレードの前提条件」の項の手順を開始する前に、「特記事項」をお読みください。


すでに PDM がインストールされた PIX 515 または PIX 535 からアップグレードする場合は、モニタ モードからアップグレードする必要があります。「モニタ モードでのアップグレード」の手順を参照してください。

「PIX Version 6.3 から Security Appliance Version 7.0 への基本的なアップグレード」の手順を使用してアップグレードしようとすると、次のメッセージが出力されます。

Insufficient flash space available for this request:
Size info:request:5025848 current:1966136 delta:3059712 free:1310720
Image not installed
 

PIX Security Appliance Version 7.0 にアップグレードするには、必須の前提条件がいくつかあります。次の各項では、そのような前提条件について説明します。

「最小ハードウェア要件」

「最小ソフトウェア要件」

「最小メモリ要件」

「クライアント PC のオペレーティング システムとブラウザの要件」

「最小接続要件」

最小ハードウェア要件

PIX Security Appliance Version 7.0 ソフトウェアは、PIX 515/515E、PIX 525、および PIX 535 の各プラットフォームで動作します。PIX Security Appliance Version 7.0 は、現在 PIX 501 および PIX 506/506E ハードウェアではサポートされていません。

最小ソフトウェア要件

PIX Security Appliance Version 7.0 へのアップグレードを実行するために必要な最低のソフトウェア バージョンは、PIX Version 6.2 です。PIX Version 6.2 より前の PIX リリースを実行している場合は、まず PIX Version 6.2 または PIX Version 6.3 にアップグレードしてから PIX Security Appliance Version 7.0 へのアップグレードを開始する必要があります。


) アップグレードの実行前に、ソフトウェア イメージと設定をバックアップしておくことをお勧めします。


PIX ソフトウェア イメージをアップグレードするには、次の Web サイトを参照してください。

http://www.cisco.com/cgi-bin/tablebuild.pl/pix

最小メモリ要件

PIX Version 6.3 がインストールされた PIX 515 または PIX 515E を使用している場合は、PIX Security Appliance Version 7.0 へのアップグレードを実行する前に、メモリをアップグレードする必要があります。PIX Security Appliance Version 7.0 では、制限付き(R)ライセンスで 64 MB 以上、制限なし(UR)およびフェールオーバー(FO)ライセンスでは 128 MB 以上の RAM が必要です( 表43 を参照)。

表44 に、PIX 525 および PIX 535 の最小メモリ要件を示します。

 

表43 PIX 515/515E の最小メモリ要件

PIX Version 6.3 プラットフォームのライセンス
現在のメモリ(MB)
目的のアップグレード プラットフォームのライセンス
Part Number
必要なメモリ(MB)

R

32

--

PIX-515-MEM-32=
cisco.com からソフトウェアをダウンロードしてください。または、
PIX-SW-UPGRADE= をご購入ください。

64

R

64

--

cisco.com からソフトウェアをダウンロードするか、PIX-SW-UPGRADE= をご購入ください。

64

R

32

UR

PIX-515-SW-R-UR=
既存の 32 MB メモリ モジュール(DIMM)を取り外し、2 つの新しい 64 MB モジュールに置き換え、合計 128 MB にします。

128

R

64

UR

PIX-515-SW-R-UR=
既存の 2 つの 32 MB メモリ モジュールを取り外し、2 つの新しい 64 MB モジュールに置き換え、合計 128 MB にします。

128

UR

64

--

PIX-515-MEM-128=
cisco.com からソフトウェアをダウンロードするか、PIX-SW-UPGRADE= をご購入ください。

128

UR

128

--

cisco.com からソフトウェアをダウンロードするか、PIX-SW-UPGRADE= をご購入ください。

128

FO

64

--

PIX-515-MEM-128=
cisco.com からソフトウェアをダウンロードするか、PIX-SW-UPGRADE= をご購入ください。

128

FO

128

--

cisco.com からソフトウェアをダウンロードするか、PIX-SW-UPGRADE= をご購入ください。

128

FO

64

UR

PIX-515-SW-FO-UR=

128

FO

128

UR

PIX-515-SW-FO-UR=

128

R

64

UR

PIX-515-SW-R-UR=

128

FO

128

UR

PIX-515-SW-FO-UR=

128

FO

128

U

PIX-515-SW-FO-R=

64

PIX 515 および PIX 515E のメモリ アップグレードでは、BIOS のアップグレードは必要ありません。


) 最小フラッシュ メモリ要件は 16 MB です。


表44 に、PIX 525 および PIX 535 の最小メモリ要件を示します。

 

表44 PIX 525 および PIX 535 の最小メモリ要件

モデル
最小 RAM

Cisco PIX 525 セキュリティ アプライアンス

128 MB(制限付きモジュールの場合)

256 MB(制限なし、フェールオーバー、アクティブ/アクティブ フェールオーバーの各モジュールの場合)

Cisco PIX 535 セキュリティ アプライアンス

512 MB(制限付きモジュールの場合)

1024 MB(制限なし、フェールオーバー、アクティブ/アクティブ フェールオーバーの各モジュールの場合)

クライアント PC のオペレーティング システムとブラウザの要件

表45 に、ASDM Version 5.0 でサポートされる推奨プラットフォームを示します。

 

表45 オペレーティング システムとブラウザの要件

オペレーティング システム
ブラウザ
その他の要件

Windows1

Windows 2000(Service Pack 4)または Windows XP オペレーティング システム

Internet Explorer 6.0 + Java プラグイン 1.4.2 または 1.5.0


) HTTP 1.1:Internet Options >
Advanced > HTTP 1.1 の設定では、プロキシ接続と非プロキシ接続の両方で HTTP 1.1 を使用する必要があります。


Netscape 7.1/7.2 + Java プラグイン 1.4.2 または 1.5.0

SSL Encryption Settings :ブラウザのプリファレンスで、SSL に関して使用可能なすべての暗号化オプションをイネーブルにします。

Sun Solaris

CDE ウィンドウ マネージャを実行する Sun Solaris 8 または 9

Mozilla 1.7.3 + Java プラグイン 1.4.2 または 1.5.0

Linux

GNOME または KDE を実行する Red Hat Linux 9.0 または Red Hat Linux WS Version 3

Mozilla 1.7.3 + Java プラグイン 1.4.2 または 1.5.0

1.Windows 3.1、95、98、ME、および Windows NT4 では ASDM はサポートされていません。

最小接続要件

PIX Security Appliance Version 7.0 へのアップグレードを実行するための最小接続要件は、次のとおりです。

PIX の任意のネットワーク ポートに接続され、TFTP ソフトウェアを実行する PC またはサーバ(PC またはサーバは、スイッチまたはクロスケーブルを使用して PIX に接続できます)。

DB-9 コネクタ、ロールオーバー ケーブル、および、PIX と通信するためのコンソール接続プログラム(HyperTerminal や Terminal Emulation など)。

アップグレード手順

ここでは、次の項目について説明します。

「基本的なアップグレード手順」

「モニタ モードでのアップグレード」

「アップグレードの例」

特記事項

すでに PDM がインストールされた PIX 515 または PIX 535 からアップグレードする場合は、モニタ モードからアップグレードする必要があります。「モニタ モードでのアップグレード」の手順を参照してください。

PIX 515 または PIX 535 上の PIX Version 6.3 イメージは、フラッシュ メモリの 16 MB 全体ではなく、最初の 8 MB にのみアクセスします。PIX Security Appliance Version 7.0 のイメージとフラッシュ メモリの内容の合計が 8 MB の制限を超えると、次のメッセージが表示されます。Insufficient flash space available for this request.これを解決するには、イメージをモニタ モードからロードします。「モニタ モードでのアップグレード」を参照してください。

フラッシュ メモリ内の PDM イメージは、新しいファイルシステムに自動的にコピーされません。

インストールでの障害を避けるために、必ず「アップグレードの前提条件」を読んでから先に進んでください。

設定例については、「アップグレードの例」を参照してください。アップグレード手順を開始する前にこれらの例を確認しておくと役立ちます。


注意 ステートフル フェールオーバー アップデートのリンクと内部インターフェイスなどの通常トラフィックのリンクを共通で使用している場合は、アップグレード前に設定を変更する必要があります。PIX Security Appliance Version 7.0 では、このような設定はサポートされず、LAN フェールオーバーとステートフル フェールオーバーのアップデート インターフェイスがそれぞれ専用のインターフェイスとして扱われるため、この設定を修正するまでは、アップグレードを実行しないでください。

1 つのインターフェイスが通常のトラフィックとステートフル フェールオーバー アップデートで共通に使用される設定のまま PIX Security Appliance Version 7.0 にアップグレードすると、アップグレード後に通常のトラフィックのインターフェイスに関連する設定が失われます。この設定が失われることによって、ネットワーク経由でセキュリティ アプライアンスに接続できなくなるおそれがあります。

基本的なアップグレード手順


) コマンドが自動変換されると、設定内容が変更されます。アップグレード後に設定を保存し、変更された設定行を確認してください。設定を保存するまでは、設定が読み取られるたびにソフトウェアによって古い設定が自動的に変換されます。


PIX Version 6.3 で使用可能なコマンドを使用してアップグレードするには、次の手順を実行します。


ステップ 1 login コマンドを入力して、PIX コンソールにログインします。

例:

pix> login
 

ステップ 2 プロンプトでユーザ名とパスワードを入力します。

Username:
Password:
 

ステップ 3 enable コマンドを入力して特権モードに入り、アップグレード手順を開始します。

例:

pix> enable
 

ステップ 4 プロンプトでパスワードを入力します。

Password:
 

これで特権モードになりました。

ステップ 5 ping <ip address> コマンドを入力して、選択した TFTP サーバにアクセスできることを確認します。

例:

pix> ping 192.168.2.200
 

) 192.168.2.200 を、使用する TFTP サーバの IP アドレスに置き換えてください。


ステップ 6 write net <ip address> <filename> コマンドを入力して、現在有効な設定を TFTP サーバに保存します。

例:

pix> write net 192.168.2.200:63config.txt
 

) 63config.txt を、選択したファイル名に置き換えてください。


ステップ 7 configure terminal(config t)コマンドを入力して、特権モードからコンフィギュレーション モードに変更します。

pix# configure terminal
 

ステップ 8 copy tftp flash:image コマンドを入力して、PIX Security Appliance Version 7.0 のイメージをコンフィギュレーション モードで TFTP サーバから PIX フラッシュ ファイルシステムにコピーします。

pix(config)# copy tftp flash:image
 

) tftp の後ろにコロン(:)は付きません。


ステップ 9 TFTP サーバの名前または IP アドレスを入力します。

Address or name of remote host [0.0.0.0]? 192.168.2.200
 

) 192.168.2.200 を、使用する TFTP サーバの IP アドレスに置き換えてください。


ステップ 10 PIX Security Appliance Version 7.0 のイメージ名を入力します。

Source file name [cdisk]? pix704.bin
 

ステップ 11 yes と入力して、PIX Security Appliance Version 7.0 のイメージを TFTP サーバからセキュリティ アプライアンスの実行コンフィギュレーションにコピーします。

copying tftp://192.168.2.200/pix704.bin to flash:image
[yes|no|again]? yes
 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 
Received 5087232 bytes
 
Erasing current image
 
Writing 4833336 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
...
!!!!!!!!!!!!!!
Image installed
 

ステップ 12 reload コマンドを入力して、システムをリブートします。「Proceed with reload?」のプロンプトで Enter キーを押して、コマンドを確定します。

pix# reload
Proceed with reload? [confirm]
 
Rebooting..
 
CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
...
 

) PIX Security Appliance Version 7.0 には、PIX Version 6.3 と同様の運用上の特性があります。たとえば、ライセンス方式(PIX Version 6.3 のアクティベーション キーの説明を参照)、IP アドレス、アクセス リスト、アクセスグループ、VPN 設定、パスワード、事前共有キーなどです。

ステップ 13ステップ 14 は、認証を設定している場合にのみ必要です。認証がイネーブルになっていない場合は、ステップ 15 に進んでください。


ステップ 13 login コマンドを入力して、セキュリティ アプライアンスのコンソールにログインします。

pix> login
 

ステップ 14 プロンプトでユーザ名とパスワードを入力します。

Username:
Password:
 

ステップ 15 enable コマンドを入力して特権モードに入り、アップグレード手順を開始します。

pix> enable
 

ステップ 16 プロンプトでパスワードを入力します。

Password:
 

これで特権モードになりました。

ステップ 17 show running | grep boot コマンドを入力して、設定情報を表示します。

pix# show running | grep boot
boot system flash:/<filename>
 

) 正しい <filename> はフラッシュ上のイメージ名です。


コマンドラインが正しい場合は、write memory コマンドを入力して、この設定を保持します。

pix# write memory
...

コマンドラインが間違っている場合は、次の手順を実行します。

a. configure terminal コマンドを入力して、コンフィギュレーション モードに入ります。

b. no boot system flash:<image>.bin コマンドを入力します。

c. 正しいコマンドラインを入力します。

d. exit コマンドを入力します。

e. write memory コマンドを入力して、この設定を保持します。

f. PIX Security Appliance Version 7.0 のイメージをモニタ モードからロードするには、次の手順を実行します。

PIX Security Appliance Version 7.0 のイメージをリロードします。

「Use BREAK or ESC to interrupt Flash boot」プロンプトで、ESC キーを押してモニタ モードに入ります。

Proceed with reload? [confirm] [Press the enter key]
Rebooting....
Cisco Secure PIX Firewall BIOS (4.0) #0:Thu Mar 2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300
Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Flash boot interrupted.
0:i8255X @ PCI(bus:0 dev:13 irq:10)
1:i8255X @ PCI(bus:0 dev:14 irq:7 )
2:i8255X @ PCI(bus:1 dev:0 irq:11)
3:i8255X @ PCI(bus:1 dev:1 irq:11)
4:i8255X @ PCI(bus:1 dev:2 irq:11)
5:i8255X @ PCI(bus:1 dev:3 irq:11)
Using 1:i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC:0050.54ff.efc7
Use ? for help.
monitor>
 

プロンプトで interface # コマンドを入力します。# はインターフェイス番号を示します。


) # の代わりに正しいインターフェイス番号を指定して、TFTP サーバへの接続に使用するインターフェイスを指示してください。


monitor> interface 1
0:i8255X @ PCI(bus:0 dev:13 irq:10)
1:i8255X @ PCI(bus:0 dev:14 irq:7 )
2:i8255X @ PCI(bus:1 dev:0 irq:11)
3:i8255X @ PCI(bus:1 dev:1 irq:11)
4:i8255X @ PCI(bus:1 dev:2 irq:11)
5:i8255X @ PCI(bus:1 dev:3 irq:11)
Using 0:i82559 @ PCI(bus:0 dev:13 irq:10), MAC:0050.54ff.efc6
 

ステップ 18 reload コマンドを入力して、アップグレード処理を完了します。プロンプトで Enter キーを押し、セキュリティ アプライアンスと新しいイメージの正しいブートを確認します。

pix# reload
Proceed with reload? [confirm]
 
Rebooting..
 
CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
...
 


 

これで、PIX Version 6.3 から PIX Security Appliance Version 7.0 へのアップグレード手順は完了です。

モニタ モードでのアップグレード

ここでは、PIX Security Appliance Version 7.0 をモニタ モードでアップグレードする手順を説明します。

既存の PIX Version 6.3 の設定例は、「アップグレードの例」に記載されています。アップグレード手順を開始する前に、これらを確認しておいてください。

特記事項

PIX Version 6.3 の npdisk ユーティリティ(パスワード回復など)を使用すると、PIX Security Appliance Version 7.0 のイメージが壊れてモニタ モードからのシステム再起動が必要になり、以前の設定やセキュリティ カーネルなどの重要な情報が失われるおそれがあります。

PDM がインストールされた既存の PIX 515 または PIX 535 からアップグレードする場合は、モニタ モードからアップグレードする必要があります。

PIX 535 のモニタ モードでのアップグレードは、32 ビット バスに接続されたスロットの FE カードからのみ実行することができます。それ以外の方法ではエラー メッセージが表示されます。事実上、PIX 535 のアップグレードは、スロット 4 ~ 8 のインターフェイスを使用するバス 2 からのみ実行可能です。

インストールでの障害を避けるために、必ず「アップグレードの前提条件」を読んでから先に進んでください。

手順

モニタ モードでアップグレードを実行するには、次の手順を実行します。


ステップ 1 PIX Security Appliance Version 7.0 のイメージをモニタ モードからロードするには、次の手順を実行します。

a. イメージをリロードします。

b. 「Use BREAK or ESC to interrupt Flash boot」プロンプトで、ESC キーを押してモニタ モードに入ります。

Proceed with reload? [confirm] [Press the enter key]
Rebooting....
Cisco Secure PIX Firewall BIOS (4.0) #0:Thu Mar 2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300
Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Flash boot interrupted.
0:i8255X @ PCI(bus:0 dev:13 irq:10)
1:i8255X @ PCI(bus:0 dev:14 irq:7 )
2:i8255X @ PCI(bus:1 dev:0 irq:11)
3:i8255X @ PCI(bus:1 dev:1 irq:11)
4:i8255X @ PCI(bus:1 dev:2 irq:11)
5:i8255X @ PCI(bus:1 dev:3 irq:11)
Using 1:i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC:0050.54ff.efc7
Use ? for help.
monitor>
 

c. プロンプトで interface # コマンドを入力します。# はインターフェイス番号を示します。


) # の代わりに正しいインターフェイス番号を指定して、TFTP サーバへの接続に使用するインターフェイスを指示してください。


monitor> interface 1
0:i8255X @ PCI(bus:0 dev:13 irq:10)
1:i8255X @ PCI(bus:0 dev:14 irq:7 )
2:i8255X @ PCI(bus:1 dev:0 irq:11)
3:i8255X @ PCI(bus:1 dev:1 irq:11)
4:i8255X @ PCI(bus:1 dev:2 irq:11)
5:i8255X @ PCI(bus:1 dev:3 irq:11)
Using 0:i82559 @ PCI(bus:0 dev:13 irq:10), MAC:0050.54ff.efc6
 

d. e0 インターフェイスの IP アドレスを使用して、address <ip address> コマンドを入力します。

monitor> address 20.0.0.10
address 20.0.0.10
 

e. TFTP サーバの IP アドレスを使用して、server <ip address> コマンドを入力します。

monitor> server 20.0.0.101
server 20.0.0.101
 

f. TFTP サーバの IP アドレスを使用して ping <ip address> コマンドを入力し、ping が届くことを確認します。

monitor> ping 20.0.0.101
Sending 5, 100-byte 0xc56 ICMP Echoes to 20.0.0.101, timeout is 4 sec
!!!!!
Success rate is 100 percent (5/5)
 

g. TFTP サーバが直接接続されたネットワーク セグメント上にない場合は、オプションの gateway <ip> コマンドを入力し、デフォルト ゲートウェイ アドレスを指定します。

h. PIX Security Appliance Version 7.0 のファイル名を使用して、file <filename for the 7.0 image> コマンドを入力します。

monitor> file pix704.bin
file pix704.bin
monitor> tftp
pix704.bin@20.0.0.101......................................
..............................................................
 

i. イメージをコピーしたら、通常のプロンプトが返るまで待ちます(これには、PIX 525 で 3 分、PIX 515E では 10 分かかる場合があります)。

上記の手順により、セキュリティ アプライアンスのイメージが RAM にロードされて実行が開始され、古い設定がフラッシュ ファイルシステムに保存されます。また、実行コンフィギュレーションが新しい CLI 構造に変換されますが、変換後の設定はフラッシュに保存されません。

j. 変換後の設定にエラーがないか確認するとともに、アドレスやアクセス コントロール リストを確認します。

ステップ 2 PIX Security Appliance Version 7.0 のイメージをグローバル コンフィギュレーション モードからフラッシュに保存するには、次の手順を実行します。

a. 次のコマンドを使用して、PIX Security Appliance Version 7.0 のイメージを TFTP サーバからコピーします(これには、TFTP サーバに接続するセキュリティ アプライアンスのインターフェイス上に IP アドレスを設定する必要があります)。

PIX(config)#interface ethernet 0
PIX(config-if)# ip address 20.0.0.10 255.255.255.0
copy tftp [:[[//location] [/tftp_pathname]]] flash[:[image | pdm]]
PIX(config)# copy tftp://20.0.0.101/pix704.bin flash:
 

上記コマンドの結果として、次の TFTP プロンプトが表示されます。

Address or name of remote host [20.0.0.101]?
Source filename [pix704.bin]?
Destination filename [pix704.bin]?
 

) フラッシュの再フォーマット中には、フラッシュの無効なブロックについて示す複数の行が表示されますが、これは正常な動作です。

PIX Version 6.3 の設定は downgrade.cfg として PIX Security Appliance Version 7.0 に保存されます。


b. show flash コマンドを入力して、イメージがフラッシュにコピーされたことを確認します。

PIX(config)#show flash
Directory of flash:/
-rw- 2024 05:31:23 Apr 23 2004 downgrade.cfg
-rw- 4644864 06:13:53 Apr 22 2004 pix704.bin
 

c. 新しい boot system flash:/ コマンドを入力して、新しいイメージからブートします。

PIX(config)#boot system flash:/
 

次の例を参考にしてください。

boot system flash:pix704.bin
 

d. write memory コマンドを入力して、フラッシュのコンフィギュレーション ファイルを更新します。

PIX(config)#write memory
 

e. show version コマンドを入力して、イメージがアップグレードされたことを確認します。

PIX(config)#show version
 

) show startup-config errors コマンドを使用して、フラッシュ メモリから設定を読み取る間に発生したエラーを確認します。


アップグレードの出力を表示するには、「アップグレードの例」を参照してください。


 

アップグレードの例

PIX Version 6.3 ソフトウェアを PIX Security Appliance Version 7.0 にアップグレードするには、「アップグレード手順」の手順を実行します。ここでは、7 つの設定シナリオの出力を取り上げます。各シナリオについて、使用されている前提条件、アップグレード前の設定例、アップグレードの設定例、およびアップグレード後の設定例を示します。

「PIX Version 6.3 から Security Appliance Version 7.0 への基本的なアップグレード」

「リモート アクセス機能を持つ VPN クライアントへのアップグレード」

「VLAN を使用する Security Appliance Version 7.0 へのアップグレード」

「Voice Over IP 機能を持つ Security Appliance Version 7.0 へのアップグレード」

「認証機能を持つ Security Appliance Version 7.0 へのアップグレード」

「アクティブ/スタンバイ フェールオーバー機能を持つ Security Appliance Version 7.0 へのアップグレード」

「コンジットを持つ Security Appliance Version 7.0 へのアップグレード」


) PIX Version 6.3 から PIX Security Appliance Version 7.0 へのアップグレードでは、コマンド構文の変更に関連した警告やシステム メッセージが表示されることがあります。このようなメッセージの表示は正常な動作です。

次に説明する各例では、show run コマンドを write terminal コマンドに置き換えてもかまいません。


PIX Version 6.3 から Security Appliance Version 7.0 への基本的なアップグレード

前提条件

PIX Version 6.3 から PIX Security Appliance Version 7.0 への基本的なアップグレードの実行にあたり、この設定例では次のことを前提としています(図1 を参照)。

すべての内部ホストはグローバル プール経由で外部にアクセスする。

少数の内部ホストに対して DHCP でアドレス情報が提供される。

HTTP サーバには、管理のために内部インターフェイスと外部インターフェイスからアクセスできる。

ネットワーク接続のテストを可能にするために、セキュリティ アプライアンスでは ICMP が許可されている。

外部ソースから特定の内部ホストへの Telnet が許可されている。

図1 基本的なアップグレードの設定例

 

アップグレード前

次の例は、PIX Security Appliance Version 7.0 にアップグレードする前の現在の PIX Version 6.3 の設定を show run コマンドで出力したものです。

Migration1(config)# show run
: Saved
:
PIX Version 6.3(4)
 
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname Migration1
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 172.16.1.75 Linux
access-list 101 permit icmp any any
access-list 101 permit tcp any host 172.16.1.160 eq telnet
pager lines 24
logging on
logging trap informational
logging host inside 192.168.1.99
icmp permit any outside
icmp permit any inside
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.1.161 255.255.255.0
ip address inside 192.168.1.161 255.255.255.0
no ip address dmz
no ip address intf3
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address dmz
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
pdm location 192.168.1.99 255.255.255.255 inside
pdm history enable
arp timeout 14400
global (outside) 1 172.16.1.210-172.16.1.212
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 172.16.1.160 192.168.1.100 netmask 255.255.255.255 0 0
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 0.0.0.0 0.0.0.0 outside
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.100-192.168.1.102 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
terminal width 80
Cryptochecksum:513c9e266857650270411a7f884e68f7
: end

アップグレード

copy tftp://<ip address>/pix704.bin.<image>flash:image コマンドを入力して、新しいイメージにアップグレードします。

次の出力は、現在の PIX Version 6.3 の設定から PIX Security Appliance Version 7.0 へのアップグレード手順の進行を示しています。

Migration1# copy tftp://192.168.1.161/cdisk.7.0(4) flash:image
copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image
 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 
Received 5124096 bytes
 
Erasing current image
 
Writing 5062712 bytes of image
 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 
Image installed
 
Migration1# reload
Proceed with reload? [confirm]
 
Rebooting..
 
CISCO SYSTEMS PIX FIREWALL
 
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
64 MB RAM
 
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 7192 Host Bridge
00 07 00 8086 7110 ISA Bridge
00 07 01 8086 7111 IDE Controller
00 07 02 8086 7112 Serial Bus 9
00 07 03 8086 7113 PCI Bridge
00 0D 00 8086 1209 Ethernet 11
00 0E 00 8086 1209 Ethernet 10
00 11 00 14E4 5823 Co-Processor 11
00 13 00 8086 B154 PCI-to-PCI Bridge
01 04 00 8086 1229 Ethernet 11
01 05 00 8086 1229 Ethernet 10
01 06 00 8086 1229 Ethernet 9
01 07 00 8086 1229 Ethernet 5
 
Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000
 
Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5059072 bytes of image from flash.
 
########################################################################################################################################################################################################################################################################################################################################################################################################################################################################
64MB RAM
 
Total NICs found: 6
mcwa i82559 Ethernet at irq 11 MAC: 0011.937e.0650
mcwa i82559 Ethernet at irq 10 MAC: 0011.937e.064f
mcwa i82559 Ethernet at irq 11 MAC: 000d.88ee.dfa0
mcwa i82559 Ethernet at irq 10 MAC: 000d.88ee.dfa1
mcwa i82559 Ethernet at irq 9 MAC: 000d.88ee.dfa2
mcwa i82559 Ethernet at irq 5 MAC: 000d.88ee.dfa3
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash
 
 
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: relinked orphaned file into the fs as "/lost+found/00011".
flashfs[7]: relinked orphaned directory into the fs as "/lost+found/00008".
flashfs[7]: relinked orphaned directory into the fs as "/lost+found/00002".
flashfs[7]: 220 files, 8 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 7895040
flashfs[7]: Bytes available: 8232960
flashfs[7]: flashfs fsck took 53 seconds.
flashfs[7]: Initialization complete.
 
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
 
Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs : 25
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited
 
This platform has an Unrestricted (UR) license.
 
Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
--------------------------------------------------------------------------
. .
| |
||| |||
.|| ||. .|| ||.
.:||| | |||:..:||| | |||:.
C i s c o S y s t e m s
--------------------------------------------------------------------------
 
Cisco PIX Security Appliance Software Version 7.0(4)
 
****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.
 
A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
 
If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************
 
Copyright (c) 1996-2005 by Cisco Systems, Inc.
 
Restricted Rights Legend
 
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
 
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
 
Cryptochecksum(unchanged): 513c9e26 68576502 70411a7f 884e68f7
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.

アップグレード後

PIX Security Appliance Version 7.0 へのアップグレードを実行したら、enable コマンドを入力してコンフィギュレーション モードに入り、パスワードを入力して、最後に show run コマンドを入力します。出力は次のようになります。

Migration1> enable
Password:
 
Migration1(config)# show run
: Saved
 
PIX Version 7.0(4)
 
names
name 172.16.1.75 Linux
!
interface Ethernet0
speed 100
duplex full
nameif outside
security-level 0
ip address 172.16.1.161 255.255.255.0
!
interface Ethernet1
speed 100
duplex full
nameif inside
security-level 100
ip address 192.168.1.161 255.255.255.0
!
interface Ethernet2
shutdown
nameif dmz
security-level 50
no ip address
!
interface Ethernet3
shutdown
nameif intf3
security-level 6
no ip address
!
interface Ethernet4
shutdown
nameif intf4
security-level 8
no ip address
!
interface Ethernet5
shutdown
nameif intf5
security-level 10
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname Migration1
domain-name ciscopix.com
boot system flash:/image.bin
ftp mode passive
access-list 101 extended permit icmp any any
access-list 101 extended permit tcp any host 172.16.1.160 eq telnet
pager lines 24
logging enable
logging trap informational
logging host inside 192.168.1.99
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
no failover
monitor-interface outside
monitor-interface inside
monitor-interface dmz
monitor-interface intf3
monitor-interface intf4
monitor-interface intf5
icmp permit any outside
icmp permit any inside
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 172.16.1.210-172.16.1.212
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 172.16.1.160 192.168.1.100 netmask 255.255.255.255
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
http server enable
http 0.0.0.0 0.0.0.0 outside
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
no sysopt connection permit-ipsec
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
ssh version 1
console timeout 0
dhcpd address 192.168.1.100-192.168.1.102 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect http
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:513c9e266857650270411a7f884e68f7
: end
 
Migration1#

リモート アクセス機能を持つ VPN クライアントへのアップグレード

前提条件

リモート アクセス機能を持つ VPN クライアントへのアップグレードの実行にあたり、この設定例では次のことを前提としています(図2を参照)。

PIX 515E はヘッドエンド デバイスとして機能し、着信するリモート VPN クライアントは PIX 515E で終端する。

VPN クライアント(ユーザではない)接続の認証は、事前共有キーを使用して実行される。

ユーザ認証は Windows のユーザ名とパスワードを使用して実行される。

クライアントのアドレスは 3.3.3.0 ~ 3.3.3.254 の範囲にある(正しい IP アドレスを確認するには、ip pool コマンドを使用する)。

PDM は内部ネットワークからイネーブルにされる。

図2 VPN クライアントの設定例

 

アップグレード前

次の例は、PIX Security Appliance Version 7.0 にアップグレードする前の現在の PIX Version 6.3 の設定を show run コマンドで出力したものです。

vpnra# show run
: Saved
:
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 100full
interface ethernet3 100full
interface ethernet4 100full
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security4
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname vpnra
domain-name migration.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list nat0 permit ip any 3.3.3.0 255.255.255.0
pager lines 24
logging on
logging buffered debugging
icmp permit any outside
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.1.164 255.255.255.0
ip address inside 192.168.1.164 255.255.255.0
no ip address intf2
no ip address intf3
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
ip local pool migratepool 3.3.3.1-3.3.3.254
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address intf2
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
pdm location 192.168.3.0 255.255.255.0 outside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nat0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.16.1.100 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map ForRA 20 ipsec-isakmp dynamic outside_dyn_map
crypto map ForRA interface outside
isakmp enable outside
isakmp policy 30 authentication pre-share
isakmp policy 30 encryption 3des
isakmp policy 30 hash md5
isakmp policy 30 group 2
isakmp policy 30 lifetime 86400
vpngroup migration address-pool migratepool
vpngroup migration idle-time 1800
vpngroup migration password ********
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:4a5e923ecb2353471603a82ee2f4df47
: end

アップグレード

copy tftp://<ip address>/pix704.bin.<image>flash:image コマンドを入力して、新しいイメージにアップグレードします。次の出力は、現在の PIX Version 6.3 の設定から PIX Security Appliance Version 7.0 へのアップグレード手順の進行を示しています。

vpnra# copy tftp://192.168.1.100/cdisk.7.0(4) flash:image
copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5062712 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
 

reload コマンドを入力して新しい PIX Security Appliance Version 7.0 イメージの使用を開始し、次のプロンプトで Enter キーを押して reload コマンドを確定します。

vpnra# reload
Proceed with reload? [confirm]
 
 
Rebooting...
 
CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
64 MB RAM
 
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 7192 Host Bridge
00 07 00 8086 7110 ISA Bridge
00 07 01 8086 7111 IDE Controller
00 07 02 8086 7112 Serial Bus 9
00 07 03 8086 7113 PCI Bridge
00 0D 00 8086 1209 Ethernet 11
00 0E 00 8086 1209 Ethernet 10
00 11 00 14E4 5823 Co-Processor 11
00 13 00 8086 B154 PCI-to-PCI Bridge
01 04 00 8086 1229 Ethernet 11
01 05 00 8086 1229 Ethernet 10
01 06 00 8086 1229 Ethernet 9
01 07 00 8086 1229 Ethernet 5
 
Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000
 
Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5059072 bytes of image from flash.
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
########################################################
64MB RAM
 
Total NICs found: 6
mcwa i82559 Ethernet at irq 11 MAC: 0011.937e.0650
mcwa i82559 Ethernet at irq 10 MAC: 0011.937e.064f
mcwa i82559 Ethernet at irq 11 MAC: 000d.88ee.dfa0
mcwa i82559 Ethernet at irq 10 MAC: 000d.88ee.dfa1
mcwa i82559 Ethernet at irq 9 MAC: 000d.88ee.dfa2
mcwa i82559 Ethernet at irq 5 MAC: 000d.88ee.dfa3
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash
 
 
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: relinked orphaned file into the fs as "/lost+found/00238".
flashfs[7]: 229 files, 11 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 8273920
flashfs[7]: Bytes available: 7854080
flashfs[7]: flashfs fsck took 53 seconds.
flashfs[7]: Initialization complete.
 
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
 
Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs : 25
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited
 
This platform has an Unrestricted (UR) license.
 
Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
--------------------------------------------------------------------------
. .
| |
||| |||
.|| ||. .|| ||.
.:||| | |||:..:||| | |||:.
C i s c o S y s t e m s
--------------------------------------------------------------------------
 
Cisco PIX Security Appliance Software Version 7.0(4)
 
****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.
 
A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
 
If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************
 
Copyright (c) 1996-2005 by Cisco Systems, Inc.
 
Restricted Rights Legend
 
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
 
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
 
Cryptochecksum(unchanged): 4a5e923e cb235347 1603a82e e2f4df47
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
 
San Jose, California 95134-1706
 

アップグレード後

PIX Security Appliance Version 7.0 イメージへのアップグレード後の出力では、「アップグレード前」の前提条件が次のように変更されています。

インターフェイス情報がグループ化される。

vpngroup コマンドが group-policy コマンドと tunnel-group コマンドに置き換えられる。

デフォルトの ISAKMP ポリシーが、次の例のようにポリシー番号 65535 として表示される。

PIX Version 6.3 の構文:

#
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
 
#

PIX Security Appliance Version 7.0 の構文:

#
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
 

PIX Security Appliance Version 7.0 へのアップグレードを実行したら、enable コマンドを入力してコンフィギュレーション モードに入り、パスワードを入力して、最後に show run コマンドを入力します。出力は次のようになります。

vpnra> enable
Password:
vpnra# show run
: Saved
:
PIX Version 7.0(4)
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.16.1.164 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.1.164 255.255.255.0
!
interface Ethernet2
speed 100
duplex full
nameif intf2
security-level 4
no ip address
!
interface Ethernet3
speed 100
duplex full
nameif intf3
security-level 6
no ip address
!
interface Ethernet4
speed 100
duplex full
nameif intf4
security-level 8
no ip address
!
interface Ethernet5
shutdown
nameif intf5
security-level 10
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname vpnra
domain-name migration.com
boot system flash:/image.bin
ftp mode passive
access-list nat0 extended permit ip any 3.3.3.0 255.255.255.0
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip local pool migratepool 3.3.3.1-3.3.3.254
no failover
monitor-interface outside
monitor-interface inside
monitor-interface intf2
monitor-interface intf3
monitor-interface intf4
monitor-interface intf5
icmp permit any outside
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 access-list nat0
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 172.16.1.100 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
group-policy migration internal
group-policy migration attributes
vpn-idle-timeout 30
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map ForRA 20 ipsec-isakmp dynamic outside_dyn_map
crypto map ForRA interface outside
isakmp enable outside
isakmp policy 30 authentication pre-share
isakmp policy 30 encryption 3des
isakmp policy 30 hash md5
isakmp policy 30 group 2
isakmp policy 30 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh timeout 5
ssh version 1
console timeout 0
tunnel-group migration type ipsec-ra
tunnel-group migration general-attributes
address-pool migratepool
default-group-policy migration
tunnel-group migration ipsec-attributes
pre-shared-key *
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect http
inspect ils
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:4a5e923ecb2353471603a82ee2f4df47
: end
vpnra#
 

VLAN を使用する Security Appliance Version 7.0 へのアップグレード

前提条件

VLAN を使用する PIX Security Appliance Version 7.0 へのアップグレードの実行にあたり、この設定例では次のことを前提としています(図3 を参照)。

VLAN がイネーブルで、外部には 2 つのトランク インターフェイス上に 3 つずつ、合計 6 インターフェイスが存在し、内部には dmz0、dmz1、dmz2、および dmz3 が存在する。

rsh と sqlnet のフィックスアップ プロトコルは無効になっている。

デバッグ レベルのログがバッファに記録される。

インターフェイス inside 上のホストはインターフェイス outside を経由して接続を開始できる。

インターフェイス dmz2 上のサーバをインターフェイス outside で使用できる。

Ethernet0 はスイッチへの 802.1q トランクである。

Ethernet1 はスイッチへの 802.1a トランクである。

Ethernet2 はサーバ ファームへの非トランク接続である。

図3 VLAN の設定例

 

アップグレード前

次の例は、PIX Security Appliance Version 7.0 にアップグレードする前の現在の PIX Version 6.3 の設定を show run コマンドで出力したものです。

PixVlan# show run
: Saved
:
PIX Version 6.3(4)
interface ethernet0 100full
interface ethernet0 vlan10 physical
interface ethernet0 vlan20 logical
interface ethernet0 vlan30 logical
interface ethernet1 100full
interface ethernet1 vlan40 physical
interface ethernet1 vlan50 logical
interface ethernet1 vlan60 logical
interface ethernet2 100full
interface ethernet3 100full
interface ethernet4 100full
interface ethernet5 auto shutdown
interface ethernet6 auto shutdown
interface ethernet7 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 dmz2 security40
nameif ethernet2 intf2 security4
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
nameif ethernet6 intf6 security12
nameif ethernet7 intf7 security14
nameif vlan20 dmz0 security20
nameif vlan30 dmz1 security30
nameif vlan50 dmz3 security50
nameif vlan60 inside security100
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PixVlan
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
no fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
no fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list 1 permit ip any host 172.16.1.144
pager lines 24
logging on
logging buffered debugging
mtu outside 1500
mtu dmz2 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
mtu intf6 1500
mtu intf7 1500
ip address outside 172.16.1.175 255.255.255.0
ip address dmz2 192.168.3.175 255.255.255.0
ip address intf2 10.1.1.1 255.255.255.0
no ip address intf3
no ip address intf4
no ip address intf5
no ip address intf6
no ip address intf7
ip address dmz0 192.168.1.175 255.255.255.0
ip address dmz1 192.168.2.175 255.255.255.0
ip address dmz3 192.168.4.175 255.255.255.0
ip address inside 192.168.6.175 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address dmz2
no failover ip address intf2
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
no failover ip address intf6
no failover ip address intf7
no failover ip address dmz0
no failover ip address dmz1
no failover ip address dmz3
no failover ip address inside
pdm history enable
arp timeout 14400
global (outside) 1 172.16.1.101-172.16.1.110
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (dmz2,outside) 172.16.1.144 192.168.3.144 netmask 255.255.255.255 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.4.0 255.255.255.0 dmz3
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:8931adafa47b3649c5954e72212043a1
: end
 

アップグレード

copy tftp://<ip address>/pix704.bin.<image>flash:image コマンドを入力して、新しいイメージにアップグレードします。次の出力は、現在の PIX Version 6.3 の設定から PIX Security Appliance Version 7.0 へのアップグレード手順の進行を示しています。

PixVlan# copy tftp://10.1.1.100/cdisk.7.0(4) flash:image
copying tftp://10.1.1.100/cdisk.7.0(4) to flash:image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5062712 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
 

reload コマンドを入力して新しい PIX Security Appliance Version 7.0 イメージの使用を開始し、次のプロンプトで Enter キーを押して reload コマンドを確定します。

PixVlan# reload
Proceed with reload? [confirm]
Rebooting..
 
Wait.....
 
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 7192 Host Bridge
00 07 00 8086 7110 ISA Bridge
00 07 01 8086 7111 IDE Controller
00 07 02 8086 7112 Serial Bus 9
00 07 03 8086 7113 PCI Bridge
00 0B 00 1011 0026 PCI-to-PCI Bridge
00 0D 00 8086 1209 Ethernet 11
00 0E 00 8086 1209 Ethernet 10
00 11 00 8086 1229 Ethernet 11
00 13 00 8086 1229 Ethernet 5
01 00 00 8086 1229 Ethernet 11
01 01 00 8086 1229 Ethernet 104.3
01 02 00 8086 1229 Ethernet 9
01 03 00 8086 1229 Ethernet 5
Initializing Intel Boot Agent Version 2.2
Initializing Intel Boot Agent Version 2.2ram..
Press Ctrl+S to enter into the Setup Program..
+------------------------------------------------------------------------------+
| System BIOS Configuration, (C) 2000 General Software, Inc. |
+---------------------------------------+--------------------------------------+
| System CPU : Pentium III | Low Memory : 638KB |
| Coprocessor : Enabled | Extended Memory : 255MB |
| Embedded BIOS Date : 08/25/00 | Serial Ports 1-2 : 03F8 02F8 |
+---------------------------------------+--------------------------------------+
 
Cisco Secure PIX Firewall BIOS (4.2) #1: Fri Mar 23 04:10:24 PST 2001
Platform PIX-525
System Flash=E28F128J3 @ 0xfff00000
 
Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5059072 bytes of image from flash.
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
########################################################
256MB RAM
 
Total NICs found: 8
mcwa i82559 Ethernet at irq 11 MAC: 0002.b945.b6d2
mcwa i82559 Ethernet at irq 10 MAC: 0002.b945.b6d1
mcwa i82559 Ethernet at irq 11 MAC: 0002.b308.7273
mcwa i82559 Ethernet at irq 5 MAC: 0002.b304.1a35
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.d47a
mcwa i82558 Ethernet at irq 10 MAC: 00e0.b600.d479
mcwa i82558 Ethernet at irq 9 MAC: 00e0.b600.d478
mcwa i82558 Ethernet at irq 5 MAC: 00e0.b600.d477
BIOS Flash=e28f400b5t @ 0xd8000
Old file system detected. Attempting to save data in flash
 
 
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 38...block number was (0)
flashfs[7]: erasing block 38...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 8, parent_fileid 0
flashfs[7]: 8 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 9728
flashfs[7]: Bytes available: 16118272
flashfs[7]: flashfs fsck took 80 seconds.
flashfs[7]: Initialization complete.
 
Saving the datafile
!
Saving a copy of old datafile for downgrade
!
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
 
Licensed features for this platform:
Maximum Physical Interfaces : 10
Maximum VLANs : 100
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited
 
This platform has an Unrestricted (UR) license.
 
--------------------------------------------------------------------------
. .
| |
||| |||
.|| ||. .|| ||.
.:||| | |||:..:||| | |||:.
C i s c o S y s t e m s
--------------------------------------------------------------------------
 
Cisco PIX Security Appliance Software Version 7.0(4)
 
****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.
 
A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
 
If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************
 
Copyright (c) 1996-2005 by Cisco Systems, Inc.
 
Restricted Rights Legend
 
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
 
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
 
Cryptochecksum(unchanged): 8931adaf a47b3649 c5954e72 212043a1
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
 

アップグレード後

PIX Security Appliance Version 7.0 イメージへのアップグレード後の出力では、「アップグレード前」の前提条件が次のように変更されています。

インターフェイス情報がグループ化される。

VLAN 情報がトランク インターフェイスのサブインターフェイスとして表示される。

VLAN ごとに詳細情報が表示される。

rsh と sqlnet の inspect 文が存在しない。

PIX Version 6.3(3) の設定で確立された接続は変更されない。

PIX Security Appliance Version 7.0 へのアップグレードを実行したら、enable コマンドを入力してコンフィギュレーション モードに入り、パスワードを入力して、最後に show run コマンドを入力します。出力は次のようになります。

 
PixVlan> enable
Password:
PixVlan# show run
: Saved
:
PIX Version 7.0(4)
names
!
interface Ethernet0
speed 100
duplex full
no nameif
no security-level
no ip address
!
interface Ethernet0.10
vlan 10
nameif outside
security-level 0
ip address 172.16.1.175 255.255.255.0
!
interface Ethernet0.20
vlan 20
nameif dmz0
security-level 20
ip address 192.168.1.175 255.255.255.0
!
interface Ethernet0.30
vlan 30
nameif dmz1
security-level 30
ip address 192.168.2.175 255.255.255.0
!
interface Ethernet1
speed 100
duplex full
no nameif
no security-level
no ip address
!
interface Ethernet1.40
vlan 40
nameif dmz2
security-level 40
ip address 192.168.3.175 255.255.255.0
!
interface Ethernet1.50
vlan 50
nameif dmz3
security-level 50
ip address 192.168.4.175 255.255.255.0
!
interface Ethernet1.60
vlan 60
nameif inside
security-level 100
ip address 192.168.6.175 255.255.255.0
!
interface Ethernet2
speed 100
duplex full
nameif intf2
security-level 4
no ip address
!
interface Ethernet3
speed 100
duplex full
nameif intf3
security-level 6
no ip address
!
interface Ethernet4
speed 100
duplex full
nameif intf4
security-level 8
no ip address
!
interface Ethernet5
shutdown
nameif intf5
security-level 10
no ip address
!
interface Ethernet6
shutdown
nameif intf6
security-level 12
no ip address
!
interface Ethernet7
shutdown
nameif intf7
security-level 14
no ip address
!
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PixVlan
boot system flash:/image.bin
ftp mode passive
access-list 1 extended permit ip any host 172.16.1.144
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu dmz2 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
mtu intf6 1500
mtu intf7 1500
mtu dmz0 1500
mtu inside 1500
mtu dmz3 1500
mtu dmz1 1500
no failover
monitor-interface intf2
monitor-interface intf3
monitor-interface intf4
monitor-interface intf5
monitor-interface intf6
monitor-interface intf7
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 172.16.1.101-172.16.1.110
nat (inside) 1 0.0.0.0 0.0.0.0
static (dmz2,outside) 172.16.1.144 192.168.3.144 netmask 255.255.255.255
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0
:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
http server enable
http 192.168.4.0 255.255.255.0 dmz3
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
no sysopt connection permit-ipsec
telnet timeout 5
ssh timeout 5
ssh version 1
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect http
inspect netbios
inspect rtsp
inspect skinny
inspect esmtp
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:8931adafa47b3649c5954e72212043a1
: end
PixVlan#

Voice Over IP 機能を持つ Security Appliance Version 7.0 へのアップグレード

前提条件

Voice over IP を使用する PIX Security Appliance Version 7.0 へのアップグレードの実行にあたり、この設定例では次のことを前提としています(図4 を参照)。

IP 電話は任意のインターフェイス上(内部、外部、DMZ)に配置できる。

CallManager は内部インターフェイス上に配置されている。

アドレッシングの処理に NAT が使用される。

SKINNY / 2000 のフィックスアップでダイナミック コール トラフィックを処理する。

図4 Voice over IP の設定例

 

アップグレード前

次の例は、PIX Security Appliance Version 7.0 にアップグレードする前の現在の PIX Version 6.3 の設定を show run コマンドで出力したものです。

Migration# show run
: Saved
:
PIX Version 6.3(4)
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname VoipDhcp
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
<--- More --->
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 172.16.1.75 Linux
access-list outside permit udp any host 172.16.1.100 eq tftp
access-list outside permit tcp any host 172.16.1.100 eq 2000
access-list dmz permit udp any host 192.168.2.100 eq tftp
access-list dmz permit tcp any host 192.168.2.100 eq 2000
pager lines 24
logging on
logging trap informational
logging host inside 192.168.1.99
icmp permit any outside
icmp permit any inside
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu intf3 1500
<--- More --->
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.1.10 255.255.255.0
ip address inside 192.168.1.10 255.255.255.0
ip address dmz 192.168.2.10 255.255.255.0
no ip address intf3
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address dmz
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
pdm location 192.168.1.99 255.255.255.255 inside
pdm history enable
arp timeout 14400
global (outside) 1 172.16.1.101-172.16.1.200
global (dmz) 1 192.168.2.101-192.168.2.200
<--- More --->
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,dmz) 192.16.1.100 192.168.1.100 netmask 255.255.255.255 0 0
static (inside,outside) 172.16.1.100 192.168.1.100 netmask 255.255.255.255 0 0
access-group outside in interface outside
access-group dmz in interface dmz
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 0.0.0.0 0.0.0.0 outside
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
<--- More --->
floodguard enable
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.100-192.168.1.102 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
terminal width 80
Cryptochecksum:a02cd774d0d9c6a3c5f706afc763aee1
: end
 

アップグレード

copy tftp://<ip address>/pix704.bin.<image>flash:image コマンドを入力して、新しいイメージにアップグレードします。次の出力は、現在の PIX Version 6.3 の設定から PIX Security Appliance Version 7.0 へのアップグレード手順の進行を示しています。

 
VoipDhcp# copy tftp://192.168.1.100/cdisk.7.0(4) flash:image
copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5062712 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
 

reload コマンドを入力して新しい PIX Security Appliance Version 7.0 イメージの使用を開始し、次のプロンプトで Enter キーを押して reload コマンドを確定します。

VoipDhcp# reload
Proceed with reload? [confirm]
 
Rebooting..ÿ
 
CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
64 MB RAM
 
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 7192 Host Bridge
00 07 00 8086 7110 ISA Bridge
00 07 01 8086 7111 IDE Controller
00 07 02 8086 7112 Serial Bus 9
00 07 03 8086 7113 PCI Bridge
00 0D 00 8086 1209 Ethernet 11
00 0E 00 8086 1209 Ethernet 10
00 11 00 14E4 5823 Co-Processor 11
00 13 00 8086 B154 PCI-to-PCI Bridge
01 04 00 8086 1229 Ethernet 11
01 05 00 8086 1229 Ethernet 10
01 06 00 8086 1229 Ethernet 9
01 07 00 8086 1229 Ethernet 5
 
 
Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000
 
 
Use BREAK or ESC to interrupt flash boot.
 
Use SPACE to begin flash boot immediately.
 
Flash boot in 10 seconds. 9 seconds.
Reading 5059072 bytes of image from flash.
 
########################################################################################################################################################################################################################################################################################################################################################################################################################################################################
64MB RAM
 
Total NICs found: 6
mcwa i82559 Ethernet at irq 11 MAC: 0011.937e.0650
mcwa i82559 Ethernet at irq 10 MAC: 0011.937e.064f
mcwa i82559 Ethernet at irq 11 MAC: 000d.88ee.dfa0
mcwa i82559 Ethernet at irq 10 MAC: 000d.88ee.dfa1
mcwa i82559 Ethernet at irq 9 MAC: 000d.88ee.dfa2
mcwa i82559 Ethernet at irq 5 MAC: 000d.88ee.dfa3
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash
 
 
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 238, parent_fileid 0
flashfs[7]: 230 files, 11 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 8067584
flashfs[7]: Bytes available: 8060416
flashfs[7]: flashfs fsck took 53 seconds.
flashfs[7]: Initialization complete.
 
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
 
Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs : 25
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited
 
This platform has an Unrestricted (UR) license.
 
Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
--------------------------------------------------------------------------
. .
| |
||| |||
.|| ||. .|| ||.
.:||| | |||:..:||| | |||:.
C i s c o S y s t e m s
--------------------------------------------------------------------------
 
Cisco PIX Security Appliance Software Version 7.0(4)
 
****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.
 
A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
 
If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************
 
Copyright (c) 1996-2005 by Cisco Systems, Inc.
 
Restricted Rights Legend
 
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
 
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
 
Cryptochecksum(unchanged): a02cd774 d0d9c6a3 c5f706af c763aee1
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
 

アップグレード後

PIX Security Appliance Version 7.0 へのアップグレードを実行したら、enable コマンドを入力してコンフィギュレーション モードに入り、パスワードを入力して、最後に show run コマンドを入力します。出力は次のようになります。

 
VoipDhcp> enable
Password:
VoipDhcp# show run
: Saved
:
PIX Version 7.0(4)
names
name 172.16.1.75 Linux
!
interface Ethernet0
speed 100
duplex full
nameif outside
security-level 0
ip address 172.16.1.10 255.255.255.0
!
interface Ethernet1
speed 100
duplex full
nameif inside
security-level 100
ip address 192.168.1.10 255.255.255.0
!
interface Ethernet2
shutdown
nameif dmz
security-level 50
ip address 192.168.2.10 255.255.255.0
<--- More --->
!
interface Ethernet3
shutdown
nameif intf3
security-level 6
no ip address
!
interface Ethernet4
shutdown
nameif intf4
security-level 8
no ip address
!
interface Ethernet5
shutdown
nameif intf5
security-level 10
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname VoipDhcp
domain-name ciscopix.com
boot system flash:/image.bin
<--- More --->
ftp mode passive
access-list outside extended permit udp any host 172.16.1.100 eq tftp
access-list outside extended permit tcp any host 172.16.1.100 eq 2000
access-list dmz extended permit udp any host 192.168.2.100 eq tftp
access-list dmz extended permit tcp any host 192.168.2.100 eq 2000
pager lines 24
logging enable
logging trap informational
logging host inside 192.168.1.99
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
no failover
monitor-interface outside
monitor-interface inside
monitor-interface dmz
monitor-interface intf3
monitor-interface intf4
monitor-interface intf5
icmp permit any outside
icmp permit any inside
<--- More --->
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 172.16.1.101-172.16.1.200
global (dmz) 1 192.168.2.101-192.168.2.200
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,dmz) 192.16.1.100 192.168.1.100 netmask 255.255.255.255
static (inside,outside) 172.16.1.100 192.168.1.100 netmask 255.255.255.255
access-group outside in interface outside
access-group dmz in interface dmz
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
http server enable
http 0.0.0.0 0.0.0.0 outside
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
no sysopt connection permit-ipsec
<--- More --->
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
ssh version 1
console timeout 0
dhcpd address 192.168.1.100-192.168.1.102 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect http
inspect netbios
inspect rsh
inspect rtsp
<--- More --->
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:a02cd774d0d9c6a3c5f706afc763aee1
: end
 
VoipDhcp#

認証機能を持つ Security Appliance Version 7.0 へのアップグレード

前提条件

認証機能を持つ PIX Security Appliance Version 7.0 へのアップグレードの実行にあたり、この設定例では次のことを前提としています(図5 を参照)。

PIX は 3 つのインターフェイスを持つ。

スタティックな着信インターフェイスでローカルまたは外部(またはその両方)の AAA サーバを使用する。

NAT は使用されない。

ロギング オプション付きの複数の ACL が存在する。

図5 認証の設定例

 

アップグレード前

次の例は、PIX Security Appliance Version 7.0 にアップグレードする前の現在の PIX Version 6.3 の設定を show run コマンドで出力したものです。

auth# show run
: Saved
:
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
interface ethernet3 100full shutdown
interface ethernet4 100full shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security20
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname auth
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list 110 permit ip any host 172.16.1.168 log 7 interval 1
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.1.167 255.255.255.0
ip address inside 192.168.1.167 255.255.255.0
ip address dmz 192.168.2.1 255.255.255.0
no ip address intf3
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address dmz
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 172.16.1.168 192.168.1.100 netmask 255.255.255.255 0 0
access-group 110 in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
aaa-server acs32 protocol tacacs+
aaa-server acs32 max-failed-attempts 3
aaa-server acs32 deadtime 10
aaa-server acs32 (dmz) host 192.168.2.200 cisco123 timeout 5
aaa authentication include telnet outside 192.168.1.100 255.255.255.255 0.0.0.0
0.0.0.0 acs32
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
username cisco password tLgC3MrTDBA//0RQ encrypted privilege 15
terminal width 80
Cryptochecksum:2c91baf69c09453693157eb911aa842e
: end

アップグレード

copy tftp://<ip address>/pix704.bin.<image>flash:image コマンドを入力して、新しいイメージにアップグレードします。次の出力は、現在の PIX Version 6.3 の設定から PIX Security Appliance Version 7.0 へのアップグレード手順の進行を示しています。

auth# copy tftp://192.168.1.100/cdisk.7.0(4) flash:image
copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5062712 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed

reload コマンドを入力して新しい PIX Security Appliance Version 7.0 イメージの使用を開始し、次のプロンプトで Enter キーを押して reload コマンドを確定します。

auth# reload
Proceed with reload? [confirm]
 
Rebooting..ÿ
 
CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
64 MB RAM
 
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 7192 Host Bridge
00 07 00 8086 7110 ISA Bridge
00 07 01 8086 7111 IDE Controller
00 07 02 8086 7112 Serial Bus 9
00 07 03 8086 7113 PCI Bridge
00 0D 00 8086 1209 Ethernet 11
00 0E 00 8086 1209 Ethernet 10
00 11 00 14E4 5823 Co-Processor 11
00 13 00 8086 B154 PCI-to-PCI Bridge
01 04 00 8086 1229 Ethernet 11
01 05 00 8086 1229 Ethernet 10
01 06 00 8086 1229 Ethernet 9
01 07 00 8086 1229 Ethernet 5
 
Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000
 
Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5059072 bytes of image from flash.
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
########################################################
64MB RAM
 
Total NICs found: 6
mcwa i82559 Ethernet at irq 11 MAC: 0011.937e.0650
mcwa i82559 Ethernet at irq 10 MAC: 0011.937e.064f
mcwa i82559 Ethernet at irq 11 MAC: 000d.88ee.dfa0
mcwa i82559 Ethernet at irq 10 MAC: 000d.88ee.dfa1
mcwa i82559 Ethernet at irq 9 MAC: 000d.88ee.dfa2
mcwa i82559 Ethernet at irq 5 MAC: 000d.88ee.dfa3
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash
 
 
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 240, parent_fileid 0
flashfs[7]: 231 files, 11 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 8274944
flashfs[7]: Bytes available: 7853056
flashfs[7]: flashfs fsck took 53 seconds.
flashfs[7]: Initialization complete.
 
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
 
Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs : 25
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited
 
This platform has an Unrestricted (UR) license.
 
Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
--------------------------------------------------------------------------
. .
| |
||| |||
.|| ||. .|| ||.
.:||| | |||:..:||| | |||:.
C i s c o S y s t e m s
--------------------------------------------------------------------------
 
Cisco PIX Security Appliance Software Version 7.0(4)
 
****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.
 
A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
 
If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************
 
Copyright (c) 1996-2005 by Cisco Systems, Inc.
 
Restricted Rights Legend
 
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
 
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
 
Cryptochecksum(unchanged): 2c91baf6 9c094536 93157eb9 11aa842e
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
 

アップグレード後

PIX Security Appliance Version 7.0 へのアップグレードを実行したら、enable コマンドを入力してコンフィギュレーション モードに入り、パスワードを入力して、最後に show run コマンドを入力します。出力は次のようになります。

auth> enable
Password:
auth# show run
: Saved
:
PIX Version 7.0(4)
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 172.16.1.167 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.1.167 255.255.255.0
!
interface Ethernet2
nameif dmz
security-level 20
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet3
speed 100
duplex full
shutdown
nameif intf3
security-level 6
no ip address
!
interface Ethernet4
speed 100
duplex full
shutdown
nameif intf4
security-level 8
no ip address
!
interface Ethernet5
shutdown
nameif intf5
security-level 10
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname auth
boot system flash:/image.bin
ftp mode passive
access-list 110 extended permit ip any host 172.16.1.168 log debugging interval
1
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
no failover
monitor-interface outside
monitor-interface inside
monitor-interface dmz
monitor-interface intf3
monitor-interface intf4
monitor-interface intf5
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 172.16.1.168 192.168.1.100 netmask 255.255.255.255
access-group 110 in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0
:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server acs32 protocol tacacs+
aaa-server acs32 (dmz) host 192.168.2.200
timeout 5
key cisco123
username cisco password tLgC3MrTDBA//0RQ encrypted privilege 15
aaa authentication include telnet outside 192.168.1.100 255.255.255.255 0.0.0.0 0.0.0.0 acs32
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
no sysopt connection permit-ipsec
telnet timeout 5
ssh timeout 5
ssh version 1
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect http
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:2c91baf69c09453693157eb911aa842e
: end
auth#
 

アクティブ/スタンバイ フェールオーバー機能を持つ Security Appliance Version 7.0 へのアップグレード

前提条件

アクティブ/スタンバイ フェールオーバー機能を持つ PIX Security Appliance Version 7.0 へのアップグレードの実行にあたり、この設定例では次のことを前提としています(図6 を参照)。

2 つの PIX 525 ユニットが存在する(それぞれ 4 つのインターフェイスを持つ)。

LAN ベースのステートフル フェールオーバーが設定されている。

フェールオーバー構成の初期設定が完了し、エンド ユーザによる設定が可能な状態になっている(プライマリで)。


) PIX Security Appliance Version 7.0 は、アクティブ/アクティブ フェールオーバー構成でクロスケーブルまたはシリアル ケーブルの使用をサポートします。


図6 アクティブ/スタンバイ フェールオーバーの設定例

 

概要

アクティブ/スタンバイ フェールオーバー構成の PIX へのアップグレード手順の概要は、次のとおりです。

セキュリティ アプライアンスがフェールオーバー構成で動作している状態で、アクティブな PIX Version 6.3 にログインします。

TFTP をフラッシュ メモリにコピーします。

リブートします。

show version または show run コマンドを入力して、設定を表示します。

リブート時にスタンバイの PIX が動作を引き継ぎ、アクティブな PIX は使用不可になります。

アクティブな PIX がリブートし、スタンバイの PIX となって起動します。スタンバイの PIX はトラフィックの処理を続けています。

スタンバイの PIX にログインします。

TFTP をフラッシュ メモリにコピーします。

リブートします(すべての接続が廃棄されます)。

show version または show run コマンドを入力して、設定を表示します。

リブート時にアクティブな PIX がスタンバイの PIX の動作を引き継ぎます。各 PIX では異なる Cisco IOS ソフトウェアのリリースを実行しているため、これはフェールオーバーではありません。

スタンバイの PIX がリブートし、アクティブな PIX となって再起動します。

スタンバイの PIX はアクティブな PIX と同期を取り、フェールオーバー構成を確立し直します。

別の方法として、アクティブな PIX をリブートすると同時に、スタンバイの PIX の電源を切ることもできます。その後、アクティブな PIX がトラフィックの処理を開始してからスタンバイの PIX を再起動し、PIX Security Appliance Version 7.0 へのアップグレードを実行します。 copy tftp コマンドを使用して各 PIX をプリロードし、その後アクティブな PIX をリロードします。アクティブな PIX が起動する直前にスタンバイの PIX をリロードします。これにより、ダウンタイムを最小限に抑えることができます。

アクティブな PIX のアップグレード

アクティブな PIX デバイスを PIX Security Appliance Version 7.0 にアップグレードする前に、show run コマンドを入力して、デバイスの現在の PIX Version 6.3 の設定を出力し、表示します。PIX Version 6.3 の設定の出力は、次のとおりです。

failover# show run
: Saved
:
PIX Version 6.3(4)
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 100full
interface ethernet3 100full
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 fo security10
nameif ethernet3 stfo security15
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname failover
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
mtu fo 1500
mtu stfo 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.1.2 255.255.255.0
ip address inside 192.168.1.2 255.255.255.0
ip address fo 1.1.1.1 255.255.255.0
ip address stfo 2.2.2.1 255.255.255.0
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 172.16.1.3
failover ip address inside 192.168.1.3
failover ip address fo 1.1.1.2
failover ip address stfo 2.2.2.2
no failover ip address intf4
no failover ip address intf5
failover link stfo
failover lan unit primary
failover lan interface fo
failover lan key ********
failover lan enable
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:75b1c49e64e3bef7d24326f49b428776
: end

show failover(sho fail)コマンドを入力して、フェールオーバーの運用統計を表示します。

failover# show failover
Failover On
Serial Failover Cable status: My side not connected
Reconnect timeout 0:00:00
Poll frequency 15 seconds
Last Failover at: 15:02:59 UTC Sun Mar 6 2005
This host: Primary - Active
Active time: 285 (sec)
Interface outside (172.16.1.2): Normal
Interface inside (192.168.1.2): Normal
Interface stfo (2.2.2.1): Normal
Interface intf4 (0.0.0.0): Link Down (Shutdown)
Interface intf5 (0.0.0.0): Link Down (Shutdown)
Other host: Secondary - Standby
Active time: 0 (sec)
Interface outside (172.16.1.3): Normal
Interface inside (192.168.1.3): Normal
Interface stfo (2.2.2.2): Normal
Interface intf4 (0.0.0.0): Link Down (Shutdown)
Interface intf5 (0.0.0.0): Link Down (Shutdown)
 
Stateful Failover Logical Update Statistics
Link : stfo
Stateful Obj xmit xerr rcv rerr
General 32 0 31 0
sys cmd 30 0 31 0
up time 2 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 1 33
Xmit Q: 0 1 34
 
LAN-based Failover is Active
interface fo (1.1.1.1): Normal, peer (1.1.1.2): Normal
 

アクティブな PIX デバイスで copy tftp://<ip address>/pix704.bin.<image>flash:image コマンドを入力して、新しいイメージにアップグレードします。次の出力は、現在の PIX Version 6.3 の設定から PIX Security Appliance Version 7.0 へのアップグレード手順の進行を示しています。

failover# copy tftp://192.168.1.100/cdisk.7.0(4) flash:image
copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5062712 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
 

reload コマンドを入力して、アクティブな PIX デバイスで新しい PIX Security Appliance Version 7.0 イメージの使用を開始し、次のプロンプトで Enter キーを押して reload コマンドを確定します。

failover# reload
Proceed with reload? [confirm]
 
 
Rebooting..ÿ
 
CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
64 MB RAM
 
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 7192 Host Bridge
00 07 00 8086 7110 ISA Bridge
00 07 01 8086 7111 IDE Controller
00 07 02 8086 7112 Serial Bus 9
00 07 03 8086 7113 PCI Bridge
00 0D 00 8086 1209 Ethernet 11
00 0E 00 8086 1209 Ethernet 10
00 11 00 14E4 5823 Co-Processor 11
00 13 00 8086 B154 PCI-to-PCI Bridge
01 04 00 8086 1229 Ethernet 11
01 05 00 8086 1229 Ethernet 10
01 06 00 8086 1229 Ethernet 9
01 07 00 8086 1229 Ethernet 5
 
Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000
 
Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5059072 bytes of image from flash.
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
########################################################
64MB RAM
 
Total NICs found: 6
mcwa i82559 Ethernet at irq 11 MAC: 0011.937e.0650
mcwa i82559 Ethernet at irq 10 MAC: 0011.937e.064f
mcwa i82559 Ethernet at irq 11 MAC: 000d.88ee.dfa0
mcwa i82559 Ethernet at irq 10 MAC: 000d.88ee.dfa1
mcwa i82559 Ethernet at irq 9 MAC: 000d.88ee.dfa2
mcwa i82559 Ethernet at irq 5 MAC: 000d.88ee.dfa3
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash
 
 
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: relinked orphaned file into the fs as "/lost+found/00240".
flashfs[7]: 230 files, 11 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 8482304
flashfs[7]: Bytes available: 7645696
flashfs[7]: flashfs fsck took 53 seconds.
flashfs[7]: Initialization complete.
 
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
 
Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs : 25
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited
 
This platform has an Unrestricted (UR) license.
 
Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
--------------------------------------------------------------------------
. .
| |
||| |||
.|| ||. .|| ||.
.:||| | |||:..:||| | |||:.
C i s c o S y s t e m s
--------------------------------------------------------------------------
 
Cisco PIX Security Appliance Software Version 7.0(4)
 
****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.
 
A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
 
If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************
 
Copyright (c) 1996-2005 by Cisco Systems, Inc.
 
Restricted Rights Legend
 
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
 
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
 
Cryptochecksum(unchanged): 75b1c49e 64e3bef7 d24326f4 9b428776
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
 
 

show run(sho run)コマンドを入力して、アクティブな PIX の failover コマンドの出力を表示します。

failover> enable
Password:
failover# show run
: Saved
::
PIX Version 7.0(4)
names
!
interface Ethernet0
speed 100
duplex full
nameif outside
security-level 0
ip address 172.16.1.2 255.255.255.0 standby 172.16.1.3
!
interface Ethernet1
speed 100
duplex full
nameif inside
security-level 100
ip address 192.168.1.2 255.255.255.0 standby 192.168.1.3
!
interface Ethernet2
description LAN Failover Interface
speed 100
duplex full
!
interface Ethernet3
description STATE Failover Interface
speed 100
duplex full
!
interface Ethernet4
shutdown
nameif intf4
security-level 8
no ip address
!
interface Ethernet5
shutdown
nameif intf5
security-level 10
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname failover
boot system flash:/image.bin
ftp mode passive
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf4 1500
mtu intf5 1500
no failover
failover lan unit primary
failover lan interface fo Ethernet2
failover lan enable
failover key *****
failover link stfo Ethernet3
failover interface ip fo 1.1.1.1 255.255.255.0 standby 1.1.1.2
failover interface ip stfo 2.2.2.1 255.255.255.0 standby 2.2.2.2
monitor-interface outside
monitor-interface inside
monitor-interface intf4
monitor-interface intf5
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0
:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
no sysopt connection permit-ipsec
telnet timeout 5
ssh timeout 5
ssh version 1
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect http
inspect ils
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:75b1c49e64e3bef7d24326f49b428776
: end

) アップグレード後、フェールオーバーは無効になります。


スタンバイの PIX のアップグレード


) アクティブな PIX は、スタンバイの PIX から検出されないため、障害が発生したと見なされます。


スタンバイの PIX デバイスを PIX Security Appliance Version 7.0 にアップグレードする前に、show run コマンドを入力して、デバイスの現在の PIX Version 6.3 の設定を出力し、表示します。PIX Version 6.3 の設定の出力は、次のとおりです。

failover# show run
: Saved
failover# sho run
: Saved
:
PIX Version 6.3(4)
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 100full
interface ethernet3 100full
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 fo security10
nameif ethernet3 stfo security15
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname failover
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
mtu fo 1500
mtu stfo 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.1.2 255.255.255.0
ip address inside 192.168.1.2 255.255.255.0
ip address fo 1.1.1.1 255.255.255.0
ip address stfo 2.2.2.1 255.255.255.0
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 172.16.1.3
failover ip address inside 192.168.1.3
failover ip address fo 1.1.1.2
failover ip address stfo 2.2.2.2
no failover ip address intf4
no failover ip address intf5
failover link stfo
failover lan unit secondary
failover lan interface fo
failover lan key ********
failover lan enable
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:6d45052a7f1c3d68dd10fa95a152eaa7
: end
 

show failover(sho fail)コマンドを入力して、スタンバイの PIX のフェールオーバーの運用統計を表示します。

failover# show failover
Failover On
Serial Failover Cable status: My side not connected
Reconnect timeout 0:00:00
Poll frequency 15 seconds
Last Failover at: 15:21:09 UTC Sun Mar 6 2005
This host: Secondary - Active
Active time: 300 (sec)
Interface outside (172.16.1.2): Normal (Waiting)
Interface inside (192.168.1.2): Normal (Waiting)
Interface stfo (2.2.2.1): Normal (Waiting)
Interface intf4 (0.0.0.0): Link Down (Shutdown)
Interface intf5 (0.0.0.0): Link Down (Shutdown)
Other host: Primary - Standby (Failed)
Active time: 405 (sec)
Interface outside (172.16.1.3): Unknown
Interface inside (192.168.1.3): Unknown
Interface stfo (2.2.2.2): Unknown
Interface intf4 (0.0.0.0): Unknown (Shutdown)
Interface intf5 (0.0.0.0): Unknown (Shutdown)
 
Stateful Failover Logical Update Statistics
Link : stfo
Stateful Obj xmit xerr rcv rerr
General 50 0 50 0
sys cmd 50 0 48 0
up time 0 0 2 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 1 50
Xmit Q: 0 1 50
 
LAN-based Failover is Active
interface fo (1.1.1.2): Normal, peer (1.1.1.1): Unknown
 

スタンバイの PIX で copy tftp://<ip address>/pix704.bin.<image>flash:image コマンドを入力して、新しいイメージにアップグレードします。次の出力は、現在の PIX Version 6.3 の設定から PIX Security Appliance Version 7.0 へのアップグレード手順の進行を示しています。

failover# copy tftp://192.168.1.100/cdisk.7.0(4) flash:image
copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5062712 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
 

reload コマンドを入力して新しい PIX Security Appliance Version 7.0 イメージの使用を開始し、次のプロンプトで Enter キーを押して reload コマンドを確定します。

failover# reload
Proceed with reload? [confirm]
 
 
 
Rebooting..ÿ
 
CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
64 MB RAM
 
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 7192 Host Bridge
00 07 00 8086 7110 ISA Bridge
00 07 01 8086 7111 IDE Controller
00 07 02 8086 7112 Serial Bus 9
00 07 03 8086 7113 PCI Bridge
00 0D 00 8086 1209 Ethernet 11
00 0E 00 8086 1209 Ethernet 10
00 11 00 14E4 5823 Co-Processor 11
00 13 00 8086 B154 PCI-to-PCI Bridge
01 04 00 8086 1229 Ethernet 11
01 05 00 8086 1229 Ethernet 10
01 06 00 8086 1229 Ethernet 9
01 07 00 8086 1229 Ethernet 5
 
Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000
 
Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5059072 bytes of image from flash.
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
########################################################
64MB RAM
 
Total NICs found: 6
mcwa i82559 Ethernet at irq 11 MAC: 0011.937e.0604
mcwa i82559 Ethernet at irq 10 MAC: 0011.937e.0603
mcwa i82559 Ethernet at irq 11 MAC: 000d.88ee.e1c4
mcwa i82559 Ethernet at irq 10 MAC: 000d.88ee.e1c5
mcwa i82559 Ethernet at irq 9 MAC: 000d.88ee.e1c6
mcwa i82559 Ethernet at irq 5 MAC: 000d.88ee.e1c7
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash
 
 
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: relinked orphaned file into the fs as "/lost+found/00013".
flashfs[7]: relinked orphaned directory into the fs as "/lost+found/00008".
flashfs[7]: relinked orphaned directory into the fs as "/lost+found/00006".
flashfs[7]: 18 files, 7 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 2384896
flashfs[7]: Bytes available: 13743104
flashfs[7]: flashfs fsck took 45 seconds.
flashfs[7]: Initialization complete.
 
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
 
Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs : 25
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited
 
This platform has an Unrestricted (UR) license.
 
Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
--------------------------------------------------------------------------
. .
| |
||| |||
.|| ||. .|| ||.
.:||| | |||:..:||| | |||:.
C i s c o S y s t e m s
--------------------------------------------------------------------------
 
Cisco PIX Security Appliance Software Version 7.0(4)
 
****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.
 
A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
 
If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************
 
Copyright (c) 1996-2005 by Cisco Systems, Inc.
 
Restricted Rights Legend
 
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
 
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
 
 
Cryptochecksum(unchanged): 6d45052a 7f1c3d68 dd10fa95 a152eaa7
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
 

スタンバイの PIX で PIX Security Appliance Version 7.0 へのアップグレードを実行したら、enable コマンドを入力してコンフィギュレーション モードに入り、パスワードを入力して、最後に show run(sho run)コマンドを入力します。出力は次のようになります。

failover> enable
Password:
failover# show run
: Saved
 
PIX Version 7.0(4)
names
!
interface Ethernet0
speed 100
duplex full
nameif outside
security-level 0
ip address 172.16.1.2 255.255.255.0 standby 172.16.1.3
!
interface Ethernet1
speed 100
duplex full
nameif inside
security-level 100
ip address 192.168.1.2 255.255.255.0 standby 192.168.1.3
!
interface Ethernet2
description LAN Failover Interface
speed 100
duplex full
!
interface Ethernet3
description STATE Failover Interface
speed 100
duplex full
!
interface Ethernet4
shutdown
nameif intf4
security-level 8
no ip address
!
interface Ethernet5
shutdown
nameif intf5
security-level 10
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname failover
boot system flash:/image.bin
ftp mode passive
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf4 1500
mtu intf5 1500
no failover
failover lan unit secondary
failover lan interface fo Ethernet2
failover lan enable
failover key *****
failover link stfo Ethernet3
failover interface ip fo 1.1.1.1 255.255.255.0 standby 1.1.1.2
failover interface ip stfo 2.2.2.1 255.255.255.0 standby 2.2.2.2
monitor-interface outside
monitor-interface inside
monitor-interface intf4
monitor-interface intf5
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0
:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
no sysopt connection permit-ipsec
telnet timeout 5
ssh timeout 5
ssh version 1
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect http
inspect ils
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:6d45052a7f1c3d68dd10fa95a152eaa7
: end
 

) これで、スタンバイの PIX の PIX Security Appliance Version 7.0 へのアップグレードは完了です。リブート後、フェールオーバーは無効になります。


アクティブな PIX への接続

show failover(sho fail)コマンドを入力して、アクティブな PIX のフェールオーバーを確認します。

failover# show failover
Failover Off
Cable status: My side not connected
Failover unit Primary
Failover LAN Interface: fo Ethernet2 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
 

次のように、configure terminal(conf t)コマンドを入力してアクティブな PIX でフェールオーバーをイネーブルにします。次に、failover コマンド、exit コマンドの順に入力し、最後に show failover(sho failover)コマンドを入力します。

failover# configure terminal
failover(config)# failover
failover(config)# exit
 
failover# show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Primary
Failover LAN Interface: fo Ethernet2 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Last Failover at: 15:22:22 UTC Mar 6 2005
This host: Primary - Negotiation
Active time: 0 (sec)
Interface outside (172.16.1.2): No Link (Waiting)
Interface inside (192.168.1.2): No Link (Waiting)
Interface intf4 (0.0.0.0): Link Down (Waiting)
Interface intf5 (0.0.0.0): Link Down (Waiting)
Other host: Primary - Not Detected
Active time: 0 (sec)
Interface outside (172.16.1.3): Unknown (Waiting)
Interface inside (192.168.1.3): Unknown (Waiting)
Interface intf4 (0.0.0.0): Unknown (Waiting)
Interface intf5 (0.0.0.0): Unknown (Waiting)
 
Stateful Failover Logical Update Statistics
Link : stfo Ethernet3 (up)
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 0 0
UDP conn 0 0 0 0
ARP tbl 0 0 0 0
Xlate_Timeout 0 0 0 0
VPN IKE upd 0 0 0 0
VPN IPSEC upd 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
failover#
 

スタンバイの PIX への接続

スタンバイの PIX デバイスに接続するには、次のように show failover(sho fail)コマンドを入力します。

failover(config)# show failover
Failover Off
Cable status: My side not connected
Failover unit Secondary
Failover LAN Interface: fo Ethernet2 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
 

次のように failover コマンドを入力して、スタンバイの PIX デバイスでフェールオーバーをイネーブルにします。

 
failover(config)# failover
Detected an Active mate
Beginning configuration replication from mate.
 

次のように、show failover(sho fail)コマンドを入力します。

failover(config)# show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Secondary
Failover End configuration replication from mate.
LAN Interface: fo Ethernet2 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Last Failover at: 15:33:17 UTC Mar 6 2005
This host: Secondary - Sync Config
Active time: 210 (sec)
Interface outside (172.16.1.3): Normal (Waiting)
Interface inside (192.168.1.3): Normal (Waiting)
Interface intf4 (0.0.0.0): Link Down (Waiting)
Interface intf5 (0.0.0.0): Link Down (Waiting)
Other host: Primary - Active
Active time: 75 (sec)
Interface outside (172.16.1.2): Unknown (Waiting)
Interface inside (192.168.1.2): Unknown (Waiting)
Interface intf4 (0.0.0.0): Unknown (Waiting)
Interface intf5 (0.0.0.0): Unknown (Waiting)
 
Stateful Failover Logical Update Statistics
Link : stfo Ethernet3 (up)
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 2 0 2 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 0 0
UDP conn 0 0 0 0
ARP tbl 0 0 1 0
Xlate_Timeout 0 0 0 0
VPN IKE upd 0 0 0 0
VPN IPSEC upd 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 1 12
Xmit Q: 0 1 2
 

これで、フェールオーバー機能を持つ PIX のアップグレード手順は完了です。

コンジットを持つ Security Appliance Version 7.0 へのアップグレード


) conduit 文と outbound 文は、PIX Security Appliance Version 7.0 へのアップグレードを実行する前に、アクセス コントロール リスト(access-list)コマンドに変換する必要があります。先へ進む前に、「conduit と outbound」を参照してください。確認を怠ると、出力エラーにつながります。

「アップグレード後」の設定例からは、conduit 文と outbound 文がなくなっています。これらはアクセス コントロール リストに変換されています。


前提条件

conduit コマンドを使用する PIX Version 6.3 から PIX Security Appliance Version 7.0 へのアップグレードの実行にあたり、この設定例では次のことを前提としています(図7 を参照)。

任意のネットワークの内部ユーザが、インターネットに対する outbound コマンドを作成できる。

Web サーバは内部インターフェイス(192.168.1.5)に配置され、Web サービスは conduit コマンドと static コマンドによってアクセスされる。

電子メール サーバは内部インターフェイス(172.16.1.49)に配置され、conduit コマンドによるアクセスで 209.165.201.2 からの接続のみを受け入れる。

ICMP メッセージは conduit コマンドによって PIX を制限なく通過できる。

図7 コンジットの設定例

 

アップグレード前

次の例は、PIX Security Appliance Version 7.0 にアップグレードする前の現在の PIX Version 6.3 の設定を show run コマンドで出力したものです。

failover# show run
: Saved
:
PIX Version 6.3(4)
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname Conduit
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 172.16.1.75 Linux
no pager
logging on
logging trap informational
logging host inside 192.168.1.99
icmp permit any outside
icmp permit any inside
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.1.161 255.255.255.0
ip address inside 192.168.1.161 255.255.255.0
no ip address dmz
no ip address intf3
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address dmz
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
pdm location 192.168.1.99 255.255.255.255 inside
pdm history enable
arp timeout 14400
global (outside) 1 172.16.1.210-172.16.1.212
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 172.16.1.111 192.168.1.5 netmask 255.255.255.255 0 0
conduit permit icmp any any
conduit permit tcp host 172.16.1.111 eq www any
conduit permit tcp host 172.16.1.49 eq smtp host 209.165.201.2
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 0.0.0.0 0.0.0.0 outside
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.100-192.168.1.102 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
terminal width 80
Cryptochecksum:629e8fc8b6e635161c253178e5d91814
: end
 

アップグレード

copy tftp://<ip address>/pix704.bin.<image>flash:image コマンドを入力して、新しいイメージにアップグレードします。次の出力は、現在の PIX Version 6.3 の設定から PIX Security Appliance Version 7.0 へのアップグレード手順の進行を示しています。

Conduit# copy tftp://192.168.1.100/cdisk.7.0(4) flash:image
copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5062712 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
 

reload コマンドを入力して新しい PIX Security Appliance Version 7.0 イメージの使用を開始し、次のプロンプトで Enter キーを押して reload コマンドを確定します。

 
Conduit# reload
Proceed with reload? [confirm]
 
 
Rebooting..ÿ
 
CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
64 MB RAM
 
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 7192 Host Bridge
00 07 00 8086 7110 ISA Bridge
00 07 01 8086 7111 IDE Controller
00 07 02 8086 7112 Serial Bus 9
00 07 03 8086 7113 PCI Bridge
00 0D 00 8086 1209 Ethernet 11
00 0E 00 8086 1209 Ethernet 10
00 11 00 14E4 5823 Co-Processor 11
00 13 00 8086 B154 PCI-to-PCI Bridge
01 04 00 8086 1229 Ethernet 11
01 05 00 8086 1229 Ethernet 10
01 06 00 8086 1229 Ethernet 9
01 07 00 8086 1229 Ethernet 5
 
 
Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000
 
 
Use BREAK or ESC to interrupt flash boot.
 
Use SPACE to begin flash boot immediately.
 
Flash boot in 10 seconds. 9 seconds. 8 seconds.
Reading 5059072 bytes of image from flash.
 
########################################################################################################################################################################################################################################################################################################################################################################################################################################################################
64MB RAM
 
Total NICs found: 6
mcwa i82559 Ethernet at irq 11 MAC: 0011.937e.0650
mcwa i82559 Ethernet at irq 10 MAC: 0011.937e.064f
mcwa i82559 Ethernet at irq 11 MAC: 000d.88ee.dfa0
mcwa i82559 Ethernet at irq 10 MAC: 000d.88ee.dfa1
mcwa i82559 Ethernet at irq 9 MAC: 000d.88ee.dfa2
mcwa i82559 Ethernet at irq 5 MAC: 000d.88ee.dfa3
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash
 
 
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: relinked orphaned file into the fs as "/lost+found/00233".
flashfs[7]: relinked orphaned directory into the fs as "/lost+found/00229".
flashfs[7]: 224 files, 9 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 8061952
flashfs[7]: Bytes available: 8066048
flashfs[7]: flashfs fsck took 53 seconds.
flashfs[7]: Initialization complete.
 
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
 
Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs : 25
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited
 
This platform has an Unrestricted (UR) license.
 
Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
--------------------------------------------------------------------------
. .
| |
||| |||
.|| ||. .|| ||.
.:||| | |||:..:||| | |||:.
C i s c o S y s t e m s
--------------------------------------------------------------------------
 
Cisco PIX Security Appliance Software Version 7.0(4)
 
****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.
 
A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
 
If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************
 
Copyright (c) 1996-2005 by Cisco Systems, Inc.
 
Restricted Rights Legend
 
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
 
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
 
Cryptochecksum(unchanged): 629e8fc8 b6e63516 1c253178 e5d91814
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
 
 

アップグレード後


) ここで示す設定例からは、conduit 文と outbound 文がなくなっています。これらはアクセス コントロール リストに変換されています。


PIX Security Appliance Version 7.0 へのアップグレードを実行したら、enable コマンドを入力してコンフィギュレーション モードに入り、パスワードを入力して、最後に show run コマンドを入力します。出力は次のようになります。

Conduit> enable
Password:
 
Conduit# show run
 
: Saved
:
PIX Version 7.0(4)
names
name 172.16.1.75 Linux
!
interface Ethernet0
speed 100
duplex full
nameif outside
security-level 0
ip address 172.16.1.161 255.255.255.0
!
interface Ethernet1
speed 100
duplex full
nameif inside
security-level 100
ip address 192.168.1.161 255.255.255.0
!
interface Ethernet2
shutdown
nameif dmz
security-level 50
no ip address
!
interface Ethernet3
shutdown
nameif intf3
security-level 6
no ip address
!
interface Ethernet4
shutdown
nameif intf4
security-level 8
no ip address
!
interface Ethernet5
shutdown
nameif intf5
security-level 10
no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname Conduit
domain-name ciscopix.com
boot system flash:/image.bin
ftp mode passive
no pager
logging enable
logging trap informational
logging host inside 192.168.1.99
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
no failover
monitor-interface outside
monitor-interface inside
monitor-interface dmz
monitor-interface intf3
monitor-interface intf4
monitor-interface intf5
icmp permit any outside
icmp permit any inside
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 172.16.1.210-172.16.1.212
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 172.16.1.111 192.168.1.5 netmask 255.255.255.255
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
http server enable
http 0.0.0.0 0.0.0.0 outside
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
no sysopt connection permit-ipsec
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
ssh version 1
console timeout 0
dhcpd address 192.168.1.100-192.168.1.102 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect http
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:629e8fc8b6e635161c253178e5d91814
: end
 
Conduit#

syslog(システム ログ メッセージ)の変更と削除

ここでは、次の項目について説明します。

「変更された syslog メッセージ」

「削除された syslog メッセージ」

詳細については、セキュリティ アプライアンスの『 Cisco Security Appliance System Log Messages 』を参照してください。

変更された syslog メッセージ

112001

以前の syslog メッセージ:%PIX-2-112001: (string:dec) PIX Clear complete

新しい syslog メッセージ:%PIX-2-112001: Clear finished

変更理由:syslog メッセージ内にファイル名と行番号(string:dec)は望ましくありません。syslog プラットフォームを独立したものにするために、PIX キーワードは削除されました。

199002

以前の syslog メッセージ:%PIX-6-199002: PIX startup completed.Beginning operation

新しい syslog メッセージ:%PIX-6-199002: Startup completed.Beginning operation

変更理由:syslog プラットフォームを独立したものにするために、PIX キーワードは syslog メッセージの本文から削除されました。

199005

以前の syslog メッセージ:%PIX-6-199005: PIX Startup begin

新しい syslog メッセージ:%PIX-6-199005: Startup begin

変更理由:syslog プラットフォームを独立したものにするために、PIX キーワードは syslog メッセージの本文から削除されました。

201002

以前の syslog メッセージ:%PIX-3-201002: Too many connections on {static|xlate} global_address! econns nconns

新しい syslog メッセージ:%PIX-3-201002: Too many tcp connections on {static|xlate} global_address! econns nconns

変更理由:この syslog は TCP 接続のみに適用されるため、このように変更されました。

208005

以前の syslog メッセージ:%PIX-3-208005: (function:line_num) pix clear command return code

新しい syslog メッセージ:%PIX-3-208005: Clear command return

変更理由:syslog メッセージ内にファイル名と行番号は望ましくありません。syslog プラットフォームを独立したものにするために、PIX キーワードは削除されました。

308001

以前の syslog メッセージ:%PIX-6-308001: PIX console enable password incorrect for number tries (from IP_address)

新しい syslog メッセージ:%PIX-6-308001: Console enable password incorrect for number tries (from_IP address)

変更理由:syslog プラットフォームを独立したものにするために、PIX キーワードは syslog メッセージの本文から削除されました。

315004

以前の syslog メッセージ:%PIX-3-315004: Fail to establish SSH session because PIX RSA host key retrieval failed

新しい syslog メッセージ:%PIX-3-315004: Fail to establish SSH session because RSA host key retrieval failed.

変更理由:syslog プラットフォームを独立したものにするために、PIX キーワードは syslog メッセージの本文から削除されました。

606001

以前の syslog メッセージ:%PIX-6-606001: PDM session number number from IP_address started

新しい syslog メッセージ:%PIX-6-606001: ASDM session number number from IP_address started

変更理由:syslog プラットフォームを ASDM 用に更新するために、PDM キーワードが ASDM に変更されました。

606002

以前の syslog メッセージ:%PIX-6-606002: PDM session number number from IP_address ended

新しい syslog メッセージ:%PIX-6-606002: ASDM session number number from IP_address ended

変更理由:syslog プラットフォームを ASDM 用に更新するために、PDM キーワードが ASDM に変更されました。

611314

以前の syslog メッセージ:%PIX-6-611314: VPNClient: Load Balancing Cluster with Virtual IP: IP_address has redirected the PIX to server IP_address

新しい syslog メッセージ:%PIX-6-611314: VPNClient: Load Balancing Cluster with Virtual IP:%I has redirected firewall to server

変更の理由:syslog プラットフォームを独立したものにするために、PIX キーワードは削除されました。

削除された syslog メッセージ

103002

以前の syslog メッセージ:%PIX-1-103002: (Primary) Other firewall network interface interface_number OK

削除理由:この syslog は PIX Version 6.3 によって作成されたものではなく、また PIX Security Appliance Version 7.0 でも作成されません。

105031

以前の syslog メッセージ:%PIX-1-105031: Failover LAN interface is up

削除理由: 105042 に置き換えられました。

105032

以前の syslog メッセージ:%PIX-1-105032: LAN Failover interface is down

削除理由:105043 に置き換えられました。

105034

以前の syslog メッセージ:%PIX-1-105032: LAN Failover interface is down

削除理由:実装の変更により廃止されました。

105035

以前の syslog メッセージ:%PIX-1-105035: Receive a LAN failover interface down msg from peer.

削除理由:実装の変更により廃止されました。

105036

以前の syslog メッセージ:%PIX-1-105036: PIX dropped a LAN Failover command message.

削除理由:実装の変更により廃止されました。

105037

以前の syslog メッセージ:%PIX-1-105037: The primary and standby units are switching back and forth as the active unit.

削除理由:実装の変更により廃止されました。

109013

以前の syslog メッセージ:%PIX-3-109013: User must authenticate before using this service

削除理由:この syslog は PIX Version 6.3 によって作成されたものではなく、また PIX Security Appliance Version 7.0 でも作成されません。

109021

以前の syslog メッセージ:%PIX-7-109021: Uauth null proxy error

削除理由:このリリースでは無関係です。

111006

以前の syslog メッセージ:%PIX-6-309002: Permitted manager connection from IP_address.

削除理由:ICSA の要件により、605005 に置き換えられました。

210003

以前の syslog メッセージ:%PIX-2-201003: Embryonic limit exceeded nconns/elimit for outside_address/outside_port (global_address) inside_address/inside_port on interface interface_name

削除理由:実装の変更により廃止されました。

210010

以前の syslog メッセージ:%PIX-3-210010: LU make UDP connection for outside_address:outside_port inside_address:inside_port failed

削除理由:実装の変更により廃止されました。

210020

以前の syslog メッセージ:%PIX-3-210020: LU PAT port port reserve failed

削除理由:実装の変更により廃止されました。

210021

以前の syslog メッセージ:%PIX-3-210021: LU create static xlate global_address ifc interface_name failed

削除理由:実装の変更により廃止されました。

211003

以前の syslog メッセージ:%PIX-3-211003: CPU utilization for number seconds = percent

削除理由:これはコード内のエラー状況です。現在は関係なくなりました。

215001

以前の syslog メッセージ:%PIX-2-215001:Bad route_compress() call, sdb= number

削除理由:syslog 番号が 216001 に変更されました。

302302

以前の syslog メッセージ:%PIX-3-302302: ACL = deny; no sa created

削除理由:この syslog を含むコードが大幅に変更されたため、関係なくなりました。

309002

以前の syslog メッセージ:%PIX-6-309002: Permitted manager connection from IP_address

削除理由:サポートされなくなった PIX Firewall Manager 用のメッセージです。

316001

以前の syslog メッセージ:%PIX-2-316001: Denied new tunnel to IP_address.VPN peer limit

(platform_vpn_peer_limit) exceeded

削除理由:現在のリリースでは SOHO デバイスがサポートされていないため、該当しません。

320001

以前の syslog メッセージ:%PIX-3-320001: The subject name of the peer certificate is not allowed for connection

削除理由:さらに詳細な syslog に置き換えられました(713001 から 713224)。

402101

以前の syslog メッセージ:%PIX-4-402101: decaps: rec'd IPSEC packet has invalid spi for destaddr=dest_address, prot=protocol, spi=number

削除理由:この syslog を含むコードが大幅に変更されたため、関係なくなりました。

402102

以前の syslog メッセージ:%PIX-4-402102: decapsulate: packet missing {AH|ESP}, destadr=dest_address, actual prot=protocol

削除理由:この syslog を含むコードが大幅に変更されたため、関係なくなりました。

402103

以前の syslog メッセージ:%PIX-4-402103: identity doesn't match negotiated identity (ip) dest_address= dest_address, src_addr= source_address, prot= protocol, (ident) local=inside_address, remote=remote_address, local_proxy=IP_address/IP_address/port/port, remote_proxy=IP_address/IP_address/port/port

削除理由:この syslog を含むコードが大幅に変更されたため、関係なくなりました。

403500

以前の syslog メッセージ:%PIX-6-403500: PPPoE - Service name 'any' not received in PADO.Intf:interface_name AC:ac_name

削除理由:現在のリリースでは PPPoE はサポートされていないため、この syslog が表示されることはありません。

403501

以前の syslog メッセージ:%PIX-3-403501: PPPoE - Bad host-unique in PADO - packet dropped Intf:interface_name AC:ac_name

削除理由:現在のリリースでは PPPoE はサポートされていないため、この syslog が表示されることはありません。

403502

以前の syslog メッセージ:%PIX-3-403502: PPPoE - Bad host-unique in PADS - dropping packet.Intf:interface_name AC:ac_name

削除理由:現在のリリースでは PPPoE はサポートされていないため、この syslog が表示されることはありません。

404101

以前の syslog メッセージ:%PIX-4-404101: ISAKMP: Failed to allocate address for client from pool string

削除理由: 713132 に置き換えられました。

407001

以前の syslog メッセージ:%PIX-4-407001: Deny traffic for local-host interface_name:inside_address, license limit of number exceeded

削除理由:現在のリリースでは該当しません。

501101

以前の syslog メッセージ:%PIX-5-501101: User transitioning priv level

削除理由:この syslog を含むコードが大幅に変更されたため、関係なくなりました。

602102

以前の syslog メッセージ:%PIX-6-602102: Adjusting IPSec tunnel mtu...

削除理由:この syslog を含むコードが大幅に変更されたため、関係なくなりました。

602201

以前の syslog メッセージ:%PIX-6-602201: ISAKMP Phase 1 SA created (local <ip>/<port> (initiator|responder), remote <ip>/<port>, authentication=<auth_type>, encryption=<encr_alg>, hash=<hash_alg>, group=<DH_grp>, lifetime=<seconds>) Change Reason: Replaced by more granular syslog, look at 713xxx

削除理由:さらに詳細な syslog に置き換えられました(713001 から 713224)。

602203

以前の syslog メッセージ:PIX-6-602203: ISAKMP session disconnected (local <ip> (initiator|responder), remote <ip>)

削除理由:さらに詳細な syslog に置き換えられました(713001 から 713224)。

602301

以前の syslog メッセージ:%PIX-6-602301: sa created...

削除理由:syslog 713119 および 713120 に置き換えられました。

602302

以前の syslog メッセージ:%PIX-6-602302: deleting sa

削除理由:713113、713169、713170、713194、715009、715052、715067、および 715068 に置き換えられました。

603108

以前の syslog メッセージ:%PIX-6-603108: Built PPTP Tunnel at interface_name, tunnel-id = number, remote-peer = IP_address, virtual-interface = number, client-dynamic-ip = IP_address, username = user, MPPE-key-strength = number

削除理由:現在のリリースでは PPPoE はサポートされていないため、この syslog が表示されることはありません。

702201

以前の syslog メッセージ:%PIX-7-702201: ISAKMP Phase 1 delete received (local <ip> (initiator|responder), remote <ip>)

削除理由:さらに詳細な syslog に置き換えられました(713001 から 713224)。

702202

以前の syslog メッセージ:%PIX-7-702202: ISAKMP Phase 1 delete sent (local <ip> (initiator|responder), remote <ip>)

削除理由:さらに詳細な syslog に置き換えられました(713001 から 713224)。

702203

以前の syslog メッセージ:%PIX-7-702203: ISAKMP DPD timed out (local <ip> (initiator|responder), remote <ip>)

削除理由:さらに詳細な syslog に置き換えられました(713001 から 713224)。

702204

以前の syslog メッセージ:%PIX-7-702204: ISAKMP Phase 1 retransmission (local <ip> (initiator|responder), remote <ip>)

削除理由:さらに詳細な syslog に置き換えられました(713001 から 713224)。

702205

以前の syslog メッセージ:%PIX-7-702205: ISAKMP Phase 2 retransmission (local <ip> (initiator|responder), remote <ip>)

削除理由:さらに詳細な syslog に置き換えられました(713001 から 713224)。

702206

以前の syslog メッセージ:%PIX-7-702206: ISAKMP malformed payload received (local <ip> (initiator|responder), remote <ip>)

削除理由:さらに詳細な syslog に置き換えられました(713001 から 713224)。

702207

以前の syslog メッセージ:%PIX-7-702207: ISAKMP duplicate packet detected (local <ip> (initiator|responder), remote <ip>)

削除理由:さらに詳細な syslog に置き換えられました(713001 から 713224)。

702208

以前の syslog メッセージ:%PIX-7-702208: ISAKMP Phase 1 exchange started (local <ip> (initiator|responder), remote <ip>)

削除理由:さらに詳細な syslog に置き換えられました(713001 から 713224)。

702209

以前の syslog メッセージ:%PIX-7-702209: ISAKMP Phase 2 exchange started (local <ip> (initiator|responder), remote <ip>)

削除理由:さらに詳細な syslog に置き換えられました(713001 から 713224)。

702210

以前の syslog メッセージ:%PIX-7-702210: ISAKMP Phase 1 exchange completed(local <ip> (initiator|responder), remote <ip>)

削除理由:さらに詳細な syslog に置き換えられました(713001 から 713224)。

702211

以前の syslog メッセージ:%PIX-7-702211: ISAKMP Phase 2 exchange completed(local <ip> (initiator|responder), remote <ip>)

削除理由:さらに詳細な syslog に置き換えられました(713001 から 713224)。

702212

以前の syslog メッセージ:%PIX-7-702212: ISAKMP Phase 1 initiating rekey (local <ip> (initiator|responder), remote <ip>)

削除理由:さらに詳細な syslog に置き換えられました(713001 から 713224)。

702301

以前の syslog メッセージ:%PIX-7-702301: lifetime expiring...

削除理由:PIX Security Appliance Version 7.0 では、セキュリティの関連付けに期限満了がないため、この syslog は関係なくなりました。

702302

以前の syslog メッセージ:%PIX-3-702302: replay rollover detected...

削除理由:この syslog を含むコードが大幅に変更されたため、関係なくなりました。

702303

以前の syslog メッセージ:%PIX-7-702303: sa_request...

削除理由:この syslog は、713041、713042、713043、および 713176 によって置き換えられました。

709002

以前の syslog メッセージ:%PIX-7-709002: FO unreplicable: cmd=command

削除理由:この syslog は、プログラミング エラーを捕捉するためのものでしたが、コードの変更によって不要になりました。

ダウングレード手順

downgrade コマンドを使用すると、PIX Security Appliance Version 7.0 のイメージからダウングレードして、PIX Version 6.3 のイメージに戻すことができます。このコマンドにより、フラッシュのレイアウトは PIX イメージが認識できる形式に変更されます。

ここでは、次の項目について説明します。

「ダウングレードのガイドライン」

「ダウングレード手順」

「設定例」

ダウングレードのガイドライン

PIX のダウングレードは、モニタ プロンプトからは実行できません。ダウングレードを実行するためには、実行中の PIX Security Appliance Version 7.0 イメージから downgrade コマンドを使用する必要があります。

PIX のアップグレードとダウングレードは、処理に中断が発生しない場合にのみ、リモートから実行することができます。処理中に電源障害が発生すると、フラッシュが破損し、コンソール アクセスによって回復しなければならなくなる場合があります。データの損失を防ぐために、処理を開始する前にすべてのデータを外部に保存しておくことをお勧めします。

PIX が以前に PIX Version 6.3 バージョンからアップグレードされたものである場合は、フラッシュに 4 タプルのアクティベーション キーが保存されているため、このキーを再入力する必要はありません。PIX Security Appliance Version 7.0 のコード ライセンスが後から 5 タプルのアクティベーション キーを使用して更新されている場合も、4 タプルのキーは保存されています。

downgrade コマンドは、4 タプル キーが存在しているかどうかを確認し、存在すればそれを使用します。存在しない場合は、このコマンドを正常に実行できるように、CLI でアクティベーション キーを入力する必要があります。

現在のアクティベーション キーを表示する場合は、show activation-key コマンドを使用することをお勧めします。

downgrade コマンドを実行すると、完了後に PIX が自動的にリロードされます。

ダウングレード手順

PIX Version 6.3 イメージへのダウングレードを実行するには、実行中の PIX Security Appliance Version 7.0 イメージから次のように downgrade コマンドを使用します。

downgrade [/noconfirm] <image_url> [activation-key (flash|file|<4-part-actkey>)] [config
<start_config_url>]

) downgrade コマンドは、ユーザ コンテキスト モードでは使用できません。


パラメータは次のとおりです。

<image_url>:PIX イメージを指す、フラッシュ内のファイル名またはネットワークの URL(すべてのネットワーク URL は copy コマンドでサポートされます)。PIX Security Appliance Version 7.0 リリースより前のイメージである必要があります。

<start_config_url>:リブート後に使用するスタートアップ コンフィギュレーション ファイルを指す任意の URL です。URL はネットワークでもローカル フラッシュでもかまいません。このコンフィギュレーション ファイルは、ダウングレードに使用するイメージ ファイルのバージョンに対応したものでなければなりません。

activation-key:ダウングレードしたイメージで使用するアクティベーション キーを次のいずれかの方法で指定します。

flash:該当デバイスで使用されていた 4 タプルのアクティベーション キーを使用します。コマンドラインでアクティベーション キーが指定されていない場合は、これがデフォルトになります。

file:アップグレード処理中にフラッシュ メモリに保存された PIX Version 6.3 イメージでのみ許可されます。このようなイメージでは、イメージ自体にアクティベーション キーが含まれ、そのキーをダウングレード後も使用することができます。

<4-part-actkey>:イメージに書き込むアクティベーション キーです。


) activation-key キーワードが指定されている場合は、flash、file、<4-part-actkey> の 3 つのオプションのいずれかを入力する必要があります。


/noconfirm:このオプションを指定すると、確認のダイアログが表示されなくなります。


) ほとんどの場合、ダウングレードには downgrade <image_url> コマンドを使用します。<image_url> は、ダウングレードされたイメージの TFTP サーバの場所です。TFTP サーバが 192.168.1.20 で、TFTP のルート ディレクトリ内のファイル名が pix633.bin である場合、コマンドは次のようになります。

downgrade tftp://192.168.1.20/pix633.bin


コマンドラインで activation-key キーワードが指定されず、イメージのデフォルトのアクティベーション キーが存在しない場合は、コマンドが拒否されます。アクティベーション キーが見つかり、イメージで使用できる場合は、そのキーがイメージ内に保存され、ダウングレード後に使用されます。アップグレード処理中に保存されたイメージ ファイル(image_old.bin ファイル)を使用する場合は、activation-key file オプションを使用できます。

PIX Security Appliance Version 7.0 へのアップグレード後にフラッシュがフォーマットまたは消去されていなければ、アップグレード前に使用されていた暗号キーを格納したデータ ファイルが復元されます。

アクティベーション キーの flash オプションは、システムで使用された最後の 4 タプルのアクティベーション キーです。このキーは、5 タプルのキーでオーバーライドされている可能性があります。その場合は、4 タプル キーに戻ることによって失われる可能性のある機能を一覧表示した警告が生成されます。システムのフラッシュが何らかの理由で再フォーマットまたは消去されている場合は、最後に使用された 4 タプル キーを入手できないため、ダウングレードのデフォルト キーがなくなります。このような場合は、コマンドラインでアクティベーション キーを入力するように CLI から通知されます。

config キーワードが指定されていない場合は、downgrade.cfg ファイルが存在すれば、このファイルがデフォルトで使用されます。このファイルが存在しない場合、PIX はコンフィギュレーション ファイルなしでブートします。

ダウンロードしたイメージが PIX イメージでないか、PIX Version 6.2 より低いイメージである場合、コマンドは失敗し、エラー メッセージが生成されます。

/noconfirm が指定されていない場合は、CLI によって確認のプロンプトが表示され、ダウングレード操作の完了後にデバイスがリブートされます。

CLI を使用してダウングレードするには、次の手順を実行します。


ステップ 1 ネットワークから RAM にイメージをダウンロードし、有効性を確認します。イメージが有効である場合は、ステップ 2 に進みます。

ステップ 2 前に説明したように、flash、file、または <4-part-actkey> の方法を使用して、アクティベーション キーを入手します。

ステップ 3 可能であればアクティベーション キーを確認し、ダウンロードしたイメージに書き込みます。

ステップ 4 URL または downgrade.cfg ファイルから、スタートアップ コンフィギュレーション ファイルを入手します(存在する場合)。

ステップ 5 downgrade.dat ファイルからデータ ファイルを読み取り(raw 読み取り、フォーマットなし)、RAM のバッファに書き込みます。

ステップ 6 フラッシュ全体を消去します。

ステップ 7 フラッシュの先頭(セクタ 0)に、RAM の PIX イメージを書き込みます。

ステップ 8 イメージを書き込んだ次のセクタに、RAM のスタートアップ コンフィギュレーションを書き込みます(raw 書き込み)。

ステップ 9 その次のセクタに、RAM のデータ ファイルを書き込みます(raw 書き込み)。

ステップ 10 リブートします。

PIX イメージは、ブートすると、PIX ファイルシステムのマジックを確認します。マジックは存在しないため、システムはフラッシュからデータをグリーニングしてファイルシステムを再構築します。イメージ、スタートアップ コンフィギュレーション ファイル、およびデータ ファイルには、それぞれマジックが存在するため、システムはこれらのファイルを検出できます。検出された情報を使用して、フラッシュ内に適切なファイルシステム ヘッダーが作成されます。

フラッシュに downgrade.cfg ファイルが存在しない場合は、CLI でスタートアップ コンフィギュレーションが指定され、リブート後はリモート接続が必要になります。

この方法では、ダウングレード処理にユーザの操作や電源による中断が発生せず、フラッシュ内のフラッシュ ファイルシステムが破損していない場合にのみ手順が成功することを前提としています。PDM とクラッシュの情報はコピーされません。


 

設定例

ここでは、次の設定例を取り上げます。

「ダウングレード手順の例」

「ゼロのアクティベーション キーを使用した例」

「ソース イメージにアクティベーション キーが存在しない例」

「最後のプロンプトでダウングレードを打ち切る例」

「無効なアクティベーション キーを使用した例」

「アクティベーション キーを指定せず、フラッシュに 4 タプルのアクティベーション キーが保存されていない例」

「Security Appliance Version 7.0 を使用する例」

「イメージで未確認のアクティベーション キーを使用した例」

「フラッシュの 4 タプル キー(現在の 5 タプル キーのすべての機能は持たない)を使用した例」

「入力したアクティベーション キーが現在の 5 タプル キーの機能を持たない例」

ダウングレード手順の例

PIX Security Appliance Version 7.0 から PIX Version 6.3(4) へのダウングレードの例を次に示します。PIX Version 6.3 のイメージは、TFTP サーバのものです。

Conduit# downgrade tftp://192.168.1.100/pix634.bin
This command will reformat the flash and automatically reboot the system.
Do you wish to continue? [confirm]
Buffering image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 
Buffering startup config
 
All items have been buffered successfully.
If the flash reformat is interrupted or fails, data in flash will be lost
and the system might drop to monitor mode.
Do you wish to continue? [confirm]
Acquiring exclusive access to flash
Installing the correct file system for the image and saving the buffered data
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Flash downgrade succeeded
 
 
Rebooting....
 
 
CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
64 MB RAM
 
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 7192 Host Bridge
00 07 00 8086 7110 ISA Bridge
00 07 01 8086 7111 IDE Controller
00 07 02 8086 7112 Serial Bus 9
00 07 03 8086 7113 PCI Bridge
00 0D 00 8086 1209 Ethernet 11
00 0E 00 8086 1209 Ethernet 10
00 11 00 14E4 5823 Co-Processor 11
00 13 00 8086 B154 PCI-to-PCI Bridge
01 04 00 8086 1229 Ethernet 11
01 05 00 8086 1229 Ethernet 10
01 06 00 8086 1229 Ethernet 9
01 07 00 8086 1229 Ethernet 5
 
 
Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000
 
 
Use BREAK or ESC to interrupt flash boot.
 
Use SPACE to begin flash boot immediately.
 
Flash boot in 10 seconds. 9 seconds. 8 seconds. 7 seconds. 6 seconds. 5 seconds. 4 seconds. 3 seconds. 2 seconds. 1 seconds.
Reading 1962496 bytes of image from flash.
 
###############################################################################################################
64MB RAM
mcwa i82559 Ethernet at irq 11 MAC: 0011.937e.0650
mcwa i82559 Ethernet at irq 10 MAC: 0011.937e.064f
mcwa i82559 Ethernet at irq 11 MAC: 000d.88ee.dfa0
mcwa i82559 Ethernet at irq 10 MAC: 000d.88ee.dfa1
mcwa i82559 Ethernet at irq 9 MAC: 000d.88ee.dfa2
mcwa i82559 Ethernet at irq 5 MAC: 000d.88ee.dfa3
System Flash=E28F128J3 @ 0xfff00000
BIOS Flash=am29f400b @ 0xd8000
Crypto5823 (revision 0x1)
 
-----------------------------------------------------------------------
|| ||
|| ||
|||| ||||
..:||||||:..:||||||:..
c i s c o S y s t e m s
Private Internet eXchange
-----------------------------------------------------------------------
Cisco PIX Firewall
 
Cisco PIX Firewall Version 6.3(4)
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES-AES: Enabled
Maximum Physical Interfaces: 6
Maximum Interfaces: 10
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited
 
This PIX has an Unrestricted (UR) license.
 
 
****************************** Warning *******************************
Compliance with U.S. Export Laws and Regulations - Encryption.
 
This product performs encryption and is regulated for export
by the U.S. Government.
 
This product is not authorized for use by persons located
outside the United States and Canada that do not have prior
approval from Cisco Systems, Inc. or the U.S. Government.
 
This product may not be exported outside the U.S. and Canada
either by physical or electronic means without PRIOR approval
of Cisco Systems, Inc. or the U.S. Government.
 
Persons outside the U.S. and Canada may not re-export, resell
or transfer this product by either physical or electronic means
without prior approval of Cisco Systems, Inc. or the U.S.
Government.
******************************* Warning *******************************
 
Copyright (c) 1996-2003 by Cisco Systems, Inc.
 
Restricted Rights Legend
 
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
 
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
 
.
Cryptochecksum(unchanged): 629e8fc8 b6e63516 1c253178 e5d91814
Type help or '?' for a list of available commands.
 

PIX Security Appliance Version 7.0 のダウングレードを実行したら、enable コマンドを入力してコンフィギュレーション モードに入り、パスワードを入力して、最後に show run コマンドを入力します。出力は次のようになります。

Conduit> enable
Password:
 
Conduit# show version
 
Cisco PIX Firewall Version 6.3(4)
 
Compiled on Fri 02-Jul-04 00:07 by xxxxxx
 
Conduit up 23 secs
 
Hardware: PIX-515E, 64 MB RAM, CPU Pentium II 433 MHz
Flash E28F128J3 @ 0x300, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB
 
Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
0: ethernet0: address is 0011.937e.064f, irq 10
1: ethernet1: address is 0011.937e.0650, irq 11
2: ethernet2: address is 000d.88ee.dfa0, irq 11
3: ethernet3: address is 000d.88ee.dfa1, irq 10
4: ethernet4: address is 000d.88ee.dfa2, irq 9
5: ethernet5: address is 000d.88ee.dfa3, irq 5
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES-AES: Enabled
Maximum Physical Interfaces: 6
Maximum Interfaces: 10
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited
 
This PIX has an Unrestricted (UR) license.
 
Serial Number: 808300261 (0x302daee5)
Running Activation Key: 0x8a9a2457 0xd91de491 0x48534d65 0xa648750a
Configuration has not been modified since last system restart.
 
 

show run コマンドを入力して、PIX Version 6.3 の設定の出力を表示します。PIX Version 6.3 の設定の出力は、次のとおりです。

Conduit# show run
: Saved
:
PIX Version 6.3(4)
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname Conduit
domain-name ciscopix.com
fixup protocol dns