Cisco Intrusion Prevention System Sensor CLI コンフィギュレーション ガイド for IPS 7.0
システム イメージのアップグレード、ダウン グレード、およびインストール
システム イメージのアップグレード、ダウングレード、およびインストール
発行日;2012/04/18 | 英語版ドキュメント(2012/04/07 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

システム イメージのアップグレード、ダウングレード、およびインストール

アップグレード、ダウングレード、およびシステム イメージ

サポートされる FTP および HTTP/HTTPS サーバ

センサーのアップグレード

IPS 7.0(4)E4 アップグレード ファイル

upgrade コマンドおよびオプション

upgrade コマンドの使用方法

リカバリ パーティションのアップグレード

自動アップグレードの設定

自動アップグレード

auto-upgrade コマンドおよびオプション

auto-upgrade コマンドの使用方法

自動アップグレードの例

センサーのダウングレード

アプリケーション パーティションの復旧

アプリケーション パーティション

recover コマンドの使用方法

システム イメージのインストール

ROMMON について

TFTP サーバ

ターミナル サーバへのアプライアンスの接続

IPS 4240 および IPS 4255 システム イメージのインストール

IPS 4260 システム イメージのインストール

IPS 4270-20 システム イメージのインストール

AIMIPS システム イメージのインストール

AIPSSM システム イメージのインストール

AIPSSM のイメージの再作成

recover configure/boot コマンドを使用した AIPSSM のイメージの再作成

IDSM2 システム イメージのインストール

IDSM2 システム イメージについて

IDSM2 システム イメージのインストール(Catalyst ソフトウェア)

IDSM2 システム イメージのインストール(Cisco IOS ソフトウェア)

IDSM2 のメンテナンス パーティションの設定(Catalyst ソフトウェア)

IDSM2 のメンテナンス パーティションの設定(Cisco IOS ソフトウェア)

IDSM2 のメンテナンス パーティションのアップグレード(Catalyst ソフトウェア)

IDSM2 のメンテナンス パーティションのアップグレード(Cisco IOS ソフトウェア)

NMEIPS システム イメージのインストール

システム イメージのアップグレード、ダウングレード、およびインストール

この章では、システム イメージをアップグレード、ダウングレード、およびインストールする方法について説明します。次のような構成になっています。

「アップグレード、ダウングレード、およびシステム イメージ」

「サポートされる FTP および HTTP/HTTPS サーバ」

「センサーのアップグレード」

「自動アップグレードの設定」

「センサーのダウングレード」

「アプリケーション パーティションの復旧」

「システム イメージのインストール」

アップグレード、ダウングレード、およびシステム イメージ

センサーのソフトウェアをアップグレードおよびダウングレードできます。アップグレードでは、サービス パック、シグニチャ アップデート、シグニチャ エンジン アップデート、マイナー バージョン、メジャー バージョン、またはリカバリ パーティション ファイルが適用されます。ダウングレードでは、最後に適用されたサービス パックまたはシグニチャ アップデートがセンサーから削除されます。


注意 downgrade コマンドを使用して、以前のメジャーまたはマイナー バージョンに戻すことはできません(Cisco IPS 7.0 から 6.2 など)。downgrade コマンドでできることは、最新のシグニチャ アップデートまたはシグニチャ エンジン アップデートからのダウングレードだけです。6.2 に戻すには、センサーのイメージを再作成する必要があります。

センサーのアプリケーション パーティション イメージが使用できなくなった場合は、復旧することができます。 recover コマンドを使用すると、ホストの設定を維持しながら、その他の設定を出荷時の初期状態に戻すことができます。

新しいシステム イメージをセンサーにインストールするには、プラットフォームに応じて、ROMMON、ブートローダ ファイル、またはメンテナンス パーティションを使用します。

新しいシステム イメージをセンサーにインストールすると、すべてのアカウントは削除され、デフォルトの cisco アカウントはデフォルト パスワード cisco を使用するようにリセットされます。システム イメージをインストールした後、センサーを再初期化する必要があります。

センサーのイメージを再作成し、初期化した後、センサーを最新のサービス パック、シグニチャ アップデート、シグニチャ エンジン アップデート、マイナー アップデート、メジャー アップデート、およびリカバリ パーティション ファイルでアップグレードします。

詳細情報

センサーを初期化する手順については、「センサーの基本的なセットアップ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

サポートされる FTP および HTTP/HTTPS サーバ

IPS ソフトウェア アップデートでサポートされている FTP サーバは次のとおりです。

WU-FTPD 2.6.2(Linux)

Solaris 2.8

Sambar 6.0(Windows 2000)

Serv-U 5.0(Windows 2000)

MS IIS 5.0(Windows 2000)

IPS ソフトウェア アップデートでサポートされている HTTP/HTTPS サーバは次のとおりです。

CMS - Apache Server(Tomcat)

CMS - Apache Server(JRun)

詳細情報

Cisco.com から IPS ソフトウェア アップデートをダウンロードする手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

自動アップデートを設定する手順については、「自動アップグレードの設定」を参照してください。

センサーのアップグレード

ここでは、 upgrade コマンドを使用してセンサーのソフトウェアをアップグレードする方法について説明します。次の項目について説明します。

「IPS 7.0(4)E4 アップグレード ファイル」

「upgrade コマンドおよびオプション」

「upgrade コマンドの使用方法」

「リカバリ パーティションのアップグレード」

IPS 7.0(4)E4 アップグレード ファイル

次のファイルは、Cisco IPS 7.0(4)E4 の一部です。

Readme

IPS-7.0-4-E4.readme.txt

メジャー バージョン アップグレード ファイル

IPS-K9-7.0-4-E4.pkg

IPS-AIM-K9-7.0-4-E4.pkg

IPS-NME-K9-7.0-4-E4.pkg

システム イメージ ファイル

IPS 4240-K9-sys-1.1-a-7.0-4-E4.img

IPS 4255-K9-sys-1.1-a-7.0-4-E4.img

IPS 4260-K9-sys-1.1-a-7.0-4-E4.img

IPS-4270_20-K9-sys-1.1-a-7.0-4-E4.img

IPS-IDSM2-K9-sys-1.1-a-7.0-4-E4.bin.gz

IPS-SSM_10-K9-sys-1.1-a-7.0-4-E4.img

IPS-SSM_20-K9-sys-1.1-a-7.0-4-E4.img

IPS-SSM_40-K9-sys-1.1-a-7.0-4-E4.img

IPS-AIM-K9-sys-1.1-a-7.0-4-E4.img

IPS-NME-K9-sys-1.1-a-7.0-4-E4.img

リカバリ イメージ ファイル

IPS-K9-r-1.1-a-7.0-4-E4.pkg

IPS-AIM-K9-r-1.1-a-7.0-4-E4.pkg

IPS-NME-K9-r-1.1-a-7.0-4-E4.pkg

詳細情報

これらのファイルを Cisco.com で入手する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

upgrade コマンドおよびオプション

upgrade source-url コマンドを使用して、サービス パック、シグニチャ アップデート、エンジン アップデート、マイナー バージョン、メジャー バージョン、またはリカバリ パーティション ファイル アップグレードを適用します。

次のオプションが適用されます。

source-url :コピー元のファイルの場所。

ftp::FTP ネットワーク サーバのコピー元 URL。このプレフィクスの構文は、次のとおりです。

ftp:[//[username@] location]/relativeDirectory]/filename

ftp:[//[username@]location]//absoluteDirectory]/filename


) パスワードを入力するように求められます。


scp::SCP ネットワーク サーバのコピー元 URL。このプレフィクスの構文は、次のとおりです。

scp:[//[username@] location]/relativeDirectory]/filename

scp:[//[username@] location]//absoluteDirectory]/filename


) パスワードを入力するように求められます。


http::Web サーバのコピー元 URL。このプレフィクスの構文は、次のとおりです。

http:[[//username@] location]/directory] filename


) ディレクトリは、目的のファイルの絶対パスで指定する必要があります。


https::Web サーバのコピー元 URL。このプレフィクスの構文は、次のとおりです。

https:[[//username@] location]/directory] filename


) ディレクトリは、目的のファイルの絶対パスで指定する必要があります。


upgrade コマンドの使用方法


注意 ソフトウェアをダウンロードするには、暗号化特権を持つアカウントを使用して、Cisco.com にログインする必要があります。初めて Cisco.com でソフトウェアをダウンロードするときに、暗号化特権を持つアカウントを設定する方法が表示されます。


注意 ファイル名は変更しないでください。センサーがアップデートを受け入れるには、元のファイル名が維持されている必要があります。


注意 手動アップグレードで AIM IPS または NME IPS をアップグレードするときは、アップグレードをインストールする前に、ルータのハートビート リセットをディセーブルにする必要があります。アップグレードが完了した後、ハートビート リセットを再度イネーブル化できます。ハートビート リセットをディセーブルにしないと、アップグレードが失敗して AIM IPS または NME IPS が不明な状態になることがあり、この場合、回復にはシステムのイメージの再作成が必要になります。

センサーをアップグレードするには、次の手順に従います。


ステップ 1 センサーからアクセスできる FTP、SCP、HTTP、または HTTPS サーバに、該当するファイル(IPS-K9-7.0-4-E4.pkg など)をダウンロードします。

ステップ 2 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 3 コンフィギュレーション モードを開始します。

sensor# configure terminal
 

ステップ 4 センサーをアップグレードします。

sensor(config)# upgrade url/IPS-K9-7.0-4-E4.pkg
 

URL は、アップデート ファイルがある場所を指します。たとえば、FTP を使用してアップデートを取得するには、次のように入力します。

sensor(config)# upgrade ftp://username@ip_address//directory/IPS-K9-7.0-4-E4.pkg
 

ステップ 5 プロンプトが表示されたら、パスワードを入力します。

Enter password: ********
 

ステップ 6 yes と入力して、アップグレードを完了します。


) メジャー アップデート、マイナー アップデート、およびサービス パックのインストールを完了するには、IPS プロセスの再起動、またはセンサーのリブートが必要になることがあります。



) オペレーティング システムのイメージが再作成され、サービス アカウントによってセンサーに作成されたすべてのファイルが削除されます。



 

詳細情報

センサーをアップグレードする IDM の手順については、「 Manually Updating the Sensor 」を参照してください。IME の手順については、「 Manually Updating the Sensor 」を参照してください。

サポートされる FTP および HTTP/HTTPS サーバのリストについては、「サポートされる FTP および HTTP/HTTPS サーバ」を参照してください。

Cisco.com でソフトウェアを検索し、暗号化特権を持つアカウントを取得する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

AIM IPS でハートビート リセットをディセーブルにする手順については、「 Disabling and Enabling Heartbeat Reset 」を参照してください。NME IPS の場合は「 Disabling and Enabling Heartbeat Reset 」を参照してください。

リカバリ パーティションのアップグレード


) リカバリ パーティション イメージは、メジャーおよびマイナー アップデートの場合に生成され、サービス パックまたはシグニチャ アップデートでは、非常にまれなケースでのみ生成されます。



) AIM IPS および NME IPS には、リカバリ パーティションのアップグレードに使用する独自のリカバリ イメージがあります。
AIM IPS:IPS-AIM-K9-r-1.1-a-7.0-4-E4.pkg
NME IPS:IPS-NME-K9-r-1.1-a-7.0-4-E4.pkg


センサー上のアプリケーション パーティションを復旧する必要があるときに備えて、 upgrade コマンドを使用してリカバリ パーティションを最新バージョンでアップグレードしておきます。

センサーのリカバリ パーティションをアップグレードするには、次の手順に従います。


ステップ 1 センサーからアクセスできる FTP、SCP、HTTP、または HTTPS サーバに、リカバリ パーティション イメージ ファイル(IPS-K9-r-1.1-a-7.0-1-E2.pkg)をダウンロードします。


注意 ブラウザによっては、ファイル名に拡張子が追加されます。保存するファイルのファイル名は、ダウンロード ページに表示されているファイル名と一致する必要があります。一致しない場合、このファイルでリカバリ パーティションをアップグレードできません。

ステップ 2 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 3 コンフィギュレーション モードを開始します。

sensor# configure terminal
 

ステップ 4 リカバリ パーティションをアップグレードします。

sensor(config)# upgrade scp://user@server_ipaddress//upgrade_path/IPS-K9-r-1.1-a-7.0-1-E2.pkg
 
sensor(config)# upgrade ftp://user@server_ipaddress//upgrade_path/IPS-K9-r-1.1-a-7.0-1-E2.pkg
 

ステップ 5 サーバのパスワードを入力します。

アップグレード プロセスが開始されます。


) この手順では、リカバリ パーティションのイメージの再作成だけが行われます。このアップグレードでは、アプリケーション パーティションは変更されません。リカバリ パーティションの後でアプリケーション パーティションのイメージを再作成するには、recover application-partition コマンドを使用します。



 

詳細情報

サポートされる FTP および HTTP/HTTPS サーバのリストについては、「サポートされる FTP および HTTP/HTTPS サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

recover コマンドの使用手順については、 「recover コマンドの使用方法」 を参照してください。

自動アップグレードの設定

ここでは、アップグレード ディレクトリで自動的にアップグレードを検索するように、センサーを設定する方法について説明します。次の項目について説明します。

「自動アップグレード」

「auto-upgrade コマンドおよびオプション」

「auto-upgrade コマンドの使用方法」

「自動アップグレードの例」

自動アップグレード

アップグレード ディレクトリで新しいアップグレード ファイルを自動的に検索するように、センサーを設定できます。たとえば、複数のセンサーが同じリモート FTP サーバのディレクトリを異なるアップデート スケジュール(24 時間おき、月、水、金曜日の午後 11:00 など)で指すようにできます。

自動アップグレードをスケジュール設定するには、次の情報を指定します。

サーバの IP アドレス

センサーがアップグレード ファイルを確認するファイル サーバのディレクトリ パス

ファイル コピーのプロトコル(SCP または FTP)

ユーザ名とパスワード

アップグレード スケジュール

あらかじめソフトウェア アップグレードを Cisco.com からダウンロードし、アップグレード ディレクトリにコピーし、センサーが自動アップグレードの目的でポーリングできるようにしておく必要があります。

詳細情報

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

auto-upgrade コマンドおよびオプション

自動アップグレードを設定するには、サービス ホスト サブモードで auto-upgrade-option enabled コマンドを使用します。

次のオプションが適用されます。

cisco-server :Cisco.com からの自動シグニチャ アップデートおよびエンジン アップデートをイネーブルにします。

cisco-url :Cisco サーバ ロケータ サービス。

www.cisco.com の IP アドレスが変更されない限り、変更する必要はありません。

default :システムのデフォルト設定に値を設定します。

directory :ファイル サーバでアップグレード ファイルがあるディレクトリ。

絶対パスで指定する場合は、先頭に「/」を付けます。

file-copy-protocol :ファイル サーバからファイルをダウンロードするときに使用するファイル コピー プロトコル。有効な値は、 ftp または scp です。


) SCP を使用する場合は、センサーがサーバと SSH で通信できるように、ssh host-key コマンドを使用してサーバを SSH 既知ホスト リストに追加する必要があります。


ip-address :ファイル サーバの IP アドレス。

password :Cisco サーバ認証に使用するユーザ パスワード。

schedule-option :Cisco サーバで自動アップグレードを実行するスケジュール。カレンダー スケジュールでは、指定された曜日の指定された時刻にアップグレードが開始されます。定期スケジュールでは、指定された間隔でアップグレードが開始されます。

calendar-schedule :自動アップグレードを実行する曜日と時刻を設定します。

days-of-week :自動アップグレードを実行する曜日。複数の曜日を選択できます。有効な値は、 sunday から saturday です。

no :エントリまたは選択設定を削除します。

times-of-day :自動アップグレードを開始する時刻。複数の時刻を選択できます。有効な値は、 hh:mm[:ss] です。

periodic-schedule :最初の自動アップグレードが発生する時刻と、自動アップグレードの間隔を設定します。

interval :自動アップグレードの間隔(時間単位)です。有効な値は 0 ~ 8760 です。

start-time :最初の自動アップグレードを開始する時刻。有効な値は、 hh:mm[:ss] です。

user-name :サーバ認証に使用するユーザ名。

user-server :ユーザ定義のサーバからの自動アップグレードをイネーブルにします。

詳細情報

SCP サーバを SSH 既知ホスト リストに追加する CLI の手順については、「SSH の既知ホスト リストへのホストの追加」を参照してください。

auto-upgrade コマンドの使用方法


) 自動アップデートの設定中に、認証不可というエラー メッセージが表示される場合は、センサーと Cisco.com との間にあるファイアウォールで正しいポートが開かれていることを確認してください。たとえば、www.cisco.com への自動アップデートの初期接続には 198.133.219.25 ポート 443 が必要です。選択したパッケージを Cisco ファイル サーバからダウンロードするには 198.133.219.243 ポート 80 が必要です。Cisco ファイル サーバの IP アドレスは変更される可能性がありますが、show statistics host コマンドの出力の lastDownloadAttempt セクションで確認できます。



) 最後の自動アップデートのステータス、または次にスケジュールされている自動アップデートを確認するには、show statistics host コマンドを実行し、Auto Update Statistics セクションを確認します。


自動アップグレードをスケジューリングするには、次の手順に従います。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 自動アップグレード サブモードを開始します。

sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# auto-upgrade
sensor(config-hos-aut)#
 

ステップ 3 センサーが Cisco.com または独自のファイル サーバで新しいアップグレードを定期的に検索するように設定します。

a. Cisco.com の場合は、次のようにします。

sensor(config-hos-aut)# cisco-server enabled
 

ステップ 4 に進みます。

b. 独自のサーバの場合は、次のようにします。

sensor(config-hos-aut)# user-server enabled
 

c. ファイル サーバの IP アドレスを指定します。

sensor(config-hos-ena)# ip-address 10.1.1.1
 

d. ファイル サーバでアップグレード ファイルがあるディレクトリを指定します。

sensor(config-hos-ena)# directory /tftpboot/sensor_updates
 

e. ファイル サーバのプロトコルを指定します。

sensor(config-hos-ena)# file-copy-protocol ftp
 

) SCP を使用する場合は、センサーがサーバと SSH で通信できるように、ssh host-key コマンドを使用してサーバを SSH 既知ホスト リストに追加する必要があります。


 

ステップ 4 認証用のユーザ名を指定します。

sensor(config-hos-ena)# user-name tester
 

ステップ 5 このユーザのパスワードを指定します。

sensor(config-hos-ena)# password
Enter password[]: ******
Re-enter password: ******
 

ステップ 6 スケジュールを指定します。

a. カレンダー スケジュールの場合は、指定された曜日の指定された時刻にアップグレードが開始されます。

sensor(config-hos-ena)# schedule-option calendar-schedule
sensor(config-hos-ena-cal)# days-of-week sunday
sensor(config-hos-ena-cal)# times-of-day 12:00:00
 

b. 定期スケジュールの場合は、指定された間隔でアップグレードが開始されます。

sensor(config-hos-ena)# schedule-option periodic-schedule
sensor(config-hos-ena-per)# interval 24
sensor(config-hos-ena-per)# start-time 13:00:00
 

ステップ 7 設定を確認できます。

sensor(config-hos-ena)# show settings
enabled
-----------------------------------------------
schedule-option
-----------------------------------------------
periodic-schedule
-----------------------------------------------
start-time: 13:00:00
interval: 24 hours
-----------------------------------------------
-----------------------------------------------
ip-address: 10.1.1.1
directory: /tftpboot/update/6.1_dummy_updates
user-name: tester
password: <hidden>
file-copy-protocol: ftp default: scp
-----------------------------------------------
sensor(config-hos-ena)#
 

ステップ 8 自動アップグレード サブモードを終了します。

sensor(config-hos-ena)# exit
sensor(config-hos)# exit
Apply Changes:?[yes]:
 

ステップ 9 Enter を押して変更を適用するか、 no と入力して変更を破棄します。


 

詳細情報

センサーを自動的にアップグレードする IDM の手順については、「 Configuring Automatic Update 」を参照してください。IME の手順については、「 Configuring Automatic Update 」を参照してください。

サポートされる FTP および HTTP/HTTPS サーバのリストについては、「サポートされる FTP および HTTP/HTTPS サーバ」を参照してください。

SCP サーバを SSH 既知ホスト リストに追加する CLI の手順については、「SSH の既知ホスト リストへのホストの追加」を参照してください。

show statistics host コマンドの出力については、「統計情報の表示」を参照してください。

自動アップグレードの例

表 23-1 に、自動アップグレードの例を示します。これらの例では、1:00 から 1 時間おきにアップグレードが実行されるように設定されています。たとえば、サイクル 1 は 1:00 に、サイクル 2 は 2:00 に、サイクル 3 は 3:00 に開始されます。

 

表 23-1 自動アップグレードの例

ケース/現在のバージョン
リモート ディレクトリのファイル
自動アップデートのサイクル/新しいバージョン

ケース 0
5.1(4) E0 S250

IPS-sig-S260-minreq-5.0-6.pkg

IPS-engine-E2-req-5.1-4.pkg

IPS-sig-S262-req-E2.pkg

IPS-sig-S263-req-E2.pkg

IPS-engine-E3-req-5.1-4.pkg

IPS-sig-S264-req-E3.pkg

サイクル 1 で IPS-engine-E3-req-5.1-4.pkg をインストール。
新しいバージョンは 5.1(4) E2 S250。

サイクル 2 で IPS-sig-S264-req-E3.pkg をインストール。
新しいバージョンは 5.1(4) E2 S264。

ケース 1
5.1(4) E0 S250

IPS-K9-sp-5.1-5.pkg

IPS-sig-S260-minreq-5.0-6.pkg

IPS-K9-5.1-6-E1.pkg

IPS-engine-E2-req-5.1-6.pkg

IPS-sig-S262-req-E2.pkg

IPS-sig-S263-req-E2.pkg

サイクル 1 で IPS-K9-5.1-6-E1.pkg をインストール。
新しいバージョンは 5.1(6) E1 S260。

サイクル 2 で IPS-engine-E2-req-5.1-6.pkg をインストール。
新しいバージョンは 5.1(6) E2 S260。

サイクル 3 で IPS-sig-S263-req-E2.pkg をインストール。
新しいバージョンは 5.1(6) E2 S263。

ケース 2
5.1(6) E5 S300

IPS-K9-6.0-1-E7.pkg

IPS-K9-6.0-2-E9.pkg

IPS-K9-6.0-3-E11.pkg

IPS-engine-E10-req-6.0-2.pkg

IPS-engine-E12-req-6.0-3.pkg

IPS-sig-S305-req-E12.pkg

IPS-sig-S307-req-E12.pkg

サイクル 1 で IPS-K9-6.0-3-E11.pkg をインストール。
新しいバージョンは 6.0(3) E11 S300。

サイクル 2 で IPS-engine-E12-req-6.0-3.pkg をインストール。
新しいバージョンは 6.0(3) E12 S300。

サイクル 3 で IPS-sig-S307-req-E12.pkg をインストール。
新しいバージョンは 6.0(3) E12 S307。

ケース 3
5.1(6) E10 S300

IPS-K9-6.0-1-E9.pkg

IPS-engine-E11-req-6.0-1.pkg

IPS-sig-S305-req-E11.pkg

IPS-sig-S307-req-E11.pkg

サイクル 1 では、E9 が E10 よりも低いため、何もインストールされない。

ケース 4
5.1(6) E10 S300

IPS-engine-E11-req-5.1-6.pkg

IPS-sig-S301-req-E10.pkg

サイクル 1 で IPS-engine-E11-req-5.1-6.pkg をインストール。
新しいバージョンは 5.1(6) E11 S300。

ケース 5
5.1(6) E10 S300

IPS-sig-S301-req-E10.pkg

IPS-sig-S302-req-E11.pkg

IPS-sig-S303-req-E12.pkg

IPS-engine-E11-req-5.1-6.pkg

サイクル 1 で IPS-engine-E11-req-5.1-6.pkg をインストール。
新しいバージョンは 5.1(6) E11 S300。

サイクル 2 で IPS-sig-S302-req-E11.pkg をインストール。
新しいバージョンは 5.1(6) E11 S302。

ケース 6
6.0(3)E1 S300
(IPS 4270-20)

IPS-K9-6.0-4-E1.pkg

IPS-4270_20-K9-6.0-4-E1.pkg

サイクル 1 で IPS-4270_20-K9-6.0-4-E1.pkg をインストール
新しいバージョンは 6.0(4)E1 S310

ケース 7
6.0(4)E3 S330
(AIM IPS)

IPS-K9-6.0-5-E3.pkg

IPS-AIM-K9-6.0-5-E3.pkg

サイクル 1 で IPS-AIM-K9-6.0-5-E3.pkg をインストール。
新しいバージョンは 6.0(5)E3 S335。

ケース 8
6.0(5)E5 S330
(AIM IPS)

IPS-K9-7.0-1-E5.pkg

IPS-AIM-K9-7.0-1-E5.pkg

サイクル 1 で IPS-K9-7.0-1-E5.pkg をインストール。
新しいバージョンは 7.0(1)E5 S377

センサーのダウングレード


注意 downgrade コマンドを使用して、以前のメジャーまたはマイナー バージョンに戻すことはできません(Cisco IPS 7.0 から 6.2 など)。downgrade コマンドでできることは、最新のシグニチャ アップデートまたはシグニチャ エンジン アップデートからのダウングレードだけです。6.2 に戻すには、センサーのイメージを再作成する必要があります。

最後に適用されたシグニチャ アップグレードまたはシグニチャ エンジン アップグレードをセンサーから削除するには、 downgrade コマンドを使用します。

最後に適用されたシグニチャ アップデートまたはシグニチャ エンジン アップデートをセンサーから削除するには、次の手順に従います。


ステップ 1 管理者権限を持つアカウントを使用して次のようにセンサーにログインします。

ステップ 2 グローバル コンフィギュレーション モードを開始します。

sensor# configure terminal
 

ステップ 3 最近適用されたサービス パックまたはシグニチャ アップデートがない場合、 downgrade コマンドは使用できません。

sensor(config)# downgrade
No downgrade available.
sensor(config)#
 


 

アプリケーション パーティションの復旧

ここでは、アプリケーション パーティションの復旧方法について説明します。内容は次のとおりです。

「アプリケーション パーティション」

「recover コマンドの使用方法」

アプリケーション パーティション

センサーのアプリケーション パーティション イメージが使用できなくなった場合は、復旧することができます。この方法を使用すると、一部のネットワーク設定情報は保持され、復旧の実行後にネットワークにアクセスできます。

リカバリ パーティションでブートして、センサーのアプリケーション パーティションを自動的に復旧するには、 recover application-partition コマンドを使用します。 recover application-partition コマンドは Telnet または SSH 接続から実行できるため、離れた場所にインストールされているセンサーを復旧するときに、このコマンドを使用することを推奨します。


) アプリケーション パーティション イメージを復旧する前にリカバリ パーティションを最新のバージョンにアップグレードしてある場合は、その最新のソフトウェア イメージをインストールできます。



) リカバリ後にセンサーに再接続するときは、デフォルト ユーザ名とパスワード cisco を使用してログインする必要があります。


詳細情報

リカバリ パーティションを最新バージョンにアップグレードする手順については、「リカバリ パーティションのアップグレード」を参照してください。

recover コマンドの使用方法

アプリケーション パーティション イメージを復旧するには、次の手順を実行します。


ステップ 1 センサーからアクセスできる FTP、HTTP、または HTTPS サーバに、リカバリ パーティション イメージ ファイル(IPS-K9-r-1.1-a-7.0-4-E4.pkg)をダウンロードします。

ステップ 2 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 3 コンフィギュレーション モードを開始します。

sensor# configure terminal
 

) リカバリ パーティションをアップグレードするには、センサーで IPS 7.0(1) が実行されている必要があります。


ステップ 4 アプリケーション パーティション イメージを復旧します。

sensor(config)# recover application-partition
Warning: Executing this command will stop all applications and re-image the node to version 6.2(1)E3. All configuration changes except for network settings will be reset to default.
Continue with recovery? []:
 

ステップ 5 yes と入力して続行します。

recover コマンドを実行するとすぐに、シャットダウンが開始されます。シャットダウンには少し時間がかかります。その間も CLI にアクセスすることはできますが、警告なしにアクセスが終了します。

リカバリ パーティションに格納されているイメージを使用して、アプリケーション パーティションのイメージが再作成されます。次に、 setup コマンドによってセンサーを初期化する必要があります。IP アドレス、ネットマスク、アクセス リスト、タイムゾーン、およびオフセットが保存され、イメージが再作成されたアプリケーション パーティションに適用されます。 recover application-partition コマンドをリモートで実行した場合は、デフォルトのユーザ名とパスワード( cisco / cisco )を使用してセンサーに SSH で接続して、 setup コマンドによって再度センサーを初期化します。Telnet はデフォルトでディセーブルとなっているため、センサーを初期化するまで Telnet は使用できません。


 

詳細情報

TFTP サーバの詳細については、「TFTP サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

setup コマンドを使用してセンサーを初期化する手順については、「センサーの基本的なセットアップ」を参照してください。

システム イメージのインストール

ここでは、システム イメージをアプライアンスおよびモジュールにインストールする手順について説明します。次の項目について説明します。

「ROMMON について」

「TFTP サーバ」

「ターミナル サーバへのアプライアンスの接続」

「IPS 4240 および IPS 4255 システム イメージのインストール」

「IPS 4260 システム イメージのインストール」

「IPS 4270-20 システム イメージのインストール」

「AIM IPS システム イメージのインストール」

「AIP SSM システム イメージのインストール」

「IDSM2 システム イメージのインストール」

「NME IPS システム イメージのインストール」


注意 システム イメージをインストールすると、すべてのユーザ設定は失われます。システム イメージをインストールしてセンサーの復旧を試みる前に、recover application-partition コマンドを使用するか、センサーの起動時にリカバリ パーティションを選択して復旧を試みてください。

詳細情報

recover application-partition コマンドの使用手順については、「アプリケーション パーティションの復旧」を参照してください。

ROMMON について

一部の Cisco センサーには ROMMON というプリブート CLI があり、プライマリ デバイスのイメージが欠落または破損していたり、通常のアプリケーションをブートできない場合に、センサーのイメージをブートできます。シリアル コンソール ポートを使用できれば、ROMMON は特にリモート センサーの復旧に役立ちます。

ROMMON へのアクセスは、シリアル コンソール ポート(センサー シャーシの RJ-45F コネクタで使用できる Cisco 標準非同期 RS-232C DTE)からのみ可能です。シリアルポートは、9600 ボー、8 データ ビット、1 ストップ ビット、パリティなし、フロー制御なしに設定されています。

詳細情報

ターミナル サーバを使用する手順については、「ターミナル サーバへのアプライアンスの接続」を参照してください。

TFTP サーバ

ROMMON は TFTP を使用してイメージをダウンロードし、起動します。TFTP は、遅延やエラー リカバリなどネットワークの問題に対応していません。限定的なパケット整合性チェックは実装されているため、パケットの整合性値が正しく、順番に到着する場合は、エラーの可能性がほとんどありません。しかし、TFTP はパイプライン処理を提供しないため、転送時間の合計は、転送されるパケット数にネットワークの平均 RTT を掛けた値になります。このような制限があるため、TFTP サーバはセンサーと同じ LAN セグメントに配置することを推奨します。RTT が 100 ミリ秒未満のネットワークでは、信頼性の高いイメージの配送ができます。一部の TFTP サーバでは、転送可能な最大ファイル サイズが 32 MB までに制限されていることがあるため注意してください。

ターミナル サーバへのアプライアンスの接続

ターミナル サーバは複数の低速非同期ポートを持つルータです。この複数のポートは、他のシリアル デバイスに接続されています。ターミナル サーバを使用して、アプライアンスを含むネットワーク機器をリモートで管理することができます。

RJ-45 接続またはヒドラ ケーブル アセンブリ接続を使用して Cisco ターミナル サーバをセットアップするには、次の手順を実行します。


ステップ 1 次のいずれかの方法で、ターミナル サーバに接続します。

RJ-45 接続のターミナル サーバ場合、180 ロールオーバー ケーブルをアプライアンスのコンソール ポートからターミナル サーバのポートに接続します。

ヒドラ ケーブル アセンブリの場合、ストレート パッチ ケーブルをアプライアンスのコンソール ポートからターミナル サーバのポートに接続します。

ステップ 2 ターミナル サーバで、回線およびポートを設定します。

イネーブル モードでは、次の設定を入力します。ここで、# は設定するポートの回線番号です。

config t
line #
login
transport input all
stopbits 1
flowcontrol hardware
speed 9600
exit
exit
wr mem
 

ステップ 3 アプライアンスへの不正アクセスを防ぐため、ターミナル セッションは確実に正しく終了してください。

ターミナル セッションが正しく終了されていない場合、つまり、セッションを開始したアプリケーションから exit(0) 信号が受信されていない場合、ターミナル セッションは開いたままです。ターミナル セッションが正しく終了していない場合、そのシリアル ポート上で開かれる次のセッションでは、認証が実行されません。


注意 接続を確立するために使用したアプリケーションを終了する前に、必ずセッションを終了してログイン プロンプトに戻ってください。


注意 誤って接続が切断されたり終了した場合は、接続を再確立し、正しく終了して、アプライアンスに対する不正なアクセスを防ぎます。


 

IPS 4240 および IPS 4255 システム イメージのインストール


この手順は IPS 4240 用ですが、IPS 4255 にも適用されます。IPS 4255 システム イメージは、ファイル名に「4255」が含まれています。


アプライアンスで ROMMON を使用して、システム イメージをコンパクト フラッシュ デバイスに TFTP でダウンロードすることにより、IPS 4240 および IPS 4255 システム イメージをインストールできます。

IPS 4240 および IPS 4255 システム イメージをインストールするには、次の手順に従います。


ステップ 1 IPS 4240 からアクセスできる TFTP サーバの tftp ルート ディレクトリに、IPS 4240 システム イメージ ファイル(IPS 4240-K9-sys-1.1-a-7.0-4-E4.img)をダウンロードします。


) IPS 4240 のイーサネット ポートに接続されているネットワークから TFTP サーバの場所にアクセスできることを確認します。


ステップ 2 IPS 4240 をブートします。

Booting system, please wait...
 
CISCO SYSTEMS
Embedded BIOS Version 1.0(5)0 09/14/04 12:23:35.90
 
Low Memory: 631 KB
High Memory: 2048 MB
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 2578 Host Bridge
00 01 00 8086 2579 PCI-to-PCI Bridge
00 03 00 8086 257B PCI-to-PCI Bridge
00 1C 00 8086 25AE PCI-to-PCI Bridge
00 1D 00 8086 25A9 Serial Bus 11
00 1D 01 8086 25AA Serial Bus 10
00 1D 04 8086 25AB System
00 1D 05 8086 25AC IRQ Controller
00 1D 07 8086 25AD Serial Bus 9
00 1E 00 8086 244E PCI-to-PCI Bridge
00 1F 00 8086 25A1 ISA Bridge
00 1F 02 8086 25A3 IDE Controller 11
00 1F 03 8086 25A4 Serial Bus 5
00 1F 05 8086 25A6 Audio 5
02 01 00 8086 1075 Ethernet 11
03 01 00 177D 0003 Encrypt/Decrypt 9
03 02 00 8086 1079 Ethernet 9
03 02 01 8086 1079 Ethernet 9
03 03 00 8086 1079 Ethernet 9
03 03 01 8086 1079 Ethernet 9
04 02 00 8086 1209 Ethernet 11
04 03 00 8086 1209 Ethernet 5
 
Evaluating BIOS Options ...
Launch BIOS Extension to setup ROMMON
 
Cisco Systems ROMMON Version (1.0(5)0) #1: Tue Sep 14 12:20:30 PDT 2004
 
Platform IPS 4240-K9
Management0/0
 
MAC Address: 0000.c0ff.ee01
 

ステップ 3 システムのブート中に、次のプロンプトに対して Break または Esc を押して、ブートを中断します。スペースバーを押すと、すぐにブートが開始します。


) Break または Esc は 10 秒以内に押してください。


Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
 

システムが ROMMON モードに入ります。 rommon> プロンプトが表示されます。

ステップ 4 現在のネットワーク設定を確認します。

rommon> set
 
ROMMON Variable Settings:
ADDRESS=0.0.0.0
SERVER=0.0.0.0
GATEWAY=0.0.0.0
PORT=Management0/0
VLAN=untagged
IMAGE=
CONFIG=
 

変数の定義は次のとおりです。

Address:IPS 4240 のローカル IP アドレス

Server:アプリケーション イメージが格納されている TFTP サーバの IP アドレス

Gateway:IPS 4240 が使用するゲートウェイ IP アドレス

Port:IPS 4240 の管理に使用されるイーサネット インターフェイス

VLAN:VLAN ID 番号(untagged のままにしておきます)

Image:システム イメージのファイル名とパス名

Config:このプラットフォームでは使用しません


) ネットワーク接続を確立するために、すべての値が必要なわけではありません。address、server、gateway、および image の値は必要です。ローカル環境を設定するために必要な設定がわからない場合は、システム管理者に連絡してください。


ステップ 5 必要に応じて、TFTP ダウンロードに使用するインターフェイスを変更します。


) TFTP ダウンロードに使用されるデフォルト インターフェイスは Management0/0 です。これは、IPS 4240 の MGMT インターフェイスに対応します。


rommon> PORT=interface_name
 

ステップ 6 必要に応じて、IPS 4240 上のローカル ポートの IP アドレスを割り当てます。

rommon> ADDRESS=ip_address
 

) IPS 4240 に割り当てられているものと同じ IP アドレスを使用してください。


ステップ 7 必要に応じて、TFTP サーバの IP アドレスを割り当てます。

rommon> SERVER=ip_address
 

ステップ 8 必要に応じて、ゲートウェイ IP アドレスを割り当てます。

rommon> GATEWAY=ip_address
 

ステップ 9 次のいずれかのコマンドを使用して、ローカル イーサネット ポートから ping を実行することにより、TFTP サーバにアクセスできることを確認します。

rommon> ping server_ip_address
rommon> ping server
 

ステップ 10 必要に応じて、イメージのダウンロード元である TFTP ファイル サーバ上のパスとファイル名を定義します。

rommon> IMAGE=path/file_name
 

注意 IMAGE コマンドは、すべて大文字で入力する必要があります。他の ROMMON コマンドは、小文字でも大文字でも入力できますが、IMAGE コマンドは特別にすべて大文字で入力する必要があります。

UNIX の例

rommon> IMAGE=/system_images/IPS 4240-K9-sys-1.1-a-7.0-4-E4.img
 

) パスは、UNIX TFTP サーバのデフォルトの tftpboot ディレクトリからの相対パスです。イメージがデフォルトの tftpboot ディレクトリにある場合、IMAGE 指定でディレクトリ名またはスラッシュは付きません。


Windows の例

rommon> IMAGE=¥system_images¥IPS 4240-K9-sys-1.1-a-7.0-4-E4.img
 

ステップ 11 set と入力して Enter を押し、ネットワーク設定を確認します。


sync コマンドを使用すると、これらの設定を NVRAM に保存して、後からブート時に使用できます。保存しない場合は、ROMMON からイメージをブートするときは毎回この情報を入力しなければなりません。


ステップ 12 システム イメージをダウンロードしてインストールします。

rommon> tftp
 

注意 システム イメージのインストール中は IPS 4240 の電源を切らないでください。電源を切ると、システム イメージが破損する場合があります。


) ネットワーク設定が正しければ、システムは指定されたイメージを IPS 4240 にダウンロードし、ブートします。必ず IPS 4240 のイメージを使用してください。



 

詳細情報

TFTP サーバの詳細については、「TFTP サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

IPS 4260 システム イメージのインストール

アプライアンスで ROMMON を使用して、システム イメージをフラッシュ デバイスに TFTP でダウンロードすることにより、IPS 4260 システム イメージをインストールできます。

IPS 4260 システム イメージをインストールするには、次の手順に従います。


ステップ 1 IPS 4260 からアクセスできる TFTP サーバの tftp ルート ディレクトリに、IPS 4260 システム イメージ ファイル(IPS 4260-K9-sys-1.1-a-7.0-4-E4.img)をダウンロードします。

IPS 4260 イーサネット ポートに接続されているネットワークから TFTP サーバの場所にアクセスできることを確認します。

ステップ 2 IPS 4260 をブートします。

ステップ 3 システムのブート中に、次のプロンプトに対して Ctrl キーを押した状態で R キーを押します。

Evaluating Run Options...
 

) Ctrl+R は 5 秒以内に押してください。


Assuming IPS 4260-K9 Platform
2 Ethernet Interfaces detected
 
Cisco Systems ROMMON Version (1.0(11)1c) #26: Mon Mar 13 18:05:54 CST 2006
 
Platform IPS 4260-K9
Management0/0
Link is UP
MAC Address: 0004.23cc.6047
 
 
Use ? for help.
rommon #0>
 

ステップ 4 必要に応じて、TFTP ダウンロードに使用するポートを変更します。

rommon #1> interface name
 

使用中のポートがプラット フォーム ID の直後に示されます。この例では、ポート Management0/0 が使用されています。


) TFTP ダウンロードに使用されるデフォルト ポートは Management0/0 です。これは、IPS 4260 のコマンド/コントロール(MGMT)インターフェイスに対応します。



) ポート Management0/0(MGMT)および GigabitEthernet0/1(GE 0/1)は、シャーシの背面でラベルによって示されています。


ステップ 5 IPS 4260 上のローカル ポートの IP アドレスを割り当てます。

rommon> address ip_address
 

) IPS 4260 に割り当てられているものと同じ IP アドレスを使用してください。


ステップ 6 TFTP サーバの IP アドレスを指定します。

rommon> server ip_address
 

ステップ 7 ゲートウェイの IP アドレスを指定します。

rommon> gateway ip_address
 

ステップ 8 ローカル イーサネット ポートから ping を実行することにより、TFTP サーバにアクセスできることを確認します。

rommon> ping server_ip_address
rommon> ping server
 

ステップ 9 イメージのダウンロード元である TFTP ファイル サーバ上のパスとファイル名を指定します。

rommon> file path/filename
 

UNIX の例

rommon> file /system_images/IPS 4260-K9-sys-1.1-a-7.0-4-E4.img
 

) パスは、UNIX TFTP サーバのデフォルトの tftpboot ディレクトリからの相対パスです。イメージがデフォルトの tftpboot ディレクトリにある場合、ファイルの場所にディレクトリ名またはスラッシュは付きません。


Windows の例

rommon> file <tftpboot_directory>IPS 4260-K9-sys-1.1-a-7.0-4-E4.img
 

ステップ 10 システム イメージをダウンロードしてインストールします。

rommon> tftp
 

) イメージの再作成プロセスの途中で、IPS 4260 は 1 回リブートします。アップデート プロセスの間は IPS 4260 の電源を切らないでください。電源を切ると、アップグレードが破損する場合があります。



 

詳細情報

TFTP サーバの詳細については、「TFTP サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

IPS 4270-20 システム イメージのインストール

アプライアンスで ROMMON を使用して、システム イメージをコンパクト フラッシュ デバイスに TFTP でダウンロードすることにより、IPS 4270-20 システム イメージをインストールできます。

IPS 4270-20 システム イメージをインストールするには、次の手順に従います。


ステップ 1 IPS 4270-20 からアクセスできる TFTP サーバの tftp ルート ディレクトリに、IPS 4270-20 システム イメージ ファイル(IPS-4270_20-K9-sys-1.1-a-7.0-4-E4.img)をダウンロードします。


) IPS 4270-20 のイーサネット ポートに接続されているネットワークから TFTP サーバの場所にアクセスできることを確認します。


ステップ 2 IPS 4270-20 をブートします。

Booting system, please wait...
Cisco Systems ROMMON Version (1.0(12)10) #7: Thu Jun 21 13:50:04 CDT 2007
 
ft_id_update: Invalid ID-PROM Controller Type (0x5df)
 
ft_id_update: Defaulting to Controller Type (0x5c2)
 

) コントローラ タイプのエラーは既知の問題です。無視してください。


ステップ 3 システムのブート中に、次のプロンプトに対して Break または Esc を押して、ブートを中断します。スペースバーを押すと、すぐにブートが開始します。


) Break または Esc は 10 秒以内に押してください。


Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
 

システムが ROMMON モードに入ります。 rommon> プロンプトが表示されます。

ステップ 4 現在のネットワーク設定を確認します。

rommon> set
 
ROMMON Variable Settings:
ADDRESS=0.0.0.0
SERVER=0.0.0.0
GATEWAY=0.0.0.0
PORT=Management0/0
VLAN=untagged
IMAGE=
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=2
RETRY=20
 

変数の定義は次のとおりです。

Address:IPS 4270-20 のローカル IP アドレス

Server:アプリケーション イメージが格納されている TFTP サーバの IP アドレス

Gateway:IPS 4270-20 が使用するゲートウェイ IP アドレス

Port:IPS 4270-20 の管理に使用されるイーサネット インターフェイス

VLAN:VLAN ID 番号(untagged のままにしておきます)

Image:システム イメージのファイル名とパス名

Config:このプラットフォームでは使用しません


) ネットワーク接続を確立するために、すべての値が必要なわけではありません。address、server、gateway、および image の値は必要です。ローカル環境を設定するために必要な設定がわからない場合は、システム管理者に連絡してください。


ステップ 5 必要に応じて、IPS 4270-20 上のローカル ポートの IP アドレスを割り当てます。

rommon> ADDRESS=ip_address
 

) IPS 4270-20 に割り当てられているものと同じ IP アドレスを使用してください。


ステップ 6 必要に応じて、TFTP サーバの IP アドレスを割り当てます。

rommon> SERVER=ip_address
 

ステップ 7 必要に応じて、ゲートウェイ IP アドレスを割り当てます。

rommon> GATEWAY=ip_address
 

ステップ 8 次のいずれかのコマンドを使用して、ローカル イーサネット ポートから ping を実行することにより、TFTP サーバにアクセスできることを確認します。

rommon> ping server_ip_address
rommon> ping server
 

ステップ 9 必要に応じて、イメージのダウンロード元である TFTP ファイル サーバ上のパスとファイル名を定義します。

rommon> IMAGE=path/file_name
 

UNIX の例

rommon> IMAGE=/system_images/IPS-4270_20-K9-sys-1.1-a-7.0-4-E4.img
 

) パスは、UNIX TFTP サーバのデフォルトの tftpboot ディレクトリからの相対パスです。イメージがデフォルトの tftpboot ディレクトリにある場合、IMAGE 指定でディレクトリ名またはスラッシュは付きません。


Windows の例

rommon> IMAGE=¥system_images¥IPS-4270_20-K9-sys-1.1-a-7.0-4-E4.img
 

ステップ 10 set と入力して Enter を押し、ネットワーク設定を確認します。


sync コマンドを使用すると、これらの設定を NVRAM に保存して、後からブート時に使用できます。保存しない場合は、ROMMON からイメージをブートするときは毎回この情報を入力しなければなりません。


ステップ 11 システム イメージをダウンロードしてインストールします。

rommon> tftp
 

注意 システム イメージのインストール中は IPS 4270-20 の電源を切らないでください。電源を切ると、システム イメージが破損する場合があります。


) ネットワーク設定が正しければ、システムは指定されたイメージを IPS 4270-20 にダウンロードし、ブートします。必ず IPS 4270-20 のイメージを使用してください。



 

詳細情報

TFTP サーバの詳細については、「TFTP サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

AIM IPS システム イメージのインストール

AIM IPS システム イメージをインストールするには、次の手順に従います。


ステップ 1 AIM IPS システム イメージ ファイル(IPS-AIM-K9-sys-1.1-7.0-4-E4.img)をダウンロードし、TFTP サーバに tftp ルート ディレクトリからの相対パスで置きます。


) AIM IPS が TFTP サーバにアクセスできるように、ネットワークが設定されていることを確認します。


TFTP サーバを使用できない場合は、ルータを TFTP サーバとして動作するように設定します。

router# copy tftp: flash:
router# configure terminal
router(config)# tftp-server flash:IPS-AIM-K9-sys-1.1-7.0-4-E4.img
router(config)# exit
router#
 

ステップ 2 ハートビート リセットをディセーブルにします。

router# service-module IDS-Sensor 0/slot_number heartbeat-reset disable
 

) ハートビート リセットをディセーブルにすると、システム イメージのインストール中に(このプロセスに非常に長い時間がかかる場合)、ルータによるモジュールのリセットが防止されます。


ステップ 3 AIM IPS にセッション接続します。

router# service-module IDS-Sensor 0/slot_number session
 

) AIM IPS スロット番号を判定するには、show configuration | include interface IDS-Sensor コマンドを使用します。


ステップ 4 Shift キーと Ctrl キーを押した状態で 6 を押してから X キーを押して、セッションを一時停止します。

router# プロンプトが表示されます。このプロンプトが表示されない場合は、Ctrl キーを押した状態で 6 を押してから X キーを押してみてください。

ステップ 5 AIM IPS をリセットします。

router# service-module IDS-Sensor 0/slot_number reset
 

reset コマンドを確認するように要求されます。

ステップ 6 Enter キーを押して確認します。

ステップ 7 Enter を押して、一時停止中のセッションを再開します。

ブートローダのバージョンが表示されてから、次のプロンプトが 15 秒間表示されます。

Please enter ’***’ to change boot configuration:
 

ステップ 8 この 15 秒の間に *** と入力します。

ブートローダのプロンプトが表示されます。

ステップ 9 Enter を押すと AIM IPS とのセッションに戻ります。

ステップ 10 ブートローダを設定します。

ServicesEngine bootloader> config
 
IP Address [10.89.148.188]>
Subnet mask [255.255.255.0]>
TFTP server [10.89.150.74]>
Gateway [10.89.148.254]>
Default boot [disk]>
Number cores [2]>
ServicesEngine boot-loader >
 

それぞれのプロンプトで、値を入力するか、Enter を押して、角括弧で囲まれた以前に入力して保存してある値をそのまま適用します。


) ゲートウェイ IP アドレスは、IDS センサーのスロット/ポート インターフェイスと一致する必要があります。



unnumbered コマンドを使用してモジュール インターフェイスを設定する場合、ゲートウェイ IP アドレスは、unnumbered コマンドの一部として使用した他のルータ インターフェイスの IP アドレスにする必要があります。



注意 AIM IPS イメージのパス名はフルパスですが、tftp サーバのルート ディレクトリ(一般的には /tftpboot)からの相対的なものにします。

ステップ 11 ブートローダを起動します。

ServicesEngine bootloader> upgrade
 

ステップ 12 ブートローダの指示に従ってソフトウェアをインストールします(オプション 1 を選択して、ウィザードの指示に従います)。


) 次の例では、AIM IPS の IP アドレスが 10.1.9.201 です。イメージ作成プロセスは、IP アドレスが 10.1.9.1 のルータ TFTP サーバから AIM IPS イメージにアクセスします。


Booting from flash...please wait.
Please enter '***' to change boot configuration:
11 ***
ServicesEngine boot-loader Version : 1.1.0
ServicesEngine boot-loader > config
 
IP Address [10.1.9.201]>
Subnet mask [255.255.255.0]>
TFTP server [10.1.9.1]>
Gateway [10.1.9.1]>
Default boot [disk]>
Number cores [2]>
ServicesEngine boot-loader > upgrade
 
Cisco Systems, Inc.
Services engine upgrade utility for AIM IPS
-----
Main menu
1 - Download application image and write to USB Drive
2 - Download bootloader and write to flash
3 - Download minikernel and write to flash
r - Exit and reset card
x - Exit
Selection [123rx]
Download recovery image via tftp and install on USB Drive
TFTP server [10.1.9.1]>
full pathname of recovery image []:IPS-AIM-K9-sys-1.1-7.0-4-E4.img
Ready to begin
Are you sure [Y/N]
Returning TRUE
Press <CTRL-C> to abort.
octeth1: Up 1Gbs Full duplex, (port 1)
octeth0: Down 10Mbs Half duplex, (port 0)
Using octeth1 device
TFTP from server 10.1.9.1; our IP address is 10.1.9.201
Filename 'IPS-AIM-K9-sys-1.1-7.0-4-E4.img'.
Load address: 0x21000000
Loading: #################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
######
32 MB received
#################################################################
#######################
done
 

ステップ 13 Shift キーと Ctrl キーを押した状態で 6 を押してから X キーを押して、セッションを一時停止します。

router# プロンプトが表示されます。このプロンプトが表示されない場合は、Ctrl キーを押した状態で 6 を押してから X キーを押してみてください。

ステップ 14 ルータの CLI 側で、セッションをクリアします。

router# service-module interface ids-sensor 0/slot_number session clear
 

ステップ 15 ハートビート リセットをイネーブルにします。

router# service-module IDS-sensor 0/slot_number heartbeat-reset enable
 


 

詳細情報

TFTP サーバの詳細については、「TFTP サーバ」を参照してください。

アンナンバード IP アドレスを設定する手順については、「アンナンバード IP アドレス インターフェイスの使用」を参照してください。

AIP SSM システム イメージのインストール

ここでは、AIP SSM システム イメージをインストールする方法について説明します。内容は次のとおりです。

「AIP SSM のイメージの再作成」

「recover configure/boot コマンドを使用した AIP SSM のイメージの再作成」

AIP SSM のイメージの再作成

AIP SSM のイメージの再作成は、次のいずれかの方法で実行できます。

ASA から hw-module module 1 recover configure/boot コマンドを使用する。

センサーの CLI から recover application-partition コマンドを使用して、アプリケーション イメージを回復する。

センサーの CLI から upgrade コマンドを使用して、リカバリ イメージをアップグレードする。

詳細情報

hw-module module 1 recover configure/boot コマンドの使用手順については、「recover configure/boot コマンドを使用した AIP SSM のイメージの再作成」を参照してください。

アプリケーション パーティションを回復する手順については、「アプリケーション パーティションの復旧」を参照してください。

リカバリ イメージをアップグレードする手順については、「リカバリ パーティションのアップグレード」を参照してください。

recover configure/boot コマンドを使用した AIP SSM のイメージの再作成

AIP SSM に障害が発生し、モジュール アプリケーション イメージを実行できない場合は、適応型セキュリティ アプライアンスの CLI を使用して、アプリケーション イメージを TFTP サーバからモジュールに転送できます。適応型セキュリティ アプライアンスはモジュール ROMMON アプリケーションと通信し、イメージを転送できます。


) 指定する TFTP サーバが、最大 60 MB のサイズのファイルを転送できることを確認してください。



) ネットワークとイメージのサイズに応じて、このプロセスは完了までに約 15 分間かかることがあります。


AIP SSM システム イメージをインストールするには、次の手順に従います。


ステップ 1 適応型セキュリティ アプライアンスにログインします。

ステップ 2 イネーブル モードを開始します。

asa# enable
 

ステップ 3 AIP SSM 用のリカバリ設定を行います。

asa (enable)# hw-module module 1 recover configure
 

) リカバリ設定に誤りがあった場合は、hw-module module 1 recover stop コマンドを使用してシステムのイメージの再作成を停止し、設定を修正できます。


ステップ 4 システム イメージの TFTP URL を指定します。

Image URL [tftp://0.0.0.0/]:
 

Image URL [tftp://0.0.0.0/]: tftp://10.89.146.1/IPS-SSM-K9-sys-1.1-a-7.0-4-E4.img
 

ステップ 5 AIP SSM のコマンド/コントロール インターフェイスを指定します。


) ポート IP アドレスは AIP SSM の管理 IP アドレスです。


Port IP Address [0.0.0.0]:
 

Port IP Address [0.0.0.0]: 10.89.149.231
 

ステップ 6 VLAN ID は 0 のままにします。

VLAN ID [0]:
 

ステップ 7 AIP SSM のデフォルト ゲートウェイを指定します。

Gateway IP Address [0.0.0.0]:
 

Gateway IP Address [0.0.0.0]: 10.89.149.254
 

ステップ 8 リカバリを実行します。

asa# hw-module module 1 recover boot
 

これによって、TFTP サーバから AIP SSM にイメージが転送され、再起動されます。

 

ステップ 9 リカバリが完了するまで、定期的に確認します。


) リカバリ中はステータスが Recovery で、イメージの再作成が完了すると Up になります。


asa# show module 1
 
Mod Card Type Model Serial No.
--- -------------------------------------------- ------------------ -----------
0 ASA 5540 Adaptive Security Appliance ASA5540 P2B00000019
1 ASA 5500 Series Security Services Module-20 ASA-SSM-20 P1D000004F4
 
Mod MAC Address Range Hw Version Fw Version Sw Version
--- --------------------------------- ------------ ------------ ---------------
0 000b.fcf8.7b1c to 000b.fcf8.7b20 0.2 1.0(7)2 7.0(0)82
1 000b.fcf8.011e to 000b.fcf8.011e 0.1 1.0(7)2 5.0(0.22)S129.0
 
Mod Status
--- ------------------
0 Up Sys
1 Up
asa#
 

) 出力の Status フィールドは AIP SSM の動作ステータスを示します。AIP SSM の動作ステータスは、通常は「Up」と表示されます。適応型セキュリティ アプライアンスはアプリケーション イメージを AIP SSM に転送しますが、出力の Status フィールドには Recover と表示されます。適応型セキュリティ アプライアンスがイメージの転送を完了し、AIP SSM を再起動すると、新たに転送されたイメージが実行されます。



) リカバリ プロセスで発生したエラーをデバッグするには、debug module-boot コマンドを使用して、システムのイメージの再作成プロセスに関するデバッグをイネーブルにします。


ステップ 10 AIP SSM にセッション接続し、 setup コマンドで初期化します。


 

詳細情報

TFTP サーバの詳細については、「TFTP サーバ」を参照してください。

AIP SSM を初期化する手順については、「AIP SSM の高度な設定」を参照してください。

IDSM2 システム イメージのインストール

ここでは、IDSM2 システム イメージをインストールする方法について説明します。内容は次のとおりです。

「IDSM2 システム イメージについて」

「IDSM2 システム イメージのインストール(Catalyst ソフトウェア)」

「IDSM2 システム イメージのインストール(Cisco IOS ソフトウェア)」

「IDSM2 のメンテナンス パーティションの設定(Catalyst ソフトウェア)」

「IDSM2 のメンテナンス パーティションの設定(Cisco IOS ソフトウェア)」

「IDSM2 のメンテナンス パーティションのアップグレード(Catalyst ソフトウェア)」

「IDSM2 のメンテナンス パーティションのアップグレード(Cisco IOS ソフトウェア)」

IDSM2 システム イメージについて

IDSM2 のアプリケーション パーティションが使用できなくなった場合は、メンテナンス パーティションからイメージを再作成することができます。IDSM2 のアプリケーション パーティションのイメージを再作成したら、 setup コマンドを使用して IDSM2 を初期化する必要があります。

新しいメンテナンス パーティション イメージ ファイルがある場合は、アプリケーション パーティションからメンテナンス パーティションのイメージを再作成できます。

IDSM2 システム イメージのインストール(Catalyst ソフトウェア)

システム イメージをインストールするには、次の手順を実行します。


ステップ 1 IDSM2 からアクセスできる FTP サーバの FTP ルート ディレクトリに、IDSM2 システム イメージ ファイル(IPS-IDSM2-K9-sys-1.1-a-7.0-4-E4.bin.gz)をダウンロードします。

ステップ 2 スイッチの CLI にログインします。

ステップ 3 IDSM2 をメンテナンス パーティションでブートします。

console> (enable) reset module_number cf:1
 

ステップ 4 メンテナンス パーティションの CLI にログインします。

login: guest
Password: cisco
 

) IDSM2 のメンテナンス パーティションを設定する必要があります。


ステップ 5 システム イメージをインストールします。

guest@hostname.localdomain# upgrade ftp://user@ftp server IP/directory path/IPS-IDSM2-K9-sys-1.1-a-7.0-4-E4.bin.gz
 

ステップ 6 FTP サーバのパスワードを指定します。アプリケーション パーティション ファイルのダウンロードが完了すると、次に進むかどうか尋ねられます。

Upgrading will wipe out the contents on the hard disk. Do you want to proceed installing it [y|n]:
 

ステップ 7 y を入力して続行します。アプリケーション パーティション ファイルのインストールが完了すると、メンテナンス パーティションの CLI に戻ります。

ステップ 8 メンテナンス パーティションの CLI を終了して、スイッチの CLI に戻ります。

ステップ 9 IDSM2 をアプリケーション パーティションでリブートします。

console> (enable) reset module_number hdd:1
 

ステップ 10 IDSM2 のリブートが完了したら、ソフトウェアのバージョンをチェックします。

ステップ 11 アプリケーション パーティションの CLI にログインして、 setup コマンドを使用して IDSM2 を初期化します。


 

詳細情報

サポートされる FTP および HTTP/HTTPS サーバのリストについては、「サポートされる FTP および HTTP/HTTPS サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

IDMS-2 でメンテナンス パーティションを設定する手順については、「IDSM2 のメンテナンス パーティションの設定(Catalyst ソフトウェア)」および「IDSM2 のメンテナンス パーティションの設定(Cisco IOS ソフトウェア)」を参照してください。

setup コマンドを使用して IDSM2 を初期化する手順については、「IDSM2 の高度な設定」を参照してください。

IDSM2 システム イメージのインストール(Cisco IOS ソフトウェア)

システム イメージをインストールするには、次の手順に従います。


ステップ 1 IDSM2 からアクセスできる FTP サーバの FTP ルート ディレクトリに、IDSM2 システム イメージ ファイル(IPS-IDSM2-K9-sys-1.1-a-7.0-4-E4.bin.gz)をダウンロードします。

ステップ 2 スイッチの CLI にログインします。

ステップ 3 IDSM2 をメンテナンス パーティションでブートします。

router# hw-module module module_number reset cf:1
 

ステップ 4 メンテナンス パーティションの CLI にセッション接続します。

router# session slot slot_number processor 1
 

ステップ 5 メンテナンス パーティションの CLI にログインします。

login: guest
Password: cisco
 

ステップ 6 メンテナンス パーティションのインターフェイス IP アドレスを設定します。

guest@localhost.localdomain# ip address ip_address netmask
 

) スイッチの設定に基づいて、IDSM2 管理インターフェイスがある VLAN に適したアドレスを選択します。


ステップ 7 メンテナンス パーティションのデフォルト ゲートウェイ アドレスを設定します。

guest@localhost.localdomain# ip gateway gateway_address
 

ステップ 8 システム イメージをインストールします。

guest@hostname.localdomain# upgrade ftp://user@ftp_server_ip_address/directory_path/IPS-IDSM2-K9-sys-1.1-a-7.0-4-E4.bin.gz
--install
 

ステップ 9 FTP サーバのパスワードを指定します。アプリケーション パーティション ファイルのダウンロードが完了すると、次に進むかどうか尋ねられます。

Upgrading will wipe out the contents on the hard disk.
Do you want to proceed installing it [y|n]:
 

ステップ 10 y を入力して続行します。アプリケーション パーティション ファイルのインストールが完了すると、メンテナンス パーティションの CLI に戻ります。

ステップ 11 メンテナンス パーティションの CLI を終了して、スイッチの CLI に戻ります。

ステップ 12 IDSM2 をアプリケーション パーティションでリブートします。

router# hw-module module module_number reset hdd:1
 

ステップ 13 IDSM2 がオンラインであり、ソフトウェアのバージョンが正しいことと、ステータスが ok であることを確認します。

router# show module module_number
 

ステップ 14 IDSM2 アプリケーション パーティションの CLI にセッション接続します。

router# session slot slot_number processor 1
 

ステップ 15 setup コマンドを使用して IDSM2 を初期化します。


 

詳細情報

サポートされる FTP および HTTP/HTTPS サーバのリストについては、「サポートされる FTP および HTTP/HTTPS サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

IDMS-2 でメンテナンス パーティションを設定する手順については、「IDSM2 のメンテナンス パーティションの設定(Catalyst ソフトウェア)」および「IDSM2 のメンテナンス パーティションの設定(Cisco IOS ソフトウェア)」を参照してください。

IDSM2 を初期化する手順については、「IDSM2 の高度な設定」を参照してください。

IDSM2 のメンテナンス パーティションの設定(Catalyst ソフトウェア)

IDSM2 メンテナンス パーティションを設定するには、次の手順に従います。


ステップ 1 スイッチの CLI にログインします。

ステップ 2 特権モードを開始します。

console# enable
console(enable)#
 

ステップ 3 IDSM2 をリロードします。

console> (enable) reset module_number cf:1
 

ステップ 4 IDSM2 にセッション接続します。

console# session 9
Trying IDS-9...
Connected to IDS-9.
Escape character is '^]'.
 
Cisco Maintenance image
 

) IDSM2 メンテナンス パーティションには、Telnet または SSH で接続できません。スイッチの CLI からセッション接続する必要があります。


ステップ 5 ユーザ guest 、パスワード cisco としてログインします。


) guest のパスワードは変更できますが、変更は推奨しません。メンテナンス パーティションのゲスト パスワードを忘れ、何らかの理由で IDSM2 のアプリケーション パーティションにログインできなくなると、IDSM2 で RMA が必要になります。


login: guest
Password: cisco
 
Maintenance image version: 2.1(2)
 
guest@idsm2.localdomain#
 

ステップ 6 IDSM2 のメンテナンス パーティションのホスト設定を表示します。

guest@idsm2.localdomain# show ip
 
IP address : 10.89.149.74
Subnet Mask : 255.255.255.128
IP Broadcast : 10.255.255.255
DNS Name : idsm2.localdomain
Default Gateway : 10.89.149.126
Nameserver(s) :
 
guest@idsm2.localdomain#
 

ステップ 7 IDSM2 のメンテナンス パーティションのホスト設定(IP アドレス、ゲートウェイ、ホスト名)をクリアします。

guest@idsm2.localdomain# clear ip
guest@localhost.localdomain# show ip
 
IP address : 0.0.0.0
Subnet Mask : 0.0.0.0
IP Broadcast : 0.0.0.0
DNS Name : localhost.localdomain
Default Gateway : 0.0.0.0
Nameserver(s) :
 
guest@localhost.localdomain#
 

ステップ 8 メンテナンス パーティションのホスト設定を行います。

a. IP アドレスを指定します。

guest@localhost.localdomain# ip address ip_address netmask
 

b. デフォルト ゲートウェイを指定します。

guest@localhost.localdomain# ip gateway gateway_ip_address
 

c. ホスト名を指定します。

guest@localhost.localdomain# ip host hostname
 

ステップ 9 メンテナンス パーティションのホスト設定を表示します。

guest@idsm2.localdomain# show ip
 
IP address : 10.89.149.74
Subnet Mask : 255.255.255.128
IP Broadcast : 10.255.255.255
DNS Name : idsm2.localdomain
Default Gateway : 10.89.149.126
Nameserver(s) :
 
guest@idsm2.localdomain#
 

ステップ 10 アプリケーション パーティションにインストールされたイメージを確認します。

guest@idsm2.localdomain# show images
Device name Partition# Image name
----------- ---------- ----------
Hard disk(hdd) 1 6.1(1)
guest@idsm2.localdomain#
 

ステップ 11 メンテナンス パーティションのバージョンを確認します(BIOS のバージョンも含む)。

guest@idsm2.localdomain# show version
 
Maintenance image version: 2.1(2)
mp.2-1-2.bin : Thu Nov 18 11:41:36 PST 2004 :
integ@kplus-build-lx.cisco.com
 
Line Card Number :WS-SVC-IDSM2-XL
Number of Pentium-class Processors : 2
BIOS Vendor: Phoenix Technologies Ltd.
BIOS Version: 4.0-Rel 6.0.9
 
Total available memory: 2012 MB
Size of compact flash: 61 MB
Size of hard disk: 19077 MB
Daughter Card Info: Falcon rev 3, FW ver 2.0.3.0 (IDS), SRAM 8 MB, SDRAM 256 MB
 
guest@idsm2.localdomain#
 

ステップ 12 アプリケーション パーティションをアップグレードします。

guest@idsm2.localdomain# upgrade ftp://jsmith@10.89.146.11//RELEASES/Latest/6.2-1/WS-SVC-IDSM2-K9-sys-1.1-a-6.1-1.190-E0.1.bin.gz
Downloading the image. This may take several minutes...
Password for jsmith@10.89.146.114:
500 'IPS-IDSM2-K9-sys-1.1-a-6.2-1-E3.bin.gz': command not understood.
 
ftp://jsmith@10.89.146.11//RELEASES/Latest/6.2-1/IPS-IDSM2-K9-sys-1.1-a-6.2-1-E3.bin.gz (unknown size)
/tmp/upgrade.gz [|] 28616K
29303086 bytes transferred in 5.34 sec (5359.02k/sec)
 
Upgrade file
ftp://jsmith@10.89.146.114//RELEASES/Latest/6.2-1/IPS-IDSM2-K9-sys-1.1-a-6.2-1-E3.bin.gz is downloaded.
Upgrading will wipe out the contents on the storage media.
Do you want to proceed installing it [y|N]:
 

ステップ 13 y と入力し、アップグレードに進みます。

Proceeding with upgrade. Please do not interrupt.
If the upgrade is interrupted or fails, boot into maintenance image again and restart upgrade.
 
Creating IDS application image file...
 
Initializing the hard disk...
Applying the image, this process may take several minutes...
Performing post install, please wait...
Application image upgrade complete. You can boot the image now.
guest@idsm3.localdomain#
 

ステップ 14 アップグレード ログを表示します。

guest@idsm3.localdomain# show log upgrade
 
Upgrading the line card on Fri Mar 11 21:21:53 UTC 2005
Downloaded upgrade image
ftp://jsmith@10.89.146.114//RELEASES/Latest/6.2-1/WS-SVC-IDSM2-K9-sys-1.1-a-6.2-1-E3.bin.gz
Extracted the downloaded file
Proceeding with image upgrade.
Fri Mar 11 21:22:06 2005 : argv1 = 0, argv2 = 0, argv3 = 3, argv4 = 1
Fri Mar 11 21:22:06 2005 : Creating IDS application image file...
Fri Mar 11 21:22:06 2005 : footer: XXXXXXXXXXXXXXXX
Fri Mar 11 21:22:06 2005 : exeoff: 0000000000031729
Fri Mar 11 21:22:06 2005 : image: 0000000029323770
Fri Mar 11 21:22:06 2005 : T: 29323818, E: 31729, I: 29323770
Fri Mar 11 21:22:07 2005 : partition: /dev/hdc1
Fri Mar 11 21:22:07 2005 : startIDSAppUpgrade:Image: /tmp/cdisk.gz
Fri Mar 11 21:22:07 2005 : startIDSAppUpgrade:Device: /dev/hdc1
Fri Mar 11 21:22:07 2005 : startIDSAppUpgrade:Install type: 1
Fri Mar 11 21:22:07 2005 : Initializing the hard disk...
Fri Mar 11 21:22:07 2005 : Required disk size: 524288 Kb (blocks)
Fri Mar 11 21:22:07 2005 : Available disk size: 19535040 Kb (blocks)
Fri Mar 11 21:22:13 2005 : Partitions created on '/dev/hdc'.
Fri Mar 11 21:22:13 2005 : Device '/dev/hdc' verified for OK.
Fri Mar 11 21:22:19 2005 : Created ext2 fileSystem on '/dev/hdc1'.
Fri Mar 11 21:22:19 2005 : Directory '/mnt/hd/' created.
Fri Mar 11 21:22:19 2005 : Partition '/dev/hdc1' mounted.
Fri Mar 11 21:22:19 2005 : Finished initializing the hard disk.
Fri Mar 11 21:22:19 2005 : Applying the image, this process may take several minutes...
Fri Mar 11 21:22:19 2005 : Directory changed to '/mnt/hd'.
Fri Mar 11 21:22:20 2005 : Performing post install, please wait...
Fri Mar 11 21:22:20 2005 : File /mnt/hd/post-install copied to /tmp/post-install.
Fri Mar 11 21:22:20 2005 : Directory changed to '/tmp'.
Fri Mar 11 21:22:28 2005 : Partition '/dev/hdc1' unmounted.
Fri Mar 11 21:22:28 2005 : Directory changed to '/tmp'.
Application image upgrade complete. You can boot the image now.
Partition upgraded successfully
guest@idsm2.localdomain#
 

ステップ 15 アップグレード ログをクリアします。

guest@idsm2.localdomain# clear log upgrade
Cleared log file successfully
 

ステップ 16 アップグレード ログを表示します。

guest@idsm2.localdomain# show log upgrade
guest@idsm2.localdomain#
 

ステップ 17 別のコンピュータに ping を実行します。

guest@idsm2.localdomain# ping 10.89.146.114
PING 10.89.146.114 (10.89.146.114) from 10.89.149.74 : 56(84) bytes of data.
64 bytes from 10.89.146.114: icmp_seq=0 ttl=254 time=381 usec
64 bytes from 10.89.146.114: icmp_seq=1 ttl=254 time=133 usec
64 bytes from 10.89.146.114: icmp_seq=2 ttl=254 time=129 usec
64 bytes from 10.89.146.114: icmp_seq=3 ttl=254 time=141 usec
64 bytes from 10.89.146.114: icmp_seq=4 ttl=254 time=127 usec
 
--- 10.89.146.114 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/mdev = 0.127/0.182/0.381/0.099 ms
guest@idsm2.localdomain#
 

ステップ 18 IDSM2 をリセットします。


) メンテナンス パーティションから reset コマンドを発行するときに、パーティションは指定できません。IDSM2 は、ブート デバイス変数で指定されたパーティションでブートします。ブート デバイス変数がブランクの場合、IDSM2 はアプリケーション パーティションでブートします。


guest@idsm2.localdomain# reset
guest@idsm2.localdomain#
2005 Mar 11 21:55:46 CST -06:00 %SYS-4-MOD_SHUTDOWNSTART:Module 9 shutdown in progress. Do not remove module until shutdown completes
 
Broadcast message from root Fri Mar 11 21:55:47 2005...
 
The system is going down for system halt NOW !!
console> (enable)#
 


 

詳細情報

サポートされる FTP および HTTP/HTTPS サーバのリストについては、「サポートされる FTP および HTTP/HTTPS サーバ」を参照してください。

IDSM2 のメンテナンス パーティションの設定(Cisco IOS ソフトウェア)

IDSM2 メンテナンス パーティションを設定するには、次の手順に従います。


ステップ 1 スイッチの CLI にログインします。

ステップ 2 IDSM2 にセッション接続します。

router# session slot 11 processor 1
The default escape character is Ctrl-^, then x.
You can also type 'exit' at the remote prompt to end the session
Trying 127.0.0.111 ... Open
 
Cisco Maintenance image
 

) IDSM2 メンテナンス パーティションには、Telnet または SSH で接続できません。スイッチの CLI からセッション接続する必要があります。


ステップ 3 ユーザ guest 、パスワード cisco としてログインします。


) guest のパスワードは変更できますが、変更は推奨しません。メンテナンス パーティションのゲスト パスワードを忘れ、何らかの理由で IDSM2 のアプリケーション パーティションにログインできなくなると、IDSM2 で RMA が必要になります。


login: guest
password: cisco
 
Maintenance image version: 2.1(2)
 
guest@idsm2.localdomain#
 

ステップ 4 メンテナンス パーティションのホスト設定を表示します。

guest@idsm2.localdomain# show ip
 
IP address : 10.89.149.74
Subnet Mask : 255.255.255.128
IP Broadcast : 10.255.255.255
DNS Name : idsm2.localdomain
Default Gateway : 10.89.149.126
Nameserver(s) :
 
guest@idsm2.localdomain#
 

ステップ 5 メンテナンス パーティションのホスト設定(IP アドレス、ゲートウェイ、ホスト名)をクリアします。

guest@idsm2.localdomain# clear ip
guest@localhost.localdomain# show ip
 
IP address : 0.0.0.0
Subnet Mask : 0.0.0.0
IP Broadcast : 0.0.0.0
DNS Name : localhost.localdomain
Default Gateway : 0.0.0.0
Nameserver(s) :
 
guest@localhost.localdomain#
 

ステップ 6 メンテナンス パーティションのホスト設定を行います。

a. IP アドレスを指定します。

guest@localhost.localdomain# ip address ip_address netmask
 

b. デフォルト ゲートウェイを指定します。

guest@localhost.localdomain# ip gateway gateway_ip_address
 

c. ホスト名を指定します。

guest@localhost.localdomain# ip host hostname
 

ステップ 7 メンテナンス パーティションのホスト設定を表示します。

guest@idsm2.localdomain# show ip
 
IP address : 10.89.149.74
Subnet Mask : 255.255.255.128
IP Broadcast : 10.255.255.255
DNS Name : idsm2.localdomain
Default Gateway : 10.89.149.126
Nameserver(s) :
 
guest@idsm2.localdomain#
 

ステップ 8 アプリケーション パーティションにインストールされたイメージを確認します。

guest@idsm2.localdomain# show images
Device name Partition# Image name
----------- ---------- ----------
Hard disk(hdd) 1 6.1(1)
guest@idsm2.localdomain#
 

ステップ 9 メンテナンス パーティションのバージョンを確認します(BIOS のバージョンも含む)。

guest@idsm2.localdomain# show version
 
Maintenance image version: 2.1(2)
mp.2-1-2.bin : Thu Nov 18 11:41:36 PST 2004 :
integ@kplus-build-lx.cisco.com
 
Line Card Number :WS-SVC-IDSM2-XL
Number of Pentium-class Processors : 2
BIOS Vendor: Phoenix Technologies Ltd.
BIOS Version: 4.0-Rel 6.0.9
 
Total available memory: 2012 MB
Size of compact flash: 61 MB
Size of hard disk: 19077 MB
Daughter Card Info: Falcon rev 3, FW ver 2.0.3.0 (IDS), SRAM 8 MB, SDRAM 256 MB
 
guest@idsm2.localdomain#
 

ステップ 10 アプリケーション パーティションをアップグレードします。

guest@idsm2.localdomain# upgrade ftp://jsmith@10.89.146.11//RELEASES/Latest/6.2-1/IPS-IDSM2-K9-sys-1.1-a-6.2-1-E3.img
Downloading the image. This may take several minutes...
Password for jsmith@10.89.146.114:
500 'SIZE IPS-IDSM2-K9-sys-1.1-a-6.2-1.bin.gz': command not understood.
 
ftp://jsmith@10.89.146.11//RELEASES/Latest/6.1-1/IPS-IDSM2-K9-sys-1.1-a-6.2-1-E3.img (unknown size)
/tmp/upgrade.gz [|] 28616K
29303086 bytes transferred in 5.34 sec (5359.02k/sec)
 
Upgrade file
ftp://jsmith@10.89.146.114//RELEASES/Latest/6.2-1/IPS-IDSM2-K9-sys-1.1-a-6.2-1-E3.img is downloaded.
Upgrading will wipe out the contents on the storage media.
Do you want to proceed installing it [y|N]:
 

ステップ 11 y と入力し、アップグレードに進みます。

Proceeding with upgrade. Please do not interrupt.
If the upgrade is interrupted or fails, boot into maintenance image again and restart upgrade.
 
Creating IDS application image file...
 
Initializing the hard disk...
Applying the image, this process may take several minutes...
Performing post install, please wait...
Application image upgrade complete. You can boot the image now.
guest@idsm3.localdomain#
 

ステップ 12 アップグレード ログを表示します。

guest@idsm3.localdomain# show log upgrade
 
Upgrading the line card on Fri Mar 11 21:21:53 UTC 2005
Downloaded upgrade image
ftp://jsmith@10.89.146.114//RELEASES/Latest/6.2-1/IPS-IDSM2-K9-sys-1.1-a-6.2-1-E3.img
Extracted the downloaded file
Proceeding with image upgrade.
Fri Mar 11 21:22:06 2005 : argv1 = 0, argv2 = 0, argv3 = 3, argv4 = 1
Fri Mar 11 21:22:06 2005 : Creating IDS application image file...
Fri Mar 11 21:22:06 2005 : footer: XXXXXXXXXXXXXXXX
Fri Mar 11 21:22:06 2005 : exeoff: 0000000000031729
Fri Mar 11 21:22:06 2005 : image: 0000000029323770
Fri Mar 11 21:22:06 2005 : T: 29323818, E: 31729, I: 29323770
Fri Mar 11 21:22:07 2005 : partition: /dev/hdc1
Fri Mar 11 21:22:07 2005 : startIDSAppUpgrade:Image: /tmp/cdisk.gz
Fri Mar 11 21:22:07 2005 : startIDSAppUpgrade:Device: /dev/hdc1
Fri Mar 11 21:22:07 2005 : startIDSAppUpgrade:Install type: 1
Fri Mar 11 21:22:07 2005 : Initializing the hard disk...
Fri Mar 11 21:22:07 2005 : Required disk size: 524288 Kb (blocks)
Fri Mar 11 21:22:07 2005 : Available disk size: 19535040 Kb (blocks)
Fri Mar 11 21:22:13 2005 : Partitions created on '/dev/hdc'.
Fri Mar 11 21:22:13 2005 : Device '/dev/hdc' verified for OK.
Fri Mar 11 21:22:19 2005 : Created ext2 fileSystem on '/dev/hdc1'.
Fri Mar 11 21:22:19 2005 : Directory '/mnt/hd/' created.
Fri Mar 11 21:22:19 2005 : Partition '/dev/hdc1' mounted.
Fri Mar 11 21:22:19 2005 : Finished initializing the hard disk.
Fri Mar 11 21:22:19 2005 : Applying the image, this process may take several minutes...
Fri Mar 11 21:22:19 2005 : Directory changed to '/mnt/hd'.
Fri Mar 11 21:22:20 2005 : Performing post install, please wait...
Fri Mar 11 21:22:20 2005 : File /mnt/hd/post-install copied to /tmp/post-install.
Fri Mar 11 21:22:20 2005 : Directory changed to '/tmp'.
Fri Mar 11 21:22:28 2005 : Partition '/dev/hdc1' unmounted.
Fri Mar 11 21:22:28 2005 : Directory changed to '/tmp'.
Application image upgrade complete. You can boot the image now.
Partition upgraded successfully
guest@idsm2.localdomain#
 

ステップ 13 アップグレード ログをクリアします。

guest@idsm2.localdomain# clear log upgrade
Cleared log file successfully
 

ステップ 14 アップグレード ログを表示します。

guest@idsm2.localdomain# show log upgrade
guest@idsm2.localdomain#
 

ステップ 15 別のコンピュータに ping を実行します。

guest@idsm2.localdomain# ping 10.89.146.114
PING 10.89.146.114 (10.89.146.114) from 10.89.149.74 : 56(84) bytes of data.
64 bytes from 10.89.146.114: icmp_seq=0 ttl=254 time=381 usec
64 bytes from 10.89.146.114: icmp_seq=1 ttl=254 time=133 usec
64 bytes from 10.89.146.114: icmp_seq=2 ttl=254 time=129 usec
64 bytes from 10.89.146.114: icmp_seq=3 ttl=254 time=141 usec
64 bytes from 10.89.146.114: icmp_seq=4 ttl=254 time=127 usec
 
--- 10.89.146.114 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/mdev = 0.127/0.182/0.381/0.099 ms
guest@idsm2.localdomain#
 

ステップ 16 IDSM2 をリセットします。


) メンテナンス パーティションから reset コマンドを発行するときに、パーティションは指定できません。IDSM2 は、ブート デバイス変数で指定されたパーティションでブートします。ブート デバイス変数がブランクの場合、IDSM2 はアプリケーション パーティションでブートします。


guest@idsm2.localdomain# reset
guest@idsm2.localdomain#
Broadcast message from root Fri Mar 11 22:04:53 2005...
 
The system is going down for system halt NOW !!
 
[Connection to 127.0.0.111 closed by foreign host]
router#
 


 

詳細情報

サポートされる FTP および HTTP/HTTPS サーバのリストについては、「サポートされる FTP および HTTP/HTTPS サーバ」を参照してください。

IDSM2 のメンテナンス パーティションのアップグレード(Catalyst ソフトウェア)

メンテナンス パーティションをアップグレードするには、次の手順に従います。


ステップ 1 IDSM2 からアクセスできる FTP サーバの FTP ルート ディレクトリに、IDSM2 のメンテナンス パーティション ファイル(c6svc-mp.2-1-2.bin.gz)をダウンロードします。

ステップ 2 スイッチから IDSM2 にセッション接続します。

console>(enable) session slot_number
 

ステップ 3 IDSM2 の CLI にログインします。

ステップ 4 コンフィギュレーション モードを開始します。

idsm2# configure terminal
 

ステップ 5 メンテナンス パーティションをアップグレードします。

idsm2(config)# upgrade ftp://user@ftp_server_IP_address/directory_path/c6svc-mp.2-1-2.bin.gz
 

続行するかどうか尋ねられます。

ステップ 6 FTP サーバのパスワードを入力します。

ステップ 7 y を入力して続行します。

メンテナンス パーティション ファイルがアップグレードされます。


 

詳細情報

サポートされる FTP および HTTP/HTTPS サーバのリストについては、「サポートされる FTP および HTTP/HTTPS サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

IDSM2 のメンテナンス パーティションのアップグレード(Cisco IOS ソフトウェア)

メンテナンス パーティションをアップグレードするには、次の手順に従います。


ステップ 1 IDSM2 からアクセスできる FTP サーバの FTP ルート ディレクトリに、IDSM2 のメンテナンス パーティション ファイル(c6svc-mp.2-1-2.bin.gz)をダウンロードします。

ステップ 2 スイッチの CLI にログインします。

ステップ 3 アプリケーション パーティションの CLI との間にセッションを確立します。

router# session slot slot_number processor 1
 

ステップ 4 IDSM2 にログインします。

ステップ 5 コンフィギュレーション モードを開始します。

idsm2# configure terminal
 

ステップ 6 メンテナンス パーティションをアップグレードします。

idsm2(config)# upgrade ftp://user@ftp_server_IP_address/directory_path/c6svc-mp.2-1-2.bin.gz
 

ステップ 7 FTP サーバのパスワードを指定します。

Password: ********
 

続行するかどうか尋ねられます。

Continue with upgrade?:
 

ステップ 8 yes と入力して続行します。


 

詳細情報

サポートされる FTP および HTTP/HTTPS サーバのリストについては、「サポートされる FTP および HTTP/HTTPS サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

NME IPS システム イメージのインストール


) NME IPS スロット番号を判定するには、show configuration | include interface ids-sensor コマンドを使用します。


NME IPS システム イメージをインストールするには、次の手順に従います。


ステップ 1 NME IPS システム イメージ ファイル(IPS-NME-K9-sys-1.1-7.0-4-E4.img)をダウンロードし、TFTP サーバに tftp ルート ディレクトリからの相対パスで置きます。


) NME IPS が TFTP サーバにアクセスできるように、ネットワークが設定されていることを確認します。


TFTP サーバを使用できない場合は、ルータを TFTP サーバとして動作するように設定します。

router# copy tftp: flash:
router# configure terminal
router(config)# tftp-server flash:IPS-NME-K9-sys-1.1-7.0-4-E4.img
router(config)# exit
router#
 

ステップ 2 ハートビート リセットをディセーブルにします。

router# service-module ids-sensor 1/0 heartbeat-reset disable
 

) ハートビート リセットをディセーブルにすると、システム イメージのインストール中に(このプロセスに非常に長い時間がかかる場合)、ルータによるモジュールのリセットが防止されます。


ステップ 3 NME IPS にセッション接続します。

router# service-module ids-sensor 1/0 session
 

ステップ 4 Shift キーと Ctrl キーを押した状態で 6 を押してから X キーを押して、セッションを一時停止します。 router# プロンプトが表示されます。このプロンプトが表示されない場合は、Ctrl キーを押した状態で 6 を押してから X キーを押してみてください。

ステップ 5 NME IPS をリセットします。 reset コマンドを確認するように要求されます。

router# service-module ids-sensor 1/0 reset
 

ステップ 6 Enter キーを押して確認します。

ステップ 7 Enter を押して、一時停止中のセッションを再開します。ブートローダのバージョンが表示されてから、次のプロンプトが 15 秒間表示されます。

Please enter ’***’ to change boot configuration:
 

ステップ 8 この 15 秒の間に *** と入力します。ブートローダのプロンプトが表示されます。

ステップ 9 Enter を押して NME IPS とのセッションに戻ります。

ステップ 10 ブートローダを設定します。

ServicesEngine bootloader> config
 
IP Address [10.89.148.195]>
Subnet mask [255.255.255.0]>
TFTP server [10.89.150.74]>
Gateway [10.89.148.254]>
Default boot [disk]>
Number cores [2]>
ServicesEngine boot-loader >
 

それぞれのプロンプトで、値を入力するか、Enter を押して、角括弧で囲まれた以前に入力して保存してある値をそのまま適用します。


注意 NME IPS イメージのパス名はフルパスですが、tftp サーバのルート ディレクトリ(一般的には /tftpboot)からの相対的なものにします。

ステップ 11 ブートローダを起動します。

ServicesEngine bootloader> upgrade
 

ステップ 12 ブートローダの指示に従ってソフトウェアをインストールします(オプション 1 を選択して、ウィザードの指示に従います)。

Booting from flash...please wait.
Please enter '***' to change boot configuration:
12 ***
ServicesEngine boot-loader Version : 1.2.0
ServicesEngine boot-loader > config
 
IP Address [10.89.148.195]>
Subnet mask [255.255.255.0]>
TFTP server [10.89.150.74]>
Gateway [10.89.148.254]>
Default boot [disk]>
Number cores [2]>
ServicesEngine boot-loader > upgrade
 
Cisco Systems, Inc.
Services engine upgrade utility for NM-IPS
-----
Main menu
1 - Download application image and write to USB Drive
2 - Download bootloader and write to flash
3 - Download minikernel and write to flash
r - Exit and reset card
x - Exit
Selection [123rx]
Download recovery image via tftp and install on USB Drive
TFTP server [10.89.150.74]>
full pathname of recovery image
[]:test/sensor/6.1-1-E2/IPS-NME-K9-sys-1.1-a-7.0-4-E4.img
Ready to begin
Are you sure [Y/N]
Press <CTRL-C> to abort.
octeth0: Up 1Gbs Full duplex, (port 0)
octeth1: Up 1Gbs Full duplex, (port 1)
Using octeth0 device
TFTP from server 10.89.150.74; our IP address is 10.89.148.195; sending through gateway 10.89.148.254
Filename 'test/sensor/6.1-1-E2/IPS-NME-K9-sys-1.1-a-7.0-4-E4.img'.
Load address: 0x21000000
Loading: octeth0: Down 1Gbs Half duplex, (port 0)
octeth0: Down 1Gbs Full duplex, (port 0)
octeth0: Up 1Gbs Full duplex, (port 0)
T T T T T T T T T #################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
######
32 MB received
#################################################################
#################################################################
##################
done
 

ステップ 13 Shift キーと Ctrl キーを押した状態で 6 を押してから X キーを押して、セッションを一時停止します。 router# プロンプトが表示されます。このプロンプトが表示されない場合は、Ctrl キーを押した状態で 6 を押してから X キーを押してみてください。

ステップ 14 ルータの CLI 側で、セッションをクリアします。

router# service-module interface ids-sensor 1/0 session clear
 

ステップ 15 ハートビート リセットをイネーブルにします。

router# service-module IDS-sensor 1/0 heartbeat-reset enable
 


 

詳細情報

TFTP サーバの詳細については、「TFTP サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。