Cisco Intrusion Prevention System Manager Express コンフィギュレーション ガイド for IPS 7.1
システム イメージのアップグレード、ダウン グレード、およびインストール
システム イメージのアップグレード、ダウングレード、およびインストール
発行日;2012/04/23 | 英語版ドキュメント(2012/04/09 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

システム イメージのアップグレード、ダウングレード、およびインストール

アップグレード、ダウングレード、およびシステム イメージ

サポートされる FTP サーバおよび HTTP/HTTPS サーバ

センサーのアップグレード

リカバリ パーティションのアップグレード

自動アップグレードの設定

自動アップグレードについて

自動アップグレードの設定

自動アップグレードの例

センサーのダウングレード

アプリケーション パーティションの復旧

アプリケーション パーティションについて

センサーのアプリケーション パーティション イメージの復旧

システム イメージのインストール

ROMMON

TFTP サーバ

ターミナル サーバの設定

IPS4240 および IPS4255 システム イメージのインストール

IPS4260 システム イメージのインストール

IPS 4270-20 システム イメージのインストール

AIMIPS システム イメージのインストール

AIPSSM および AIPSSC-5 システム イメージのインストール

AIPSSM または AIM-SSC-5 イメージの再作成

recover configure/boot コマンドを使用した AIPSSM または AIPSSC-5 イメージの再作成

IDSM2 システム イメージのインストール

IDSM2 システム イメージについて

Catalyst ソフトウェアの IDSM2 システム イメージのインストール

Cisco IOS ソフトウェアの IDSM2 システム イメージのインストール

Catalyst ソフトウェアの IDSM2 メンテナンス パーティションの設定

Cisco IOS ソフトウェアの IDSM2 メンテナンス パーティションの設定

Catalyst ソフトウェアの IDSM2 メンテナンス パーティションのアップグレード

Cisco IOS ソフトウェアの IDSM2 メンテナンス パーティションのアップグレード

IPS SSP システム イメージのインストール

hw-module コマンドを使用したシステム イメージのインストール

ROMMON を使用したシステム イメージのインストール

NMEIPS システム イメージのインストール

システム イメージのアップグレード、ダウングレード、およびインストール


) IPS SSP を搭載した Cisco ASA 5585-X は、現在、Cisco IPS 7.1 をサポートする唯一のプラットフォームです。他の Cisco IPS センサーは、いずれも現在 IPS 7.1 をサポートしていません。



) IPS SSP を搭載した Cisco ASA 5585-X は、ASA 8.2(4.4) 以降および ASA 8.4(2) 以降でサポートされています。ASA 8.3(x) ではサポートされていません。


この章では、システム イメージをアップグレード、ダウングレード、およびインストールする方法について説明します。内容は次のとおりです。

「アップグレード、ダウングレード、およびシステム イメージ」

「サポートされる FTP サーバおよび HTTP/HTTPS サーバ」

「センサーのアップグレード」

「自動アップグレードの設定」

「センサーのダウングレード」

「アプリケーション パーティションの復旧」

「システム イメージのインストール」

アップグレード、ダウングレード、およびシステム イメージ


) IPS SSP を搭載した Cisco ASA 5585-X は、現在、Cisco IPS 7.1 をサポートする唯一のプラットフォームです。他の Cisco IPS センサーは、いずれも現在 IPS 7.1 をサポートしていません。



) IPS SSP を搭載した Cisco ASA 5585-X は、ASA 8.2(4.4) 以降および ASA 8.4(2) 以降でサポートされています。ASA 8.3(x) ではサポートされていません。


センサーのソフトウェアをアップグレードおよびダウングレードできます。アップグレードでは、サービス パック、シグニチャ アップデート、シグニチャ エンジン アップデート、マイナー バージョン、メジャー バージョン、またはリカバリ パーティション ファイルが適用されます。ダウングレードでは、最後に適用されたサービス パックまたはシグニチャ アップデートがセンサーから削除されます。


注意 downgrade コマンドを使用して、Cisco IPS 7.1 から 7.0 へなど、以前のメジャー バージョンまたはマイナー バージョンに戻すことはできません。downgrade コマンドでは、最新のシグニチャ アップデートまたはシグニチャ エンジン アップデートからのダウングレードのみ可能です。7.0 に戻すには、センサーのイメージを再作成する必要があります。

センサーのアプリケーション パーティション イメージが使用できなくなった場合は、復旧することができます。 recover コマンドを使用と、ホスト設定を保持したまま他の設定を出荷時の初期状態に戻すことができます。

センサーに新しいシステム イメージをインストールするには、使用しているプラットフォームに応じて、ROMMON、ブートローダ ファイル、またはメンテナンス パーティションを使用します。

センサーに新しいシステム イメージをインストールすると、すべてのアカウントが削除され、デフォルトの cisco アカウントはデフォルトのパスワード cisco を使用するようにリセットされます。システム イメージをインストールした後で、センサーを再度初期化する必要があります。

センサーのイメージを再作成し、初期化を行った後で、最新のサービス パック、シグニチャ アップデート、シグニチャ エンジン アップデート、マイナー アップデート、メジャー アップデート、およびリカバリ パーティション ファイルでセンサーをアップグレードする必要があります。

詳細情報

センサーを初期化する手順については、「センサーの初期化」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

さまざまなセンサーのイメージを再作成手順については、「システム イメージのインストール」を参照してください。

サポートされる FTP サーバおよび HTTP/HTTPS サーバ

IPS ソフトウェアのアップデートについてサポートされている FTP サーバは次のとおりです。

WU-FTPD 2.6.2(Linux)

Solaris 2.8

Sambar 6.0(Windows 2000)

Serv-U 5.0(Windows 2000)

MS IIS 5.0(Windows 2000)

IPS ソフトウェアのアップデートについてサポートされている HTTP/HTTPS サーバは次のとおりです。

CMS - Apache Server(Tomcat)

CMS - Apache Server(JRun)

詳細情報

Cisco.com から IPS ソフトウェア アップデートをダウンロードする手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

自動アップデートを設定する手順については、「自動アップグレードの設定」を参照してください。

センサーのアップグレード

サービス パック、シグニチャ アップデート、エンジン アップデート、マイナー バージョン、メジャー バージョン、またはリカバリ パーティション ファイルのアップグレードを適用するには、 upgrade source-url コマンドを使用します。

オプション

次のオプションが適用されます。

source-url :コピー元のファイルの場所。

ftp::FTP ネットワーク サーバのコピー元 URL。このプレフィクスの構文は、次のとおりです。

ftp:[//[username@] location]/relativeDirectory]/filename

ftp:[//[username@]location]//absoluteDirectory]/filename


) パスワードを入力するように求められます。


scp::SCP ネットワーク サーバのコピー元 URL。このプレフィクスの構文は、次のとおりです。

scp:[//[username@] location]/relativeDirectory]/filename

scp:[//[username@] location]//absoluteDirectory]/filename


) パスワードを入力するように求められます。


http::Web サーバのコピー元 URL。このプレフィクスの構文は、次のとおりです。

http:[[//username@] location]/directory] filename


) ディレクトリは、目的のファイルの絶対パスで指定する必要があります。


https::Web サーバのコピー元 URL。このプレフィクスの構文は、次のとおりです。

https:[[//username@] location]/directory] filename


) ディレクトリは、目的のファイルの絶対パスで指定する必要があります。


センサーのアップグレード

センサーをアップグレードするには、次の手順を実行します。


ステップ 1 アップグレード用のファイルをセンサーからアクセスできる FTP、SCP、HTTP、または HTTPS サーバにダウンロードします。

ステップ 2 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 3 コンフィギュレーション モードを開始します。

sensor# configure terminal
 

ステップ 4 センサーをアップグレードします。

sensor(config)# upgrade url/IPS-K9-7.0-1-E4.pkg
 

この URL は、アップデート ファイルがある場所を指します。たとえば、FTP を使用してアップデートを取得する場合は、次のように入力します。

sensor(config)# upgrade ftp://username@ip_address//directory/IPS-K9-7.0-1-E4.pkg
 

ステップ 5 プロンプトが表示されたら、パスワードを入力します。

Enter password: ********
 

ステップ 6 yes と入力してアップグレードを完了します。


) メジャー アップデート、マイナー アップデート、およびサービス パックによって、IPS プロセスが強制的に再起動されることがあります。また、インストールを完了するためにセンサーが強制的にリブートされることもあります。



) オペレーティング システムのイメージが再作成され、サービス アカウントを使用してセンサーに配置されたすべてのファイルが削除されます。



 

詳細情報

サポートされる FTP サーバおよび HTTP/HTTPS サーバのリストについては、「サポートされる FTP サーバおよび HTTP/HTTPS サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

AIM IPS でハートビートのリセットをディセーブルにする手順については、「 Enabling and Disabling Heartbeat Reset 」を参照してください。NME IPS については、「 Enabling and Disabling Heartbeat Reset 」を参照してください。

リカバリ パーティションのアップグレード

リカバリ パーティションを最新バージョンでアップグレードして、センサー上のアプリケーション パーティションを復旧する場合に備えておくことには、 upgrade コマンドを使用します。


) リカバリ パーティション イメージはメジャー アップデートおよびマイナー アップデートのために生成されます。サービス パックやシグニチャ アップデートのために生成されることはごくまれにしかありません。



) AIM IPS および NME IPS には、IPS 7.0 のリカバリ パーティションをアップグレードするときに使用する必要のある固有のリカバリ イメージがあります。AIM IPS では、IPS-AIM-K9-r-1.1-a-7.0-1-E4.pkg を使用します。NME IPS では、IPS-NME-K9-r-1.1-a-7.0-1-E4.pkg を使用します。


リカバリ パーティションのアップグレード

センサーのリカバリ パーティションをアップグレードするには、次の手順を実行します。


ステップ 1 リカバリ パーティション イメージ ファイル(IPS-K9-r-1.1-a-7.0-1-E4.pkg など)を、センサーからアクセスできる FTP、SCP、HTTP、または HTTPS サーバにダウンロードします。


注意 ブラウザによっては、ファイル名に拡張子が付加されます。保存されたファイルのファイル名は、ダウンロード ページに表示されているファイル名と一致する必要があります。一致していなければ、そのファイルはリカバリ パーティションのアップグレードに使用できません。

ステップ 2 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 3 コンフィギュレーション モードを開始します。

sensor# configure terminal
 

ステップ 4 リカバリ パーティションをアップグレードします。

sensor(config)# upgrade scp://user@server_ipaddress//upgrade_path/IPS-K9-r-1.1-a-7.0-1-E4.pkg
 
sensor(config)# upgrade ftp://user@server_ipaddress//upgrade_path/IPS-K9-r-1.1-a-7.0-1-E4.pkg
 

ステップ 5 サーバ パスワードを入力します。アップグレード プロセスが開始されます。


) この手順では、リカバリ パーティションのイメージを再作成するだけです。アプリケーション パーティションは、このアップグレードでは変更されません。リカバリ パーティションの後にアプリケーション パーティションのイメージを再作成するには、recover application-partition コマンドを使用します。



 

詳細情報

サポートされる FTP サーバおよび HTTP/HTTPS サーバのリストについては、「サポートされる FTP サーバおよび HTTP/HTTPS サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

recover コマンドの使用手順については、 「アプリケーション パーティションの復旧」を参照してください。

自動アップグレードの設定

ここでは、アップグレード ディレクトリにあるアップグレード ファイルを自動的に検索するようにセンサーを設定する方法について説明します。内容は次のとおりです。

「自動アップグレードについて」

「自動アップグレードの設定」

「自動アップグレードの例」

自動アップグレードについて

アップグレード ディレクトリにある新しいアップグレード ファイルを自動的に検索するようにセンサーを設定することができます。たとえば、複数のセンサーが、異なるアップデート スケジュール(24 時間ごと、月曜日、水曜日、および金曜日の午後 11 時など)で同じリモート FTP サーバ ディレクトリを参照できます。

自動アップグレードのスケジュールを設定するには、次の情報を指定します。

サーバの IP アドレス

センサーがアップグレード ファイルをチェックするファイル サーバ上のディレクトリのパス

ファイル コピー プロトコル(SCP または FTP)

ユーザ名とパスワード

アップグレード スケジュール

センサーが自動アップグレード ファイルをポーリングするためには、ソフトウェア アップグレードを Cisco.com からダウンロードし、アップグレード ディレクトリにコピーしておく必要があります。


) 自動アップデートの設定中に不正アクセスを示すエラー メッセージが表示された場合は、センサーと Cisco.com の間のファイアウォール上で正しいポートが開いていることを確認してください。たとえば、www.cisco.com への最初の自動アップデート接続には、198.133.219.25 ポート 443 が必要であり、選択したパッケージを Cisco ファイル サーバからダウンロードするには、198.133.219.243 ポート 80 が必要です。Cisco ファイル サーバの IP アドレスは変更されることがありますが、show statistics host コマンドの出力の lastDownloadAttempt セクションで確認できます。



) 前回の自動アップデートまたは予定されている次回の自動アップデートのステータスをチェックするには、show statistics host コマンドを実行し、Auto Update Statistics セクションを確認します。


詳細情報

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

自動アップグレードの設定

自動アップグレードを設定するには、サービス ホスト サブモードで auto-upgrade-option enabled コマンドを使用します。

オプション

次のオプションが適用されます。

cisco-server :シグニチャおよびシグニチャ エンジンの Cisco.com からの自動アップデートをイネーブルにします。

cisco-url :Cisco サーバ ロケータ サービス。www.cisco.com の IP アドレスが変更された場合を除き、このオプションを変更する必要はありません。

default :値をシステムのデフォルト設定に戻します。

directory :アップグレード ファイルが置かれているファイル サーバ上のディレクトリ。先頭の「/」は、絶対パスであることを示します。

file-copy-protocol :ファイル サーバからのファイルのダウンロードに使用されるファイル コピー プロトコル。有効な値は、 ftp または scp です。


) SCP を使用する場合は、センサーが SSH を介してサーバと通信できるように、ssh host-key コマンドを使用してサーバを SSH の既知ホスト リストに追加する必要があります。


ip-address :ファイル サーバの IP アドレス。

password :Cisco サーバの認証用のユーザ パスワード。

schedule-option :Cisco サーバによる自動アップグレードのスケジュールを設定します。カレンダー スケジューリングでは、特定の曜日の特定の時刻にアップグレードが開始されます。定期スケジューリングでは、特定の間隔でアップグレードが開始されます。

calendar-schedule :自動アップグレードを実行する曜日と時刻を設定します。

days-of-week :自動アップグレードを実行する曜日。複数の曜日を選択できます。 sunday から saturday までが有効な値です。

no :エントリまたは選択設定を削除します。

times-of-day :自動アップグレードを開始する時刻。複数の時刻を選択できます。有効な値は hh:mm[:ss] です。

periodic-schedule :最初の自動アップグレードを実行する時刻と自動アップグレードの間隔を設定します。

interval :自動アップグレードの間隔(時間単位)。有効な値は 0 ~ 8760 です。

start-time :最初の自動アップグレードを開始する時刻。有効な値は hh:mm[:ss] です。

user-name :サーバ認証用のユーザ名。

user-server :ユーザ定義のサーバからの自動アップグレードをイネーブルにします。

自動アップグレードのスケジューリング

自動アップグレードをスケジューリングするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 自動アップグレード サブモードを開始します。

sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# auto-upgrade
sensor(config-hos-aut)#
 

ステップ 3 Cisco.com またはファイル サーバで新しいアップグレードを自動的に検索するようにセンサーを設定します。

a. Cisco.com で次の操作を行います。ステップ 4 に進みます。

sensor(config-hos-aut)# cisco-server enabled
 

b. サーバから次の操作を行います。

sensor(config-hos-aut)# user-server enabled
 

c. ファイル サーバの IP アドレスを指定します。

sensor(config-hos-ena)# ip-address 10.1.1.1
 

d. アップグレード ファイルが置かれているファイル サーバ上のディレクトリを指定します。

sensor(config-hos-ena)# directory /tftpboot/sensor_updates
 

e. ファイル サーバ プロトコルを指定します。

sensor(config-hos-ena)# file-copy-protocol ftp
 

) SCP を使用する場合は、センサーが SSH を介してサーバと通信できるように、ssh host-key コマンドを使用してサーバを SSH の既知ホスト リストに追加する必要があります。


 

ステップ 4 認証用のユーザ名を指定します。

sensor(config-hos-ena)# user-name tester
 

ステップ 5 このユーザのパスワードを指定します。

sensor(config-hos-ena)# password
Enter password[]: ******
Re-enter password: ******
 

ステップ 6 スケジューリングを指定します。

a. 特定の曜日の特定の時刻にアップグレードが開始されるカレンダー スケジューリングは、次のように指定します。

sensor(config-hos-ena)# schedule-option calendar-schedule
sensor(config-hos-ena-cal)# days-of-week sunday
sensor(config-hos-ena-cal)# times-of-day 12:00:00
 

b. 特定の間隔でアップグレードが開始される定期スケジューリングは、次のように指定します。

sensor(config-hos-ena)# schedule-option periodic-schedule
sensor(config-hos-ena-per)# interval 24
sensor(config-hos-ena-per)# start-time 13:00:00
 

ステップ 7 設定を確認できます。

sensor(config-hos-ena)# show settings
enabled
-----------------------------------------------
schedule-option
-----------------------------------------------
periodic-schedule
-----------------------------------------------
start-time: 13:00:00
interval: 24 hours
-----------------------------------------------
-----------------------------------------------
ip-address: 10.1.1.1
directory: /tftpboot/update/6.1_dummy_updates
user-name: tester
password: <hidden>
file-copy-protocol: ftp default: scp
-----------------------------------------------
sensor(config-hos-ena)#
 

ステップ 8 自動アップグレード サブモードを終了します。

sensor(config-hos-ena)# exit
sensor(config-hos)# exit
Apply Changes:?[yes]:
 

ステップ 9 Enter を押して変更内容を確定するか、 no を入力して、これらを破棄します。


 

詳細情報

サポートされる FTP サーバおよび HTTP/HTTPS サーバのリストについては、「サポートされる FTP サーバおよび HTTP/HTTPS サーバ」を参照してください。

SCP サーバを SSH の既知ホスト リストに追加する手順については、「既知のホスト キーの設定」を参照してください。

自動アップグレードの例

表 25-1 自動アップグレードの例を示します。これらの例では、アップグレードが 1:00 に開始され、以後 1 時間ごとに実行されるように設定されています。たとえば、サイクル 1 は 1:00、サイクル 2 は 2:00、サイクル 3 は 3:00 にそれぞれ開始されます。

 

表 25-1 自動アップグレード事例

ケース/現在のバージョン
リモート ディレクトリ内のファイル
自動アップデートのサイクル/新バージョン

ケース 0
5.1(4) E0 S250

IPS-sig-S260-minreq-5.0-6.pkg

IPS-engine-E2-req-5.1-4.pkg

IPS-sig-S262-req-E2.pkg

IPS-sig-S263-req-E2.pkg

IPS-engine-E3-req-5.1-4.pkg

IPS-sig-S264-req-E3.pkg

サイクル 1 で IPS-engine-E3-req-5.1-4.pkg をインストールします。
新バージョンは 5.1(4) E2 S250 です。

サイクル 2 で IPS-sig-S264-req-E3.pkg をインストールします。
新バージョンは 5.1(4) E2 S264 です。

ケース 1
5.1(4) E0 S250

IPS-K9-sp-5.1-5.pkg

IPS-sig-S260-minreq-5.0-6.pkg

IPS-K9-5.1-6-E1.pkg

IPS-engine-E2-req-5.1-6.pkg

IPS-sig-S262-req-E2.pkg

IPS-sig-S263-req-E2.pkg

サイクル 1 で IPS-K9-5.1-6-E1.pkg をインストールします。
新バージョンは 5.1(6) E1 S260 です。

サイクル 2 で IPS-engine-E2-req-5.1-6.pkg をインストールします。
新バージョンは 5.1(6) E2 S260 です。

サイクル 3 で IPS-sig-S263-req-E2.pkg をインストールします。
新バージョンは 5.1(6) E2 S263 です。

ケース 2
5.1(6) E5 S300

IPS-K9-6.0-1-E7.pkg

IPS-K9-6.0-2-E9.pkg

IPS-K9-6.0-3-E11.pkg

IPS-engine-E10-req-6.0-2.pkg

IPS-engine-E12-req-6.0-3.pkg

IPS-sig-S305-req-E12.pkg

IPS-sig-S307-req-E12.pkg

サイクル 1 で IPS-K9-6.0-3-E11.pkg をインストールします。
新バージョンは 6.0(3) E11 S300 です。

サイクル 2 で IPS-engine-E12-req-6.0-3.pkg をインストールします。
新バージョンは 6.0(3) E12 S300 です。

サイクル 3 で IPS-sig-S307-req-E12.pkg をインストールします。
新バージョンは 6.0(3) E12 S307 です。

ケース 3
5.1(6) E10 S300

IPS-K9-6.0-1-E9.pkg

IPS-engine-E11-req-6.0-1.pkg

IPS-sig-S305-req-E11.pkg

IPS-sig-S307-req-E11.pkg

E9 は E10 よりも小さいため、サイクル 1 では何もインストールされません。

ケース 4
5.1(6) E10 S300

IPS-engine-E11-req-5.1-6.pkg

IPS-sig-S301-req-E10.pkg

サイクル 1 で IPS-engine-E11-req-5.1-6.pkg をインストールします。
新バージョンは 5.1(6) E11 S300 です。

ケース 5
5.1(6) E10 S300

IPS-sig-S301-req-E10.pkg

IPS-sig-S302-req-E11.pkg

IPS-sig-S303-req-E12.pkg

IPS-engine-E11-req-5.1-6.pkg

サイクル 1 で IPS-engine-E11-req-5.1-6.pkg をインストールします。
新バージョンは 5.1(6) E11 S300 です。

サイクル 2 で IPS-sig-S302-req-E11.pkg をインストールします。
新バージョンは 5.1(6) E11 S302 です。

ケース 6
6.0(3)E1 S300
(IPS 4270-20)

IPS-K9-6.0-4-E1.pkg

IPS-4270_20-K9-6.0-4-E1.pkg

サイクル 1 で IPS-4270_20-K9-6.0-4-E1.pkg をインストールします。
新バージョンは 6.0(4)E1 S310 です。

ケース 7
6.0(4)E3 S330
(AIM IPS)

IPS-K9-6.0-5-E3.pkg

IPS-AIM-K9-6.0-5-E3.pkg

サイクル 1 で IPS-AIM-K9-6.0-5-E3.pkg をインストールします。
新バージョンは 6.0(5)E3 S335 です。

ケース 8
6.0(5)E5 S330
(AIM IPS)

IPS-K9-7.0-1-E5.pkg

IPS-AIM-K9-7.0-1-E5.pkg

サイクル 1 で IPS-K9-7.0-1-E5.pkg をインストールします。
新バージョンは 7.0(1)E5 S377 です。

センサーのダウングレード

最後に適用されたシグニチャ アップグレードまたはシグニチャ エンジン アップグレードをセンサーから削除するには、 downgrade コマンドを使用します。


注意 downgrade コマンドを使用して、Cisco IPS 7.1 から 7.0 へなど、以前のメジャー バージョンまたはマイナー バージョンに戻すことはできません。downgrade コマンドでは、最新のシグニチャ アップデートまたはシグニチャ エンジン アップデートからのダウングレードのみ可能です。7.0 に戻すには、センサーのイメージを再作成する必要があります。

最後に適用されたシグニチャ アップデートまたはシグニチャ エンジン アップデートをセンサーから削除するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して次のようにセンサーにログインします。

ステップ 2 グローバル コンフィギュレーション モードを開始します。

sensor# configure terminal
 

ステップ 3 最近適用されたサービス パックまたはシグニチャ アップデートがない場合、 downgrade コマンドは使用できません。

sensor(config)# downgrade
No downgrade available.
sensor(config)#
 


 

アプリケーション パーティションの復旧

ここでは、アプリケーション パーティションを復旧する方法について説明します。内容は次のとおりです。

「アプリケーション パーティションについて」

「センサーのアプリケーション パーティション イメージの復旧」

アプリケーション パーティションについて

センサーのアプリケーション パーティション イメージが使用できなくなった場合は、復旧することができます。この方法を使用したときには、一部のネットワーク設定情報が保持されるため、復旧を実行した後もネットワークにアクセスできます。

recover application-partition コマンドを使用してリカバリ パーティションをブートすると、センサー上のアプリケーション パーティションが自動的に復旧されます。


) アプリケーション パーティション イメージを復旧する前にリカバリ パーティションを最新のバージョンにアップグレードしてある場合は、その最新のソフトウェア イメージをインストールできます。


recover application-partition コマンドは、Telnet 接続または SSH 接続を使用して実行できるため、リモート ロケーションにインストールされているセンサーを復旧する場合に使用することを推奨します。


) 復旧後にセンサーに再接続する場合は、デフォルトのユーザ名とパスワード cisco を使用してログインする必要があります。


詳細情報

リカバリ パーティションを最新バージョンにアップグレードする手順については、 「リカバリ パーティションのアップグレード」を参照してください。

センサーのアプリケーション パーティション イメージの復旧

アプリケーション パーティション イメージを復旧するには、次の手順を実行します。


ステップ 1 リカバリ パーティション イメージ ファイル(IPS-K9-r-1.1-a-7.0-1-E4.pkg)をセンサーからアクセスできる FTP、HTTP、または HTTPS サーバにダウンロードします。

ステップ 2 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 3 コンフィギュレーション モードを開始します。

sensor# configure terminal
 

) リカバリ パーティションをアップグレードするには、センサーで IPS 7.0(1) 以上がすでに実行されている必要があります。


ステップ 4 アプリケーション パーティション イメージを復旧します。

sensor(config)# recover application-partition
Warning: Executing this command will stop all applications and re-image the node to version 6.2(1)E3. All configuration changes except for network settings will be reset to default.
Continue with recovery? []:
 

ステップ 5 yes と入力して続行します。

recover コマンドを実行すると、即座にシャットダウンが開始されます。シャットダウンには少し時間がかかることがあり、この間に CLI にアクセスできますが、アクセスは警告なしに終了します。

アプリケーション パーティションのイメージは、リカバリ パーティションに保存されているイメージを使用して再作成されます。ここで、 setup コマンドを使用してアプライアンスを初期化する必要があります。IP アドレス、ネットマスク、アクセス リスト、時間帯、およびオフセットは、保存されてから、イメージが再作成されたアプリケーション パーティションに適用されます。 recover application-partition コマンドをリモートで実行した場合は、デフォルトのユーザ名とパスワード( cisco / cisco )を使用してセンサーに SSH 接続し、 setup コマンドで再度センサーを初期化できます。Telnet は、デフォルトでディセーブルになっているため、センサーを初期化してからでなければ使用できません。


 

詳細情報

TFTP サーバの詳細については、「TFTP サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

setup コマンドの使用手順については、「センサーの初期化」を参照してください。

システム イメージのインストール

ここでは、システム イメージをアプライアンスおよびモジュールにインストールする手順について説明します。内容は次のとおりです。

「ROMMON」

「TFTP サーバ」

「ターミナル サーバの設定」

「IPS 4240 および IPS 4255 システム イメージのインストール」

「IPS 4260 システム イメージのインストール」

「IPS 4270-20 システム イメージのインストール」

「AIM IPS システム イメージのインストール」

「AIP SSM および AIP SSC-5 システム イメージのインストール」

「IDSM2 システム イメージのインストール」

「IPS SSP システム イメージのインストール」

「NME IPS システム イメージのインストール」


注意 システム イメージをインストールすると、すべてのユーザ設定が失われます。システム イメージのインストールによるセンサーの復旧を試みる前に、recover application-partition コマンドを使用するか、またはセンサーの起動時にリカバリ パーティションを選択する方法による復旧を試みてください。

ROMMON

Cisco のセンサーには、ROMMON と呼ばれるプリブート CLI が含まれているものがあります。ROMMON を使用すると、プライマリ デバイス上のイメージの欠落や破損などが原因で標準のアプリケーションをブートできない場合に、センサー上のイメージをブートすることができます。ROMMON は、特にリモート センサーの復旧に役立ちます(シリアル コンソール ポートが利用可能な場合)。

ROMMON へのアクセスは、センサー シャーシの RJ-45F コネクタで利用可能な Cisco 標準の非同期 RS-232C DTE であるシリアル コンソール ポートを介してのみ可能です。シリアル ポートは、9600 ボー、8 データ ビット、1 ストップ ビット、パリティなし、フロー制御なしに設定されています。

詳細情報

ターミナル サーバの使用手順については、「ターミナル サーバの設定」を参照してください。

TFTP サーバ

ROMMON は TFTP を使用して、イメージをダウンロードして起動します。TFTP は、遅延やエラー リカバリなどのネットワークの問題は処理しません。TFTP は限定的なパケットの整合性チェックを実装するので、正しい整合性値を持つパケットが順に到着し、エラーが発生する可能性はきわめて低くなります。ただし、TFTP はパイプラインを提供しないので、転送の合計時間は、転送するパケットの数にネットワークの平均値 RTT を掛けた値と等しくなります。この制限があるため、TFTP サーバはセンサーと同じ LAN セグメントに配置することをお勧めします。RTT が 100 ミリ秒未満のネットワークは、信頼性の高いイメージ配信を提供する必要があります。TFTP サーバによっては、転送可能なファイルの最大サイズが 32 MB に制限されている場合があります。

ターミナル サーバの設定

ターミナル サーバは複数の低速非同期ポートを持つルータです。この複数のポートは、他のシリアル デバイスに接続されています。ターミナル サーバを使用して、アプライアンスを含むネットワーク機器をリモートで管理することができます。

RJ-45 接続またはヒドラ ケーブル アセンブリ接続を使用して Cisco ターミナル サーバをセットアップするには、次の手順を実行します。


ステップ 1 次のいずれかの方法で、ターミナル サーバに接続します。

RJ-45 接続を行うターミナル サーバの場合、180 ロールオーバー ケーブルをアプライアンスのコンソール ポートからターミナル サーバのポートに接続します。

ヒドラ ケーブル アセンブリの場合、ストレート パッチ ケーブルをアプライアンスのコンソール ポートからターミナル サーバのポートに接続します。

ステップ 2 ターミナル サーバで、ラインとポートを設定します。イネーブル モードで次の設定を入力します。ここで、# は設定するポートの回線番号です。

config t
line #
login
transport input all
stopbits 1
flowcontrol hardware
speed 9600
exit
exit
wr mem
 

ステップ 3 アプライアンスへの不正アクセスを防ぐため、ターミナル セッションは確実に正しく終了してください。

ターミナル セッションが正しく終了されていない場合、つまり、セッションを開始したアプリケーションから exit(0) 信号が受信されていない場合、ターミナル セッションは開いたままです。ターミナル セッションが正しく終了していない場合、そのシリアル ポート上で開かれる次のセッションでは、認証が実行されません。


注意 接続を確立するために使用したアプリケーションを終了する前に、必ずセッションを終了してログイン プロンプトに戻ってください。


注意 誤って接続が切断されたり終了した場合は、接続を再確立し、正しく終了して、アプライアンスに対する不正なアクセスを防ぎます。


 

IPS 4240 および IPS 4255 システム イメージのインストール


注意 システム イメージをインストールすると、すべてのユーザ設定が失われます。システム イメージのインストールによるセンサーの復旧を試みる前に、recover application-partition コマンドを使用するか、またはセンサーの起動時にリカバリ パーティションを選択する方法による復旧を試みてください。

アプライアンスで ROMMON を使用してシステム イメージをコンパクト フラッシュ デバイスに TFTP 転送することにより、IPS 4240 および IPS 4255 システム イメージをインストールできます。


この手順は IPS-4240 を対象としていますが、IPS 4255 にも有効です。IPS 4255 用のシステム イメージには、ファイル名に「4255」が付いています。


IPS 4240 および IPS 4255 システム イメージをインストールするには、次の手順を実行します。


ステップ 1 IPS 4240 システム イメージ ファイル(IPS-4240-K9-sys-1.1-a-7.0-1-E4.img)を IPS 4240 からアクセスできる TFTP サーバの tftp ルート ディレクトリにダウンロードします。


) IPS 4240 のイーサネット ポートに接続されているネットワークから TFTP サーバの場所にアクセスできることを確認します。


ステップ 2 IPS 4240 をブートします。

Booting system, please wait...
 
CISCO SYSTEMS
Embedded BIOS Version 1.0(5)0 09/14/04 12:23:35.90
 
Low Memory: 631 KB
High Memory: 2048 MB
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 2578 Host Bridge
00 01 00 8086 2579 PCI-to-PCI Bridge
00 03 00 8086 257B PCI-to-PCI Bridge
00 1C 00 8086 25AE PCI-to-PCI Bridge
00 1D 00 8086 25A9 Serial Bus 11
00 1D 01 8086 25AA Serial Bus 10
00 1D 04 8086 25AB System
00 1D 05 8086 25AC IRQ Controller
00 1D 07 8086 25AD Serial Bus 9
00 1E 00 8086 244E PCI-to-PCI Bridge
00 1F 00 8086 25A1 ISA Bridge
00 1F 02 8086 25A3 IDE Controller 11
00 1F 03 8086 25A4 Serial Bus 5
00 1F 05 8086 25A6 Audio 5
02 01 00 8086 1075 Ethernet 11
03 01 00 177D 0003 Encrypt/Decrypt 9
03 02 00 8086 1079 Ethernet 9
03 02 01 8086 1079 Ethernet 9
03 03 00 8086 1079 Ethernet 9
03 03 01 8086 1079 Ethernet 9
04 02 00 8086 1209 Ethernet 11
04 03 00 8086 1209 Ethernet 5
 
Evaluating BIOS Options ...
Launch BIOS Extension to setup ROMMON
 
Cisco Systems ROMMON Version (1.0(5)0) #1: Tue Sep 14 12:20:30 PDT 2004
 
Platform IPS-4240-K9
Management0/0
 
MAC Address: 0000.c0ff.ee01
 

ステップ 3 システムの起動中に、次のプロンプトで Break または Esc を押して、ブートを中断します。ブートを即座に開始するには、スペースバーを押します。


) Break または Esc は 10 秒以内に押してください。


Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
 

システムが ROMMON モードに入ります。 rommon> プロンプトが表示されます。

ステップ 4 現在のネットワーク設定を確認します。

rommon> set
 
ROMMON Variable Settings:
ADDRESS=0.0.0.0
SERVER=0.0.0.0
GATEWAY=0.0.0.0
PORT=Management0/0
VLAN=untagged
IMAGE=
CONFIG=
 

変数の定義は次のとおりです。

Address:IPS 4240 のローカル IP アドレス

Server:アプリケーション イメージが格納されている TFTP サーバの IP アドレス

Gateway:IPS 4240 によって使用されるゲートウェイ IP アドレス

Port:IPS 4240 の管理に使用されるイーサネット インターフェイス

VLAN:VLAN ID 番号(タグなしのまま)

Image:システム イメージ ファイル パスとファイル名

Config:これらのプラットフォームでは未使用


) ネットワーク接続を確立するために、すべての値が必要なわけではありません。address、server、gateway、および image の値は必要です。ローカル環境を設定するために必要な設定がわからない場合は、システム管理者に連絡してください。


ステップ 5 必要に応じて、TFTP ダウンロードに使用するインターフェイスを変更します。


) TFTP ダウンロードに使用されるデフォルトのインターフェイスは Management0/0 です。これは、IPS 4240 の MGMT インターフェイスに対応します。


rommon> PORT=interface_name
 

ステップ 6 必要に応じて、IPS 4240 上のローカル ポートの IP アドレスを割り当てます。

rommon> ADDRESS=ip_address
 

) IPS 4240 に割り当てられているものと同じ IP アドレスを使用します。


ステップ 7 必要に応じて、TFTP サーバの IP アドレスを割り当てます。

rommon> SERVER=ip_address
 

ステップ 8 必要に応じて、ゲートウェイの IP アドレスを割り当てます。

rommon> GATEWAY=ip_address
 

ステップ 9 次のいずれかのコマンドを使用して、ローカル イーサネット ポートから ping を実行することにより、TFTP サーバにアクセスできることを確認します。

rommon> ping server_ip_address
rommon> ping server
 

ステップ 10 必要に応じて、イメージのダウンロード元である TFTP ファイル サーバ上のパスおよびファイル名を定義します。

rommon> IMAGE=path/file_name
 

注意 IMAGE コマンドは、必ずすべて大文字で入力してください。他の ROMMON コマンドは小文字と大文字のどちらでも入力できますが、IMAGE コマンドはすべて大文字で入力する必要があります。

UNIX の例

rommon> IMAGE=/system_images/IPS-4240-K9-sys-1.1-a-7.0-1-E4.img
 

) このパスは、UNIX TFTP サーバのデフォルト tftpboot ディレクトリからの相対パスです。デフォルトの tftpboot ディレクトリに置かれているイメージの IMAGE 指定には、ディレクトリ名もスラッシュも含まれていません。


Windows の例

rommon> IMAGE=¥system_images¥IPS-4240-K9-sys-1.1-a-7.0-1-E4.img
 

ステップ 11 set と入力し、Enter を押して、ネットワーク設定を確認します。


sync コマンドを使用すると、これらの設定をブート後も維持されるように NVRAM に保存できます。保存しない場合は、ROMMON からイメージをブートするときに毎回この情報を入力する必要があります。


ステップ 12 システム イメージをダウンロードしてインストールします。

rommon> tftp
 

注意 システム イメージの破損を避けるために、システム イメージのインストール中は IPS 4240 の電源を切らないでください。


) ネットワーク設定が正しい場合、指定したイメージが IPS 4240 にダウンロードされ、ブートされます。必ず IPS 4240 イメージを使用してください。



 

詳細情報

TFTP サーバの詳細については、「TFTP サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

アプリケーション パーティションを復旧する手順については、「アプリケーション パーティションの復旧」を参照してください。

IPS 4260 システム イメージのインストール


注意 システム イメージをインストールすると、すべてのユーザ設定が失われます。システム イメージのインストールによるセンサーの復旧を試みる前に、recover application-partition コマンドを使用するか、またはセンサーの起動時にリカバリ パーティションを選択する方法による復旧を試みてください。

アプライアンスで ROMMON を使用してシステム イメージをフラッシュ デバイスに TFTP 転送することにより IPS 4260 システム イメージをインストールできます。

IPS 4260 システム イメージをインストールするには、次の手順を実行します。


ステップ 1 IPS 4260 システム イメージ ファイル(IPS-4260-K9-sys-1.1-a-7.0-1-E4.img)を IPS 4260 からアクセスできる TFTP サーバの tftp ルート ディレクトリにダウンロードします。

IPS 4260 のイーサネット ポートに接続されているネットワークから TFTP サーバの場所にアクセスできることを確認します。

ステップ 2 IPS 4260 をブートします。

ステップ 3 システムの起動中に、次のプロンプトに対して Ctrl を押した状態で R を押します。

Evaluating Run Options...
 

) Ctrl を押した状態で R を押す操作は 5 秒以内に行ってください。


Assuming IPS-4260-K9 Platform
2 Ethernet Interfaces detected
 
Cisco Systems ROMMON Version (1.0(11)1c) #26: Mon Mar 13 18:05:54 CST 2006
 
Platform IPS-4260-K9
Management0/0
Link is UP
MAC Address: 0004.23cc.6047
 
 
Use ? for help.
rommon #0>
 

ステップ 4 必要に応じて、TFTP ダウンロードに使用するポートを変更します。

rommon #1> interface name
 

使用中のポートは、プラットフォーム ID のすぐ後にリスト表示されます。この例では、ポート Management0/0 は使用されています。


) TFTP ダウンロードに使用されるデフォルトのポートは、Management0/0 です。これは、IPS 4260 のコマンド/コントロール(MGMT)インターフェイスに対応します。



) ポート Management0/0(MGMT)および GigabitEthernet0/1(GE 0/1)は、シャーシ背面のラベルに記載されています。


ステップ 5 IPS 4260 上のローカル ポートの IP アドレスを指定します。

rommon> address ip_address
 

) IPS 4260 に割り当てられているものと同じ IP アドレスを使用します。


ステップ 6 TFTP サーバの IP アドレスを指定します。

rommon> server ip_address
 

ステップ 7 ゲートウェイの IP アドレスを指定します。

rommon> gateway ip_address
 

ステップ 8 ローカル イーサネット ポートから ping を実行することにより、TFTP サーバにアクセスできることを確認します。

rommon> ping server_ip_address
rommon> ping server
 

ステップ 9 イメージのダウンロード元である TFTP ファイル サーバ上のパスとファイル名を指定します。

rommon> file path/filename
 

UNIX の例

rommon> file /system_images/IPS-4260-K9-sys-1.1-a-7.0-1-E4.img
 

) このパスは、UNIX TFTP サーバのデフォルト tftpboot ディレクトリからの相対パスです。デフォルトの tftpboot ディレクトリに置かれているイメージのファイルの場所には、ディレクトリ名もスラッシュも含まれていません。


Windows の例

rommon> file <tftpboot_directory>IPS-4260-K9-sys-1.1-a-7.0-1-E4.img
 

ステップ 10 システム イメージをダウンロードしてインストールします。

rommon> tftp
 

) IPS 4260 は、イメージの再作成処理中に、一度リブートします。アップデート プロセスの間は IPS 4260 の電源を切らないでください。電源を切ると、アップグレードが破損することがあります。



 

詳細情報

TFTP サーバの詳細については、「TFTP サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

アプリケーション パーティションを復旧する手順については、「アプリケーション パーティションの復旧」を参照してください。

IPS 4270-20 システム イメージのインストール


注意 システム イメージをインストールすると、すべてのユーザ設定が失われます。システム イメージのインストールによるセンサーの復旧を試みる前に、recover application-partition コマンドを使用するか、またはセンサーの起動時にリカバリ パーティションを選択する方法による復旧を試みてください。

アプライアンスで ROMMON を使用してシステム イメージをコンパクト フラッシュ デバイスに TFTP 転送することにより、IPS 4270-20 システム イメージをインストールできます。

IPS 4270-20 システム イメージをインストールするには、次の手順を実行します。


ステップ 1 IPS 4270-20 システム イメージ ファイル(IPS-4270_20-K9-sys-1.1-a-7.0-1-E4.img)を IPS 4270-20 からアクセスできる TFTP サーバの tftp ルート ディレクトリにダウンロードします。


) IPS 4270-20 のイーサネット ポートに接続されているネットワークから TFTP サーバの場所にアクセスできることを確認します。


ステップ 2 IPS 4270-20 をブートします。

Booting system, please wait...
Cisco Systems ROMMON Version (1.0(12)10) #7: Thu Jun 21 13:50:04 CDT 2007
 
ft_id_update: Invalid ID-PROM Controller Type (0x5df)
 
ft_id_update: Defaulting to Controller Type (0x5c2)
 

) コントローラ タイプに関するエラーは既知の問題であり、無視してかまいません。


ステップ 3 システムの起動中に、次のプロンプトで Break または Esc を押して、ブートを中断します。ブートを即座に開始するには、スペースバーを押します。


) Break または Esc は 10 秒以内に押してください。


Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
 

システムが ROMMON モードに入ります。 rommon> プロンプトが表示されます。

ステップ 4 現在のネットワーク設定を確認します。

rommon> set
 
ROMMON Variable Settings:
ADDRESS=0.0.0.0
SERVER=0.0.0.0
GATEWAY=0.0.0.0
PORT=Management0/0
VLAN=untagged
IMAGE=
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=2
RETRY=20
 

変数の定義は次のとおりです。

Address:IPS 4270-20 のローカル IP アドレス

Server:アプリケーション イメージが格納されている TFTP サーバの IP アドレス

Gateway:IPS 4270-20 によって使用されるゲートウェイ IP アドレス

Port:IPS 4270-20 の管理に使用されるイーサネット インターフェイス

VLAN:VLAN ID 番号(タグなしのまま)

Image:システム イメージ ファイル パスとファイル名

Config:これらのプラットフォームでは未使用


) ネットワーク接続を確立するために、すべての値が必要なわけではありません。address、server、gateway、および image の値は必要です。ローカル環境を設定するために必要な設定がわからない場合は、システム管理者に連絡してください。


ステップ 5 必要に応じて、IPS 4270-20 上のローカル ポートの IP アドレスを割り当てます。

rommon> ADDRESS=ip_address
 

) IPS 4270-20 に割り当てられているものと同じ IP アドレスを使用します。


ステップ 6 必要に応じて、TFTP サーバの IP アドレスを割り当てます。

rommon> SERVER=ip_address
 

ステップ 7 必要に応じて、ゲートウェイの IP アドレスを割り当てます。

rommon> GATEWAY=ip_address
 

ステップ 8 次のいずれかのコマンドを使用して、ローカル イーサネット ポートから ping を実行することにより、TFTP サーバにアクセスできることを確認します。

rommon> ping server_ip_address
rommon> ping server
 

ステップ 9 必要に応じて、イメージのダウンロード元である TFTP ファイル サーバ上のパスおよびファイル名を定義します。

rommon> IMAGE=path/file_name
 

UNIX の例

rommon> IMAGE=/system_images/IPS-4270_20-K9-sys-1.1-a-7.0-1-E4.img
 

) このパスは、UNIX TFTP サーバのデフォルト tftpboot ディレクトリからの相対パスです。デフォルトの tftpboot ディレクトリに置かれているイメージの IMAGE 指定には、ディレクトリ名もスラッシュも含まれていません。


Windows の例

rommon> IMAGE=¥system_images¥IPS-4270_20-K9-sys-1.1-a-7.0-1-E4.img
 

ステップ 10 set と入力し、Enter を押して、ネットワーク設定を確認します。


sync コマンドを使用すると、これらの設定をブート後も維持されるように NVRAM に保存できます。保存しない場合は、ROMMON からイメージをブートするときに毎回この情報を入力する必要があります。


ステップ 11 システム イメージをダウンロードしてインストールします。

rommon> tftp
 

注意 システム イメージの破損を避けるために、システム イメージのインストール中は IPS 4270-20 の電源を切らないでください。


) ネットワーク設定が正しい場合、指定したイメージが IPS 4270-20 にダウンロードされ、ブートされます。必ず IPS 4270-20 イメージを使用してください。



 

詳細情報

TFTP サーバの詳細については、「TFTP サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

アプリケーション パーティションを復旧する手順については、「アプリケーション パーティションの復旧」を参照してください。

AIM IPS システム イメージのインストール


注意 システム イメージをインストールすると、すべてのユーザ設定が失われます。システム イメージのインストールによるセンサーの復旧を試みる前に、recover application-partition コマンドを使用するか、またはセンサーの起動時にリカバリ パーティションを選択する方法による復旧を試みてください。

AIM IPS システム イメージをインストールするには、次の手順を実行します。


ステップ 1 AIM IPS システム イメージ ファイル(IPS-AIM-K9-sys-1.1-7.0-1-E4.img)をダウンロードし、TFTP サーバの tftp ルート ディレクトリに配置します。


) AIM IPS が TFTP サーバにアクセスできるようにネットワークが設定されていることを確認します。


利用可能な TFTP サーバがない場合は、ルータを TFTP サーバとして設定できます。

router# copy tftp: flash:
router# configure terminal
router(config)# tftp-server flash:IPS-AIM-K9-sys-1.1-7.0-1-E4.img
router(config)# exit
router#
 

ステップ 2 ハートビートのリセットをディセーブルにします。

router# service-module IDS-Sensor 0/slot_number heartbeat-reset disable
 

) ハートビートのリセットをディセーブルにすると、システム イメージのインストール プロセスに時間がかかりすぎる場合でも、モジュールがリセットされなくなります。


ステップ 3 AIM IPS との間にセッションを確立します。

router# service-module IDS-Sensor 0/slot_number session
 

) AIM IPS スロット番号を確認するには、show configuration | include interface IDS-Sensor コマンドを使用します。


ステップ 4 Shift と Ctrl を押した状態で 6 を押してから X を押してセッションを中断します。

router# プロンプトが表示されます。このプロンプトが表示されない場合は、Ctrl を押した状態で 6 を押してから、X を押してみてください。

ステップ 5 AIM IPS をリセットします。 reset コマンドを確認するように要求されます。

router# service-module IDS-Sensor 0/slot_number reset
 

ステップ 6 Enter キーを押して確認します。Enter を押して、中断したセッションを再開します。

ブートローダのバージョンが表示された後、次のプロンプトが 15 秒間表示されます。

Please enter ’***’ to change boot configuration:
 

ステップ 7 この 15 秒の間に *** と入力します。ブートローダ プロンプトが表示されます。

ステップ 8 Enter を押して AIM IPS とのセッションに戻ります。

ステップ 9 ブートローダを設定します。

ServicesEngine bootloader> config
 
IP Address [10.89.148.188]>
Subnet mask [255.255.255.0]>
TFTP server [10.89.150.74]>
Gateway [10.89.148.254]>
Default boot [disk]>
Number cores [2]>
ServicesEngine boot-loader >
 

各プロンプトで、値を入力するか、Enter を押して角括弧で囲まれた保存済みの値をそのまま適用します。


) ゲートウェイの IP アドレスは、IDS-Sensor スロット/ポート インターフェイスの IP アドレスと一致している必要があります。



unnumbered コマンドを使用してモジュール インターフェイスをセットアップする場合、ゲートウェイの IP アドレスは、unnumbered コマンドの一部として使用されている他のルータ インターフェイスの IP アドレスとする必要があります。



注意 AIM IPS イメージのパス名はフル パスですが、tftp サーバのルート ディレクトリからの相対パスです(通常は、/tftpboot)。

ステップ 10 ブートローダを起動します。

ServicesEngine bootloader> upgrade
 

ステップ 11 ブートローダの指示に従ってソフトウェアをインストールします(オプション 1 を選択して、ウィザードの指示に従います)。


) 次の例では、AIM IPS IP の IP アドレスは 10.1.9.201 です。イメージ処理では、IP アドレス 10.1.9.1 のルータ TFTP サーバから AIM IPS イメージにアクセスします。


Booting from flash...please wait.
Please enter '***' to change boot configuration:
11 ***
ServicesEngine boot-loader Version : 1.1.0
ServicesEngine boot-loader > config
 
IP Address [10.1.9.201]>
Subnet mask [255.255.255.0]>
TFTP server [10.1.9.1]>
Gateway [10.1.9.1]>
Default boot [disk]>
Number cores [2]>
ServicesEngine boot-loader > upgrade
 
Cisco Systems, Inc.
Services engine upgrade utility for AIM-IPS
-----
Main menu
1 - Download application image and write to USB Drive
2 - Download bootloader and write to flash
3 - Download minikernel and write to flash
r - Exit and reset card
x - Exit
Selection [123rx]
Download recovery image via tftp and install on USB Drive
TFTP server [10.1.9.1]>
full pathname of recovery image []:IPS-AIM-K9-sys-1.1-7.0-1-E4.img
Ready to begin
Are you sure [Y/N]
Returning TRUE
Press <CTRL-C> to abort.
octeth1: Up 1Gbs Full duplex, (port 1)
octeth0: Down 10Mbs Half duplex, (port 0)
Using octeth1 device
TFTP from server 10.1.9.1; our IP address is 10.1.9.201
Filename 'IPS-AIM-K9-sys-1.1-7.0-1-E4.img'.
Load address: 0x21000000
Loading: #################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
######
32 MB received
#################################################################
#######################
done
 

ステップ 12 Shift と Ctrl を押した状態で 6 を押してから X を押してセッションを中断します。 router# プロンプトが表示されます。このプロンプトが表示されない場合は、Ctrl を押した状態で 6 を押してから、X を押してみてください。

ステップ 13 ルータの CLI 側で、セッションをクリアします。

router# service-module interface ids-sensor 0/slot_number session clear
 

ステップ 14 ハートビートのリセットをイネーブルにします。

router# service-module IDS-sensor 0/slot_number heartbeat-reset enable
 


 

詳細情報

TFTP サーバの詳細については、「TFTP サーバ」を参照してください。

アンナンバード IP アドレスを設定する手順については、「 Using an Unnumbered IP Address Interface 」を参照してください。

アプリケーション パーティションを復旧する手順については、「アプリケーション パーティションの復旧」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

AIP SSM および AIP SSC-5 システム イメージのインストール


注意 システム イメージをインストールすると、すべてのユーザ設定が失われます。システム イメージのインストールによるセンサーの復旧を試みる前に、recover application-partition コマンドを使用するか、またはセンサーの起動時にリカバリ パーティションを選択する方法による復旧を試みてください。

ここでは、AIP SSM および AIP SSC-5 システム イメージをインストールする方法について説明します。内容は次のとおりです。

「AIP SSM または AIM-SSC-5 イメージの再作成」

「recover configure/boot コマンドを使用した AIP SSM または AIP SSC-5 イメージの再作成」

AIP SSM または AIM-SSC-5 イメージの再作成

AIP SSM および AIP SSC-5 のイメージは、次のいずれかの方法で再作成できます。

適応型セキュリティ アプライアンスから hw-module module 1 recover configure/boot コマンドを使用します。

recover application-partition コマンドを使用して、センサーの CLI からアプリケーション イメージを復旧します。

upgrade コマンドを使用して、センサーの CLI からリカバリ イメージをアップグレードします。

詳細情報

hw-module module 1 recover configure/boot コマンドの使用手順については、「recover configure/boot コマンドを使用した AIP SSM または AIP SSC-5 イメージの再作成」を参照してください。

アプリケーション パーティションを復旧する手順については、「アプリケーション パーティションの復旧」を参照してください。

リカバリ イメージをアップグレードする手順については、「リカバリ パーティションのアップグレード」を参照してください。

recover configure/boot コマンドを使用した AIP SSM または AIP SSC-5 イメージの再作成

AIP SSM または AIP SSC-5 で障害が発生し、モジュール アプリケーション イメージを実行できない場合は、適応型セキュリティ アプライアンス CLI を使用して、アプリケーション イメージを TFTP サーバからモジュールに転送できます。適応型セキュリティ アプライアンスはモジュール ROMMON アプリケーションと通信し、イメージを転送できます。


) 指定する TFTP サーバが、最大 60 MB のサイズのファイルを転送できることを確認してください。



) ネットワークとイメージのサイズに応じて、このプロセスは完了までに約 15 分間かかることがあります。


AIP SSM および AIP SSC-5 システム イメージをインストールするには、次の手順を実行します。


ステップ 1 適応型セキュリティ アプライアンスにログインします。

ステップ 2 イネーブル モードを開始します。

asa# enable
 

ステップ 3 AIP SSM および AIP SSC-5 用のリカバリ設定を指定します。

asa (enable)# hw-module module 1 recover configure
 

) リカバリ設定に誤りがあった場合は、hw-module module 1 recover stop コマンドを使用してシステム イメージの再作成を停止してから、設定を修正できます。


ステップ 4 システム イメージの TFTP URL を指定します。

Image URL [tftp://0.0.0.0/]:
 

Image URL [tftp://0.0.0.0/]: tftp://10.89.146.1/IPS-SSM-K9-sys-1.1-a-7.0-1-E4.img
 

ステップ 5 AIP SSM または AIP SSC-5 のコマンド/コントロール インターフェイスを指定します。


) ポート IP アドレスは、AIP SSM および AIP SSC-5 の管理 IP アドレスです。


Port IP Address [0.0.0.0]:
 

Port IP Address [0.0.0.0]: 10.89.149.231
 

ステップ 6 VLAN ID を 0 のままにします。

VLAN ID [0]:
 

ステップ 7 AIP SSM または AIP SSC-5 のデフォルト ゲートウェイを指定します。

Gateway IP Address [0.0.0.0]:
 

Gateway IP Address [0.0.0.0]: 10.89.149.254
 

ステップ 8 リカバリを実行します。イメージが TFTP サーバから AIP SSM または AIP SSC-5 に転送され、AIP SSM または AIP SSC-5 が再起動されます。

asa# hw-module module 1 recover boot
 

ステップ 9 完了するまでリカバリを定期的にチェックします。


) ステータスは、リカバリ中は [Recovery] となり、イメージの再作成が完了すると [Up] になります。


asa# show module 1
 
Mod Card Type Model Serial No.
--- -------------------------------------------- ------------------ -----------
0 ASA 5540 Adaptive Security Appliance ASA5540 P2B00000019
1 ASA 5500 Series Security Services Module-20 ASA-SSM-20 P1D000004F4
 
Mod MAC Address Range Hw Version Fw Version Sw Version
--- --------------------------------- ------------ ------------ ---------------
0 000b.fcf8.7b1c to 000b.fcf8.7b20 0.2 1.0(7)2 7.1(1)82
1 000b.fcf8.011e to 000b.fcf8.011e 0.1 1.0(7)2 5.0(0.22)S129.0
 
Mod Status
--- ------------------
0 Up Sys
1 Up
asa#
 
asa# show module 1
Mod Card Type Model Serial No.
--- -------------------------------------------- ------------------ -----------
0 ASA 5505 Adaptive Security Appliance ASA5505 JAB11370240
1 ASA 5500 Series Security Services Card-5 ASA-SSC-AIP-5 JAF12380MDH
 
Mod SSM Application Name Status SSM Application Version
--- ------------------------------ ---------------- --------------------------
1 SSC SSM Down 7.0.(1)E4
 

) 出力の [Status] フィールドは、AIP SSM または AIP SSC-5 の動作ステータスを示します。AIP SSM または AIP SSC-5 の動作ステータスは、通常は [Up] となります。適応型セキュリティ アプライアンスが AIP SSM または AIP SSC-5 にアプリケーション イメージを転送している間は、出力の [Status] フィールドは [Recover] となります。適応型セキュリティ アプライアンスによるイメージの転送が完了し、AIP SSM または AIP SSC-5 が再起動されると、新たに転送されたイメージが実行されます。



) リカバリ処理中にエラーが発生した場合、デバッグを実行するには、debug module-boot コマンドを使用して、システム イメージの再作成処理のデバッグをイネーブルにします。


ステップ 10 AIP SSM または AIP SSC-5 との間にセッションを確立し、 setup コマンドで AIP SSM または AIP SSC-5 を初期化します。


) AIP SSC-5 を初期化するために setup コマンドを実行する必要はありません。この場合は、ASDM を使用して初期化します。



 

詳細情報

TFTP サーバの詳細については、「TFTP サーバ」を参照してください。

setup コマンドを使用して AIP SSM を初期化する手順については、「センサーの初期化」を参照してください。

ASDM を使用して AIP SSC-5 を初期化する手順については、「ASDM での AIP SSC-5 のセットアップ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

IDSM2 システム イメージのインストール

ここでは、IDSM2 システム イメージのインストール方法について説明します。内容は次のとおりです。

「IDSM2 システム イメージについて」

「Catalyst ソフトウェアの IDSM2 システム イメージのインストール」

「Cisco IOS ソフトウェアの IDSM2 システム イメージのインストール」

「Catalyst ソフトウェアの IDSM2 メンテナンス パーティションの設定」

「Cisco IOS ソフトウェアの IDSM2 メンテナンス パーティションの設定」

「Catalyst ソフトウェアの IDSM2 メンテナンス パーティションのアップグレード」

「Cisco IOS ソフトウェアの IDSM2 メンテナンス パーティションのアップグレード」

IDSM2 システム イメージについて

IDSM2 アプリケーション パーティションが使用できなくなった場合は、メンテナンス パーティションからイメージを再作成できます。IDSM2 のアプリケーション パーティションのイメージを再作成したら、 setup コマンドを使用して IDSM2 を初期化する必要があります。

新しいメンテナンス パーティション イメージ ファイルがある場合は、アプリケーション パーティションからメンテナンス パーティションのイメージを再作成できます。

詳細情報

setup コマンドを使用して IDSM2 を初期化する手順については、「センサーの初期化」を参照してください。

Catalyst ソフトウェアの IDSM2 システム イメージのインストール

システム イメージをインストールするには、次の手順を実行します。


ステップ 1 IDSM2 システム イメージ ファイル(IPS-IDSM2-K9-sys-1.1-a-7.0-1-E4.bin.gz)を IDSM2 からアクセスできる FTP サーバの FTP ルート ディレクトリにダウンロードします。

ステップ 2 スイッチの CLI にログインします。

ステップ 3 IDSM2 をメンテナンス パーティションにブートします。

console> (enable) reset module_number cf:1
 

ステップ 4 メンテナンス パーティション CLI にログインします。

login: guest
Password: cisco
 

) IDSM2 にメンテナンス パーティションを設定する必要があります。


ステップ 5 システム イメージをインストールします。

guest@hostname.localdomain# upgrade ftp://user@ftp server IP/directory path/IPS-IDSM2-K9-sys-1.1-a-7.0-1-E4.bin.gz
 

ステップ 6 FTP サーバのパスワードを指定します。アプリケーション パーティション ファイルのダウンロードが完了すると、次に進むかどうか尋ねられます。

Upgrading will wipe out the contents on the hard disk. Do you want to proceed installing it [y|n]:
 

ステップ 7 y と入力して続行します。アプリケーション パーティション ファイルのインストールが完了すると、メンテナンス パーティションの CLI に戻ります。

ステップ 8 メンテナンス パーティションの CLI を終了して、スイッチの CLI に戻ります。

ステップ 9 IDSM2 をアプリケーション パーティションにリブートします。

console> (enable) reset module_number hdd:1
 

ステップ 10 IDSM2 のリブートが完了したら、ソフトウェアのバージョンをチェックします。

ステップ 11 アプリケーション パーティション CLI にログインし、 setup コマンドを使用して IDSM2 を初期化します。


 

詳細情報

サポートされる FTP サーバおよび HTTP/HTTPS サーバのリストについては、「サポートされる FTP サーバおよび HTTP/HTTPS サーバ」を参照してください。

IDSM2 にメンテナンス パーティションを設定する手順については、「Catalyst ソフトウェアの IDSM2 メンテナンス パーティションの設定」 および 「Cisco IOS ソフトウェアの IDSM2 メンテナンス パーティションの設定」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

IDSM2 を初期化する手順については、「センサーの初期化」を参照してください。

Cisco IOS ソフトウェアの IDSM2 システム イメージのインストール

システム イメージをインストールするには、次の手順を実行します。


ステップ 1 IDSM2 システム イメージ ファイル(IPS-IDSM2-K9-sys-1.1-a-7.0-1-E4.bin.gz)を IDSM2 からアクセスできる FTP サーバの FTP ルート ディレクトリにダウンロードします。

ステップ 2 スイッチの CLI にログインします。

ステップ 3 IDSM2 をメンテナンス パーティションにブートします。

router# hw-module module module_number reset cf:1
 

ステップ 4 メンテナンス パーティション CLI との間にセッションを確立します。

router# session slot slot_number processor 1
 

ステップ 5 メンテナンス パーティション CLI にログインします。

login: guest
Password: cisco
 

ステップ 6 メンテナンス パーティション インターフェイスの IP アドレスを設定します。

guest@localhost.localdomain# ip address ip_address netmask
 

) スイッチ設定に基づき、IDSM2 管理インターフェイスがある VLAN に適したアドレスを選択します。


ステップ 7 メンテナンス パーティションのデフォルト ゲートウェイのアドレスを設定します。

guest@localhost.localdomain# ip gateway gateway_address
 

ステップ 8 システム イメージをインストールします。

guest@hostname.localdomain# upgrade ftp://user@ftp_server_ip_address/directory_path/IPS-IDSM2-K9-sys-1.1-a-7.0-1-E4.bin.gz
-
install
 

ステップ 9 FTP サーバのパスワードを指定します。

アプリケーション パーティション ファイルのダウンロードが完了すると、次に進むかどうか尋ねられます。

Upgrading will wipe out the contents on the hard disk.
Do you want to proceed installing it [y|n]:
 

ステップ 10 y と入力して続行します。アプリケーション パーティション ファイルのインストールが完了すると、メンテナンス パーティションの CLI に戻ります。

ステップ 11 メンテナンス パーティションの CLI を終了して、スイッチの CLI に戻ります。

ステップ 12 IDSM2 をアプリケーション パーティションにリブートします。

router# hw-module module module_number reset hdd:1
 

ステップ 13 IDSM2 がオンラインであり、ソフトウェアのバージョンが正しいことと、ステータスが [ok] であることを確認します。

router# show module module_number
 

ステップ 14 IDSM2 アプリケーション パーティション CLI との間にセッションを確立します。

router# session slot slot_number processor 1
 

ステップ 15 setup コマンドを使用して IDSM2 を初期化します。


 

詳細情報

サポートされる FTP サーバおよび HTTP/HTTPS サーバのリストについては、「サポートされる FTP サーバおよび HTTP/HTTPS サーバ」を参照してください。

IDSM2 にメンテナンス パーティションを設定する手順については、「Catalyst ソフトウェアの IDSM2 メンテナンス パーティションの設定」 および 「Cisco IOS ソフトウェアの IDSM2 メンテナンス パーティションの設定」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

IDSM2 を初期化する手順については、「センサーの初期化」を参照してください。

Catalyst ソフトウェアの IDSM2 メンテナンス パーティションの設定

IDSM2 メンテナンス パーティションを設定するには、次の手順を実行します。


ステップ 1 スイッチの CLI にログインします。

ステップ 2 特権モードに入ります。

console# enable
console(enable)#
 

ステップ 3 IDSM2 をリロードします。

console> (enable) reset module_number cf:1
 

ステップ 4 IDSM2 との間にセッションを確立します。

console# session 9
Trying IDS-9...
Connected to IDS-9.
Escape character is '^]'.
 
Cisco Maintenance image
 

) IDSM2 メンテナンス パーティションに Telnet または SSH で接続することはできません。IDSM2 とのセッションはスイッチ CLI から確立する必要があります。


ステップ 5 ユーザ guest とパスワード cisco でログインします。


) ゲスト パスワードの変更は可能ですが、推奨できません。メンテナンス パーティションのゲスト パスワードを忘れ、何らかの理由で IDSM2 アプリケーション パーティションにログインできない場合は、IDSM2 の RMA が必要です。


login: guest
Password: cisco
 
Maintenance image version: 2.1(2)
 
guest@idsm2.localdomain#
 

ステップ 6 IDSM2 メンテナンス パーティションのホスト設定を表示します。

guest@idsm2.localdomain# show ip
 
IP address : 10.89.149.74
Subnet Mask : 255.255.255.128
IP Broadcast : 10.255.255.255
DNS Name : idsm2.localdomain
Default Gateway : 10.89.149.126
Nameserver(s) :
 
guest@idsm2.localdomain#
 

ステップ 7 IDSM2 メンテナンス パーティションのホスト設定(IP アドレス、ゲートウェイ、ホスト名)をクリアします。

guest@idsm2.localdomain# clear ip
guest@localhost.localdomain# show ip
 
IP address : 0.0.0.0
Subnet Mask : 0.0.0.0
IP Broadcast : 0.0.0.0
DNS Name : localhost.localdomain
Default Gateway : 0.0.0.0
Nameserver(s) :
 
guest@localhost.localdomain#
 

ステップ 8 メンテナンス パーティションのホスト設定を指定します。

a. IP アドレスを指定します。

guest@localhost.localdomain# ip address ip_address netmask
 

b. デフォルト ゲートウェイを指定します。

guest@localhost.localdomain# ip gateway gateway_ip_address
 

c. ホスト名を指定します。

guest@localhost.localdomain# ip host hostname
 

ステップ 9 メンテナンス パーティションのホスト設定を表示します。

guest@idsm2.localdomain# show ip
 
IP address : 10.89.149.74
Subnet Mask : 255.255.255.128
IP Broadcast : 10.255.255.255
DNS Name : idsm2.localdomain
Default Gateway : 10.89.149.126
Nameserver(s) :
 
guest@idsm2.localdomain#
 

ステップ 10 アプリケーション パーティションにインストールされているイメージを確認します。

guest@idsm2.localdomain# show images
Device name Partition# Image name
----------- ---------- ----------
Hard disk(hdd) 1 7.0(1)
guest@idsm2.localdomain#
 

ステップ 11 メンテナンス パーティションのバージョン(BIOS バージョンを含む)を確認します。

guest@idsm2.localdomain# show version
 
Maintenance image version: 2.1(2)
mp.2-1-2.bin : Thu Nov 18 11:41:36 PST 2004 :
integ@kplus-build-lx.cisco.com
 
Line Card Number :WS-SVC-IDSM2-XL
Number of Pentium-class Processors : 2
BIOS Vendor: Phoenix Technologies Ltd.
BIOS Version: 4.0-Rel 6.0.9
 
Total available memory: 2012 MB
Size of compact flash: 61 MB
Size of hard disk: 19077 MB
Daughter Card Info: Falcon rev 3, FW ver 2.0.3.0 (IDS), SRAM 8 MB, SDRAM 256 MB
 
guest@idsm2.localdomain#
 

ステップ 12 アプリケーション パーティションをアップグレードします。

guest@idsm2.localdomain# upgrade ftp://jsmith@10.89.146.11//RELEASES/Latest/7.0-1/WS-SVC-IDSM2-K9-sys-1.1-a-7.0-1-E4.bin.gz
Downloading the image. This may take several minutes...
Password for jsmith@10.89.146.114:
 
ftp://jsmith@10.89.146.11//RELEASES/Latest/7.0-1/WS-SVC-IDSM2-K9-sys-1.1-a-7.0-1-E4.bin.gz (unknown size)
/tmp/upgrade.gz [|] 28616K
29303086 bytes transferred in 5.34 sec (5359.02k/sec)
 
Upgrade file
ftp://jsmith@10.89.146.114//RELEASES/Latest/7.0-1/WS-SVC-IDSM2-K9-sys-1.1-a-7.0-1-E4.bin.gz is downloaded.
Upgrading will wipe out the contents on the storage media.
Do you want to proceed installing it [y|N]:
 

ステップ 13 y と入力してアップグレードを続行します。

Proceeding with upgrade. Please do not interrupt.
If the upgrade is interrupted or fails, boot into maintenance image again and restart upgrade.
 
Creating IDS application image file...
 
Initializing the hard disk...
Applying the image, this process may take several minutes...
Performing post install, please wait...
Application image upgrade complete. You can boot the image now.
guest@idsm3.localdomain#
 

ステップ 14 アップグレード ログを表示します。

guest@idsm3.localdomain# show log upgrade
 
Upgrading the line card on Fri Mar 11 21:21:53 UTC 2005
Downloaded upgrade image
ftp://jsmith@10.89.146.114//RELEASES/Latest/7.0-1/WS-SVC-IDSM2-K9-sys-1.1-a-7.0-1-E4.bin.gz
Extracted the downloaded file
Proceeding with image upgrade.
Fri Mar 11 21:22:06 2005 : argv1 = 0, argv2 = 0, argv3 = 3, argv4 = 1
Fri Mar 11 21:22:06 2005 : Creating IDS application image file...
Fri Mar 11 21:22:06 2005 : footer: XXXXXXXXXXXXXXXX
Fri Mar 11 21:22:06 2005 : exeoff: 0000000000031729
Fri Mar 11 21:22:06 2005 : image: 0000000029323770
Fri Mar 11 21:22:06 2005 : T: 29323818, E: 31729, I: 29323770
Fri Mar 11 21:22:07 2005 : partition: /dev/hdc1
Fri Mar 11 21:22:07 2005 : startIDSAppUpgrade:Image: /tmp/cdisk.gz
Fri Mar 11 21:22:07 2005 : startIDSAppUpgrade:Device: /dev/hdc1
Fri Mar 11 21:22:07 2005 : startIDSAppUpgrade:Install type: 1
Fri Mar 11 21:22:07 2005 : Initializing the hard disk...
Fri Mar 11 21:22:07 2005 : Required disk size: 524288 Kb (blocks)
Fri Mar 11 21:22:07 2005 : Available disk size: 19535040 Kb (blocks)
Fri Mar 11 21:22:13 2005 : Partitions created on '/dev/hdc'.
Fri Mar 11 21:22:13 2005 : Device '/dev/hdc' verified for OK.
Fri Mar 11 21:22:19 2005 : Created ext2 fileSystem on '/dev/hdc1'.
Fri Mar 11 21:22:19 2005 : Directory '/mnt/hd/' created.
Fri Mar 11 21:22:19 2005 : Partition '/dev/hdc1' mounted.
Fri Mar 11 21:22:19 2005 : Finished initializing the hard disk.
Fri Mar 11 21:22:19 2005 : Applying the image, this process may take several minutes...
Fri Mar 11 21:22:19 2005 : Directory changed to '/mnt/hd'.
Fri Mar 11 21:22:20 2005 : Performing post install, please wait...
Fri Mar 11 21:22:20 2005 : File /mnt/hd/post-install copied to /tmp/post-install.
Fri Mar 11 21:22:20 2005 : Directory changed to '/tmp'.
Fri Mar 11 21:22:28 2005 : Partition '/dev/hdc1' unmounted.
Fri Mar 11 21:22:28 2005 : Directory changed to '/tmp'.
Application image upgrade complete. You can boot the image now.
Partition upgraded successfully
guest@idsm2.localdomain#
 

ステップ 15 アップグレード ログをクリアします。

guest@idsm2.localdomain# clear log upgrade
Cleared log file successfully
 

ステップ 16 アップグレード ログを表示します。

guest@idsm2.localdomain# show log upgrade
guest@idsm2.localdomain#
 

ステップ 17 別のコンピュータに対して ping を実行します。

guest@idsm2.localdomain# ping 10.89.146.114
PING 10.89.146.114 (10.89.146.114) from 10.89.149.74 : 56(84) bytes of data.
64 bytes from 10.89.146.114: icmp_seq=0 ttl=254 time=381 usec
64 bytes from 10.89.146.114: icmp_seq=1 ttl=254 time=133 usec
64 bytes from 10.89.146.114: icmp_seq=2 ttl=254 time=129 usec
64 bytes from 10.89.146.114: icmp_seq=3 ttl=254 time=141 usec
64 bytes from 10.89.146.114: icmp_seq=4 ttl=254 time=127 usec
 
--- 10.89.146.114 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/mdev = 0.127/0.182/0.381/0.099 ms
guest@idsm2.localdomain#
 

ステップ 18 IDSM2 をリセットします。


) メンテナンス パーティションから reset コマンドを発行するときにパーティションを指定することはできません。IDSM2 は、ブート デバイス変数で指定されたパーティションにブートされます。ブート デバイス変数が設定されていない場合、IDSM2 はアプリケーション パーティションにブートされます。


guest@idsm2.localdomain# reset
guest@idsm2.localdomain#
2005 Mar 11 21:55:46 CST -06:00 %SYS-4-MOD_SHUTDOWNSTART:Module 9 shutdown in progress. Do not remove module until shutdown completes
 
Broadcast message from root Fri Mar 11 21:55:47 2005...
 
The system is going down for system halt NOW !!
console> (enable)#
 


 

詳細情報

サポートされる FTP サーバおよび HTTP/HTTPS サーバのリストについては、「サポートされる FTP サーバおよび HTTP/HTTPS サーバ」を参照してください。

Cisco IOS ソフトウェアの IDSM2 メンテナンス パーティションの設定

IDSM2 メンテナンス パーティションを設定するには、次の手順を実行します。


ステップ 1 スイッチの CLI にログインします。

ステップ 2 IDSM2 との間にセッションを確立します。

router# session slot 11 processor 1
The default escape character is Ctrl-^, then x.
You can also type 'exit' at the remote prompt to end the session
Trying 127.0.0.111 ... Open
 
Cisco Maintenance image
 

) IDSM2 メンテナンス パーティションに Telnet または SSH で接続することはできません。IDSM2 とのセッションはスイッチ CLI から確立する必要があります。


ステップ 3 ユーザ guest とパスワード cisco でログインします。


) ゲスト パスワードの変更は可能ですが、推奨できません。メンテナンス パーティションのゲスト パスワードを忘れ、何らかの理由で IDSM2 アプリケーション パーティションにログインできない場合は、IDSM2 の RMA が必要です。


login: guest
password: cisco
 
Maintenance image version: 2.1(2)
 
guest@idsm2.localdomain#
 

ステップ 4 メンテナンス パーティションのホスト設定を表示します。

guest@idsm2.localdomain# show ip
 
IP address : 10.89.149.74
Subnet Mask : 255.255.255.128
IP Broadcast : 10.255.255.255
DNS Name : idsm2.localdomain
Default Gateway : 10.89.149.126
Nameserver(s) :
 
guest@idsm2.localdomain#
 

ステップ 5 メンテナンス パーティションのホスト設定(IP アドレス、ゲートウェイ、ホスト名)をクリアします。

guest@idsm2.localdomain# clear ip
guest@localhost.localdomain# show ip
 
IP address : 0.0.0.0
Subnet Mask : 0.0.0.0
IP Broadcast : 0.0.0.0
DNS Name : localhost.localdomain
Default Gateway : 0.0.0.0
Nameserver(s) :
 
guest@localhost.localdomain#
 

ステップ 6 メンテナンス パーティションのホスト設定を指定します。

a. IP アドレスを指定します。

guest@localhost.localdomain# ip address ip_address netmask
 

b. デフォルト ゲートウェイを指定します。

guest@localhost.localdomain# ip gateway gateway_ip_address
 

c. ホスト名を指定します。

guest@localhost.localdomain# ip host hostname
 

ステップ 7 メンテナンス パーティションのホスト設定を表示します。

guest@idsm2.localdomain# show ip
 
IP address : 10.89.149.74
Subnet Mask : 255.255.255.128
IP Broadcast : 10.255.255.255
DNS Name : idsm2.localdomain
Default Gateway : 10.89.149.126
Nameserver(s) :
 
guest@idsm2.localdomain#
 

ステップ 8 アプリケーション パーティションにインストールされているイメージを確認します。

guest@idsm2.localdomain# show images
Device name Partition# Image name
----------- ---------- ----------
Hard disk(hdd) 1 7.0(1)
guest@idsm2.localdomain
#
 

ステップ 9 メンテナンス パーティションのバージョン(BIOS バージョンを含む)を確認します。

guest@idsm2.localdomain# show version
 
Maintenance image version: 2.1(2)
mp.2-1-2.bin : Thu Nov 18 11:41:36 PST 2004 :
integ@kplus-build-lx.cisco.com
 
Line Card Number :WS-SVC-IDSM2-XL
Number of Pentium-class Processors : 2
BIOS Vendor: Phoenix Technologies Ltd.
BIOS Version: 4.0-Rel 6.0.9
 
Total available memory: 2012 MB
Size of compact flash: 61 MB
Size of hard disk: 19077 MB
Daughter Card Info: Falcon rev 3, FW ver 2.0.3.0 (IDS), SRAM 8 MB, SDRAM 256 MB
 
guest@idsm2.localdomain#
 

ステップ 10 アプリケーション パーティションをアップグレードします。

guest@idsm2.localdomain# upgrade ftp://jsmith@10.89.146.11//RELEASES/Latest/7.0-1/IPS-IDSM2-K9-sys-1.1-a-7.0-1-E4.img
Downloading the image. This may take several minutes...
Password for jsmith@10.89.146.114:
500 'SIZE IPS-IDSM2-K9-sys-1.1-a-6.2-1.bin.gz': command not understood.
 
ftp://jsmith@10.89.146.11//RELEASES/Latest/7.0-1/IPS-IDSM2-K9-sys-1.1-a-7.0-1-E4.img (unknown size)
/tmp/upgrade.gz [|] 28616K
29303086 bytes transferred in 5.34 sec (5359.02k/sec)
 
Upgrade file
ftp://jsmith@10.89.146.114//RELEASES/Latest/7.0-1/IPS-IDSM2-K9-sys-1.1-a-7.0-1-E4.img is downloaded.
Upgrading will wipe out the contents on the storage media.
Do you want to proceed installing it [y|N]:
 

ステップ 11 y と入力してアップグレードを続行します。

Proceeding with upgrade. Please do not interrupt.
If the upgrade is interrupted or fails, boot into maintenance image again and restart upgrade.
 
Creating IDS application image file...
 
Initializing the hard disk...
Applying the image, this process may take several minutes...
Performing post install, please wait...
Application image upgrade complete. You can boot the image now.
guest@idsm3.localdomain#
 

ステップ 12 アップグレード ログを表示します。

guest@idsm3.localdomain# show log upgrade
 
Upgrading the line card on Fri Mar 11 21:21:53 UTC 2005
Downloaded upgrade image
ftp://jsmith@10.89.146.114//RELEASES/Latest/7.0-1/IPS-IDSM2-K9-sys-1.1-a-7.0-1-E4.img
Extracted the downloaded file
Proceeding with image upgrade.
Fri Mar 11 21:22:06 2005 : argv1 = 0, argv2 = 0, argv3 = 3, argv4 = 1
Fri Mar 11 21:22:06 2005 : Creating IDS application image file...
Fri Mar 11 21:22:06 2005 : footer: XXXXXXXXXXXXXXXX
Fri Mar 11 21:22:06 2005 : exeoff: 0000000000031729
Fri Mar 11 21:22:06 2005 : image: 0000000029323770
Fri Mar 11 21:22:06 2005 : T: 29323818, E: 31729, I: 29323770
Fri Mar 11 21:22:07 2005 : partition: /dev/hdc1
Fri Mar 11 21:22:07 2005 : startIDSAppUpgrade:Image: /tmp/cdisk.gz
Fri Mar 11 21:22:07 2005 : startIDSAppUpgrade:Device: /dev/hdc1
Fri Mar 11 21:22:07 2005 : startIDSAppUpgrade:Install type: 1
Fri Mar 11 21:22:07 2005 : Initializing the hard disk...
Fri Mar 11 21:22:07 2005 : Required disk size: 524288 Kb (blocks)
Fri Mar 11 21:22:07 2005 : Available disk size: 19535040 Kb (blocks)
Fri Mar 11 21:22:13 2005 : Partitions created on '/dev/hdc'.
Fri Mar 11 21:22:13 2005 : Device '/dev/hdc' verified for OK.
Fri Mar 11 21:22:19 2005 : Created ext2 fileSystem on '/dev/hdc1'.
Fri Mar 11 21:22:19 2005 : Directory '/mnt/hd/' created.
Fri Mar 11 21:22:19 2005 : Partition '/dev/hdc1' mounted.
Fri Mar 11 21:22:19 2005 : Finished initializing the hard disk.
Fri Mar 11 21:22:19 2005 : Applying the image, this process may take several minutes...
Fri Mar 11 21:22:19 2005 : Directory changed to '/mnt/hd'.
Fri Mar 11 21:22:20 2005 : Performing post install, please wait...
Fri Mar 11 21:22:20 2005 : File /mnt/hd/post-install copied to /tmp/post-install.
Fri Mar 11 21:22:20 2005 : Directory changed to '/tmp'.
Fri Mar 11 21:22:28 2005 : Partition '/dev/hdc1' unmounted.
Fri Mar 11 21:22:28 2005 : Directory changed to '/tmp'.
Application image upgrade complete. You can boot the image now.
Partition upgraded successfully
guest@idsm2.localdomain#
 

ステップ 13 アップグレード ログをクリアします。

guest@idsm2.localdomain# clear log upgrade
Cleared log file successfully
 

ステップ 14 アップグレード ログを表示します。

guest@idsm2.localdomain# show log upgrade
guest@idsm2.localdomain#
 

ステップ 15 別のコンピュータに対して ping を実行します。

guest@idsm2.localdomain# ping 10.89.146.114
PING 10.89.146.114 (10.89.146.114) from 10.89.149.74 : 56(84) bytes of data.
64 bytes from 10.89.146.114: icmp_seq=0 ttl=254 time=381 usec
64 bytes from 10.89.146.114: icmp_seq=1 ttl=254 time=133 usec
64 bytes from 10.89.146.114: icmp_seq=2 ttl=254 time=129 usec
64 bytes from 10.89.146.114: icmp_seq=3 ttl=254 time=141 usec
64 bytes from 10.89.146.114: icmp_seq=4 ttl=254 time=127 usec
 
--- 10.89.146.114 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/mdev = 0.127/0.182/0.381/0.099 ms
guest@idsm2.localdomain#
 

ステップ 16 IDSM2 をリセットします。


) メンテナンス パーティションから reset コマンドを発行するときにパーティションを指定することはできません。IDSM2 は、ブート デバイス変数で指定されたパーティションにブートされます。ブート デバイス変数が設定されていない場合、IDSM2 はアプリケーション パーティションにブートされます。


guest@idsm2.localdomain# reset
guest@idsm2.localdomain#
Broadcast message from root Fri Mar 11 22:04:53 2005...
 
The system is going down for system halt NOW !!
 
[Connection to 127.0.0.111 closed by foreign host]
router#
 


 

詳細情報

サポートされる FTP サーバおよび HTTP/HTTPS サーバのリストについては、「サポートされる FTP サーバおよび HTTP/HTTPS サーバ」を参照してください。

Catalyst ソフトウェアの IDSM2 メンテナンス パーティションのアップグレード

メンテナンス パーティションをアップグレードするには、次の手順を実行します。


ステップ 1 IDSM2 メンテナンス パーティション ファイル(c6svc-mp.2-1-2.bin.gz)を IDSM2 からアクセスできる FTP サーバの FTP ルート ディレクトリにダウンロードします。

ステップ 2 スイッチから IDSM2 との間にセッションを確立します。

console>(enable) session slot_number
 

ステップ 3 IDSM2 の CLI にログインします。

ステップ 4 コンフィギュレーション モードを開始します。

idsm2# configure terminal
 

ステップ 5 メンテナンス パーティションをアップグレードします。

idsm2(config)# upgrade ftp://user@ftp_server_IP_address/directory_path/c6svc-mp.2-1-2.bin.gz
 

続行するかどうか尋ねられます。

ステップ 6 FTP サーバのパスワードを入力します。

ステップ 7 y と入力して続行します。

メンテナンス パーティション ファイルがアップグレードされます。


 

詳細情報

サポートされる FTP サーバおよび HTTP/HTTPS サーバのリストについては、「サポートされる FTP サーバおよび HTTP/HTTPS サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

Cisco IOS ソフトウェアの IDSM2 メンテナンス パーティションのアップグレード

メンテナンス パーティションをアップグレードするには、次の手順を実行します。


ステップ 1 IDSM2 メンテナンス パーティション ファイル(c6svc-mp.2-1-2.bin.gz)を IDSM2 からアクセスできる FTP サーバの FTP ルート ディレクトリにダウンロードします。

ステップ 2 スイッチの CLI にログインします。

ステップ 3 アプリケーション パーティション CLI との間にセッションを確立します。

router# session slot slot_number processor 1
 

ステップ 4 IDSM2 にログインします。

ステップ 5 コンフィギュレーション モードを開始します。

idsm2# configure terminal
 

ステップ 6 メンテナンス パーティションをアップグレードします。

idsm2(config)# upgrade ftp://user@ftp_server_IP_address/directory_path/c6svc-mp.2-1-2.bin.gz
 

ステップ 7 FTP サーバのパスワードを指定します。

Password: ********
 

続行するかどうかの確認を求められます。

Continue with upgrade?:
 

ステップ 8 yes と入力して続行します。


 

詳細情報

サポートされる FTP サーバおよび HTTP/HTTPS サーバのリストについては、「サポートされる FTP サーバおよび HTTP/HTTPS サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

IPS SSP システム イメージのインストール


注意 システム イメージをインストールすると、すべてのユーザ設定が失われます。システム イメージのインストールによるセンサーの復旧を試みる前に、recover application-partition コマンドを使用するか、またはセンサーの起動時にリカバリ パーティションを選択する方法による復旧を試みてください。

ここでは、 hw-module コマンドまたは ROMMON を使用して IPS SSP システム イメージをインストールする方法について説明します。内容は次のとおりです。

「hw-module コマンドを使用したシステム イメージのインストール」

「ROMMON を使用したシステム イメージのインストール」

hw-module コマンドを使用したシステム イメージのインストール

システム イメージをインストールするには、適応型セキュリティ アプライアンス CLI を使用して TFTP サーバから IPS SSP へソフトウェア イメージを転送します。適応型セキュリティ アプライアンスは、IPS SSP の ROMMON アプリケーションとの通信によってイメージを転送できます。


) 指定する TFTP サーバが、最大 60 MB のサイズのファイルを転送できることを確認してください。



) ネットワークとイメージのサイズに応じて、このプロセスは完了までに約 15 分間かかることがあります。


IPS SSP ソフトウェア イメージをインストールするには、次の手順を実行します。


ステップ 1 適応型セキュリティ アプライアンスにログインします。

ステップ 2 イネーブル モードを開始します。

asa# enable
 

ステップ 3 IPS SSP のリカバリ設定を指定します。

asa (enable)# hw-module module 1 recover configure
 

) リカバリ設定に誤りがあった場合は、hw-module module 1 recover stop コマンドを使用してシステム イメージの再作成を停止してから、設定を修正できます。


ステップ 4 ソフトウェア イメージの TFTP URL を指定します。

Image URL [tftp://0.0.0.0/]:
 

Image URL [tftp://0.0.0.0/]: tftp://10.89.146.1/IPS-SSP_10-K9-sys-1.1-a-7.1-1-E4.img
 

ステップ 5 IPS SSP のコマンド/コントロール インターフェイスを指定します。


) ポート IP アドレスは、IPS SSP の管理 IP アドレスです。


Port IP Address [0.0.0.0]:
 

Port IP Address [0.0.0.0]: 10.89.149.231
 

ステップ 6 VLAN ID を 0 のままにします。

VLAN ID [0]:
 

ステップ 7 IPS SSP のデフォルト ゲートウェイを指定します。

Gateway IP Address [0.0.0.0]:
 

Gateway IP Address [0.0.0.0]: 10.89.149.254
 

ステップ 8 リカバリを実行します。

asa# hw-module module 1 recover boot
 

ソフトウェア イメージが TFTP サーバから IPS SSP に転送され、IPS SSP が再起動されます。

 

ステップ 9 完了するまでリカバリを定期的にチェックします。


) ステータスは、リカバリ中は [Recovery] となり、インストールが完了すると [Up] になります。


asa# show module 1 details
Getting details from the Service Module, please wait...
ASA 5585-X IPS Security Services Processor-10 with 8GE
Model: ASA5585-SSP-IPS10
Hardware version: 1.0
Serial Number: JAF1350ABSL
Firmware version: 2.0(1)3
Software version: 7.1(0.326)E4
MAC Address Range: 8843.e12f.5414 to 8843.e12f.541f
App. name: IPS
App. Status: Up
App. Status Desc: Normal Operation
App. version: 7.1(1)E4
Data plane Status: Up
Status: Up
Mgmt IP addr: 10.89.148.11
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 10.89.148.254
Mgmt Access List: 10.0.0.0/8
Mgmt Access List: 64.0.0.0/8
Mgmt web ports: 443
Mgmt TLS enabled true
asa#
 

) 出力の [Status] フィールドは IPS SSP の動作ステータスを示します。IPS SSP の動作ステータスは、通常は [Up] となります。適応型セキュリティ アプライアンスが IPS SSP にソフトウェア イメージを転送している間は、出力の [Status] フィールドは [Recover] となります。適応型セキュリティ アプライアンスによるイメージの転送が完了し、IPS SSP が再起動されると、新たに転送されたイメージが実行されます。



) このプロセス中にエラーが発生した場合、デバッグを実行するには、debug module-boot コマンドを使用して、ソフトウェア インストール プロセスのデバッグをイネーブルにします。


ステップ 10 IPS SSP との間にセッションを確立します。

ステップ 11 cisco を 3 回入力し、新しいパスワードを 2 回入力します。

ステップ 12 setup コマンドを使用して IPS SSP を初期化します。


 

詳細情報

アプリケーション パーティションを復旧する手順については、「アプリケーション パーティションの復旧」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

ROMMON を使用したシステム イメージのインストール

適応型セキュリティ アプライアンスで ROMMON を使用してシステム イメージを IPS SSP に TFTP 転送することにより、IPS SSP システム イメージをインストールできます。

IPS SSP システム イメージをインストールするには、次の手順を実行します。


ステップ 1 IPS SSP システム イメージ ファイル(IPS-SSP_10-K9-sys-1.1-a-7.1-1-E4.img など)を適応型セキュリティ アプライアンスからアクセスできる TFTP サーバの tftp ルート ディレクトリにダウンロードします。


) 適応型セキュリティ アプライアンスのイーサネット ポートに接続されているネットワークから TFTP サーバの場所にアクセスできることを確認します。


ステップ 2 IPS SSP をブートします。

Booting system, please wait...
 
CISCO SYSTEMS
Embedded BIOS Version 0.0(2)10 11:16:38 04/15/10
Com KbdBuf SMM UsbHid Msg0 Prompt Pmrt Cache1 LowM ExtM HugeM Cache2 Flg Siz0 Amrt PMM PnpDsp Smbios Lpt0 Npx1 Apm Lp1 Acpi Typ Dbg Enb Mp MemReduce MemSync1 CallRoms MemSync2 DriveInit
 
 
Total memory : 12 GB
Total number of CPU cores : 8
Com Lp1 Admgr2 Brd10 Plx2 OEM0=7EFF5C74
Cisco Systems ROMMON Version (1.0(12)10) #0: Thu Apr 8 00:12:33 CDT 2010
 
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot interrupted.
 
Management0/0
Link is UP
MAC Address: 5475.d029.7fa9
 

ステップ 3 システムの起動中に、次のプロンプトで Break または Esc を押して、ブートを中断します。ブートを即座に開始するには、スペースバーを押します。


) Break または Esc は 10 秒以内に押してください。


Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
 

システムが ROMMON モードに入ります。 rommon> プロンプトが表示されます。

ステップ 4 現在のネットワーク設定を確認します。

rommon #0> set
ROMMON Variable Settings:
ADDRESS=0.0.0.0
SERVER=0.0.0.0
GATEWAY=0.0.0.0
PORT=Management0/0
VLAN=untagged
IMAGE=
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20
 

変数の定義は次のとおりです。

Address:IPS SSP のローカル IP アドレス

Server:アプリケーション イメージが格納されている TFTP サーバの IP アドレス

Gateway:IPS SSP が使用するゲートウェイの IP アドレス

Port:IPS SSP の管理に使用されるイーサネット インターフェイス

VLAN:VLAN ID 番号(タグなしのまま)

Image:システム イメージ ファイル パスとファイル名

Config:これらのプラットフォームでは未使用


) ネットワーク接続を確立するために、すべての値が必要なわけではありません。address、server、gateway、および image の値は必要です。ローカル環境を設定するために必要な設定がわからない場合は、システム管理者に連絡してください。


ステップ 5 必要に応じて、TFTP ダウンロードに使用するインターフェイスを変更します。


) TFTP ダウンロードに使用されるデフォルトのインターフェイスは Management0/0 です。これは、IPS SSP の管理インターフェイスに対応します。


rommon> PORT=interface_name
 

ステップ 6 必要に応じて、IPS SSP 上のローカル ポートの IP アドレスを割り当てます。

rommon> ADDRESS=ip_address
 

) IPS SSP に割り当てられているものと同じ IP アドレスを使用します。


ステップ 7 必要に応じて、TFTP サーバの IP アドレスを割り当てます。

rommon> SERVER=ip_address
 

ステップ 8 必要に応じて、ゲートウェイの IP アドレスを割り当てます。

rommon> GATEWAY=ip_address
 

ステップ 9 次のいずれかのコマンドを使用して、ローカル イーサネット ポートから ping を実行することにより、TFTP サーバにアクセスできることを確認します。

rommon> ping server_ip_address
rommon> ping server
 

ステップ 10 必要に応じて、イメージのダウンロード元である TFTP ファイル サーバ上のパスおよびファイル名を定義します。

rommon> IMAGE=path/file_name
 

注意 IMAGE コマンドは、必ずすべて大文字で入力してください。他の ROMMON コマンドは小文字と大文字のどちらでも入力できますが、IMAGE コマンドはすべて大文字で入力する必要があります。

UNIX の例

rommon> IMAGE=/system_images/IPS-SSP_10-K9-sys-1.1-a-7.1-1-E4.img
 

) このパスは、UNIX TFTP サーバのデフォルト tftpboot ディレクトリからの相対パスです。デフォルトの tftpboot ディレクトリに置かれているイメージの IMAGE 指定には、ディレクトリ名もスラッシュも含まれていません。


Windows の例

rommon> IMAGE=¥system_images¥IPS-SSP_10-K9-sys-1.1-a-7.1-1-E4.img
 

ステップ 11 set と入力し、Enter を押して、ネットワーク設定を確認します。


sync コマンドを使用すると、これらの設定をブート後も維持されるように NVRAM に保存できます。保存しない場合は、ROMMON からイメージをブートするときに毎回この情報を入力する必要があります。


ステップ 12 システム イメージをダウンロードしてインストールします。

rommon> tftp
 

注意 システム イメージの破損を避けるために、システム イメージのインストール中は IPS SSP の電源を切らないでください。


) ネットワーク設定が正しい場合、指定したイメージが IPS SSP にダウンロードされ、ブートされます。必ず IPS SSP イメージを使用してください。



 

詳細情報

IPS SSP アプリケーション パーティションを復旧する手順については、「アプリケーション パーティションの復旧」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。

NME IPS システム イメージのインストール


) NME IPS スロット番号を確認するには、show configuration | include interface ids-sensor コマンドを使用します。


NME IPS システム イメージをインストールするには、次の手順を実行します。


ステップ 1 NME IPS システム イメージ ファイル(IPS-NME-K9-sys-1.1-7.0-1-E4.img)をダウンロードし、TFTP サーバの tftp ルート ディレクトリに配置します。


) NME IPS が TFTP サーバにアクセスできるようにネットワークが設定されていることを確認します。


利用可能な TFTP サーバがない場合は、ルータを TFTP サーバとして設定できます。

router# copy tftp: flash:
router# configure terminal
router(config)# tftp-server flash:IPS-NME-K9-sys-1.1-7.0-1-E4img
router(config)# exit
router#
 

ステップ 2 ハートビートのリセットをディセーブルにします。

router# service-module ids-sensor 1/0 heartbeat-reset disable
 

) ハートビートのリセットをディセーブルにすると、システム イメージのインストール プロセスに時間がかかりすぎる場合でも、モジュールがリセットされなくなります。


ステップ 3 NME IPS との間にセッションを確立します。

router# service-module ids-sensor 1/0 session
 

ステップ 4 Shift と Ctrl を押した状態で 6 を押してから X を押してセッションを中断します。 router# プロンプトが表示されます。このプロンプトが表示されない場合は、Ctrl を押した状態で 6 を押してから、X を押してみてください。

ステップ 5 NME IPS をリセットします。 reset コマンドを確認するように要求されます。

router# service-module ids-sensor 1/0 reset
 

ステップ 6 Enter キーを押して確認します。

ステップ 7 Enter を押して、中断したセッションを再開します。ブートローダのバージョンが表示された後、次のプロンプトが 15 秒間表示されます。

Please enter ’***’ to change boot configuration:
 

ステップ 8 この 15 秒の間に *** と入力します。

ブートローダ プロンプトが表示されます。

ステップ 9 Enter を押して NME IPS とのセッションに戻ります。

ステップ 10 ブートローダを設定します。

ServicesEngine bootloader> config
 
IP Address [10.89.148.195]>
Subnet mask [255.255.255.0]>
TFTP server [10.89.150.74]>
Gateway [10.89.148.254]>
Default boot [disk]>
Number cores [2]>
ServicesEngine boot-loader >
 

各プロンプトで、値を入力するか、Enter を押して角括弧で囲まれた保存済みの値をそのまま適用します。


注意 NME IPS イメージのパス名はフル パスですが、tftp サーバのルート ディレクトリからの相対パスです(通常は、/tftpboot)。

ステップ 11 ブートローダを起動します。

ServicesEngine bootloader> upgrade
 

ステップ 12 ブートローダの指示に従ってソフトウェアをインストールします(オプション 1 を選択して、ウィザードの指示に従います)。

Booting from flash...please wait.
Please enter '***' to change boot configuration:
12 ***
ServicesEngine boot-loader Version : 1.2.0
ServicesEngine boot-loader > config
 
IP Address [10.89.148.195]>
Subnet mask [255.255.255.0]>
TFTP server [10.89.150.74]>
Gateway [10.89.148.254]>
Default boot [disk]>
Number cores [2]>
ServicesEngine boot-loader > upgrade
 
Cisco Systems, Inc.
Services engine upgrade utility for NM-IPS
-----
Main menu
1 - Download application image and write to USB Drive
2 - Download bootloader and write to flash
3 - Download minikernel and write to flash
r - Exit and reset card
x - Exit
Selection [123rx]
Download recovery image via tftp and install on USB Drive
TFTP server [10.89.150.74]>
full pathname of recovery image
[]:test/sensor/7.1-1-E4/IPS-NME-K9-sys-1.1-a-7.1-1-E4.img
Ready to begin
Are you sure [Y/N]
Press <CTRL-C> to abort.
octeth0: Up 1Gbs Full duplex, (port 0)
octeth1: Up 1Gbs Full duplex, (port 1)
Using octeth0 device
TFTP from server 10.89.150.74; our IP address is 10.89.148.195; sending through gateway 10.89.148.254
Filename 'test/sensor/7.1-1-E4/IPS-NME-K9-sys-1.1-a-7.1-1-E4.img'.
Load address: 0x21000000
Loading: octeth0: Down 1Gbs Half duplex, (port 0)
octeth0: Down 1Gbs Full duplex, (port 0)
octeth0: Up 1Gbs Full duplex, (port 0)
T T T T T T T T T #################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
#################################################################
######
32 MB received
#################################################################
#################################################################
##################
done
 

ステップ 13 Shift と Ctrl を押した状態で 6 を押してから X を押してセッションを中断します。 router# プロンプトが表示されます。このプロンプトが表示されない場合は、Ctrl を押した状態で 6 を押してから、X を押してみてください。

ステップ 14 ルータの CLI 側で、セッションをクリアします。

router# service-module interface ids-sensor 1/0 session clear
 

ステップ 15 ハートビートのリセットをイネーブルにします。

router# service-module IDS-sensor 1/0 heartbeat-reset enable
 


 

詳細情報

TFTP サーバの詳細については、「TFTP サーバ」を参照してください。

アンナンバード IP アドレスを設定する手順については、「 Setting Up Interfaces on NME IPS and the Router 」を参照してください。

Cisco.com でソフトウェアを検索する手順については、「Cisco IPS ソフトウェアの入手方法」を参照してください。