Cisco Intrusion Prevention System アプライアンスおよびモジュール インストレーション ガイド for IPS 7.2
システム イメージのアップグレード、ダウングレード、およびインストール
システム イメージのアップグレード、ダウングレード、およびインストール
発行日;2013/11/08 | 英語版ドキュメント(2013/10/29 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

システム イメージのアップグレード、ダウングレード、およびインストール

内容

システム イメージの注意事項および警告

アップグレード、ダウングレード、およびシステム イメージ

サポートされる FTP サーバおよび HTTP/HTTPS サーバ

センサーのアップグレード

IPS7.2 アップグレード ファイル

アップグレードの注意事項および警告

センサーの手動アップグレード

リカバリ パーティションのアップグレード

自動アップグレードの設定

自動アップグレードについて

センサーの自動的アップグレード

センサーのダウングレード

アプリケーション パーティションの復旧

システム イメージのインストール

ROMMON

TFTP サーバ

ターミナル サーバへのアプライアンスの接続

IPS4345 および IPS4360 システム イメージのインストール

IPS4510 および IPS4520 システム イメージのインストール

システム イメージのインストール

システム イメージのインストール

hw-module コマンドを使用した システム イメージのインストール

ROMMON を使用した システム イメージのインストール

システム イメージのアップグレード、ダウングレード、およびインストール

システム イメージの注意事項および警告

センサーをアップグレードするときは、次のアップグレードに関する注意事項と警告に注意してください。

異常検出は、デフォルトでディセーブルになっています。アップグレードする前に手動で動作モードを設定していない場合は、アップグレード後にデフォルトで非アクティブになります。動作モードに検出、学習、または非アクティブを設定した場合、調整された値はアップグレード後に保存されます。

Cisco.com からソフトウェアをダウンロードするには、各センサーに対して有効なメンテナンス契約がなければなりません。

IPS 7.2(1)E4 に次のプラットフォームをアップグレードするには、次のバージョンを実行している必要があります。

IPS 4300 シリーズ センサーおよび ASA 5500-X IPS SSP の場合、IPS 7.1(3)E4 以降を実行している必要があります。

IPS 4500 シリーズ センサーの場合、IPS 7.1(4)E4 以降を実行している必要があります。

ASA 5585-X IPS SSP シリーズの場合、IPS 7.1(1)E4 以降を実行している必要があります。

このサービス パックが自動的にセンサーをリブートし、変更を適用します。リブート中に、インライン ネットワーク トラフィックは中断されます。

シスコ サーバ IP アドレスのデフォルト値は、[Auto Update URL] 設定の www.cisco.com に変更されました。センサーに自動更新が設定されている場合は、ファイアウォール ルールを更新して、センサーがこの新しいアドレスに接続されるようにする必要がある場合があります。

IPS 7.2(1)E4 はアンインストールできません。以前のバージョンに戻すには、適切なシステム イメージ ファイルを使用してセンサーのイメージを再作成する必要があります。

センサーの IPS ソフトウェアをアップグレードすると、最新のソフトウェア機能を表示するのに IDM を再起動する必要があります。

downgrade コマンドを使用して、Cisco IPS 7.2 から 7.1 へなど、以前のメジャー バージョンまたはマイナー バージョンに戻すことはできません。 downgrade コマンドでは、最新のシグニチャ アップデートまたはシグニチャ エンジン アップデートからのダウングレードのみ可能です。7.1 に戻すには、センサーのイメージを再作成する必要があります。

システム イメージをインストールすると、すべてのユーザ設定が失われます。システム イメージのインストールによるセンサーの復旧を試みる前に、 recover application-partition コマンドを使用するか、またはセンサーの起動時にリカバリ パーティションを選択する方法による復旧を試みてください。

アップグレード、ダウングレード、およびシステム イメージ


注意 downgrade コマンドを使用して、Cisco IPS 7.2 から 7.1 へなど、以前のメジャー バージョンまたはマイナー バージョンに戻すことはできません。downgrade コマンドでは、最新のシグニチャ アップデートまたはシグニチャ エンジン アップデートからのダウングレードのみ可能です。7.1 に戻すには、センサーのイメージを再作成する必要があります。


) リカバリ パーティションを使用してセンサーをダウングレードすることはできません。以前のバージョンにダウングレードするには、適切なシステム イメージ ファイル(.img ファイル)をインストールする必要があります。



) シグニチャのアップグレード時、すべてのシグニチャの設定は保持されます。シグニチャの調整およびカスタム シグニチャも保持されます。シグニチャのダウングレード時、現在のシグニチャの設定が古いシグニチャ設定と置き換えられます。そのため、最後のシグニチャ セットにカスタム シグニチャおよびシグニチャの調整、またはいずれかがある場合、ダウングレード中にリストアされます。


センサーのソフトウェアをアップグレードおよびダウングレードできます。アップグレードでは、サービス パック、シグニチャ アップデート、シグニチャ エンジン アップデート、マイナー バージョン、メジャー バージョン、またはリカバリ パーティション ファイルが適用されます。ダウングレードでは、最後に適用されたサービス パックまたはシグニチャ アップデートがセンサーから削除されます。

センサーのアプリケーション パーティション イメージが使用できなくなった場合は、復旧することができます。 recover コマンドを使用と、ホスト設定を保持したまま他の設定を出荷時の初期状態に戻すことができます。

センサーに新しいシステム イメージをインストールするには、使用しているプラットフォームに応じて、ROMMON、ブートローダ ファイル、またはメンテナンス パーティションを使用します。センサーに新しいシステム イメージをインストールすると、すべてのアカウントが削除され、デフォルトの cisco アカウントはデフォルトのパスワード cisco を使用するようにリセットされます。システム イメージをインストールした後で、センサーを再度初期化する必要があります。

センサーのイメージを再作成し、初期化を行った後で、最新のサービス パック、シグニチャ アップデート、シグニチャ エンジン アップデート、マイナー アップデート、メジャー アップデート、およびリカバリ パーティション ファイルでセンサーをアップグレードする必要があります。

詳細情報

センサーを初期化する手順については、 付録 B「センサーの初期化」 を参照してください。

Cisco.com でソフトウェアを検索する手順については、を参照してください。

サポートされる FTP サーバおよび HTTP/HTTPS サーバ

IPS ソフトウェアのアップデートについてサポートされている FTP サーバは次のとおりです。

WU-FTPD 2.6.2(Linux)

Solaris 2.8

Sambar 6.0(Windows 2000)

Serv-U 5.0(Windows 2000)

MS IIS 5.0(Windows 2000)

IPS ソフトウェアのアップデートについてサポートされている HTTP/HTTPS サーバは次のとおりです。

CSM - Apache Server(Tomcat)

CSM - Apache Server(JRun)

詳細情報

Cisco.com から IPS ソフトウェア アップデートをダウンロードする手順については、を参照してください。

自動アップデートの設定手順については、「自動アップグレードの設定」を参照してください。

センサーのアップグレード

ここでは、 upgrade コマンドを使用して、センサーのソフトウェアをアップグレードする方法について説明します。次の項目について説明します。

「IPS 7.2 アップグレード ファイル」

「アップグレードの注意事項および警告」

「センサーの手動アップグレード」

「リカバリ パーティションのアップグレード」

IPS 7.2 アップグレード ファイル

特定の IPS ファイル名および各センサーがサポートする IPS バージョンのリストについては、次の URL にある IPS バージョンのリリース ノートを参照してください。

http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/prod_release_notes_list.html

詳細情報

Cisco.com でこれらのフィルを取得する手順については、を参照してください。

アップグレードの注意事項および警告

各 IPS バージョンのアップグレードに関する注意事項と警告のリストについては、次の URL にある IPS バージョンのリリース ノートを参照してください:

http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/prod_release_notes_list.html

センサーの手動アップグレード


) シグニチャのアップグレード時、すべてのシグニチャの設定は保持されます。シグニチャの調整およびカスタム シグニチャも保持されます。シグニチャのダウングレード時、現在のシグニチャの設定が古いシグニチャ設定と置き換えられます。そのため、最後のシグニチャ セットにカスタム シグニチャおよびシグニチャの調整、またはいずれかがある場合、ダウングレード中にリストアされます。


サービス パック、シグニチャ アップデート、エンジン アップデート、マイナー バージョン、メジャー バージョン、またはリカバリ パーティション ファイルのアップグレードを適用するには、 upgrade source-url コマンドを使用します。次のオプションが適用されます。

source-url :コピー元のファイルの場所を指定します。

ftp::FTP ネットワーク サーバのコピー元 URL。このプレフィックスの構文は、次のとおりです。

ftp://[[username@]location][/relativeDirectory]/filename

ftp://[[username@]location][//absoluteDirectory]/filename


) パスワードを入力するように求められます。


scp::SCP ネットワーク サーバのコピー元 URL。このプレフィックスの構文は、次のとおりです。

scp://[[username@]location][/relativeDirectory]/filename

scp://[[username@]location][//absoluteDirectory]/filename


) パスワードを入力するように求められます。リモート ホストを SSH 既知ホスト リストに追加する必要があります。


http::Web サーバのコピー元 URL。このプレフィックスの構文は、次のとおりです。

http://[[username@]location][/directory]/filename


) ディレクトリは、必要なファイルへの絶対パスで指定する必要があります。


https::Web サーバのコピー元 URL。このプレフィックスの構文は、次のとおりです。

https://[[username@]location][/directory]/filename

ディレクトリは、必要なファイルへの絶対パスで指定する必要があります。リモート ホストは TLS の信頼できるホストである必要があります。

センサーのアップグレード


) CLI 出力は、設定がどのように表示されるかを示す例です。オプションの設定選択、センサー モデル、およびインストールした IPS バージョンによって、正確に一致しません。


センサーをアップグレードするには、次の手順を実行します。


ステップ 1 適切なファイルをセンサーからアクセスできる FTP、SCP、HTTP、または HTTPS サーバにダウンロードします。

ステップ 2 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 3 コンフィギュレーション モードを開始します。

sensor# configure terminal
 

ステップ 4 センサーをアップグレードします。

sensor(config)# upgrade url/IPS-SSP_10-K9-7.2-1-E4.pkg
 

URL は、アップデート ファイルがある場所を指します。たとえば、FTP を使用してアップデートを取得するには、次のように入力します。

sensor(config)# upgrade ftp://username@ip_address//directory/IPS-SSP_10-K9-7.2.1-E4.pkg
 

ステップ 5 プロンプトが表示されたら、パスワードを入力します。

Enter password: ********
 

ステップ 6 yes と入力してアップグレードを完了します。


) メジャー アップデート、マイナー アップデート、およびサービス パックのインストールを完了するには、IPS プロセスの再起動、またはセンサーのリブートが必要になることがあります。



) オペレーティング システムのイメージが再作成され、サービス アカウントによってセンサーに作成されたすべてのファイルが削除されます。


ステップ 7 新しいセンサーのバージョンを確認します。

sensor# show version
Application Partition:
 
Cisco Intrusion Prevention System, Version 7.2(1)E4
 
Host:
Realm Keys key1.0
Signature Definition:
Signature Update S697.0 2013-02-15
OS Version: 2.6.29.1
Platform: IPS-4360
Serial Number: FCH1504V0CF
No license present
Sensor up-time is 1 day.
Using 14371M out of 15943M bytes of available memory (90% usage)
system is using 32.4M out of 160.0M bytes of available disk space (20% usage)
application-data is using 79.1M out of 376.1M bytes of available disk space (22%
usage)
boot is using 61.1M out of 70.1M bytes of available disk space (92% usage)
application-log is using 494.0M out of 513.0M bytes of available disk space (96%
usage)
 
 
MainApp V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18-0500 Running
AnalysisEngine V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18-0500 Running
CollaborationApp V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18-0500 Running
CLI V-2013_04_23_12_55_7_2_0_16 (Release) 2013-04-23T12:58:18-0500
 
Upgrade History:
 
IPS-K9-7.2-1-E4 16:06:07 UTC Wed Jan 23 2013
 
Recovery Partition Version 1.1 - 7.2(1)E4
 
Host Certificate Valid from: 08-May-2013 to 09-May-2015
 
sensor#
 


 

詳細情報

サポートされる FTP サーバおよび HTTP/HTTPS サーバのリストについては、「サポートされる FTP サーバおよび HTTP/HTTPS サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、を参照してください。

リカバリ パーティションのアップグレード


) リカバリ パーティション イメージはメジャー アップデートおよびマイナー アップデートのために生成されます。サービス パックやシグニチャ アップデートのために生成されることはごくまれにしかありません。



) リカバリ パーティションを使用してセンサーをダウングレードすることはできません。以前のバージョンにダウングレードするには、適切なシステム イメージ ファイル(.img ファイル)をインストールする必要があります。


リカバリ パーティションを最新バージョンでアップグレードして、センサー上のアプリケーション パーティションを復旧する場合に備えておくことには、 upgrade コマンドを使用します。リカバリ パーティション イメージはメジャー アップデートおよびマイナー アップデートのために生成されます。サービス パックやシグニチャ アップデートのために生成されることはごくまれにしかありません。

センサー上のリカバリ パーティションをアップグレードするには、次の手順を実行します。


ステップ 1 適切なリカバリ パーティション イメージ ファイルをセンサーからアクセスできる FTP、SCP、HTTP、または HTTPS サーバにダウンロードします。


注意 ブラウザによっては、ファイル名に拡張子が付加されます。保存されたファイルのファイル名は、ダウンロード ページに表示されているファイル名と一致する必要があります。一致していなければ、そのファイルはリカバリ パーティションのアップグレードに使用できません。

ステップ 2 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 3 コンフィギュレーション モードを開始します。

sensor# configure terminal
 

ステップ 4 リカバリ パーティションをアップグレードします。

sensor(config)# upgrade scp://user@server_ipaddress//upgrade_path/IPS-SSP_10-K9-r-1.1-a-7.2-1-E4.pkg
 
sensor(config)# upgrade ftp://user@server_ipaddress//upgrade_path/IPS-SSP_10-K9-r-1.1-a-7.2-1-E4.pkg
 

ステップ 5 サーバのパスワードを入力します。アップグレード プロセスが開始されます。


) この手順では、リカバリ パーティションのイメージを再作成するだけです。アプリケーション パーティションは、このアップグレードでは変更されません。リカバリ パーティションの後にアプリケーション パーティションのイメージを再作成するには、recover application-partition コマンドを使用します。



 

詳細情報

サポートされる FTP サーバおよび HTTP/HTTPS サーバのリストについては、「サポートされる FTP サーバおよび HTTP/HTTPS サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、を参照してください。

recover コマンドの使用手順については、 「リカバリ パーティションのアップグレード」を参照してください。

自動アップグレードの設定

ここでは、アップグレード ディレクトリのアップグレードを自動的に検索するようにセンサーを設定する方法について説明します。次の項目について説明します。

「自動アップグレードについて」

「センサーの自動的アップグレード」

自動アップグレードについて


注意 シスコ サーバ IP アドレスのデフォルト値は、[Auto Update URL] 設定の www.cisco.com に変更されました。センサーに自動更新が設定されている場合は、ファイアウォール ルールを更新して、センサーがこの新しいアドレスに接続されるようにする必要がある場合があります。

アップグレード ディレクトリにある新しいアップグレード ファイルを自動的に検索するようにセンサーを設定することができます。たとえば、複数のセンサーが、異なるアップデート スケジュール(24 時間ごと、月曜日、水曜日、および金曜日の午後 11 時など)で同じリモート FTP サーバ ディレクトリを参照できます。

自動アップグレードのスケジュールを設定するには、次の情報を指定します。

Server IP address

センサーがアップグレード ファイルをチェックするファイル サーバ上のディレクトリのパス

ファイル コピー プロトコル(SCP または FTP)

ユーザ名とパスワード

アップグレード スケジュール

センサーが自動アップグレード ファイルをポーリングするためには、ソフトウェア アップグレードを Cisco.com からダウンロードし、アップグレード ディレクトリにコピーしておく必要があります。

詳細情報

Cisco.com でソフトウェアを検索する手順については、を参照してください。

センサーの自動的アップグレード

自動アップグレードを設定するには、サービス ホスト サブモードで auto-upgrade-option enabled コマンドを使用します。次のオプションが適用されます。

cisco-server :シグニチャおよびシグニチャ エンジンの Cisco.com からの自動アップデートをイネーブルにします。

cisco-url :Cisco サーバ ロケータ サービスを指定します。www.cisco.com の IP アドレスが変更されない限り、変更する必要はありません。

default :値をシステムのデフォルト設定に戻します。

directory :アップグレード ファイルが置かれているファイル サーバ上のディレクトリを指定します。先頭の「/」は、絶対パスであることを示します。

file-copy-protocol :ファイル サーバからファイルをダウンロードするときに使用するファイル コピー プロトコルを指定します。有効な値は、 ftp または scp です。


) SCP を使用する場合は、センサーが SSH を介してサーバと通信できるように、ssh host-key コマンドを使用してサーバを SSH の既知ホスト リストに追加する必要があります。


ip-address :ファイル サーバの IP アドレスを指定します。

password :Cisco サーバの認証用のユーザ パスワードを指定します。

schedule-option :Cisco サーバで自動アップグレードを実行するスケジュールを指定します。カレンダー スケジューリングでは、特定の曜日の特定の時刻にアップグレードが開始されます。定期スケジューリングでは、特定の間隔でアップグレードが開始されます。

calendar-schedule :自動アップグレードを実行する曜日と時刻を設定します。

days-of-week :自動アップグレードを実行する曜日を指定します。複数の曜日を選択できます。有効な値は、 sunday から saturday です。

no :エントリまたは選択設定を削除します。

times-of-day :自動アップグレードを開始する日時を選択します。複数の時刻を選択できます。有効な値は hh:mm[:ss] です。

periodic-schedule :最初の自動アップグレードが発生する時刻と、自動アップグレードの間隔を設定します。

interval :自動アップグレードの間隔(時間単位)です。有効値の範囲は 0 ~ 8760 です

start-time :最初の自動アップグレードを開始する日時を指定します。有効な値は hh:mm[:ss] です。

user-name :サーバ認証に使用するユーザ名を指定します。

user-server :ユーザ定義のサーバからの自動アップグレードをイネーブルにします。

自動アップグレードの設定

自動アップデートの設定中に不正アクセスを示すエラー メッセージが表示された場合は、センサーと Cisco.com の間のファイアウォール上で正しいポートが開いていることを確認してください。たとえば、www.cisco.com への最初の自動アップデート接続にはポート 443 が必要であり、選択したパッケージを Cisco ファイル サーバからダウンロードするには、ポート 80 が必要です。Cisco ファイル サーバの IP アドレスは変更されることがありますが、 show statistics host コマンドの出力の lastDownloadAttempt セクションで確認できます。


注意 シスコ サーバ IP アドレスのデフォルト値は、[Auto Update URL] 設定の www.cisco.com に変更されました。センサーに自動更新が設定されている場合は、ファイアウォール ルールを更新して、センサーがこの新しいアドレスに接続されるようにする必要がある場合があります。


) 前回の自動アップデートまたは予定されている次回の自動アップデートのステータスをチェックするには、show statistics host コマンドを実行し、Auto Update Statistics セクションを確認します。


自動アップグレードをスケジューリングするには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 自動アップグレード サブモードを開始します。

sensor# configure terminal
sensor(config)# service host
sensor(config-hos)# auto-upgrade
sensor(config-hos-aut)#
 

ステップ 3 センサーが Cisco.com または独自のファイル サーバで新しいアップグレードを定期的に検索するように設定します。

a. Cisco.com の場合は、次のようにします。ステップ 4 に進みます。

sensor(config-hos-aut)# cisco-server enabled
 

b. 独自のサーバの場合は、次のようにします。

sensor(config-hos-aut)# user-server enabled
 

c. ファイル サーバの IP アドレスを指定します。

sensor(config-hos-ena)# ip-address 10.1.1.1
 

d. アップグレード ファイルが置かれているファイル サーバ上のディレクトリを指定します。

sensor(config-hos-ena)# directory /tftpboot/sensor_updates
 

e. ファイル サーバのプロトコルを指定します。

sensor(config-hos-ena)# file-copy-protocol ftp
 

) SCP を使用する場合は、センサーが SSH を介してサーバと通信できるように、ssh host-key コマンドを使用してサーバを SSH の既知ホスト リストに追加する必要があります。


 

ステップ 4 認証用のユーザ名を指定します。

sensor(config-hos-ena)# user-name tester
 

ステップ 5 このユーザのパスワードを指定します。

sensor(config-hos-ena)# password
Enter password[]: ******
Re-enter password: ******
 

ステップ 6 スケジュールを指定します。

a. カレンダー スケジュールの場合は、指定された曜日の指定された時刻にアップグレードが開始されます。

sensor(config-hos-ena)# schedule-option calendar-schedule
sensor(config-hos-ena-cal)# days-of-week sunday
sensor(config-hos-ena-cal)# times-of-day 12:00:00
 

b. 定期スケジュールの場合は、指定された間隔でアップグレードが開始されます。

sensor(config-hos-ena)# schedule-option periodic-schedule
sensor(config-hos-ena-per)# interval 24
sensor(config-hos-ena-per)# start-time 13:00:00
 

ステップ 7 設定を確認できます。

sensor(config-hos-ena)# show settings
enabled
-----------------------------------------------
schedule-option
-----------------------------------------------
periodic-schedule
-----------------------------------------------
start-time: 13:00:00
interval: 24 hours
-----------------------------------------------
-----------------------------------------------
ip-address: 10.1.1.1
directory: /tftpboot/update/6.1_dummy_updates
user-name: tester
password: <hidden>
file-copy-protocol: ftp default: scp
-----------------------------------------------
sensor(config-hos-ena)#
 

ステップ 8 自動アップグレード サブモードを終了します。

sensor(config-hos-ena)# exit
sensor(config-hos)# exit
Apply Changes:?[yes]:
 

ステップ 9 Enter を押して変更内容を確定するか、 no を入力して、これらを破棄します。


 

詳細情報

サポートされる FTP サーバおよび HTTP/HTTPS サーバのリストについては、「サポートされる FTP サーバおよび HTTP/HTTPS サーバ」を参照してください。

信頼できるホスト リストにリモート ホストを追加するための手順については、IDM の場合は「 既知のホスト キーの定義 」を参照してください。IME の場合は「 既知のホスト キーの定義 」を参照してください。CLI の場合は「 SSH 既知ホスト リストへのホストの追加 」を参照してください。

センサーのダウングレード


注意 downgrade コマンドを使用して、Cisco IPS 7.2 から 7.1 へなど、以前のメジャー バージョンまたはマイナー バージョンに戻すことはできません。downgrade コマンドでは、最新のシグニチャ アップデートまたはシグニチャ エンジン アップデートからのダウングレードのみ可能です。7.1 に戻すには、センサーのイメージを再作成する必要があります。


) リカバリ パーティションを使用してセンサーをダウングレードすることはできません。以前のバージョンにダウングレードするには、適切なシステム イメージ ファイル(.img ファイル)をインストールする必要があります。


最後に適用されたシグニチャ アップグレードまたはシグニチャ エンジン アップグレードをセンサーから削除するには、 downgrade コマンドを使用します。

最後に適用されたシグニチャ アップデートまたはシグニチャ エンジン アップデートをセンサーから削除するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して次のようにセンサーにログインします。

ステップ 2 グローバル コンフィギュレーション モードを開始します。

sensor# configure terminal
 

ステップ 3 最近適用されたサービス パックまたはシグニチャ アップデートがない場合、 downgrade コマンドは使用できません。

sensor(config)# downgrade
No downgrade available.
sensor(config)#
 


 

アプリケーション パーティションの復旧

センサーのアプリケーション パーティション イメージが使用できなくなった場合は、復旧することができます。この方法を使用したときには、一部のネットワーク設定情報が保持されるため、復旧を実行した後もネットワークにアクセスできます。 recover application-partition コマンドを使用してリカバリ パーティションをブートすると、センサー上のアプリケーション パーティションが自動的に復旧されます。アプリケーション パーティション イメージを復旧する前にリカバリ パーティションを最新のバージョンにアップグレードしてある場合は、その最新のソフトウェア イメージをインストールできます。

recover application-partition コマンドは、Telnet 接続または SSH 接続を使用して実行できるため、リモート ロケーションにインストールされているセンサーを復旧する場合に使用することを推奨します。


) 復旧後にセンサーに再接続する場合は、デフォルトのユーザ名とパスワード cisco を使用してログインする必要があります。


アプリケーション パーティション イメージの復旧

アプリケーション パーティション イメージを復旧するには、次の手順を実行します。


ステップ 1 リカバリ パーティション イメージ ファイルをセンサーからアクセスできる FTP、HTTP、または HTTPS サーバにダウンロードします。

ステップ 2 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 3 コンフィギュレーション モードを開始します。

sensor# configure terminal
 

) リカバリ パーティションをアップグレードするには、センサーで IPS 7.2(1)E4 以上がすでに実行されている必要があります。


ステップ 4 アプリケーション パーティション イメージを復旧します。

sensor(config)# recover application-partition
Warning: Executing this command will stop all applications and re-image the node to version 7.2(1)E4. All configuration changes except for network settings will be reset to default.
Continue with recovery? []:
 

ステップ 5 yes と入力して続行します。 recover コマンドを実行すると、即座にシャットダウンが開始されます。シャットダウンには少し時間がかかることがあり、この間に CLI にアクセスできますが、アクセスは警告なしに終了します。

アプリケーション パーティションのイメージは、リカバリ パーティションに保存されているイメージを使用して再作成されます。ここで、 setup コマンドを使用してアプライアンスを初期化する必要があります。IP アドレス、ネットマスク、アクセス リスト、時間帯、およびオフセットは、保存されてから、イメージが再作成されたアプリケーション パーティションに適用されます。 recover application-partition コマンドをリモートで実行した場合は、デフォルトのユーザ名とパスワード( cisco / cisco )を使用してセンサーに SSH 接続し、 setup コマンドで再度センサーを初期化できます。Telnet は、デフォルトでディセーブルになっているため、センサーを初期化してからでなければ使用できません。


 

詳細情報

リカバリ パーティションを最新バージョンにアップグレードする手順については、 「リカバリ パーティションのアップグレード」を参照してください。

サポートされている TFTP サーバのリストについては、「TFTP サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、を参照してください。

setup コマンドの使用手順については、 付録 B「センサーの初期化」 を参照してください。

システム イメージのインストール

ここでは、システム イメージをアプライアンスおよびモジュールにインストールする手順について説明します。次の項目について説明します。

「ROMMON」

「TFTP サーバ」

「ターミナル サーバへのアプライアンスの接続」

「IPS 4345 および IPS 4360 システム イメージのインストール」

「IPS 4510 および IPS 4520 システム イメージのインストール」

「ASA 5500-X IPS SSP システム イメージのインストール」

「ASA 5585-X IPS SSP システム イメージのインストール」


注意 システム イメージをインストールすると、すべてのユーザ設定が失われます。システム イメージのインストールによるセンサーの復旧を試みる前に、recover application-partition コマンドを使用するか、またはセンサーの起動時にリカバリ パーティションを選択する方法による復旧を試みてください。

ROMMON

Cisco のセンサーには、ROMMON と呼ばれるプリブート CLI が含まれているものがあります。ROMMON を使用すると、プライマリ デバイス上のイメージの欠落や破損などが原因で標準のアプリケーションをブートできない場合に、センサー上のイメージをブートすることができます。ROMMON は、シリアル コンソール ポートが利用可能であれば、リモート センサーの復旧に特に有用です。

ROMMON へのアクセスは、センサー シャーシの RJ-45F コネクタで利用可能なシスコ標準の非同期 RS-232C DTE であるシリアル コンソール ポートを介してのみ可能です。シリアル ポートは、9600 ボー、8 データ ビット、1 ストップ ビット、パリティなし、フロー制御なしに設定されています。

詳細情報

ターミナル サーバの使用手順については、「ターミナル サーバへのアプライアンスの接続」を参照してください。

TFTP サーバ

ROMMON は TFTP を使用して、イメージをダウンロードして起動します。TFTP は、遅延やエラー リカバリなどのネットワークの問題は処理しません。TFTP は限定的なパケットの整合性チェックを実装するので、正しい整合性値を持つパケットが順に到着し、エラーが発生する可能性はきわめて低くなります。ただし、TFTP はパイプラインを提供しないので、転送の合計時間は、転送するパケットの数にネットワークの平均値 RTT を掛けた値と等しくなります。この制限があるため、TFTP サーバはセンサーと同じ LAN セグメントに配置することを推奨します。RTT が 100 ミリ秒未満のネットワークは、信頼性の高いイメージ配信を提供する必要があります。TFTP サーバによっては、転送可能なファイルの最大サイズが 32 MB に制限されている場合があります。

ターミナル サーバへのアプライアンスの接続

ターミナル サーバは複数の低速非同期ポートを持つルータです。この複数のポートは、他のシリアル デバイスに接続されています。ターミナル サーバを使用して、アプライアンスを含むネットワーク機器をリモートで管理することができます。

RJ-45 接続またはヒドラ ケーブル アセンブリ接続を使用して Cisco ターミナル サーバをセットアップするには、次の手順を実行します。


ステップ 1 次のいずれかの方法で、ターミナル サーバに接続します。

RJ-45 接続を行うターミナル サーバの場合、ロールオーバー ケーブルをアプライアンスのコンソール ポートからターミナル サーバのポートに接続します。

ヒドラ ケーブル アセンブリの場合、ストレート パッチ ケーブルをアプライアンスのコンソール ポートからターミナル サーバのポートに接続します。

ステップ 2 ターミナル サーバで、ラインとポートを設定します。イネーブル モードで次の設定を入力します。ここで、# は設定するポートの回線番号です。

config t
line #
login
transport input all
stopbits 1
flowcontrol hardware
speed 9600
exit
exit
wr mem
 

ステップ 3 アプライアンスへの不正アクセスを防ぐため、ターミナル セッションは確実に正しく終了してください。ターミナル セッションが正しく終了されていない場合、つまり、セッションを開始したアプリケーションから exit(0) 信号が受信されていない場合、ターミナル セッションは開いたままです。ターミナル セッションが正しく終了していない場合、そのシリアル ポート上で開かれる次のセッションでは、認証が実行されません。


注意 接続を確立するために使用したアプリケーションを終了する前に、必ずセッションを終了してログイン プロンプトに戻ってください。


注意 誤って接続が切断されたり終了した場合は、接続を再確立し、正しく終了して、アプライアンスに対する不正なアクセスを防ぎます。


 

IPS 4345 および IPS 4360 システム イメージのインストール


この手順は IPS 4345 を対象としていますが、IPS 4360 にも有効です。IPS 4360 のシステム イメージ ファイル名には「4360」が含まれます。


アプライアンスで ROMMON を使用して、システム イメージをコンパクト フラッシュ デバイスに TFTP でダウンロードすることにより、IPS 4345 および IPS 4360 のシステム イメージをインストールできます。

IPS 4345 および IPS 4360 システム イメージをインストールするには、次の手順を実行します。


ステップ 1 IPS 4345 からアクセスできる TFTP サーバの TFTP ルート ディレクトリに、IPS 4345 システム イメージ ファイルをダウンロードします。


) IPS 4345 のイーサネット ポートに接続されているネットワークから TFTP サーバの場所にアクセスできることを確認します。


ステップ 2 IPS 4345 をブートします。

Booting system, please wait...
 
CISCO SYSTEMS
Embedded BIOS Version 1.0(5)0 09/14/04 12:23:35.90
 
Low Memory: 631 KB
High Memory: 2048 MB
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 2578 Host Bridge
00 01 00 8086 2579 PCI-to-PCI Bridge
00 03 00 8086 257B PCI-to-PCI Bridge
00 1C 00 8086 25AE PCI-to-PCI Bridge
00 1D 00 8086 25A9 Serial Bus 11
00 1D 01 8086 25AA Serial Bus 10
00 1D 04 8086 25AB System
00 1D 05 8086 25AC IRQ Controller
00 1D 07 8086 25AD Serial Bus 9
00 1E 00 8086 244E PCI-to-PCI Bridge
00 1F 00 8086 25A1 ISA Bridge
00 1F 02 8086 25A3 IDE Controller 11
00 1F 03 8086 25A4 Serial Bus 5
00 1F 05 8086 25A6 Audio 5
02 01 00 8086 1075 Ethernet 11
03 01 00 177D 0003 Encrypt/Decrypt 9
03 02 00 8086 1079 Ethernet 9
03 02 01 8086 1079 Ethernet 9
03 03 00 8086 1079 Ethernet 9
03 03 01 8086 1079 Ethernet 9
04 02 00 8086 1209 Ethernet 11
04 03 00 8086 1209 Ethernet 5
 
Evaluating BIOS Options ...
Launch BIOS Extension to setup ROMMON
 
Cisco Systems ROMMON Version (1.0(5)0) #1: Tue Sep 14 12:20:30 PDT 2004
 
Platform IPS-4345-K9
Management0/0
 
MAC Address: 0000.c0ff.ee01
 

ステップ 3 システムの起動中に、次のプロンプトで Break または Esc を押して、ブートを中断します。ブートを即座に開始するには、スペースバーを押します。


) Break または Esc は 10 秒以内に押してください。


Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
 

システムが ROMMON モードに入ります。 rommon> プロンプトが表示されます。

ステップ 4 現在のネットワーク設定を確認します。

rommon> set
 
ROMMON Variable Settings:
ADDRESS=0.0.0.0
SERVER=0.0.0.0
GATEWAY=0.0.0.0
PORT=Management0/0
VLAN=untagged
IMAGE=
CONFIG=
 

変数の定義は次のとおりです。

Address:IPS 4345 のローカル IP アドレス。

Server:アプリケーション イメージが格納されている TFTP サーバの IP アドレス。

Gateway:IPS 4345 によって使用されるゲートウェイ IP アドレス。

Port:IPS 4345 の管理に使用されるイーサネット インターフェイス。

VLAN:VLAN ID 番号(タグなしのまま)。

Image:システム イメージ ファイル/パス名。

Config:これらのプラットフォームでは未使用。


) ネットワーク接続を確立するために、すべての値が必要なわけではありません。address、server、gateway、および image の値は必要です。ローカル環境を設定するために必要な設定がわからない場合は、システム管理者に連絡してください。


ステップ 5 必要に応じて、TFTP ダウンロードに使用するインターフェイスを変更します。


) TFTP ダウンロードに使用されるデフォルトのインターフェイスは Management 0/0 です。これは、IPS 4345 の MGMT インターフェイスに対応します。


rommon> PORT=interface_name
 

ステップ 6 必要に応じて、IPS 4345 上のローカル ポートの IP アドレスを割り当てます。

rommon> ADDRESS=ip_address
 

) IPS 4345 に割り当てられているものと同じ IP アドレスを使用します。


ステップ 7 TFTP サーバの IP アドレスを割り当てます。

rommon> SERVER=ip_address
 

ステップ 8 必要に応じて、ゲートウェイの IP アドレスを割り当てます。

rommon> GATEWAY=ip_address
 

ステップ 9 次のいずれかのコマンドを使用して、ローカル イーサネット ポートから ping を実行することにより、TFTP サーバにアクセスできることを確認します。

rommon> ping server_ip_address
rommon> ping server
 

ステップ 10 必要に応じて、イメージのダウンロード元である TFTP ファイル サーバ上のパスおよびファイル名を定義します。

rommon> IMAGE=path file_name
 

注意 IMAGE コマンドは、必ずすべて大文字で入力してください。他の ROMMON コマンドは小文字と大文字のどちらでも入力できますが、IMAGE コマンドはすべて大文字で入力する必要があります。

UNIX の例

rommon> IMAGE=system_images/IPS-4345-K9-sys-1.1-a-7.2-1-E4.img
 

) このパスは、UNIX TFTP サーバのデフォルト tftpboot ディレクトリからの相対パスです。デフォルトの tftpboot ディレクトリに置かれているイメージの IMAGE 指定には、ディレクトリ名もスラッシュも含まれていません。


Windows の例

rommon> IMAGE=system_images/IPS-4345-K9-sys-1.1-a-7.2-1-E4.img
 

ステップ 11 set と入力し、Enter を押して、ネットワーク設定を確認します。


sync コマンドを使用すると、これらの設定をブート後も維持されるように NVRAM に保存できます。保存しない場合は、ROMMON からイメージをブートするときに毎回この情報を入力する必要があります。


ステップ 12 システム イメージをダウンロードしてインストールします。

rommon> tftp
 

注意 システム イメージの破損を避けるために、システム イメージのインストール中は IPS 4345 の電源を切らないでください。


) ネットワーク設定が正しい場合、指定したイメージが IPS 4345 にダウンロードされ、ブートされます。必ず IPS 4345 イメージを使用してください。



 

詳細情報

サポートされている TFTP サーバのリストについては、「TFTP サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、を参照してください。

IPS 4510 および IPS 4520 システム イメージのインストール


) 次の手順は、PS 4510 に適用されますが、IPS 4520 についても有効です。


アプライアンスで ROMMON を使用して、システム イメージをコンパクト フラッシュ デバイスに TFTP でダウンロードすることにより、IPS 4510 および IPS 4520 のシステム イメージをインストールできます。

IPS 4510 システム イメージをインストールするには、次の手順を実行します。


ステップ 1 IPS 4510 からアクセスできる TFTP サーバの TFTP ルート ディレクトリに、IPS 4510 システム イメージ ファイルをダウンロードします。


) IPS 4510 の管理ポートに接続されているネットワークから TFTP サーバの場所にアクセスできることを確認します。


ステップ 2 IPS 4510 をブートします。

ステップ 3 システムの起動中に、次のプロンプトで Break または Esc を押して、ブートを中断します。ブートを即座に開始するには、スペースバーを押します。


) Break または Esc は 10 秒以内に押してください。


Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
 

システムが ROMMON モードに入ります。 rommon> プロンプトが表示されます。

ステップ 4 現在のネットワーク設定を確認します。

rommon> set
 
ROMMON Variable Settings:
ADDRESS=0.0.0.0
SERVER=0.0.0.0
GATEWAY=0.0.0.0
PORT=Management0/0
VLAN=untagged
IMAGE=
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=2
RETRY=20
 

変数の定義は次のとおりです。

Address:IPS 4510 のローカル IP アドレスを指定します。

Server:アプリケーション イメージが格納されている TFTP サーバの IP アドレスを指定します。

Gateway:IPS 4510 によって使用されるゲートウェイ IP アドレスを指定します。

Port:IPS 4510 の管理に使用されるイーサネット インターフェイスを指定します。

VLAN:VLAN ID 番号(タグなしのまま)を指定します。

Image:システム イメージ ファイル/パス名を指定します。

Config:これらのプラットフォームでは未使用。


) ネットワーク接続を確立するために、すべての値が必要なわけではありません。address、server、gateway、および image の値は必要です。ローカル環境を設定するために必要な設定がわからない場合は、システム管理者に連絡してください。


ステップ 5 必要に応じて、IPS 4510 上のローカル ポートの IP アドレスを割り当てます。

rommon> ADDRESS=ip_address
 

) IPS 4510 に割り当てられているものと同じ IP アドレスを使用します。


ステップ 6 必要に応じて、TFTP サーバの IP アドレスを割り当てます。

rommon> SERVER=ip_address
 

ステップ 7 必要に応じて、ゲートウェイの IP アドレスを割り当てます。

rommon> GATEWAY=ip_address
 

ステップ 8 次のいずれかのコマンドを使用して、ローカル イーサネット ポートから ping を実行することにより、TFTP サーバにアクセスできることを確認します。

rommon> ping server_ip_address
rommon> ping server
 

ステップ 9 必要に応じて、イメージのダウンロード元である TFTP ファイル サーバ上のパスおよびファイル名を定義します。

rommon> IMAGE=path/file_name
 

UNIX の例

rommon> IMAGE=/system_images/IPS-4510-K9-sys-1.1-a-7.2-1-E4.img
 

) このパスは、UNIX TFTP サーバのデフォルト tftpboot ディレクトリからの相対パスです。デフォルトの tftpboot ディレクトリに置かれているイメージの IMAGE 指定には、ディレクトリ名もスラッシュも含まれていません。


Windows の例

rommon> IMAGE=\system_images\IPS-4510-K9-sys-1.1-a-7.2-1-E4.img
 

ステップ 10 set と入力し、Enter を押して、ネットワーク設定を確認します。


sync コマンドを使用すると、これらの設定をブート後も維持されるように NVRAM に保存できます。保存しない場合は、ROMMON からイメージをブートするときに毎回この情報を入力する必要があります。


ステップ 11 システム イメージをダウンロードしてインストールします。

rommon> tftp
 

注意 システム イメージの破損を避けるために、システム イメージのインストール中は IPS 4510 の電源を切らないでください。


) ネットワーク設定が正しい場合、指定したイメージが IPS 4510 にダウンロードされ、ブートされます。必ず IPS 4510 イメージを使用してください。



 

詳細情報

サポートされている TFTP サーバのリストについては、「TFTP サーバ」を参照してください。

Cisco.com でソフトウェアを検索する手順については、を参照してください。

ASA 5500-X IPS SSP システム イメージのインストール


) 指定する TFTP サーバが、最大 60 MB のサイズのファイルを転送できることを確認してください。



) CLI 出力は、設定がどのように表示されるかを示す例です。オプションの設定選択、センサー モデル、およびインストールした IPS バージョンによって、正確に一致しません。


システム イメージを ASA 5500-X IPS SSP にインストールするには、次の手順を実行します。


ステップ 1 適応型セキュリティ アプライアンス からアクセスできる TFTP サーバの TFTP ルート ディレクトリに対応する IPS システム イメージ ファイルをダウンロードします。


) 適応型セキュリティ アプライアンスのイーサネット ポートに接続されているネットワークから TFTP サーバの場所にアクセスできることを確認します。


ステップ 2 適応型セキュリティ アプライアンスにログインします。

ステップ 3 イネーブル モードを開始します。

asa> enable
 

ステップ 4 IPS イメージを適応型セキュリティ アプライアンスの disk0 フラッシュにコピーします。

asa# copy tftp://192.0.2.0/directory/IPS-5545-K9-sys-1.1-a-7.2-1-E4.aip disk0:
 

ステップ 5 ASA 5500-X IPS SSP のイメージを作成します。

asa# sw-module module ips recover configure image disk0:/IPS-SSP_5545-K9-sys-1.1-a-7.2-1-E4.aip
 

ステップ 6 リカバリを実行します。イメージが TFTP サーバから ASA 5500-X IPS SSP に転送され、再起動されます。

asa# sw-module module ips recover boot
 

ステップ 7 完了するまでリカバリを定期的にチェックします。

asa# show module
 
Mod Card Type Model Serial No.
--- -------------------------------------------- ------------------ -----------
0 Cisco ASA 5545 Appliance with 8 GE ports, 1 ASA5545 ABC1234D56E
1 IPS 5545 Intrusion Protection System IPS5545 ABC1234D56E
 
Mod MAC Address Range Hw Version Fw Version Sw Version
--- --------------------------------- ------------ ------------ -------------
0 503d.e59c.6dc1 to 503d.e59c.6dca 1.0 8.6.1
ips 503d.e59c.6dcb to 503d.e59c.6dcb N/A N/A 7.2(1)E4
 
Mod SSM Application Name Status SSM Application Version
--- ------------------------------ ---------------- --------------------------
1 IPS Up 7.2(1)E4
 
Mod Status Data Plane Status Compatibility
--- ------------------ --------------------- -------------
0 Up Sys Not Applicable
1 Up Up
 
asa#
 

) 出力の [Status] フィールドは ASA 5500-X IPS SSP の動作ステータスを示します。ASA 5500-X IPS SSP の動作ステータスは、通常は「Up」と表示されます。適応型セキュリティ アプライアンスはアプリケーション イメージを ASA 5500-X IPS SSP に転送しますが、出力の [Status] フィールドには [Recover] と表示されます。適応型セキュリティ アプライアンスがイメージの転送を完了し、ASA 5500-X IPS SSP を再起動すると、新たに転送されたイメージが実行されます。



) リカバリ処理中にエラーが発生した場合、デバッグを実行するには、debug module-boot コマンドを使用して、システム イメージの再作成処理のデバッグをイネーブルにします。


ステップ 8 ASA 5500-X IPS SSP にセッション接続し、 setup コマンドで初期化します。


 

詳細情報

推奨されている TFTP サーバのリストについては、「TFTP サーバ」を参照してください。

setup コマンドを使用して ASA 5500-X IPS SSP を初期化する手順については、を参照してください。

ASA 5585-X IPS SSP システム イメージのインストール

ここでは、 hw-module コマンドまたは ROMMON を使用して ASA 5585-X IPS SSP システム イメージをインストールする方法について説明します。内容は次のとおりです。

「hw-module コマンドを使用した ASA 5585-X IPS SSP システム イメージのインストール」

「ROMMON を使用した ASA 5585-X IPS SSP システム イメージのインストール」

hw-module コマンドを使用した ASA 5585-X IPS SSP システム イメージのインストール


) 指定する TFTP サーバが、最大 60 MB のサイズのファイルを転送できることを確認してください。



) ネットワークとイメージのサイズに応じて、このプロセスは完了までに約 15 分間かかることがあります。



) CLI 出力は、設定がどのように表示されるかを示す例です。オプションの設定選択、センサー モデル、およびインストールした IPS バージョンによって、正確に一致しません。


システム イメージをインストールするには、適応型セキュリティ アプライアンス CLI を使用して TFTP サーバから ASA 5585-X IPS SSP へソフトウェア イメージを転送します。適応型セキュリティ アプライアンスは、ASA 5585-X IPS SSP の ROMMON アプリケーションとの通信によってイメージを転送できます。

ASA 5585-X IPS SSP ソフトウェア イメージをインストールするには、次の手順を実行します。


ステップ 1 適応型セキュリティ アプライアンス からアクセスできる TFTP サーバの TFTP ルート ディレクトリに、ASA 5585-X IPS SSP システム イメージ ファイルをダウンロードします。


) 適応型セキュリティ アプライアンスのイーサネット ポートに接続されているネットワークから TFTP サーバの場所にアクセスできることを確認します。


ステップ 2 適応型セキュリティ アプライアンスにログインします。

ステップ 3 イネーブル モードを開始します。

asa# enable
 

ステップ 4 ASA 5585-X IPS SSP のリカバリ設定を指定します。

asa (enable)# hw-module module 1 recover configure
 

) リカバリ設定に誤りがあった場合は、hw-module module 1 recover stop コマンドを使用してシステム イメージの再作成を停止してから、設定を修正できます。


ステップ 5 ソフトウェア イメージの TFTP URL を指定します。

Image URL [tftp://0.0.0.0/]:
 

Image URL [tftp://0.0.0.0/]: tftp://192.0.2.0/IPS-SSP_40-K9-sys-1.1-a-7.2-1-E4.img
 

ステップ 6 ASA 5585-X IPS SSP のコマンド/コントロール インターフェイスを指定します。


) ポート IP アドレスは、ASA 5585-X IPS SSP の管理 IP アドレスです。


Port IP Address [0.0.0.0]:
 

Port IP Address [0.0.0.0]: 10.89.149.231
 

ステップ 7 VLAN ID を 0 のままにします。

VLAN ID [0]:
 

ステップ 8 ASA 5585-X IPS SSP のデフォルト ゲートウェイを指定します。

Gateway IP Address [0.0.0.0]:
 

Gateway IP Address [0.0.0.0]: 10.89.149.254
 

ステップ 9 リカバリを実行します。ソフトウェア イメージが TFTP サーバから ASA 5585-X IPS SSP に転送され、IPS SSP が再起動されます。

asa# hw-module module 1 recover boot
 

ステップ 10 完了するまでリカバリを定期的にチェックします。


) ステータスは、リカバリ中は [Recovery] となり、インストールが完了すると [Up] になります。


asa# show module 1 details
Getting details from the Service Module, please wait...
ASA 5585-X IPS Security Services Processor-10 with 8GE
Model: ASA5585-SSP-IPS40
Hardware version: 1.0
Serial Number: JAF1350ABSL
Firmware version: 2.0(1)3
Software version: 7.2(1)E4
MAC Address Range: 8843.e12f.5414 to 8843.e12f.541f
App. name: IPS
App. Status: Up
App. Status Desc: Normal Operation
App. version: 7.2(1)E4
Data plane Status: Up
Status: Up
Mgmt IP addr: 192.0.2.0
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 10.89.148.254
Mgmt Access List: 10.0.0.0/8
Mgmt Access List: 64.0.0.0/8
Mgmt web ports: 443
Mgmt TLS enabled true
asa#
 

) 出力の [Status] フィールドは ASA 5585-X IPS SSP の動作ステータスを示します。ASA 5585-X IPS SSP の動作ステータスは、通常は [Up] となります。適応型セキュリティ アプライアンスが ASA 5585-X IPS SSP にソフトウェア イメージを転送している間は、出力の [Status] フィールドは [Recover] となります。適応型セキュリティ アプライアンスによるイメージの転送が完了し、ASA 5585-X IPS SSP が再起動されると、新たに転送されたイメージが実行されます。



) このプロセス中にエラーが発生した場合、デバッグを実行するには、debug module-boot コマンドを使用して、ソフトウェア インストール プロセスのデバッグをイネーブルにします。


ステップ 11 ASA 5585-X IPS SSP との間にセッションを確立します。

ステップ 12 cisco を 3 回入力し、新しいパスワードを 2 回入力します。

ステップ 13 setup コマンドを使用して ASA 5585-X IPS SSP を初期化します。


 

詳細情報

推奨されている TFTP サーバのリストについては、「TFTP サーバ」を参照してください。

setup コマンドを使用して ASA 5585-X IPS SSP を初期化する手順については、を参照してください。

ROMMON を使用した ASA 5585-X IPS SSP システム イメージのインストール

適応型セキュリティ アプライアンスで ROMMON を使用して、システム イメージを ASA 5585-X IPS SSP に TFTP でダウンロードすることにより、ASA 5585-X IPS SSP のシステム イメージをインストールできます。

ASA 5585-X IPS SSP システム イメージをインストールするには、次の手順を実行します。


ステップ 1 適応型セキュリティ アプライアンス からアクセスできる TFTP サーバの TFTP ルート ディレクトリに、ASA 5585-X IPS SSP システム イメージ ファイルをダウンロードします。


) 適応型セキュリティ アプライアンスのイーサネット ポートに接続されているネットワークから TFTP サーバの場所にアクセスできることを確認します。


ステップ 2 ASA 5585-X IPS SSP をブートします。

Booting system, please wait...
 
CISCO SYSTEMS
Embedded BIOS Version 0.0(2)10 11:16:38 04/15/10
Com KbdBuf SMM UsbHid Msg0 Prompt Pmrt Cache1 LowM ExtM HugeM Cache2 Flg Siz0 Amrt PMM PnpDsp Smbios Lpt0 Npx1 Apm Lp1 Acpi Typ Dbg Enb Mp MemReduce MemSync1 CallRoms MemSync2 DriveInit
 
 
Total memory : 12 GB
Total number of CPU cores : 8
Com Lp1 Admgr2 Brd10 Plx2 OEM0=7EFF5C74
Cisco Systems ROMMON Version (1.0(12)10) #0: Thu Apr 8 00:12:33 CDT 2010
 
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot interrupted.
 
Management0/0
Link is UP
MAC Address: 5475.d029.7fa9
 

ステップ 3 システムの起動中に、次のプロンプトで Break または Esc を押して、ブートを中断します。ブートを即座に開始するには、スペースバーを押します。


) Break または Esc は 10 秒以内に押してください。


Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
 

システムが ROMMON モードに入ります。 rommon> プロンプトが表示されます。

ステップ 4 現在のネットワーク設定を確認します。

rommon #0> set
ROMMON Variable Settings:
ADDRESS=0.0.0.0
SERVER=0.0.0.0
GATEWAY=0.0.0.0
PORT=Management0/0
VLAN=untagged
IMAGE=
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20
 

変数の定義は次のとおりです。

Address:ASA 5585-X IPS SSP のローカル IP アドレスを指定します。

Server:アプリケーション イメージが格納されている TFTP サーバの IP アドレスを指定します。

Gateway:ASA 5585-X IPS SSP によって使用されるゲートウェイ IP アドレスを指定します。

Port:ASA 5585-X IPS SSP の管理に使用されるイーサネット インターフェイスを指定します。

VLAN:VLAN ID 番号(タグなしのまま)を指定します。

Image:システム イメージ ファイル/パス名を指定します。

Config:これらのプラットフォームで未使用を指定します。


) ネットワーク接続を確立するために、すべての値が必要なわけではありません。address、server、gateway、および image の値は必要です。ローカル環境を設定するために必要な設定がわからない場合は、システム管理者に連絡してください。


ステップ 5 必要に応じて、TFTP ダウンロードに使用するインターフェイスを変更します。


) TFTP ダウンロードに使用されるデフォルトのインターフェイスは Management0/0 です。これは、ASA 5585-X IPS SSP の管理インターフェイスに対応します。


rommon> PORT=interface_name
 

ステップ 6 必要に応じて、ASA 5585-X IPS SSP 上のローカル ポートの IP アドレスを割り当てます。

rommon> ADDRESS=ip_address
 

) ASA 5585-X IPS SSP に割り当てられているものと同じ IP アドレスを使用します。


ステップ 7 必要に応じて、TFTP サーバの IP アドレスを割り当てます。

rommon> SERVER=ip_address
 

ステップ 8 必要に応じて、ゲートウェイの IP アドレスを割り当てます。

rommon> GATEWAY=ip_address
 

ステップ 9 次のいずれかのコマンドを使用して、ローカル イーサネット ポートから ping を実行することにより、TFTP サーバにアクセスできることを確認します。

rommon> ping server_ip_address
rommon> ping server
 

ステップ 10 必要に応じて、イメージのダウンロード元である TFTP ファイル サーバ上のパスおよびファイル名を定義します。

rommon> IMAGE=path/file_name
 

注意 IMAGE コマンドは、必ずすべて大文字で入力してください。他の ROMMON コマンドは小文字と大文字のどちらでも入力できますが、IMAGE コマンドはすべて大文字で入力する必要があります。

UNIX の例

rommon> IMAGE=/system_images/IPS-SSP_10-K9-sys-1.1-a-7.2-1-E4.img
 

) このパスは、UNIX TFTP サーバのデフォルト tftpboot ディレクトリからの相対パスです。デフォルトの tftpboot ディレクトリに置かれているイメージの IMAGE 指定には、ディレクトリ名もスラッシュも含まれていません。


Windows の例

rommon> IMAGE=\system_images\IPS-SSP_10-K9-sys-1.1-a-7.2-1-E4.img
 

ステップ 11 set と入力し、Enter を押して、ネットワーク設定を確認します。


sync コマンドを使用すると、これらの設定をブート後も維持されるように NVRAM に保存できます。保存しない場合は、ROMMON からイメージをブートするときに毎回この情報を入力する必要があります。


ステップ 12 システム イメージをダウンロードしてインストールします。

rommon> tftp
 

) ネットワーク設定が正しい場合、指定したイメージが ASA 5585-X IPS SSP にダウンロードされ、ブートされます。必ず ASA 5585-X IPS SSP イメージを使用してください。



注意 システム イメージの破損を避けるために、システム イメージのインストール中は ASA 5585-X IPS SSP の電源を切らないでください。


 

詳細情報

推奨されている TFTP サーバのリストについては、「TFTP サーバ」を参照してください。

setup コマンドを使用して ASA 5585-X IPS SSP を初期化する手順については、を参照してください。