ASDM を使用した Cisco ASA 5500 シリーズ コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、および ASA 5585-X 用ソフトウェア バージョン 8.4 および 8.6
ソフトウェアとコンフィギュレーションの管理
ソフトウェアとコンフィギュレーションの管理
発行日;2012/09/25 | 英語版ドキュメント(2012/06/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

ソフトウェアとコンフィギュレーションの管理

TFTP サーバへの実行コンフィギュレーションの保存

ファイルの管理

ファイル管理ツールへのアクセス

マウント ポイントの管理

CIFS/FTP マウント ポイントの追加または編集

CIFS マウント ポイントのアクセス

ファイル転送

ローカル PC とフラッシュ間でのファイル転送

リモート サーバとフラッシュ間でのファイル転送

Auto Update の設定

ポーリング スケジュールの設定

Auto Update サーバの追加または編集

ブート イメージおよび設定値の設定

ブート イメージの追加

ローカル PC からソフトウェアをアップグレードする

Cisco.com Wizard からのソフトウェアのアップグレード

システム再起動のスケジュール

コンフィギュレーション、イメージ、プロファイルのバックアップと復元(シングル モード)

コンフィギュレーションのバックアップ

ローカル CA サーバのバックアップ

コンフィギュレーションの復元

ソフトウェアのダウングレード

アクティベーション キーの互換性に関する情報

ダウングレードの実行

ソフトウェアとコンフィギュレーションの管理

この章では 、ASA ソフトウェアおよびコンフィギュレーションを管理する方法について説明します。次の項目を取り上げます。

「TFTP サーバへの実行コンフィギュレーションの保存」

「ファイルの管理」

「Auto Update の設定」

「ブート イメージおよび設定値の設定」

「ローカル PC からソフトウェアをアップグレードする」

「Cisco.com Wizard からのソフトウェアのアップグレード」

「システム再起動のスケジュール」

「コンフィギュレーション、イメージ、プロファイルのバックアップと復元(シングル モード)」

「ソフトウェアのダウングレード」

TFTP サーバへの実行コンフィギュレーションの保存

この機能により、現在の実行コンフィギュレーション ファイルのコピーを TFTP サーバに保存します。

実行コンフィギュレーションを TFTP サーバに保存するには、次の手順を実行します。


ステップ 1 メイン ASDM アプリケーション ウィンドウで、[File] > [Save Running Configuration to TFTP Server] の順に選択します。

[Save Running Configuration to TFTP Server] ダイアログボックスが表示されます。

ステップ 2 TFTP サーバの IP アドレスと、コンフィギュレーション ファイルの保存先となる TFTP サーバ上のファイル パスを入力して、[Save Configuration] をクリックします。


) デフォルトの TFTP 設定を行うには、[Configuration] > [Device Management] > [Management Access] > [File Access] > [TFTP Client] の順に選択します。この設定を行った後は、このダイアログボックスに、TFTP サーバの IP アドレスと TFTP サーバ上でのファイル パスが自動的に表示されます。



 

ファイルの管理

ASDM には、基本的なファイル管理タスクを実行するのに便利なファイル管理ツール セットが用意されています。ファイル管理ツールにより、フラッシュ メモリに保存されているファイルの表示、移動、コピー、および削除、ファイルの転送、およびリモート ストレージ デバイス(マウント ポイント)のファイルの管理を行うことができます。


) マルチコンテキスト モードの場合、このツールはシステムのセキュリティ コンテキストでだけ使用できます。


この項は、次の内容で構成されています。

「ファイル管理ツールへのアクセス」

「マウント ポイントの管理」

「ファイル転送」

ファイル管理ツールへのアクセス

ファイル管理ツールを使用するには、次の手順を実行します。


ステップ 1 メイン ASDM アプリケーション ウィンドウで、[Tools] > [File Management] の順に選択します。

[File Management] ダイアログボックスが表示されます。

[Folders] ペインには、ディスク上にあるフォルダが表示されます。

[Flash Space] は、フラッシュ メモリの合計容量と、使用可能なメモリ容量を示します。

[Files] 領域には、選択したフォルダのファイルについて次の情報が表示されます。

パス

ファイル名

サイズ(バイト単位)

修正時刻

選択したファイルの種類(ブート コンフィギュレーション、ブート イメージ ファイル、ASDM イメージ ファイル、SVC イメージ ファイル、CSD イメージ ファイル、または APCF イメージ ファイル)を示す、ステータス

ステップ 2 選択したファイルをブラウザに表示するには、[View] をクリックします。

ステップ 3 選択したファイルを切り取って別のディレクトリに貼り付けるには、[Cut] をクリックします。

ステップ 4 選択したファイルをコピーして別のディレクトリに貼り付けるには、[Copy] をクリックします。

ステップ 5 コピーしたファイルを選択した場所に貼り付けるには、[Paste] をクリックします。

ステップ 6 選択したファイルをフラッシュ メモリから削除するには、[Delete] をクリックします。

ステップ 7 ファイルの名前を変更するには、[Rename] をクリックします。

ステップ 8 ファイルを保存するディレクトリを新規作成するには、[New Directory] をクリックします。

ステップ 9 [File Transfer] ダイアログボックスを開くには、[File Transfer] をクリックします。詳細については、 「ファイル転送」 を参照してください。

ステップ 10 [Manage Points] ダイアログボックスを開くには、[Mount Points] をクリックします。詳細については、「マウント ポイントの管理」を参照してください。


 

マウント ポイントの管理

この機能により、CIFS または FTP 接続を使用して、ネットワーク ファイル システムのリモート ストレージ(マウント ポイント)を設定できます。このダイアログボックスには、マウント ポイント、接続タイプ、サーバ名または IP アドレス、およびイネーブルにされた設定(yes または no)の一覧が表示されます。マウント ポイントは、追加、編集、または削除できます。詳細については、「CIFS/FTP マウント ポイントの追加または編集」を参照してください。作成後に、CIFS マウント ポイントにアクセスできます。詳細については、「CIFS マウント ポイントのアクセス」を参照してください。


) シングル ルーテッド モードの PIX 535 セキュリティ アプライアンスでは、Managing Mount Point 機能を使用できません。


この項は、次の内容で構成されています。

「CIFS/FTP マウント ポイントの追加または編集」

「CIFS マウント ポイントのアクセス」

CIFS/FTP マウント ポイントの追加または編集

CIFS マウント ポイントを追加するには、次の手順を実行します。


ステップ 1 [Add] をクリックし、[CIFS Mount Point] を選択します。

[Add CIFS Mount Point] ダイアログボックスが表示されます。

[Enable mount point] チェックボックスは、デフォルトで自動的にオンになります。

ステップ 2 該当するフィールドに、マウント ポイント、サーバ名または IP アドレス、および共有名を入力します。

ステップ 3 [Authentication] セクションで、NT ドメイン、ユーザ名、およびパスワードを入力し、続いてパスワードを確認します。

ステップ 4 [OK] をクリックします。


 

FTP マウント ポイントを追加するには、次の手順を実行します。


ステップ 1 [Add] をクリックし、[FTP Mount Point] を選択します。

[Add FTP Mount Point] ダイアログボックスが表示されます。

[Enable mount point] チェックボックスは、デフォルトで自動的にオンになります。

ステップ 2 該当するフィールドに、マウント ポイント名と、サーバ名または IP アドレスを入力します。

ステップ 3 [FTP Mount Options] 領域で、[Active Mode] または [Passive Mode] オプションをクリックします。

ステップ 4 リモート ストレージをマウントするパスを入力します。

ステップ 5 [Authentication] 領域で、NT ドメイン、ユーザ名、およびパスワードを入力し、続いてパスワードを確認します。

ステップ 6 [OK] をクリックします。


 

CIFS マウント ポイントを編集するには、次の手順を実行します。


ステップ 1 変更する CIFS マウント ポイントを選択し、[Edit] をクリックします。

[Edit CIFS Mount Point] ダイアログボックスが表示されます。


) CIFS マウント ポイントは変更できません。


ステップ 2 残りの設定に変更を加え、変更が終了したら [OK] をクリックします。


 

FTP マウント ポイントを編集するには、次の手順を実行します。


ステップ 1 変更する FTP マウント ポイントを選択し、[Edit] をクリックします。

[Edit FTP Mount Point] ダイアログボックスが表示されます。


) FTP マウント ポイントは変更できません。


ステップ 2 残りの設定に変更を加え、変更が終了したら [OK] をクリックします。


 

CIFS マウント ポイントのアクセス

作成後に CIFS マウント ポイントにアクセスするには、次の手順を実行します。


ステップ 1 ASA CLI を起動します。

ステップ 2 mount name of mount type cifs コマンドを入力し、マウントを作成します。

ステップ 3 show run mount コマンドを入力します。

次の出力が表示されます。


) この例では、マウント名は win2003 です。


server kmmwin2003
share sharefolder
username webvpnuser2
password ********
status enable
 

ステップ 4 dir コマンドを入力し、イネーブルになっているすべてのマウントをサブディレクトリとして表示します。これは、Windows PC でドライブをマウントするのに似ています。たとえば、次の出力結果(FTP2003:、FTPLINUX:、および win2K:)は設定されたマウントです。

次に、dir コマンドの出力例を示します。

FTP2003: Directory or file name
FTPLINUX: Directory or file name
WIN2003: Directory or file name
all-filesystems List files on all filesystems
disk0: Directory or file name
disk1: Directory or file name
flash: Directory or file name
system: Directory or file name
win2K: Directory or file name
 

ステップ 5 そのマウントに対して dir コマンドを入力します(たとえば、dir WIN2003)。そして、フラッシュ メモリ(disk0:)からリストされたマウントのいずれかへ、またはマウントからフラッシュメモリへファイルをコピーします。

次に、dir WIN2003 コマンドの出力例を示します。

Directory of WIN2003:/
---- 14920928 08:33:36 Apr 03 2009 1_5_0_01-windows-i586-p.exe
---- 33 11:27:16 Jun 07 2007 AArenameIE70
---- 28213021 15:15:22 Apr 03 2009 atest2(3).bin
---- 61946730 12:09:40 Mar 17 2009 atest2.bin
---- 5398366 14:52:10 Jul 28 2008 atest222.bin
---- 2587728 10:07:44 Dec 06 2005 cCITRIXICA32t.exe
---- 1499578 15:26:50 Dec 02 2005 ccore.exe
---- 61946728 11:40:36 Dec 09 2005 CIFSTESTT.bin
---- 2828 13:46:04 May 11 2009 ClientCert.pfx
d--- 16384 14:48:28 Mar 20 2007 cookiefolder
---- 4399 15:58:46 Jan 06 2006 Cookies.plist
---- 2781710 12:35:00 Dec 12 2006 coreftplite1.3.exe
---- 0 10:22:52 Jul 13 2007 coreftplite1.3.exe.download
---- 245760 15:13:38 Dec 21 2005 Dbgview.exe
---- 1408249 11:01:34 Dec 08 2005 expect-5.21r1b1-setup.exe
d--- 16384 14:49:14 Jul 28 2008 folder157
---- 101 09:33:48 Dec 12 2005 FxSasser.log
---- 2307104 09:54:12 Dec 12 2005 ica32t.exe
---- 8732552 10:14:32 Apr 29 2009 iclientSetup_IFen_flex51.exe
d--- 16384 08:32:46 Apr 03 2009 IE8withVistaTitan
---- 15955208 08:34:18 Aug 14 2007 j2re.exe
---- 16781620 13:38:22 Jul 23 2008 jre-1_5_0_06-windows-i586-p.exe
<--- More --->
 


 

ファイル転送

File Transfer ツールにより、ローカルにあるファイルとリモートにあるファイルを転送できます。PC またはフラッシュ ファイル システムのローカル ファイルをASAとの間で転送できます。HTTP、HTTPS、TFTP、FTP、または SMB を使用して、ASAとの間でファイルを転送できます。


) IPS SSP ソフトウェア モジュールの場合、IPS ソフトウェアを disk0 にダウンロードする前に、フラッシュ メモリに少なくとも 50% の空きがあることを確認してください。IPS をインストールすると、IPS によって内部フラッシュ メモリの 50% がファイル システム用に予約されます。


「ローカル PC とフラッシュ間でのファイル転送」

「リモート サーバとフラッシュ間でのファイル転送」

ローカル PC とフラッシュ間でのファイル転送

ローカル PC とフラッシュ ファイル システムとの間でファイルを転送するには、次の手順を実行します。


ステップ 1 メイン ASDM アプリケーション ウィンドウで、[Tools] > [File Management] の順に選択します。

[File Management] ダイアログボックスが表示されます。

ステップ 2 [File Transfer] の横にある下矢印をクリックし、続いて [Between Local PC and Flash] をクリックします。

[File Transfer] ダイアログボックスが表示されます。

ステップ 3 ローカル PC またはフラッシュ ファイル システムのどちらかで、アップロードまたはダウンロードしたいファイルを選択し、目的の場所に ドラッグ します。または、ローカル PC またはフラッシュ ファイル システムのどちらかで、アップロードまたはダウンロードしたいファイルを選択し、右矢印または左矢印をクリックし、目的の場所にファイルを転送します。

ステップ 4 完了したら [Close] をクリックします。


 

リモート サーバとフラッシュ間でのファイル転送

リモート サーバとフラッシュ ファイル システムとの間でファイルを転送するには、次の手順を実行します。


ステップ 1 メイン ASDM アプリケーション ウィンドウで、[Tools] > [File Management] の順に選択します。

[File Management] ダイアログボックスが表示されます。

ステップ 2 [File Transfer] ドロップダウン リストで下矢印をクリックし、[Between Remote Server and Flash] をクリックします。

[File Transfer] ダイアログボックスが表示されます。

ステップ 3 リモート サーバからファイルを転送するには、[Remote server] オプションをクリックします。

ステップ 4 転送対象になるソース ファイルを定義します。

a. サーバの IP アドレスを含めたファイルの場所へのパスを選択します。


) ファイル転送は IPv4 および IPv6 のアドレスをサポートしています。


b. FTP の場合はリモート サーバのタイプを、HTTP または HTTPS の場合はリモート サーバのポート番号を入力します。有効な FTP タイプは次のとおりです。

ap:パッシブ モードの ASCII ファイル

an:非パッシブ モードの ASCII ファイル

ip:パッシブ モードのバイナリ イメージ ファイル

in:非パッシブ モードのバイナリ イメージ ファイル

ステップ 5 フラッシュ ファイル システムからファイルを転送するには、[Flash file system] オプションを選択します。

ステップ 6 ファイルの場所へのパスを入力するか、[Browse Flash] をクリックしてファイルの場所を指定します。

ステップ 7 また、CLI により、スタートアップ コンフィギュレーション、実行コンフィギュレーション、または SMB ファイル システムからファイルをコピーすることもできます。 copy コマンドの使用方法については、『CLI 設定ガイド』を参照してください。

ステップ 8 転送するファイルの宛先を定義します。

a. フラッシュ ファイル システムにファイルを転送するには、[Flash file system] オプションを選択します。

b. ファイルの場所へのパスを入力するか、[Browse Flash] をクリックしてファイルの場所を指定します。

ステップ 9 リモート サーバにファイルを転送するには、[Remote server] オプションを選択します。

a. ファイルの場所へのパスを入力します。

b. FTP 転送の場合はタイプを入力します。有効なタイプは次のとおりです。

ap:パッシブ モードの ASCII ファイル

an:非パッシブ モードの ASCII ファイル

ip:パッシブ モードのバイナリ イメージ ファイル

in:非パッシブ モードのバイナリ イメージ ファイル

ステップ 10 [Transfer] をクリックしてファイル転送を開始します。

[Enter Username and Password] ダイアログボックスが表示されます。

ステップ 11 リモート サーバのユーザ名、パスワード、ドメイン(必要な場合)が表示されます。

ステップ 12 [OK] をクリックし、ファイル転送を続行します。

ファイル転送プロセスには数分かかる場合があります。必ず終了するまでお待ちください。

ステップ 13 ファイル転送が完了したら [Close] をクリックします。


 

Auto Update の設定

この項は、次の内容で構成されています。

「ポーリング スケジュールの設定」

「Auto Update サーバの追加または編集」

[Auto Update] ペインでは、ASAを、Auto Update 仕様をサポートするサーバによってリモートで管理されるように設定できます。Auto Update を利用すると、ASAにコンフィギュレーションの変更を適用したり、離れた場所からソフトウェア アップデートを取得したりできます。

Auto Update は、次のように、管理者が ASA の管理で直面するさまざまな問題を解決できる便利な機能です。

ダイナミック アドレッシングおよび NAT に関する問題点の解決。

コンフィギュレーションの変更を 1 つのアクションでコミット。

ソフトウェア更新用の信頼度の高い方式の提供。

ハイ アベイラビリティ用の十分実績のある方式の活用(フェールオーバー)。

オープン インターフェイスによる柔軟性の提供。

サービス プロバイダー環境のセキュリティ ソリューションの簡素化。

Auto Update 仕様は、中央、または複数の場所から、リモート管理アプリケーションによりASAのコンフィギュレーションやソフトウェア イメージをダウンロードしたり、基本的な監視機能を実行したりする場合に必要なインフラストラクチャです。

Auto Update 仕様に従うことで、Auto Update サーバは ASA にコンフィギュレーション情報をプッシュしたり、要求を送信して情報を取得したりできます。また、ASA から Auto Update サーバへ定期的にポーリングさせ、最新のコンフィギュレーション情報を送ることもできます。また、Auto Update サーバはいつでも ASA にコマンドを送信し、ただちにポーリング要求を送信させることもできます。Auto Update サーバと ASA 間の通信では、通信パスとローカル CLI コンフィギュレーションをすべての ASA に設定する必要があります。

特記事項

ASA のコンフィギュレーションが Auto Update で更新されても、ASDM には通知されません。[Refresh] または [File] > [Refresh ASDM with the Running Configuration on the Device] を選択して、最新のコンフィギュレーションを取得する必要があります。また、ASDM でコンフィギュレーションに加えた変更は失われます。

HTTPS が Auto Update サーバと通信するプロトコルとして選択されている場合、ASA は、DES または 3DES ライセンスが ASA で必要となる SSL を使用します。

Auto Update 機能を設定するには、[Configuration] > [Device Management] > [System Image/Configuration] > [Auto Update] を選択します。[Auto Update] ペインには、[Auto Update Servers] テーブルの他に [Timeout] 領域と [Polling] 領域があります。

[Auto Update Servers] テーブルで、Auto Update サーバにすでに設定されているパラメータを確認できます。ASAは、テーブルの一番上にあるサーバを最初にポーリングします。テーブル内のサーバの順序を変更するには、[Move Up] または [Move Down] をクリックします。[Auto Update Servers] テーブルには次のカラムがあります。

[Server]:Auto Update サーバの名前または IP アドレス。

[User Name]:Auto Update サーバのアクセス時に使用されるユーザ名。

[Interface]:Auto Update サーバへの要求送信時に使用されるインターフェイス。

[Verify Certificate]:Auto Update サーバが返した証明書を、ASA で CA のルート証明書と照合して確認するかどうかを指定します。Auto Update サーバおよび ASA は、同じ CA を使用する必要があります。

[Auto Update Server] テーブルの行のいずれかをダブルクリックすると、[Edit Auto Update Server] ダイアログボックスが開き、Auto Update サーバのパラメータを変更できます。ここで行った変更はただちにテーブルに反映されますが、コンフィギュレーションに保存するには [Apply] をクリックする必要があります。

[Timeout] 領域では、ASA が Auto Update サーバのタイムアウトを待つ時間を設定できます。[Timeout] 領域には次のフィールドがあります。

[Enable Timeout Period]:ASA が Auto Update サーバから応答を受信しなかった場合にタイムアウトするには、オンにします。

[Timeout Period (Minutes)]:Auto Update サーバから応答がなかった場合に ASA がタイムアウトする時間(分単位)を指定します。

[Polling] 領域で、ASA から Auto Update サーバの情報をポーリングする頻度を設定できます。[Polling] 領域には次のフィールドがあります。

[Polling Period (minutes)]:ASA から Auto Update サーバに新しい情報をポーリングするときの待ち時間(分単位)。

[Poll on Specified Days]:ポーリングのスケジュールを指定します。

[Set Polling Schedule]:[Set Polling Schedule] ダイアログボックスが表示され、Auto Update サーバをポーリングする日付と時刻を設定できます。

[Retry Period (minutes)]:サーバのポーリングに失敗した場合、ASA から Auto Update サーバに新しい情報をポーリングするまでの待ち時間(分単位)。

[Retry Count]:ASA から Auto Update サーバに新しい情報をポーリングするときの再試行回数。

ポーリング スケジュールの設定

[Set Polling Schedule] ダイアログボックスでは、ASA から Auto Update サーバをポーリングする特定の日付と時刻を設定できます。

[Set Polling Schedule] ダイアログボックスには次のフィールドがあります。

[Days of the Week]:ASA から Auto Update サーバをポーリングする曜日のチェックボックスをオンにします。

[Daily Update] ペイン グループでは、ASA が Auto Update サーバをポーリングする時刻を設定できます。次のフィールドがあります。

[Start Time]:Auto Update のポーリング開始時刻を入力します。

[Enable randomization]:ASA から Auto Update サーバをランダムに選択した時刻にポーリングする場合は、オンにします。

Auto Update サーバの追加または編集

[Add/Edit Auto Update Server] ダイアログボックスには次のフィールドがあります。

[URL]:Auto Update サーバが ASA と通信する際に使用する、HTTP または HTTPS のプロトコルと Auto Update サーバへのパス。

[Interface]:Auto Update サーバに要求を送信する際に使用するインターフェイス。

[Verify Certificate]:ASA が Auto Update サーバにより返された証明書を CA のルート証明書と比較して検証できるようにする場合にクリックします。Auto Update サーバおよび ASA は、同じ CA を使用する必要があります。

[User] 領域には次のフィールドがあります。

[User Name (Optional)]:Auto Update サーバのアクセス時に必要なユーザ名を入力します。

[Password]:Auto Update サーバのユーザ パスワードを入力します。

[Confirm Password]:Auto Update サーバのユーザ パスワードを再入力します。

[Use Device ID to uniquely identify the ASA]:デバイス ID による認証をイネーブルにします。デバイス ID により、ASA が Auto Update サーバを一意に識別できます。

[Device ID]:使用するデバイス ID のタイプ。

[Hostname]:ホストの名前。

[Serial Number]:デバイスのシリアル番号。

[IP Address on interface]:選択したインターフェイスの IP アドレス。ASA を Auto Update サーバが一意に識別する場合に使用します。

[MAC Address on interface]:選択したインターフェイスの MAC アドレス。ASA を Auto Update サーバが一意に識別する場合に使用します。

[User-defined value]:一意のユーザ ID。

ブート イメージおよび設定値の設定

[Boot Image/Configuration] ペインでは、イメージ ファイルを選択して、そのファイルから ASA をブートできます。また、起動時に使用するコンフィギュレーション ファイルもここで選択できます。[Configuration] > [Device Management] > [System Image/Configuration] > [Boot Image/Configuration] を選択します。

起動イメージとして使用するバイナリ イメージ ファイルは、ローカルから 4 つまで指定できます。また TFTP サーバのイメージを 1 つ指定し、そこからデバイスをブートできます。TFTP サーバに格納されているイメージを指定する場合は、そのファイルをリスト内の先頭に配置する必要があります。デバイスが、イメージのロード元の TFTP サーバに到達できない場合は、フラッシュ メモリに保存されているリスト内の次のイメージ ファイルのロードが試行されます。

ブート変数を指定しなければ、内部フラッシュ メモリの先頭にある有効なイメージからシステムがブートされます。[Boot Image/Configuration] ペインには、次のフィールドがあります。

[Boot Order]:ブート時に使用されるバイナリ イメージ ファイルの順序を表示します。

[Boot Image Location]:ブート ファイルの物理的な場所とパスを表示します。

[Boot Configuration File Path]:コンフィギュレーション ファイルの場所を表示します。

[Add]:ブート プロセスで使用するフラッシュ メモリまたは TFTP サーバのブート イメージ エントリを追加します。詳細については、「ブート イメージの追加」を参照してください。

[Edit]:フラッシュ メモリまたは TFTP サーバのイメージ エントリを編集します。

[Delete]:フラッシュ メモリまたは TFTP サーバの選択されたイメージ エントリを削除します。

[Move Up]:フラッシュ メモリまたは TFTP サーバの選択されたイメージ エントリの、ブート順序を上に移動します。

[Move Down]:フラッシュ メモリまたは TFTP サーバの選択されたイメージ エントリの、ブート順序を下に移動します。

[Browse Flash]:ブート イメージ ファイルまたはコンフィギュレーション ファイルの場所を指定します。

[ASDM Image File Path]:起動時に使用するコンフィギュレーション ファイルの場所を表示します。

ブート イメージの追加

ブート イメージ エントリをブート順序リストに追加するには、[Boot Image/Configuration] ペインの [Add] をクリックします。

フラッシュ メモリまたは TFTP サーバのイメージを選択して、ブート イメージをブート順序リストに追加できます。

イメージのパスを入力するか [Browse Flash] をクリックして、イメージの場所を指定します。TFTP の場合、イメージの場所のパスを入力する必要があります。

[Flash Image]:フラッシュ ファイル システムのブート イメージを選択して追加します。

[Path]:フラッシュ ファイル システムにあるブート イメージのパスを指定します。

[TFTP Image]:TFTP サーバのブート イメージを選択して追加します。

[Path]:サーバの IP アドレスを含む、TFTP サーバ上のブート イメージ ファイルのパスを入力します。

[OK]:変更内容を受け入れて、前のペインに戻ります。

[Cancel]:変更内容を破棄して、前のペインに戻ります。

[Help]:詳細情報を表示します。

ローカル PC からソフトウェアをアップグレードする

Upgrade Software from Local Computer ツールにより、PC からフラッシュ メモリにイメージ ファイルをアップロードし、ASAをアップグレードできます。

PC からソフトウェアをアップグレードするには、次の手順を実行します。


ステップ 1 メイン ASDM アプリケーション ウィンドウで、[Tools] > [Upgrade Software from Local Computer] の順に選択します。

[Upgrade Software from Local Computer] ダイアログボックスが表示されます。

ステップ 2 ドロップダウン リストから、アップロードするイメージ ファイルを選択します。

ステップ 3 PC 上のファイルへのローカル パスを入力するか、または [Browse Local Files] をクリックして PC 上のファイルを指定します。

ステップ 4 フラッシュ ファイル システムへのパスを入力するか、または [Browse Flash] をクリックしてフラッシュ ファイル システムのディレクトリまたはファイルを指定します。

ステップ 5 [Image to Upload] をクリックします。アップグレード プロセスには数分かかる場合があります。必ず終了するまでお待ちください。


 

Cisco.com Wizard からのソフトウェアのアップグレード

Upgrade Software from Cisco.com Wizard により、ASDM およびASAを最新のバージョンに自動的にアップグレードできます。


) この機能は、シングル モード、およびマルチ セキュリティ モードのシステム スペースでのみ使用できます。ユーザ コンテキストや管理コンテキストでは使用できません。


このウィザードでは、次の操作を実行できます。

アップグレード用の ASA イメージ ファイルまたは ASDM イメージ ファイルを選択する。

実行したアップグレードの変更点を確認する。

イメージをダウンロードし、インストールする。

インストールのステータスを確認する。

インストールが正常に完了した場合は、ASA を再起動して、コンフィギュレーションを保存し、アップグレードを完了する。

Cisco.com からソフトウェアをアップグレードするには、次の手順を実行します。


ステップ 1 メイン ASDM アプリケーション ウィンドウで、[Tools] > [Check for ASA/ASDM Updates] を選択します。

[Cisco.com Authentication] ダイアログボックスが表示されます。

ステップ 2 割り当てられている Cisco.com ユーザ名、および Cisco.com パスワードを入力し、[Login] をクリックします。

[Status] ダイアログボックスが表示され、ASDM が Upgrade Wizard をロード中であることが示されます。[Cisco.com Upgrade Wizard] が表示されます。[Overview] 画面に、イメージ アップグレード インストール プロセスの手順が表示されます。

ステップ 3 [Next] をクリックして [Select Software] 画面を表示します。

現在の ASA バージョンおよび ASDM バージョンが表示されます。

ステップ 4 ASA バージョンおよび ASDM バージョンをアップグレードするには、次の手順を実行します。

a. [ASA] 領域で、[Upgrade to] チェックボックスをオンにしてから、アップグレードする ASA バージョンをドロップダウン リストから選択します。

b. [ASDM] 領域で、[Upgrade to] チェックボックスをオンにしてから、アップグレードする ASDM バージョンをドロップダウン リストから選択します。


) ASA バージョン リストまたは ASDM バージョン リストが空の場合は、使用可能な新しい ASA イメージまたは ASDM イメージは存在せず、デバイス ソフトウェアが最新のものであることを示す文が表示されます。この文が表示されたら、ウィザードを終了できます。


ステップ 5 [Next] をクリックして [Review Changes] 画面を表示します。

ステップ 6 次の項目を確認します。

ダウンロードした ASA イメージ ファイルや ASDM イメージ ファイルが正しいファイルであること。


) ASDM は最新のイメージ バージョンをダウンロードし、そこにはビルド番号が含まれています。たとえば、8.4.2 をダウンロードした場合、そのダウンロードは 8.4.2.8 になります。この動作は想定されているため、計画したアップグレードを続行できます。


アップロードする ASA イメージ ファイルや ASDM イメージ ファイルが正しいファイルであること。

正しい ASA ブート イメージが選択されていること。

ステップ 7 [Next] をクリックして、アップグレード インストールを開始します。

アップグレード インストールの進行状況を示すステータスを表示できます。

[Results] 画面が表示され、アップグレード インストール ステータス(成功または失敗)など、追加の詳細が示されます。

バージョン 8.2(1) からバージョン 8.3(1) へのアップグレード プロセス時に、次のファイルがフラッシュ メモリに自動的に保存されます。

スタートアップ コンフィギュレーション

コンテキストごとのコンフィギュレーション

移行メッセージが含まれるブートアップ エラー ログ

コンフィギュレーション ファイルを保存するにはメモリが不足している場合は、ASA のコンソール上にエラー メッセージが表示され、ブートアップ エラー ログ ファイルに保存されます。また、以前保存されたすべてのコンフィギュレーション ファイルは削除されます。

ステップ 8 アップグレード インストールが成功した場合に、アップグレード バージョンを有効にするには、[Save configuration and reload device now] チェックボックスをオンにして、ASA を再起動し、ASDM を再起動します。

ステップ 9 [Finish] をクリックして、ウィザードを終了し、コンフィギュレーションに対して行った変更を保存します。


) 次に高いバージョン(存在する場合)にアップグレードするには、ウィザードを再起動する必要があります。



 

システム再起動のスケジュール

System Reload ツールにより、システムの再起動をスケジュールしたり、現在の再起動をキャンセルしたりできます。

再起動をスケジュールするには、次の手順を実行します。


ステップ 1 メイン ASDM アプリケーション ウィンドウで、[Tools] > [System Reload] の順に選択します。

ステップ 2 [Reload Scheduling] 領域で、次の設定を定義します。

a. [Configuration State] では、再起動時に実行コンフィギュレーションを保存するか、破棄するかのどちらかを選択します。

b. [Reload Start Time] では、次のオプションから選択します。

再起動をただちに実行するには、[Now] をクリックします。

指定した時間だけ再起動を遅らせるには、[Delay by] をクリックします。再起動開始までの時間を、時間と分単位、または分単位だけで入力します。

指定した時刻と日付に再起動を実行するようにスケジュールするには、[Schedule at] をクリックします。再起動の実行時刻を入力し、再起動のスケジュール日を選択します。

c. [Reload Message] フィールドに、再起動時に ASDM の開いているインスタンスに送信するメッセージを入力します。

d. 再起動を再試行するまでの経過時間を時間と分単位で、または分単位だけで表示するには、[On reload failure force immediate reload after] チェックボックスをオンにします。

e. 設定に従って再起動をスケジュールするには、[Schedule Reload] をクリックします。

[Reload Status] 領域には、再起動のステータスが表示されます。

ステップ 3 次のいずれかを選択します。

スケジュールされた再起動を停止するには、[Cancel Reload] をクリックします。

スケジュールされた再起動の終了後に [Reload Status] 表示をリフレッシュするには、[Refresh] をクリックします。

スケジュールされた再起動の詳細を表示するには、[Details] をクリックします。


 

コンフィギュレーション、イメージ、プロファイルのバックアップと復元(シングル モード)

[Tools] メニューの [Backup and Restore] 機能オプションを使用して、ASA の実行コンフィギュレーション、スタートアップ コンフィギュレーション、インストールされたアドオン イメージ、および SSL VPN クライアントのイメージとプロファイルをバックアップおよび復元できます。

ASDM の [Backup Configurations] 画面では、バックアップするファイル タイプを選択し、それらを単一の zip ファイルに圧縮し、その zip ファイルをコンピュータ上の選択したディレクトリに転送できます。同様に、ファイルを復元するには、コンピュータ上で転送元となる zip ファイルを選択し、復元するファイル タイプを選択します。

この項は、次の内容で構成されています。

「コンフィギュレーションのバックアップ」

「ローカル CA サーバのバックアップ」

「コンフィギュレーションの復元」

コンフィギュレーションのバックアップ

この手順では、コンフィギュレーションおよびイメージを .zip ファイルにバックアップし、それをローカル コンピュータに転送する方法について説明します。


注意 ASA にマスター パスフレーズを設定している場合は、この手順で作成したバックアップ コンフィギュレーションの復元時にそのマスター パスフレーズが必要となります。ASA のマスター パスフレーズが不明な場合は、「マスター パスフレーズの設定」を参照して、バックアップを続行する前に、マスター パスフレーズをリセットする方法を確認してください。


ステップ 1 コンピュータ上にフォルダを作成し、バックアップ ファイルを保存します。こうすると、後で復元するときに探しやすくなります。

ステップ 2 [Tools] > [Backup Configurations] を選択します。

[Backup Configurations] ダイアログボックスが表示されます。[SSL VPN Configuration] 領域の下矢印をクリックし、SSL VPN コンフィギュレーションのバックアップ オプションを確認します。デフォルトでは、すべてのコンフィギュレーション ファイルがチェックされ、利用できる場合にはバックアップされます。リスト内のすべてのファイルをバックアップするには、手順 5 に進みます。

 

 

ステップ 3 バックアップするコンフィギュレーションを選択する場合は、[Backup All] チェックボックスをオフにします。

ステップ 4 バックアップするオプションの横にあるチェックボックスをオンにします。

ステップ 5 [Browse Local] をクリックして、バックアップ .zip ファイルのディレクトリおよびファイル名を指定します。

ステップ 6 [Select] ダイアログボックスで、バックアップ ファイルを格納するディレクトリを選択します。

ステップ 7 [Select] をクリックします。[Backup File] フィールドにパスが表示されます。

ステップ 8 ディレクトリ パスの後にバックアップ ファイルの宛先の名前を入力します。バックアップ ファイルの名前の長さは、3 ~ 232 文字の間である必要があります。

ステップ 9 [Backup] をクリックします。証明書をバックアップする場合や、ASA でマスター パスフレーズを使用している場合を除き、すぐにバックアップが続行されます。

ステップ 10 ASA でマスター パスフレーズを設定し、イネーブルにしている場合、バックアップを続行する前に、マスター パスフレーズが不明な場合は変更することを推奨する警告メッセージが表示されます。マスター パスフレーズがわかっている場合は、[Yes] をクリックしてバックアップを続行します。ID 証明書をバックアップする場合を除き、すぐにバックアップが続行されます。

 

ステップ 11 ID 証明書をバックアップする場合は、証明書を PKCS12 形式でエンコーディングするために使用する別のパスフレーズを入力するように求められます。パスフレーズを入力するか、またはこの手順をスキップすることができます。


) このプロセスで ID 証明書はバックアップされますが、認証局の証明書はバックアップされません。CA 証明書のバックアップ手順については、「ローカル CA サーバのバックアップ」を参照してください。


 

証明書を暗号化するには、[Certificate Passphrase] ダイアログボックスで証明書のパスフレーズを入力および確認し、[OK] をクリックします。証明書の復元時に必要となるため、このダイアログボックスに入力したパスワードを覚えておく必要があります。

[Cancel] をクリックすると、この手順がスキップされ、証明書はバックアップされません。

[OK] をクリックするか、またはキャンセルすると、すぐにバックアップが開始されます。

ステップ 12 バックアップが完了すると、ステータス ウィンドウが閉じ、[Backup Statistics] ダイアログボックスが表示され、成功または失敗のメッセージが示されます。


) バックアップの「失敗」メッセージは多くの場合、指定されたタイプの既存のコンフィギュレーションが存在しない場合に表示されます。


 

ステップ 13 [OK] をクリックし、[Backup Statistics] ダイアログボックスを閉じます。


 

ローカル CA サーバのバックアップ

ASDM バックアップを実行した場合、ローカル CA サーバ データベースは含まれていないため、サーバ上の CA 証明書はバックアップされません。ローカル CA サーバをバックアップする場合は、ASA CLI による次の手動プロセスを使用します。


ステップ 1 show run crypto ca server コマンドを入力します。

crypto ca server
keysize server 2048
subject-name-default OU=aa,O=Cisco,ST=ca,
issuer-name CN=xxx,OU=yyy,O=Cisco,L=Bxb,St=Mass
smtp from-address abcd@cisco.com
publish-crl inside 80
publish-crl outside 80

 

ステップ 2 crypto ca import コマンドを使用して、ローカル CA PKCS12 ファイルをインポートして LOCAL-CA-SERVER トラストポイントを作成し、キーペアを復元します。

crypto ca import LOCAL-CA-SERVER pkcs12 <passphrase> (paste the pkcs12
base64 data here)

) この手順では、正確な名前「LOCAL-CA-SERVER」を必ず使用してください。


ステップ 3 LOCAL-CA-SERVER ディレクトリが存在しない場合、mkdir LOCAL-CA-SERVER を入力して作成する必要があります。

ステップ 4 ローカル CA ファイルを LOCAL-CA-SERVER ディレクトリにコピーします。

copy ftp://10.10.1.1/CA-backup/LOCAL-CA-SERVER.ser
disk0:/LOCAL-CA-SERVER/
 
copy ftp://10.10.1.1/CA-backup/LOCAL-CA-SERVER.cdb
disk0:/LOCAL-CA-SERVER/
 
copy ftp://10.10.1.1/CA-backup/LOCAL-CA-SERVER.udb
disk0:/LOCAL-CA-SERVER/
 
copy ftp://10.10.1.1/CA-backup/LOCAL-CA-SERVER.crl
disk0:/LOCAL-CA-SERVER/
 
copy ftp://10.10.1.1/CA-backup/LOCAL-CA-SERVER.p12
disk0:/LOCAL-CA-SERVER/
 

ステップ 5 crypto ca server コマンドを入力して、ローカル CA サーバをイネーブルにします。

 
crypto ca server
no shutdown
 

ステップ 6 show crypto ca server コマンドを入力して、ローカル CA サーバが起動し、動作していることを確認します。

ステップ 7 設定を保存します。


 

コンフィギュレーションの復元

zip ファイルからローカル PC に復元するコンフィギュレーションやイメージを指定します。

続行する前に、次のその他の制約事項に注意してください。

復元する zip ファイルは、[Tools] > [Backup Configurations] オプションを選択して作成したものである必要があります。

マスター パスフレーズをイネーブルにしてバックアップを実行した場合、作成したバックアップから実行コンフィギュレーション、スタートアップ コンフィギュレーション、および VPN 事前共有キーを復元するときにそのマスター パスフレーズが必要になります。ASA のマスター パスフレーズが不明な場合、復元プロセス時にこれらの項目は復元されません。マスター パスフレーズの詳細については、「マスター パスフレーズの設定」を参照してください。

バックアップ時に証明書パスフレーズを指定した場合は、証明書を復元するためにそのパスフレーズを指定するよう求められます。デフォルトのパスフレーズは cisco です。

DAP コンフィギュレーションは、実行中の特定のコンフィギュレーション、URL リスト、CSD コンフィギュレーションに依存することがあります。

CSD コンフィギュレーションは、CSD イメージのバージョンに依存することがあります。

同じ ASA タイプから作成したバックアップを使用して、コンポーネント、イメージ、およびコンフィギュレーションを復元できます。ASDM アクセスを許可する基本コンフィギュレーションで起動する必要があります。

ASA コンフィギュレーションの選択されたエレメント、Cisco Secure Desktop イメージ、SSL VPN Client イメージとプロファイルを復元するには、次の手順を実行します。


ステップ 1 [Tools] > [Restore Configurations] を選択します。

ステップ 2 [Restore Configurations] ダイアログボックスで、[Browse Local Directory] をクリックし、ローカル コンピュータ上の、復元するコンフィギュレーションが含まれている zip ファイルを選択し、[Select] をクリックします。[Local File] フィールドにパスと zip ファイル名が表示されます。

 

ステップ 3 [Next] をクリックします。2 つ目の [Restore Configuration] ダイアログボックスが表示されます。復元するコンフィギュレーションの横にあるチェックボックスをオンにします。使用可能なすべての SSL VPN コンフィギュレーションがデフォルトで選択されています。

 

ステップ 4 [復元(Restore)] をクリックします。

ステップ 5 バックアップ ファイルの作成時に、証明書の暗号化に使用する証明書パスフレーズを指定している場合は、このパスフレーズを入力するように ASDM から求められます。

 

ステップ 6 実行コンフィギュレーションの復元を選択した場合、実行コンフィギュレーションを結合するか、実行コンフィギュレーションを置換するか、または復元プロセスのこの部分をスキップするかを尋ねられます。

コンフィギュレーションの結合では、現在の実行コンフィギュレーションとバックアップされた実行コンフィギュレーションが結合されます。

実行コンフィギュレーションの置換では、バックアップされた実行コンフィギュレーションのみが使用されます。

この手順をスキップすると、バックアップされた実行コンフィギュレーションは復元されません。

ASDM では、復元操作が完了するまでステータス ダイアログボックスが表示されます。

ステップ 7 実行コンフィギュレーションを置換または結合した場合は、ASDM を閉じてから再起動します。実行コンフィギュレーションを復元しなかった場合は、ASDM セッションをリフレッシュして、変更を有効にします。


 

ソフトウェアのダウングレード

バージョン 8.3 にアップグレードすると、コンフィギュレーションが移行されます。既存のコンフィギュレーションは、自動的にフラッシュ メモリに保存されます。たとえば、バージョン 8.2(1) から 8.3(1) にアップグレードすると、古い 8.2(1) コンフィギュレーションはフラッシュ メモリ内の 8_2_1_0_startup_cfg.sav というファイルに保存されます。


) ダウングレードする前に、古いコンフィギュレーションを手動で復元する必要があります。


この項では、ダウングレードする方法について説明します。次の項目を取り上げます。

「アクティベーション キーの互換性に関する情報」

「ダウングレードの実行」

アクティベーション キーの互換性に関する情報

任意の旧バージョンから最新バージョンにアップグレードした場合、アクティベーション キーの互換性は存続します。ただし、ダウングレード機能の維持には問題が生じる場合があります。

バージョン 8.1 以前のバージョンにダウングレードする場合:アップグレード後に、 8.2 よりも前 に導入された追加の機能ライセンスをアクティブ化すると、ダウングレードした場合でも旧バージョンに対するアクティベーション キーの互換性は存続します。ただし、バージョン 8.2 以降のバージョンで導入された機能ライセンスをアクティブ化した場合は、アクティベーション キーの下位互換性がなくなります。互換性のないライセンス キーがある場合は、次のガイドラインを参照してください。

旧バージョンでアクティベーション キーを入力した場合は、そのキーが ASA で使用されます(バージョン 8.2 以降のバージョンでアクティブ化した新しいライセンスがない場合)。

新しいシステムで、以前のアクティベーション キーがない場合は、旧バージョンと互換性のある新しいアクティベーション キーを要求する必要があります。

バージョン 8.2 以前のバージョンにダウングレードする場合:バージョン 8.3 では、よりロバストな時間ベース キーの使用およびフェールオーバー ライセンスの変更が次のとおり導入されました。

複数の時間ベースのアクティベーション キーがアクティブな場合、ダウングレード時には一番最近アクティブ化された時間ベース キーのみがアクティブになれます。他のキーはすべて非アクティブ化されます。

フェールオーバー ペアに不一致のライセンスがある場合、ダウングレードによりフェールオーバーはディセーブルになります。キーが一致した場合でも、使用するライセンスは、結合されたライセンスではなくなります。

ダウングレードの実行

コンフィギュレーションの移行の詳細については、「コンフィギュレーション、イメージ、プロファイルのバックアップと復元(シングル モード)」を参照してください。

バージョン 8.3 からダウングレードするには、次の手順を実行します。

手順の詳細


ステップ 1 [Tools] > [Downgrade Software] を選択します。

[Downgrade Software] ダイアログボックスが表示されます。

 

ステップ 2 ASA イメージの場合、[Select Image File] をクリックします。

[Browse File Locations] ダイアログボックスが表示されます。

ステップ 3 次のいずれかのオプション ボタンをクリックします。

[Remote Server]:ドロップダウン リストで [ftp]、[smb]、[http] のいずれかを選択し、以前のイメージ ファイルのパスを入力します。

[Flash File System]:[Browse Flash] をクリックして、ローカル フラッシュ ファイル システムにある以前のイメージ ファイルを選択します。

ステップ 4 [Configuration] で [Browse Flash] をクリックし、移行前の設定ファイルを選択します (デフォルトでは disk0 に保存されています)。

ステップ 5 (任意)バージョン 8.3 よりも前のアクティベーション キーに戻す場合は、[Activation Key] フィールドで以前のアクティベーション キーを入力します。

詳細については、「アクティベーション キーの互換性に関する情報」を参照してください。

ステップ 6 [Downgrade] をクリックします。

このツールは、次の機能を実行するためのショートカットです。

1. ブート イメージ コンフィギュレーションのクリア( clear configure boot )。

2. 古いイメージへのブート イメージの設定( boot system )。

3. (任意)新たなアクティベーション キーの入力( activation-key )。

4. 実行コンフィギュレーションのスタートアップ コンフィギュレーションへの保存( write memory )。これにより、BOOT 環境変数を古いイメージに設定します。このため、リロードすると古いイメージがロードされます。

5. 古いコンフィギュレーションのスタートアップ コンフィギュレーションへのコピー( copy old_config_url startup-config )。

6. リロード( reload )。