はじめに
IOS XRをアップグレードする際に、32ビットまたは64ビットのいずれかで、アップグレードのゲートとなるパッケージの証明書とサイネージの実行方法に変更がありました。
アップグレード文書
特定のリリースへのアップグレードに関するドキュメント(PDF)の内容は次のとおりです。
http://www.cisco.com/web/Cisco_IOS_XR_Software/index.html
ただし、このWebページは廃止されたため、特定の製品の特定のリリースに関するソフトウェアダウンロードページの下に、いくつかの異なる形式でIOS XRアップグレードドキュメントを保存しています。
- docs.tarとして32ビットまたは64ビットのみをサポートする製品
- ASR9Kの場合、px-docs.tar(32ビット)およびx64-docs.tar(64ビット)として表示されます。
32ビットIOS XR証明書の期限切れ(Abraxas)
該当するリリース
- 5.3.1より前には、2015年10月17日以降にSMUをインストールするために必要な新しいAbraxasコードまたは証明書とXRコードは含まれていません
- 5.3.0には回避策が含まれていますが、CSSサーバの統合は含まれていません
エラー メッセージ
2015年10月17日にSMU/PIEの投稿をインストールまたは追加しようとすると、2015年10月17日のCSS証明書の期限切れにより、次のエラーが発生します。
Error: Cannot proceed with the add operation because the code signing
Error: certificate has expired.
Error: Suggested steps to resolve this:
Error: - check the system clock using 'show clock' (correct with 'clock set' if necessary).
Error: - check the pie file was built within the last 5 years using '(admin) show install pie-info
回避策
一部のリリースには、2015年10月17日以降にパッケージをインストールできるSMUと新しい証明書があります。
古いリリースでは、ルータをターボブートする必要があります。
Field Notice
MOPのアップグレード
32ビットIOS XR破損したPieファイル(SWIMS)
該当するリリース
- 5.3.2より前のバージョンでは、SWIMS署名は含まれておらず、Abraxasまたは完全に廃止されたレガシーコード署名サーバ(CSS)ソフトウェアのみをサポートしています
- 5.3.2 ~ 6.3.1はAbraxasとSWIMSの両方をサポート
- 6.3.2以降では、SWIMS署名だけがサポートされています
- Abraxasサーバの使用停止後(5.3.4 SP9以降)に作成された最新のSMUの一部も、SWIMSのみで署名されています
5.3.1以前のリリースではAbraxas(2015年10月17日以降)のみをサポートしており、6.3.2以降ではSWIMS署名のみをサポートしているため、ルータを一方から他方にアップグレードすることはできません。5.3.1以前を実行している場合は、最初に5.3.2 ~ 6.3.1にアップグレードしてから、6.3.2以降にアップグレードする必要があります。
例
質問:5.3.1を実行していて、6.4.2にアップグレードしたいと思っています。これでうまくいきますか。
回答:いいえ。まず、SWIMSをサポートする中継リリースにアップグレードする必要があります。
質問:5.3.4を実行していて、6.4.2にアップグレードしたいと思っています。これでうまくいきますか。
正解:はい。5.3.4はAbraxasとSWIMSの両方をサポートしています。
質問:5.3.1を実行していて、5.3.4と最新のSMUにアップグレードしたいと考えています。これでうまくいきますか。
正解:最初に5.3.4にアップグレードしてから、一番上にSMUをインストールすると動作します。ただし、5.3.1ではSMUサイネージが認識されないため、5.3.4と最新のSMUの両方を同時にアクティブ化すると失敗します。
エラー メッセージ
Error: Cannot proceed with the add operation because the pie file
Error: '/tmp/install/tar/instdir/8918452_223000000/asr9k-video-px.pie-6.
Error: 3.3' is corrupt.
回避策
- 最初に5.3.xにアップグレードし、次にSWIMSを必要とするコードバージョンにアップグレードします
- ターボブーツ
64ビットIOS XR RPMサイネージ
該当するリリース
6.3.2より前のリリースでは署名付きRPMを使用していないため、この脆弱性の影響を受けます
エラー メッセージ
2017-07-25 10:33:16:: Traceback (most recent call last):
File "/pkg/bin/install", line 2202, in <module>
main(options,args)
File "/pkg/bin/install", line 1440, in main
upgrade_packages(options, pkglist)
File "/pkg/bin/install", line 1758, in upgrade_packages
upgrade(options,pkgs,cur_version)
File "/pkg/bin/install", line 1919, in upgrade
more_package = pkgstate.checkcompat()
File "/opt/cisco/XR/packages/ncs5500-infra-5.0.0.0-r622/rp/bin/package.py", line 1218, in checkcompat
version,pkg_name,release = result.split()
ValueError: too many values to unpack
2017-07-25 10:33:16::
Error: An exception is hit while executing the install operation.
If you hit same error on retries, please collect "show tech install"
and contact cisco-support.
回避策
XRおよびsysadminブリッジSMUをインストールします。両方を同時にインストールできます。
フィードバック