アプリケーションまたはASDMソフトウェアのインストール
ここでは、次の内容について説明します。
• 「インストレーションの概要」
• 「FWSM CLIからのアプリケーション ソフトウェアのインストール」
• 「メンテナンス パーティションからのアプリケーション ソフトウェアのインストール」
• 「FWSM CLIからのASDMのインストール」
インストレーションの概要
アプリケーション ソフトウェアは、次のいずれかの方法でアップグレードできます。
• FWSMCLI から現在のアプリケーション パーティションへのインストール
この方法の利点は、メンテナンス パーティションを起動する必要がないことです。通常どおりにログインし、新しいソフトウェアをコピーできます。
TFTP、FTP、HTTP、または HTTPS サーバからのダウンロードがサポートされます。
ソフトウェアを、他方のアプリケーション パーティションにコピーすることはできません。ただし、旧バージョンのソフトウェアをバックアップとして現在のパーティションに保存する場合には、他のパーティションにコピーするほうが便利なことがあります。
その場合には、ネットワーク アクセスにより運用設定を行う必要があります。マルチコンテキスト モードでは、admin コンテキスト経由でネットワークに接続する必要があります。
• メンテナンス パーティションから任意のアプリケーション パーティションへのインストール
この方法の利点は、両方のアプリケーション パーティションにソフトウェアをコピーできることです。運用設定を行う必要はありません。メンテナンス パーティションのルーティング パラメータの一部を設定するだけで、VLAN 1 上のサーバに到達できます。
欠点としては、メンテナンス パーティションを起動しなければならない点があります。アプリケーション パーティションを運用している場合には、不便なことがあります。
この方法でサポートされるのは、FTP サーバからのダウンロードだけです。
ASDMをアップグレードする場合、FWSMCLI から現在のアプリケーション パーティションへのインストールのみが可能です。
アプリケーション パーティションおよびメンテナンス パーティションの詳細については、「Firewall Services Module ブート パーティションの管理」を参照してください。
FWSM CLIからのアプリケーション ソフトウェアのインストール
通常の運用中にFWSMにログインし、TFTP、FTP、HTTP、または HTTPS サーバからアプリケーション ソフトウェアを現在のアプリケーション パーティションにコピーすることができます。
マルチコンテキスト モードの場合は、システム実行スペースで作業する必要があります。
FTP、TFTP、または HTTP(S) サーバから現在のアプリケーション パーティションにソフトウェアをアップグレードする手順は、次のとおりです。
ステップ 1 選択した FTP、TFTP、または HTTP(S) サーバへのアクセスを確認するため、次のコマンドを入力します。
hostname# ping ip_address
ステップ 2 アプリケーション ソフトウェアをコピーするには、次のコマンドを使用して、適切なダウンロード サーバを指定します。
• TFTP サーバからコピーするには、次のコマンドを入力します。
hostname# copy tftp://server[/path]/filename flash:
flash キーワードは、FWSMのアプリケーション パーティションを示します。 flash パーティションにコピーできるのは、イメージとASDMソフトウェアのみです。コンフィギュレーション ファイルは disk パーティションにコピーされます。
• FTP サーバからコピーするには、次のコマンドを入力します。
hostname# copy ftp://[user[:password]@]server[/path]/filename flash:
• HTTP または HTTPS サーバからコピーするには、次のコマンドを入力します。
hostname# copy http[s]://[user[:password]@]server[:port][/path]/filename flash:
• セキュア コピーを使用するには、SSH をイネーブルにしてから、次のコマンドを入力します。
hostname# ssh scopy enable
次に、Linux クライアントから次のコマンドを入力します。
scp -v -pw password filename username@fwsm_address
-v は詳細の意味です。 -pw を指定しない場合、パスワードの入力を求められます。
次に、FTP サーバからアプリケーション ソフトウェアをコピーする例を示します。
hostname# copy ftp://10.94.146.80/tftpboot/bnair/cdisk flash:
copying ftp://10.94.146.80/tftpboot/bnair/cdisk to flash:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Erasing current image.This may take some time..
Writing 6127616 bytes of image.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
ステップ 3 新しいソフトウェアを実行するには、システムをリロードする必要があります。フェールオーバーのペアがない場合、次のコマンドを入力します。
Proceed with reload? [confirm]
「Proceed with reload?」のプロンプトで、Enter を押してコマンドを確定します。
フェールオーバーのペアがある場合は、「フェールオーバー ペアのアップグレード」を参照してください。
メンテナンス パーティションからのアプリケーション ソフトウェアのインストール
メンテナンス パーティションにログインすると、アプリケーション ソフトウェアをいずれかのアプリケーション パーティション(cf:4 または cf:5)にインストールできます。
(注) FWSMのメンテナンス パーティションで使用できるのは、スイッチ上の VLAN 1 だけです。FWSMは、VLAN 1 での 802.1Q タギングをサポートしていません。
FWSMでは、メンテナンス ソフトウェア Release 2.1(2) 以降を使用することが必要です。アップグレードの詳細については、「メンテナンス ソフトウェアのインストール」を参照してください。
(注) アクティブ/スタンバイのフェールオーバー ペアを使用している場合、まずスタンバイ ユニットでこの手順を実行し、スタンバイ ユニットのリロード後に、アクティブ ユニットのシステム実行スペースで no failover active コマンドを使用してアクティブ ユニットをスタンバイ ユニットに切り替えてから、アクティブ ユニットをアップグレードします。
アクティブ/アクティブのフェールオーバーの場合、プライマリ ユニットのシステム実行スペースで failover active コマンドを入力して、プライマリ ユニットで両方のフェールオーバー グループをアクティブにします。その後、セカンダリ ユニットでもこの手順を実行します。セカンダリ ユニットのアップグレード手順が完了したら、プライマリ ユニットのシステム実行スペースで no failover active コマンドを使用して、セカンダリ ユニットで両方のフェールオーバー グループをアクティブにします。その後、アクティブ ユニットをアップグレードします。
FWSMでは、2.3 から 3.1 へのフェールオーバー ペアのアップグレードを行うには、システムを停止させる必要があります。停止させずにアップグレードが行えるのは、リリース 3.1 以降のみです。2.x からのアップグレードの詳細については、『Upgrading the Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module to Release 3.1』を参照してください。
メンテナンス パーティションにログインし、FTP サーバからアプリケーション ソフトウェアをインストールする手順は、次のとおりです。
ステップ 1 アプリケーション パーティションには、それぞれ独自のスタートアップ コンフィギュレーションがあるため、必要に応じて、バックアップ アプリケーション パーティションにコピーするために、現在の設定を利用できるようにする必要があります。利用可能な TFTP、FTP、または HTTP(S) サーバにコピーするか、 show running-config コマンドを入力して、端末から設定をカット&ペーストします。
ステップ 2 必要に応じて、次のコマンドを入力して、FWSMのセッションを終了します。
[Connection to 127.0.0.31 closed by foreign host]
コンフィギュレーション モードで作業している場合、 exit コマンドを複数回入力しなければならないことがあります。
ステップ 3 現在のブート パーティションを表示するには、OS に応じたコマンドを入力します。新しいデフォルト ブート パーティションを設定する際、現在のブート パーティションをメモしておいてください。
• Cisco IOS ソフトウェア
Router# show boot device [mod_num]
次に例を示します。
• Catalyst OS ソフトウェア
Console> (enable) show boot device mod_num
次に例を示します。
Console> (enable) show boot device 4
Device BOOT variable = cf:4
ステップ 4 OS に応じて、次のコマンドを入力して、デフォルト ブート パーティションをバックアップに変更します。
• Cisco IOS ソフトウェア
Router(config)# boot device module mod_num cf:{4 | 5}
• Catalyst OS ソフトウェア
Console> (enable) set boot device cf:{4 | 5} mod_num
ステップ 5 OS に応じて、スイッチのプロンプトで次のコマンドを入力して、FWSMのメンテナンス パーティションを起動します。
• Cisco IOS ソフトウェアの場合、次のコマンドを入力します。
Router# hw-module module mod_num reset cf:1
• Catalyst OS ソフトウェアの場合、次のコマンドを入力します。
Console> (enable) reset mod_num cf:1
ステップ 6 OS に応じて、次のコマンドを入力して、FWSMへのセッションを開始します。
• Cisco IOS ソフトウェア
Router# session slot number processor 1
• Catalyst OS ソフトウェア
Console> (enable) session module_number
ステップ 7 次のコマンドを入力して、FWSMのメンテナンス パーティションにルートとしてログインします。
デフォルトのパスワードは、 cisco です。
ステップ 8 ネットワーク パラメータを設定する手順は、次のとおりです。
a. 次のコマンドを入力して、メンテナンス パーティションに IP アドレスを割り当てます。
root@localhost# ip address ip _address netmask
これは、メンテナンス パーティションで使用できる唯一の VLAN である VLAN 1 のアドレスです。
b. 次のコマンドを入力して、メンテナンス パーティションにデフォルト ゲートウェイを割り当てます。
root@localhost# ip gateway ip_address
c. (任意)FTP サーバに ping を実行して接続していることを確認する場合は、次のコマンドを入力します。
root@localhost# ping ftp_address
ステップ 9 次のコマンドを入力して、FTP サーバからアプリケーション ソフトウェアをダウンロードします。
root@localhost# upgrade ftp://[user[:password]@]server[/path]/filename cf:{4 | 5}
cf:4 および cf:5 は、FWSM上のアプリケーション パーティションです。新しいソフトウェアをバックアップ パーティションにインストールします。
画面に表示されるプロンプトに従って、アップグレードします。
ステップ 10 次のコマンドを入力して、メンテナンス パーティションからログアウトします。
ステップ 11 OS に応じたコマンドを入力して、バックアップ アプリケーション パーティション(ステップ 4でデフォルトとして設定した)でFWSMを再起動します。
• Cisco IOS ソフトウェアの場合、次のコマンドを入力します。
Router# hw-module module mod_num reset
• Catalyst OS ソフトウェアの場合、次のコマンドを入力します。
Console> (enable) reset mod_num
ステップ 12 OS に応じて、次のコマンドを入力して、FWSMへのセッションを開始します。
• Cisco IOS ソフトウェア
Router# session slot number processor 1
• Catalyst OS ソフトウェア
Console> (enable) session module_number
デフォルトでは、FWSMにログインするためのパスワードは cisco です( password コマンドで変更可能)。このパーティションにスタートアップ コンフィギュレーションがない場合、デフォルト パスワードが使用されます。
ステップ 13 次のコマンドを入力して、イネーブル EXEC モードを開始します。
デフォルト パスワードは空白です( enable password コマンドで変更可能)。このパーティションにスタートアップ コンフィギュレーションが存在しない場合、デフォルト パスワードが使用されます。
ステップ 14 アプリケーション パーティションには、それぞれ独自のスタートアップ コンフィギュレーションがあるため、場合によっては、現在の設定をアプリケーション パーティションにコピーする必要あります。このパーティションで古い設定が動作している場合、実行コンフィギュレーションへのコピーを行う前に古い設定を消去することが必要な場合があります。実行コンフィギュレーションを消去するには、 clear configure all コマンドを入力します。設定を実行コンフィギュレーションにコピーするには、次のいずれかの方法を使用します。
• コマンド ラインに設定をペーストします。
• TFTP サーバからコピーするには、次のコマンドを入力します。
hostname# copy tftp://server[/path]/filename running-config
• FTP サーバからコピーするには、次のコマンドを入力します。
hostname# copy ftp://[user[:password]@]server[/path]/filename running-config
• HTTP または HTTPS サーバからコピーするには、次のコマンドを入力します。
hostname# copy http[s]://[user[:password]@]server[:port][/path]/filename running-config
• ローカル フラッシュ メモリからコピーするには、次のコマンドを入力します。
hostname# copy disk:[path/]filename running-config
ステップ 15 次のコマンドを使用して、実行コンフィギュレーションをスタートアップに保存します。
ステップ 16 デフォルトのコンテキスト モードはシングル モードなので、マルチ コンテキスト モードで作業している場合は、次のコマンドを使用して、新しいアプリケーション パーティションでモードをマルチに設定します。
hostname# configuration terminal
hostname(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm]
確定すると、FWSMのリロードが開始されます。
FWSM CLIからのASDMのインストール
通常の運用中にFWSMにログインし、TFTP、FTP、HTTP、または HTTPS サーバからASDMソフトウェアを現在のアプリケーション パーティションにコピーすることができます。
マルチコンテキスト モードの場合は、システム実行スペースで作業する必要があります。
接続状態を確認するには、 ping コマンドを使用します。
ASDMソフトウェアをコピーするには、次のコマンドを使用して、適切なダウンロード サーバを指定します。
• TFTP サーバからコピーするには、次のコマンドを入力します。
hostname# copy tftp://server[/path]/filename flash:asdm
flash キーワードは、FWSMのアプリケーション パーティションを示します。 flash パーティションにコピーできるのは、イメージとASDMソフトウェアのみです。コンフィギュレーション ファイルは disk パーティションにコピーされます。
• FTP サーバからコピーするには、次のコマンドを入力します。
hostname# copy ftp://[user[:password]@]server[/path]/filename flash:asdm
• HTTP または HTTPS サーバからコピーするには、次のコマンドを入力します。
hostname# copy http[s]://[user[:password]@]server[:port][/path]/filename flash:asdm
• セキュア コピーを使用するには、SSH をイネーブルにしてから、次のコマンドを入力します。
hostname# ssh scopy enable
そして、Linux クライアントから次のコマンドを入力します。
scp -v -pw password filename username@fwsm_address
-v は詳細の意味です。 -pw を指定しない場合、パスワードの入力を求められます。
次に、TFTP サーバからASDMをコピーする例を示します。
hostname# copy tftp://209.165.200.226/cisco/asdm.bin flash:asdm
次に、HTTPS サーバからASDMをコピーする例を示します。
hostname# copy http://admin:letmein@209.165.200.228/adsm/asdm.bin flash:asdm
フェールオーバー ペアのアップグレード
フェールオーバー設定の 2 台のユニットには、同じメジャー(最初の番号)、マイナー(2 番めの番号)、メンテナンス(3 番めの番号)バージョンのソフトウエアがインストールされている必要があります。ただし、アップグレード作業中はユニットのバージョン パリティを維持する必要はなく、各ユニットで異なるバージョンのソフトウェアが動作していても、フェールオーバーはサポートされます。長期的な互換性と安定性を確保するには、できるだけ両モジュールとも同じバージョンにアップグレードすることを推奨します。
表22-1 に、フェールオーバー ペアで無停止アップグレードを実行するためにサポートされているシナリオを示します。
表22-1 無停止アップグレードのサポート
|
|
メンテナンス リリース |
マイナー リリース内の任意のメンテナンスから任意のメンテナンス リリースにアップグレードできます。 たとえば、中間のメンテナンス リリースをインストールしなくても、3.1(1) から 3.1(3) に直接アップグレードできます。 |
マイナー リリース |
あるマイナー リリースからその次のマイナー リリースにアップグレードできます。連続していないマイナー リリースにアップグレードすることはできません。 たとえば、3.1 から 3.2 へのアップグレードが可能です。無停止アップグレードでは、3.1 から 3.3 に直接アップグレードすることはサポートされていません。まず 3.2 にアップグレードする必要があります。 |
メジャー リリース |
前バージョンの最後のマイナー リリースから次のメジャー リリースにアップグレードできます。 たとえば、4.1 のリリースの前の最後のマイナー バージョンが 3.9 だとすると、3.9 から 4.1 へのアップグレードが可能です。
(注) FWSMでは、2.3 から 3.1 へのアップグレードを行うには、システムを停止させる必要があります。停止させずにアップグレードが行えるのは、リリース 3.1 以降のみです。2.x からのアップグレードの詳細については、『Upgrading the Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module to Release 3.1』を参照してください。
|
ここでは、次の内容について説明します。
• 「アクティブ/スタンバイ フェールオーバー ペアのアップグレード」
• 「アクティブ/アクティブ フェールオーバー ペアのアップグレード」
アクティブ/スタンバイ フェールオーバー ペアのアップグレード
アクティブ/スタンバイ フェールオーバー設定の 2 台のユニットをアップグレードする手順は、次のとおりです。
(注) FWSMでは、2.3 から 3.1 へのアップグレードを行うには、システムを停止させる必要があります。停止させずにアップグレードが行えるのは、リリース 3.1 以降のみです。2.x からのアップグレードの詳細については、『Upgrading the Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module to Release 3.1』を参照してください。
ステップ 1 新しいソフトウェアを 2 台のユニットにダウンロードします。「FWSM CLIからのアプリケーション ソフトウェアのインストール」を参照してください。
ステップ 2 アクティブ ユニットで次のコマンドを入力して、スタンバイ ユニットをリロードし、新しいイメージをブートします。
active# failover reload-standby
ステップ 3 スタンバイ ユニットのリロードが完了し、Standby Ready ステートになったら、アクティブ ユニットで次のコマンドを入力して、アクティブ ユニットをスタンバイ モードに切り替えます。
(注) スタンバイ ユニットが Standby Ready ステートになっているかどうかを確認するには、show failover コマンドを使用します。
active# no failover active
ステップ 4 次のコマンドを入力して、前のアクティブ ユニット(現在は新しいスタンバイ ユニット)をリロードします。
ステップ 5 (任意)新しいスタンバイ ユニットのリロードが完了し、Standby Ready ステートになったら、次のコマンドを入力して、元のアクティブ ユニットをアクティブ状態に戻します。
newstandby# failover active
アクティブ/アクティブ フェールオーバー ペアのアップグレード
アクティブ/アクティブ フェールオーバー設定の 2 台のユニットをアップグレードする手順は、次のとおりです。
(注) FWSMでは、2.3 から 3.1 へのアップグレードを行うには、システムを停止させる必要があります。停止させずにアップグレードが行えるのは、リリース 3.1 以降のみです。2.x からのアップグレードの詳細については、『Upgrading the Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module to Release 3.1』を参照してください。
ステップ 1 新しいソフトウェアを 2 台のユニットにダウンロードします。「FWSM CLIからのアプリケーション ソフトウェアのインストール」を参照してください。
ステップ 2 プライマリ ユニットのシステム実行スペースで次のコマンドを入力して、プライマリ ユニットで両方のフェールオーバー グループをアクティブにします。
ステップ 3 プライマリ ユニットのシステム実行スペースで次のコマンドを入力して、セカンダリ ユニットをリロードと新しいイメージのブーとを行います。
primary# failover reload-standby
ステップ 4 セカンダリ ユニットのリロードが完了し、ユニットの両方のフェールオーバー グループが Standby Ready ステートになったら、プライマリ ユニットのシステム実行スペースで次のコマンドを入力して、セカンダリ ユニットで両方のフェールオーバー グループをアクティブにします。
primary# no failover active
(注) セカンダリ ユニットで両方のフェールオーバー グループが Standby Ready ステートになっているかどうかを確認するには、show failover コマンドを使用します。
ステップ 5 プライマリ ユニットの両方のフェールオーバー グループが Standby Ready ステートになっていることを確認してから、次のコマンドを使用してプライマリ ユニットをリロードします。
preempt コマンドで設定した場合、フェールオーバー グループは、先行遅延時間の経過後、指定ユニット上で自動的にアクティブになります。 preempt コマンドで設定されていない場合、フェールオーバー グループは、 failover active group コマンドを使用して指定ユニット上でアクティブ状態に戻すことができます。
メンテナンス ソフトウェアのインストール
FWSMRelease 3.1 へのアップグレードを行うには、事前にメンテナンス ソフトウェア Release 2.1(2) 以降をインストールしておく必要があります。ここでは、次の内容について説明します。
• 「メンテナンス ソフトウェア リリースの確認」
• 「メンテナンス ソフトウェアのアップグレード」
メンテナンス ソフトウェア リリースの確認
メンテナンス ソフトウェア リリースを確認するには、メンテナンス パーティションを起動し、次の手順でリリースを表示します。
ステップ 1 必要に応じて、次のコマンドを入力して、FWSMのセッションを終了します。
[Connection to 127.0.0.31 closed by foreign host]
コンフィギュレーション モードで作業している場合、 exit コマンドを複数回入力しなければならないことがあります。
ステップ 2 OS に応じて、スイッチのプロンプトで次のコマンドを入力して、FWSMのメンテナンス パーティションを起動します。
• Cisco IOS ソフトウェアの場合、次のコマンドを入力します。
Router# hw-module module mod_num reset cf:1
• Catalyst OS ソフトウェアの場合、次のコマンドを入力します。
Console> (enable) reset mod_num cf:1
ステップ 3 OS に応じて、次のコマンドを入力して、FWSMへのセッションを開始します。
• Cisco IOS ソフトウェア
Router# session slot number processor 1
• Catalyst OS ソフトウェア
Console> (enable) session module_number
ステップ 4 次のコマンドを入力して、FWSMのメンテナンス パーティションにルートとしてログインします。
デフォルトのパスワードは、 cisco です。
FWSMでは、最初のログイン時にバージョンが表示されます。
Maintenance image version: 2.1(2)
ステップ 5 次のコマンドを入力して、ログイン後にメンテナンス バージョンを表示します。
root@localhost# show version
Maintenance image version: 2.1(2)
mp.2-1-2.bin : Thu Nov 18 11:41:36 PST 2004 : integ@kplus-build-lx.cisco.com
Line Card Number :WS-SVC-FWM-1
Number of Pentium-class Processors : 2
BIOS Vendor: Phoenix Technologies Ltd.
BIOS Version: 4.0-Rel 6.0.9
Total available memory: 1004 MB
Size of compact flash: 123 MB
Daughter Card Info: Number of DC Processors: 3
Size of DC Processor Memory (per proc): 32 MB
メンテナンス ソフトウェアのアップグレード
メンテナンス ソフトウェアをアップグレードする必要がある場合、次の手順を実行します。
ステップ 1 次の URL で Cisco.com からメンテナンス ソフトウェアをダウンロードします。
http://www.cisco.com/cgi-bin/tablebuild.pl/cat6000-serv-maint
FWSM管理コンテキストからアクセス可能な TFTP、HTTP、または HTTPS サーバにソフトウェアをプットします。
ステップ 2 必要に応じて、次の手順で、メンテナンス パーティションからログアウトし、アプリケーション パーティションをリロードします。
a. 次のコマンドを入力して、メンテナンス パーティションからログアウトします。
b. 必要に応じて、OS に応じたコマンドを入力して、アプリケーション パーティションでFWSMを再起動します。
–Cisco IOS ソフトウェアの場合、次のコマンドを入力します。
Router# hw-module module mod_num reset
–Catalyst OS ソフトウェアの場合、次のコマンドを入力します。
Console> (enable) reset mod_num
c. OS に応じて、次のコマンドを入力して、FWSMへのセッションを開始します。
–Cisco IOS ソフトウェア
Router# session slot number processor 1
–Catalyst OS ソフトウェア
Console> (enable) session module_number
ステップ 3 メンテナンス パーティション ソフトウェアをアップグレードするには、次のいずれかのコマンドを使用して、適切なダウンロード サーバを指定します。
マルチコンテキスト モードの場合は、システム実行スペースで作業する必要があります。
• TFTP サーバからメンテナンス ソフトウェアをダウンロードするには、次のコマンドを入力します。
hostname# upgrade-mp tftp[://server[:port][/path]/filename]
サーバ情報を確定するよう促されます。コマンドにサーバ情報を指定しなかった場合は、このプロンプトが出力された時点で入力することができます。
• HTTP または HTTPS サーバからメンテナンス ソフトウェアをダウンロードするには、次のコマンドを入力します。
hostname# upgrade-mp http[s]://[user[:password]@]server[:port][/path]/filename
メンテナンス パーティションのルート アカウントおよびゲスト アカウントのパスワードは、アップグレード後も保持されます。
ステップ 4 次のコマンドを入力して、FWSMのリロードと新しいメンテナンス ソフトウェアのロードを行います。
または、メンテナンス パーティションの起動の準備として FWSM からログアウトすることもできます。メンテナンス パーティションから、両方のアプリケーション パーティションにアプリケーション ソフトウェアをインストールできます。FWSMセッションを終了するには、次のコマンドを入力します。
[Connection to 127.0.0.31 closed by foreign host]
コンフィギュレーション モードで作業している場合、 exit コマンドを複数回入力しなければならないことがあります。
FWSMをメンテナンス パーティションにリロードする方法については、「メンテナンス パーティションからのアプリケーション ソフトウェアのインストール」を参照してください。
次に、TFTP サーバ情報のプロンプトの例を示します。
hostname# upgrade-mp tftp
Address or name of remote host [127.0.0.1]? 10.1.1.5
Source file name [cdisk]? mp.2-1-0-3.bin.gz
copying tftp://10.1.1.5/mp.2-1-0-3.bin.gz to flash
Maintenance partition upgraded.
コンフィギュレーション ファイルのダウンロードおよびバックアップ
ここでは、コンフィギュレーション ファイルのダウンロードおよびバックアップの手順について説明します。内容は次のとおりです。
• 「フラッシュ メモリ内のファイルの確認」
• 「スタートアップまたは実行コンフィギュレーションへのテキスト コンフィギュレーションのダウンロード」
• 「ディスクへのコンテキスト コンフィギュレーションのダウンロード」
• 「設定のバックアップ」
フラッシュ メモリ内のファイルの確認
フラッシュ メモリ内のファイルを表示し、ファイルに関する情報を確認することができます。
• フラッシュ メモリ内のファイルを表示するには、次のコマンドを入力します。
次に例を示します。
9 -rw- 1411 08:53:42 Oct 06 2005 old_running.cfg
10 -rw- 959 09:21:50 Oct 06 2005 admin.cfg
11 -rw- 1929 08:23:44 May 07 2005 admin_backup.cfg
• 特定のファイルに関する拡張情報を表示するには、次のコマンドを入力します。
hostname#
show file information [path:/]filename
デフォルト パスは、内部フラッシュ メモリのルート ディレクトリ(ディスク:/)です。
次に例を示します。
hostname#
show file info admin.cfg
スタートアップまたは実行コンフィギュレーションへのテキスト コンフィギュレーションのダウンロード
次のタイプのサーバからシングル モード コンフィギュレーションまたはマルチモード システム コンフィギュレーションに、テキスト ファイルをダウンロードすることができます。
• TFTP
• FTP
• HTTP
• HTTPS
マルチモード コンテキストについては、「ディスクへのコンテキスト コンフィギュレーションのダウンロード」を参照してください。
(注) コンフィギュレーションを実行コンフィギュレーションにコピーする場合、2 つの設定を結合します。結合によって、新しいコンフィギュレーションのコマンドが実行コンフィギュレーションに追加されます。設定が同じ場合、変更はありません。コマンドが矛盾する場合、またはコマンドがコンテキストの稼働に影響を与える場合、結合の作用はコマンドによって異なります。エラーが発生することもあれば、予想外の結果が生じることもあります。
スタートアップ コンフィギュレーションまたは実行コンフィギュレーションを、サーバからFWSMにコピーするには、次のコマンドを使用して、適切なダウンロード サーバを指定します。
• TFTP サーバからコピーするには、次のコマンドを入力します。
hostname# copy tftp://server[/path]/filename {startup-config | running-config}
• FTP サーバからコピーするには、次のコマンドを入力します。
hostname# copy ftp://[user[:password]@]server[/path]/filename[;type=xx] {startup-config | running-config}
type には、次のいずれかのキーワードを指定できます。
– ap ― ASCII パッシブ モード
– an ― ASCII 標準モード
– ip ― (デフォルト)バイナリ パッシブ モード
– in ― バイナリ標準モード
コンフィギュレーション ファイルには、ASCII またはバイナリを使用できます。
• HTTP または HTTPS サーバからコピーするには、次のコマンドを入力します。
hostname# copy http[s]://[user[:password]@]server[:port][/path]/filename {startup-config | running-config}
次に、TFTP サーバから設定をコピーする例を示します。
hostname# copy tftp://209.165.200.226/configs/startup.cfg startup-config
次に、FTP サーバから設定をコピーする例を示します。
hostname# copy ftp://admin:letmein@209.165.200.227/configs/startup.cfg;type=an startup-config
次に、HTTP サーバから設定をコピーする例を示します。
hostname# copy http://209.165.200.228/configs/startup.cfg startup-config
ディスクへのコンテキスト コンフィギュレーションのダウンロード
コンテキスト コンフィギュレーションをディスクにコピーするには、次のコマンドを使用して、システム実行スペースの適切なダウンロード サーバを指定します。
• TFTP サーバからコピーするには、次のコマンドを入力します。
hostname# copy tftp://server[/path]/filename disk:[path/]filename
• FTP サーバからコピーするには、次のコマンドを入力します。
hostname# copy ftp://[user[:password]@]server[/path]/filename disk:[path/]filename
• HTTP または HTTPS サーバからコピーするには、次のコマンドを入力します。
hostname# copy http[s]://[user[:password]@]server[:port][/path]/filename disk:[path/]filename
シングルモード コンフィギュレーションまたはマルチモード システム コンフィギュレーションのバックアップ
シングル コンテキスト モードで、またはマルチモードのシステム コンフィギュレーションから、外部サーバまたはローカル フラッシュ メモリに、スタートアップ コンフィギュレーションまたは実行コンフィギュレーションをコピーすることができます。
• TFTP サーバにコピーするには、次のコマンドを入力します。
hostname# copy {startup-config | running-config} tftp://server[/path]/filename
• FTP サーバにコピーするには、次のコマンドを入力します。
hostname# copy {startup-config | running-config} ftp://[user[:password]@]server[/path]/filename
• ローカル フラッシュ メモリにコピーするには、次のコマンドを入力します。
hostname# copy {startup-config | running-config} disk:[path/]filename
宛先ディレクトリが存在することを確認してください。存在しない場合、 mkdir コマンドを使用してディレクトリを作成します。
フラッシュ メモリ内のコンテキスト コンフィギュレーションのバックアップ
マルチ コンテキスト モードで、ローカル フラッシュ メモリ内のコンテキスト コンフィギュレーションをコピーするには、システム実行スペースで次のいずれかのコマンドを入力します。
• TFTP サーバにコピーするには、次のコマンドを入力します。
hostname# copy disk:[path/]filename tftp://server[/path]/filename
• FTP サーバにコピーするには、次のコマンドを入力します。
hostname# copy disk:[path/]filename ftp://[user[:password]@]server[/path]/filename
• ローカル フラッシュ メモリにコピーするには、次のコマンドを入力します。
hostname# copy disk:[path/]filename disk:[path/]newfilename
宛先ディレクトリが存在することを確認してください。存在しない場合、 mkdir コマンドを使用してディレクトリを作成します。
コンテキスト内のコンテキスト コンフィギュレーションのバックアップ
マルチコンテキスト モードでは、コンテキスト内で、次のバックアップを実行できます。
• 実行コンフィギュレーションを(admin コンテキストに接続している)スタートアップ コンフィギュレーション サーバにコピーするには、次のコマンドを入力します。
hostname/contexta# copy running-config startup-config
• 実行コンフィギュレーションを、コンテキスト ネットワークに接続している TFTP サーバにコピーするには、次のコマンドを入力します。
hostname/contexta# copy running-config tftp:/server[/path]/filename
端末ディスプレイからの設定のコピー
設定を端末に出力するには、次のコマンドを入力します。
hostname# show running-config
コマンドの出力をコピーして、コンフィギュレーションをテキスト ファイルに貼り付けます。
自動アップデート サポートの設定
自動アップデートとは、自動アップデート サーバで設定とソフトウェア イメージを多数のFWSMにダウンロードし、中央の離れた場所からFWSMの基本的監視を行えるようにするためのプロトコル仕様です。FWSMは、ソフトウェア イメージやコンフィギュレーション ファイルのアップデートがないかどうか確認するため、定期的に自動アップデート サーバへのポーリングを行います。
(注) 自動アップデートは、シングル コンテキスト モードでのみサポートされています。
ここでは、次の内容について説明します。
• 「自動アップデート サーバとの通信の設定」
• 「自動アップデート ステータスの表示」
自動アップデート サーバとの通信の設定
自動アップデートを設定する手順は、次のとおりです。
ステップ 1 次のコマンドを入力して、AUS の URL を指定します。
hostname(config)# auto-update server url [source interface] [verify-certificate]
url の構文は次のとおりです。
http[s]://[user:password@]server_ip[:port]/pathname
設定できるサーバは 1 台のみです。 https を指定した場合、SSL が使用されます。URL の user および password 引数は、サーバへのログイン時の基本認証に使用されます。設定の表示に、 write terminal 、 show configuration 、または show tech-support コマンドを使用した場合、user と password は「********」と表示されます。
デフォルト ポートは、HTTP の場合は 80、HTTPS の場合は 443 です。
source interface 引数には、AUS への要求送信時に使用するインターフェイスを指定します。 management-access コマンドで指定したのと同じインターフェイスを指定した場合、自動アップデート要求は、管理アクセスで使用されるのと同じ IPSec VPN トンネルを使用して送信されます。
verify-certificate キーワードを指定すると、AUS によって返された証明書を確認します。
ステップ 2 (任意)次のコマンドを入力して、AUS との通信時の送信先となる装置 ID を特定します。
hostname(config)# auto-update device-id {hardware-serial | hostname | ipaddress [if-name] | mac-address [if-name] | string text}
使用する ID を指定するには、次のいずれかのパラメータを使用します。
• hardware-serial ― FWSMのシリアル番号を使用します。
• hostname ― FWSMのホスト名を使用します。
• ipaddress ― 指定したインターフェイスの IP アドレスを使用します。インターフェイス名を指定しなかった場合、AUS との通信に使用するインターフェイスの IP アドレスが使用されます。
• mad-address ― 指定したインターフェイスの MAC アドレスを使用します。インターフェイス名を指定しなかった場合、AUS との通信に使用するインターフェイスの MAC アドレスが使用されます。
• string ― 指定したテキスト識別子を使用します。テキスト識別子には、スペース、「‘」、「"」、「>」、「&」、「?」の文字は使用できません。
ステップ 3 (任意)次のコマンドを入力して、設定またはイメージのアップデートがあるかどうかを確認するための AUS へのポーリングの間隔を指定します。
hostname(config)# auto-update poll-period poll-period [retry-count [retry-period]]
poll-period 引数には、アップデートの確認を行う間隔(分単位)を指定します。デフォルトは 720 分(12 時間)です。
retry-count 引数には、最初の接続に失敗した場合の、サーバへの再接続の試行回数を指定します。デフォルトは 0 回です。
poll-period 引数には、次の再試行までの待ち時間(分単位)を指定します。デフォルトは 5 です。
ステップ 4 (任意)自動アップデート サーバへのアクセスが一定時間ない場合、次のコマンドを入力して、トラフィックを中断します。
hostname(config)# auto-update timeout period
period には、タイムアウト時間を分単位で指定します。指定可能な範囲は 1 ~ 35,791 です。デフォルトはタイムアウトなし(0)です。デフォルトに戻す場合は、このコマンドの no 形式を入力します。
このコマンドを使用して、FWSMのイメージとコンフィギュレーションが最新であることを保証します。この状態は、システム ログ メッセージ 201008 としてレポートされます。
次の例では、外部インターフェイスから IP アドレス 209.165.200.224、ポート番号 1742 の AUS にポーリングし、証明書の確認を行うようFWSMを設定します。
また、装置 ID としてFWSMのホスト名を使用し、ポーリング間隔をデフォルトの 720 分から 600 分に減らすよう設定します。ポーリングに失敗した場合、AUS への再接続を 10 回行い、次の再接続の試行まで 3 分待つようにします。
hostname(config)# auto-update server https://jcrichton:farscape@209.165.200.224:1742/management source outside verify-certificate
hostname(config)# auto-update device-id hostname
hostname(config)# auto-update poll-period 600 10 3
自動アップデート ステータスの表示
自動アップデートのステータスを表示するには、次のコマンドを入力します。
hostname(config)# show auto-update
次に、 show auto-update コマンドの出力例を示します。
hostname(config)# show auto-update
Server: https://********@209.165.200.224:1742/management.cgi?1276
Certificate will be verified
Poll period: 720 minutes, retry count: 2, retry period: 5 minutes
Device ID: host name [corporate]
Next poll in 4.93 minutes
Last poll: 11:36:46 PST Tue Nov 13 2004
Last PDM update: 23:36:46 PST Tue Nov 12 2004