再イメージ化とシステムリカバリ

ここでは、ブートアップの問題をトラブルシューティングし、パスワードの回復を実行する手順について説明します。

アプライアンスモードのフェールセーフ

アプライアンスモードの Firepower 1000、Firepower 2100、Cisco Secure Firewall 1200、3100 または 4200 が ASA の起動に失敗すると、FXOS フェールセーフモードが起動します。このモードの FXOS では、最小限の設定でシステムの診断とリカバリができます。管理インターフェイスに IP アドレス、DNS、および NTP を設定しておけば、ASA イメージのダウンロードとインストールも可能になります。フェールセーフモードでは管理インターフェイスのみを設定できます。FXOS にログインするときは、前に設定した管理者ユーザーと ASA イネーブルパスワードを使用します。

Firepower 2100 プラットフォームモードでは、シャーシ機能を常に FXOS で設定できます。

この章の手順では、Firepower 2100 のアプライアンスモード時とプラットフォームモード時との違いについて説明しています。

初期設定へのリセットの実行(パスワードのリセット)

FXOS にログインできない場合(パスワードを忘れた場合、または SSD disk1 ファイルシステムが破損している場合)は、ROMMON を使用して FXOS 設定を工場出荷時のデフォルトに復元できます。管理者パスワードはデフォルトの Admin123 にリセットされます。この手順では、ASA の設定もリセットされます。パスワードがわかっていて、FXOS 内から工場出荷時のデフォルト設定を復元する場合は、工場出荷時のデフォルト設定の復元を参照してください。

始める前に

この手順を実行するには、コンソールにアクセスできる必要があります。

手順

ステップ 1

コンソールポートに接続し、デバイスの電源をオンにします。ブートアップ中に ROMMON プロンプトを表示するよう要求されたら、Esc を押します。

モニタを注視します。

例:


*******************************************************************************
Cisco System ROMMON, Version 1.0.06, RELEASE SOFTWARE
Copyright (c) 1994-2018  by Cisco Systems, Inc.
Compiled Thu 04/06/2018 12:16:16.21 by builder
*******************************************************************************

Current image running: Boot ROM0
Last reset cause: ResetRequest
DIMM_1/1 : Present
DIMM_2/1 : Present

Platform FPR-2130 with 32768 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: 0c:75:bd:08:c9:80

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.

この時点で、Esc を押します。

ステップ 2

工場出荷時設定へのリセットを実施します。

rommon 2 > factory-reset

(注)  

 

ROMMON バージョン 1.0.04 の場合は、password_reset コマンドを使用します。このコマンドは、以降のバージョンで factory-reset に変更されました。ROMMON バージョンを確認するには、show info を入力します。 

rommon 1 > show info

Cisco System ROMMON, Version 1.0.06, RELEASE SOFTWARE
Copyright (c) 1994-2018  by Cisco Systems, Inc.
Compiled Wed 11/01/2018 18:38:59.66 by builder

設定を消去し、その後イメージを起動することを確認するために複数回プロンプトが表示されます。

(注)  

 

イメージを起動するプロンプトが表示されない場合は、boot コマンドを入力します。

例:

Firepower 2100 プラットフォームモード:


rommon 2 > factory-reset
Warning: All configuration will be permanently lost with this operation
         and application will be initialized to default configuration.
         This operation cannot be undone after booting the application image.
 
         Are you sure you would like to continue ? yes/no [no]: yes
         Please type 'ERASE' to confirm the operation or any other value to cancel: ERASE
 
Performing factory reset...
File size is 0x0000001b
Located .boot_string
Image size 27 inode num 16, bks cnt 1 blk size 8*512
 
Rommon will continue to boot disk0: fxos-k8-fp2k-lfbff.2.3.1.132.SSB
Are you sure you would like to continue ? yes/no [no]: yes
File size is 0x0817a870
Located fxos-k8-fp2k-lfbff.2.3.1.132.SSB

Firepower 1000、2100、Cisco Secure Firewall 1200、3100 および 4200(アプライアンスモード):

(注)  

 

ブートアップ時に、FXOS にログインして管理者パスワードを設定するように求められます。ログインしても問題は発生しませんが、ASA が起動するまで待機し続ける必要があります。ASA プロンプトでログインしてください。イネーブルパスワードを変更するように求められます。これは、システムが FXOS ログインに使用するイネーブルパスワードです。 


rommon 2 > factory-reset
Warning: All configuration will be permanently lost with this operation 
         and application will be initialized to default configuration.
         This operation cannot be undone after booting the application image.
 
         Are you sure you would like to continue ? yes/no [no]: yes
         Please type 'ERASE' to confirm the operation or any other value to cancel: ERASE
 
Performing factory reset...
 
 
Execute 'boot' command afterwards for factory-reset to be initiated.
Use of reset/reboot/reload command will cancel the factory-reset request!
rommon 3 > boot
firepower-2140 login:
Cisco ASA: CMD=-start, CSP-ID=cisco-asa.99.13.1.108__asa_001_JAD200900ZRN2001A1, FLAG=''
Cisco ASA starting ...
[...]
firepower-2140 login: admin (automatic login)
Please wait for Cisco ASA to come online...1...
[...]
User enable_1 logged in to ciscoasa
Logins over the last 1 days: 1.  
Failed logins since the last login: 0.  
 Attaching to ASA CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
 
ciscoasa> enable
The enable password is not set.  Please set it now.
Enter  Password: *****
Repeat Password: *****
Note: Save your configuration so that the password can be used for FXOS failsafe access and persists across reboots
("write memory" or "copy running-config startup-config").
ciscoasa# write memory

ステップ 3

イメージを起動するプロンプトが表示されない場合は、boot コマンドを入力します。

ステップ 4

スタートアップガイドのセットアップタスクを実行します。

ROMMON からの起動

デバイスを起動できない場合は、TFTP サーバーまたは EXT2/3/4、VFAT/FAT32 形式の USB ドライブから FXOS を起動できる ROMMON が起動します。FXOS を起動した後、eMMC(ソフトウェアイメージを保持する内部フラッシュデバイス)を再フォーマットできます。再フォーマットした後、イメージを eMMC に再ダウンロードする必要があります。この手順では、個別の ssd1 に保存されているすべての設定が保持されます。

電力障害やその他のまれな状態が原因で、eMMC ファイルシステムが破損している可能性があります。

始める前に

この手順を実行するには、コンソールにアクセスできる必要があります。

手順

ステップ 1

起動できない場合、システムは ROMMON を起動します。

ROMMON が自動的に起動されない場合、ブートアップ中に ROMMON プロンプトを表示するよう要求されたら、Esc を押します。モニタを注視します。

例:


*******************************************************************************
Cisco System ROMMON, Version 1.0.06, RELEASE SOFTWARE
Copyright (c) 1994-2018  by Cisco Systems, Inc.
Compiled Thu 04/06/2018 12:16:16.21 by builder
*******************************************************************************

Current image running: Boot ROM0
Last reset cause: ResetRequest
DIMM_1/1 : Present
DIMM_2/1 : Present

Platform FPR-2130 with 32768 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: 0c:75:bd:08:c9:80

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.

この時点で、Esc を押します。

ステップ 2

USB ドライブ上のイメージから EXT2/3/4 または VFAT/FAT32 形式で起動するか、TFTP を使用してネットワークを介して起動します。

(注)  

 

9.12 以前で ROMMON から FXOS を起動し、現在インストールされているイメージも起動可能である場合は、現在インストールされているイメージと同じバージョンを起動していることを確認してください。それ以外の場合、FXOS/ASA バージョンが一致しないと、ASA がクラッシュします。9.13 以降では、ROMMON から FXOS を起動すると、ASA が自動的にロードされなくなります。

USB から起動する場合は、次のようにします。

(注)  

 

システムの稼動中に USB デバイスを挿入した場合、USB デバイスを認識させるにはシステムを再起動する必要があります。

boot usb:/path/filename

デバイスは FXOS CLI に起動します。ディスクの内容を表示するには、dir usb: コマンドを使用します。

例:


rommon 1 > dir usb:
rommon 2 > boot usb:/cisco-asa-fp2k.9.20.2.SPA

TFTP から起動する場合は、次のようにします。

管理 1/1 のネットワーク設定を指定し、次の ROMMON コマンドを使用して ASA パッケージをロードします。

address management_ip_address

netmask subnet_mask

server tftp_ip_address

gateway gateway_ip_address

filepath/filename

set

sync

tftpdnld -b

FXOS イメージがダウンロードされ、CLI にブートアップされます。

次の情報を参照してください。

  • set :ネットワーク設定を表示します。ping コマンドを使用してサーバへの接続を確認することもできます。

  • sync :ネットワーク設定を保存します。

  • tftpdnld -b FXOS をロードします。

例:


rommon 1 > address 10.86.118.4
rommon 2 > netmask 255.255.252.0
rommon 3 > server 10.86.118.21
rommon 4 > gateway 10.86.118.1
rommon 5 > file cisco-asa-fp2k.9.8.2.SPA
rommon 6 > set
ROMMON Variable Settings:
  ADDRESS=10.86.118.4
  NETMASK=255.255.252.0
  GATEWAY=10.86.118.21
  SERVER=10.86.118.21
  IMAGE=cisco-asa-fp2k.9.8.2.SPA
  CONFIG=
  PS1="rommon ! > "

rommon 7 > sync
rommon 8 > tftpdnld -b
Enable boot bundle: tftp_reqsize = 268435456

             ADDRESS: 10.86.118.4
             NETMASK: 255.255.252.0
             GATEWAY: 10.86.118.21
              SERVER: 10.86.118.1
               IMAGE: cisco-asa-fp2k.9.8.2.SPA
             MACADDR: d4:2c:44:0c:26:00
           VERBOSITY: Progress
               RETRY: 40
          PKTTIMEOUT: 7200
             BLKSIZE: 1460
            CHECKSUM: Yes
                PORT: GbE/1
             PHYMODE: Auto Detect

link up
Receiving cisco-asa-fp2k.9.8.2.SPA from 10.86.118.21!!!!!!!!
[…]

サーバーへの接続をトラブルシューティングするには、Ping を実行します。


rommon 1 > ping 10.86.118.21
Sending 10, 32-byte ICMP Echoes to 10.86.118.21 timeout is 4 seconds
!!!!!!!!!!
Success rate is 100 percent (10/10)
rommon 2 >

ステップ 3

現在の管理者パスワードを使用して FXOS にログインします。

(注)  

 

ログイン情報がわからない場合、またはディスクの破損が原因でログインできない場合は、ROMMON factory-reset コマンドを使用して工場出荷時設定へのリセットを実行する必要があります(初期設定へのリセットの実行(パスワードのリセット) を参照)。初期設定へのリセットを実行したら、この手順を再開して FXOS を起動し、デフォルトのログイン情報(admin/Admin123)でログインします。

ステップ 4

EMMC を再フォーマットします。

connect local-mgmt

format emmc

yes と入力します。

例:


firepower-2110# connect local-mgmt 
firepower-2110(local-mgmt)# format emmc
All bootable images will be lost.
Do you still want to format? (yes/no):yes

ステップ 5

サーバーから Cisco ASA イメージをダウンロードできるように管理インターフェイスを設定します。

USB を使用する場合は、この手順をスキップできます。

  1. ファブリック インターコネクトのスコープを入力します。

    scope fabric-interconnect a

  2. 新しい管理 IP 情報を設定します。

    set out-of-band static ip ip netmask netmask gw gateway

  3. 設定をコミットします。

    commit-buffer

例:


firepower# scope fabric-interconnect a
firepower /fabric-interconnect # set out-of-band static ip 10.1.1.5 netmask 255.255.255.0 gw 10.1.1.1
firepower /fabric-interconnect* # commit-buffer

(注)  

 

次のエラーが発生する場合は、変更をコミットする前に DHCP を無効にする必要があります。DHCP を無効にするには、次の手順に従います。

firepower /fabric-interconnect* # commit-buffer
Error: Update failed: [Management ipv4 address (IP <ip> / net mask <netmask> ) is not in the same network of current DHCP server IP range <ip - ip>.
Either disable DHCP server first or config with a different ipv4 address.]
firepower /fabric-interconnect* # exit
firepower* # scope system
firepower /system* # scope services
firepower /system/services* # disable dhcp-server
firepower /system/services* # commit-buffer

ステップ 6

ASA パッケージを再ダウンロードして起動します。

  1. パッケージをダウンロードします。USB または TFTP から一時的に起動したので、引き続きローカルディスクにイメージをダウンロードする必要があります。

    scope firmware

    download image url

    show download-task

    次のいずれかを使用してインポートするファイルの URL を指定します。

    • ftp://username@server/[path/]image_name

    • scp://username@server/[path/]image_name

    • sftp://username@server/[path/]image_name

    • tftp://server[:port]/[path/]image_name

    • usbA:/path/filename

    例:

    
firepower-2110# scope firmware
firepower-2110 /firmware # download image tftp://10.86.118.21/cisco-asa-fp2k.9.8.2.SPA
Please use the command 'show download-task' or 'show download-task detail' to check download progress.
firepower-2110 /firmware # show download-task
Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    cisco-asa-fp2k.9.8.2.SPA
              Tftp     10.88.29.21             0                 Downloaded

  2. パッケージのダウンロードが完了([ダウンロード済み(Downloaded)] の状態)したら、パッケージを起動します。

    show package

    scope auto-install

    install security-pack version version

    show package の出力で、security-pack version 番号の Package-Vers 値をコピーします。シャーシが ASA イメージをインストールして再起動します。

    例:

    
firepower 2110 /firmware # show package
Name                                          Package-Vers
--------------------------------------------- ------------
cisco-asa-fp2k.9.8.2.SPA                      9.8.2
firepower 2110 /firmware # scope auto-install
firepower 2110 /firmware/auto-install # install security-pack version 9.8.2
The system is currently installed with security software package not set, which has:
   - The platform version: not set
If you proceed with the upgrade 9.8.2, it will do the following:
   - upgrade to the new platform version 2.2.2.52
   - install with CSP asa version 9.8.2
During the upgrade, the system will be reboot

Do you want to proceed ? (yes/no):yes

This operation upgrades firmware and software on Security Platform Components
Here is the checklist of things that are recommended before starting Auto-Install
(1) Review current critical/major faults
(2) Initiate a configuration backup

Attention:
   If you proceed the system will be re-imaged. All existing configuration will be lost,
   and the default configuration applied.
Do you want to proceed? (yes/no):yes

Triggered the install of software package version 9.8.2
Install started. This will take several minutes.
For monitoring the upgrade progress, please enter 'show' or 'show detail' command.

ステップ 7

シャーシのリブートが完了するのを待ちます(5 ~ 10 分)。

FXOS が起動しても、ASA が稼働するまで(5 分)待機する必要があります。次のメッセージが表示されるまで待機します。 


firepower-2110# 
Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Verifying signature for cisco-asa.9.8.2.2 ...
Verifying signature for cisco-asa.9.8.2.2 ... success

Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Cisco ASA starting ...
Registering to process manager ...
Cisco ASA started successfully. 
...

SSD ファイルシステムの再フォーマット(Firepower 2100)

FXOS に正常にログインしたが、ディスク破損エラーメッセージが表示された場合は、FXOS および ASA 設定が保存されている SSD1 を再フォーマットできます。この手順により、FXOS 設定が工場出荷時のデフォルトに復元されます。プラットフォームモードの場合、管理者パスワードはデフォルトの Admin123 にリセットされます。この手順では、ASA の設定もリセットされます。

この手順は他のモデルに適用されません。このため、スタートアップイメージを維持しながら SSD を消去することはできません。

手順

ステップ 1

コンソールポートから FXOS CLI に接続します。

  • アプライアンスモードの Firepower 2100:コンソールポートで最初に ASA に接続します。FXOS に接続するには、connect fxos admin コマンドを入力します。

  • プラットフォームモードの Firepower 2100:コンソールポートで最初に FXOS に接続します。admin としてログインし、管理者パスワードを入力します。

ステップ 2

SSD1 を再フォーマットします。

connect local-mgmt

format ssd1

例:

Firepower 2100 アプライアンスモード:

(注)  

 

ブートアップ時に、FXOS にログインして管理者パスワードを設定するように求められます。ログインしても問題は発生しませんが、ASA が起動するまで待機し続ける必要があります。ASA プロンプトでログインしてください。イネーブルパスワードを変更するように求められます。これは、システムが FXOS ログインに使用するイネーブルパスワードです。 


firepower-2110# connect local-mgmt 
firepower-2110(local-mgmt)# format ssd1
All configuration will be lost.
Do you still want to format? (yes/no):yes
Broadcast message from root@firepower-2140 (Fri Aug 16 19:53:45 2019):
All shells being terminated due to system /sbin/reboot
[  457.119988] reboot: Restarting system

[...]

*******************************************************************************
Cisco System ROMMON, Version 1.0.12, RELEASE SOFTWARE
Copyright (c) 1994-2019  by Cisco Systems, Inc.
Compiled Mon 06/17/2019 16:23:23.36 by builder
*******************************************************************************
 
Current image running: Boot ROM0
Last reset cause: ResetRequest (0x00001000)
DIMM_1/1 : Present
DIMM_2/1 : Present
 
Platform FPR-2140 with 65536 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: 70:7d:b9:75:23:00
 
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Located '.boot_string' @ cluster 98101.

[...]

Primary SSD discovered
Primary SSD has incorrect partitions
Skipping prompt because disk is blank
Formating Primary SSD...
Creating config partition: START: 1MB END: 1001MB

[...]

firepower-2140 login: 
Waiting for Application infrastructure to be ready...
Verifying the signature of the Application image...
Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.13.0.33__asa_001_JMX2134Y38S4F4RBT1, FLAG=''
Cisco ASA starting ...
Cisco ASA started successfully.

[...]

INFO: Unable to read firewall mode from flash
       Writing default firewall mode (single) to flash
 
INFO: Unable to read cluster interface-mode from flash
        Writing default mode "None" to flash
The 3DES/AES algorithms require a Encryption-3DES-AES entitlement.
The 3DES/AES algorithms require a Encryption-3DES-AES entitlement.
Cisco Adaptive Security Appliance Software Version 9.13.0.33
 
User enable_1 logged in to ciscoasa
Logins over the last 1 days: 1.  
Failed logins since the last login: 0.  
firepower-2140 login: admin (automatic login)
 
Successful login attempts for user 'admin' : 1
Attaching to ASA CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
 
ciscoasa> enable
The enable password is not set.  Please set it now.
Enter  Password: *****
Repeat Password: *****

ステップ 3

スタートアップガイドのセットアップタスクを実行します。

工場出荷時のデフォルト設定の復元

FXOS 設定を工場出荷時のデフォルトに復元します。この手順では、ASA の展開と設定もリセットされます。管理者パスワードもデフォルトの Admin123 にリセットされます。ただし、FXOS でこの手順を実行するため、現在の管理者パスワードを知っている必要があります。管理者パスワードがわからない場合は、初期設定へのリセットの実行(パスワードのリセット) の手順を使用します。

管理者パスワードは Cisco ASA のイネーブルパスワードと同じです。

始める前に

この手順を実行するには、コンソールにアクセスできる必要があります。

手順

ステップ 1

コンソールポートから FXOS CLI に接続します。

connect fxos admin

ステップ 2

ローカル管理に接続します。

connect local-mgmt

例:


firepower-2120# connect local-mgmt
firepower-2120(local-mgmt)#

ステップ 3

すべての FXOS 設定を消去し、最初の工場出荷時のデフォルト設定にシャーシを復元します。

erase configuration

例:


firepower-2120(local-mgmt)# erase configuration
All configurations will be erased and system will reboot. Are you sure? (yes/no):

ステップ 4

設定の消去を確認するには、コマンド プロンプトに yes と入力します。

すべての設定がシャーシから消去された後、システムがリブートします。

(注)  

 

ブートアップ時に、FXOS にログインして管理者パスワードを設定するように求められます。ログインしても問題は発生しませんが、ASA が起動するまで待機し続ける必要があります。ASA プロンプトでログインしてください。イネーブルパスワードを変更するように求められます。これは、システムが FXOS ログインに使用するイネーブルパスワードです。

安全消去の実行

安全消去機能は、SSD 自体で特別なツールを使用してもデータを回復できないように、SSD 上のすべてのデータを消去します。デバイスをデコミッションする場合は、安全消去を実行する必要があります。

Firepower 2100 では、ソフトウェアイメージは消去されないため、引き続き ASA で起動できます。他のモデルでは、ソフトウェアイメージが消去されるため、デバイスは ROMMON で起動し、新しいイメージをダウンロードできます。

始める前に

  • Firepower 1000 では、脅威に対する防御 から ASA に再イメージ化する場合に、デバイスの電源を再投入して、安全消去機能を許可する必要が生じることがあります。安全消去はリブートするだけでは機能しないため、脅威に対する防御 6.5 以降にアップグレードした後か、脅威に対する防御 6.4 から ASA に再イメージ化した場合に電源を再投入する必要があります。

  • この手順を実行するには、コンソールにアクセスできる必要があります。

手順

ステップ 1

コンソールポートから FXOS CLI に接続します。

  • プラットフォームモードの Firepower 2100:コンソールポートで最初に FXOS に接続します。admin としてログインし、管理者パスワードを入力します。

  • その他のすべてのモデル:コンソールポートで最初に ASA に接続します。FXOS に接続するには、connect fxos admin コマンドを入力します。

ステップ 2

ローカル管理を開始します。

local-mgmt

例:


Firepower# connect local-mgmt
Firepower(local-mgmt)#

ステップ 3

SSD を安全に消去します。

erase secure {all | ssd1 | ssd2}

  • all :すべての SSD を消去します。Firepower 2100 または Cisco Secure Firewall 3100 には SSD が 2 つ含まれていますが、Firepower 1000 に含まれているのは SSD1 のみです。

  • ssd1 :SSD1 のみを消去します。

  • ssd2 :SSD2 のみを消去します。

ステップ 4

(プラットフォームモードの Firepower 2100 を除くすべてのモデル)ROMMON で起動します。ROMMON からの起動 に従って新しいイメージを起動します。

完全な再イメージ化の実行

この手順では、デバイスを再フォーマットして、工場出荷時のデフォルト設定に戻します。この手順を実行する場合は、実行後に新しいソフトウェアイメージをダウンロードする必要があります。デバイスの用途を転換するため設定とソフトウェアの両イメージを削除する場合は、完全な再イメージ化を実行する必要がある場合があります。

始める前に

  • この手順を実行するには、コンソールにアクセスできる必要があります。

  • Cisco ASA パッケージを TFTP サーバーまたは USB ドライブに EXT2/3/4 形式か VFAT/FAT32 形式のいずれかでダウンロードします。

  • USB を使用する場合は、開始する前にドライブをインストールます。システムの稼動中に USB デバイスを挿入した場合、USB デバイスを認識させるにはシステムを再起動する必要があります。

手順

ステップ 1

ASA CLI/ASDM またはスマート ソフトウェア ライセンシング サーバーから、スマート ソフトウェア ライセンシング サーバーの ASA の登録を解除します。

ステップ 2

コンソールポートから FXOS CLI に接続します。

  • プラットフォームモードの Firepower 2100:コンソールポートで最初に FXOS に接続します。admin としてログインし、管理者パスワードを入力します。

  • その他のすべてのモデル:コンソールポートで最初に Cisco ASA に接続します。FXOS に接続するには、connect fxos admin コマンドを入力します。

ステップ 3

システムを再フォーマットします。

connect local-mgmt

format everything

yes」と入力すると、デバイスが再起動します。

例:


firepower-2110# connect local-mgmt 
firepower-2110(local-mgmt)# format everything
All configuration and bootable images will be lost.
Do you still want to format? (yes/no):yes

ステップ 4

ブートアップ中に ROMMON プロンプトを表示するよう要求されたら、Esc を押します。モニタを注視します。

例:


*******************************************************************************
Cisco System ROMMON, Version 1.0.03, RELEASE SOFTWARE
Copyright (c) 1994-2017  by Cisco Systems, Inc.
Compiled Thu 04/06/2017 12:16:16.21 by builder
*******************************************************************************

Current image running: Boot ROM0
Last reset cause: ResetRequest
DIMM_1/1 : Present
DIMM_2/1 : Present

Platform FPR-2130 with 32768 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: 0c:75:bd:08:c9:80

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.

この時点で、Esc を押します。

ステップ 5

USB ドライブ上の Cisco ASA パッケージから EXT2/3/4 または VFAT/FAT32 形式で起動するか、TFTP を使用してネットワークを介して起動します。

USB から起動する場合は、次のようにします。

(注)  

 

システムの稼動中に USB デバイスを挿入した場合、USB デバイスを認識させるにはシステムを再起動する必要があります。

boot usb:/path/filename

dir usb: コマンドを使用して、Firepower 1000 および 2100 のディスク内容を表示します。

例:


rommon 1 > dir usb:
rommon 2 > boot usb:/cisco-asa-fp2k.9.8.2.SPA

TFTP から起動する場合は、次のようにします。

管理 1/1 のネットワーク設定を指定し、次の ROMMON コマンドを使用して ASA パッケージをロードします。

address management_ip_address

netmask subnet_mask

server tftp_ip_address

gateway gateway_ip_address

filepath/filename

set

sync

tftpdnld -b

次の情報を参照してください。

  • set :ネットワーク設定を表示します。ping コマンドを使用してサーバへの接続を確認することもできます。

  • sync :ネットワーク設定を保存します。

  • tftpdnld -b :ASA パッケージをロードします。

例:


rommon 1 > address 10.86.118.4
rommon 2 > netmask 255.255.252.0
rommon 3 > server 10.86.118.21
rommon 4 > gateway 10.86.118.1
rommon 5 > file cisco-asa-fp2k.9.8.2.SPA
rommon 6 > set
ROMMON Variable Settings:
  ADDRESS=10.86.118.4
  NETMASK=255.255.252.0
  GATEWAY=10.86.118.21
  SERVER=10.86.118.21
  IMAGE=cisco-asa-fp2k.9.8.2.SPA
  CONFIG=
  PS1="rommon ! > "

rommon 7 > sync
rommon 8 > tftpdnld -b
Enable boot bundle: tftp_reqsize = 268435456

             ADDRESS: 10.86.118.4
             NETMASK: 255.255.252.0
             GATEWAY: 10.86.118.21
              SERVER: 10.86.118.1
               IMAGE: cisco-asa-fp2k.9.8.2.SPA
             MACADDR: d4:2c:44:0c:26:00
           VERBOSITY: Progress
               RETRY: 40
          PKTTIMEOUT: 7200
             BLKSIZE: 1460
            CHECKSUM: Yes
                PORT: GbE/1
             PHYMODE: Auto Detect

link up
Receiving cisco-asa-fp2k.9.8.2.SPA from 10.86.118.21!!!!!!!!
[…]

サーバーへの接続をトラブルシューティングするには、Ping を実行します。


rommon 1 > ping 10.86.118.21
Sending 10, 32-byte ICMP Echoes to 10.86.118.21 timeout is 4 seconds
!!!!!!!!!!
Success rate is 100 percent (10/10)
rommon 2 >

ステップ 6

システムが起動したら、デフォルトのユーザー名(admin)とパスワード(Admin123)を使用して FXOS にログインします。

ステップ 7

サーバーから Cisco ASA イメージをダウンロードできるように管理インターフェイスを設定します。

USB を使用する場合は、この手順をスキップできます。

  1. ファブリック インターコネクトのスコープを入力します。

    scope fabric-interconnect a

  2. 新しい管理 IP 情報を設定します。

    set out-of-band static ip ip netmask netmask gw gateway

  3. 設定をコミットします。

    commit-buffer

例:


firepower# scope fabric-interconnect a
firepower /fabric-interconnect # set out-of-band static ip 10.1.1.5 netmask 255.255.255.0 gw 10.1.1.1
firepower /fabric-interconnect* # commit-buffer

(注)  

 

次のエラーが発生する場合は、変更をコミットする前に DHCP を無効にする必要があります。DHCP を無効にするには、次の手順に従います。

firepower /fabric-interconnect* # commit-buffer
Error: Update failed: [Management ipv4 address (IP <ip> / net mask <netmask> ) is not in the same network of current DHCP server IP range <ip - ip>.
Either disable DHCP server first or config with a different ipv4 address.]
firepower /fabric-interconnect* # exit
firepower* # scope system
firepower /system* # scope services
firepower /system/services* # disable dhcp-server
firepower /system/services* # commit-buffer

ステップ 8

ASA パッケージをダウンロードして起動します。USB または TFTP から一時的に起動したので、引き続きローカルディスクにイメージをダウンロードする必要があります。

  1. パッケージをダウンロードします。

    scope firmware

    download image url

    show download-task

    パッケージは、以前使用したものと同じ TFTP サーバーまたは USB ドライブ、あるいは管理 1/1 上で到達可能な別のサーバーからダウンロードできます。次のいずれかを使用してインポートするファイルの URL を指定します。

    • ftp://username@server/[path/]image_name

    • scp://username@server/[path/]image_name

    • sftp://username@server/[path/]image_name

    • tftp://server[:port]/[path/]image_name

    • usbA:/path/filename

    例:

    
firepower-2110# scope firmware
firepower-2110 /firmware # download image tftp://10.86.118.21/cisco-asa-fp2k.9.8.2.SPA
Please use the command 'show download-task' or 'show download-task detail' to check download progress.
firepower-2110 /firmware # show download-task
Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    cisco-asa-fp2k.9.8.2.SPA
              Tftp     10.88.29.21             0                 Downloaded

  2. パッケージのダウンロードが完了([ダウンロード済み(Downloaded)] の状態)したら、パッケージを起動します。

    show package

    scope auto-install

    install security-pack version version

    show package の出力で、security-pack version 番号の Package-Vers 値をコピーします。シャーシが ASA パッケージをインストールして再起動します。

    例:

    
firepower 2110 /firmware # show package
Name                                          Package-Vers
--------------------------------------------- ------------
cisco-asa-fp2k.9.8.2.SPA                      9.8.2
firepower 2110 /firmware # scope auto-install
firepower 2110 /firmware/auto-install # install security-pack version 9.8.2
The system is currently installed with security software package not set, which has:
   - The platform version: not set
If you proceed with the upgrade 9.8.2, it will do the following:
   - upgrade to the new platform version 2.2.2.52
   - install with CSP asa version 9.8.2
During the upgrade, the system will be reboot

Do you want to proceed ? (yes/no):yes

This operation upgrades firmware and software on Security Platform Components
Here is the checklist of things that are recommended before starting Auto-Install
(1) Review current critical/major faults
(2) Initiate a configuration backup

Attention:
   If you proceed the system will be re-imaged. All existing configuration will be lost,
   and the default configuration applied.
Do you want to proceed? (yes/no):yes

Triggered the install of software package version 9.8.2
Install started. This will take several minutes.
For monitoring the upgrade progress, please enter 'show' or 'show detail' command.

    (注)  

     

    「すべての既存の構成が失われ、デフォルト設定が適用されます」のメッセージは無視します。構成が消去されることはなく、デフォルト設定が適用されることもありません。

ステップ 9

シャーシのリブートが完了するのを待機してから(5 ~ 10 分)、管理者として FXOS にログインします。

FXOS が起動しても、ASA が稼働するまで(5 分)待機する必要があります。次のメッセージが表示されるまで待機します。 


firepower-2110# 
Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Verifying signature for cisco-asa.9.8.2 ...
Verifying signature for cisco-asa.9.8.2 ... success

Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Cisco ASA starting ...
Registering to process manager ...
Cisco ASA started successfully. 
[…]

システムリカバリの履歴

機能

バージョン

詳細

安全消去

9.13(1)

安全消去機能は、SSD 自体で特別なツールを使用してもデータを回復できないように、SSD 上のすべてのデータを消去します。デバイスをデコミッションする場合は、安全消去を実行する必要があります。

新規/変更されたコマンド:erase secure (local-mgmt)