アップグレードの計画

Cisco Secure Firewall ASA をアップグレードする前に、次の準備を行う必要があります。

  • 現在のバージョンのターゲット バージョンへのアップグレード パスを確認します。必ず、各オペレーティン グシステムに必要な中間バージョンについて計画してください。

  • 中間バージョンとターゲット バージョンに関係するガイドラインおよび制限事項、またはフェールオーバーとクラスタリングのゼロ ダウンタイム アップグレードに関係するガイドラインおよび制限事項を確認します。

  • Cisco.com から必要なすべてのソフトウェア パッケージをダウンロードします。

  • 設定をバックアップします(特に設定を移行する場合)。

ここでは、ASA をアップグレードする方法について説明します。

アップグレード前の重要なガイドライン

各オペレーティング システムのアップグレード ガイドライン、制約事項、および設定移行をチェックします。

ASA のアップグレード ガイドライン

アップグレードを行う前に、移行およびその他のガイドラインを確認してください。

バージョン固有のガイドラインおよび移行

現在お使いのバージョンにより、1 つまたは複数の設定の移行が必要になる場合があります。またアップグレード時に、最初のバージョンから最後のバージョンまですべてのバージョンの設定ガイドラインを考慮する必要があります。

9.24 ガイドライン
  • ASDM 7.24 には Java 11 が必要:ASDM 7.24 には Java 11 が必要になりました。ASA イメージにバンドルされている Oracle バージョンの場合、Oracle JDK 11 をインストールする必要があります(https://www.oracle.com/java/technologies/javase/jdk11-archive-downloads.html)。以降のバージョンは互換性がありません。リスクを最小限に抑え、Java との互換性と安定性を向上させるために、シスコでは段階的に Java 8 から Java 11 への移行を開始していきます。7.24 に付属している ASDM ランチャー 1.9 (10) 以降にアップグレードした場合でも、ASDM の以前のバージョンを起動できます。

    OpenJRE バージョンでは、Java をインストールする必要はありません。これは組み込みです。

  • ASA 仮想 を 9.24 からダウングレードできません:新しい Grub ブートローダーを含む 9.24 にアップグレードした後は、以前のバージョンにダウングレードできません。新しいバージョンにアップグレードするには、まず 9.24 にアップグレードする必要があります。

9.23 ガイドライン
  • ASA SSH スタックは 9.23 で廃止されました。ASA SSH スタックは使用できなくなりました。Cisco SSH スタックが唯一のスタックになりました。Cisco SSH スタックは EDDSA をサポートしていないため、アップグレードする前に、サポートされている鍵ペアの設定を変更する必要があります。

    1. デフォルトの鍵ペアを生成します。

      crypto key generate {ecdsa elliptic-curve size | rsa modulus size}

      label キーワードを追加しないでください。SSH はデフォルトの鍵ペア(指定した Default-type-Key)のみを使用します。

    2. ssh key-exchange hostkey eddsa コマンドを設定した場合は、no 形式を使用して削除する必要があります。このコマンドを使用すると、予期しない結果が生じる可能性があります。

9.22 ガイドライン
  • 9.22 における、スマートライセンスのデフォルト転送の変更:9.22 において、スマートライセンスのデフォルト転送が Smart Call Home から Smart Transport に変更されました。必要な場合は、transport type callhome コマンドを使用して Smart Call Home を使用するように ASA を設定できます。9.22 にアップグレードすると、転送が自動的に Smart Transport に変更されます。ダウングレードすると、転送は Smart Call Home に戻ります。Smart Transport を使用する場合は、transport type smart を指定する必要があります。また、Smart Transport のライセンスの URL は(tools.cisco.com ではなく)https://smartreceiver.cisco.com であるため、アップストリームルータでその URL を許可するようにしてください。

  • 組み込みスイッチがあるモデルの場合、9.22 以降ではサブインターフェイスで VLAN 1 を使用できません。組み込みスイッチがあるモデルの場合、VLAN 1 を使用してサブインターフェイスを作成することはできません。VLAN 1 は、スイッチポートの論理的な VLAN インターフェイス用に予約されています。1010 を 9.22(1) 以降にアップグレードし、また VLAN 1 をサブインターフェイスに割り当てている場合、まず、サブインターフェイスの VLAN ID を新しい VLAN に変更する必要があります。アップグレード後、存在する場合は、VLAN 1 がサブインターフェイスから削除されます。

9.20 のガイドライン
  • 9.20(4) におけるスマートライセンスのデフォルト転送の変更:9.20(4) において、スマートライセンスのデフォルトの転送が Smart Call Home から Smart Transport に変更されました。必要な場合は、transport type callhome コマンドを使用して Smart Call Home を使用するように ASA を設定できます。9.20(4) にアップグレードすると、転送が自動的に Smart Transport に変更されます。ダウングレードすると、転送は Smart Call Home に戻ります。Smart Transport を使用する場合は、transport type smart を指定する必要があります。また、Smart Transport のライセンスの URL は(tools.cisco.com ではなく)https://smartreceiver.cisco.com であるため、アップストリームルータでその URL を許可するようにしてください。

  • プレフィックスリストと一致するルートマップを指定する OSPFv3 redistribute コマンドは、9.20(2) で削除されます。9.20(2) にアップグレードすると、指定された route-mapmatch ip address prefix-list を使用する OSPFv3 redistribute コマンドが設定から削除されます。プレフィックスリストはサポートされていませんが、パーサーでは引き続きこのコマンド使用できます。アップグレードする前に、match ip address コマンドで ACL を指定するルートマップを使用するように OSPFv3 を再設定する必要があります。


    メモ


    OSPFv2 の IPv4 プレフィックスリストを使用したルートマップの再配布はサポートされていません。


9.19 のガイドライン
  • ASDM 7.19(1) には Oracle Java バージョン 8u261 以降が必要です。ASDM 7.19 にアップグレードする前に、Oracle Java(使用している場合)をバージョン 8u261 以降に更新してください。このバージョンでは、ASDM Launcher のアップグレードに必要な TLSv1.3 がサポートされています。OpenJRE は影響を受けません。

9.18 のガイドライン
  • 9.18(2)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート:ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。(CSCwb05291CSCwb05264

  • 同じポートを使用した同じインターフェイスで HTTPS/ASDM(HTTPS 認証を使用)および SSL を有効にした場合の 9.18(1) アップグレードの問題:同じインターフェイス上で SSL([webvpn] > [インターフェイスの有効化(enable interface)])と HTTPS/ASDM(http )アクセスの両方を有効にした場合、https://ip_address から AnyConnect にアクセスでき、https://ip_address/admin から ASDM にアクセスできます。どちらもポート 443 を使用します。ただし、HTTPS 認証(aaa authentication http console)も有効にする場合は、9.18(1) 以降、ASDM アクセス用に別のポートを指定する必要があります。http コマンドを使用してアップグレードする前に、ポートを変更してください。(CSCvz92016

  • ASDM アップグレードウィザード:ASD API 移行のため、ASA 9.18 以降にアップグレードするには ASDM 7.18 以降を使用する必要があります。ASDM は以前の ASA バージョンと下位互換性があるため、どの ASA バージョンでも ASDM を 7.18 以降にアップグレードできます。

9.17 のガイドライン
  • 9.17(1.13)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート:ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。(CSCwb05291CSCwb05264

  • 9.17(1) 以降でのクライアントレス SSL VPN はサポートされていません。クライアントレス SSL VPN はサポートされなくなりました。

    • webvpn:次のサブコマンドが削除されています。

      • apcf

      • java-trustpoint

      • onscreen-keyboard

      • port-forward

      • portal-access-rule

      • rewrite

      • smart-tunnel

    • group-policy webvpn:次のサブコマンドが削除されています。

      • port-forward

      • smart-tunnel

      • ssl-clientless

  • ASDM アップグレードウィザード:2022 年 3 月以降の内部変更により、アップグレードウィザードは ASDM 7.17(1.152) より前のバージョンでは機能しなくなります。ウィザードを使用するには、手動で 7.17(1.152) にアップグレードする必要があります。

9.16 のガイドライン
  • 9.16(3.19)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート:ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。(CSCwb05291CSCwb05264

  • MD5 ハッシュと DES 暗号化を使用する SNMPv3 ユーザーはサポートされなくなり、9.16(1) にアップグレードするとユーザーが削除されます。アップグレードする前に、snmp-server user コマンドを使用してユーザー設定をより高いセキュリティアルゴリズムに変更してください。

  • 9.16(1) では SSH ホストキーアクションが必要:RSA に加えて、EDDSA および ECDSA ホストキーのサポートが追加されました。ASA は、存在する場合、EDDSA、ECDSA、RSA の順にキーの使用を試みます。9.16(1) にアップグレードすると、ASA は既存の RSA キーを使用するようにフォールバックします。ただし、できるだけ早くcrypto key generate {eddsa | ecdsa} コマンドを使用してセキュリティレベルの高いセキュリティキーを生成することを推奨します。また、ssh key-exchange hostkey rsa コマンドで RSA キーを使用するように ASA を明示的に設定する場合は、2048 ビット以上のキーを生成する必要があります。アップグレードの互換性のために、ASA はデフォルトのホストキー設定が使用されている場合にのみ、より小さい RSA ホストキーを使用します。RSA のサポートは今後のリリースで削除されます。

  • 9.16 以降では、RSA キーを使用した証明書は ECDSA 暗号と互換性がない:ECDHE_ECDSA 暗号グループを使用する場合は、ECDSA 対応キーを含む証明書を使用してトラストポイントを設定します。

  • ssh version コマンドは 9.16(1) で削除されました:このコマンドは削除されました。SSH バージョン 2 のみサポートされます。

  • 9.16 以降にアップグレードすると、別の証明書のシリアル番号が表示される場合がある:9.16 で ASA は OpenSSL の使用を開始しました。これにより、証明書の負の値が異なる方法で計算されるため、アップグレード後に異なるシリアル番号が表示されることがあります。この変更は動作に影響しません(CSCvv30338)。

  • SAMLv1 機能は 9.16(1) で削除されました:SAMLv1 のサポートは削除されました。

  • 9.16(1) では DH グループ 2、5、24 はサポートされません:SSL DH グループ設定の DH グループ 2、5、および 24 のサポートは削除されました。ssl dh-groupコマンドが更新され、コマンドオプション group2group5およびgroup24が削除されました。

9.12 のガイドライン
  • 9.12(4.50)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート:ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。(CSCwb05291CSCwb05264

  • ASDM アップグレード ウィザード:内部的な変更により、このウィザードでは ASDM 7.10(1) 以降の使用のみがサポートされています。また、イメージの命名が変更されたため、ASA 9.10(1) 以降にアップグレードするには、ASDM 7.12(1) 以降を使用する必要があります。ASDM には ASA の以前のリリースと下位互換性があるため、実行している ASA バージョンを問わず、ASDM をアップグレードすることができます。

  • 9.12(1) での SSH セキュリティの改善と新しいデフォルト設定:次の SSH セキュリティの改善点を参照してください。

    • SSH バージョン 1 はサポートされなくなりました。バージョン 2 のみがサポートされています。ssh version 1 コマンドは ssh version 2 に移行されます。

    • Diffie-Hellman Group 14 SHA256 キー交換のサポート。この設定がデフォルト(ssh key-exchange group dh-group14-sha256 )になりました。以前のデフォルトは Group 1 SHA1 でした。SSH クライアントが Diffie-Hellman Group 14 SHA256 をサポートしていることを確認してください。サポートしていない場合は、「Couldn't agree on a key exchange algorithm」などのエラーが表示されることがあります。たとえば、OpenSSH では Diffie-Hellman Group 14 SHA256 がサポートされています。

    • HMAC-SHA256 整合性暗号のサポート。デフォルトは、高セキュリティの暗号セット(ssh cipher integrity high コマンドによって定義された hmac-sha1 および hmac-sha2-256)になりました。以前のデフォルトは中程度のセットでした。

  • NULL-SHA TLSv1 暗号は廃止され、9.12(1) では削除されている:NULL-SHA は暗号化を提供せず、現在の脅威に対して安全とは見なされなくなったため、tls-proxy mode コマンド/オプションおよび show ssl ciphers all の出力に TLSv1 でサポートされている暗号を一覧表示すると削除されます。ssl cipher tlsv1 all コマンドと ssl cipher tlsv1 custom NULL-SHA コマンドも廃止され、削除されます。

  • 9.12(1) ではデフォルトの trustpool が削除されている:PSB 要件、SEC-AUT-DEFROOT に準拠するため、「デフォルト」の信頼できる CA バンドルが ASA イメージから削除されています。その結果、 crypto ca trustpool import default コマンドと crypto ca trustpool import clean default コマンドも、その他の関連ロジックとともに削除されています。ただし、既存の展開では、これらのコマンドを使用して以前にインポートされた証明書はそのまま残ります。

  • ssl encryption コマンドは 9.12(1) で削除されている:9.3(2) では、廃止が公表され、ssl cipher に置き換えられます。9.12(1) では、ssl encryption が削除され、サポートされなくなりました。

クラスタリングのガイドライン

次の例外を除いて、ASA クラスタリングのゼロ ダウンタイム アップグレードに関する特別な要件はありません。


(注)  


ゼロ ダウンタイム ダウングレードは、正式にはクラスタリングでサポートされていません。


  • Firepower 4100/9300 フェールオーバーとフローオフロードのクラスタリング ヒットレス アップグレードの要件:フローオフロード機能でのバグ修正により、FXOS と ASA のいくつかの組み合わせはフローオフロードをサポートしていません(互換性テーブルを参照)。フローオフロードは、ASA のデフォルトでは無効になっています。フローオフロードの使用時にフェールオーバーまたはクラスタリング ヒットレス アップグレードを実行するには、次のアップグレードパスに従って、FXOS 2.3.1.130 以降にアップグレードする際に常に互換性のある組み合わせを実行していることを確認する必要があります。

    1. ASA を 9.8(3) 以降にアップグレードします。

    2. FXOS を 2.3.1.130 以降にアップグレードします。

    3. ASA を最終バージョンにアップグレードします。

    たとえば、FXOS 2.2.2.26/ASA 9.8(1) を実行していて、FXOS 2.6.1/ASA 9.12(1) にアップグレードする場合は、次を実行できます。

    1. ASA を 9.8(4) にアップグレードします。

    2. FXOS を 2.6.1 アップグレードします。

    3. ASA を 9.12(1) にアップグレードします。

  • Firepower 4100/9300 クラスタを FXOS 2.3/ASA 9.9(2) にアップグレード:制御ユニットが FXOS 2.3/9.9(2) 以降で動作している場合、9.8 以前の ASA 上のデータユニットはクラスタに再参加できません。それらのデータユニットは、ASA バージョンを 9.9(2)+ にアップグレードした後に参加できます [CSCvi54844]。

  • 分散サイト間 VPN:障害の発生したユニットでの分散サイト間 VPN セッションは他のユニットで安定するまでに最大 30 分かかります。この間は、さらなるユニット障害によってセッションが失われる可能性があります。このため、クラスタのアップグレード時は、トラフィックの損失を防ぐために次の手順を実行してください。これらの手順をアップグレード タスクに統合するには、FXOS/ASA クラスタのアップグレード手順を参照してください。


    (注)  


    9.9(1) から 9.9(2) 以降にアップグレードする場合、ゼロ ダウンタイム アップグレードは分散サイト間 VPN ではサポートされません。9.9(2) でのアクティブ セッション再配布の機能拡張のために、一部のユニットを 9.9(2) で実行し他のユニットを 9.9(1) で実行することはできません。


    1. 制御ユニットのないシャーシでは、ASA コンソールを使用して 1 つのモジュールでクラスタリングを無効にします。

      cluster group name

      no enable

      このシャーシ上の FXOS と ASA をアップグレードする場合は、シャーシの再起動後にクラスタリングが無効になるように設定を保存します。

      write memory

    2. クラスタが安定するのを待ちます。すべてのバックアップ セッションが作成されたことを確認してください。

      show cluster vpn-sessiondb summary

    3. このシャーシ上のモジュールごとに、手順 1 と 2 を繰り返します。

    4. FXOS CLI または Firepower Chassis Manager を使用してシャーシ上の FXOS をアップグレードします。

    5. シャーシがオンラインになったら、FXOS CLI または Firepower Chassis Manager を使用して各モジュール上の ASA イメージを更新します。

    6. モジュールがオンラインになったら、ASA コンソールで各モジュール上のクラスタリングを再度有効にします。

      cluster group name

      enable

      write memory

    7. 2 番目のシャーシで手順 1 ~ 6 を繰り返します。必ず、まずデータユニットでクラスタリングを無効にしてから、最後に制御ユニットでクラスタリングを無効にしてください。

      新しい制御ユニットが、アップグレードされたシャーシから選択されます。

    8. クラスタが安定したら、制御ユニットで ASA コンソールを使用して、クラスタ内のすべてのモジュール間でアクティブ セッションを再配布します。

      cluster redistribute vpn-sessiondb

  • クラスタリングを含む 9.9(1) 以降に関するアップグレードの問題:9.9(1) 以降では、バックアップの配布が改善されています。新しいバックアップ配布方法を利用するには、次の手順で 9.9(1) 以降へのアップグレードを実行する必要があります。これを行わない場合、アップグレードされたユニットは引き続き古い方法を使用します。

    1. クラスタからすべてのセカンダリ ユニットを削除します(クラスタはプライマリ ユニットのみで構成されます)。

    2. 1 つのセカンダリ ユニットをアップグレードし、クラスタに再参加させます。

    3. プライマリ ユニットでクラスタリングを無効にします。そのユニットをアップグレードし、クラスタに再参加させます。

    4. 残りのセカンダリ ユニットをアップグレードし、それらを一度に 1 つずつクラスタに再参加させます。

  • Firepower 4100/9300 クラスタの ASA 9.8(1) 以前へのアップグレード:アップグレードプロセスの一部であるデータユニット(no enable )のクラスタリングを無効にすると、そのユニット宛てのトラフィックは、トラフィックが新しい所有者 [CSCvc85008] にリダイレクトされるまで、最大で 3 秒間ドロップされる場合があります。

  • CSCvb24585 に関する修正が行われている次のリリースにアップグレードする場合は、ゼロ ダウンタイム アップグレードがサポートされない可能性があります。この修正により、3DES がデフォルト(中レベル)の SSL 暗号から低レベルの暗号セットに移行されました。3DES のみを含むカスタム暗号を設定する場合、接続の相手側が 3DES を含まないデフォルト(中レベル)の暗号を使用していると、不一致が生じる可能性があります。

    • 9.1(7.12)

    • 9.2(4.18)

    • 9.4(3.12)

    • 9.4(4)

    • 9.5(3.2)

    • 9.6(2.4)

    • 9.6(3)

    • 9.7(1)

    • 9.8(1)

  • 完全修飾ドメイン名(FQDN)ACL のアップグレードに関する問題:CSCuv92371 が原因で、FQDN を含む ACL は、クラスタまたはフェールオーバー ペアのセカンダリ ユニットへの不完全な ACL 複製を引き起こす可能性があります。このバグは、9.1(7)、9.5(2)、9.6(1)、およびいくつかの暫定リリースにおいて発生します。CSCuy34265 の修正プログラムを含む 9.1(7.6) 以降、9.5(3) 以降、9.6(2) 以降にアップグレードすることをお勧めします。ただし、設定の複製の性質上、ゼロ ダウンタイム アップグレードは使用できません。さまざまなアップグレード方法の詳細については、CSCuy34265 を参照してください。

  • Firepower Threat Defense バージョン 6.1.0 クラスタは、サイト間クラスタリングをサポートしていません(6.2.0 以降では FlexConfig を使用してサイト間機能を設定できます)。FXOS 2.1.1 で 6.1.0 クラスタを展開または再展開している場合、(サポートされていない)サイト ID の値を入力しているときは、6.2.3 にアップグレードする前に、FXOS の各ユニットでサイト ID を削除(0 に設定)する必要があります。これを行わない場合、ユニットはアップグレード後にクラスタに再参加できません。すでにアップグレード済みの場合は、各ユニットでサイト ID を 0 に変更して問題を解決してください。サイト ID を表示または変更するには、FXOS の構成ガイドを参照してください。

  • 9.5(2) 以降へのアップグレード(CSCuv82933):制御ユニットをアップグレードする前に「show cluster info 」と入力すると、アップグレードされたデータユニットが「DEPUTY_BULK_SYNC」と表示されます。他にも正しい状態と一致しない状態が表示されます。すべてのユニットをアップグレードすると状態が正しく表示されるようになるので、この表示は無視しても構いません。

  • 9.0(1) または 9.1(1) からのアップグレード(CSCue72961):ゼロ ダウンタイム アップグレードはサポートされていません。

フェールオーバーのガイドライン

次の例外を除き、フェールオーバー用のゼロ ダウンタイム アップグレードに関する特別な要件はありません。

  • Firepower 1010 では、無効な VLAN ID によって問題が発生する可能性があります。9.15(1) にアップグレードする前に、3968 〜 4047 の範囲内のスイッチポートに VLAN を使用していないことを確認してください。これらの ID は内部使用専用であり、9.15(1) には、これらの ID を使用していないことを確認するチェックが含まれます。たとえば、フェールオーバーペアのアップグレード後にこれらの ID が使用されていた場合、フェールオーバーペアは一時停止状態になります。詳細については、「CSCvw33057」を参照してください。

  • Firepower 4100/9300 フェールオーバーとフローオフロードのクラスタリング ヒットレス アップグレードの要件:フローオフロード機能でのバグ修正により、FXOS と ASA のいくつかの組み合わせはフローオフロードをサポートしていません(互換性テーブルを参照)。フローオフロードは、ASA のデフォルトでは無効になっています。フローオフロードの使用時にフェールオーバーまたはクラスタリング ヒットレス アップグレードを実行するには、次のアップグレードパスに従って、FXOS 2.3.1.130 以降にアップグレードする際に常に互換性のある組み合わせを実行していることを確認する必要があります。

    1. ASA を 9.8(3) 以降にアップグレードします。

    2. FXOS を 2.3.1.130 以降にアップグレードします。

    3. ASA を最終バージョンにアップグレードします。

    たとえば、FXOS 2.2.2.26/ASA 9.8(1) を実行していて、FXOS 2.6.1/ASA 9.12(1) にアップグレードする場合は、次を実行できます。

    1. ASA を 9.8(4) にアップグレードします。

    2. FXOS を 2.6.1 アップグレードします。

    3. ASA を 9.12(1) にアップグレードします。

  • 8.4(6)、9.0(2)、および 9.1(2) のアップグレードの問題:CSCug88962 が原因で、8.4(6)、9.0(2)、および 9.1(3) へのゼロ ダウンタイム アップグレードを実行することはできません。代わりに 8.4(5) または 9.0(3) にアップグレードする必要があります。9.1(1) をアップグレードする場合、CSCuh25271 が原因で、9.1(3) リリースに直接アップグレードすることはできません。したがってゼロ ダウンタイム アップグレードのための回避策はありません。9.1 (3) 以降にアップグレードする前に、9.1(2) にアップグレードする必要があります。

  • 完全修飾ドメイン名(FQDN)ACL のアップグレードに関する問題:CSCuv92371 が原因で、FQDN を含む ACL は、クラスタまたはフェールオーバー ペアのセカンダリ ユニットへの不完全な ACL 複製を引き起こす可能性があります。このバグは、9.1(7)、9.5(2)、9.6(1)、およびいくつかの暫定リリースにおいて発生します。CSCuy34265 の修正プログラムを含む 9.1(7.6) 以降、9.5(3) 以降、9.6(2) 以降にアップグレードすることをお勧めします。ただし、設定の複製の性質上、ゼロ ダウンタイム アップグレードは使用できません。さまざまなアップグレード方法の詳細については、CSCuy34265 を参照してください。

  • VTI および VXLAN VNI 用の 9.7(1) ~ 9.7(1.X) およびそれ以降のアップグレードに関する問題:Virtual Tunnel Interfaces(VTI)と VXLAN Virtual Network Identifier(VNI)の両方のインターフェイスを設定すると、フェールオーバー用のゼロ ダウンタイム アップグレードは実行できません。両方のユニットが同じバージョンになるまでは、これらのインターフェイス タイプの接続はスタンバイ ユニットに複製されません。(CSCvc83062)

  • 9.8(2) 以降にアップグレードする前に、FIPS モードではフェールオーバーキーを 14 文字以上にする必要があります。FIPS モードで 9.8(2) 以降にアップグレードする前に、failover key または failover ipsec pre-shared-key を 14 文字以上に変更する必要があります。フェールオーバーキーが短すぎる場合、最初のユニットをアップグレードしたときにフェールオーバーキーが拒否され、フェールオーバーキーを有効な値に設定するまで、両方のユニットがアクティブになります。

  • GTP インスペクションのアップグレードの問題:GTP のデータ構造が新しいノードに複製されないため、アップグレード中にダウンタイムが発生する可能性があります。

その他のガイドライン

  • Cisco ASA クライアントレス SSL VPN ポータルのカスタマイズにおける整合性の脆弱性:ASA 上のクライアントレス SSL VPN に対して複数の脆弱性修正が行われているため、修正版へソフトウェアをアップグレードする必要があります。脆弱性の詳細と修正された ASA バージョンのリストについては、https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141008-asa を参照してください。脆弱性をもった構成で以前のバージョンの ASA を運用したことがある場合は、現在実行中のバージョンに関係なく、ポータルのカスタマイズが危殆化されていないか確認する必要があります。過去に攻撃者がカスタマイゼーション オブジェクトを危殆化した場合、ASA を修正版にアップグレードした後にも危殆化されたオブジェクトが存続します。ASA をアップグレードすることで今後の危殆化を阻止できますが、すでに危殆化されているカスタマイゼーション オブジェクトは一切変更されず、システムに存続します。

FXOS のアップグレード ガイドライン

アップグレードする前に、選択したアップグレード パスの各 FXOS バージョンのリリース ノートをお読みください。リリース ノートには、新機能や変更された機能を含む、各 FXOS リリースに関する重要な情報が記載されています。

アップグレードを行うには、対処する必要のある設定変更が必要な場合があります。たとえば、FXOS リリースでサポートされている新しいハードウェアが、FXOS ファームウェアの更新を要求する場合があります。

FXOS リリース ノートはこちらから入手できます:https://www.cisco.com/c/en/us/support/security/firepower-9000-series/products-release-notes-list.html

ASA アップグレードのチェックリスト

アップグレードを計画する際は、次のチェックリストを使用してください。

  1. ASA のモデル(アップグレードパス:ASA アプライアンス):_____________________

    現在の ASA のバージョン(アップグレードパス:ASA アプライアンス):_____________________

  2. モデルごとの ASA/ASDM の互換性をチェックします(モデルごとの ASA と ASDM の互換性)。

    ターゲット ASA のバージョン:_____________________

    ターゲット ASDM のバージョン:_____________________

  3. Firepower 2100 のプラットフォームモードでのアップグレードパスをチェックします(アップグレードパス:Firepower 2100 の ASA(プラットフォームモード))。必要な中間バージョンはありますか。はい _____ いいえ _____

    「はい」の場合、ASA の中間バージョン:______________________________________________________

  4. ターゲットバージョンの ASA/ASDM をダウンロードします(ASA ソフトウェアのダウンロード)。


    (注)  


    ASDM は、すべての Firepower および Cisco Secure Firewall プラットフォームのイメージパッケージに含まれています。


  5. ASA のモデルは Firepower 4100 または 9300 ですか。はい _____ いいえ _____

    「はい」の場合:

    1. 現在の FXOS のバージョン:_____________________

    2. ASA/Firepower 4100 および 9300 の互換性をチェックします(Firepower 4100/9300 と ASA および Firewall Threat Defense の互換性)。

      FXOS のターゲット バージョン:_____________________

    3. 必要な中間バージョンはありますか。はい _____ いいえ _____

      「はい」の場合、FXOS の中間バージョン:______________________________________________________

      互換性を維持するために、必ず、FXOS のアップグレードに合わせた ASA のアップグレードを計画してください。

      アップグレード時に互換性を維持するために必要な ASA の中間バージョン:______________________________________________________

    4. ターゲット バージョンおよび中間バージョンの FXOS をダウンロードします(Firepower 4100/9300 の FXOS をダウンロード)。

      中間バージョンの ASA をダウンロードします(ASA ソフトウェアのダウンロード)。

    5. Radware DefensePro デコレータ アプリケーションを使用しますか。はい _____ いいえ _____

      「はい」の場合:

      1. 現在の DefensePro のバージョン:_____________________

      2. ASA/FXOS/DefensePro の互換性をチェックします(Radware DefensePro の互換性)。

        DefensePro のターゲット バージョン:_____________________

      3. ターゲット バージョンの DefensePro をダウンロードします。

  6. 各オペレーティング システムのアップグレード ガイドラインをチェックします。

  7. 設定をバックアップします。バックアップの方法については、各オペレーティング システムの設定ガイドを参照してください。

互換性

このセクションには、プラットフォーム、オペレーティング システム、およびアプリケーション間の互換性を示す表があります。

モデルごとの ASA と ASDM の互換性

次の表に、現在のモデルに関する ASA と ASDM の互換性を示します。古いバージョンおよびモデルについては、『Cisco ASA Compatibility』を参照してください。

ASA 9.23 および 9.22

太字のリリースは推奨バージョンです。


(注)  


  • 特に明記されていない限り、ASDM のバージョンは以前のすべての ASA のバージョンと下位互換性があります。たとえば、ASDM 7.22(1) は ASA 9.10(1) で ASA 5516-X を管理できます。

  • 新しい ASA バージョンには、連携する ASDM バージョンまたはそれ以降のバージョンが必要です。旧バージョンの ASDM を新しいバージョンの ASA で使用することはできません。たとえば、ASA 9.22 で ASDM 7.20 を使用することはできません。ASA のメンテナンスリリースと暫定バージョンでは、特に明記されていない限り、現在の ASDM バージョンを引き続き使用できます。たとえば、ASDM 7.22(1) で ASA 9.22(1.2) を使用できます。ASA のメンテナンスリリースに重要な新機能がある場合は、通常、新しい ASDM バージョンが必要です。


表 1. ASA と ASDM の互換性:9.23 および 9.22

ASA

ASDM

ASA モデル

ASA 仮想

Firepower 1010

1010E

1120

1140

1150

Cisco Secure Firewall 1210CE

1210CP

1220CX

Cisco Secure Firewall 1230

1240

1250

Cisco Secure Firewall 3105

3110

3120

3130

3140

Firepower 4112

4115

4125

4145

Cisco Secure Firewall 4215

4225

4245

Firepower 9300

ISA 3000

9.23(1)

7.23(1)

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.22(2)

7.22(1)

YES

YES

YES

YES

YES

YES

YES

YES

9.22(1.1)

7.22(1)

YES

YES

YES

YES

YES

YES

YES

YES

ASA 9.20 および 9.19


(注)  


  • ASA 9.20(x) は Firepower 2100 シリーズの最終バージョンです。

  • ASA 9.18(x) は Firepower 4110、4120、4140、4150、および Firepower 9300 のセキュリティモジュール SM-24、SM-36、SM-44 の最終バージョンです。

  • 特に明記されていない限り、ASDM のバージョンは以前のすべての ASA のバージョンと下位互換性があります。たとえば、ASDM 7.19(1) は ASA 9.10(1) で ASA 5516-X を管理できます。次の例外を参照してください。

    • Firepower 1010E では、ASDM 7.19(1) はサポートされていません。7.19(1.90) 以降または 7.18(2.1) を使用する必要があります。

  • 新しい ASA バージョンには、連携する ASDM バージョンまたはそれ以降のバージョンが必要です。旧バージョンの ASDM を新しいバージョンの ASA で使用することはできません。たとえば、ASA 9.19 で ASDM 7.18 を使用することはできません。ASA のメンテナンスリリースと暫定バージョンでは、特に明記されていない限り、現在の ASDM バージョンを引き続き使用できます。たとえば、ASDM 7.20(1) で ASA 9.20(1.5) を使用できます。ASA のメンテナンスリリースに重要な新機能がある場合は、通常、新しい ASDM バージョンが必要です。


表 2. ASA と ASDM の互換性:9.20 および 9.19

ASA

ASDM

ASA モデル

ASA 仮想

Firepower 1010

1120

1140

1150

Firepower 1010E

Firepower 2110

2120

2130

2140

Cisco Secure Firewall 3105

3110

3120

3130

3140

Firepower 4112

4115

4125

4145

Cisco Secure Firewall 4215

4225

4245

Firepower 9300

ISA 3000

9.20(4)

7.20(4)

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.20(3)

7.20(2)

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.20(2)

7.20(2)

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.20(1)

7.20(1)

YES

9.19(1)

7.19(1)

YES

YES

YES

YES

YES

YES

YES

ASA 9.18 ~ 9.17


(注)  


  • ASA 9.16(x) は、ASA 5506-X、5506H-X、5506W-X、5508-X、および 5516-X の最終バージョンです。

  • 特に明記されていない限り、ASDM のバージョンは以前のすべての ASA のバージョンと下位互換性があります。たとえば、ASDM 7.17(1) は ASA 9.10(1) で ASA 5516-X を管理できます。次の例外を参照してください。

    • Firepower 1010E では、ASDM 7.19(1) はサポートされていません。7.19(1.90) 以降または 7.18(2.1) を使用する必要があります。

  • 新しい ASA バージョンには、連携する ASDM バージョンまたはそれ以降のバージョンが必要です。旧バージョンの ASDM を新しいバージョンの ASA で使用することはできません。たとえば、ASA 9.18 で ASDM 7.17 を使用することはできません。ASA のメンテナンスリリースと暫定バージョンでは、特に明記されていない限り、現在の ASDM バージョンを引き続き使用できます。たとえば、ASA 9.17(1.2) を ASDM 7.17(1) とともに使用できます。ASA のメンテナンスリリースに重要な新機能がある場合は、通常、新しい ASDM バージョンが必要です。

  • ASA 9.17(1.13) および 9.18(2) 以降では、ASDM 7.18(1.152) 以降が必要です。ASA では、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで 7.18(1.152) より前の ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。(CSCwb05291CSCwb05264


表 3. ASA と ASDM の互換性:9.18 ~ 9.17

ASA

ASDM

ASA モデル

ASA 仮想

Firepower 1010

1120

1140

1150

Firepower 1010E

Firepower 2110

2120

2130

2140

Secure Firewall 3110

3120

3130

3140

Firepower 4110

4112

4115

4120

4125

4140

4145

4150

Firepower 9300

ISA 3000

9.18(4)

7.19(1)95

YES

YES

YES

YES

YES

YES

YES

YES

9.18(3)

7.18(1.152)

YES

YES

YES

YES

YES

YES

YES

YES

9.18(2.218)

7.18(2.1)

YES

9.18(2)

7.18(1.152)

YES

YES

YES

YES

YES

YES

YES

9.18(1)

7.18(1)

YES

YES

YES

YES

YES

YES

YES

9.17(1.13)

7.18(1.152)

YES

YES

YES

YES

YES

YES

YES

9.17(1)

7.17(1.155)

YES

YES

YES

YES

YES

YES

YES

ASA 9.16


(注)  


  • ASA 9.16(x) は、ASA 5506-X、5506H-X、5506W-X、5508-X、および 5516-X の最終バージョンです。

  • ASA 9.14(x) は ASA 5525-X、5545-X、および 5555-X の最終バージョンです。

  • 特に明記されていない限り、ASDM のバージョンは以前のすべての ASA のバージョンと下位互換性があります。たとえば、ASDM 7.15(1) は ASA 9.10(1) で ASA 5516-X を管理できます。

  • 新しい ASA バージョンには、連携する ASDM バージョンまたはそれ以降のバージョンが必要です。旧バージョンの ASDM を新しいバージョンの ASA で使用することはできません。たとえば、ASA 9.16 で ASDM 7.15 を使用することはできません。ASA のメンテナンスリリースと暫定バージョンでは、特に明記されていない限り、現在の ASDM バージョンを引き続き使用できます。たとえば、ASA 9.16(1.15) を ASDM 7.16(1) とともに使用できます。ASA のメンテナンスリリースに重要な新機能がある場合は、通常、新しい ASDM バージョンが必要です。

  • ASA 9.16(3.19) 以降では、ASDM 7.18(1.152) 以降が必要です。ASA では、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで 7.18(1.152) より前の ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。(CSCwb05291CSCwb05264


表 4. ASA と ASDM の互換性:9.16

ASA

ASDM

ASA モデル

ASA 5506-X

5506H-X

5506W-X

5508-X

5516-X

ASAv

Firepower 1010

1120

1140

1150

Firepower 2110

2120

2130

2140

Firepower 4110

4112

4115

4120

4125

4140

4145

4150

Firepower 9300

ISA 3000

9.16(4)

7.18(1.152)

YES

YES

YES

YES

YES

YES

YES

9.16(3.19)

7.18(1.152)

YES

YES

YES

YES

YES

YES

YES

9.16(3)

7.16(1.150)

YES

YES

YES

YES

YES

YES

YES

9.16(2)

7.16(1.150)

YES

YES

YES

YES

YES

YES

YES

9.16(1)

7.16(1)

YES

YES

YES

YES

YES

YES

YES

ASA 9.14 から 9.13

太字のリリースは推奨バージョンです。


(注)  


  • ASA 9.14(x) は ASA 5525-X、5545-X、および 5555-X の最終バージョンです。

  • ASA 9.12(x) は ASA 5512-X、5515-X、5585-X、および ASASM 用の最終バージョンでした。

  • 特に明記されていない限り、ASDM のバージョンは以前のすべての ASA のバージョンと下位互換性があります。たとえば、ASDM 7.13(1) は ASA 9.10(1) で ASA 5516-X を管理できます。ASDM 7.13(1) と 7.14(1) は、ASA 5512-X、5515-X、5585-X、および ASASM をサポートしていませんでした。そのため、ASDM 7.13(1.101) または 7.14(1.48) にアップグレードして ASDM のサポートを復元する必要があります。

  • 新しい ASA バージョンには、連携する ASDM バージョンまたはそれ以降のバージョンが必要です。旧バージョンの ASDM を新しいバージョンの ASA で使用することはできません。たとえば、ASA 9.14 で ASDM 7.13 を使用することはできません。ASA のメンテナンスリリースと暫定バージョンでは、特に明記されていない限り、現在の ASDM バージョンを引き続き使用できます。たとえば、ASA 9.14(1.2) を ASDM 7.14(1) とともに使用できます。ASA のメンテナンスリリースに重要な新機能がある場合は、通常、新しい ASDM バージョンが必要です。

  • ASA 9.14(4.14) 以降では、ASDM 7.18(1.152) 以降が必要です。ASA では、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで 7.18(1.152) より前の ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。(CSCwb05291CSCwb05264


表 5. ASA と ASDM の互換性:9.14 から 9.13

ASA

ASDM

ASA モデル

ASA 5506-X

5506H-X

5506W-X

5508-X

5516-X

ASA 5525-X

5545-X

5555-X

ASAv

Firepower 1010

1120

1140

1150

Firepower 2110

2120

2130

2140

Firepower 4110

4112

4115

4120

4125

4140

4145

4150

Firepower 9300

ISA 3000

9.14(4.14)

7.18(1.152)

YES

YES

YES

YES

YES

YES

YES

YES

9.14(4)

7.14(1)

YES

YES

YES

YES

YES

YES

YES

YES

9.14(3)

7.14(1)

YES

YES

YES

YES

YES

YES

YES

YES

9.14(2)

7.14(1)

YES

YES

YES

YES

YES

YES

YES

YES

9.14(1.30)

7.14(1)

YES

YES

YES

YES

YES

YES

YES

YES

9.14(1.6)

7.14(1.48)

YES (+ASAv100)

9.14(1)

7.14(1)

YES

YES

YES

YES

YES

YES

YES

YES

9.13(1)

7.13(1)

YES

YES

YES

YES

YES

YES(4112 を除く)

YES

YES

ASA 9.12


(注)  


  • ASA 9.12(x) は ASA 5512-X、5515-X、5585-X、および ASASM 用の最終バージョンでした。

  • 特に明記されていない限り、ASDM のバージョンは以前のすべての ASA のバージョンと下位互換性があります。たとえば、ASDM 7.12(1) は ASA 9.10(1) で ASA 5515-X を管理できます。

  • 新しい ASA バージョンには、連携する ASDM バージョンまたはそれ以降のバージョンが必要です。旧バージョンの ASDM を新しいバージョンの ASA で使用することはできません。たとえば、ASA 9.12 で ASDM 7.10 を使用することはできません。ASA のメンテナンスリリースと暫定バージョンでは、特に明記されていない限り、現在の ASDM バージョンを引き続き使用できます。たとえば、ASA 9.12(1.15) を ASDM 7.12(1) とともに使用できます。ASA のメンテナンスリリースに重要な新機能がある場合は、通常、新しい ASDM バージョンが必要です。

  • ASA 9.8(4.45) および 9.12(4.50) 以降では、ASDM 7.18(1.152) 以降が必要です。ASA では、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで 7.18(1.152) より前の ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。(CSCwb05291CSCwb05264


表 6. ASA と ASDM の互換性:9.12

ASA

ASDM

ASA モデル

ASA 5506-X

5506H-X

5506W-X

5508-X

5516-X

ASA 5512-X

5515-X

5525-X

5545-X

5555-X

ASA 5585-X

ASAv

ASASM

Firepower 2110

2120

2130

2140

Firepower 4110

4120

4140

4150

Firepower 4115

4125

4145

Firepower 9300

ISA 3000

9.12(4.50)

7.18(1.152)

YES

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.12(4)

7.12(2)

YES

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.12(3)

7.12(2)

YES

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.12(2)

7.12(2)

YES

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.12(1)

7.12(1)

YES

YES

YES

YES

YES

YES

YES

YES

YES

YES

Firepower 4100/9300 と ASA および Firewall Threat Defense の互換性

Firepower 4100/9300 では、FXOS とすべての Cisco ASA や Firewall Threat Defense 論理デバイス間の互換性を維持する必要があります。ソフトウェアをアップグレードする前に、FXOS をアップグレードしてください。次の表の太字バージョンは、特別に認定された(テストが強化された)関連リリースです。可能な限り、これらの組み合わせを使用してください。

他のデバイスモデルでは、FXOS の互換性に関する作業が自動的に行われることに注意してください。通常、 ソフトウェアをアップグレードすると、FXOS が自動的にアップグレードされます。マルチインスタンスモードの Cisco Secure Firewall 3100/4200 の場合、 Firewall Management Center では FXOS、Firewall Threat Defense の順番でアップグレードするよう求められます。

アップグレードするには、次の手順に従います。

  • FXOS:FXOS 2.2.2 以降では、上位バージョンに直接アップグレードできます。(FXOS 2.0.1 ~ 2.2.1 は 2.8.1 までアップグレードできます。2.0.1 より前のバージョンについては、各中間バージョンにアップグレードする必要があります。)現在の論理デバイスバージョンをサポートしていないバージョンに FXOS をアップグレードすることはできないことに注意してください。次の手順でアップグレードを行う必要があります。現在の論理デバイスをサポートする最新のバージョンに FXOS をアップグレードします。次に、論理デバイスをその FXOS バージョンでサポートされている最新のバージョンにアップグレードします。たとえば、FXOS 2.2/ASA 9.8 から FXOS 2.13/ASA 9.19 にアップグレードする場合は、次のアップグレードを実行する必要があります。

    1. FXOS 2.2 → FXOS 2.11(9.8 をサポートする最新バージョン)

    2. ASA 9.8 → ASA 9.17(2.11 でサポートされている最新バージョン)

    3. FXOS 2.11 → FXOS 2.13

    4. ASA 9.17 → ASA 9.19

  • Firewall Threat Defense:上記の FXOS 要件に加えて、Firewall Threat Defense に対して中間アップグレードが必要になる場合があります。正確なアップグレードパスについては、ご使用のバージョンのFirewall Management Center アップグレードガイドを参照してください。

  • Cisco ASA:Cisco ASA では、上記の FXOS 要件に注意して、現在のバージョンから任意の上位バージョンに直接アップグレードできます。


(注)  


FXOS 2.8(1.125)+ 以降のバージョンは、ASA SNMP ポーリングおよびトラップに関して ASA 9.14(1) または 9.14(1.10) をサポートしません。9.14(1.15)+ を使用する必要があります。他のリリース(9.13 や 9.12 など)は影響を受けません。


表 7. Firepower 4100/9300 と ASA および Firewall Threat Defense の互換性

FXOS のバージョン

モデル

ASA のバージョン

Firewall Threat Defense バージョン

2.18

Firepower 4112

9.24(推奨)

9.23

9.22

9.20

9.19

10.x(推奨)

7.7

7.6

7.4

7.3

Firepower 4145

Firepower 4125

Firepower 4115

9.24(推奨)

9.23

9.22

9.20

9.19

10.x(推奨)

7.7

7.6

7.4

7.3

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

2.17

Firepower 4112

9.23(推奨)

9.22

9.20

9.19

9.18

7.7(推奨)

7.6

7.4

7.3

7.2

Firepower 4145

Firepower 4125

Firepower 4115

9.23(推奨)

9.22

9.20

9.19

9.18

7.7(推奨)

7.6

7.4

7.3

7.2

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

2.16

Firepower 4112

9.22(推奨)

9.20

9.19

9.18

9.17

7.6(推奨)

7.4

7.3

7.2

7.1

Firepower 4145

Firepower 4125

Firepower 4115

9.22(推奨)

9.20

9.19

9.18

9.17

7.6(推奨)

7.4

7.3

7.2

7.1

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

2.14(1)

Firepower 4112

9.20(推奨)

9.19

9.18

9.17

9.16

9.14

7.4(推奨)

7.3

7.2

7.1

7.0

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.20(推奨)

9.19

9.18

9.17

9.16

9.14

7.4(推奨)

7.3

7.2

7.1

7.0

6.6

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

2.13

Firepower 4112

9.19(推奨)

9.18

9.17

9.16

9.14

7.3(推奨)

7.2

7.1

7.0

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.19(推奨)

9.18

9.17

9.16

9.14

7.3(推奨)

7.2

7.1

7.0

6.6

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

2.12

Firepower 4112

9.18(推奨)

9.17

9.16

9.14

7.2(推奨)

7.1

7.0

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.18(推奨)

9.17

9.16

9.14

9.12

7.2(推奨)

7.1

7.0

6.6

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.18(推奨)

9.17

9.16

9.14

9.12

7.2(推奨)

7.1

7.0

6.6

6.4

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.11

Firepower 4112

9.17(推奨)

9.16

9.14

7.1(推奨)

7.0

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.17(推奨)

9.16

9.14

9.12

7.1(推奨)

7.0

6.6

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.17(推奨)

9.16

9.14

9.12

9.8

7.1(推奨)

7.0

6.6

6.4

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.10

(注)  

 

7.0.2+ および 9.16(3.11)+ との互換性を確保するには、FXOS 2.10(1.179)+ が必要です。

Firepower 4112

9.16(推奨)

9.14

7.0(推奨)

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.16(推奨)

9.14

9.12

7.0(推奨)

6.6

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.16(推奨)

9.14

9.12

9.8

7.0(推奨)

6.6

6.4

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.9

Firepower 4112

9.14

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.14

9.12

6.6

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.14

9.12

9.8

6.6

6.4

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.8

Firepower 4112

9.14

6.6

(注)  

 

6.6.1+ では FXOS 2.8(1.125)+ が必要です。

Firepower 4145

Firepower 4125

Firepower 4115

9.14(推奨)

9.12

(注)  

 

Firepower 9300 SM-56 には ASA 9.12(2)+ が必要

6.6(推奨)

(注)  

 

6.6.1+ では FXOS 2.8(1.125)+ が必要です。

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.14(推奨)

9.12

9.8

6.6(推奨)

(注)  

 

6.6.1+ では FXOS 2.8(1.125)+ が必要です。

6.4

6.2.3

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.6(1.157)

(注)  

 

ASA 9.12+ および FTD 6.4+ では、同じ Firepower 9300 シャーシ内の別のモジュールで実行できるようになりました。

Firepower 4145

Firepower 4125

Firepower 4115

9.12

(注)  

 

Firepower 9300 SM-56 には ASA 9.12.2+ が必要

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.12(推奨)

9.8

6.4(推奨)

6.2.3

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.6(1.131)

Firepower 9300 SM-48

Firepower 9300 SM-40

9.12

サポート対象外

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.12(推奨)

9.8

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.3(1.73)

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.8

(注)  

 

FXOS 2.3(1.130)+ を実行している場合、フローオフロードには 9.8(2.12)+ が必要です。

6.2.3(推奨)

(注)  

 

6.2.3.16+ には FXOS 2.3.1.157+ が必要

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.3(1.66)

2.3(1.58)

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.8

(注)  

 

FXOS 2.3(1.130)+ を実行している場合、フローオフロードには 9.8(2.12)+ が必要です。

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.2

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.8

Firewall Threat Defense バージョンはサポートが終了しています

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

Radware DefensePro の互換性

次の表に、各セキュリティアプライアンスおよび関連する論理デバイスでサポートされる Radware DefensePro バージョンを示します。


(注)  


Radware DefensePro 8.22.2 は、Firepower 4100/9300 プラットフォームでサポートされている Radware DefensePro の最終バージョンです。Firepower 4100/9300 プラットフォームは、8.22.2 以降のバージョンをサポートしていません。


表 8. Radware DefensePro の互換性
FXOS のバージョン ASA Firewall Threat Defense ラドウェア ディフェンス プロ セキュリティアプライアンスのモデル

2.17

9.23(1)

7.7

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4112

Firepower 4115

Firepower 4125

Firepower 4145

2.16

9.22(1)

7.6

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4112

Firepower 4115

Firepower 4125

Firepower 4145

2.14(1)

9.20(1)

7.4(1)

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4112

Firepower 4115

Firepower 4125

Firepower 4145

2.13.0

9.19(1)

7.3

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4112

Firepower 4115

Firepower 4125

Firepower 4145

2.12.0

9.18(1)

7.2

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4110

Firepower 4112

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.11.1

9.17(1)

7.1

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4110

Firepower 4112

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.10.1

9.16(1)

7.0

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4110

Firepower 4112

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.10.1

9.16(1)

7.0

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4110

Firepower 4112

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.9.1

9.15(1)

6.7.0

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4110

Firepower 4112

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.8.1

9.14(1)

6.6.0

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4110

Firepower 4112

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.7(1)

9.13(1)

6.5

8.13.01.09-3

Firepower 9300

Firepower 4110

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.6(1)

9.12(1)

9.10(1)

6.4.0

6.3.0

8.13.01.09-3

Firepower 9300

Firepower 4110

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.4(1)

9.9(2)

9.10(1)

6.2.3

6.3

8.13.01.09-2

Firepower 9300

Firepower 4110

Firepower 4120

Firepower 4140

Firepower 4150

2.3(1)

9.9(1)

9.9(2)

6.2.2

6.2.3

8.13.01.09-2

Firepower 9300

Firepower 4110(Firepower Threat Defense のみ)

Firepower 4120

Firepower 4140

Firepower 4150

2.2(2)

9.8(1)

9.8(2)

9.8(3)

6.2.0

6.2.2

8.10.01.17-2

Firepower 9300

Firepower 4110(Firepower Threat Defense のみ)

Firepower 4120

Firepower 4140

Firepower 4150

2.2(1)

9.7(1)

9.8(1)

6.2.0 8.10.01.17-2

Firepower 9300

Firepower 4110(Firepower Threat Defense のみ)

Firepower 4120

Firepower 4140

Firepower 4150

2.1(1)

9.6(2)

9.6(3)

9.6(4)

9.7(1)

未サポート 8.10.01.16-5

Firepower 9300

Firepower 4120

Firepower 4140

Firepower 4150

2.0(1)

9.6(1)

9.6(2)

9.6(3)

9.6(4)

未サポート 8.10.01.16-5

Firepower 9300

Firepower 4120

Firepower 4140

Firepower 4150

1.1(4) 9.6(1) 未サポート 1.1(2.32 ~ 3) 9300

アップグレードパス

アップグレードするオペレーティング システムごとに、サポートされているアップグレード パスを確認します。場合によっては、最終バージョンにアップグレードする前に、中間アップグレードをインストールする必要があります。

アップグレードパス:ASA アプライアンス

アップグレードするバージョン

シスコサポート & ダウンロードサイトでは、推奨リリースに金色の星が付いています。次に例を示します。

図 1. 推奨リリース
推奨リリース

現在のバージョンの表示

現在のバージョンとモデルを表示するには、次のいずれかの方法を使用します。

  • ASDM:[Home] > [Device Dashboard] > [Device Information] の順に選択します。

  • CLI:show version コマンドを使用します。

アップグレードのガイドライン

開始バージョンと終了バージョンの間で、各リリースのアップグレードガイドラインを必ず確認してください。場合によっては、アップグレードする前に構成を変更する必要があります。そうしないと、停止が発生する可能性があります。 ASA のアップグレード ガイドラインを参照してください。

ASA のセキュリティの問題と、各問題に対する修正を含むリリースについては、ASA Security Advisories を参照してください。

アップグレードパス

次の表に、ASA のアップグレードパスを示します。


(注)  


ASA 9.20 は Firepower 2100 の最終バージョンです。

ASA 9.18 は Firepower 4110、4120、4140、4150、および Firepower 9300 のセキュリティモジュール SM-24、SM-36、SM-44 の最終バージョンです。

ASA 9.16 は ASA 5506-X、5508-X、および 5516-X の最終バージョンです。

ASA 9.14 は ASA 5525-X、5545-X、および 5555-X の最終バージョンです。

ASA 9.12 は ASA 5512-X、5515-X、5585-X、および ASASM 用の最終バージョン、

ASA 9.2 は ASA 5505 の最終バージョンです。

ASA 9.1 は ASA 5510、5520、5540、5550、および 5580 の最終バージョンです。


表 9. アップグレードパス

現在のバージョン

暫定アップグレードバージョン

ターゲットバージョン

9.23

次のいずれかになります。

→ 9.24

9.22

次のいずれかになります。

→ 9.24

→ 9.23

9.20

次のいずれかになります。

→ 9.24

→ 9.23

→ 9.22

9.19

次のいずれかになります。

→ 9.24

→ 9.23

→ 9.22

→ 9.20

9.18

次のいずれかになります。

→ 9.24

→ 9.23

→ 9.22

→ 9.20

→ 9.19

9.17

次のいずれかになります。

→ 9.24

→ 9.22

→ 9.20

→ 9.19

→ 9.18

9.16

次のいずれかになります。

→ 9.24

→ 9.23

→ 9.22

→ 9.20

→ 9.19

→ 9.18

→ 9.17

9.15

次のいずれかになります。

→ 9.24

→ 9.23

→ 9.22

→ 9.20

→ 9.19

→ 9.18

→ 9.17

→ 9.16

9.14

次のいずれかになります。

→ 9.24

→ 9.23

→ 9.22

→ 9.20

→ 9.19

→ 9.18

→ 9.17

→ 9.16

9.13

次のいずれかになります。

→ 9.24

→ 9.23

→ 9.22

→ 9.20

→ 9.19

→ 9.18

→ 9.17

→ 9.16

9.12

次のいずれかになります。

→ 9.24

→ 9.23

→ 9.22

→ 9.20

→ 9.19

→ 9.18

→ 9.17

→ 9.16

9.10

次のいずれかになります。

→ 9.24

→ 9.23

→ 9.22

→ 9.20

→ 9.19

→ 9.18

→ 9.17

→ 9.16

→ 9.12

9.9

次のいずれかになります。

→ 9.24

→ 9.23

→ 9.22

→ 9.20

→ 9.19

→ 9.18

→ 9.17

→ 9.16

→ 9.12

9.8

次のいずれかになります。

→ 9.24

→ 9.23

→ 9.22

→ 9.20

→ 9.19

→ 9.18

→ 9.17

→ 9.16

→ 9.12

9.7

次のいずれかになります。

→ 9.24

→ 9.23

→ 9.22

→ 9.20

→ 9.19

→ 9.18

→ 9.17

→ 9.16

→ 9.12

9.6

次のいずれかになります。

→ 9.24

→ 9.23

→ 9.22

→ 9.20

→ 9.19

→ 9.18

→ 9.17

→ 9.16

→ 9.12

9.5

次のいずれかになります。

→ 9.24

→ 9.23

→ 9.22

→ 9.20

→ 9.19

→ 9.18

→ 9.17

→ 9.16

→ 9.12

9.4

次のいずれかになります。

→ 9.24

→ 9.23

→ 9.22

→ 9.20

→ 9.19

→ 9.18

→ 9.17

→ 9.16

→ 9.12

9.3

次のいずれかになります。

→ 9.24

→ 9.23

→ 9.22

→ 9.20

→ 9.19

→ 9.18

→ 9.17

→ 9.16

→ 9.12

9.2

次のいずれかになります。

→ 9.24

→ 9.23

→ 9.22

→ 9.20

→ 9.19

→ 9.18

→ 9.17

→ 9.16

→ 9.12

9.1(2)、9.1(3)、9.1(4)、9.1(5)、9.1(6)、または 9.1(7.4)

次のいずれかになります。

→ 9.12

9.0(2)、9.0(3)、または 9.0(4)

次のいずれかになります。

→ 9.12

アップグレードパス:Firepower 2100 の ASA(プラットフォームモード)

現在のバージョンとモデルを表示するには、次のいずれかの方法を使用します。

  • ASDM:[Home] > [Device Dashboard] > [Device Information] の順に選択します。

  • CLI:show version コマンドを使用します。

次の表に、Firepower 2100 上のプラットフォームモードの ASA に対応するアップグレードパスを示します。バージョンによっては、新しいバージョンにアップグレードする前に、中間アップグレードが必要になります。推奨バージョンは太字で示されています。

開始バージョンと終了バージョンの間で、各リリースのアップグレードガイドラインを必ず確認してください。場合によっては、アップグレードする前に構成を変更する必要があります。そうしないと、停止が発生する可能性があります。 ASA のアップグレード ガイドラインを参照してください。

ASA のセキュリティの問題と、各問題に対する修正を含むリリースについては、ASA Security Advisories を参照してください。


(注)  


ASA 9.20 は Firepower 2100 の最終バージョンです。


表 10. アップグレードパス

現在のバージョン

暫定アップグレードバージョン

ターゲットバージョン

9.19

次のいずれかになります。

9.20

9.18

次のいずれかになります。

9.20

9.19

9.17

次のいずれかになります。

9.20

9.19

9.18

9.16

次のいずれかになります。

9.20

9.19

9.18

→ 9.17

9.15

次のいずれかになります。

9.20

9.19

9.18

→ 9.17

9.16

9.14

次のいずれかになります。

9.20

9.19

9.18

→ 9.17

9.16

→ 9.15

9.13

→ 9.18

次のいずれかになります。

9.20

9.19

9.13

次のいずれかになります。

9.18

→ 9.17

9.16

→ 9.15

→ 9.14

9.12

→ 9.18

次のいずれかになります。

9.20

9.19

9.12

次のいずれかになります。

9.18

→ 9.17

9.16

→ 9.15

→ 9.14

9.10

→ 9.17

次のいずれかになります。

9.20

9.19

9.18

9.10

次のいずれかになります。

→ 9.17

9.16

→ 9.15

→ 9.14

→ 9.12

9.9

→ 9.17

次のいずれかになります。

9.20

9.19

9.18

9.9

次のいずれかになります。

→ 9.17

9.16

→ 9.15

→ 9.14

→ 9.12

9.8

→ 9.17

次のいずれかになります。

9.20

9.19

9.18

9.8

次のいずれかになります。

→ 9.17

9.16

→ 9.15

→ 9.14

→ 9.12

アップグレードパス:Firepower 4100/9300 用の ASA 論理デバイス

現在のバージョンとモデルを表示するには、次のいずれかの方法を使用します。

  • Firepower シャーシマネージャ:[概要(Overview)] を選択し、上部にある [モデル(Model)] および [バージョン(Version)] フィールドを確認します。

  • CLI:バージョンについては、show version コマンドを使用し、「Package-Vers:」フィールドを確認します。モデルについては、scope chassis 1 を入力し、次に show inventory を入力します。

  • FXOS:FXOS 2.2.2 以降では、上位バージョンに直接アップグレードできます。(FXOS 2.0.1 ~ 2.2.1 は 2.8.1 までアップグレードできます。2.0.1 より前のバージョンについては、各中間バージョンにアップグレードする必要があります。)現在の論理デバイスバージョンをサポートしていないバージョンに FXOS をアップグレードすることはできないことに注意してください。次の手順でアップグレードを行う必要があります。現在の論理デバイスをサポートする最新のバージョンに FXOS をアップグレードします。次に、論理デバイスをその FXOS バージョンでサポートされている最新のバージョンにアップグレードします。たとえば、FXOS 2.2/ASA 9.8 から FXOS 2.13/ASA 9.19 にアップグレードする場合は、次のアップグレードを実行する必要があります。

    1. FXOS 2.2 → FXOS 2.11(9.8 をサポートする最新バージョン)

    2. ASA 9.8 → ASA 9.17(2.11 でサポートされている最新バージョン)

    3. FXOS 2.11 → FXOS 2.13

    4. ASA 9.17 → ASA 9.19

  • Firewall Threat Defense:上記の FXOS 要件に加えて、Firewall Threat Defense に対して中間アップグレードが必要になる場合があります。正確なアップグレードパスについては、ご使用のバージョンのFirewall Management Center アップグレードガイドを参照してください。

  • Cisco ASA:Cisco ASA では、上記の FXOS 要件に注意して、現在のバージョンから任意の上位バージョンに直接アップグレードできます。

表 11. Firepower 4100/9300 と ASA および Firewall Threat Defense の互換性

FXOS のバージョン

モデル

ASA のバージョン

Firewall Threat Defense バージョン

2.18

Firepower 4112

9.24(推奨)

9.23

9.22

9.20

9.19

10.x(推奨)

7.7

7.6

7.4

7.3

Firepower 4145

Firepower 4125

Firepower 4115

9.24(推奨)

9.23

9.22

9.20

9.19

10.x(推奨)

7.7

7.6

7.4

7.3

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

2.17

Firepower 4112

9.23(推奨)

9.22

9.20

9.19

9.18

7.7(推奨)

7.6

7.4

7.3

7.2

Firepower 4145

Firepower 4125

Firepower 4115

9.23(推奨)

9.22

9.20

9.19

9.18

7.7(推奨)

7.6

7.4

7.3

7.2

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

2.16

Firepower 4112

9.22(推奨)

9.20

9.19

9.18

9.17

7.6(推奨)

7.4

7.3

7.2

7.1

Firepower 4145

Firepower 4125

Firepower 4115

9.22(推奨)

9.20

9.19

9.18

9.17

7.6(推奨)

7.4

7.3

7.2

7.1

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

2.14(1)

Firepower 4112

9.20(推奨)

9.19

9.18

9.17

9.16

9.14

7.4(推奨)

7.3

7.2

7.1

7.0

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.20(推奨)

9.19

9.18

9.17

9.16

9.14

7.4(推奨)

7.3

7.2

7.1

7.0

6.6

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

2.13

Firepower 4112

9.19(推奨)

9.18

9.17

9.16

9.14

7.3(推奨)

7.2

7.1

7.0

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.19(推奨)

9.18

9.17

9.16

9.14

7.3(推奨)

7.2

7.1

7.0

6.6

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

2.12

Firepower 4112

9.18(推奨)

9.17

9.16

9.14

7.2(推奨)

7.1

7.0

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.18(推奨)

9.17

9.16

9.14

9.12

7.2(推奨)

7.1

7.0

6.6

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.18(推奨)

9.17

9.16

9.14

9.12

7.2(推奨)

7.1

7.0

6.6

6.4

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.11

Firepower 4112

9.17(推奨)

9.16

9.14

7.1(推奨)

7.0

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.17(推奨)

9.16

9.14

9.12

7.1(推奨)

7.0

6.6

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.17(推奨)

9.16

9.14

9.12

9.8

7.1(推奨)

7.0

6.6

6.4

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.10

(注)  

 

7.0.2+ および 9.16(3.11)+ との互換性を確保するには、FXOS 2.10(1.179)+ が必要です。

Firepower 4112

9.16(推奨)

9.14

7.0(推奨)

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.16(推奨)

9.14

9.12

7.0(推奨)

6.6

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.16(推奨)

9.14

9.12

9.8

7.0(推奨)

6.6

6.4

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.9

Firepower 4112

9.14

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.14

9.12

6.6

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.14

9.12

9.8

6.6

6.4

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.8

Firepower 4112

9.14

6.6

(注)  

 

6.6.1+ では FXOS 2.8(1.125)+ が必要です。

Firepower 4145

Firepower 4125

Firepower 4115

9.14(推奨)

9.12

(注)  

 

Firepower 9300 SM-56 には ASA 9.12(2)+ が必要

6.6(推奨)

(注)  

 

6.6.1+ では FXOS 2.8(1.125)+ が必要です。

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.14(推奨)

9.12

9.8

6.6(推奨)

(注)  

 

6.6.1+ では FXOS 2.8(1.125)+ が必要です。

6.4

6.2.3

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.6(1.157)

(注)  

 

ASA 9.12+ および FTD 6.4+ では、同じ Firepower 9300 シャーシ内の別のモジュールで実行できるようになりました。

Firepower 4145

Firepower 4125

Firepower 4115

9.12

(注)  

 

Firepower 9300 SM-56 には ASA 9.12.2+ が必要

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.12(推奨)

9.8

6.4(推奨)

6.2.3

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.6(1.131)

Firepower 9300 SM-48

Firepower 9300 SM-40

9.12

サポート対象外

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.12(推奨)

9.8

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.3(1.73)

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.8

(注)  

 

FXOS 2.3(1.130)+ を実行している場合、フローオフロードには 9.8(2.12)+ が必要です。

6.2.3(推奨)

(注)  

 

6.2.3.16+ には FXOS 2.3.1.157+ が必要

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.3(1.66)

2.3(1.58)

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.8

(注)  

 

FXOS 2.3(1.130)+ を実行している場合、フローオフロードには 9.8(2.12)+ が必要です。

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.2

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.8

Firewall Threat Defense バージョンはサポートが終了しています

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

ダウングレードについての注記

FXOS イメージのダウングレードは公式にはサポートされていません。シスコがサポートする唯一の FXOS のイメージバージョンのダウングレード方法は、デバイスの完全な再イメージ化を実行することです。

Cisco.com からのソフトウェアのダウンロード

アップグレードを開始する前に Cisco.com からすべてのソフトウェア パッケージをダウンロードしてください。オペレーティング システムに応じて、また CLI または GUI を使用しているかどうかによって、イメージをサーバー上または管理コンピュータ上に配置する必要があります。サポートされているファイルの保存場所の詳細については、各インストール手順を参照してください。


(注)  


Cisco.com のログインおよびシスコ サービス契約が必要です。


ASA ソフトウェアのダウンロード

ASDM アップグレード ウィザードを使用している場合は、ソフトウェアを事前にダウンロードする必要はありません。フェールオーバー アップグレードなど手動でのアップグレードの場合は、ローカル コンピュータにイメージをダウンロードします。

CLI のアップグレードでは、TFTP、HTTP、FTP を含む、多くのタイプのサーバーにソフトウェアを配置することができます。『ASA コマンド リファレンス』の copy コマンドを参照してください。

ASA ソフトウェアは Cisco.com からダウンロードできます。以下の表には、ASA パッケージについての命名規則と情報が含まれています。

表 12. 現在のプラットフォーム

ASA モデル

ダウンロードの場所

パッケージ

ASA Virtual

http://www.cisco.com/go/asav-software

ASA ソフトウェア(アップグレード)

[Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA Virtual アップグレードファイルには、asa962-smp-k8.bin のような名前が付いています。すべてのハイパーバイザにこのアップグレードファイルを使用します。注:.zip(VMware)、.vhdx(Hyper-V)、および .qcow2(KVM)ファイルは初期展開専用です。

(注)  

 

Amazon Web Services などのパブリッククラウドサービス用の ASA Virtual をアップグレードするには、Cisco.com から上記のイメージをダウンロードして(Cisco.com へのログインとシスコとのサービス契約が必要)、このガイドの説明に従ってアップグレードを実行します。パブリッククラウドサービスからアップグレードイメージを取得する方法はありません。

ASDM ソフトウェア(アップグレード)

[Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。

REST API ソフトウェア

[Adaptive Security Appliance REST API Plugin] > バージョンの順に選択します。

API ソフトウェアのファイルには asa-restapi-132-lfbff-k8.SPA のような名前が付いています。REST API をインストールするには、『API クイックスタート ガイド』 を参照してください。

Cisco Application Policy Infrastructure Controller(APIC)の ASA デバイス パッケージ

[ASA for Application Centric Infrastructure (ACI) Device Packages] > バージョンの順に選択します。

APIC 1.2(7) 以降では、ファブリック挿入によるポリシー オーケストレーションまたはファブリック挿入のみのパッケージを選択します。デバイス ソフトウェアのファイルには asa-device-pkg-1.2.7.10.zip のような名前が付いています。ASA デバイス パッケージをインストールするには、『Cisco APIC Layer 4 to Layer 7 Services Deployment Guide』 の「Importing a Device Package」の章を参照してください。

Firepower 1000

http://www.cisco.com/go/asa-firepower-sw

ASA、ASDM、および FXOS ソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA パッケージには、ASA、ASDM、および FXOS ソフトウェアが含まれています。ASA パッケージには、cisco-asa-fp1k.9.13.1.SPA のような名前が付いています。

ASDM ソフトウェア(アップグレード)

使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

現在の ASDM または ASA CLI を使用して、以降のバージョンの ASDM にアップグレードするには、このイメージを使用します。ASDM ソフトウェアのファイルには asdm-7131.bin のような名前が付いています。

(注)  

 

ASA バンドルをアップグレードすると、同じ名前(asdm.bin)であるため、バンドル内の ASDM イメージが ASA 上の前の ASDM バンドル イメージに置き換わります。ただし、アップロードした別の ASDM イメージ(たとえば asdm-7131.bin)を手動で選択すると、バンドル アップグレード後も引き続き同じイメージが使用されます。互換性のある ASDM バージョンを実行していることを確認するには、バンドルをアップグレードする前に ASDM をアップグレードするか、または ASA バンドルをアップグレードする直前に、バンドルされた ASDM イメージ(asdm.bin)を使用するように ASA を再設定する必要があります。

Cisco Secure Firewall 1200

http://www.cisco.com/go/asa-firepower-sw

ASA、ASDM、および FXOS ソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA パッケージには、ASA、ASDM、および FXOS ソフトウェアが含まれています。ASA パッケージには cisco-asa-csf1200.9.22.1.3.SPA のようなファイル名が付いています。

ASDM ソフトウェア(アップグレード)

使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

現在の ASDM または ASA CLI を使用して、以降のバージョンの ASDM にアップグレードするには、このイメージを使用します。ASDM ソフトウェアのファイルには asdm-7221.bin のような名前が付いています。

(注)  

 

ASA バンドルをアップグレードすると、同じ名前(asdm.bin)であるため、バンドル内の ASDM イメージが ASA 上の前の ASDM バンドル イメージに置き換わります。ただし、アップロードした別の ASDM イメージ(たとえば asdm-7221.bin)を手動で選択すると、バンドル アップグレード後も引き続き同じイメージが使用されます。互換性のある ASDM バージョンを実行していることを確認するには、バンドルをアップグレードする前に ASDM をアップグレードするか、または ASA バンドルをアップグレードする直前に、バンドルされた ASDM イメージ(asdm.bin)を使用するように ASA を再設定する必要があります。

Cisco Secure Firewall 3100

https://cisco.com/go/asa-secure-firewall-sw

ASA、ASDM、および FXOS ソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA パッケージには、ASA、ASDM、および FXOS ソフトウェアが含まれています。ASA パッケージには cisco-asa-fp3k.9.17.1.SPA のようなファイル名が付いています。

ASDM ソフトウェア(アップグレード)

使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

現在の ASDM または ASA CLI を使用して、以降のバージョンの ASDM にアップグレードするには、このイメージを使用します。ASDM ソフトウェアのファイルには asdm-7171.bin のような名前が付いています。

(注)  

 

ASA バンドルをアップグレードすると、同じ名前(asdm.bin)であるため、バンドル内の ASDM イメージが ASA 上の前の ASDM バンドル イメージに置き換わります。ただし、アップロードした別の ASDM イメージ(たとえば asdm-7171.bin)を手動で選択すると、バンドル アップグレード後も引き続き同じイメージが使用されます。互換性のある ASDM バージョンを実行していることを確認するには、バンドルをアップグレードする前に ASDM をアップグレードするか、または ASA バンドルをアップグレードする直前に、バンドルされた ASDM イメージ(asdm.bin)を使用するように ASA を再設定する必要があります。

Firepower 4100

http://www.cisco.com/go/firepower4100-software

ASA と ASDM のソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA パッケージには、ASA と ASDM の両方が含まれます。ASA パッケージのファイルには cisco-asa.9.6.2.SPA.csp のような名前が付いています。

ASDM ソフトウェア(アップグレード)

使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

現在の ASDM または ASA CLI を使用して、以降のバージョンの ASDM にアップグレードするには、このイメージを使用します。ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。

(注)  

 

FXOS 内の ASA バンドルをアップグレードすると、ASA 上の古い ASDM バンドル イメージがバンドル内の ASDM イメージに置き換えられます。これは、両者の名前が同じ(asdm.bin)であるためです。ただし、アップロードした別の ASDM イメージ(たとえば asdm-782.bin)を手動で選択すると、バンドル アップグレード後も引き続き同じイメージが使用されます。互換性のある ASDM バージョンを実行していることを確認するには、バンドルをアップグレードする前に ASDM をアップグレードするか、または ASA バンドルをアップグレードする直前に、バンドルされた ASDM イメージ(asdm.bin)を使用するように ASA を再設定する必要があります。

REST API ソフトウェア

使用しているモデル > [Adaptive Security Appliance REST API Plugin] > バージョンの順に選択します。

API ソフトウェアのファイルには asa-restapi-132-lfbff-k8.SPA のような名前が付いています。REST API をインストールするには、『API クイックスタート ガイド』 を参照してください。

Cisco Secure Firewall 4200

https://cisco.com/go/asa-secure-firewall-sw

ASA、ASDM、および FXOS ソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA パッケージには、ASA、ASDM、および FXOS ソフトウェアが含まれています。ASA パッケージには cisco-asa-fp4200.9.20.1.SPA のようなファイル名が付いています。

ASDM ソフトウェア(アップグレード)

使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

現在の ASDM または ASA CLI を使用して、以降のバージョンの ASDM にアップグレードするには、このイメージを使用します。ASDM ソフトウェアのファイルには asdm-7201.bin のような名前が付いています。

(注)  

 

ASA バンドルをアップグレードすると、同じ名前(asdm.bin)であるため、バンドル内の ASDM イメージが ASA 上の前の ASDM バンドル イメージに置き換わります。ただし、アップロードした別の ASDM イメージ(たとえば asdm-7201.bin)を手動で選択すると、バンドル アップグレード後も引き続き同じイメージが使用されます。互換性のある ASDM バージョンを実行していることを確認するには、バンドルをアップグレードする前に ASDM をアップグレードするか、または ASA バンドルをアップグレードする直前に、バンドルされた ASDM イメージ(asdm.bin)を使用するように ASA を再設定する必要があります。

Firepower 9300

http://www.cisco.com/go/firepower9300-software

ASA と ASDM のソフトウェア

[Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA パッケージには、ASA と ASDM の両方が含まれます。ASA パッケージのファイルには cisco-asa.9.6.2.SPA.csp のような名前が付いています。

ASDM ソフトウェア(アップグレード)

[Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

現在の ASDM または ASA CLI を使用して、以降のバージョンの ASDM にアップグレードするには、このイメージを使用します。ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。

(注)  

 

FXOS 内の ASA バンドルをアップグレードすると、ASA 上の古い ASDM バンドル イメージがバンドル内の ASDM イメージに置き換えられます。これは、両者の名前が同じ(asdm.bin)であるためです。ただし、アップロードした別の ASDM イメージ(たとえば asdm-782.bin)を手動で選択すると、バンドル アップグレード後も引き続き同じイメージが使用されます。互換性のある ASDM バージョンを実行していることを確認するには、バンドルをアップグレードする前に ASDM をアップグレードするか、または ASA バンドルをアップグレードする直前に、バンドルされた ASDM イメージ(asdm.bin)を使用するように ASA を再設定する必要があります。

REST API ソフトウェア

[Adaptive Security Appliance REST API Plugin] > バージョンの順に選択します。

API ソフトウェアのファイルには asa-restapi-132-lfbff-k8.SPA のような名前が付いています。REST API をインストールするには、『API クイックスタート ガイド』 を参照してください。

ISA 3000

http://www.cisco.com/go/isa3000-software

ASA ソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA ソフトウェアのファイルには asa962-lfbff-k8.SPA のような名前が付いています。

ASDM ソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。

REST API ソフトウェア

使用しているモデル > [Adaptive Security Appliance REST API Plugin] > バージョンの順に選択します。

API ソフトウェアのファイルには asa-restapi-132-lfbff-k8.SPA のような名前が付いています。REST API をインストールするには、『API クイックスタート ガイド』 を参照してください。

表 13. レガシープラットフォーム

ASA モデル

ダウンロードの場所

パッケージ

ASA 5506-X、ASA 5508-X、および ASA 5516-X

http://www.cisco.com/go/asa-firepower-sw

ASA ソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA ソフトウェアのファイルには asa962-lfbff-k8.SPA のような名前が付いています。

ASDM ソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。

REST API ソフトウェア

使用しているモデル > [Adaptive Security Appliance REST API Plugin] > バージョンの順に選択します。

API ソフトウェアのファイルには asa-restapi-132-lfbff-k8.SPA のような名前が付いています。REST API をインストールするには、『API クイック スタート ガイド』 を参照してください。

ROMmon ソフトウェア

ご使用のモデル > [ASA Rommon Software] > バージョンの順に選択します。

ROMMON ソフトウェアのファイルには asa5500-firmware-1108.SPA のような名前が付いています。

ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X

http://www.cisco.com/go/asa-software

ASA ソフトウェア

使用しているモデル > [Software on Chassis] > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA ソフトウェアのファイルには asa962-smp-k8.bin のような名前が付いています。

ASDM ソフトウェア

使用しているモデル > [Software on Chassis] > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。

REST API ソフトウェア

使用しているモデル > [Software on Chassis] > [Adaptive Security Appliance REST API Plugin] > バージョンの順に選択します。

API ソフトウェアのファイルには asa-restapi-132-lfbff-k8.SPA のような名前が付いています。REST API をインストールするには、『API クイック スタート ガイド』 を参照してください。

Cisco Application Policy Infrastructure Controller(APIC)の ASA デバイス パッケージ

使用しているモデル > [Software on Chassis] > [ASA for Application Centric Infrastructure (ACI) Device Packages] > バージョンの順に選択します。

APIC 1.2(7) 以降では、ファブリック挿入によるポリシー オーケストレーションまたはファブリック挿入のみのパッケージを選択します。デバイス ソフトウェアのファイルには asa-device-pkg-1.2.7.10.zip のような名前が付いています。ASA デバイス パッケージをインストールするには、『Cisco APIC Layer 4 to Layer 7 Services Deployment Guide』 の「Importing a Device Package」の章を参照してください。

ASA 5585-X

http://www.cisco.com/go/asa-software

ASA ソフトウェア

使用しているモデル > [Software on Chassis] > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA ソフトウェアのファイルには asa962-smp-k8.bin のような名前が付いています。

ASDM ソフトウェア

使用しているモデル > [Software on Chassis] > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。

REST API ソフトウェア

使用しているモデル > [Software on Chassis] > [Adaptive Security Appliance REST API Plugin] > バージョンの順に選択します。

API ソフトウェアのファイルには asa-restapi-132-lfbff-k8.SPA のような名前が付いています。REST API をインストールするには、『API クイックスタート ガイド』 を参照してください。

Cisco Application Policy Infrastructure Controller(APIC)の ASA デバイス パッケージ

使用しているモデル > [Software on Chassis] > [ASA for Application Centric Infrastructure (ACI) Device Packages] > バージョンの順に選択します。

APIC 1.2(7) 以降では、ファブリック挿入によるポリシー オーケストレーションまたはファブリック挿入のみのパッケージを選択します。デバイス ソフトウェアのファイルには asa-device-pkg-1.2.7.10.zip のような名前が付いています。ASA デバイス パッケージをインストールするには、『Cisco APIC Layer 4 to Layer 7 Services Deployment Guide』 の「Importing a Device Package」の章を参照してください。

Firepower 2100

http://www.cisco.com/go/asa-firepower-sw

ASA、ASDM、および FXOS ソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA パッケージには、ASA、ASDM、および FXOS ソフトウェアが含まれています。ASA パッケージには、cisco-asa-fp2k.9.8.2.SPAのようなファイル名が付いています。

ASDM ソフトウェア(アップグレード)

使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

現在の ASDM または ASA CLI を使用して、以降のバージョンの ASDM にアップグレードするには、このイメージを使用します。ASDM ソフトウェアのファイルには asdm-782.bin のような名前が付いています。

(注)  

 

ASA バンドルをアップグレードすると、同じ名前(asdm.bin)であるため、バンドル内の ASDM イメージが ASA 上の前の ASDM バンドル イメージに置き換わります。ただし、アップロードした別の ASDM イメージ(たとえば asdm-782.bin)を手動で選択すると、バンドル アップグレード後も引き続き同じイメージが使用されます。互換性のある ASDM バージョンを実行していることを確認するには、バンドルをアップグレードする前に ASDM をアップグレードするか、または ASA バンドルをアップグレードする直前に、バンドルされた ASDM イメージ(asdm.bin)を使用するように ASA を再設定する必要があります。

ISA 3000

http://www.cisco.com/go/isa3000-software

ASA ソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA ソフトウェアのファイルには asa962-lfbff-k8.SPA のような名前が付いています。

ASDM ソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。

REST API ソフトウェア

使用しているモデル > [Adaptive Security Appliance REST API Plugin] > バージョンの順に選択します。

API ソフトウェアのファイルには asa-restapi-132-lfbff-k8.SPA のような名前が付いています。REST API をインストールするには、『API クイックスタート ガイド』 を参照してください。

Firepower 4100/9300 の FXOS をダウンロード

Firepower 4100/9300 用の FXOS パッケージは、シスコ サポートおよびダウンロード サイト で利用できます。

FXOS パッケージを見つけるには、Firepower アプライアンスモデルを選択または検索し、対象バージョンの Firepower Extensible Operating System のダウンロードページを参照します。


(注)  


CLI を使用して FXOS をアップグレードする場合は、Firepower 4100/9300 が SCP、SFTP、TFTP、または FTP を使用してアクセスできるサーバーにアップグレードパッケージをコピーします。


表 14. Firepower 4100/9300 用 FXOS パッケージ

パッケージ タイプ

パッケージ

FXOS イメージ

fxos-k9.version.SPA

リカバリ(キックスタート)

fxos-k9-kickstart.version.SPA

リカバリ(マネージャ)

fxos-k9-manager.version.SPA

リカバリ(システム)

fxos-k9-system.version.SPA

MIB

fxos-mibs-fp9k-fp4k.version.zip

ファームウェア:Firepower 4100 シリーズ

fxos-k9-fpr4k-firmware.version.SPA

ファームウェア:Firepower 9300

fxos-k9-fpr9k-firmware.version.SPA

構成のバックアップ

アップグレードの前に構成およびその他の重要なファイルをバックアップすることをお勧めします(特に設定を移行する場合)。オペレーティング システムごとにバックアップの方法が異なります。詳細については、ASA、ASDM、ASA FirePower ローカル管理、Firepower Management Center、および FXOS 設定の各ガイドを参照してください。