現在お使いのバージョンにより、1 つまたは複数の設定の移行が必要になる場合があります。またアップグレード時に、最初のバージョンから最後のバージョンまですべてのバージョンの設定ガイドラインを考慮する必要があります。

次の例外を除いて、ASA クラスタリングのゼロ ダウンタイム アップグレードに関する特別な要件はありません。

（注）	ゼロ ダウンタイム ダウングレードは、正式にはクラスタリングでサポートされていません。

• Firepower 4100/9300 フェールオーバーとフローオフロードのクラスタリング ヒットレス アップグレードの要件：フローオフロード機能でのバグ修正により、FXOS と ASA のいくつかの組み合わせはフローオフロードをサポートしていません（互換性テーブルを参照）。フローオフロードは、ASA のデフォルトでは無効になっています。フローオフロードの使用時にフェールオーバーまたはクラスタリング ヒットレス アップグレードを実行するには、次のアップグレードパスに従って、FXOS 2.3.1.130 以降にアップグレードする際に常に互換性のある組み合わせを実行していることを確認する必要があります。

  1. ASA を 9.8(3) 以降にアップグレードします。

  2. FXOS を 2.3.1.130 以降にアップグレードします。

  3. ASA を最終バージョンにアップグレードします。

  たとえば、FXOS 2.2.2.26/ASA 9.8(1) を実行していて、FXOS 2.6.1/ASA 9.12(1) にアップグレードする場合は、次を実行できます。

  1. ASA を 9.8(4) にアップグレードします。

  2. FXOS を 2.6.1 アップグレードします。

  3. ASA を 9.12(1) にアップグレードします。

• Firepower 4100/9300 クラスタを FXOS 2.3/ASA 9.9(2) にアップグレード：制御ユニットが FXOS 2.3/9.9(2) 以降で動作している場合、9.8 以前の ASA 上のデータユニットはクラスタに再参加できません。それらのデータユニットは、ASA バージョンを 9.9(2)+ にアップグレードした後に参加できます [CSCvi54844]。

• 分散サイト間 VPN：障害の発生したユニットでの分散サイト間 VPN セッションは他のユニットで安定するまでに最大 30 分かかります。この間は、さらなるユニット障害によってセッションが失われる可能性があります。このため、クラスタのアップグレード時は、トラフィックの損失を防ぐために次の手順を実行してください。これらの手順をアップグレード タスクに統合するには、FXOS/ASA クラスタのアップグレード手順を参照してください。

  （注）	9.9(1) から 9.9(2) 以降にアップグレードする場合、ゼロ ダウンタイム アップグレードは分散サイト間 VPN ではサポートされません。9.9(2) でのアクティブ セッション再配布の機能拡張のために、一部のユニットを 9.9(2) で実行し他のユニットを 9.9(1) で実行することはできません。

  1. 制御ユニットのないシャーシでは、ASA コンソールを使用して 1 つのモジュールでクラスタリングを無効にします。

     cluster group name

     no enable

     このシャーシ上の FXOS と ASA をアップグレードする場合は、シャーシの再起動後にクラスタリングが無効になるように設定を保存します。

     write memory

  2. クラスタが安定するのを待ちます。すべてのバックアップ セッションが作成されたことを確認してください。

     show cluster vpn-sessiondb summary

  3. このシャーシ上のモジュールごとに、手順 1 と 2 を繰り返します。

  4. FXOS CLI または Firepower Chassis Manager を使用してシャーシ上の FXOS をアップグレードします。

  5. シャーシがオンラインになったら、FXOS CLI または Firepower Chassis Manager を使用して各モジュール上の ASA イメージを更新します。

  6. モジュールがオンラインになったら、ASA コンソールで各モジュール上のクラスタリングを再度有効にします。

     cluster group name

     enable

     write memory

  7. 2 番目のシャーシで手順 1 ～ 6 を繰り返します。必ず、まずデータユニットでクラスタリングを無効にしてから、最後に制御ユニットでクラスタリングを無効にしてください。

     新しい制御ユニットが、アップグレードされたシャーシから選択されます。

  8. クラスタが安定したら、制御ユニットで ASA コンソールを使用して、クラスタ内のすべてのモジュール間でアクティブ セッションを再配布します。

     cluster redistribute vpn-sessiondb

• クラスタリングを含む 9.9(1) 以降に関するアップグレードの問題：9.9(1) 以降では、バックアップの配布が改善されています。新しいバックアップ配布方法を利用するには、次の手順で 9.9(1) 以降へのアップグレードを実行する必要があります。これを行わない場合、アップグレードされたユニットは引き続き古い方法を使用します。

  1. クラスタからすべてのセカンダリ ユニットを削除します（クラスタはプライマリ ユニットのみで構成されます）。

  2. 1 つのセカンダリ ユニットをアップグレードし、クラスタに再参加させます。

  3. プライマリ ユニットでクラスタリングを無効にします。そのユニットをアップグレードし、クラスタに再参加させます。

  4. 残りのセカンダリ ユニットをアップグレードし、それらを一度に 1 つずつクラスタに再参加させます。

• Firepower 4100/9300 クラスタの ASA 9.8(1) 以前へのアップグレード：アップグレードプロセスの一部であるデータユニット（no enable ）のクラスタリングを無効にすると、そのユニット宛てのトラフィックは、トラフィックが新しい所有者 [CSCvc85008] にリダイレクトされるまで、最大で 3 秒間ドロップされる場合があります。

• CSCvb24585 に関する修正が行われている次のリリースにアップグレードする場合は、ゼロ ダウンタイム アップグレードがサポートされない可能性があります。この修正により、3DES がデフォルト（中レベル）の SSL 暗号から低レベルの暗号セットに移行されました。3DES のみを含むカスタム暗号を設定する場合、接続の相手側が 3DES を含まないデフォルト（中レベル）の暗号を使用していると、不一致が生じる可能性があります。

  • 9.1(7.12)

  • 9.2(4.18)

  • 9.4(3.12)

  • 9.4(4)

  • 9.5(3.2)

  • 9.6(2.4)

  • 9.6(3)

  • 9.7(1)

  • 9.8(1)

• 完全修飾ドメイン名（FQDN）ACL のアップグレードに関する問題：CSCuv92371 が原因で、FQDN を含む ACL は、クラスタまたはフェールオーバー ペアのセカンダリ ユニットへの不完全な ACL 複製を引き起こす可能性があります。このバグは、9.1(7)、9.5(2)、9.6(1)、およびいくつかの暫定リリースにおいて発生します。CSCuy34265 の修正プログラムを含む 9.1(7.6) 以降、9.5(3) 以降、9.6(2) 以降にアップグレードすることをお勧めします。ただし、設定の複製の性質上、ゼロ ダウンタイム アップグレードは使用できません。さまざまなアップグレード方法の詳細については、CSCuy34265 を参照してください。

• Firepower Threat Defense バージョン 6.1.0 クラスタは、サイト間クラスタリングをサポートしていません（6.2.0 以降では FlexConfig を使用してサイト間機能を設定できます）。FXOS 2.1.1 で 6.1.0 クラスタを展開または再展開している場合、（サポートされていない）サイト ID の値を入力しているときは、6.2.3 にアップグレードする前に、FXOS の各ユニットでサイト ID を削除（0 に設定）する必要があります。これを行わない場合、ユニットはアップグレード後にクラスタに再参加できません。すでにアップグレード済みの場合は、各ユニットでサイト ID を 0 に変更して問題を解決してください。サイト ID を表示または変更するには、FXOS の構成ガイドを参照してください。

• 9.5(2) 以降へのアップグレード（CSCuv82933）：制御ユニットをアップグレードする前に「show cluster info 」と入力すると、アップグレードされたデータユニットが「DEPUTY_BULK_SYNC」と表示されます。他にも正しい状態と一致しない状態が表示されます。すべてのユニットをアップグレードすると状態が正しく表示されるようになるので、この表示は無視しても構いません。

• 9.0(1) または 9.1(1) からのアップグレード（CSCue72961）：ゼロ ダウンタイム アップグレードはサポートされていません。

次の例外を除き、フェールオーバー用のゼロ ダウンタイム アップグレードに関する特別な要件はありません。

• Firepower 1010 では、無効な VLAN ID によって問題が発生する可能性があります。9.15(1) にアップグレードする前に、3968 〜 4047 の範囲内のスイッチポートに VLAN を使用していないことを確認してください。これらの ID は内部使用専用であり、9.15(1) には、これらの ID を使用していないことを確認するチェックが含まれます。たとえば、フェールオーバーペアのアップグレード後にこれらの ID が使用されていた場合、フェールオーバーペアは一時停止状態になります。詳細については、「CSCvw33057」を参照してください。

• Firepower 4100/9300 フェールオーバーとフローオフロードのクラスタリング ヒットレス アップグレードの要件：フローオフロード機能でのバグ修正により、FXOS と ASA のいくつかの組み合わせはフローオフロードをサポートしていません（互換性テーブルを参照）。フローオフロードは、ASA のデフォルトでは無効になっています。フローオフロードの使用時にフェールオーバーまたはクラスタリング ヒットレス アップグレードを実行するには、次のアップグレードパスに従って、FXOS 2.3.1.130 以降にアップグレードする際に常に互換性のある組み合わせを実行していることを確認する必要があります。

  1. ASA を 9.8(3) 以降にアップグレードします。

  2. FXOS を 2.3.1.130 以降にアップグレードします。

  3. ASA を最終バージョンにアップグレードします。

  たとえば、FXOS 2.2.2.26/ASA 9.8(1) を実行していて、FXOS 2.6.1/ASA 9.12(1) にアップグレードする場合は、次を実行できます。

  1. ASA を 9.8(4) にアップグレードします。

  2. FXOS を 2.6.1 アップグレードします。

  3. ASA を 9.12(1) にアップグレードします。

• 8.4(6)、9.0(2)、および 9.1(2) のアップグレードの問題：CSCug88962 が原因で、8.4(6)、9.0(2)、および 9.1(3) へのゼロ ダウンタイム アップグレードを実行することはできません。代わりに 8.4(5) または 9.0(3) にアップグレードする必要があります。9.1(1) をアップグレードする場合、CSCuh25271 が原因で、9.1(3) リリースに直接アップグレードすることはできません。したがってゼロ ダウンタイム アップグレードのための回避策はありません。9.1 (3) 以降にアップグレードする前に、9.1(2) にアップグレードする必要があります。

• 完全修飾ドメイン名（FQDN）ACL のアップグレードに関する問題：CSCuv92371 が原因で、FQDN を含む ACL は、クラスタまたはフェールオーバー ペアのセカンダリ ユニットへの不完全な ACL 複製を引き起こす可能性があります。このバグは、9.1(7)、9.5(2)、9.6(1)、およびいくつかの暫定リリースにおいて発生します。CSCuy34265 の修正プログラムを含む 9.1(7.6) 以降、9.5(3) 以降、9.6(2) 以降にアップグレードすることをお勧めします。ただし、設定の複製の性質上、ゼロ ダウンタイム アップグレードは使用できません。さまざまなアップグレード方法の詳細については、CSCuy34265 を参照してください。

• VTI および VXLAN VNI 用の 9.7(1) ～ 9.7(1.X) およびそれ以降のアップグレードに関する問題：Virtual Tunnel Interfaces（VTI）と VXLAN Virtual Network Identifier（VNI）の両方のインターフェイスを設定すると、フェールオーバー用のゼロ ダウンタイム アップグレードは実行できません。両方のユニットが同じバージョンになるまでは、これらのインターフェイス タイプの接続はスタンバイ ユニットに複製されません。（CSCvc83062）

• 9.8(2) 以降にアップグレードする前に、FIPS モードではフェールオーバーキーを 14 文字以上にする必要があります。FIPS モードで 9.8(2) 以降にアップグレードする前に、failover key または failover ipsec pre-shared-key を 14 文字以上に変更する必要があります。フェールオーバーキーが短すぎる場合、最初のユニットをアップグレードしたときにフェールオーバーキーが拒否され、フェールオーバーキーを有効な値に設定するまで、両方のユニットがアクティブになります。

• GTP インスペクションのアップグレードの問題：GTP のデータ構造が新しいノードに複製されないため、アップグレード中にダウンタイムが発生する可能性があります。

太字のリリースは推奨バージョンです。

（注）

特に明記されていない限り、ASDM のバージョンは以前のすべての ASA のバージョンと下位互換性があります。たとえば、ASDM 7.22(1) は ASA 9.10(1) で ASA 5516-X を管理できます。 新しい ASA バージョンには、連携する ASDM バージョンまたはそれ以降のバージョンが必要です。旧バージョンの ASDM を新しいバージョンの ASA で使用することはできません。たとえば、ASA 9.22 で ASDM 7.20 を使用することはできません。ASA のメンテナンスリリースと暫定バージョンでは、特に明記されていない限り、現在の ASDM バージョンを引き続き使用できます。たとえば、ASDM 7.22(1) で ASA 9.22(1.2) を使用できます。ASA のメンテナンスリリースに重要な新機能がある場合は、通常、新しい ASDM バージョンが必要です。

太字のリリースは推奨バージョンです。

（注）

ASA 9.14(x) は ASA 5525-X、5545-X、および 5555-X の最終バージョンです。 ASA 9.12(x) は ASA 5512-X、5515-X、5585-X、および ASASM 用の最終バージョンでした。 特に明記されていない限り、ASDM のバージョンは以前のすべての ASA のバージョンと下位互換性があります。たとえば、ASDM 7.13(1) は ASA 9.10(1) で ASA 5516-X を管理できます。ASDM 7.13(1) と 7.14(1) は、ASA 5512-X、5515-X、5585-X、および ASASM をサポートしていませんでした。そのため、ASDM 7.13(1.101) または 7.14(1.48) にアップグレードして ASDM のサポートを復元する必要があります。 新しい ASA バージョンには、連携する ASDM バージョンまたはそれ以降のバージョンが必要です。旧バージョンの ASDM を新しいバージョンの ASA で使用することはできません。たとえば、ASA 9.14 で ASDM 7.13 を使用することはできません。ASA のメンテナンスリリースと暫定バージョンでは、特に明記されていない限り、現在の ASDM バージョンを引き続き使用できます。たとえば、ASA 9.14(1.2) を ASDM 7.14(1) とともに使用できます。ASA のメンテナンスリリースに重要な新機能がある場合は、通常、新しい ASDM バージョンが必要です。 ASA 9.14(4.14) 以降では、ASDM 7.18(1.152) 以降が必要です。ASA では、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで 7.18(1.152) より前の ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。（CSCwb05291、CSCwb05264）