アップグレードの計画

Cisco Secure Firewall ASA をアップグレードする前に、次の準備を行う必要があります。

  • 異なるバージョンのオペレーティング システム間の互換性を確認します。たとえば、ASA のバージョンと ASA FirePower モジュールのバージョンに互換性があることを確認します。

  • 現在のバージョンのターゲット バージョンへのアップグレード パスを確認します。必ず、各オペレーティン グシステムに必要な中間バージョンについて計画してください。

  • 中間バージョンとターゲット バージョンに関係するガイドラインおよび制限事項、またはフェールオーバーとクラスタリングのゼロ ダウンタイム アップグレードに関係するガイドラインおよび制限事項を確認します。

  • Cisco.com から必要なすべてのソフトウェア パッケージをダウンロードします。

  • 設定をバックアップします(特に設定を移行する場合)。

ここでは、ASA をアップグレードする方法について説明します。

アップグレード前の重要なガイドライン

各オペレーティング システムのアップグレード ガイドライン、制約事項、および設定移行をチェックします。

ASA のアップグレード ガイドライン

アップグレードを行う前に、移行およびその他のガイドラインを確認してください。

バージョン固有のガイドラインおよび移行

現在お使いのバージョンにより、1 つまたは複数の設定の移行が必要になる場合があります。またアップグレード時に、最初のバージョンから最後のバージョンまですべてのバージョンの設定ガイドラインを考慮する必要があります。

9.20 のガイドライン
  • プレフィックスリストと一致するルートマップを指定する OSPF redistribute コマンドは、9.20(2) で削除されます。9.20(2) にアップグレードすると、指定されたルートマップmatch ip address prefix-list を使用する OSPF redistribute コマンドが設定から削除されます。プレフィックスリストはサポートされていませんが、パーサーでは引き続きこのコマンド使用できます。アップグレードする前に、match ip address コマンドで ACL を指定するルートマップを使用するように OSPF を再設定する必要があります。

9.19 のガイドライン
  • ASDM 7.19(1) には Oracle Java バージョン 8u261 以降が必要です。ASDM 7.19 にアップグレードする前に、Oracle Java(使用している場合)をバージョン 8u261 以降に更新してください。このバージョンでは、ASDM Launcher のアップグレードに必要な TLSv1.3 がサポートされています。OpenJRE は影響を受けません。

9.18 のガイドライン
  • 9.18(2)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート:ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。(CSCwb05291CSCwb05264

  • 同じポートを使用した同じインターフェイスで HTTPS/ASDM(HTTPS 認証を使用)および SSL を有効にした場合の 9.18(1) アップグレードの問題:同じインターフェイス上で SSL([webvpn] > [インターフェイスの有効化(enable interface)])と HTTPS/ASDM(http )アクセスの両方を有効にした場合、https://ip_address から AnyConnect にアクセスでき、https://ip_address/admin から ASDM にアクセスできます。どちらもポート 443 を使用します。ただし、HTTPS 認証(aaa authentication http console)も有効にする場合は、9.18(1) 以降、ASDM アクセス用に別のポートを指定する必要があります。http コマンドを使用してアップグレードする前に、ポートを変更してください。(CSCvz92016

  • ASDM アップグレードウィザード:ASD API 移行のため、ASA 9.18 以降にアップグレードするには ASDM 7.18 以降を使用する必要があります。ASDM は以前の ASA バージョンと下位互換性があるため、どの ASA バージョンでも ASDM を 7.18 以降にアップグレードできます。

9.17 のガイドライン
  • 9.17(1.13)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート:ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。(CSCwb05291CSCwb05264

  • 9.17(1) 以降でのクライアントレス SSL VPN はサポートされていません。クライアントレス SSL VPN はサポートされなくなりました。

    • webvpn:次のサブコマンドが削除されています。

      • apcf

      • java-trustpoint

      • onscreen-keyboard

      • port-forward

      • portal-access-rule

      • rewrite

      • smart-tunnel

    • group-policy webvpn:次のサブコマンドが削除されています。

      • port-forward

      • smart-tunnel

      • ssl-clientless

  • ASDM アップグレードウィザード:2022 年 3 月以降の内部変更により、アップグレードウィザードは ASDM 7.17(1.152) より前のバージョンでは機能しなくなります。ウィザードを使用するには、手動で 7.17(1.152) にアップグレードする必要があります。

9.16 のガイドライン
  • 9.16(3.19)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート:ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。(CSCwb05291CSCwb05264

  • MD5 ハッシュと DES 暗号化を使用する SNMPv3 ユーザーはサポートされなくなり、9.16(1) にアップグレードするとユーザーが削除されます。アップグレードする前に、snmp-server user コマンドを使用してユーザー設定をより高いセキュリティアルゴリズムに変更してください。

  • 9.16(1) では SSH ホストキーアクションが必要:RSA に加えて、EDDSA および ECDSA ホストキーのサポートが追加されました。ASA は、存在する場合、EDDSA、ECDSA、RSA の順にキーの使用を試みます。9.16(1) にアップグレードすると、ASA は既存の RSA キーを使用するようにフォールバックします。ただし、できるだけ早くcrypto key generate {eddsa | ecdsa} コマンドを使用してセキュリティレベルの高いセキュリティキーを生成することを推奨します。また、ssh key-exchange hostkey rsa コマンドで RSA キーを使用するように ASA を明示的に設定する場合は、2048 ビット以上のキーを生成する必要があります。アップグレードの互換性のために、ASA はデフォルトのホストキー設定が使用されている場合にのみ、より小さい RSA ホストキーを使用します。RSA のサポートは今後のリリースで削除されます。

  • 9.16 以降では、RSA キーを使用した証明書は ECDSA 暗号と互換性がない:ECDHE_ECDSA 暗号グループを使用する場合は、ECDSA 対応キーを含む証明書を使用してトラストポイントを設定します。

  • ssh version コマンドは 9.16(1) で削除されました:このコマンドは削除されました。SSH バージョン 2 のみサポートされます。

  • SAMLv1 機能は 9.16(1) で削除されました:SAMLv1 のサポートは削除されました。

  • 9.16(1) では DH グループ 2、5、24 はサポートされません:SSL DH グループ設定の DH グループ 2、5、および 24 のサポートは削除されました。ssl dh-groupコマンドが更新され、コマンドオプション group2group5およびgroup24が削除されました。

9.15 のガイドライン
  • ASA 9.15(1) 以降では、ASA 5525-X、ASA 5545-X、および ASA 5555-X はサポート対象外:ASA 9.14(x) がサポートされている最後のバージョンです。ASA FirePOWER モジュールについては、6.6 がサポートされている最後のバージョンです。

  • シスコは、ASA バージョン 9.17(1) で有効なクライアントレス SSL VPN の非推奨機能を発表:9.17(1) より前のリリースでは、限定的なサポートが継続されます。

  • Firepower 1010 の場合の無効な VLAN ID による問題発生の可能性:9.15(1) にアップグレードする前に、3968 〜 4047 の範囲内のスイッチポートに VLAN を使用していないことを確認してください。これらの ID は内部使用専用であり、9.15(1) には、これらの ID を使用していないことを確認するチェックが含まれます。たとえば、フェールオーバーペアのアップグレード後にこれらの ID が使用されていた場合、フェールオーバーペアは一時停止状態になります。詳細については、「CSCvw33057」を参照してください。

  • SAMLv1 機能の廃止:SAMLv1 のサポートは廃止されました。

  • ASA 9.15(1) での低セキュリティ暗号の削除:IKE および IPsecで使用される安全性の低い次の暗号のサポートが廃止されました。

    • Diffie-Hellman グループ:2 および 24

    • 暗号化アルゴリズム:DES、3DES、AES-GMAC、AES-GMAC-192、AES-GMAC-256、NULL、ESP-3DES、ESP-DES、ESP-MD5-HMAC

    • ハッシュアルゴリズム:MD5


    (注)  


    安全性の低い SSH 暗号と SSL 暗号はまだ廃止されていません。


    ASA の以前のバージョンからバージョン 9.15(1) にアップグレードする前に、9.15(1) でサポートされている暗号を使用するように VPN 設定を更新する必要があります。そのようにしないと、古い設定が拒否されます。設定が拒否されると、コマンドに応じて次のいずれかのアクションが実行されます。

    • コマンドはデフォルトの暗号を使用する。

    • コマンドが削除される。

    アップグレード前の設定の修正は、クラスタリングまたはフェールオーバーの展開で特に重要です。たとえば、セカンダリユニットが 9.15(1) にアップグレードされ、削除された暗号がプライマリからこのユニットに同期された場合、セカンダリユニットは設定を拒否します。この拒否により、クラスタへの参加の失敗などの予期しない動作が発生する可能性があります。

    IKEv1:次のサブコマンドが削除されています。

    • crypto ikev1 policy priority:

      • hash md5

      • encryption 3des

      • encryption des

      • group 2

    IKEv2:次のサブコマンドが削除されています。

    • crypto ikev2 policy priority:

      • prf md5

      • integrity md5

      • group 2

      • group 24

      • encryption 3des

      • encryption des

      • encryption null

    IPsec:次のサブコマンドが削除されています。

    • crypto ipsec ikev1 transform-set name esp-3des esp-des esp-md5-hmac

    • crypto ipsec ikev2 ipsec-proposal name

      • protocol esp integrity md5

      • protocol esp encryption 3des aes-gmac aes-gmac- 192 aes-gmac -256 des

    • crypto ipsec profile name

      • set pfs group2 group24

    Crypto Map:次のサブコマンドが削除されています。

    • crypto map name sequence set pfs group2

    • crypto map name sequence set pfs group24

    • crypto map name sequence set ikev1 phase1-mode aggressive group2

  • CRL 配布ポイント設定の再導入:9.13(1) で削除された静的 CDP URL 設定オプションが match-certificate コマンドに再導入されました。

  • バイパス証明書の有効性チェックオプションの復元:CRL または OCSP サーバーとの接続の問題による失効チェックをバイパスするオプションが復元されました。

    次のサブコマンドが復元されました。

    • revocation-check crl none

    • revocation-check ocsp none

    • revocation-check crl ocsp none

    • revocation-check ocsp crl none

9.14 のガイドライン
  • 9.14(4.14)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート:ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。(CSCwb05291CSCwb05264

  • アプライアンスモードの Firepower 1000 および 2100 での ASDM Cisco.com アップグレードウィザードの失敗:ASDM Cisco.com アップグレードウィザードは、9.14 へのアップグレードには使用できません([Tools] > [Check for ASA/ASDM Updates])。ウィザードでは ASDM を 7.13 から 7.14 にアップグレードできますが、ASA イメージのアップグレードはグレー表示されます(CSCvt72183)。回避策として、次のいずれかの方法を使用してください。

    • ASA と ASDM の両方で [Tools] > [Upgrade Software from Local Computer] を使用します。9.14(1) バンドルの ASDM イメージ(7.14(1))にも CSCvt72183 のバグがあることに注意してください。ウィザードを正しく機能させるには、より新しい 7.14(1.46) イメージをダウンロードする必要があります。

    • [Tools] > [Check for ASA/ASDM Updates] を使用して ASDM 7.14 にアップグレードします(バージョンは 7.14(1.46) になる)。次に、新しい ASDM を使用して ASA イメージをアップグレードします。致命的なインストールエラーが表示されることがあることに注意してください。この場合は、[OK] をクリックします。次に、[Configuration] > [Device Management] > [System Image/Configuration] > [Boot Image/Configuration] 画面で、ブートイメージを手動で設定する必要があります。設定を保存し、ASA をリロードします。

  • 9.14(1) 以降のフェールオーバーペアの場合、ASA は SNMP クライアントエンジンデータをピアと共有しません。

  • ASA 9.14(1) 以降では、cnatAddrBindNumberOfEntries および cnatAddrBindSessionCount の OID はサポートされません(CSCvy22526)。

  • プラットフォームモードでの Firepower 2100 のアップグレード:9.14 以降にアップグレードするときに、アップグレード時に EtherChannel(ポートチャネル)が無効になっていた場合は、アップグレード後に EtherChannel とそのメンバーインターフェイスの両方を手動で有効にする必要があります。

  • プラットフォームモードでの 9.13/9.14 から 9.12 以前への Firepower 2100 のダウングレードの問題:プラットフォームモードに変換した 9.13 または 9.14 を新規インストールした Firepower 2100 の場合:9.12 以前にダウングレードすると、FXOS で新しいインターフェイスの設定や、既存インターフェイスの編集ができなくなります(9.12 以前ではプラットフォームモードのみがサポートされています)。バージョンを 9.13 以降に戻すか、または FXOS の erase configuration コマンドを使用して設定をクリアする必要があります。この問題は、元々以前のリリースから 9.13 または 9.14 にアップグレードした場合は発生しません。新しいデバイスや再イメージ化されたデバイスなど、新規インストールのみが影響を受けます。(CSCvr19755

  • tls-proxy キーワード、および SCCP/Skinny 暗号化インスペクションのサポートは、inspect skinny コマンドから削除されました。

  • ASDM アップグレードウィザード:内部的な変更により、このウィザードでは ASDM 7.10(1) 以降の使用のみがサポートされています。また、イメージの命名が変更されたため、ASA 9.10(1) 以降にアップグレードするには、ASDM 7.12(1) 以降を使用する必要があります。ASDM には ASA の以前のリリースと下位互換性があるため、実行している ASA バージョンを問わず、ASDM をアップグレードすることができます。ASDM 7.13 と 7.14 は、ASA 5512-X、5515-X、5585-X、または ASASM をサポートしていませんでした。そのため、ASDM 7.13(1.101) または 7.14(1.48) にアップグレードして ASDM のサポートを復活させる必要があります。

9.13 のガイドライン
  • 9.13(1) 以降では ASAv に 2GB のメモリが必要:9.13(1) 以降の ASAv の最小メモリ要件は 2GB です。現在の ASAv が 2 GB 未満のメモリで動作している場合は、以前のバージョンから 9.13(1) にアップグレードできません。アップグレードする前にメモリサイズを調整する必要があります。バージョン 9.13(1) でサポートされているリソース割り当て(vCPU とメモリ)については、ASAv のスタートアップガイドを参照してください。

  • プラットフォームモードでの 9.13 から 9.12 以前への Firepower 2100 のダウングレードの問題:プラットフォームモードに変換した 9.13 を新規インストールした Firepower 2100 の場合:9.12 以前にダウングレードすると、FXOS で新しいインターフェイスの設定や、既存のインターフェイスの編集ができなくなります(9.12 以前ではプラットフォームモードのみがサポートされていたことに注意してください)。バージョンを 9.13 に戻すか、または FXOS の erase configuration コマンドを使用して設定をクリアする必要があります。この問題は、元々以前のリリースから 9.13 にアップグレードした場合は発生しません。新しいデバイスや再イメージ化されたデバイスなど、新規インストールのみが影響を受けます。(CSCvr19755)

  • 9.13(1) でのクラスタ制御リンク MTU の変更:9.13(1) 以降では、多くのクラスタ制御パケットが以前のリリースよりも大きくなっています。クラスタ制御リンクに推奨されている MTU は常に 1600 以上であり、この値が適切です。ただし、MTU を1600に設定しても接続スイッチの MTU と一致しなかった場合は(スイッチの MTU を1500 のままにしたなど)、ドロップされたクラスタ制御パケットとのこの不一致の影響が現れ始めます。クラスタ制御リンク上のすべてのデバイスが同じ MTU(具体的には 1600 以上)に設定されていることを確認します。

  • 9.13(1) 以降、ASA は、次の認定条件のいずれかが満たされている場合にのみ、LDAP/SSL 接続を確立します。

    • LDAP サーバー証明書が信頼されていて(トラストポイントまたは ASA トラストプールに存在する)、有効であること。

    • チェーンを発行しているサーバーからの CA 証明書が信頼されていて(トラストポイントまたは ASA トラストプールに存在する)、チェーン内のすべての下位 CA 証明書が完全かつ有効であること。

  • ローカル CA サーバーは 9.13(1) で削除される:ASA がローカル CA サーバーとして設定されている場合、デジタル証明書の発行、証明書失効リスト(CRL)の発行、および発行された証明書の安全な取り消しが可能です。この機能は古くなったため、crypto ca server コマンドは削除されています。

  • CRL 配布ポイントコマンドの削除:スタティック CDP URL 設定コマンド、つまり crypto-ca-trustpoint crl crl url は関連する他のロジックとともに削除されました。CDP URL が match certificate コマンドに移動されました。


    (注)  


    CDP URL 設定が拡張され、単一のマップに対して CDP オーバーライドの複数のインスタンスを許可するようになりました(CSCvu05216 を参照)。


  • バイパス証明書の有効性チェックオプションの削除:CRL または OCSP サーバーとの接続の問題による失効チェックをバイパスするオプションが削除されました。

    次のサブコマンドが削除されています。

    • revocation-check crl none

    • revocation-check ocsp none

    • revocation-check crl ocsp none

    • revocation-check ocsp crl none

    したがって、アップグレード後は、trailing none を無視することで、サポートされなくなった revocation-check コマンドは新しい動作に移行します。


    (注)  


    これらのコマンドは後で復元されました(CSCtb41710 を参照)。


  • 低セキュリティの暗号の廃止:ASA IKE、IPsec、および SSH モジュールで使用されるいくつかの暗号化方式は、安全ではないと見なされ、廃止されています。これらは、以降のリリースで削除されます。

    IKEv1:次のサブコマンドは廃止されています。

    • crypto ikev1 policy priority:

      • hash md5

      • encryption 3des

      • encryption des

      • group 2

      • group 5

    IKEv2:次のサブコマンドは廃止されています。

    • crypto ikev2 policy priority

      • integrity md5

      • prf md5

      • group 2

      • group 5

      • group 24

      • encryption 3des

      • encryption des (このコマンドは、DES 暗号化ライセンスのみがある場合でも使用できます)

      • encryption null

    IPsec:次のコマンドは廃止されています。

    • crypto ipsec ikev1 transform-set name esp-3des esp-des esp-md5-hmac

    • crypto ipsec ikev2 ipsec-proposal name

      • protocol esp integrity md5

      • protocol esp encryption 3des aes-gmac aes-gmac- 192 aes-gmac -256 des

    • crypto ipsec profile name

      • set pfs group2 group5 group24

    SSH:次のコマンドは廃止されました。

    • ssh cipher integrity custom hmac-sha1-96:hmac-md5: hmac-md5-96

    • ssh key-exchange group dh-group1-sha1

    SSL:次のコマンドは廃止されました。

    • ssl dh-group group2

    • ssl dh-group group5

    • ssl dh-group group24

    暗号マップ:次のコマンドは廃止されました。

    • crypto map name sequence set pfs group2

    • crypto map name sequence set pfs group5

    • crypto map name sequence set pfs group24

    • crypto map name sequence set ikev1 phase1-mode aggressive group2

    • crypto map name sequence set ikev1 phase1-mode aggressive group5

  • crypto map set pfs crypto ipsec profile crypto dynamic-map set pfs 、および crypto map set ikev1 phase1-mode を使用する IPsec PFS の crypto ikev1 policy ssl dh-group 、および crypto ikev2 policy group コマンドのデフォルトは、9.13(1) では、Diffie-Hellman Group 14 になりました。以前のデフォルトの Diffie-Hellman グループは Group 2 でした。

    9.13 (1) 以前のリリースからアップグレードし、古いデフォルト(Diffie-Hellman Group 2) を使用する必要がある場合は、DH グループを group 2 として手動で設定する必要があります。そうでない場合、トンネルはデフォルトで Group 14 に設定されます。group 2 は今後のリリースで削除されるため、できるだけ早く group 14 にトンネルを移動する必要があります。

9.12 のガイドライン
  • 9.12(4.50)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート:ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。(CSCwb05291CSCwb05264

  • ASDM アップグレード ウィザード:内部的な変更により、このウィザードでは ASDM 7.10(1) 以降の使用のみがサポートされています。また、イメージの命名が変更されたため、ASA 9.10(1) 以降にアップグレードするには、ASDM 7.12(1) 以降を使用する必要があります。ASDM には ASA の以前のリリースと下位互換性があるため、実行している ASA バージョンを問わず、ASDM をアップグレードすることができます。

  • 9.12(1) での SSH セキュリティの改善と新しいデフォルト設定:次の SSH セキュリティの改善点を参照してください。

    • SSH バージョン 1 はサポートされなくなりました。バージョン 2 のみがサポートされています。ssh version 1 コマンドは ssh version 2 に移行されます。

    • Diffie-Hellman Group 14 SHA256 キー交換のサポート。この設定がデフォルト(ssh key-exchange group dh-group14-sha256 )になりました。以前のデフォルトは Group 1 SHA1 でした。SSH クライアントが Diffie-Hellman Group 14 SHA256 をサポートしていることを確認してください。サポートしていない場合は、「Couldn't agree on a key exchange algorithm」などのエラーが表示されることがあります。たとえば、OpenSSH では Diffie-Hellman Group 14 SHA256 がサポートされています。

    • HMAC-SHA256 整合性暗号のサポート。デフォルトは、高セキュリティの暗号セット(ssh cipher integrity high コマンドによって定義された hmac-sha1 および hmac-sha2-256)になりました。以前のデフォルトは中程度のセットでした。

  • NULL-SHA TLSv1 暗号は廃止され、9.12(1) では削除されている:NULL-SHA は暗号化を提供せず、現在の脅威に対して安全とは見なされなくなったため、tls-proxy mode コマンド/オプションおよび show ssl ciphers all の出力に TLSv1 でサポートされている暗号を一覧表示すると削除されます。ssl cipher tlsv1 all コマンドと ssl cipher tlsv1 custom NULL-SHA コマンドも廃止され、削除されます。

  • 9.12(1) ではデフォルトの trustpool が削除されている:PSB 要件、SEC-AUT-DEFROOT に準拠するため、「デフォルト」の信頼できる CA バンドルが ASA イメージから削除されています。その結果、 crypto ca trustpool import default コマンドと crypto ca trustpool import clean default コマンドも、その他の関連ロジックとともに削除されています。ただし、既存の展開では、これらのコマンドを使用して以前にインポートされた証明書はそのまま残ります。

  • ssl encryption コマンドは 9.12(1) で削除されている:9.3(2) では、廃止が公表され、ssl cipher に置き換えられます。9.12(1) では、ssl encryption が削除され、サポートされなくなりました。

9.10 のガイドライン
  • 内部的な変更により、ASDM アップグレードウィザードでは ASDM 7.10(1) 以降の使用のみがサポートされています。また、イメージの命名が変更されたため、ASA 9.10(1) 以降にアップグレードするには、ASDM 7.12(1) 以降を使用する必要がありますASDM には ASA の以前のリリースと下位互換性があるため、実行している ASA バージョンを問わず、ASDM をアップグレードすることができます。

9.9 のガイドライン
  • 9.9(2) 以降での大規模な構成による ASA 5506-X のメモリの問題:9.9(2) 以降にアップグレードする場合、大規模な構成の一部がメモリ不足のため拒否され、「エラーが発生しました:ルールをインストールするためのメモリが不足しています(ERROR: Insufficient memory to install the rules)」のメッセージが表示される場合があります。これを回避する方法の 1 つに、object-group-search access-control コマンドを入力して、ACL のメモリ使用量を改善する方法があります。ただし、パフォーマンスに影響する可能性があります。また、9.9(1) にダウン グレードする方法もあります。

9.8 ガイドライン
  • 9.8(4.45)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート:ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。(CSCwb05291CSCwb05264

  • 9.8(2) 以降にアップグレードする前に、FIPS モードではフェールオーバーキーを 14 文字以上にする必要があります。FIPS モードで 9.8(2) 以降にアップグレードする前に、failover key または failover ipsec pre-shared-key を 14 文字以上に変更する必要があります。フェールオーバーキーが短すぎる場合、最初のユニットをアップグレードしたときにフェールオーバーキーが拒否され、フェールオーバーキーを有効な値に設定するまで、両方のユニットがアクティブになります。

  • Amazon Web サービスの ASAv については 9.8(1) にアップグレードしないようにしてください。CSCve56153 のため、9.8(1) にアップグレードするべきではありません。アップグレード後に、ASAv はアクセス不能になります。代わりに 9.8(1.5) 以降にアップグレードしてください。

9.7 ガイドライン
  • VTI および VXLAN VNI 用の 9.7(1) ~ 9.7(1.X) およびそれ以降のアップグレードに関する問題:Virtual Tunnel Interfaces(VTI)と VXLAN Virtual Network Identifier(VNI)の両方のインターフェイスを設定すると、フェールオーバー用のゼロ ダウンタイム アップグレードは実行できません。両方のユニットが同じバージョンになるまでは、これらのインターフェイス タイプの接続はスタンバイ ユニットに複製されません。(CSCvc83062)

9.6 ガイドライン
  • (ASA 9.6(2) ~ 9.7(x))SSH 公開キー認証使用時のアップグレードの影響:SSH 認証が更新されることにより、SSH 公開キー認証を有効にするための新たな設定が必要となります。そのため、公開キー認証を使用した既存の SSH 設定はアップグレード後機能しません。公開キー認証は、Amazon Web サービス(AWS)の ASAv のデフォルトであるため、AWS のユーザーはこの問題を確認する必要があります。SSH 接続を失う問題を避けるには、アップグレードの前に設定を更新します。または(ASDM アクセスが有効になっている場合)アップグレード後に ASDM を使用して設定を修正できます。


    (注)  


    元の行動が 9.8(1) で復元されました。


    ユーザー名が「admin」の場合の設定例を示します。

    
    
    username admin nopassword privilege 15
    username admin attributes
      ssh authentication publickey 55:06:47:eb:13:75:fc:5c:a8:c1:2c:bb:
      07:80:3a:fc:d9:08:a9:1f:34:76:31:ed:ab:bd:3a:9e:03:14:1e:1b hashed
    
    

    ssh authentication コマンドを使用するには、アップグレードの前に次のコマンドを入力します。

    
    
    aaa authentication ssh console LOCAL
    username admin password <password> privilege 15
    
    

    nopassword キーワードが存在している場合、これを維持するのではなく、代わりにユーザー名に対応したパスワードを設定することを推奨します。nopassword キーワードは、パスワードの入力不可を意味するのではなく、任意のパスワードを入力できます。9.6(2) より前のバージョンでは、aaa コマンドは SSH 公開キー認証に必須ではありませんでした。このため、nopassword キーワードはトリガーされませんでした。本バージョンより aaa コマンドは必須となり、password (または nopassword )キーワードが存在する場合、自動的に username の通常のパスワード認証を許可するようになりました。

    アップグレード後は、username コマンドに対する password または nopassword キーワードの指定は任意となり、ユーザーがパスワードを入力できないように指定できます。よって、公開キー認証のみを強制的に使用する場合は、username コマンドを入力しなおします。

    
    
    username admin privilege 15
    
    
  • Firepower 9300 で ASA をアップグレードする場合のアップグレードの影響:バックエンドにおけるライセンス権限付与名義の変更により、ASA 9.6(1)/FXOS 1.1(4) にアップグレードした場合、最初のリロードの際にスタートアップ コンフィギュレーションが正しく解析されず、アドオンの権利付与に対応する設定が拒否されることがあります。

    スタンドアロン ASA では、新バージョンでのリロード後、権限付与が処理され、「承認済み」状態になるのを待ち([show license all] または [Monitoring] > [Properties] > [Smart License])、そのまま設定を保存しないで、もう一度リロード([reload] または [Tools] > [System Reload])してください。リロードすると、スタートアップ コンフィギュレーションが正しく解析されます。

    フェールオーバー ペアにアドオンの権限付与がある場合は、FXOS リリースノートのアップグレード手順に従い、さらに各装置のリロード後にフェールオーバーをリセットしてください(failover reset または [Monitoring] > [Properties] > [Failover] > [Status][Monitoring] > [Failover] > [System] または [Monitoring] > [Failover] > [Failover Group] を選択後、Reset Failover をクリック)。

    クラスタに関しては、FXOS のリリース ノートのアップグレード手順に従います。以降、さらなる操作は不要です。

9.5 のガイドラインおよび移行
  • 9.5(2) 新しいキャリア ライセンス:新しいキャリア ライセンスは既存の GTP/GPRS ライセンスを置き換え、SCTP と Diameter インスペクションもサポートします。Firepower 9300 ASA セキュリティ モジュールの場合、feature mobile-sp コマンドは feature carrier コマンドに自動的に移行します。

  • 廃止された 9.5(2) 電子メール プロキシ コマンド:ASA バージョン 9.5(2) では、電子メール プロキシ コマンド(imap4s pop3s smtps )およびサブコマンドはサポートされなくなりました。

  • 廃止または移行された 9.5(2) CSD コマンド:ASA バージョン 9.5(2) では、CSD コマンド(csd image show webvpn csd image show webvpn csd show webvpn csd hostscan show webvpn csd hostscan image )はサポートされなくなりました。

    次の CSD コマンドは移行されます:csd enable hostscan enable に移行、csd hostscan image hostscan image に移行。

  • 廃止された 9.5(2) Select AAA コマンド:ASA バージョン 9.5(2) では、次の AAA コマンドおよびサブコマンド(override-account-disable authentication crack )はサポートされなくなりました。

  • 9.5(1) 次のコマンドが廃止されました。 timeout gsn

  • ASA 5508-X および 5516-X を 9.5(x)以降へアップグレードする場合における問題:ASA バージョン 9.5(x)以降へアップグレードする前に、ジャンボフレーム予約を一度も有効にしたことがない場合は、最大のメモリフットプリントをチェックする必要があります。製造上の不具合により、ソフトウェアのメモリ制限が誤って適用されていることがあります。以下の修正を適用せずに 9.5(x)以降にアップグレードした場合、デバイスはブートアップ時にクラッシュします。この場合、ROMMON (「Load an Image for the ASA 5500-X Series Using ROMMON」) を使用して 9.4 にダウングレードし、次の手順を実行して再度アップグレードする必要があります。

    1. 次のコマンドを入力して障害のステータスをチェックします。

      
      ciscoasa# show memory detail | include Max memory footprint
      Max memory footprint        =    456384512
      Max memory footprint        =            0
      Max memory footprint        =    456384512
      
      

      456,384,512 より少ない値が [Max memory footprint] に戻される場合は障害が発生しているため、アップグレード前に次の手順を実施する必要があります。表示されるメモリが 456,384,512 以上であれば、この手順の残りをスキップして通常通りにアップグレードできます。

    2. グローバル コンフィギュレーション モードを開始します。

      
      ciscoasa# configure terminal
      ciscoasa(config)#
      
      
    3. 一時的にジャンボフレーム予約を有効にします。

      
      ciscoasa(config)# jumbo-frame reservation
      WARNING: This command will take effect after the running-config
      is saved and the system has been rebooted. Command accepted.
      INFO: Interface MTU should be increased to avoid fragmenting
      jumbo frames during transmit
      

      (注)  


      ASA はリロードしません。


    4. 設定を保存します。

      
      ciscoasa(config)# write memory
      Building configuration...
      Cryptochecksum: b511ec95 6c90cadb aaf6b306 41579572
      14437 bytes copied in 1.320 secs (14437 bytes/sec)
      [OK]
      
      
    5. ジャンボフレーム予約を無効にします。

      
      ciscoasa(config)# no jumbo-frame reservation
      WARNING: This command will take effect after the running-config is saved and
      the system has been rebooted. Command accepted.

      (注)  


      ASA はリロードしません。


    6. コンフィギュレーション ファイルを再保存します。

      
      ciscoasa(config)# write memory
      Building configuration...
      Cryptochecksum: b511ec95 6c90cadb aaf6b306 41579572
      14437 bytes copied in 1.320 secs (14437 bytes/sec)
      [OK]
      
      
    7. これで、バージョン 9.5(x)以降へアップグレードできます。

9.4 のガイドラインおよび移行
  • 9.4(1) ユニファイド コミュニケーション電話プロキシと Intercompany Media Engine プロキシは非推奨:ASA バージョン 9.4 では、電話プロキシと IME プロキシはサポートされません。

9.3 のガイドラインおよび移行
  • 9.3(2) Transport Layer Security(TLS)バージョン 1.2 のサポート:ASDM、クライアントレス SSVPN、および AnyConnect VPN のセキュアなメッセージ送信を実現するため、TLS バージョン 1.2 をサポートします。次のコマンドが導入または変更されました。ssl client-version、ssl server-version、ssl cipher、ssl trust-point、ssl dh-group。次のコマンドが非推奨になりました。ssl encryption

  • 9.3(1) AAA Windows NT ドメイン認証の廃止:リモート アクセス VPN ユーザの NTLM サポートを廃止しました。次のコマンドが非推奨になりました。aaa-server protocol nt

9.2 のガイドラインおよび移行
Auto Update Server 証明書の確認

9.2(1) デフォルトでイネーブルになる Auto Update Server 証明書の確認。Auto Update Server 証明書の確認がデフォルトでイネーブルになりました。新しい設定では、証明書の確認を明示的にディセーブルにする必要があります。証明書の確認をイネーブルにしていなかった場合に、以前のリリースからアップグレードしようとすると、証明書の確認はイネーブルではなく、次の警告が表示されます。

WARNING: The certificate provided by the auto-update servers will not be verified. In order to verify this certificate please use the verify-certificate option.

設定を移行する場合は、次のように確認なしを明示的に設定します。

auto-update server no-verification

ASDM ログインへのアップグレードの影響

リリース 9.2(2.4) より前のバージョンから 9.2(2.4) 以降にアップグレードした場合の ASDM ログインへのアップグレードの影響。リリース 9.2(2.4) より前のバージョンから ASA バージョン 9.2(2.4) 以降にアップグレードし、コマンド認可と ASDM 定義のユーザー ロールを使用している場合、読み取り専用アクセス権限をもつユーザーは ASDM にログインできなくなります。アップグレードの前または後に、more コマンドを特権レベル 5 に変更する必要があります。この変更は管理者ユーザのみができます。ASDM バージョン 7.3(2) 以降には定義済みユーザー ロールにレベル 5 の more コマンドが含まれますが、既存の設定を手作業で修正する必要があります。

ASDM:

  1. [Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] の順に選択し、[Configure Command Privileges] をクリックします。

  2. [more] を選択し、[Edit] をクリックします。

  3. [Privilege Level] を 5 に変更し、[OK] をクリックします。

  4. [OK]、続いて [Apply] をクリックします。

CLI:

ciscoasa(config)# privilege cmd level 5 mode exec command more

9.1 のガイドラインおよび移行
  • 現在の最大 MTU は 9198 バイト:MTU が 9198 を超える値に設定されている場合は、アップグレード時に MTU が自動的に削減されます。場合によっては、この MTU の変更により MTU の不一致が発生する可能性があります。接続している機器が新しい MTU 値を使用するように設定されていることを確認してください。ASA で使用できる最大の MTU は 9198 バイトです(CLI のヘルプでご使用のモデルの正確な最大値を確認してください)。この値にはレイヤ 2 ヘッダーは含まれません。以前は、ASA で 65535 バイトの最大 MTU を指定できましたが、これは不正確であり、問題が発生する可能性がありました。

9.0 のガイドラインおよび移行
  • IPv6 ACL の移行:IPv6 ACL(ipv6 access-list )は、拡張 ACL に移行されます(access-list extended )。IPv6 ACL はサポートされなくなりました。

    IPv4 ACL と IPv6 ACL がインターフェイス(access-group コマンド)の同じ方向に適用される場合、ACL がマージされます。

    • IPv4 ACL と IPv6 ACL のいずれも access-group 以外で使用されていない場合、IPv4 ACL の名前がマージ後の ACL に使用されます。IPv6 access-list は削除されます。

    • 少なくとも 1 つの ACL が別の機能で使用されている場合、新しい ACL は IPv4-ACL-name_IPv6-ACL-name の名前で作成されます。使用中の ACL は、その他の機能に引き続き使用されます。使用されていない ACL は削除されます。IPv6 ACL が別の機能に使用されている場合は、同じ名前の拡張 ACL に移行されます。

  • ACL Any Keyword の移行:ACL では IPv4 と IPv6 の両方がサポートされるようになり、any キーワードが「すべての IPv4 トラフィックと IPv6 トラフィック」を表すようになりました。any キーワードを使用するすべての既存の ACL は、「すべての IPv4 トラフィック」を表す any4 キーワードを使用するように変更されます。

    また、「すべての IPv6 トラフィック」を表す別個のキーワード、any6 が導入されました。

    any4 および any6 キーワードは、any キーワードを使用するすべてのコマンドで使用できるわけではありません。たとえば、NAT 機能では any キーワードのみを使用します。any は、特定の NAT コマンド内のコンテキストに応じて、IPv4 トラフィックまたは IPv6 トラフィックを表します。

  • スタティック NAT とポート変換のアップグレード前の要件:バージョン 9.0 以降、スタティック NAT とポート変換のルールによって宛先 IP アドレスへのアクセスが制限されるのは、指定されたポートのみです。NAT ルール対象外の別のポートで宛先 IP アドレスにアクセスしようとすると、接続がブロックされます。この動作は Twice NAT の場合も同じです。さらに、Twice NAT ルールの送信元 IP アドレスと一致しないトラフィックが宛先 IP アドレスと一致する場合、宛先ポートに関係なくドロップされます。したがって、宛先 IP アドレスに対して許可される他のすべてのトラフィックのルールをアップグレード前に追加する必要があります。

    たとえば、内部サーバーへの HTTP トラフィックをポート 80 とポート 8080 間で変換する次のオブジェクト NAT ルールがあるとします。

    
    object network my-http-server
      host 10.10.10.1
      nat (inside,outside) static 192.168.1.1 80 8080
    
    

    このサーバーに FTP などの他のサービスからアクセスする必要がある場合、明示的に許可する必要があります。

    
    object network my-ftp-server
      host 10.10.10.1
      nat (inside,outside) static 192.168.1.1 ftp ftp
    
    

    また、サーバーの他の複数のポートでトラフィックを許可するために、他のすべてのポートと一致する一般的なスタティック NAT ルールを追加することができます。

    
    object network my-server-1
      host 10.10.10.1
      nat (inside,outside) static 192.168.1.1
    
    

    Twice NAT の場合は、192.168.1.0/24 から内部サーバーへの HTTP トラフィックを許可し、ポート 80 とポート 8080 間で変換する次のルールがあるとします。

    
    object network my-real-server
      host 10.10.10.1
    object network my-mapped-server
      host 192.168.1.1
    object network outside-real-hosts
      subnet 192.168.1.0 255.255.255.0
    object network outside-mapped-hosts
      subnet 10.10.11.0 255.255.255.0
    object service http-real
      service tcp destination eq 80
    object service http-mapped
      service tcp destination eq 8080
    object service ftp-real
      service tcp destination eq 21
    nat (outside,inside) source static outside-real-hosts outside-mapped-hosts destination static my-mapped-server my-real-server service http-mapped http-real
    
    

    外部のホストから内部サーバーの別のサービス(FTP など)にアクセスする必要がある場合は、そのサービスに対して別の NAT ルールを追加します。

    
    nat (outside,inside) source static outside-real-hosts outside-mapped-hosts destination static my-mapped-server my-real-server ftp-real ftp-real
    
    

    他の発信元アドレスから内部サーバーの任意のポートへアクセスする必要がある場合は、その特定の IP アドレスまたは任意の送信元 IP アドレスに対する別の NAT ルールを追加できます。一般的なルールは、特定のルールの後に並べてください。

    
    nat (outside,inside) source static any any destination static my-mapped-server my-real-server 
    
    
8.4 のガイドラインおよび移行
  • トランスペアレント モードの設定の移行:8.4 では、すべてのトランスペアレント モードのインターフェイスがブリッジ グループに属します。8.4 にアップグレードすると、既存の 2 つのインターフェイスがブリッジ グループ 1 に配置され、管理 IP アドレスがブリッジ グループ仮想インターフェイス(BVI)に割り当てられます。機能は、1 つのブリッジ グループを使用する場合と同じです。ブリッジ グループ機能を活用して、ブリッジ グループごとに最大 4 つのインターフェイスを設定できます。またシングル モードで、またはコンテキストごとに最大 8 つのブリッジ グループを作成できます。


    (注)  


    8.3 およびそれ以前のバージョンでは、サポートされていない設定として、IP アドレスを使用せずに管理インターフェイスを設定できるほか、デバイス管理アドレスを使用してインターフェイスにアクセスできます。8.4 では、デバイス管理アドレスは BVI に割り当てられるため、その IP アドレスを使用して管理インターフェイスにアクセスできなくなります。管理インターフェイスには独自の IP アドレスが必要です。


  • 8.3(1)、8.3(2)、8.4(1) から 8.4(2) にアップグレードする場合、既存の機能を保持するため、すべてのアイデンティティ NAT コンフィギュレーションに no-proxy-arp キーワードと route-lookup キーワードが含まれるようになりました。unidirectional キーワードが削除されました。

8.3 のガイドラインおよび移行

次のマニュアルでは、Cisco ASA 5500 オペレーティング システム(OS)を 8.3 より前のバージョンからバージョン 8.3 にアップグレードする場合の設定の移行プロセスについて説明します。

Cisco ASA 5500 Migration to Version 8.3

クラスタリングのガイドライン

次の例外を除いて、ASA クラスタリングのゼロ ダウンタイム アップグレードに関する特別な要件はありません。


(注)  


ゼロ ダウンタイム ダウングレードは、正式にはクラスタリングでサポートされていません。


  • Firepower 4100/9300 フェールオーバーとフローオフロードのクラスタリング ヒットレス アップグレードの要件:フローオフロード機能でのバグ修正により、FXOS と ASA のいくつかの組み合わせはフローオフロードをサポートしていません(互換性テーブルを参照)。フローオフロードは、ASA のデフォルトでは無効になっています。フローオフロードの使用時にフェールオーバーまたはクラスタリング ヒットレス アップグレードを実行するには、次のアップグレードパスに従って、FXOS 2.3.1.130 以降にアップグレードする際に常に互換性のある組み合わせを実行していることを確認する必要があります。

    1. ASA を 9.8(3) 以降にアップグレードします。

    2. FXOS を 2.3.1.130 以降にアップグレードします。

    3. ASA を最終バージョンにアップグレードします。

    たとえば、FXOS 2.2.2.26/ASA 9.8(1) を実行していて、FXOS 2.6.1/ASA 9.12(1) にアップグレードする場合は、次を実行できます。

    1. ASA を 9.8(4) にアップグレードします。

    2. FXOS を 2.6.1 アップグレードします。

    3. ASA を 9.12(1) にアップグレードします。

  • Firepower 4100/9300 クラスタを FXOS 2.3/ASA 9.9(2) にアップグレード:制御ユニットが FXOS 2.3/9.9(2) 以降で動作している場合、9.8 以前の ASA 上のデータユニットはクラスタに再参加できません。それらのデータユニットは、ASA バージョンを 9.9(2)+ にアップグレードした後に参加できます [CSCvi54844]。

  • 分散サイト間 VPN:障害の発生したユニットでの分散サイト間 VPN セッションは他のユニットで安定するまでに最大 30 分かかります。この間は、さらなるユニット障害によってセッションが失われる可能性があります。このため、クラスタのアップグレード時は、トラフィックの損失を防ぐために次の手順を実行してください。これらの手順をアップグレード タスクに統合するには、FXOS/ASA クラスタのアップグレード手順を参照してください。


    (注)  


    9.9(1) から 9.9(2) 以降にアップグレードする場合、ゼロ ダウンタイム アップグレードは分散サイト間 VPN ではサポートされません。9.9(2) でのアクティブ セッション再配布の機能拡張のために、一部のユニットを 9.9(2) で実行し他のユニットを 9.9(1) で実行することはできません。


    1. 制御ユニットのないシャーシでは、ASA コンソールを使用して 1 つのモジュールでクラスタリングを無効にします。

      cluster group name

      no enable

      このシャーシ上の FXOS と ASA をアップグレードする場合は、シャーシの再起動後にクラスタリングが無効になるように設定を保存します。

      write memory

    2. クラスタが安定するのを待ちます。すべてのバックアップ セッションが作成されたことを確認してください。

      show cluster vpn-sessiondb summary

    3. このシャーシ上のモジュールごとに、手順 1 と 2 を繰り返します。

    4. FXOS CLI または Firepower Chassis Manager を使用してシャーシ上の FXOS をアップグレードします。

    5. シャーシがオンラインになったら、FXOS CLI または Firepower Chassis Manager を使用して各モジュール上の ASA イメージを更新します。

    6. モジュールがオンラインになったら、ASA コンソールで各モジュール上のクラスタリングを再度有効にします。

      cluster group name

      enable

      write memory

    7. 2 番目のシャーシで手順 1 ~ 6 を繰り返します。必ず、まずデータユニットでクラスタリングを無効にしてから、最後に制御ユニットでクラスタリングを無効にしてください。

      新しい制御ユニットが、アップグレードされたシャーシから選択されます。

    8. クラスタが安定したら、制御ユニットで ASA コンソールを使用して、クラスタ内のすべてのモジュール間でアクティブ セッションを再配布します。

      cluster redistribute vpn-sessiondb

  • クラスタリングを含む 9.9(1) 以降に関するアップグレードの問題:9.9(1) 以降では、バックアップの配布が改善されています。新しいバックアップ配布方法を利用するには、次の手順で 9.9(1) 以降へのアップグレードを実行する必要があります。これを行わない場合、アップグレードされたユニットは引き続き古い方法を使用します。

    1. クラスタからすべてのセカンダリ ユニットを削除します(クラスタはプライマリ ユニットのみで構成されます)。

    2. 1 つのセカンダリ ユニットをアップグレードし、クラスタに再参加させます。

    3. プライマリ ユニットでクラスタリングを無効にします。そのユニットをアップグレードし、クラスタに再参加させます。

    4. 残りのセカンダリ ユニットをアップグレードし、それらを一度に 1 つずつクラスタに再参加させます。

  • Firepower 4100/9300 クラスタの ASA 9.8(1) 以前へのアップグレード:アップグレードプロセスの一部であるデータユニット(no enable )のクラスタリングを無効にすると、そのユニット宛てのトラフィックは、トラフィックが新しい所有者 [CSCvc85008] にリダイレクトされるまで、最大で 3 秒間ドロップされる場合があります。

  • CSCvb24585 に関する修正が行われている次のリリースにアップグレードする場合は、ゼロ ダウンタイム アップグレードがサポートされない可能性があります。この修正により、3DES がデフォルト(中レベル)の SSL 暗号から低レベルの暗号セットに移行されました。3DES のみを含むカスタム暗号を設定する場合、接続の相手側が 3DES を含まないデフォルト(中レベル)の暗号を使用していると、不一致が生じる可能性があります。

    • 9.1(7.12)

    • 9.2(4.18)

    • 9.4(3.12)

    • 9.4(4)

    • 9.5(3.2)

    • 9.6(2.4)

    • 9.6(3)

    • 9.7(1)

    • 9.8(1)

  • 完全修飾ドメイン名(FQDN)ACL のアップグレードに関する問題:CSCuv92371 が原因で、FQDN を含む ACL は、クラスタまたはフェールオーバー ペアのセカンダリ ユニットへの不完全な ACL 複製を引き起こす可能性があります。このバグは、9.1(7)、9.5(2)、9.6(1)、およびいくつかの暫定リリースにおいて発生します。CSCuy34265 の修正プログラムを含む 9.1(7.6) 以降、9.5(3) 以降、9.6(2) 以降にアップグレードすることをお勧めします。ただし、設定の複製の性質上、ゼロ ダウンタイム アップグレードは使用できません。さまざまなアップグレード方法の詳細については、CSCuy34265 を参照してください。

  • Firepower Threat Defense バージョン 6.1.0 クラスタは、サイト間クラスタリングをサポートしていません(6.2.0 以降では FlexConfig を使用してサイト間機能を設定できます)。FXOS 2.1.1 で 6.1.0 クラスタを展開または再展開している場合、(サポートされていない)サイト ID の値を入力しているときは、6.2.3 にアップグレードする前に、FXOS の各ユニットでサイト ID を削除(0 に設定)する必要があります。これを行わない場合、ユニットはアップグレード後にクラスタに再参加できません。すでにアップグレード済みの場合は、各ユニットでサイト ID を 0 に変更して問題を解決してください。サイト ID を表示または変更するには、FXOS の構成ガイドを参照してください。

  • 9.5(2) 以降へのアップグレード(CSCuv82933):制御ユニットをアップグレードする前に「show cluster info 」と入力すると、アップグレードされたデータユニットが「DEPUTY_BULK_SYNC」と表示されます。他にも正しい状態と一致しない状態が表示されます。すべてのユニットをアップグレードすると状態が正しく表示されるようになるので、この表示は無視しても構いません。

  • 9.0(1) または 9.1(1) からのアップグレード(CSCue72961):ゼロ ダウンタイム アップグレードはサポートされていません。

フェールオーバーのガイドライン

次の例外を除き、フェールオーバー用のゼロ ダウンタイム アップグレードに関する特別な要件はありません。

  • Firepower 1010 では、無効な VLAN ID によって問題が発生する可能性があります。9.15(1) にアップグレードする前に、3968 〜 4047 の範囲内のスイッチポートに VLAN を使用していないことを確認してください。これらの ID は内部使用専用であり、9.15(1) には、これらの ID を使用していないことを確認するチェックが含まれます。たとえば、フェールオーバーペアのアップグレード後にこれらの ID が使用されていた場合、フェールオーバーペアは一時停止状態になります。詳細については、「CSCvw33057」を参照してください。

  • Firepower 4100/9300 フェールオーバーとフローオフロードのクラスタリング ヒットレス アップグレードの要件:フローオフロード機能でのバグ修正により、FXOS と ASA のいくつかの組み合わせはフローオフロードをサポートしていません(互換性テーブルを参照)。フローオフロードは、ASA のデフォルトでは無効になっています。フローオフロードの使用時にフェールオーバーまたはクラスタリング ヒットレス アップグレードを実行するには、次のアップグレードパスに従って、FXOS 2.3.1.130 以降にアップグレードする際に常に互換性のある組み合わせを実行していることを確認する必要があります。

    1. ASA を 9.8(3) 以降にアップグレードします。

    2. FXOS を 2.3.1.130 以降にアップグレードします。

    3. ASA を最終バージョンにアップグレードします。

    たとえば、FXOS 2.2.2.26/ASA 9.8(1) を実行していて、FXOS 2.6.1/ASA 9.12(1) にアップグレードする場合は、次を実行できます。

    1. ASA を 9.8(4) にアップグレードします。

    2. FXOS を 2.6.1 アップグレードします。

    3. ASA を 9.12(1) にアップグレードします。

  • 8.4(6)、9.0(2)、および 9.1(2) のアップグレードの問題:CSCug88962 が原因で、8.4(6)、9.0(2)、および 9.1(3) へのゼロ ダウンタイム アップグレードを実行することはできません。代わりに 8.4(5) または 9.0(3) にアップグレードする必要があります。9.1(1) をアップグレードする場合、CSCuh25271 が原因で、9.1(3) リリースに直接アップグレードすることはできません。したがってゼロ ダウンタイム アップグレードのための回避策はありません。9.1 (3) 以降にアップグレードする前に、9.1(2) にアップグレードする必要があります。

  • 完全修飾ドメイン名(FQDN)ACL のアップグレードに関する問題:CSCuv92371 が原因で、FQDN を含む ACL は、クラスタまたはフェールオーバー ペアのセカンダリ ユニットへの不完全な ACL 複製を引き起こす可能性があります。このバグは、9.1(7)、9.5(2)、9.6(1)、およびいくつかの暫定リリースにおいて発生します。CSCuy34265 の修正プログラムを含む 9.1(7.6) 以降、9.5(3) 以降、9.6(2) 以降にアップグレードすることをお勧めします。ただし、設定の複製の性質上、ゼロ ダウンタイム アップグレードは使用できません。さまざまなアップグレード方法の詳細については、CSCuy34265 を参照してください。

  • VTI および VXLAN VNI 用の 9.7(1) ~ 9.7(1.X) およびそれ以降のアップグレードに関する問題:Virtual Tunnel Interfaces(VTI)と VXLAN Virtual Network Identifier(VNI)の両方のインターフェイスを設定すると、フェールオーバー用のゼロ ダウンタイム アップグレードは実行できません。両方のユニットが同じバージョンになるまでは、これらのインターフェイス タイプの接続はスタンバイ ユニットに複製されません。(CSCvc83062)

  • 9.8(2) 以降にアップグレードする前に、FIPS モードではフェールオーバーキーを 14 文字以上にする必要があります。FIPS モードで 9.8(2) 以降にアップグレードする前に、failover key または failover ipsec pre-shared-key を 14 文字以上に変更する必要があります。フェールオーバーキーが短すぎる場合、最初のユニットをアップグレードしたときにフェールオーバーキーが拒否され、フェールオーバーキーを有効な値に設定するまで、両方のユニットがアクティブになります。

  • GTP インスペクションのアップグレードの問題:GTP のデータ構造が新しいノードに複製されないため、アップグレード中にダウンタイムが発生する可能性があります。

その他のガイドライン

  • Cisco ASA クライアントレス SSL VPN ポータルのカスタマイズにおける整合性の脆弱性:ASA 上のクライアントレス SSL VPN に対して複数の脆弱性修正が行われているため、修正版へソフトウェアをアップグレードする必要があります。脆弱性と ASA の修正済みバージョンについて、http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141008-asa を参照してください。脆弱性をもった構成で以前のバージョンの ASA を運用したことがある場合は、現在実行中のバージョンに関係なく、ポータルのカスタマイズが危殆化されていないか確認する必要があります。過去に攻撃者がカスタマイゼーション オブジェクトを危殆化した場合、ASA を修正版にアップグレードした後にも危殆化されたオブジェクトが存続します。ASA をアップグレードすることで今後の危殆化を阻止できますが、すでに危殆化されているカスタマイゼーション オブジェクトは一切変更されず、システムに存続します。

Firepower Management Center のアップ グレード ガイドライン

アップグレードする前に、『Secure Firewall Management Center Upgrade Guide』で Cisco Secure Firewall Management Center のガイドラインを確認してください。

FXOS のアップグレード ガイドライン

アップグレードする前に、選択したアップグレード パスの各 FXOS バージョンのリリース ノートをお読みください。リリース ノートには、新機能や変更された機能を含む、各 FXOS リリースに関する重要な情報が記載されています。

アップグレードを行うには、対処する必要のある設定変更が必要な場合があります。たとえば、FXOS リリースでサポートされている新しいハードウェアが、FXOS ファームウェアの更新を要求する場合があります。

FXOS リリース ノートはこちらから入手できます:https://www.cisco.com/c/en/us/support/security/firepower-9000-series/products-release-notes-list.html

ASA アップグレードのチェックリスト

アップグレードを計画する際は、次のチェックリストを使用してください。

  1. ASA のモデル(ASA のアップグレードパス):_____________________

    現在の ASA のバージョン(ASA のアップグレードパス):_____________________

  2. モデルごとの ASA/ASDM の互換性をチェックします(モデルごとの ASA と ASDM の互換性)。

    ターゲット ASA のバージョン:_____________________

    ターゲット ASDM のバージョン:_____________________

  3. ターゲットバージョンの ASA/ASDM をダウンロードします(ASA ソフトウェアのダウンロード)。


    (注)  


    ASDM は、すべての Firepower および Cisco Secure Firewall プラットフォームのイメージパッケージに含まれています。


  4. ASA FirePOWER モジュールはありますか。はい _____ いいえ _____

    「はい」の場合:

    1. 現在の ASA FirePOWER のバージョン:_____________________

      現在のバージョンを表示します:ASDM(アップグレードパス:ASDM による ASA FirePOWER)または Management Centerアップグレードパス:Secure Firewall Management Center)。

    2. ASA/FirePOWER の互換性をチェックします(ASA と ASA FirePOWER モジュールの互換性)。

      ASA FirePOWER のターゲット バージョン:_____________________

    3. ASA FirePOWER のアップグレード パスをチェックします(アップグレードパス:ASDM による ASA FirePOWERまたは アップグレードパス:FMC を搭載した ASA FirePOWER)。必要な中間バージョンはありますか。はい _____ いいえ _____

      「はい」の場合、ASA FirePOWER の中間バージョン:______________________________________________________

    4. ターゲット バージョンおよび中間バージョンの ASA FirePOWER をダウンロードします(ASA FirePOWER ソフトウェアのダウンロード)。

    5. Management Center を使用してモジュールを管理しますか。はい _____ いいえ _____

      「はい」の場合:

      1. Management Centerモデル(アップグレードパス:Secure Firewall Management Center):_____________________

        現在の Management Center のバージョン(アップグレードパス:Secure Firewall Management Center):_____________________

      2. Management Centerアップグレードパス:Secure Firewall Management Center)のアップグレードパスをチェックします。必要な中間バージョンはありますか。はい _____ いいえ _____

        「はい」の場合、ASA FirePOWER の中間バージョン:______________________________________________________

      3. Management Center と管理対象デバイスの互換性をチェックします(Secure Firewall Management Center ASA FirePOWER との互換性)。必ず、Management Center のアップグレードに合わせた ASA FirePOWER モジュールのアップグレードを計画してください。

      4. Management Center 用のターゲットバージョンおよび中間バージョンをダウンロードします(『Secure Firewall Management Center Upgrade Guide』)。

  5. ASA のモデルは Firepower 4100 または 9300 ですか。はい _____ いいえ _____

    「はい」の場合:

    1. 現在の FXOS のバージョン:_____________________

    2. ASA/Firepower 4100 および 9300 の互換性をチェックします(Firepower 4100/9300 と ASA および Threat Defense の互換性)。

      FXOS のターゲット バージョン:_____________________

    3. FXOS のアップグレード パスをチェックします(アップグレードパス:Firepower 4100/9300 の FXOS)。必要な中間バージョンはありますか。はい _____ いいえ _____

      「はい」の場合、FXOS の中間バージョン:______________________________________________________

      互換性を維持するために、必ず、FXOS のアップグレードに合わせた ASA のアップグレードを計画してください。

      アップグレード時に互換性を維持するために必要な ASA の中間バージョン:______________________________________________________

    4. ターゲット バージョンおよび中間バージョンの FXOS をダウンロードします(Firepower 4100/9300 の FXOS をダウンロード)。

      中間バージョンの ASA をダウンロードします(ASA ソフトウェアのダウンロード)。

    5. Radware DefensePro デコレータ アプリケーションを使用しますか。はい _____ いいえ _____

      「はい」の場合:

      1. 現在の DefensePro のバージョン:_____________________

      2. ASA/FXOS/DefensePro の互換性をチェックします(Radware DefensePro の互換性)。

        DefensePro のターゲット バージョン:_____________________

      3. ターゲット バージョンの DefensePro をダウンロードします。

  6. 各オペレーティング システムのアップグレード ガイドラインをチェックします。

  7. 設定をバックアップします。バックアップの方法については、各オペレーティング システムの設定ガイドを参照してください。

互換性

このセクションには、プラットフォーム、オペレーティング システム、およびアプリケーション間の互換性を示す表があります。

モデルごとの ASA と ASDM の互換性

次の表に、現在のモデルに関する ASA と ASDM の互換性を示します。古いバージョンおよびモデルについては、『Cisco ASA Compatibility』を参照してください。

ASA 9.20 および 9.19

太字のリリースは推奨バージョンです。


(注)  


  • ASA 9.18(x) は Firepower 4110、4120、4140、4150、および Firepower 9300 のセキュリティモジュール SM-24、SM-36、SM-44 の最終バージョンです。

  • 特に明記されていない限り、ASDM のバージョンは以前のすべての ASA のバージョンと下位互換性があります。たとえば、ASDM 7.19(1) は ASA 9.10(1) で ASA 5516-X を管理できます。

  • 新しい ASA バージョンには、連携する ASDM バージョンまたはそれ以降のバージョンが必要です。旧バージョンの ASDM を新しいバージョンの ASA で使用することはできません。たとえば、ASA 9.19 で ASDM 7.18 を使用することはできません。ASA 暫定バージョンでは、特に明記されていない限り、現在の ASDM バージョンを引き続き使用できます。たとえば、ASA 9.19(1.2) を ASDM 7.19(1) とともに使用できます。


表 1. ASA と ASDM の互換性:9.20 および 9.19

ASA

ASDM

ASA モデル

ASA 仮想

Firepower 1010

1120

1140

1150

Firepower 2110

2120

2130

2140

Cisco Secure Firewall 3105

3110

3120

3130

3140

Firepower 4112

4115

4125

4145

Cisco Secure Firewall 4215

Cisco Secure Firewall 4225

Cisco Secure Firewall 4245

Firepower 9300

ISA 3000

9.20(2)

7.20(2)

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.20(1)

7.20(1)

YES

9.19(1)

7.19(1)

YES

YES

YES

YES

YES

YES

YES

ASA 9.18 ~ 9.17

太字のリリースは推奨バージョンです。


(注)  


  • ASA 9.16(x) は、ASA 5506-X、5506H-X、5506W-X、5508-X、および 5516-X の最終バージョンです。

  • 特に明記されていない限り、ASDM のバージョンは以前のすべての ASA のバージョンと下位互換性があります。たとえば、ASDM 7.17(1) は ASA 9.10(1) で ASA 5516-X を管理できます。

  • 新しい ASA バージョンには、連携する ASDM バージョンまたはそれ以降のバージョンが必要です。旧バージョンの ASDM を新しいバージョンの ASA で使用することはできません。たとえば、ASA 9.18 で ASDM 7.17 を使用することはできません。ASA 暫定バージョンでは、特に明記されていない限り、現在の ASDM バージョンを引き続き使用できます。たとえば、ASA 9.17(1.2) を ASDM 7.17(1) とともに使用できます。

  • ASA 9.17(1.13) および 9.18(2) 以降では、ASDM 7.18(1.152) 以降が必要です。ASA では、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで 7.18(1.152) より前の ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。(CSCwb05291CSCwb05264


表 2. ASA と ASDM の互換性:9.17 から 9.17

ASA

ASDM

ASA モデル

ASA 仮想

Firepower 1010

1120

1140

1150

Firepower 2110

2120

2130

2140

Secure Firewall 3110

3120

3130

3140

Firepower 4110

4112

4115

4120

4125

4140

4145

4150

Firepower 9300

ISA 3000

9.18(4)

7.20(1)

YES

YES

YES

YES

YES

YES

YES

9.18(3)

7.19(1.90)

YES

YES

YES

YES

YES

YES

YES

9.18(2)

7.18(1.152)

YES

YES

YES

YES

YES

YES

YES

9.18(1)

7.18(1)

YES

YES

YES

YES

YES

YES

YES

9.17(1.13)

7.18(1.152)

YES

YES

YES

YES

YES

YES

YES

9.17(1)

7.17(1)

YES

YES

YES

YES

YES

YES

YES

ASA 9.16 ~ 9.15

太字のリリースは推奨バージョンです。


(注)  


  • ASA 9.16(x) は、ASA 5506-X、5506H-X、5506W-X、5508-X、および 5516-X の最終バージョンです。

  • ASA 9.14(x) は ASA 5525-X、5545-X、および 5555-X の最終バージョンです。

  • 特に明記されていない限り、ASDM のバージョンは以前のすべての ASA のバージョンと下位互換性があります。たとえば、ASDM 7.15(1) は ASA 9.10(1) で ASA 5516-X を管理できます。

  • 新しい ASA バージョンには、連携する ASDM バージョンまたはそれ以降のバージョンが必要です。旧バージョンの ASDM を新しいバージョンの ASA で使用することはできません。たとえば、ASA 9.16 で ASDM 7.15 を使用することはできません。ASA 暫定バージョンでは、特に明記されていない限り、現在の ASDM バージョンを引き続き使用できます。たとえば、ASA 9.16(1.15) を ASDM 7.16(1) とともに使用できます。

  • ASA 9.16(3.19) 以降では、ASDM 7.18(1.152) 以降が必要です。ASA では、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで 7.18(1.152) より前の ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。(CSCwb05291CSCwb05264


表 3. ASA と ASDM の互換性:9.16 ~ 9.15

ASA

ASDM

ASA モデル

ASA 5506-X

5506H-X

5506W-X

5508-X

5516-X

ASAv

Firepower 1010

1120

1140

1150

Firepower 2110

2120

2130

2140

Firepower 4110

4112

4115

4120

4125

4140

4145

4150

Firepower 9300

ISA 3000

9.16(4)

7.18(1.152)

YES

YES

YES

YES

YES

YES

YES

9.16(3.19)

7.18(1.152)

YES

YES

YES

YES

YES

YES

YES

9.16(3)

7.16(1.150)

YES

YES

YES

YES

YES

YES

YES

9.16(2)

7.16(1.150)

YES

YES

YES

YES

YES

YES

YES

9.16(1)

7.16(1)

YES

YES

YES

YES

YES

YES

YES

9.15(1)

7.15(1)

YES

YES

YES

YES

YES

YES

YES

ASA 9.14 から 9.13

太字のリリースは推奨バージョンです。


(注)  


  • ASA 9.14(x) は ASA 5525-X、5545-X、および 5555-X の最終バージョンです。

  • ASA 9.12(x) は ASA 5512-X、5515-X、5585-X、および ASASM 用の最終バージョン、

  • 特に明記されていない限り、ASDM のバージョンは以前のすべての ASA のバージョンと下位互換性があります。たとえば、ASDM 7.13(1) は ASA 9.10(1) で ASA 5516-X を管理できます。ASDM 7.13(1) と 7.14(1) は、ASA 5512-X、5515-X、5585-X、および ASASM をサポートしていませんでした。そのため、ASDM 7.13(1.101) または 7.14(1.48) にアップグレードして ASDM のサポートを復元する必要があります。

  • 新しい ASA バージョンには、連携する ASDM バージョンまたはそれ以降のバージョンが必要です。旧バージョンの ASDM を新しいバージョンの ASA で使用することはできません。たとえば、ASA 9.14 で ASDM 7.13 を使用することはできません。ASA 暫定バージョンでは、特に明記されていない限り、現在の ASDM バージョンを引き続き使用できます。たとえば、ASA 9.14(1.2) を ASDM 7.14(1) とともに使用できます。

  • ASA 9.14(4.14) 以降では、ASDM 7.18(1.152) 以降が必要です。ASA では、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで 7.18(1.152) より前の ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。(CSCwb05291CSCwb05264


表 4. ASA と ASDM の互換性:9.14 から 9.13

ASA

ASDM

ASA モデル

ASA 5506-X

5506H-X

5506W-X

5508-X

5516-X

ASA 5525-X

5545-X

5555-X

ASAv

Firepower 1010

1120

1140

1150

Firepower 2110

2120

2130

2140

Firepower 4110

4112

4115

4120

4125

4140

4145

4150

Firepower 9300

ISA 3000

9.14(4.14)

7.18(1.152)

YES

YES

YES

YES

YES

YES

YES

YES

9.14(4.6)

7.17(1.152)

YES

YES

YES

YES

YES

YES

YES

YES

9.14(4)

7.17(1)

YES

YES

YES

YES

YES

YES

YES

YES

9.14(3)

7.16(1.150)

YES

YES

YES

YES

YES

YES

YES

YES

9.14(2)

7.14(1.48)

YES

YES

YES

YES

YES

YES

YES

YES

9.14(1.30)

7.14(1.48)

YES

YES

YES

YES

YES

YES

YES

YES

9.14(1.6)

7.14(1.48)

YES (+ASAv100)

9.14(1)

7.14(1)

YES

YES

YES

YES

YES

YES

YES

YES

9.13(1)

7.13(1)

YES

YES

YES

YES

YES

YES(4112 を除く)

YES

YES

ASA 9.12 から 9.5

太字のリリースは推奨バージョンです。


(注)  


  • ASA 9.12(x) は ASA 5512-X、5515-X、5585-X、および ASASM 用の最終バージョン、

  • 特に明記されていない限り、ASDM のバージョンは以前のすべての ASA のバージョンと下位互換性があります。たとえば、ASDM 7.12(1) は ASA 9.10(1) で ASA 5515-X を管理できます。

  • 新しい ASA バージョンには、連携する ASDM バージョンまたはそれ以降のバージョンが必要です。旧バージョンの ASDM を新しいバージョンの ASA で使用することはできません。たとえば、ASA 9.12 で ASDM 7.10 を使用することはできません。ASA 暫定バージョンでは、特に明記されていない限り、現在の ASDM バージョンを引き続き使用できます。たとえば、ASA 9.12(1.15) を ASDM 7.12(1) とともに使用できます。

  • ASA 9.8(4.45) および 9.12(4.50) 以降では、ASDM 7.18(1.152) 以降が必要です。ASA では、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで 7.18(1.152) より前の ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。(CSCwb05291CSCwb05264


表 5. ASA と ASDM の互換性:9.12 から 9.5

ASA

ASDM

ASA モデル

ASA 5506-X

5506H-X

5506W-X

5508-X

5516-X

ASA 5512-X

5515-X

5525-X

5545-X

5555-X

ASA 5585-X

ASAv

ASASM

Firepower 2110

2120

2130

2140

Firepower 4110

4120

4140

4150

Firepower 4115

4125

4145

Firepower 9300

ISA 3000

9.12(4.50)

7.18(1.152)

YES

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.12(4)

7.13(1.101)

YES

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.12(3)

7.12(2)

YES

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.12(2)

7.12(2)

YES

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.12(1)

7.12(1)

YES

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.10(1)

7.10(1)

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.9(2)

7.9(2)

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.9(1)

7.9(1)

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.8(4.45)

7.18(1.152)

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.8(4)

7.12(1)

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.8(3)

7.9(2.152)

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.8(2)

7.8(2)

YES

YES

YES

YES

YES

YES

YES

YES

YES

9.8(1.200)

サポートなし

YES

9.8(1)

7.8(1)

YES

YES

YES

YES(+ASAv50)

YES

YES

YES

YES

9.7(1.4)

7.7(1)

YES

YES

YES

YES

YES

YES

YES

YES

9.6(4)

7.9(1)

YES

YES

YES

YES

YES

YES

YES

YES

9.6(3.1)

7.7(1)

YES

YES

YES

YES

YES

YES

YES

YES

9.6(2)

7.6(2)

YES

YES

YES

YES

YES

YES

YES

YES

9.6(1)

7.6(1)

YES

YES

YES

YES

YES

YES(4150 を除く)

YES

YES

9.5(3.9)

7.6(2)

YES

YES

YES

YES

YES

YES

9.5(2.200)

7.5(2.153)

YES

9.5(2.2)

7.5(2)

YES

9.5(2.1)

7.5(2)

YES

9.5(2)

7.5(2)

YES

YES

YES

YES

YES

YES

9.5(1.200)

7.5(1)

YES

9.5(1.5)

7.5(1.112)

YES

YES

YES

YES

YES

9.5(1)

7.5(1)

YES

YES

YES

YES

YES

Firepower 4100/9300 と ASA および Threat Defense の互換性

次の表に、ASA および Threat Defense アプリケーションと、Firepower 4100/9300 の互換性を示します。

以下に太字でリストされているバージョンは、特別に認定されたリリースです。シスコがこれらの組み合わせの拡張テストを実施するため、これらのソフトウェアの組み合わせは可能な限り使用する必要があります。

アップグレードについては、次のガイドラインを参照してください。

  • FXOS:2.2.2 以降では、上位バージョンに直接アップグレードできます。2.2.2 より前のバージョンからアップグレードする場合は、各中間バージョンにアップグレードする必要があります。現在の論理デバイスバージョンをサポートしていないバージョンに FXOS をアップグレードすることはできないことに注意してください。次の手順でアップグレードを行う必要があります。現在の論理デバイスをサポートする最新のバージョンに FXOS をアップグレードします。次に、論理デバイスをその FXOS バージョンでサポートされている最新のバージョンにアップグレードします。たとえば、FXOS 2.2/ASA 9.8 から FXOS 2.13/ASA 9.19 にアップグレードする場合は、次のアップグレードを実行する必要があります。

    1. FXOS 2.2→FXOS 2.11(9.8 をサポートする最新バージョン)

    2. ASA 9.8→ASA 9.17(2.11 でサポートされている最新バージョン)

    3. FXOS 2.11→FXOS 2.13

    4. ASA 9.17→ASA 9.19

  • ASA:ASA では、上記の FXOS 要件に注意して、現在のバージョンから任意の上位バージョンに直接アップグレードできます。


(注)  


このセクションは、Firepower 4100/9300 にのみ適用されます。その他のモデルでは、ASA と 脅威に対する防御 の統合イメージバンドルに含まれる基盤となるオペレーティングシステムとしてのみ FXOS が利用されます。マルチインスタンスモードの Secure Firewall 3100 については、Threat Defense 互換性ガイドを参照してください。



(注)  


FXOS 2.8(1.125)+ 以降のバージョンは、ASA SNMP ポーリングおよびトラップに関して ASA 9.14(1) または 9.14(1.10) をサポートしません。9.14(1.15)+ を使用する必要があります。他のリリース(9.13 や 9.12 など)は影響を受けません。



(注)  


FXOS 2.12/ASA 9.18/Threat Defense 7.2 は Firepower 4110、4120、4140、4150、および Firepower 9300 のセキュリティモジュール SM-24、SM-36、SM-44 の最終バージョンでした。


表 6. ASA または Threat Defense 、および Firepower 4100/9300 の互換性

FXOS のバージョン

モデル

ASA のバージョン

Threat Defense バージョン

2.14(1)

Firepower 4112

9.20(推奨)

9.19

9.18

9.17

9.16

9.15

9.14

7.4(推奨)

7.3

7.2

7.1

7.0

6.7

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.20(推奨)

9.19

9.18

9.17

9.16

9.15

9.14

7.4(推奨)

7.3

7.2

7.1

7.0

6.7

6.6

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

2.13

Firepower 4112

9.19(推奨)

9.18

9.17

9.16

9.15

9.14

7.3(推奨)

7.2

7.1

7.0

6.7

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.19(推奨)

9.18

9.17

9.16

9.15

9.14

7.3(推奨)

7.2

7.1

7.0

6.7

6.6

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

2.12

Firepower 4112

9.18(推奨)

9.17

9.16

9.15

9.14

7.2(推奨)

7.1

7.0

6.7

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.18(推奨)

9.17

9.16

9.15

9.14

9.12

7.2(推奨)

7.1

7.0

6.7

6.6

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.18(推奨)

9.17

9.16

9.15

9.14

9.12

7.2(推奨)

7.1

7.0

6.7

6.6

6.4

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.11

Firepower 4112

9.17(推奨)

9.16

9.15

9.14

7.1(推奨)

7.0

6.7

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.17(推奨)

9.16

9.15

9.14

9.12

7.1(推奨)

7.0

6.7

6.6

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.17(推奨)

9.16

9.15

9.14

9.12

9.8

7.1(推奨)

7.0

6.7

6.6

6.4

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.10

(注)  

 

7.0.2+ および 9.16(3.11)+ との互換性を確保するには、FXOS 2.10(1.179)+ が必要です。

Firepower 4112

9.16(推奨)

9.15

9.14

7.0(推奨)

6.7

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.16(推奨)

9.15

9.14

9.12

7.0(推奨)

6.7

6.6

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.16(推奨)

9.15

9.14

9.12

9.8

7.0(推奨)

6.7

6.6

6.4

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.9

Firepower 4112

9.15(推奨)

9.14

6.7(推奨)

6.6

Firepower 4145

Firepower 4125

Firepower 4115

9.15(推奨)

9.14

9.12

6.7(推奨)

6.6

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.15(推奨)

9.14

9.12

9.8

6.7(推奨)

6.6

6.4

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.8

Firepower 4112

9.14

6.6

(注)  

 

6.6.1+ では FXOS 2.8(1.125)+ が必要です。

Firepower 4145

Firepower 4125

Firepower 4115

9.14(推奨)

9.12

(注)  

 

Firepower 9300 SM-56 には ASA 9.12(2)+ が必要

6.6(推奨)

(注)  

 

6.6.1+ では FXOS 2.8(1.125)+ が必要です。

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.14(推奨)

9.12

9.8

6.6(推奨)

(注)  

 

6.6.1+ では FXOS 2.8(1.125)+ が必要です。

6.4

6.2.3

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.6(1.157)

(注)  

 

ASA 9.12+ および FTD 6.4+ では、同じ Firepower 9300 シャーシ内の別のモジュールで実行できるようになりました。

Firepower 4145

Firepower 4125

Firepower 4115

9.12

(注)  

 

Firepower 9300 SM-56 には ASA 9.12.2+ が必要

6.4

Firepower 9300 SM-56

Firepower 9300 SM-48

Firepower 9300 SM-40

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.12(推奨)

9.8

6.4(推奨)

6.2.3

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.6(1.131)

Firepower 9300 SM-48

Firepower 9300 SM-40

9.12

サポート対象外

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.12(推奨)

9.8

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.3(1.73)

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.8

(注)  

 

FXOS 2.3(1.130)+ を実行している場合、フローオフロードには 9.8(2.12)+ が必要です。

6.2.3(推奨)

(注)  

 

6.2.3.16+ には FXOS 2.3.1.157+ が必要

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.3(1.66)

2.3(1.58)

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.8

(注)  

 

FXOS 2.3(1.130)+ を実行している場合、フローオフロードには 9.8(2.12)+ が必要です。

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

2.2

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4110

9.8

Threat Defense バージョンはサポートが終了しています

Firepower 9300 SM-44

Firepower 9300 SM-36

Firepower 9300 SM-24

Radware DefensePro の互換性

次の表に、各セキュリティアプライアンスおよび関連する論理デバイスでサポートされる Radware DefensePro バージョンを示します。

表 7. Radware DefensePro の互換性
FXOS のバージョン ASA Threat Defense ラドウェア ディフェンス プロ セキュリティアプライアンスのモデル

2.13.0

9.19(1)

7.3

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4112

Firepower 4115

Firepower 4125

Firepower 4145

2.12.0

9.18(1)

7.2

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4110

Firepower 4112

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.11.1

9.17(1)

7.1

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4110

Firepower 4112

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.10.1

9.16(1)

7.0

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4110

Firepower 4112

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.10.1

9.16(1)

7.0

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4110

Firepower 4112

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.9.1

9.15(1)

6.7.0

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4110

Firepower 4112

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.8.1

9.14(1)

6.6.0

8.13.01.09-3

8.22.2

Firepower 9300

Firepower 4110

Firepower 4112

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.7(1)

9.13(1)

6.5

8.13.01.09-3

Firepower 9300

Firepower 4110

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.6(1)

9.12(1)

9.10(1)

6.4.0

6.3.0

8.13.01.09-3

Firepower 9300

Firepower 4110

Firepower 4115

Firepower 4120

Firepower 4125

Firepower 4140

Firepower 4145

Firepower 4150

2.4(1)

9.9(2)

9.10(1)

6.2.3

6.3

8.13.01.09-2

Firepower 9300

Firepower 4110

Firepower 4120

Firepower 4140

Firepower 4150

2.3(1)

9.9(1)

9.9(2)

6.2.2

6.2.3

8.13.01.09-2

Firepower 9300

Firepower 4110(Firepower Threat Defense のみ)

Firepower 4120

Firepower 4140

Firepower 4150

2.2(2)

9.8(1)

9.8(2)

9.8(3)

6.2.0

6.2.2

8.10.01.17-2

Firepower 9300

Firepower 4110(Firepower Threat Defense のみ)

Firepower 4120

Firepower 4140

Firepower 4150

2.2(1)

9.7(1)

9.8(1)

6.2.0 8.10.01.17-2

Firepower 9300

Firepower 4110(Firepower Threat Defense のみ)

Firepower 4120

Firepower 4140

Firepower 4150

2.1(1)

9.6(2)

9.6(3)

9.6(4)

9.7(1)

未サポート 8.10.01.16-5

Firepower 9300

Firepower 4120

Firepower 4140

Firepower 4150

2.0(1)

9.6(1)

9.6(2)

9.6(3)

9.6(4)

未サポート 8.10.01.16-5

Firepower 9300

Firepower 4120

Firepower 4140

Firepower 4150

1.1(4) 9.6(1) 未サポート 1.1(2.32 ~ 3) 9300

ASA と ASA FirePOWER モジュールの互換性

互換性一覧表

次の表に ASA、ASDM、および ASA FirePOWER のサポートを示します。FMC を使用して ASA FirePOWER を管理している場合は、ASDM の要件を無視できます。

次の点に注意してください。

  • ASA 9.16/ASDM 7.16/Firepower 7.0 は、ASA 5508-X、5516-X、および ISA 3000 上の ASA FirePOWER モジュールの最終バージョンです。

  • ASA 9.14/ASDM 7.14/FirePOWER 6.6 は ASA 5525-X、5545-X、および 5555-X 上の ASA FirePOWER モジュールの最終バージョンです。

  • ASA 9.12/ASDM 7.12/FirePOWER 6.4.0 は、ASA 5515-X および 5585-X 上の ASA FirePOWER モジュールの最終バージョンです。

  • ASA 9.9/ASDM 7.9(2)/FirePOWER 6.2.3 は、ASA 5506-X シリーズおよび 5512-X 上のASA FirePOWER モジュールの最終バージョンです。


(注)  


  • 特に明記されていない限り、ASDM のバージョンは以前のすべての ASA のバージョンと下位互換性があります。たとえば、ASDM 7.13(1) は ASA 9.10(1) で ASA 5516-X を管理できます。

  • ASDM は、ASA 9.8(4.45)+、9.12(4.50)+、9.14(4.14)+、および 9.16(3.19)+ による FirePOWER モジュール管理ではサポートされません。これらのリリースでモジュールを管理するには、FMC を使用する必要があります。これらの ASA リリースには ASDM 7.18(1.152) 以降が必要ですが、ASA FirePOWER モジュールの ASDM サポートは 7.16 で終了しました。

  • ASDM 7.13(1) と 7.14(1) は、ASA 5512-X、5515-X、5585-X、および ASASM をサポートしていませんでした。そのため、ASDM 7.13(1.101) または 7.14(1.48) にアップグレードして ASDM のサポートを復元する必要があります。


表 8. ASA と ASA FirePOWER の互換性

ASA FirePOWER のバージョン

ASDM のバージョン(ローカル管理用)

ASA のバージョン

ASA モデル

5506-X シリーズ

5508-X

5516-X

5512-X

5515-X

5525-X

5545-X

5555-X

5585-X(以下の SSP についての注記を参照してください)

ISA 3000

7.0

ASDM 7.16

ASA 9.5(2) ~ 9.16

YES

YES

6.7

ASDM 7.15 以降

ASA 9.5(2) ~ 9.16

YES

YES

6.6

ASDM 7.14 以降

ASA 9.15、9.16(5525-X、5545-X、5555-X 以外)

ASA 9.5(2) ~ 9.14

YES

YES

YES

6.5.0

ASDM 7.13 以降

ASA 9.15、9.16(5525-X、5545-X、5555-X 以外)

ASA 9.5(2) ~ 9.14

YES

YES

YES

6.4.0

ASDM 7.12 以降

ASA 9.15、9.16(5515-X、5525-X、5545-X、5555-X、5585-X 以外)

ASA 9.13、 9.14 (5515-X、5585-X 以外)

ASA 9.5(2) ~ 9.12

YES

YES

YES

YES

YES

6.3.0

ASDM 7.10 以降

ASA 9.15、9.16(5515-X、5525-X、5545-X、5555-X、5585-X 以外)

ASA 9.13、 9.14 (5515-X、5585-X 以外)

ASA 9.5(2) ~ 9.12

YES

YES

YES

YES

YES

6.2.3

ASDM 7.9(2) 以降

ASA 9.15、9.16(5506-X、5512-X、5515-X、5525-X、5545-X、5555-X、5585-X 以外)

ASA 9.13、9.14(5506-X、5512-X、5515-X、5585-X 以外)

ASA 9.10、9.12 (5506-X、5512-X 以外)

ASA 9.6 ~ 9.9

ASA 9.5(2)、9.5(3)(5506-X 以外)

YES

YES

YES

YES

YES

YES

6.2.2

ASDM 7.8(2) 以降

ASA 9.15、9.16(5506-X、5512-X、5515-X、5525-X、5545-X、5555-X、5585-X 以外)

ASA 9.13、9.14(5506-X、5512-X、5515-X、5585-X 以外)

ASA 9.10、9.12 (5506-X、5512-X 以外)

ASA 9.6 ~ 9.9

ASA 9.5(2)、9.5(3)(5506-X 以外)

YES

YES

YES

YES

YES

YES

6.2.0

ASDM 7.7 以降

ASA 9.15、9.16(5506-X、5512-X、5515-X、5525-X、5545-X、5555-X、5585-X 以外)

ASA 9.13、9.14(5506-X、5512-X、5515-X、5585-X 以外)

ASA 9.10、9.12 (5506-X、5512-X 以外)

ASA 9.6 ~ 9.9

ASA 9.5(2)、9.5(3)(5506-X 以外)

YES

YES

YES

YES

YES

YES

6.1.0

ASDM 7.6(2) 以降

ASA 9.15、9.16(5506-X、5512-X、5515-X、5525-X、5545-X、5555-X、5585-X 以外)

ASA 9.13、9.14(5506-X、5512-X、5515-X、5585-X 以外)

ASA 9.10、9.12 (5506-X、5512-X 以外)

ASA 9.6 ~ 9.9

ASA 9.5(2)、9.5(3)(5506-X 以外)

YES

YES

YES

YES

YES

YES

6.0.1

ASDM 7.6 以降(ASDM では ASA 9.4 のサポートなし、FMC のみ)

ASA 9.6

ASA 9.5(1.5)、9.5(2)、9.5(3)

ASA 9.4

CSCuv91730 を考慮して、9.4(2) 以降にアップグレードすることをお勧めします。

YES

YES

YES

YES

YES

YES

6.0.0

ASDM 7.5(1.112) 以降(ASDM では ASA 9.4 のサポートなし、FMC のみ)

ASA 9.6

ASA 9.5(1.5)、9.5(2)、9.5(3)

ASA 9.4

CSCuv91730 を考慮して、9.4(2) 以降にアップグレードすることをお勧めします。

YES

YES

YES

YES

YES

YES

5.4.1.7

ASDM 7.5(1.112) 以降(ASDM では ASA 9.4 のサポートなし、FMC のみ)

ASA 9.15、9.16(5506-X、5512-X、5515-X、5525-X、5545-X、5555-X、5585-X 以外)

ASA 9.10 ~ 9.14(5506-X 以外)

ASA 9.5(2) ~ 9.9

ASA 9.4

ASA 9.4(1.225)(ISA 3000 のみ)

ASA 9.3(2)、9.3(3)(5508-X または 5516-X 以外)

CSCuv91730 を考慮して、9.3(3.8) または 9.4(2) 以降にアップグレードすることをお勧めします。

YES

YES

YES

5.4.1

ASDM 7.3(3) 以降

ASA 9.10 ~ 9.16(5506-X 以外)

ASA 9.6 ~ 9.9

ASA 9.5(1.5)、9.5(2)、9.5(3)

ASA 9.4

ASA 9.3(2)、9.3(3)(5506-X のみ)

CSCuv91730 を考慮して、9.3(3.8) または 9.4(2) 以降にアップグレードすることをお勧めします。

YES

YES

5.4.0.2

ASA 9.13、9.14(5512-X、5515-X、5585-X 以外)

ASA 9.6 ~ 9.12

ASA 9.5(1.5)、9.5(2)、9.5(3)

ASA 9.4

ASA 9.3(2)、9.3(3)

CSCuv91730 を考慮して、9.3(3.8) または 9.4(2) 以降にアップグレードすることをお勧めします。

YES

YES

YES

YES

5.4.0.1

ASA 9.2(2.4)、9.2(3)、9.2(4)

CSCuv91730 を考慮して、9.2(4.5) 以降にアップグレードすることをお勧めします。

YES

YES

YES

YES

5.3.1

ASA 9.2(2.4)、9.2(3)、9.2(4)

CSCuv91730 を考慮して、9.2(4.5) 以降にアップグレードすることをお勧めします。

YES

YES

YES

YES

Secure Firewall Management Center ASA FirePOWER との互換性

すべてのデバイスは、 Management Center によるリモート管理に対応しています。FMC では管理対象デバイスと同じまたはそれ以降のバージョンを実行する必要があります。これは、以下を意味します。

  • より新しい Management Center でより古いデバイスを管理できます。通常は、メジャーバージョンをいくつか遡ることができます。ただし、導入環境全体を常に更新することをお勧めします。多くの場合、新機能の使用や問題解決の適用には、Management Center とその管理対象デバイスの両方で最新リリースが必要になります。

  • Management Center よりも新しいバージョンのデバイスをアップグレードすることはできません。メンテナンス(3 桁)リリースの場合でも、最初に Management Center をアップグレードする必要があります。

ほとんどの場合、旧バージョンのデバイスは Management Center のメジャーバージョンまたはメンテナンスバージョンに直接アップグレードできます。ただし、対象バージョンがデバイスでサポートされていても、直接アップグレードできない旧バージョンのデバイスを管理している場合があります。また、特定の Management Center デバイスの組み合わせで、まれに問題が発生することがあります。リリース固有の要件については、リリースノートを参照してください。

表 9. お客様が導入した Management Center:デバイスの互換性

Management Center バージョン

管理可能な最も古いデバイスバージョン

7.4

7.0

7.3

6.7

7.2

6.6

7.1

6.5

7.0

6.4

6.7

6.3

6.6

6.2.3

6.5

6.2.3

6.4

6.1

6.3

6.1

6.2.3

6.1

6.2.2

6.1

6.2.1

6.1

6.2

6.1

6.1

5.4.0.2/5.4.1.1

6.0.1

5.4.0.2/5.4.1.1

6.0

5.4.0.2/5.4.1.1

5.4.1

5.4.1(ASA-5506-X シリーズ、ASA5508-X、および ASA5516-X の ASA FirePOWER)。

5.3.1(ASA5512-X、ASA5515-X、ASA5525-X、ASA5545-X、ASA5555-X、および ASA-5585-X シリーズの ASA FirePOWER)。

5.3.0(Firepower 7000/8000 シリーズおよびレガシーデバイス)。

アップグレードパス

アップグレードするオペレーティング システムごとに、サポートされているアップグレード パスを確認します。場合によっては、最終バージョンにアップグレードする前に、中間アップグレードをインストールする必要があります。

ASA のアップグレードパス

現在のバージョンとモデルを表示するには、次のいずれかの方法を使用します。

  • ASDM:[ホーム(Home)] > [デバイスダッシュボード(Device Dashboard)] > [デバイス情報(Device Information)] の順に選択します。

  • CLI:show version コマンドを使用します。

次の表に、ASA のアップグレードパスを示します。バージョンによっては、新しいバージョンにアップグレードする前に、中間アップグレードが必要な場合があります。推奨バージョンは太字で示されています。


(注)  


開始バージョンと終了バージョンの間で、各リリースのアップグレードガイドラインを必ず確認してください。場合によっては、アップグレードする前に構成を変更する必要があります。そうしないと、停止が発生する可能性があります。 ASA のアップグレード ガイドラインを参照してください。



(注)  


ASA のセキュリティの問題と、各問題に対する修正を含むリリースについては、ASA Security Advisories [英語] を参照してください。



(注)  


9.18 は Firepower 4110、4120、4140、4150、および Firepower 9300 のセキュリティモジュール SM-24、SM-36、SM-44 の最終バージョンです。

ASA 9.16 は ASA 5506-X、5508-X、および 5516-X の最終バージョンです。

ASA 9.14 は ASA 5525-X、5545-X、および 5555-X の最終バージョンです。

ASA 9.12 は ASA 5512-X、5515-X、5585-X、および ASASM 用の最終バージョン、

ASA 9.2 は ASA 5505 の最終バージョンです。

ASA 9.1 は ASA 5510、5520、5540、5550、および 5580 の最終バージョンです。


現在のバージョン

暫定アップグレードバージョン

ターゲットバージョン

9.19

次のいずれかになります。

9.20

9.18

次のいずれかになります。

9.20

9.19

9.17

次のいずれかになります。

9.20

9.19

9.18

9.16

次のいずれかになります。

9.19

9.18

→ 9.17

9.15

次のいずれかになります。

9.20

9.19

9.18

→ 9.17

9.16

9.14

次のいずれかになります。

9.20

9.19

9.18

→ 9.17

9.16

→ 9.15

9.13

次のいずれかになります。

9.20

9.19

9.18

→ 9.17

9.16

→ 9.15

→ 9.14

9.12

次のいずれかになります。

9.19

9.18

→ 9.17

9.16

→ 9.15

→ 9.14

9.10

次のいずれかになります。

9.20

9.19

9.18

→ 9.17

9.16

→ 9.15

→ 9.14

→ 9.12

9.9

次のいずれかになります。

9.20

9.19

9.18

→ 9.17

9.16

→ 9.15

→ 9.14

→ 9.12

9.8

次のいずれかになります。

9.20

9.19

9.18

→ 9.17

9.16

→ 9.15

→ 9.14

→ 9.12

9.7

次のいずれかになります。

9.20

9.19

9.18

→ 9.17

9.16

→ 9.15

→ 9.14

→ 9.12

→ 9.8

9.6

次のいずれかになります。

9.20

9.19

9.18

→ 9.17

9.16

→ 9.15

→ 9.14

→ 9.12

→ 9.8

9.5

次のいずれかになります。

9.20

9.19

9.18

→ 9.17

9.16

→ 9.15

→ 9.14

→ 9.12

→ 9.8

9.4

次のいずれかになります。

9.20

9.19

9.18

→ 9.17

9.16

→ 9.15

→ 9.14

→ 9.12

→ 9.8

9.3

次のいずれかになります。

9.20

9.19

9.18

→ 9.17

9.16

→ 9.15

→ 9.14

→ 9.12

→ 9.8

9.2

次のいずれかになります。

9.20

9.19

9.18

→ 9.17

9.16

→ 9.15

→ 9.14

→ 9.12

→ 9.8

9.1(2)、9.1(3)、9.1(4)、9.1(5)、9.1(6)、または 9.1(7.4)

次のいずれかになります。

→ 9.14

9.12

→ 9.8

→ 9.1(7.4)

9.1(1)

→ 9.1(2)

次のいずれかになります。

→ 9.14

9.12

→ 9.8

→ 9.1(7.4)

9.0(2)、9.0(3)、または 9.0(4)

次のいずれかになります。

→ 9.14

9.12

→ 9.8

→ 9.6

→ 9.1(7.4)

9.0(1)

→ 9.0(4)

次のいずれかになります。

→ 9.14

9.12

→ 9.8

→ 9.1(7.4)

8.6(1)

→ 9.0(4)

次のいずれかになります。

→ 9.14

9.12

→ 9.8

→ 9.1(7.4)

8.5(1)

→ 9.0(4)

次のいずれかになります。

9.12

→ 9.8

→ 9.1(7.4)

8.4(5+)

次のいずれかになります。

9.12

→ 9.8

→ 9.1(7.4)

→ 9.0(4)

8.4(1) ~ 8.4(4)

→ 9.0(4)

9.12

→ 9.8

→ 9.1(7.4)

8.3

→ 9.0(4)

次のいずれかになります。

9.12

→ 9.8

→ 9.1(7.4)

8.2 以前

→ 9.0(4)

次のいずれかになります。

9.12

→ 9.8

→ 9.1(7.4)

アップグレードパス:Firepower 4100/9300 用の ASA 論理デバイス

現在のバージョンとモデルを表示するには、次のいずれかの方法を使用します。

  • Firepower シャーシマネージャ:[概要(Overview)] を選択し、上部にある [モデル(Model)] および [バージョン(Version)] フィールドを確認します。

  • CLI:バージョンについては、show version コマンドを使用し、「Package-Vers:」フィールドを確認します。モデルについては、scope chassis 1 を入力し、次に show inventory を入力します。

アップグレードについては、次のガイドラインを参照してください。

  • FXOS:2.2.2 以降では、上位バージョンに直接アップグレードできます。2.2.2 より前のバージョンからアップグレードする場合は、各中間バージョンにアップグレードする必要があります。現在の論理デバイスバージョンをサポートしていないバージョンに FXOS をアップグレードすることはできないことに注意してください。次の手順でアップグレードを行う必要があります。現在の論理デバイスをサポートする最新のバージョンに FXOS をアップグレードします。次に、論理デバイスをその FXOS バージョンでサポートされている最新のバージョンにアップグレードします。たとえば、FXOS 2.2/ASA 9.8 から FXOS 2.13/ASA 9.19 にアップグレードする場合は、次のアップグレードを実行する必要があります。

    1. FXOS 2.2→FXOS 2.11(9.8 をサポートする最新バージョン)

    2. ASA 9.8→ASA 9.17(2.11 でサポートされている最新バージョン)

    3. FXOS 2.11→FXOS 2.13

    4. ASA 9.17→ASA 9.19

  • ASA:ASA では、上記の FXOS 要件に注意して、現在のバージョンから任意の上位バージョンに直接アップグレードできます。

ダウングレードについての注記

FXOS イメージのダウングレードは公式にはサポートされていません。シスコがサポートする唯一の FXOS のイメージバージョンのダウングレード方法は、デバイスの完全な再イメージ化を実行することです。

アップグレードパス:Firepower 4100/9300 の FXOS

2.2.2 以降では、上位バージョンに直接アップグレードできます。2.2.2 より前のバージョンからアップグレードする場合は、各中間バージョンにアップグレードする必要があります。現在の論理デバイスバージョンをサポートしていないバージョンに FXOS をアップグレードすることはできないことに注意してください。次の手順でアップグレードを行う必要があります。現在の論理デバイスをサポートする最新のバージョンに FXOS をアップグレードします。次に、論理デバイスをその FXOS バージョンでサポートされている最新のバージョンにアップグレードします。たとえば、FXOS 2.2/ASA 9.8 から FXOS 2.13/ASA 9.19 にアップグレードする場合は、次のアップグレードを実行する必要があります。

  1. FXOS 2.2→FXOS 2.11(9.8 をサポートする最新バージョン)

  2. ASA 9.8→ASA 9.17(2.11 でサポートされている最新バージョン)

  3. FXOS 2.11→FXOS 2.13

  4. ASA 9.17→ASA 9.19

アップグレードパス:ASDM による ASA FirePOWER

この表に、ASDM によって管理される ASA FirePOWER モジュールのアップグレードパスを示します。

ASDM で[Home] > [ASA FirePOWER Dashboard] を選択すると、現在のバージョンが表示されます。

次の点に注意してください。

  • ASA 9.16/ASDM 7.16/Firepower 7.0 は、ASA 5508-X、5516-X、および ISA 3000 上の ASA FirePOWER モジュールの最終バージョンです。

  • ASA 9.14/ASDM 7.14/FirePOWER 6.6 は ASA 5525-X、5545-X、および 5555-X 上の ASA FirePOWER モジュールの最終バージョンです。

  • ASA 9.12/ASDM 7.12/FirePOWER 6.4.0 は、ASA 5515-X および 5585-X 上の ASA FirePOWER モジュールの最終バージョンです。

  • ASA 9.9/ASDM 7.9(2)/FirePOWER 6.2.3 は、ASA 5506-X シリーズおよび 5512-X 上のASA FirePOWER モジュールの最終バージョンです。


(注)  


  • 特に明記されていない限り、ASDM のバージョンは以前のすべての ASA のバージョンと下位互換性があります。たとえば、ASDM 7.13(1) は ASA 9.10(1) で ASA 5516-X を管理できます。

  • ASDM は、ASA 9.8(4.45)+、9.12(4.50)+、9.14(4.14)+、および 9.16(3.19)+ による FirePOWER モジュール管理ではサポートされません。これらのリリースでモジュールを管理するには、FMC を使用する必要があります。これらの ASA リリースには ASDM 7.18(1.152) 以降が必要ですが、ASA FirePOWER モジュールの ASDM サポートは 7.16 で終了しました。

  • ASDM 7.13(1) と 7.14(1) は、ASA 5512-X、5515-X、5585-X、および ASASM をサポートしていませんでした。そのため、ASDM 7.13(1.101) または 7.14(1.48) にアップグレードして ASDM のサポートを復元する必要があります。


左側の列で現在のバージョンを確認します。右側の列に記載されているバージョンに直接アップグレードできます。

表 10. アップグレードパス:ASDM を搭載した ASA FirePOWER

現在のバージョン

ターゲットバージョン

7.0.0

7.0.x

任意のプラットフォームにおける最後の ASA FirePOWER のサポート。

→ 7.0.x 以降のメンテナンスリリース

6.7.0

6.7.x

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.x メンテナンスリリース以降

6.6.0

6.6.x

ASA 5525-X、5545-X、5555-X での最後の ASA FirePOWER のサポート。

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.x メンテナンスリリース以降

6.5.0

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.0 または 6.6.x メンテナンスリリース

6.4.0

ASA 5585-X シリーズおよび ASA 5515-X での最後の ASA FirePOWER のサポート。

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.0 または 6.6.x メンテナンスリリース

→ 6.5.0

6.3.0

次のいずれかです。

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.0 または 6.6.x メンテナンスリリース

→ 6.5.0

→6.4.0

6.2.3

ASA 5506-x シリーズおよび ASA 5512-x での最後の ASA FirePOWER のサポート。

次のいずれかです。

→ 6.6.x メンテナンスリリース

→ 6.5.0

→6.4.0

→ 6.3.0

CSCvu50400 であるため、ASDM 搭載の ASA FirePOWER をバージョン 6.2.3 から 6.6.0 へ直接アップグレードしないでください。アップグレードは成功しますが、重大なパフォーマンスの問題が発生するため、Cisco TAC に連絡して修正を依頼する必要があります。代わりに、バージョン 6.6.1 以降のメンテナンスリリースに直接アップグレードすることをお勧めします。バージョン 6.6.0 を実行する場合は、最初に中間リリースにアップグレードします。

6.2.2

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

6.2.1

このプラットフォームではサポートされていません。

6.2.0

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.1.0

次のいずれかです。

→ 6.2.0

6.0.1

次のいずれかです。

→ 6.1.0

6.0.0

次のいずれかです。

→ 6.0.1

5.4.0.2 または 5.4.1.1

次のいずれかです。

→ 6.0.0

次のプレインストールパッケージが必要です:FireSIGHT System Release Notes Version 6.0.0 Preinstallation

アップグレードパス:FMC を搭載した ASA FirePOWER

この表に、FMC によって管理される ASA FirePOWER module のアップグレードパスを示します。

次の点に注意してください。

  • ASA 9.16/ASDM 7.16/Firepower 7.0 は、ASA 5508-X、5516-X、および ISA 3000 上の ASA FirePOWER モジュールの最終バージョンです。

  • ASA 9.14/ASDM 7.14/FirePOWER 6.6 は ASA 5525-X、5545-X、および 5555-X 上の ASA FirePOWER モジュールの最終バージョンです。

  • ASA 9.12/ASDM 7.12/FirePOWER 6.4.0 は、ASA 5515-X および 5585-X 上の ASA FirePOWER モジュールの最終バージョンです。

  • ASA 9.9/ASDM 7.9(2)/FirePOWER 6.2.3 は、ASA 5506-X シリーズおよび 5512-X 上のASA FirePOWER モジュールの最終バージョンです。


(注)  


  • 特に明記されていない限り、ASDM のバージョンは以前のすべての ASA のバージョンと下位互換性があります。たとえば、ASDM 7.13(1) は ASA 9.10(1) で ASA 5516-X を管理できます。

  • ASDM は、ASA 9.8(4.45)+、9.12(4.50)+、9.14(4.14)+、および 9.16(3.19)+ による FirePOWER モジュール管理ではサポートされません。これらのリリースでモジュールを管理するには、FMC を使用する必要があります。これらの ASA リリースには ASDM 7.18(1.152) 以降が必要ですが、ASA FirePOWER モジュールの ASDM サポートは 7.16 で終了しました。

  • ASDM 7.13(1) と 7.14(1) は、ASA 5512-X、5515-X、5585-X、および ASASM をサポートしていませんでした。そのため、ASDM 7.13(1.101) または 7.14(1.48) にアップグレードして ASDM のサポートを復元する必要があります。


左側の列で現在のバージョンを確認します。右側の列に記載されているバージョンに直接アップグレードできます。

必要に応じて、ASA もアップグレードできます。ASA と ASA FirePOWER のバージョンには幅広い互換性があります。ただし、アップグレードすると、新機能を利用でき、問題も解決されます。 ASA のアップグレードパスについては、ASA のアップグレードパス を参照してください。

表 11. アップグレードパス:FMC を搭載した ASA FirePOWER

現在のバージョン

ターゲットバージョン

7.0.0

7.0.x

任意のプラットフォームにおける最後の ASA FirePOWER のサポート。

→ 7.0.x 以降のメンテナンスリリース

6.7.0

6.7.x

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.x メンテナンスリリース以降

6.6.0

6.6.x

ASA 5525-X、5545-X、5555-X での最後の ASA FirePOWER のサポート。

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.x メンテナンスリリース以降

6.5.0

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.0 または 6.6.x メンテナンスリリース

6.4.0

ASA 5585-X シリーズおよび ASA 5515-X での最後の ASA FirePOWER のサポート。

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.0 または 6.6.x メンテナンスリリース

→ 6.5.0

6.3.0

次のいずれかです。

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.0 または 6.6.x メンテナンスリリース

→ 6.5.0

→6.4.0

6.2.3

ASA 5506-x シリーズおよび ASA 5512-x での最後の ASA FirePOWER のサポート。

次のいずれかです。

→ 6.6.0 または 6.6.x メンテナンスリリース

→ 6.5.0

→6.4.0

→ 6.3.0

6.2.2

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

6.2.1

このプラットフォームではサポートされていません。

6.2.0

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.1.0

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.0

6.0.1

次のいずれかです。

→ 6.1.0

6.0.0

次のいずれかです。

→ 6.0.1

5.4.0.2 または 5.4.1.1

次のいずれかです。

→ 6.0.0

次のプレインストールパッケージが必要です:FireSIGHT System Release Notes Version 6.0.0 Preinstallation

アップグレードパス:Secure Firewall Management Center

次の表に FMC(FMCv を含む)のアップグレードパスを示します。

左側の列で現在のバージョンを確認します。右側の列に記載されているバージョンに直接アップグレードできます。


(注)  


現在のバージョンが対象のバージョンより後の日付にリリースされた場合、期待どおりにアップグレードできない可能性があります。このような場合、アップグレードはすぐに失敗し、2 つのバージョン間にデータストアの非互換性があることを説明するエラーが表示されます。 現在のバージョンと対象のバージョンの両方のに関するリリースノートには、特定の制限が掲載されています。


表 12. FMC の直接アップグレード

現在のバージョン

ターゲットバージョン

7.0.0

7.0.x

FMC 1000、2500、4500 に対する最後のサポート

→ 7.0.x 以降のメンテナンスリリース

6.7.0

6.7.x

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.x メンテナンスリリース以降

6.6.0

6.6.x

FMC 2000 および 4000 の最後のサポート。

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.x メンテナンスリリース以降

:データストアの非互換性のため、バージョン 6.6.5 以降からバージョン 6.7.0 にアップグレードすることができません。バージョン 7.0.0 以降に直接アップグレードすることをお勧めします。

6.5.0

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.0 または 6.6.x メンテナンスリリース

6.4.0

FMC 750、1500、および 3500 の最後のサポート。

次のいずれかです。

→ 7.0.0 または 7.0.x のいずれかのメンテナンスリリース

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.0 または 6.6.x メンテナンスリリース

→ 6.5.0

6.3.0

次のいずれかです。

→ 6.7.0 または 6.7.x メンテナンスリリース

→ 6.6.0 または 6.6.x メンテナンスリリース

→ 6.5.0

→6.4.0

6.2.3

次のいずれかです。

→ 6.6.0 または 6.6.x メンテナンスリリース

→ 6.5.0

→6.4.0

→ 6.3.0

6.2.2

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

6.2.1

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.2.0

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.2

6.1.0

次のいずれかです。

→6.4.0

→ 6.3.0

→ 6.2.3

→ 6.2.0

6.0.1

次のいずれかです。

→ 6.1.0

6.0.0

次のいずれかです。

→ 6.0.1

次のプレインストールパッケージが必要です:Firepower System Release Notes Version 6.0.1 Preinstallation

5.4.1.1

次のいずれかです。

→ 6.0.0

次のプレインストールパッケージが必要です:FireSIGHT System Release Notes Version 6.0.0 Preinstallation

Cisco.com からのソフトウェアのダウンロード

アップグレードを開始する前に Cisco.com からすべてのソフトウェア パッケージをダウンロードしてください。オペレーティング システムに応じて、また CLI または GUI を使用しているかどうかによって、イメージをサーバー上または管理コンピュータ上に配置する必要があります。サポートされているファイルの保存場所の詳細については、各インストール手順を参照してください。


(注)  


Cisco.com のログインおよびシスコ サービス契約が必要です。


ASA ソフトウェアのダウンロード

ASDM アップグレード ウィザードを使用している場合は、ソフトウェアを事前にダウンロードする必要はありません。フェールオーバー アップグレードなど手動でのアップグレードの場合は、ローカル コンピュータにイメージをダウンロードします。

CLI のアップグレードでは、TFTP、HTTP、FTP を含む、多くのタイプのサーバーにソフトウェアを配置することができます。『ASA コマンド リファレンス』の copy コマンドを参照してください。

ASA ソフトウェアは Cisco.com からダウンロードできます。以下の表には、ASA パッケージについての命名規則と情報が含まれています。

表 13. 現在のプラットフォーム

ASA モデル

ダウンロードの場所

パッケージ

ASA Virtual

http://www.cisco.com/go/asav-software

ASA ソフトウェア(アップグレード)

[Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA Virtual アップグレードファイルには、asa962-smp-k8.bin のような名前が付いています。すべてのハイパーバイザにこのアップグレードファイルを使用します。注:.zip(VMware)、.vhdx(Hyper-V)、および .qcow2(KVM)ファイルは初期展開専用です。

(注)  

 

Amazon Web Services などのパブリッククラウドサービス用の ASA Virtual をアップグレードするには、Cisco.com から上記のイメージをダウンロードして(Cisco.com へのログインとシスコとのサービス契約が必要)、このガイドの説明に従ってアップグレードを実行します。パブリッククラウドサービスからアップグレードイメージを取得する方法はありません。

ASDM ソフトウェア(アップグレード)

[Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。

REST API ソフトウェア

[Adaptive Security Appliance REST API Plugin] > バージョンの順に選択します。

API ソフトウェアのファイルには asa-restapi-132-lfbff-k8.SPA のような名前が付いています。REST API をインストールするには、『API クイックスタート ガイド』 を参照してください。

Cisco Application Policy Infrastructure Controller(APIC)の ASA デバイス パッケージ

[ASA for Application Centric Infrastructure (ACI) Device Packages] > バージョンの順に選択します。

APIC 1.2(7) 以降では、ファブリック挿入によるポリシー オーケストレーションまたはファブリック挿入のみのパッケージを選択します。デバイス ソフトウェアのファイルには asa-device-pkg-1.2.7.10.zip のような名前が付いています。ASA デバイス パッケージをインストールするには、『Cisco APIC Layer 4 to Layer 7 Services Deployment Guide』 の「Importing a Device Package」の章を参照してください。

Firepower 1000

http://www.cisco.com/go/asa-firepower-sw

ASA、ASDM、および FXOS ソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA パッケージには、ASA、ASDM、および FXOS ソフトウェアが含まれています。ASA パッケージには、cisco-asa-fp1k.9.13.1.SPA のような名前が付いています。

ASDM ソフトウェア(アップグレード)

使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

現在の ASDM または ASA CLI を使用して、以降のバージョンの ASDM にアップグレードするには、このイメージを使用します。ASDM ソフトウェアのファイルには asdm-7131.bin のような名前が付いています。

(注)  

 

ASA バンドルをアップグレードすると、同じ名前(asdm.bin)であるため、バンドル内の ASDM イメージが ASA 上の前の ASDM バンドル イメージに置き換わります。ただし、アップロードした別の ASDM イメージ(たとえば asdm-7131.bin)を手動で選択すると、バンドル アップグレード後も引き続き同じイメージが使用されます。互換性のある ASDM バージョンを実行していることを確認するには、バンドルをアップグレードする前に ASDM をアップグレードするか、または ASA バンドルをアップグレードする直前に、バンドルされた ASDM イメージ(asdm.bin)を使用するように ASA を再設定する必要があります。

Firepower 2100

http://www.cisco.com/go/asa-firepower-sw

ASA、ASDM、および FXOS ソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA パッケージには、ASA、ASDM、および FXOS ソフトウェアが含まれています。ASA パッケージには、cisco-asa-fp2k.9.8.2.SPAのようなファイル名が付いています。

ASDM ソフトウェア(アップグレード)

使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

現在の ASDM または ASA CLI を使用して、以降のバージョンの ASDM にアップグレードするには、このイメージを使用します。ASDM ソフトウェアのファイルには asdm-782.bin のような名前が付いています。

(注)  

 

ASA バンドルをアップグレードすると、同じ名前(asdm.bin)であるため、バンドル内の ASDM イメージが ASA 上の前の ASDM バンドル イメージに置き換わります。ただし、アップロードした別の ASDM イメージ(たとえば asdm-782.bin)を手動で選択すると、バンドル アップグレード後も引き続き同じイメージが使用されます。互換性のある ASDM バージョンを実行していることを確認するには、バンドルをアップグレードする前に ASDM をアップグレードするか、または ASA バンドルをアップグレードする直前に、バンドルされた ASDM イメージ(asdm.bin)を使用するように ASA を再設定する必要があります。

Cisco Secure Firewall 3100

https://cisco.com/go/asa-secure-firewall-sw

ASA、ASDM、および FXOS ソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA パッケージには、ASA、ASDM、および FXOS ソフトウェアが含まれています。ASA パッケージには cisco-asa-fp3k.9.17.1.SPA のようなファイル名が付いています。

ASDM ソフトウェア(アップグレード)

使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

現在の ASDM または ASA CLI を使用して、以降のバージョンの ASDM にアップグレードするには、このイメージを使用します。ASDM ソフトウェアのファイルには asdm-7171.bin のような名前が付いています。

(注)  

 

ASA バンドルをアップグレードすると、同じ名前(asdm.bin)であるため、バンドル内の ASDM イメージが ASA 上の前の ASDM バンドル イメージに置き換わります。ただし、アップロードした別の ASDM イメージ(たとえば asdm-7171.bin)を手動で選択すると、バンドル アップグレード後も引き続き同じイメージが使用されます。互換性のある ASDM バージョンを実行していることを確認するには、バンドルをアップグレードする前に ASDM をアップグレードするか、または ASA バンドルをアップグレードする直前に、バンドルされた ASDM イメージ(asdm.bin)を使用するように ASA を再設定する必要があります。

Firepower 4100

http://www.cisco.com/go/firepower4100-software

ASA と ASDM のソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA パッケージには、ASA と ASDM の両方が含まれます。ASA パッケージのファイルには cisco-asa.9.6.2.SPA.csp のような名前が付いています。

ASDM ソフトウェア(アップグレード)

使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

現在の ASDM または ASA CLI を使用して、以降のバージョンの ASDM にアップグレードするには、このイメージを使用します。ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。

(注)  

 

FXOS 内の ASA バンドルをアップグレードすると、ASA 上の古い ASDM バンドル イメージがバンドル内の ASDM イメージに置き換えられます。これは、両者の名前が同じ(asdm.bin)であるためです。ただし、アップロードした別の ASDM イメージ(たとえば asdm-782.bin)を手動で選択すると、バンドル アップグレード後も引き続き同じイメージが使用されます。互換性のある ASDM バージョンを実行していることを確認するには、バンドルをアップグレードする前に ASDM をアップグレードするか、または ASA バンドルをアップグレードする直前に、バンドルされた ASDM イメージ(asdm.bin)を使用するように ASA を再設定する必要があります。

REST API ソフトウェア

使用しているモデル > [Adaptive Security Appliance REST API Plugin] > バージョンの順に選択します。

API ソフトウェアのファイルには asa-restapi-132-lfbff-k8.SPA のような名前が付いています。REST API をインストールするには、『API クイックスタート ガイド』 を参照してください。

Cisco Secure Firewall 4200

https://cisco.com/go/asa-secure-firewall-sw

ASA、ASDM、および FXOS ソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA パッケージには、ASA、ASDM、および FXOS ソフトウェアが含まれています。ASA パッケージには cisco-asa-fp4200.9.20.1.SPA のようなファイル名が付いています。

ASDM ソフトウェア(アップグレード)

使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

現在の ASDM または ASA CLI を使用して、以降のバージョンの ASDM にアップグレードするには、このイメージを使用します。ASDM ソフトウェアのファイルには asdm-7201.bin のような名前が付いています。

(注)  

 

ASA バンドルをアップグレードすると、同じ名前(asdm.bin)であるため、バンドル内の ASDM イメージが ASA 上の前の ASDM バンドル イメージに置き換わります。ただし、アップロードした別の ASDM イメージ(たとえば asdm-7201.bin)を手動で選択すると、バンドル アップグレード後も引き続き同じイメージが使用されます。互換性のある ASDM バージョンを実行していることを確認するには、バンドルをアップグレードする前に ASDM をアップグレードするか、または ASA バンドルをアップグレードする直前に、バンドルされた ASDM イメージ(asdm.bin)を使用するように ASA を再設定する必要があります。

Firepower 9300

http://www.cisco.com/go/firepower9300-software

ASA と ASDM のソフトウェア

[Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA パッケージには、ASA と ASDM の両方が含まれます。ASA パッケージのファイルには cisco-asa.9.6.2.SPA.csp のような名前が付いています。

ASDM ソフトウェア(アップグレード)

[Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

現在の ASDM または ASA CLI を使用して、以降のバージョンの ASDM にアップグレードするには、このイメージを使用します。ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。

(注)  

 

FXOS 内の ASA バンドルをアップグレードすると、ASA 上の古い ASDM バンドル イメージがバンドル内の ASDM イメージに置き換えられます。これは、両者の名前が同じ(asdm.bin)であるためです。ただし、アップロードした別の ASDM イメージ(たとえば asdm-782.bin)を手動で選択すると、バンドル アップグレード後も引き続き同じイメージが使用されます。互換性のある ASDM バージョンを実行していることを確認するには、バンドルをアップグレードする前に ASDM をアップグレードするか、または ASA バンドルをアップグレードする直前に、バンドルされた ASDM イメージ(asdm.bin)を使用するように ASA を再設定する必要があります。

REST API ソフトウェア

[Adaptive Security Appliance REST API Plugin] > バージョンの順に選択します。

API ソフトウェアのファイルには asa-restapi-132-lfbff-k8.SPA のような名前が付いています。REST API をインストールするには、『API クイックスタート ガイド』 を参照してください。

ASA サービス モジュール

ASDM ソフトウェア

http://www.cisco.com/go/asdm-software

[Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。

ISA 3000

http://www.cisco.com/go/isa3000-software

ASA ソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA ソフトウェアのファイルには asa962-lfbff-k8.SPA のような名前が付いています。

ASDM ソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。

REST API ソフトウェア

使用しているモデル > [Adaptive Security Appliance REST API Plugin] > バージョンの順に選択します。

API ソフトウェアのファイルには asa-restapi-132-lfbff-k8.SPA のような名前が付いています。REST API をインストールするには、『API クイックスタート ガイド』 を参照してください。

表 14. レガシープラットフォーム

ASA モデル

ダウンロードの場所

パッケージ

ASA 5506-X、ASA 5508-X、および ASA 5516-X

http://www.cisco.com/go/asa-firepower-sw

ASA ソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA ソフトウェアのファイルには asa962-lfbff-k8.SPA のような名前が付いています。

ASDM ソフトウェア

使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。

REST API ソフトウェア

使用しているモデル > [Adaptive Security Appliance REST API Plugin] > バージョンの順に選択します。

API ソフトウェアのファイルには asa-restapi-132-lfbff-k8.SPA のような名前が付いています。REST API をインストールするには、『API クイック スタート ガイド』 を参照してください。

ROMmon ソフトウェア

ご使用のモデル > [ASA Rommon Software] > バージョンの順に選択します。

ROMMON ソフトウェアのファイルには asa5500-firmware-1108.SPA のような名前が付いています。

ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X

http://www.cisco.com/go/asa-software

ASA ソフトウェア

使用しているモデル > [Software on Chassis] > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA ソフトウェアのファイルには asa962-smp-k8.bin のような名前が付いています。

ASDM ソフトウェア

使用しているモデル > [Software on Chassis] > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。

REST API ソフトウェア

使用しているモデル > [Software on Chassis] > [Adaptive Security Appliance REST API Plugin] > バージョンの順に選択します。

API ソフトウェアのファイルには asa-restapi-132-lfbff-k8.SPA のような名前が付いています。REST API をインストールするには、『API クイック スタート ガイド』 を参照してください。

Cisco Application Policy Infrastructure Controller(APIC)の ASA デバイス パッケージ

使用しているモデル > [Software on Chassis] > [ASA for Application Centric Infrastructure (ACI) Device Packages] > バージョンの順に選択します。

APIC 1.2(7) 以降では、ファブリック挿入によるポリシー オーケストレーションまたはファブリック挿入のみのパッケージを選択します。デバイス ソフトウェアのファイルには asa-device-pkg-1.2.7.10.zip のような名前が付いています。ASA デバイス パッケージをインストールするには、『Cisco APIC Layer 4 to Layer 7 Services Deployment Guide』 の「Importing a Device Package」の章を参照してください。

ASA 5585-X

http://www.cisco.com/go/asa-software

ASA ソフトウェア

使用しているモデル > [Software on Chassis] > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。

ASA ソフトウェアのファイルには asa962-smp-k8.bin のような名前が付いています。

ASDM ソフトウェア

使用しているモデル > [Software on Chassis] > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。

REST API ソフトウェア

使用しているモデル > [Software on Chassis] > [Adaptive Security Appliance REST API Plugin] > バージョンの順に選択します。

API ソフトウェアのファイルには asa-restapi-132-lfbff-k8.SPA のような名前が付いています。REST API をインストールするには、『API クイックスタート ガイド』 を参照してください。

Cisco Application Policy Infrastructure Controller(APIC)の ASA デバイス パッケージ

使用しているモデル > [Software on Chassis] > [ASA for Application Centric Infrastructure (ACI) Device Packages] > バージョンの順に選択します。

APIC 1.2(7) 以降では、ファブリック挿入によるポリシー オーケストレーションまたはファブリック挿入のみのパッケージを選択します。デバイス ソフトウェアのファイルには asa-device-pkg-1.2.7.10.zip のような名前が付いています。ASA デバイス パッケージをインストールするには、『Cisco APIC Layer 4 to Layer 7 Services Deployment Guide』 の「Importing a Device Package」の章を参照してください。

ASA サービス モジュール

ASA ソフトウェア

http://www.cisco.com/go/asasm-software

ご使用のバージョンを選択します。

ASA ソフトウェアのファイルには asa962-smp-k8.bin のような名前が付いています。

ASDM ソフトウェア

http://www.cisco.com/go/asdm-software

[Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。

ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。

Firepower 4100/9300 の FXOS をダウンロード

Firepower 4100/9300 用の FXOS パッケージは、シスコ サポートおよびダウンロード サイト で利用できます。

FXOS パッケージを見つけるには、Firepower アプライアンスモデルを選択または検索し、対象バージョンの Firepower Extensible Operating System のダウンロードページを参照します。


(注)  


CLI を使用して FXOS をアップグレードする場合は、Firepower 4100/9300 が SCP、SFTP、TFTP、または FTP を使用してアクセスできるサーバーにアップグレードパッケージをコピーします。


表 15. Firepower 4100/9300 用 FXOS パッケージ

パッケージ タイプ

パッケージ

FXOS イメージ

fxos-k9.version.SPA

リカバリ(キックスタート)

fxos-k9-kickstart.version.SPA

リカバリ(マネージャ)

fxos-k9-manager.version.SPA

リカバリ(システム)

fxos-k9-system.version.SPA

MIB

fxos-mibs-fp9k-fp4k.version.zip

ファームウェア:Firepower 4100 シリーズ

fxos-k9-fpr4k-firmware.version.SPA

ファームウェア:Firepower 9300

fxos-k9-fpr9k-firmware.version.SPA

ASA FirePOWER ソフトウェアのダウンロード

ASDM を使用して ASA FirePOWER モジュールを管理する場合は、Cisco.com からソフトウェアをダウンロードします。

Secure Firewall Management Center ソフトウェアを使用して ASA FirePOWER モジュールを管理する場合、次のいずれかの方法でソフトウェアをダウンロードできます。

  • マイナーリリース(パッチやホットフィックス)の場合、[System] > [Updates] ページの Secure Firewall Management Center の [Download Updates] 機能を使用します。Secure Firewall Management Center と現在管理しているデバイス用のすべてのマイナー アップグレードがダウンロードされます。

  • メジャー リリースの場合、Cisco.com からソフトウェアをダウンロードします。

この表には、Cisco.com 上の ASA FirePOWER ソフトウェアについての命名規則と情報が含まれています。

ASA モデル

ダウンロードの場所

パッケージ

ASA 5506-X、ASA 5508-X、および ASA 5516-X

http://www.cisco.com/go/asa-firepower-sw

使用しているモデル > [ASA 用 FirePOWER サービス ソフトウェア(FirePOWER Services Software for ASA)] > バージョンの順に選択します。

  • プレインストール ソフトウェア:プレインストール ファイル(一部のアップグレード用)には Cisco_Network_Sensor_6.1.0_Pre-install-6.0.1.999-32.sh のような名前が付いています。

  • アップグレード ソフトウェア:アップグレード ファイルには Cisco_Network_Sensor_Upgrade-6.2.0-362.sh のような名前が付いています。

  • ホットフィックス ソフトウェア:ホットフィックス ファイルには Cisco_Network_Sensor_Hotfix_AF-6.1.0.2-1.sh のような名前が付いています。

  • ブート イメージ:ブート イメージはイメージの再作成にのみ使用され、asasfr-5500x-boot-6.1.0-330.img のようなファイル名が付いています。

  • システム ソフトウェア インストール パッケージ:システム ソフトウェア インストール パッケージはイメージの再作成にのみ使用され、asasfr-sys-6.1.0-330.pkg のようなファイル名が付いています。

  • パッチ ファイル:パッチ ファイルには Cisco_Network_Sensor_Patch-6.1.0.1-53.sh のような名前が付いています。

ASA 5512-X ~ ASA 5555-X

http://www.cisco.com/go/asa-firepower-sw

使用しているモデル > [ASA 用 FirePOWER サービス ソフトウェア(FirePOWER Services Software for ASA)] > バージョンの順に選択します。

  • プレインストール ソフトウェア:プレインストール ファイル(一部のアップグレード用)には Cisco_Network_Sensor_6.1.0_Pre-install-6.0.1.999-32.sh のような名前が付いています。

  • アップグレード ソフトウェア:アップグレード ファイルには Cisco_Network_Sensor_Upgrade-6.2.0-362.sh のような名前が付いています。

  • ホットフィックス ソフトウェア:ホットフィックス ファイルには Cisco_Network_Sensor_Hotfix_AF-6.1.0.2-1.sh のような名前が付いています。

  • ブート イメージ:ブート イメージはイメージの再作成にのみ使用され、asasfr-5500x-boot-6.1.0-330.img のようなファイル名が付いています。

  • システム ソフトウェア インストール パッケージ:システム ソフトウェア インストール パッケージはイメージの再作成にのみ使用され、asasfr-sys-6.1.0-330.pkg のようなファイル名が付いています。

  • パッチ ファイル:パッチ ファイルには Cisco_Network_Sensor_Patch-6.1.0.1-53.sh のような名前が付いています。

ASA 5585-X

http://www.cisco.com/go/asa-firepower-sw

ご使用のモデル > バージョン を選択します。

  • プレインストール ソフトウェア:プレインストール ファイル(一部のアップグレード用)には Cisco_Network_Sensor_6.1.0_Pre-install-6.0.1.999-32.sh のような名前が付いています。

  • アップグレード ソフトウェア:アップグレード ファイルには Cisco_Network_Sensor_Upgrade-6.2.0-362.sh のような名前が付いています。

  • ホットフィックス ソフトウェア:ホットフィックス ファイルには Cisco_Network_Sensor_Hotfix_AF-6.1.0.2-1.sh のような名前が付いています。

  • ブート イメージ:ブート イメージはイメージの再作成にのみ使用され、asasfr-5500x-boot-6.1.0-330.img のようなファイル名が付いています。

  • システム ソフトウェア インストール パッケージ:システム ソフトウェア インストール パッケージはイメージの再作成にのみ使用され、asasfr-sys-6.1.0-330.pkg のようなファイル名が付いています。

  • パッチ ファイル:パッチ ファイルには Cisco_Network_Sensor_Patch-6.1.0.1-53.sh のような名前が付いています。

ISA 3000

http://www.cisco.com/go/isa3000-software

使用しているモデル > [ASA 用 FirePOWER サービス ソフトウェア(FirePOWER Services Software for ASA)] > バージョンの順に選択します。

  • ホットフィックス ソフトウェア:ホットフィックス ファイルには Cisco_Network_Sensor_Hotfix_CX-5.4.1.9-1.tar のような名前が付いています。

  • ブート イメージ:ブート イメージのファイルには asasfr-ISA-3000-boot-5.4.1-213.img のような名前が付いています。

  • システム ソフトウェア インストール パッケージ:システム ソフトウェア インストール パッケージには asasfr-sys-5.4.1-213.pkg のような名前が付いています。

  • パッチ ファイル:パッチ ファイルには Cisco_Network_Sensor_Patch-5.4.1.10-33.sh のような名前が付いています。

Secure Firewall Management Center ソフトウェアのダウンロード

Secure Firewall Management Center ソフトウェアは、シスコ サポートおよびダウンロード サイトで入手できます。インターネットにアクセスできる Management Center では、パッチおよびメンテナンスリリースについては、手動でのダウンロードが可能になってから約 2 週間後にシスコから直接ダウンロードできます。メジャーリリースについては、シスコから直接ダウンロードすることはできません。

構成のバックアップ

アップグレードの前に構成およびその他の重要なファイルをバックアップすることをお勧めします(特に設定を移行する場合)。オペレーティング システムごとにバックアップの方法が異なります。詳細については、ASA、ASDM、ASA FirePower ローカル管理、Firepower Management Center、および FXOS 設定の各ガイドを参照してください。