Cisco ASA または Firepower Threat Defense デバイスの再イメージ化

ダウンロードオプション

PDF (843.4 KB)
Adobe Reader を使ってさまざまなデバイスで表示

Updated: 2017 年 8 月 28 日

Reimage the Cisco ASA or Firepower Threat Defense Device

目次
Reimage the Cisco ASA or Firepower Threat Defense Device
必要なコンソールポートアクセス
ASA 5500-X シリーズの再イメージ化
サポートされている ASA 5500-X モデル
ソフトウェアのダウンロード
ROMMON イメージのアップグレード（ASA 5506-X、5508-X、および 5516-X）
ASA から Firepower Threat Defense への再イメージ化
Firepower Threat Defense から ASA への再イメージ化
Firepower 2100 シリーズの再イメージ化
ソフトウェアのダウンロード
ASA から Firepower Threat Defense への再イメージ化
Firepower Threat Defense から ASA への再イメージ化
次のステップ

First Published:
Last Updated:
Text Part Number:

Reimage the Cisco ASA or Firepower Threat Defense Device

必要なコンソールポートアクセス

再イメージ化を実行するには、コンピュータをコンソールポートに接続する必要があります。

Firepower 2100、ASA 5512-X、5515-X、5525-X、5545-X、および 5555-X では、サードパーティ製のシリアル/USB 変換ケーブルを使用して接続する必要がある場合があります。他のモデルには、ミニ USB タイプ B コンソールポートが搭載されているため、ミニ USB ケーブルを使用できます。Windows では、software.cisco.com から USB シリアルドライバをインストールする必要がある場合があります。コンソールポートオプションおよびドライバ要件の詳細については、http://www.cisco.com/go/asa5500x-install [英語] でハードウェアガイドを参照してください。

9600 ボー、8 データビット、パリティなし、1 ストップビット、フロー制御なしに設定されたターミナルエミュレータを使用します。
ASA 5500-X シリーズの再イメージ化

ASA 5500 X シリーズのモデルの多くは、Firepower Threat Defense ソフトウェアと ASA ソフトウェアのどちらかをサポートします。

サポートされている ASA 5500-X モデル

ソフトウェアのダウンロード

ROMMON イメージのアップグレード（ASA 5506-X、5508-X、および 5516-X）

ASA から Firepower Threat Defense への再イメージ化

Firepower Threat Defense から ASA への再イメージ化

サポートされている ASA 5500-X モデル

ASA ソフトウェアまたは Firepower Threat Defense ソフトウェアのいずれかをサポートするモデルは、次のとおりです。

ASA 5506-X

ASA 5506W-X

ASA 5506H-X

ASA 5508-X

ASA 5512-X

ASA 5515-X

ASA 5516-X

ASA 5525-X

ASA 5545-X

ASA 5555-X

（注）

ASA 5512-X ～ 5555-X 上の Firepower Threat Defense の場合は、シスコ製のソリッドステートドライブ（SSD）を取り付ける必要があります。詳細については、ASA 5500-X のハードウェアガイドを参照してください。ASA の場合は、ASA FirePOWER モジュールを使用するためにも SSD が必要です（ASA 5506-X、5508-X、および 5516-X には SSD が標準です）。

ソフトウェアのダウンロード

Firepower Threat Defense ソフトウェアまたは ASA、ASDM、および ASA FirePOWER モジュールソフトウェアを入手します。このドキュメントの手順を実行するには、初期ダウンロード用の TFTP サーバにソフトウェアを配置する必要があります。他のイメージは、他のタイプ（HTTP、FTP など）のサーバからダウンロードできます。正確なソフトウェアパッケージとサーバタイプについては、手順を参照してください。

（注）

Cisco.com のログインおよびシスコサービス契約が必要です。

表 1 Firepower Threat Defense ソフトウェア

Firepower Threat Defense モデル

Firepower Threat Defense のパッケージとダウンロードの場所

ASA 5506-X、ASA 5508-X、および ASA 5516-X

http://www.cisco.com/go/asa-firepower-sw [英語] を参照してください。

ブートイメージ：使用しているモデル > [Firepower Threat Defense ソフトウェア（Firepower Threat Defense Software）] > バージョンの順に選択します。ブートイメージのファイルには ftd-boot-9.6.2.0.lfbff のような名前が付いています。

システムソフトウェアインストールパッケージ：使用しているモデル > [Firepower Threat Defense ソフトウェア（Firepower Threat Defense Software）] > バージョンの順に選択します。システムソフトウェアインストールパッケージのファイルには ftd-6.1.0-330.pkg のような名前が付いています。

（注）
ファイル名の最後が .sh のパッチファイルも表示されます。パッチアップグレードプロセスについては、このドキュメントでは説明しません。

ASA 5512-X ～ ASA 5555-X

http://www.cisco.com/go/asa-firepower-sw [英語] を参照してください。

ブートイメージ：使用しているモデル > [Firepower Threat Defense ソフトウェア（Firepower Threat Defense Software）] > バージョンの順に選択します。ブートイメージのファイルには ftd-boot-9.6.2.0.cdisk のような名前が付いています。

システムソフトウェアインストールパッケージ：使用しているモデル > [Firepower Threat Defense ソフトウェア（Firepower Threat Defense Software）] > バージョンの順に選択します。システムソフトウェアインストールパッケージのファイルには ftd-6.1.0-330.pkg のような名前が付いています。

（注）
ファイル名の最後が .sh のパッチファイルも表示されます。パッチアップグレードプロセスについては、このドキュメントでは説明しません。

表 2 ASA ソフトウェア

ASA モデル

ASA のパッケージとダウンロードの場所

ASA 5506-X、ASA 5508-X、および ASA 5516-X

http://www.cisco.com/go/asa-firepower-sw [英語] を参照してください。

ASA ソフトウェア：使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。ASA ソフトウェアのファイルには asa962-lfbff-k8.SPA のような名前が付いています。

ASDM ソフトウェア：使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。

ASA FirePOWER モジュールソフトウェア：使用しているモデル > [ASA 用 FirePOWER サービスソフトウェア（FirePOWER Services Software for ASA）] > バージョンの順に選択します。Firepowerソフトウェアをインストールするには、『ASA Firewall configuration guide』または『Firepower release notes』を参照してください。

ブートイメージ：ブートイメージのファイルには asasfr-5500x-boot-6.1.0-330.img のような名前が付いています。

システムソフトウェアインストールパッケージ：システムソフトウェアインストールパッケージのファイルには asasfr-sys-6.1.0-330.pkg のような名前が付いています。

パッチファイル：パッチファイルは末尾に.shがつきます。

ASA 5512-X ～ ASA 5555-X

ASA ソフトウェア：http://www.cisco.com/go/asa-software [英語] を参照してください。使用しているモデル > [Software on Chassis] > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。ASA ソフトウェアのファイルには asa962-smp-k8.bin のような名前が付いています。

ASDM ソフトウェア：http://www.cisco.com/go/asa-software [英語] を参照してください。使用しているモデル > [Software on Chassis] > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。

ASA Firepower モジュールソフトウェア：http://www.cisco.com/go/asa-firepower-sw [英語] を参照してください。使用しているモデル > [ASA 用 FirePOWER サービスソフトウェア（FirePOWER Services Software for ASA）] > バージョンの順に選択します。Firepowerソフトウェアをインストールするには、『ASA Firewall configuration guide』または『Firepower release notes』を参照してください。

ブートイメージ：ブートイメージのファイルには asasfr-5500x-boot-6.1.0-330.img のような名前が付いています。

システムソフトウェアインストールパッケージ：システムソフトウェアインストールパッケージのファイルには asasfr-sys-6.1.0-330.pkg のような名前が付いています。

パッチファイル：パッチファイルは末尾に.shがつきます。
ROMMON イメージのアップグレード（ASA 5506-X、5508-X、および 5516-X）
ASA 5506-X シリーズ、ASA 5508-X、および ASA 5516-X の ROMMON イメージをアップグレードするには、次の手順に従います。システムの ROMMON バージョンは 1.1.8 以上でなければなりません。
はじめる前に

新バージョンへのアップグレードのみ可能です。ダウングレードはできません。現在のバージョンを確認するには、show module コマンドを入力して、MAC アドレス範囲テーブルの Mod 1 の出力で Fw バージョンを調べます。
ciscoasa# show module
[...]
Mod  MAC Address Range                 Hw Version   Fw Version   Sw Version     
---- --------------------------------- ------------ ------------ ---------------
   1 7426.aceb.ccea to 7426.aceb.ccf2  0.3          1.1.5        9.4(1)
 sfr 7426.aceb.cce9 to 7426.aceb.cce9  N/A          N/A          
手順
ステップ 1 Cisco.com から新しい ROMMON イメージを取得して、サーバ上に置いて ASA にコピーします。この手順では、TFTP コピーの方法を説明します。
次の URL からイメージをダウンロードします。

https://software.cisco.com/download/type.html?mdfid=286283326&flowid=77251

ステップ 2 ROMMON イメージを ASA フラッシュメモリにコピーします。
copy tftp://server_ip/asa5500-firmware-xxxx.SPA disk0:asa5500-firmware-xxxx.SPA
ステップ 3
ROMMON イメージをアップグレードします。
upgrade rommon disk0:asa5500-firmware-xxxx.SPA

例：
ciscoasa# upgrade rommon disk0:asa5500-firmware-1108.SPA
Verifying file integrity of disk0:/asa5500-firmware-1108.SPA

Computed Hash   SHA2: d824bdeecee1308fc64427367fa559e9
                      eefe8f182491652ee4c05e6e751f7a4f
                      5cdea28540cf60acde3ab9b65ff55a9f
                      4e0cfb84b9e2317a856580576612f4af
                      
Embedded Hash   SHA2: d824bdeecee1308fc64427367fa559e9
                      eefe8f182491652ee4c05e6e751f7a4f
                      5cdea28540cf60acde3ab9b65ff55a9f
                      4e0cfb84b9e2317a856580576612f4af
                      

Digital signature successfully validated
File Name                     : disk0:/asa5500-firmware-1108.SPA
Image type                    : Release
    Signer Information
        Common Name           : abraxas
        Organization Unit     : NCS_Kenton_ASA
        Organization Name     : CiscoSystems
    Certificate Serial Number : 553156F4
    Hash Algorithm            : SHA2 512
    Signature Algorithm       : 2048-bit RSA
    Key Version               : A
Verification successful.
Proceed with reload? [confirm]
ステップ 4 プロンプトが表示されたら、確認して ASA をリロードします。
ASA が ROMMON イメージをアップグレードした後、ASA の OS をリロードします。
ASA から Firepower Threat Defense への再イメージ化
ASA を Firepower Threat Defense ソフトウェアに再イメージ化するには、ROMMON プロンプトにアクセスする必要があります。ROMMON では、管理インターフェイスで TFTP を使用して Firepower Threat Defense ブートイメージをダウンロードする必要があります。サポートされるのは、TFTP のみです。その後、ブートイメージは、HTTP または FTP を使用して Firepower Threat Defense システムソフトウェアのインストールパッケージをダウンロードできます。TFTP のダウンロードには時間がかかることがあります。パケットの損失を防ぐために、ASA と TFTP サーバの間の接続が安定していることを確認してください。

はじめる前に

再イメージ化して ASA に戻すプロセスを容易にするために、次の手順を実行します:

backup コマンドを使用して完全なシステムバックアップを実行します。

詳細および他のバックアップ方法については、次の設定ガイドを参照してください。

http://www.cisco.com/c/en/us/td/docs/security/asa/asa97/configuration/general/asa-97-general-config/admin-swconfig.html#ID-2152-000009af

現在のアクティベーションキーをコピーして保存します。これにより、show activation-key コマンドを使用してライセンスを再インストールできるようになります。

手順
ステップ 1 管理インターフェイスの ASA からアクセス可能な TFTP サーバに Firepower Threat Defense ブートイメージ（ソフトウェアのダウンロードを参照）をダウンロードします。
ASA 5506-X、5508-X、および 5516-X では、管理 1/1 ポートを使用してイメージをダウンロードする必要があります。他のモデルでは、任意のインターフェイスを使用できます。

ステップ 2 管理インターフェイスの ASA からアクセス可能な HTTP または FTP サーバに Firepower Threat Defense システムソフトウェアのインストールパッケージ（ソフトウェアのダウンロードを参照）をダウンロードします。
ステップ 3
コンソールポートから、ASA をリロードします。
reload

例：
ciscoasa# reload
ステップ 4
ブートアップ中に ROMMON プロンプトを表示するよう要求されたら、Esc を押します。
モニタを注視します。

例：
[...]
Booting from ROMMON

Cisco Systems ROMMON Version (2.1(9)8) #1: Wed Oct 26 17:14:40 PDT 2011

Platform ASA 5555-X with SW, 8 GE Data, 1 GE Mgmt

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot in   7 seconds. 
この時点で、Esc を押します。

次のメッセージが表示された場合は、時間がかかりすぎです。ブートの終了後、再度 ASA をリロードする必要があります。
Launching BootLoader...
Boot configuration file contains 2 entries.
[...]
ステップ 5
次の ROMMON コマンドを使用してネットワーク設定を指定し、ブートイメージをロードします。
interface：（ASA 5512-X、5515-X、5525-X、5545-X、および 5555-X のみ）管理インターフェイス ID。他のモデルは常に管理 1/1 インターフェイスを使用します。

address：管理インターフェイスの IP アドレス

server：TFTP サーバの IP アドレス

gateway：この IP アドレスを TFTP サーバの IP アドレスと同じに設定します。

file：TFTP ファイルパスと名前

set：（オプション）ネットワーク設定を表示します。ping コマンドを使用してサーバへの接続を確認することもできます。

sync：（オプション）ネットワーク設定を保存します。

tftpdnld：ブートイメージをロードします。

例：
ASA 5555-X の例：
rommon #0> interface gigabitethernet0/0
rommon #1> address 10.86.118.4
rommon #2> server 10.86.118.21
rommon #3> gateway 10.86.118.21
rommon #4> file ftd-boot-latest.cdisk
rommon #5> set
ROMMON Variable Settings:
  ADDRESS=10.86.118.3
  SERVER=10.86.118.21
  GATEWAY=10.86.118.21
  PORT=GigabitEthernet0/0
  VLAN=untagged
  IMAGE=ftd-boot-latest.cdisk
  CONFIG=
  LINKTIMEOUT=20
  PKTTIMEOUT=4
  RETRY=20

rommon #6> sync

Updating NVRAM Parameters... 

rommon #7> tftpdnld
ASA 5506-X の例：
rommon #0> address 10.86.118.4
rommon #1> server 10.86.118.21
rommon #2> gateway 10.86.118.21
rommon #3> file ftd-boot-latest.lfbff
rommon #4> set
ROMMON Variable Settings:
  ADDRESS=10.86.118.3
  SERVER=10.86.118.21
  GATEWAY=10.86.118.21
  VLAN=untagged
  IMAGE=ftd-boot-latest.lfbff
  CONFIG=
  LINKTIMEOUT=20
  PKTTIMEOUT=4
  RETRY=20

rommon #5> sync

Updating NVRAM Parameters... 

rommon #6> tftpdnld
Firepower Threat Defense ブートイメージがダウンロードされ、ブート CLI にブートアップされます。
ステップ 6 「setup」と入力して、管理インターフェイスのネットワーク設定を行い、システムソフトウェアパッケージをダウンロードしてインストールできるように HTTP または FTP サーバへの一時的な接続を確立します。次に例を示します。

ホスト名：ftd1

IPv4 アドレス：10.86.118.4

ネットマスク：255.255.252.0

ゲートウェイ：10.86.116.1

DNS サーバ：10.86.116.5

NTP サーバ：ntp.example.com
ステップ 7
Firepower Threat Defense システムソフトウェアのインストールパッケージをダウンロードします。この手順では、HTTP のインストールを示します。
system install [noconfirm] url

例：
> system install noconfirm http://10.86.118.21/ftd-6.0.1-949.pkg
確認メッセージに応答したくない場合は、noconfirm オプションを指定します。
ステップ 8 インストールが完了して、デバイスの再起動オプションが表示されたら [はい（Yes）] を選択します。
再起動には約 30 分かかりますが、より長時間かかる可能性があります。再起動時に、Firepower Threat Defense CLI が表示されます。

ステップ 9 Firepower Device Manager と Firepower Management Center のどちらかを使用してデバイスを管理できます。セットアップに進むには、http://www.cisco.com/go/ftd-asa-quick [英語] でご使用のモデルとマネージャのクイックスタートガイドを参照してください。
Firepower Threat Defense から ASA への再イメージ化
Firepower Threat Defense を ASA ソフトウェアに再イメージ化するには、ROMMON プロンプトにアクセスする必要があります。ROMMON では、ディスクを消去し、管理インターフェイスで TFTP を使用して ASA イメージをダウンロードする必要があります。サポートされるのは、TFTP のみです。ASA をリロードしたら、基本設定を指定し、FirePOWER モジュールソフトウェアをロードできます。

はじめる前に

パケットの損失を防ぐために、ASA と TFTP サーバの間の接続が安定していることを確認してください。

手順
ステップ 1   Firepower Management Center から Firepower Threat Defense デバイスを管理している場合は、Management Center からデバイスを削除します。

ステップ 2   Firepower Device Manager を使用して Firepower Threat Defense デバイスを管理している場合は、必ず、Firepower Device Manager またはスマートソフトウェアライセンシングサーバから、スマートソフトウェアライセンシングサーバのデバイスの登録を解除してください。

ステップ 3   管理インターフェイスの Firepower Threat Defense デバイスからアクセス可能な TFTP サーバに ASA イメージ（ソフトウェアのダウンロードを参照）をダウンロードします。
ASA 5506-X、5508-X、および 5516-X では、管理 1/1 ポートを使用してイメージをダウンロードする必要があります。他のモデルでは、任意のインターフェイスを使用できます。
ステップ 4
コンソールポートで、Firepower Threat Defense デバイスを再起動します。

例：
> reboot
This command will reboot the system.  Continue?
Please enter 'YES' or 'NO': yes
yes と入力して再起動します。
ステップ 5
ブートアップ中に ROMMON プロンプトを表示するよう要求されたら、Esc を押します。
モニタを注視します。

例：
[...]
Booting from ROMMON

Cisco Systems ROMMON Version (2.1(9)8) #1: Wed Oct 26 17:14:40 PDT 2011

Platform ASA 5555-X with SW, 8 GE Data, 1 GE Mgmt

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot in   7 seconds. 
この時点で、Esc を押します。

次のメッセージが表示された場合は、時間がかかりすぎです。起動の終了後、再度 Firepower Threat Defense デバイスを再起動する必要があります。
Launching BootLoader...
Boot configuration file contains 2 entries.
[...]
ステップ 6
Firepower Threat Defense デバイス上のすべてのディスクを消去します。内部フラッシュは disk0 と呼ばれます。外部 USB ドライブがある場合、そのドライブは disk1 です。

例：
Example:
rommon #0> erase disk0:

About to erase the selected device, this will erase
all files including configuration, and images.
Continue with erase? y/n [n]: y

Erasing Disk0:
.......................
[...]
この手順では、ASA が誤った設定ファイルのロードを試みることで多数のエラーが発生しないように、Firepower Threat Defense ファイルを消去します。
ステップ 7
次の ROMMON コマンドを使用してネットワーク設定を指定し、ASA イメージをロードします。
interface interface_id

address management_ip_address

server tftp_ip_address

gateway gateway_ip_address

filepath/filename

set

sync

tftpdnld

ASA イメージがダウンロードされ、CLI にブートアップされます。

次の情報を参照してください。

interface：（ASA 5512-X、5515-X、5525-X、5545-X、および 5555-X のみ）インターフェイス ID を指定します。他のモデルは常に管理 1/1 インターフェイスを使用します。

gateway：同じネットワーク上に存在する場合は、ゲートウェイアドレスをサーバの IP アドレスと同じに設定します。

set：ネットワーク設定を表示します。ping コマンドを使用してサーバへの接続を確認することもできます。

sync：ネットワーク設定を保存します。

tftpdnld：ブートイメージをロードします。

例：
ASA 5555-X の例：
rommon #2> interface gigabitethernet0/0
rommon #3> address 10.86.118.4
rommon #4> server 10.86.118.21
rommon #5> gateway 10.86.118.21
rommon #6> file asalatest-smp-k8.bin
rommon #7> set
ROMMON Variable Settings:
  ADDRESS=10.86.118.3
  SERVER=10.86.118.21
  GATEWAY=10.86.118.21
  PORT=GigabitEthernet0/0
  VLAN=untagged
  IMAGE=asalatest-smp-k8.bin
  CONFIG=
  LINKTIMEOUT=20
  PKTTIMEOUT=4
  RETRY=20

rommon #8> sync

Updating NVRAM Parameters... 

rommon #9> tftpdnld
ASA 5506-X の例：
rommon #2> address 10.86.118.4
rommon #3> server 10.86.118.21
rommon #4> gateway 10.86.118.21
rommon #5> file asalatest-lfbff-k8.SPA
rommon #6> set
ROMMON Variable Settings:
  ADDRESS=10.86.118.3
  SERVER=10.86.118.21
  GATEWAY=10.86.118.21
  VLAN=untagged
  IMAGE=asalatest-lfbff-k8.SPA
  CONFIG=
  LINKTIMEOUT=20
  PKTTIMEOUT=4
  RETRY=20

rommon #7> sync

Updating NVRAM Parameters... 

rommon #8> tftpdnld
ステップ 8
ネットワークの設定を構成し、ディスクを準備します。
ASA の初期ブートアップ時は、ASA が設定されていません。インタラクティブプロンプトに従って ASDM アクセス用に管理インターフェイスを設定するか、保存された設定を貼り付けるか、保存された設定がない場合は推奨設定（この後を参照）を貼り付けることができます。

保存された設定がない場合、ASA FirePOWER モジュールの使用を予定しているときは、推奨設定を貼り付けることをお勧めします。ASA FirePOWER モジュールは、管理インターフェイスで管理され、更新のためにインターネットにアクセスできる必要があります。シンプルな推奨ネットワーク配置には、Management（FirePOWER の管理専用）、内部インターフェイス（ASA の管理および内部トラフィック用）、および管理 PC を同じ内部ネットワークに接続するための内部スイッチが含まれます。ネットワーク配置の詳細については、次のクイックスタートガイドを参照してください。

http://www.cisco.com/go/asa5506x-quick [英語]

http://www.cisco.com/go/asa5508x-quick [英語]

http://www.cisco.com/go/asa5500x-quick [英語]
ASA コンソールプロンプトで、管理インターフェイスの設定の入力を求められます。
Pre-configure Firewall now through interactive prompts [yes]?
設定を貼り付けるか、シンプルなネットワーク配置の推奨設定を作成する場合は、no と入力して、手順を続行します。

ASDM サーバに接続できるように管理インターフェイスを設定する場合は、yes と入力し、プロンプトに従います。
コンソールプロンプトで、特権 EXEC モードにアクセスします。
enable

次のプロンプトが表示されます。
Password:
Enter キーを押します。デフォルトでは、パスワードは空白です。

グローバルコンフィギュレーションモードにアクセスします。
configure terminal
インタラクティブプロンプトを使用していない場合は、プロンプトで設定をコピーして貼り付けます。
設定が保存されておらず、クイックスタートガイドに記載された簡易設定を使用する場合は、プロンプトで次の設定をコピーして、必要に応じて IP アドレスとインタフェース ID を変更します。プロンプトを使用したが、代わりにこの設定を使用する場合は、まず clear configure all コマンドを使用して設定をクリアします。
interface gigabitethernetn/n
   nameif outside
   ip address dhcp setroute
   no shutdown
interface gigabitethernetn/n
   nameif inside
   ip address ip_address netmask
   security-level 100
   no shutdown
interface managementn/n
   no shutdown
object network obj_any
   subnet 0 0
   nat (any,outside) dynamic interface
http server enable
http inside_network netmask inside
dhcpd address inside_ip_address_start-inside_ip_address_end inside
dhcpd auto_config outside
dhcpd enable inside
logging asdm informational
ASA 5506W-X の場合は、Wi-Fi インターフェイス用に以下を追加します。
same-security-traffic permit inter-interface
interface GigabitEthernet 1/9
security-level 100
nameif wifi
ip address ip_address netmask
no shutdown
http wifi_network netmask wifi
dhcpd address wifi_ip_address_start-wifi_ip_address_end wifi
dhcpd enable wifi
ディスクを再フォーマットします。
format disk0:

format disk1:

内部フラッシュは disk0 と呼ばれます。外部 USB ドライブがある場合、そのドライブは disk1 です。ディスクを再フォーマットしない場合は、ASA イメージをコピーしようとすると、次のエラーが表示されます。
%Error copying ftp://10.86.89.125/asa971-smp-k8.bin (Not enough space on device)
新しい設定を保存します。
write memory
ステップ 9
ASA イメージと ASDM イメージをインストールします。
ROMMON モードから ASA を起動する場合、システムイメージはリロード間で保持されないため、やはりイメージをフラッシュメモリにダウンロードする必要があります。また、ASDM をフラッシュメモリにダウンロードする必要もあります。
ASA からアクセス可能なサーバに ASA イメージと ASDM イメージ（ソフトウェアのダウンロードを参照）をダウンロードします。ASA は多数のタイプのサーバをサポートします。詳細については、http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/A-H/cmdref1/c4.html#pgfId-2171368 [英語] で copy コマンドを参照してください。
ASA イメージを ASA フラッシュメモリにコピーします。この手順では FTP コピーを示します。
copy ftp://user:password@server_ip/asa_filedisk0:asa_file

例：
ciscoasa# copy ftp://admin:test@10.86.118.21/asa961-smp-k8.bin disk0:asa961-smp-k8.bin
ASDM イメージを ASA フラッシュメモリにコピーします。この手順では FTP コピーを示します。
copy ftp://user:password@server_ip/asdm_filedisk0:asdm_file

例：
ciscoasa# copy ftp://admin:test@10.86.118.21/asdm-761.bin disk0:asdm-761.bin
ASA をリロードします。
reload

ASA が disk0 にあるイメージを使用してリロードされます。
ステップ 10
（任意） ASA FirePOWER モジュールソフトウェアをインストールします。
ASA FirePOWER ブートイメージをインストールし、SSD を区分化して、この手順に従ってシステムソフトウェアをインストールする必要があります。
ブートイメージを ASA にコピーします。システムソフトウェアは転送しないでください。これは後で SSD にダウンロードされます。この手順では FTP コピーを示します。
copy ftp://user:password@server_ip/firepower_boot_filedisk0:firepower_boot_file

例：
ciscoasa# copy ftp://admin:test@10.86.118.21/asasfr-5500x-boot-6.0.1.img disk0:/asasfr-5500x-boot-6.0.1.img
管理インターフェイスからアクセス可能な HTTP、HTTPS、または FTP サーバに、Cisco.com から ASA FirePOWER サービスのシステムソフトウェアインストールパッケージをダウンロードします。そのソフトウェアを ASA 上の disk0 にダウンロードしないでください。
ASA disk0 で ASA FirePOWER モジュールブートイメージの場所を設定します。
sw-module module sfr recover configure image disk0:file_path

例：
ciscoasa# sw-module module sfr recover configure image disk0:asasfr-5500x-boot-6.0.1.img
ASA FirePOWER ブートイメージをロードします。
sw-module module sfr recover boot

例：
ciscoasa# sw-module module sfr recover boot

Module sfr will be recovered. This may erase all configuration and all data
on that device and attempt to download/install a new image for it. This may take
several minutes.

Recover module sfr? [confirm] y
Recover issued for module sfr.
ASA FirePOWER モジュールが起動するまで数分待ってから、現在実行中の ASA FirePOWER ブートイメージへのコンソールセッションを開きます。セッションを開いてログインプロンプトを表示した後で、Enter キーを押さなければならない場合があります。デフォルトのユーザ名は admin で、デフォルトのパスワードは Admin123 です。

例：
ciscoasa# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.

asasfr login: admin
Password: Admin123
モジュールのブートが完了しない場合は、ttyS1 を介して接続できないというメッセージが表示されて session コマンドが失敗します。しばらく待ってから再試行してください。
システムソフトウェアインストールパッケージをインストールできるようにシステムを設定します。
setup

次のプロンプトが表示されます。管理アドレスとゲートウェイ、および DNS 情報が重要な設定であることに注意してください。

Host name：最大 65 文字の英数字で、スペースは使用できません。ハイフンは使用できます。

Network address：スタティック IPv4 または IPv6 アドレスを設定するか、DHCP（IPv4 の場合）、または IPv6 ステートレス自動設定を使用します。

DNS information：少なくとも 1 つの DNS サーバを特定する必要があります。ドメイン名を設定してドメインを検索することもできます。

NTP information：システム時刻を設定するために、NTP を有効にして NTP サーバを設定できます。

例：
asasfr-boot> setup

                 Welcome to Cisco FirePOWER Services Setup
                          [hit Ctrl-C to abort]
                        Default values are inside []
システムソフトウェアイメージパッケージをインストールします。
system install [noconfirm] url

確認メッセージに応答したくない場合は、noconfirm オプションを指定します。HTTP、HTTPS、または FTP URL を使用します。ユーザ名とパスワードが必要な場合は、それらを入力するよう示されます。このファイルはサイズが大きいため、ネットワークによっては、ダウンロードに時間がかかる場合があります。

インストールが完了すると、システムが再起動します。アプリケーションコンポーネントのインストールと ASA FirePOWER サービスが開始するまでに必要な時間は大幅に異なります。ハイエンドプラットフォームでは 10 分以上かかる場合がありますが、ローエンドプラットフォームでは 60 ～ 80 分以上かかることがあります。（show module sfr の出力は、すべてのプロセスを Up として示します）。

例：
asasfr-boot> system install http://admin:pa$$wd@upgrades.example.com/packages/asasfr-sys-6.0.1-58.pkg
Verifying
Downloading
Extracting
Package Detail
        Description:                    Cisco ASA-FirePOWER 6.0.1-58 System Install
        Requires reboot:                Yes

Do you want to continue with upgrade? [y]: y
Warning: Please do not interrupt the process or turn off the system.
Doing so might leave system in unusable state.

Upgrading
Starting upgrade process ...
Populating new system image

Reboot is required to complete the upgrade. Press 'Enter' to reboot the system. [type Enter]
Broadcast message from root (ttyS1) (Mon Feb 17 19:28:38 2016):

The system is going down for reboot NOW!
Console session with module sfr terminated.
パッチリリースをインストールする必要がある場合は、後でマネージャ（ASDM または Firepower Management Center）から実行できます。
ステップ 11 アクティベーションキーを保存しなかった既存の ASA の強力な暗号化ライセンスとその他のライセンスを取得します。http://www.cisco.com/go/license を参照してください。[管理（Manage）] > [ライセンス（Licenses）] セクションで、ライセンスを再ダウンロードできます。
ASDM（および他の多数の機能）を使用するには、高度暗号化（3DES/AES）ライセンスをインストールする必要があります。以前の手順で Firepower Threat Defense デバイスに再イメージ化する前に、この ASA からライセンスアクティベーションキーを保存した場合は、そのアクティベーションキーを再インストールできます。アクティベーションキーを保存していなくても、この ASA のライセンスを所有している場合は、ライセンスを再ダウンロードできます。新しい ASA の場合は、新しい ASA ライセンスを要求する必要があります。

ステップ 12 新しい ASA のライセンスを取得します。
次のコマンドを入力して、ASA のシリアル番号を取得します。
show version | grep Serial

このシリアル番号は、ハードウェアの外側に印刷されているシャーシのシリアル番号とは異なります。シャーシのシリアル番号は、テクニカルサポートで使用され、ライセンスには使用されません。

Http://www.cisco.com/go/license を参照し、[Get Other Licenses] をクリックします。
図 1. 他のライセンスの取得

[IPS, Crypto, Other] を選択します。
図 2. IPS、Crypto、その他

[Search by Keyword] フィールドに asa と入力し、[Cisco ASA 3DES/AES License] を選択します。
図 3. Cisco ASA 3DES/AES ライセンス

[Smart Acfcount] 、[Virtual Account] を選択し、ASA の [Serial Number] を入力して、[Next] をクリックします。
図 4. スマートアカウント、バーチャルアカウント、シリアル番号

送信先の電子メールアドレスとエンドユーザ名は自動的に入力されます。必要に応じて追加の電子メールアドレスを入力します。[I Agree] チェックボックスをオンにして、[Submit] をクリックします。
図 5. 送信（Submit）

その後、アクティベーションキーの記載された電子メールが届きますが、[Manage] > [Licenses] エリアからキーをすぐにダウンロードすることもできます。

基本ライセンスから Security Plus ライセンスへのアップグレード、または AnyConnect ライセンスの購入を希望する場合は、http://www.cisco.com/go/ccw を参照してください。ライセンスの購入後に、http://www.cisco.com/go/license で入力可能な製品認証キー（PAK）が記載された電子メールが送られてきます。AnyConnect ライセンスの場合、ユーザセッションの同じプールを使用する複数の ASA に適用できるマルチユース PAK を受け取ります。取得したアクティベーションキーには、永続ライセンス（3DES/AES ライセンスを含む）用にそれまでに登録した機能がすべて含まれています。時間ベースライセンスの場合は、ライセンスごとに個別のアクティベーションキーがあります。
ステップ 13
アクティベーションキーを適用します。
activation-key key

例：
ciscoasa(config)# activation-key 7c1aff4f e4d7db95 d5e191a4 d5b43c08 0d29c996
Validating activation key. This may take a few minutes...
Failed to retrieve permanent activation key.
Both Running and Flash permanent activation key was updated with the requested key.
この ASA にはまだアクティベーションキーがインストールされていないため、「Failed to retrieve permanent activation key.」というメッセージが表示されます。このメッセージは無視できます。

永続キーを 1 つだけと、複数の時間ベースキーをインストールできます。新しい永続キーを入力した場合、すでにインストール済みのキーが上書きされます。3DES/AES ライセンスをインストールした後に追加のライセンスを注文した場合は、組み合わせたアクティベーションキーにすべてのライセンスと 3DES/AES ライセンスが含まれるため、3DES/AES 専用キーを上書きできます。
ステップ 14 ASA FirePOWER モジュールは、ASA とは別のライセンスメカニズムを使用します。ライセンスはプリインストールされていませんが、注文に応じて、次のライセンスのライセンスアクティベーションキーを取得できる PAK が記載されたプリントアウトがボックスに同梱されている場合があります。

Control および Protection：Control は、「Application Visibility and Control（AVC）」または「アプリケーション」とも呼ばれます。Protection は、「IPS」とも呼ばれます。これらの機能を自動的に更新するには、ライセンス用のアクティベーションキーに加え、「使用権」サブスクリプションも必要になります。

Control（AVC）の更新には、シスコサポート契約が含まれます。

Protection（IPS）の更新には、http://www.cisco.com/go/ccw [英語] から IPS サブスクリプションを購入する必要があります。このサブスクリプションには、ルール、エンジン、脆弱性、および位置情報を更新する権利が含まれます。注：この使用権サブスクリプションは、ASA FirePOWER モジュールの PAK/ライセンスアクティベーションキーを生成も要求もしません。これは、更新を使用する権利を提供するだけです。

ASA FirePOWER サービスを含む ASA 5500-X を購入していない場合は、アップグレードバンドルを購入して必要なライセンスを取得することができます。詳細については、『Cisco ASA with FirePOWER Services Ordering Guide』を参照してください。

購入できるその他のライセンスには、次のものがあります。

Advanced Malware Protection（AMP）

URL フィルタリング（URL Filtering）

これらのライセンスは、ASA FirePOWER モジュールの PAK/ライセンスアクティベーションキーを生成します。発注情報については、『Cisco ASA with FirePOWER Services Ordering Guide』を参照してください。『Cisco Firepower System Feature Licenses』も参照してください。

Control と Protection のライセンス、およびその他のオプションのライセンスをインストールする方法については、使用しているモデル用の ASA クイックスタートガイドを参照してください。
Firepower 2100 シリーズの再イメージ化

Firepower 2100 シリーズは、Firepower Threat Defense ソフトウェアと ASA ソフトウェアのどちらかをサポートします。

ソフトウェアのダウンロード

Firepower Threat Defense から ASA への再イメージ化

Firepower Threat Defense から ASA への再イメージ化

ソフトウェアのダウンロード

Firepower Threat Defense ソフトウェアまたは ASA ソフトウェアを取得します。このドキュメントの手順を実行するには、初期ダウンロード用の TFTP サーバにソフトウェアを配置する必要があります。他のイメージは、他のタイプ（HTTP、FTP など）のサーバからダウンロードできます。正確なソフトウェアパッケージとサーバタイプについては、手順を参照してください。

（注）

Cisco.com のログインおよびシスコサービス契約が必要です。

表 3 Firepower Threat Defense ソフトウェア

Firepower Threat Defense モデル

Firepower Threat Defense のパッケージとダウンロードの場所

Firepower 2100 シリーズ

参照先：https://www.cisco.com/go/ftd-software

Firepower Threat Defense パッケージ：使用しているモデル > [Firepower Threat Defense ソフトウェア（Firepower Threat Defense Software）] > バージョンを選択します。パッケージには、cisco-ftd-fp2k.6.2.2.SPA などのファイル名が付けられています。

表 4 ASA ソフトウェア

ASA モデル

ASA のパッケージとダウンロードの場所

Firepower 2100 シリーズ

参照先：https://www.cisco.com/go/asa-firepower-sw

ASA パッケージ：使用しているモデル > [適応型セキュリティアプライアンス（ASA）ソフトウェア（Adaptive Security Appliance (ASA) Software）] > バージョンを選択します。パッケージには、cisco-asa-fp2k.9.8.2.SPA などのファイル名が付けられています。このパッケージには、ASA、ASDM、FXOS、および Firepower Chassis Manager が含まれています。

ASDM ソフトウェア（アップグレード）：現状の ASDM または ASA CLI を使って ASDM の以降のバージョンにアップグレードするには、使用しているモデル > [適応型セキュリティアプライアンス（ASA）デバイスマネージャ（Adaptive Security Appliance (ASA) Device Manager）] > バージョンを選択します。ASDM ソフトウェアのファイルには asdm-782.bin のような名前が付いています。
ASA から Firepower Threat Defense への再イメージ化
Firepower 2100 上の ASA を Firepower Threat Defense ソフトウェアに再イメージ化するには、ROMMON プロンプトにアクセスする必要があります。ROMMON では、ディスクを消去してから、管理 1/1 インターフェイスで TFTP を使用して Firepower Threat Defense パッケージから FXOS をロードする必要があります。サポートされているのは、TFTP のみです。FXOS を起動したら、ネットワーク設定を構成して、（お好みのサーバから）Firepower Threat Defense パッケージをダウンロードし、もう一度再起動します。

手順
ステップ 1 ASA CLI/ASDM またはスマートソフトウェアライセンシングサーバから、スマートソフトウェアライセンシングサーバの ASA の登録を解除します。

ステップ 2 管理 1/1 インターフェイスで ASA からアクセス可能な TFTP サーバに Firepower Threat Defense イメージ（ソフトウェアのダウンロードを参照）をダウンロードします。
ステップ 3
コンソールポートで、admin として FXOS にログインし、システムを再フォーマットします。
connect local-mgmt

format everything
firepower-2110# connect local-mgmt 
firepower-2110(local-mgmt)# format everything
All configuration and bootable images will be lost.
Do you still want to format? (yes/no):yes
「yes」と入力すると、Firepower 2100 が指起動します。
ステップ 4
ブートアップ中に ROMMON プロンプトを表示するよう要求されたら、Esc を押します。モニタを注視します。

例：
*******************************************************************************
Cisco System ROMMON, Version 1.0.03, RELEASE SOFTWARE
Copyright (c) 1994-2017  by Cisco Systems, Inc.
Compiled Thu 04/06/2017 12:16:16.21 by builder
*******************************************************************************

Current image running: Boot ROM0
Last reset cause: ResetRequest
DIMM_1/1 : Present
DIMM_2/1 : Present

Platform FPR-2130 with 32768 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: 0c:75:bd:08:c9:80

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
この時点で、Esc を押します。割り込みプロンプトを無視した場合は、Firepower 2100 が 3 回再起動を試みます。デバイス上にイメージが存在しないため、ROMMON しか使用できません。
ステップ 5
管理 1/1 のネットワーク設定を指定し、次の ROMMON コマンドを使用して FXOS（Firepower Threat Defense パッケージの一部）をロードします。
address management_ip_address

server tftp_ip_address

gateway gateway_ip_address

filepath/filename

set

sync

tftp -b

FXOS イメージがダウンロードされ、CLI にブートアップされます。

次の情報を参照してください。

gateway：同じネットワーク上に存在する場合は、ゲートウェイアドレスをサーバの IP アドレスと同じに設定します。

set：ネットワーク設定を表示します。ping コマンドを使用してサーバへの接続を確認することもできます。

sync：ネットワーク設定を保存します。

tftp -b：FXOS をロードします。

例：
rommon 1> address 10.86.118.4
rommon 2> server 10.86.118.21
rommon 3> gateway 10.86.118.21
rommon 4> file cisco-ftd-fp2k.6.2.2.SPA
rommon 5> set
ROMMON Variable Settings:
  ADDRESS=10.86.118.4
  NETMASK=255.255.255.0
  GATEWAY=10.86.118.21
  SERVER=10.86.118.21
  IMAGE=cisco-ftd-fp2k.6.2.2.SPA
  CONFIG=
  PS1="rommon ! > "

rommon 6> sync
rommon #9> tftp -b
Enable boot bundle: tftp_reqsize = 268435456

             ADDRESS: 10.86.118.4
             NETMASK: 255.255.255.0
             GATEWAY: 10.86.118.21
              SERVER: 10.86.118.21
               IMAGE: cisco-asa-fp2k.9.8.2.SPA
             MACADDR: d4:2c:44:0c:26:00
           VERBOSITY: Progress
               RETRY: 40
          PKTTIMEOUT: 7200
             BLKSIZE: 1460
            CHECKSUM: Yes
                PORT: GbE/1
             PHYMODE: Auto Detect

link up
Receiving cisco-ftd-fp2k.6.2.2.SPA from 10.86.118.21!!!!!!!!
[…]
ステップ 6 デフォルトのユーザ名：admin とパスワード：Admin123 を使用して FXOS にログインします。
デバイスが FXOS にブートアップしたら、ROMMON で設定した管理 IP アドレスが消去され、デフォルトの 192.168.45.45 に設定されます。サーバから Firepower Threat Defense パッケージをダウンロードする前に、FXOS でネットワークの正しい IP アドレスとその他の関連設定を指定する必要があります。
ステップ 7
DHCP サーバを無効にします。
scope system

scope services

disable dhcp-server

commit-buffer

管理 IP アドレスを変更するには、その前に DHCP サーバを無効にする必要があります。

例：
firepower-2110# scope system
firepower-2110 /system # scope services
firepower-2110 /system/services # disable dhcp-server
firepower-2110 /system/services* # commit-buffer
ステップ 8
IPv4 管理 IP アドレス、および必要に応じてゲートウェイを設定します。
scopefabric-interconnecta

setout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address

commit-buffer

現在設定されているゲートウェイ（デフォルトで、Firepower Threat Defense データインターフェイスを表す 0.0.0.0）を維持するには、gw キーワードを省略します。ダウンロードサーバがローカル管理 1/1 ネットワーク上に存在しない場合は、ゲートウェイ IP アドレスを変更します。Firepower Threat Defense データインターフェイスはまだ存在しないため、デフォルト設定ではリモートサーバに到達できません。

例：
firepower-2110# scope fabric-interconnect a
firepower-2110 /fabric-interconnect #
firepower-2100 /fabric-interconnect # set out-of-band ip 10.86.118.4 netmask 255.255.255.0 
Warning: When committed, this change may disconnect the current CLI session
firepower-2100 /fabric-interconnect* # commit-buffer
firepower-2100 /fabric-interconnect #
ステップ 9
Firepower Threat Defense パッケージをダウンロードして起動します。
パッケージをダウンロードします。
scope firmware

download image URL

show download-task

パッケージは、以前使用したものと同じ TFTP サーバまたは管理 1/1 上で到達可能な別のサーバからダウンロードできます。

例：
firepower-2110# scope firmware
firepower-2110 /firmware # download image tftp://10.86.118.21/cisco-ftd-fp2k.6.2.2.SPA
Please use the command 'show download-task' or 'show download-task detail' to check download progress.
firepower-2110 /firmware # show download-task
Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    cisco-ftd-fp2k.6.2.2.SPA
              Tftp     10.88.29.21             0                 Downloaded
パッケージのダウンロードが完了（[ダウンロード済み（Downloaded）] の状態）したら、パッケージを起動します。
show package

scope auto-install

install security-pack version version

show package の出力で、security-pack version 番号の Package-Vers 値をコピーします。シャーシが Firepower Threat Defense イメージをインストールして再起動します。

例：
firepower 2110 /firmware # show package
Name                                          Package-Vers
--------------------------------------------- ------------
cisco-ftd-fp2k.6.2.2.SPA                      6.2.2
firepower 2110 /firmware # scope auto-install
firepower 2110 /firmware/auto-install # install security-pack version 6.2.2
The system is currently installed with security software package not set, which has:
   - The platform version: not set
If you proceed with the upgrade 6.2.2, it will do the following:
   - upgrade to the new platform version 2.2.2.52
   - install with CSP ftd version 6.2.2
During the upgrade, the system will be reboot

Do you want to proceed ? (yes/no):yes

This operation upgrades firmware and software on Security Platform Components
Here is the checklist of things that are recommended before starting Auto-Install
(1) Review current critical/major faults
(2) Initiate a configuration backup

Attention:
   If you proceed the system will be re-imaged. All existing configuration will be lost,
   and the default configuration applied.
Do you want to proceed? (yes/no):yes

Triggered the install of software package version 6.2.2
Install started. This will take several minutes.
For monitoring the upgrade progress, please enter 'show' or 'show detail' command.
ステップ 10
シャーシの再起動（5 ～ 10 分）を待機してから、デフォルトのユーザ名 admin とパスワード Admin123 を使用して FXOS にログインします。
FXOS が起動しても、Firepower Threat Defense が稼働するまで（30 分）待機する必要があります。次のメッセージが表示されるまで待機します。
[…]
User enable_1 logged in to firepower
Logins over the last 1 days: 1.
Failed logins since the last login: 0.
Type help or '?' for a list of available commands.
firepower> Aug 26 01:31:48 firepower port-manager: Alert: Ethernet1/2 link changed to DOWN
Aug 26 01:31:48 firepower port-manager: Alert: Ethernet1/1 link changed to DOWN

firepower#        
Firepower Threat Defense の残りの起動メッセージが表示されたら、FXOS プロンプトに戻ることができます。
ステップ 11 Firepower Threat Defense CLI に接続します。
connect ftd
ステップ 12
EULA に同意するように求められます。Enter を押してから、以下が表示されるまで More プロンプトでスペース バーを押します。
Please enter 'YES' or press <ENTER> to AGREE to the EULA:
yes と入力します。
ステップ 13 パスワードを変更して、初期セットアップを実行するように求められます。システムを設定するには、Firepower Device Manager または Firepower Management Center のクイックスタートガイドを参照してください。
Firepower Threat Defense から ASA への再イメージ化
Firepower 2100 上の Firepower Threat Defense を ASA ソフトウェアに再イメージ化するには、ROMMON プロンプトにアクセスする必要があります。ROMMON では、ディスクを消去してから、管理 1/1 インターフェイスで TFTP を使用して ASA パッケージから FXOS をロードする必要があります。サポートされているのは、TFTP のみです。FXOS を起動したら、ネットワーク設定を構成して、（お好みのサーバから）ASA パッケージをダウンロードし、もう一度再起動します。

手順
ステップ 1   Firepower Management Center から Firepower Threat Defense デバイスを管理している場合は、Management Center からデバイスを削除します。

ステップ 2   Firepower Device Manager を使用して Firepower Threat Defense デバイスを管理している場合は、必ず、Firepower Device Manager またはスマートソフトウェアライセンシングサーバから、スマートソフトウェアライセンシングサーバのデバイスの登録を解除してください。

ステップ 3   管理 1/1 インターフェイスの Firepower Threat Defense デバイスからアクセス可能な TFTP サーバに ASA イメージ（ソフトウェアのダウンロードを参照）をダウンロードします。
ステップ 4
コンソールポートで、admin として FXOS にログインし、システムを再フォーマットします。
connect local-mgmt

format everything
firepower-2110# connect local-mgmt 
firepower-2110(local-mgmt)# format everything
All configuration and bootable images will be lost.
Do you still want to format? (yes/no):yes
「yes」と入力すると、Firepower 2100 が指起動します。
ステップ 5
ブートアップ中に ROMMON プロンプトを表示するよう要求されたら、Esc を押します。モニタを注視します。

例：
*******************************************************************************
Cisco System ROMMON, Version 1.0.03, RELEASE SOFTWARE
Copyright (c) 1994-2017  by Cisco Systems, Inc.
Compiled Thu 04/06/2017 12:16:16.21 by builder
*******************************************************************************

Current image running: Boot ROM0
Last reset cause: ResetRequest
DIMM_1/1 : Present
DIMM_2/1 : Present

Platform FPR-2130 with 32768 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: 0c:75:bd:08:c9:80

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
この時点で、Esc を押します。割り込みプロンプトを無視した場合は、Firepower 2100 が 3 回再起動を試みます。デバイス上にイメージが存在しないため、ROMMON しか使用できません。
ステップ 6
管理 1/1 のネットワーク設定を指定し、次の ROMMON コマンドを使用して FXOS（ASA パッケージの一部）をロードします。
address management_ip_address

server tftp_ip_address

gateway gateway_ip_address

filepath/filename

set

sync

tftp -b

FXOS イメージがダウンロードされ、CLI にブートアップされます。

次の情報を参照してください。

gateway：同じネットワーク上に存在する場合は、ゲートウェイアドレスをサーバの IP アドレスと同じに設定します。

set：ネットワーク設定を表示します。ping コマンドを使用してサーバへの接続を確認することもできます。

sync：ネットワーク設定を保存します。

tftp -b：FXOS をロードします。

例：
rommon 1> address 10.86.118.4
rommon 2> server 10.86.118.21
rommon 3> gateway 10.86.118.21
rommon 4> file cisco-asa-fp2k.9.8.2.SPA
rommon 5> set
ROMMON Variable Settings:
  ADDRESS=10.86.118.4
  NETMASK=255.255.255.0
  GATEWAY=10.86.118.21
  SERVER=10.86.118.21
  IMAGE=cisco-asa-fp2k.9.8.2.SPA
  CONFIG=
  PS1="rommon ! > "

rommon 6> sync
rommon #9> tftp -b
Enable boot bundle: tftp_reqsize = 268435456

             ADDRESS: 10.86.118.4
             NETMASK: 255.255.255.0
             GATEWAY: 10.86.118.21
              SERVER: 10.86.118.21
               IMAGE: cisco-asa-fp2k.9.8.2.SPA
             MACADDR: d4:2c:44:0c:26:00
           VERBOSITY: Progress
               RETRY: 40
          PKTTIMEOUT: 7200
             BLKSIZE: 1460
            CHECKSUM: Yes
                PORT: GbE/1
             PHYMODE: Auto Detect

link up
Receiving cisco-asa-fp2k.9.8.2.SPA from 10.86.118.21!!!!!!!!
[…]
ステップ 7 デフォルトのユーザ名：admin とパスワード：Admin123 を使用して FXOS にログインします。
デバイスが FXOS にブートアップしたら、ROMMON で設定した管理 IP アドレスが消去され、デフォルトの 192.168.45.45 に設定されます。サーバから ASA パッケージをダウンロードする前に、FXOS でネットワークの正しい IP アドレスとその他の関連設定を指定する必要があります。
ステップ 8
DHCP サーバを無効にします。
scope system

scope services

disable dhcp-server

commit-buffer

管理 IP アドレスを変更するには、その前に DHCP サーバを無効にする必要があります。管理 IP アドレスを変更した後で、新しいクライアント IP アドレスを使用して DHCP を再び有効にすることができます。

例：
firepower-2110# scope system
firepower-2110 /system # scope services
firepower-2110 /system/services # disable dhcp-server
firepower-2110 /system/services* # commit-buffer
ステップ 9
IPv4 管理 IP アドレス、および必要に応じてゲートウェイを設定します。
scopefabric-interconnecta

setout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address

現在設定されているゲートウェイ（デフォルトで、ASA データインターフェイスを表す 0.0.0.0）を維持するには、gw キーワードを省略します。ダウンロードサーバがローカル管理 1/1 ネットワーク上に存在しない場合は、ゲートウェイ IP アドレスを変更します。ASA データインターフェイスはまだ存在しないため、デフォルト設定ではリモートサーバに到達できません。

例：
firepower-2110# scope fabric-interconnect a
firepower-2110 /fabric-interconnect #
firepower-2100 /fabric-interconnect # set out-of-band static ip 10.86.118.4 netmask 255.255.255.0 
Warning: When committed, this change may disconnect the current CLI session
firepower-2100 /fabric-interconnect* # 
ステップ 10
HTTPS、SSH、および SNMP のアクセスリストを設定して、新しいネットワークからの管理接続を可能にします。
scope system

scope services

IPv4 の場合：

enterip-block ip_address prefix [http | snmp | ssh]

IPv6 の場合：

enteripv6-block ipv6_address prefix [https | snmp | ssh]

IPv4 の場合、すべてのネットワークを許可するには 0.0.0.0 とプレフィックス 0 を入力します。IPv6 の場合、すべてのネットワークを許可するには :: とプレフィックス 0 を入力します。

例：
firepower-2110# scope system
firepower-2110 /system # scope services
firepower-2110 /system/services # enter ip-block 10.86.118.0 24 https
firepower-2110 /system/services/ip-block* # exit
firepower-2110 /system/services* # enter ip-block 10.86.118.0 24 ssh
firepower-2110 /system/services/ip-block* # exit
firepower-2110 /system/services* # 
ステップ 11
（任意） IPv4 DHCP サーバを再び有効にします。
scope system

scope services

enable dhcp-server start_ip_address end_ip_address

例：
firepower-2110# scope system
firepower-2110 /system # scope services
firepower-2110 /system/services # enable dhcp-server 10.86.118.10 10.86.118.20
ステップ 12
設定を保存します。
commit-buffer

例：
firepower-2110 /system/services* # commit-buffer
ステップ 13
ASA パッケージをダウンロードして起動します。
パッケージをダウンロードします。
scope firmware

download image URL

show download-task

パッケージは、以前使用したものと同じ TFTP サーバまたは管理 1/1 上で到達可能な別のサーバからダウンロードできます。

例：
firepower-2110# scope firmware
firepower-2110 /firmware # download image tftp://10.86.118.21/cisco-asa-fp2k.9.8.2.SPA
Please use the command 'show download-task' or 'show download-task detail' to check download progress.
firepower-2110 /firmware # show download-task
Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    cisco-asa-fp2k.9.8.2.SPA
              Tftp     10.88.29.21             0                 Downloaded
パッケージのダウンロードが完了（[ダウンロード済み（Downloaded）] の状態）したら、パッケージを起動します。
show package

scope auto-install

install security-pack version version

show package の出力で、security-pack version 番号の Package-Vers 値をコピーします。シャーシが ASA イメージをインストールして再起動します。

例：
firepower 2110 /firmware # show package
Name                                          Package-Vers
--------------------------------------------- ------------
cisco-asa-fp2k.9.8.2.SPA                      9.8.2
firepower 2110 /firmware # scope auto-install
firepower 2110 /firmware/auto-install # install security-pack version 9.8.2
The system is currently installed with security software package not set, which has:
   - The platform version: not set
If you proceed with the upgrade 9.8.2, it will do the following:
   - upgrade to the new platform version 2.2.2.52
   - install with CSP asa version 9.8.2
During the upgrade, the system will be reboot

Do you want to proceed ? (yes/no):yes

This operation upgrades firmware and software on Security Platform Components
Here is the checklist of things that are recommended before starting Auto-Install
(1) Review current critical/major faults
(2) Initiate a configuration backup

Attention:
   If you proceed the system will be re-imaged. All existing configuration will be lost,
   and the default configuration applied.
Do you want to proceed? (yes/no):yes

Triggered the install of software package version 9.8.2
Install started. This will take several minutes.
For monitoring the upgrade progress, please enter 'show' or 'show detail' command.
ステップ 14
シャーシの再起動（5 ～ 10 分）を待機してから、デフォルトのユーザ名 admin とパスワード Admin123 を使用して FXOS にログインします。
FXOS が起動しても、ASA が稼働するまで（5 分）待機する必要があります。次のメッセージが表示されるまで待機します。
firepower-2110# 
Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Verifying signature for cisco-asa.9.8.2 ...
Verifying signature for cisco-asa.9.8.2 ... success

Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Cisco ASA starting ...
Registering to process manager ...
Cisco ASA started successfully. 
[…]
ASA の残りの起動メッセージが表示されたら、FXOS プロンプトに戻ることができます。
ステップ 15
この手順で FXOS 管理 1/1 アドレスを変更した場合は、ASA アドレスを正しいネットワーク上のアドレスに変更する必要があります。デフォルトの ASA 管理 1/1 インターフェイス IP アドレスは 192.168.45.1 です。
コンソールから、ASA CLI に接続して、グローバルコンフィギュレーションモードにアクセスします。
connect asa

enable

configure terminal

デフォルトで、イネーブルパスワードは空白です。

例：
firepower-2110# connect asa
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
ciscoasa> enable
Password: <blank>
ciscoasa# configure terminal
ciscoasa(config)# 
管理 1/1 IP アドレスを変更します。
interface management1/1

ip address ip_address mask

例：
ciscoasa(config)# interface management1/1
ciscoasa(config-ifc)# ip address 10.86.118.4 255.255.255.0
ASDM にアクセス可能なネットワークに変更します。
no http 192.168.45.0 255.255.255.0 management

http ip_address maskmanagement

例：
ciscoasa(config)# no http 192.168.45.0 255.255.255.0 management
ciscoasa(config)# http 10.86.118.0 255.255.255.0 management
設定を保存します。
write memory

FXOS コンソールに戻るには、Ctrl+a、d と入力します。
ステップ 16 システムを設定するには、『ASA for Firepower 2100 Series Getting Started Guide』を参照してください。
次のステップ

Firepower Threat Defense

ご使用のモデルと管理アプリケーションのクイックスタートガイドを参照してください。

Firepower Device Manager for the ASA 5506-X

Firepower Management Center for the ASA 5506-X

Firepower Device Manager for the ASA 5508-X および 5516-X

Firepower Management Center for the ASA 5508-X および 5516-X

Firepower Device Manager for the ASA 5512-X ～ 5555-X

Firepower Management Center for the ASA 5512-X ～ 5555-X

Firepower Device Manager for the Firepower 2100

Firepower Management Center for the Firepower 2100

ASA

使用しているモデル用のクイックスタートガイドを参照してください。

ASA for the ASA 5506-X

ASA for the ASA 5508-X および 5516-X

ASA for the ASA 5512-X ～ 5555-X

ASA for the Firepower 2100
Copyright © 2017, Cisco Systems, Inc. All rights reserved.

表 2 ASA ソフトウェア
ASA モデル	ASA のパッケージとダウンロードの場所
ASA 5506-X、ASA 5508-X、および ASA 5516-X	http://www.cisco.com/go/asa-firepower-sw [英語] を参照してください。 ASA ソフトウェア：使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。ASA ソフトウェアのファイルには asa962-lfbff-k8.SPA のような名前が付いています。 ASDM ソフトウェア：使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。 ASA FirePOWER モジュールソフトウェア：使用しているモデル > [ASA 用 FirePOWER サービスソフトウェア（FirePOWER Services Software for ASA）] > バージョンの順に選択します。Firepowerソフトウェアをインストールするには、『ASA Firewall configuration guide』または『Firepower release notes』を参照してください。ブートイメージ：ブートイメージのファイルには asasfr-5500x-boot-6.1.0-330.img のような名前が付いています。システムソフトウェアインストールパッケージ：システムソフトウェアインストールパッケージのファイルには asasfr-sys-6.1.0-330.pkg のような名前が付いています。パッチファイル：パッチファイルは末尾に.shがつきます。
ASA 5512-X ～ ASA 5555-X	ASA ソフトウェア：http://www.cisco.com/go/asa-software [英語] を参照してください。使用しているモデル > [Software on Chassis] > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。ASA ソフトウェアのファイルには asa962-smp-k8.bin のような名前が付いています。 ASDM ソフトウェア：http://www.cisco.com/go/asa-software [英語] を参照してください。使用しているモデル > [Software on Chassis] > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。 ASA Firepower モジュールソフトウェア：http://www.cisco.com/go/asa-firepower-sw [英語] を参照してください。使用しているモデル > [ASA 用 FirePOWER サービスソフトウェア（FirePOWER Services Software for ASA）] > バージョンの順に選択します。Firepowerソフトウェアをインストールするには、『ASA Firewall configuration guide』または『Firepower release notes』を参照してください。ブートイメージ：ブートイメージのファイルには asasfr-5500x-boot-6.1.0-330.img のような名前が付いています。システムソフトウェアインストールパッケージ：システムソフトウェアインストールパッケージのファイルには asasfr-sys-6.1.0-330.pkg のような名前が付いています。パッチファイル：パッチファイルは末尾に.shがつきます。

表 3 Firepower Threat Defense ソフトウェア
Firepower Threat Defense モデル	Firepower Threat Defense のパッケージとダウンロードの場所
Firepower 2100 シリーズ	参照先：https://www.cisco.com/go/ftd-software Firepower Threat Defense パッケージ：使用しているモデル > [Firepower Threat Defense ソフトウェア（Firepower Threat Defense Software）] > バージョンを選択します。パッケージには、cisco-ftd-fp2k.6.2.2.SPA などのファイル名が付けられています。

表 4 ASA ソフトウェア
ASA モデル	ASA のパッケージとダウンロードの場所
Firepower 2100 シリーズ	参照先：https://www.cisco.com/go/asa-firepower-sw ASA パッケージ：使用しているモデル > [適応型セキュリティアプライアンス（ASA）ソフトウェア（Adaptive Security Appliance (ASA) Software）] > バージョンを選択します。パッケージには、cisco-asa-fp2k.9.8.2.SPA などのファイル名が付けられています。このパッケージには、ASA、ASDM、FXOS、および Firepower Chassis Manager が含まれています。 ASDM ソフトウェア（アップグレード）：現状の ASDM または ASA CLI を使って ASDM の以降のバージョンにアップグレードするには、使用しているモデル > [適応型セキュリティアプライアンス（ASA）デバイスマネージャ（Adaptive Security Appliance (ASA) Device Manager）] > バージョンを選択します。ASDM ソフトウェアのファイルには asdm-782.bin のような名前が付いています。

シスコエンジニア提供

このドキュメントは役に立ちましたか?

フィードバック

お問い合わせ先

サポートケースをオープン
(シスコサービス契約が必要です。)

Cisco ASA または Firepower Threat Defense デバイスの再イメージ化

ダウンロードオプション

Reimage the Cisco ASA or Firepower Threat Defense Device

必要なコンソールポートアクセス

ASA 5500-X シリーズの再イメージ化

サポートされている ASA 5500-X モデル

ソフトウェアのダウンロード

ROMMON イメージのアップグレード（ASA 5506-X、5508-X、および 5516-X）

ASA から Firepower Threat Defense への再イメージ化

Firepower Threat Defense から ASA への再イメージ化

Firepower 2100 シリーズの再イメージ化

ソフトウェアのダウンロード

ASA から Firepower Threat Defense への再イメージ化

Firepower Threat Defense から ASA への再イメージ化

次のステップ

Firepower Threat Defense

ASA

シスコエンジニア提供

このドキュメントは役に立ちましたか?

お問い合わせ先

関連するサポートコミュニティのディスカッション

このドキュメントは次の製品に対応しています

ステップ 1	Cisco.com から新しい ROMMON イメージを取得して、サーバ上に置いて ASA にコピーします。この手順では、TFTP コピーの方法を説明します。次の URL からイメージをダウンロードします。 https://software.cisco.com/download/type.html?mdfid=286283326&flowid=77251
ステップ 2	ROMMON イメージを ASA フラッシュメモリにコピーします。 copy tftp://server_ip/asa5500-firmware-xxxx.SPA disk0:asa5500-firmware-xxxx.SPA
ステップ 3	ROMMON イメージをアップグレードします。 upgrade rommon disk0:asa5500-firmware-xxxx.SPA 例： ciscoasa# upgrade rommon disk0:asa5500-firmware-1108.SPA Verifying file integrity of disk0:/asa5500-firmware-1108.SPA Computed Hash SHA2: d824bdeecee1308fc64427367fa559e9 eefe8f182491652ee4c05e6e751f7a4f 5cdea28540cf60acde3ab9b65ff55a9f 4e0cfb84b9e2317a856580576612f4af Embedded Hash SHA2: d824bdeecee1308fc64427367fa559e9 eefe8f182491652ee4c05e6e751f7a4f 5cdea28540cf60acde3ab9b65ff55a9f 4e0cfb84b9e2317a856580576612f4af Digital signature successfully validated File Name : disk0:/asa5500-firmware-1108.SPA Image type : Release Signer Information Common Name : abraxas Organization Unit : NCS_Kenton_ASA Organization Name : CiscoSystems Certificate Serial Number : 553156F4 Hash Algorithm : SHA2 512 Signature Algorithm : 2048-bit RSA Key Version : A Verification successful. Proceed with reload? [confirm]
ステップ 4	プロンプトが表示されたら、確認して ASA をリロードします。 ASA が ROMMON イメージをアップグレードした後、ASA の OS をリロードします。

ステップ 1	管理インターフェイスの ASA からアクセス可能な TFTP サーバに Firepower Threat Defense ブートイメージ（ソフトウェアのダウンロードを参照）をダウンロードします。 ASA 5506-X、5508-X、および 5516-X では、管理 1/1 ポートを使用してイメージをダウンロードする必要があります。他のモデルでは、任意のインターフェイスを使用できます。
ステップ 2	管理インターフェイスの ASA からアクセス可能な HTTP または FTP サーバに Firepower Threat Defense システムソフトウェアのインストールパッケージ（ソフトウェアのダウンロードを参照）をダウンロードします。
ステップ 3	コンソールポートから、ASA をリロードします。 reload 例： ciscoasa# reload
ステップ 4	ブートアップ中に ROMMON プロンプトを表示するよう要求されたら、Esc を押します。モニタを注視します。例： [...] Booting from ROMMON Cisco Systems ROMMON Version (2.1(9)8) #1: Wed Oct 26 17:14:40 PDT 2011 Platform ASA 5555-X with SW, 8 GE Data, 1 GE Mgmt Use BREAK or ESC to interrupt boot. Use SPACE to begin boot immediately. Boot in 7 seconds. この時点で、Esc を押します。次のメッセージが表示された場合は、時間がかかりすぎです。ブートの終了後、再度 ASA をリロードする必要があります。 Launching BootLoader... Boot configuration file contains 2 entries. [...]
ステップ 5	次の ROMMON コマンドを使用してネットワーク設定を指定し、ブートイメージをロードします。 interface：（ASA 5512-X、5515-X、5525-X、5545-X、および 5555-X のみ）管理インターフェイス ID。他のモデルは常に管理 1/1 インターフェイスを使用します。 address：管理インターフェイスの IP アドレス server：TFTP サーバの IP アドレス gateway：この IP アドレスを TFTP サーバの IP アドレスと同じに設定します。 file：TFTP ファイルパスと名前 set：（オプション）ネットワーク設定を表示します。ping コマンドを使用してサーバへの接続を確認することもできます。 sync：（オプション）ネットワーク設定を保存します。 tftpdnld：ブートイメージをロードします。例： ASA 5555-X の例： rommon #0> `interface gigabitethernet0/0` rommon #1> `address 10.86.118.4` rommon #2> `server 10.86.118.21` rommon #3> `gateway 10.86.118.21` rommon #4> `file ftd-boot-latest.cdisk` rommon #5> `set` ROMMON Variable Settings: ADDRESS=10.86.118.3 SERVER=10.86.118.21 GATEWAY=10.86.118.21 PORT=GigabitEthernet0/0 VLAN=untagged IMAGE=ftd-boot-latest.cdisk CONFIG= LINKTIMEOUT=20 PKTTIMEOUT=4 RETRY=20 rommon #6> `sync` Updating NVRAM Parameters... rommon #7> `tftpdnld` ASA 5506-X の例： rommon #0> `address 10.86.118.4` rommon #1> `server 10.86.118.21` rommon #2> `gateway 10.86.118.21` rommon #3> `file ftd-boot-latest.lfbff` rommon #4> `set` ROMMON Variable Settings: ADDRESS=10.86.118.3 SERVER=10.86.118.21 GATEWAY=10.86.118.21 VLAN=untagged IMAGE=ftd-boot-latest.lfbff CONFIG= LINKTIMEOUT=20 PKTTIMEOUT=4 RETRY=20 rommon #5> `sync` Updating NVRAM Parameters... rommon #6> `tftpdnld` Firepower Threat Defense ブートイメージがダウンロードされ、ブート CLI にブートアップされます。
ステップ 6	「setup」と入力して、管理インターフェイスのネットワーク設定を行い、システムソフトウェアパッケージをダウンロードしてインストールできるように HTTP または FTP サーバへの一時的な接続を確立します。次に例を示します。ホスト名：ftd1 IPv4 アドレス：10.86.118.4 ネットマスク：255.255.252.0 ゲートウェイ：10.86.116.1 DNS サーバ：10.86.116.5 NTP サーバ：ntp.example.com
ステップ 7	Firepower Threat Defense システムソフトウェアのインストールパッケージをダウンロードします。この手順では、HTTP のインストールを示します。 system install [noconfirm] url 例： > system install noconfirm http://10.86.118.21/ftd-6.0.1-949.pkg 確認メッセージに応答したくない場合は、noconfirm オプションを指定します。
ステップ 8	インストールが完了して、デバイスの再起動オプションが表示されたら [はい（Yes）] を選択します。再起動には約 30 分かかりますが、より長時間かかる可能性があります。再起動時に、Firepower Threat Defense CLI が表示されます。
ステップ 9	Firepower Device Manager と Firepower Management Center のどちらかを使用してデバイスを管理できます。セットアップに進むには、http://www.cisco.com/go/ftd-asa-quick [英語] でご使用のモデルとマネージャのクイックスタートガイドを参照してください。

ステップ 1	ASA CLI/ASDM またはスマートソフトウェアライセンシングサーバから、スマートソフトウェアライセンシングサーバの ASA の登録を解除します。
ステップ 2	管理 1/1 インターフェイスで ASA からアクセス可能な TFTP サーバに Firepower Threat Defense イメージ（ソフトウェアのダウンロードを参照）をダウンロードします。
ステップ 3	コンソールポートで、admin として FXOS にログインし、システムを再フォーマットします。 connect local-mgmt format everything firepower-2110# connect local-mgmt firepower-2110(local-mgmt)# format everything All configuration and bootable images will be lost. Do you still want to format? (yes/no):yes 「`yes`」と入力すると、Firepower 2100 が指起動します。
ステップ 4	ブートアップ中に ROMMON プロンプトを表示するよう要求されたら、Esc を押します。モニタを注視します。例： ***************************************************************************** Cisco System ROMMON, Version 1.0.03, RELEASE SOFTWARE Copyright (c) 1994-2017 by Cisco Systems, Inc. Compiled Thu 04/06/2017 12:16:16.21 by builder ***************************************************************************** Current image running: Boot ROM0 Last reset cause: ResetRequest DIMM_1/1 : Present DIMM_2/1 : Present Platform FPR-2130 with 32768 MBytes of main memory BIOS has been successfully locked !! MAC Address: 0c:75:bd:08:c9:80 Use BREAK or ESC to interrupt boot. Use SPACE to begin boot immediately. この時点で、Esc を押します。割り込みプロンプトを無視した場合は、Firepower 2100 が 3 回再起動を試みます。デバイス上にイメージが存在しないため、ROMMON しか使用できません。
ステップ 5	管理 1/1 のネットワーク設定を指定し、次の ROMMON コマンドを使用して FXOS（Firepower Threat Defense パッケージの一部）をロードします。 address management_ip_address server tftp_ip_address gateway gateway_ip_address filepath/filename set sync tftp -b FXOS イメージがダウンロードされ、CLI にブートアップされます。次の情報を参照してください。 gateway：同じネットワーク上に存在する場合は、ゲートウェイアドレスをサーバの IP アドレスと同じに設定します。 set：ネットワーク設定を表示します。ping コマンドを使用してサーバへの接続を確認することもできます。 sync：ネットワーク設定を保存します。 tftp -b：FXOS をロードします。例： rommon 1> address 10.86.118.4 rommon 2> server 10.86.118.21 rommon 3> gateway 10.86.118.21 rommon 4> file cisco-ftd-fp2k.6.2.2.SPA rommon 5> set ROMMON Variable Settings: ADDRESS=10.86.118.4 NETMASK=255.255.255.0 GATEWAY=10.86.118.21 SERVER=10.86.118.21 IMAGE=cisco-ftd-fp2k.6.2.2.SPA CONFIG= PS1="rommon ! > " rommon 6> sync rommon #9> tftp -b Enable boot bundle: tftp_reqsize = 268435456 ADDRESS: 10.86.118.4 NETMASK: 255.255.255.0 GATEWAY: 10.86.118.21 SERVER: 10.86.118.21 IMAGE: cisco-asa-fp2k.9.8.2.SPA MACADDR: d4:2c:44:0c:26:00 VERBOSITY: Progress RETRY: 40 PKTTIMEOUT: 7200 BLKSIZE: 1460 CHECKSUM: Yes PORT: GbE/1 PHYMODE: Auto Detect link up Receiving cisco-ftd-fp2k.6.2.2.SPA from 10.86.118.21!!!!!!!! […]
ステップ 6	デフォルトのユーザ名：admin とパスワード：Admin123 を使用して FXOS にログインします。デバイスが FXOS にブートアップしたら、ROMMON で設定した管理 IP アドレスが消去され、デフォルトの 192.168.45.45 に設定されます。サーバから Firepower Threat Defense パッケージをダウンロードする前に、FXOS でネットワークの正しい IP アドレスとその他の関連設定を指定する必要があります。
ステップ 7	DHCP サーバを無効にします。 scope system scope services disable dhcp-server commit-buffer 管理 IP アドレスを変更するには、その前に DHCP サーバを無効にする必要があります。例： firepower-2110# scope system firepower-2110 /system # scope services firepower-2110 /system/services # disable dhcp-server firepower-2110 /system/services* # commit-buffer
ステップ 8	IPv4 管理 IP アドレス、および必要に応じてゲートウェイを設定します。 scopefabric-interconnecta setout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address commit-buffer 現在設定されているゲートウェイ（デフォルトで、Firepower Threat Defense データインターフェイスを表す 0.0.0.0）を維持するには、gw キーワードを省略します。ダウンロードサーバがローカル管理 1/1 ネットワーク上に存在しない場合は、ゲートウェイ IP アドレスを変更します。Firepower Threat Defense データインターフェイスはまだ存在しないため、デフォルト設定ではリモートサーバに到達できません。例： firepower-2110# scope fabric-interconnect a firepower-2110 /fabric-interconnect # firepower-2100 /fabric-interconnect # set out-of-band ip 10.86.118.4 netmask 255.255.255.0 Warning: When committed, this change may disconnect the current CLI session firepower-2100 /fabric-interconnect* # commit-buffer firepower-2100 /fabric-interconnect #
ステップ 9	Firepower Threat Defense パッケージをダウンロードして起動します。パッケージをダウンロードします。 scope firmware download image URL show download-task パッケージは、以前使用したものと同じ TFTP サーバまたは管理 1/1 上で到達可能な別のサーバからダウンロードできます。例： firepower-2110# scope firmware firepower-2110 /firmware # download image tftp://10.86.118.21/cisco-ftd-fp2k.6.2.2.SPA Please use the command 'show download-task' or 'show download-task detail' to check download progress. firepower-2110 /firmware # show download-task Download task: File Name Protocol Server Port Userid State --------- -------- --------------- ---------- --------------- ----- cisco-ftd-fp2k.6.2.2.SPA Tftp 10.88.29.21 0 Downloaded パッケージのダウンロードが完了（[ダウンロード済み（Downloaded）] の状態）したら、パッケージを起動します。 show package scope auto-install install security-pack version version show package の出力で、security-pack version 番号の Package-Vers 値をコピーします。シャーシが Firepower Threat Defense イメージをインストールして再起動します。例： firepower 2110 /firmware # show package Name Package-Vers --------------------------------------------- ------------ cisco-ftd-fp2k.6.2.2.SPA 6.2.2 firepower 2110 /firmware # scope auto-install firepower 2110 /firmware/auto-install # install security-pack version 6.2.2 The system is currently installed with security software package not set, which has: - The platform version: not set If you proceed with the upgrade 6.2.2, it will do the following: - upgrade to the new platform version 2.2.2.52 - install with CSP ftd version 6.2.2 During the upgrade, the system will be reboot Do you want to proceed ? (yes/no):yes This operation upgrades firmware and software on Security Platform Components Here is the checklist of things that are recommended before starting Auto-Install (1) Review current critical/major faults (2) Initiate a configuration backup Attention: If you proceed the system will be re-imaged. All existing configuration will be lost, and the default configuration applied. Do you want to proceed? (yes/no):yes Triggered the install of software package version 6.2.2 Install started. This will take several minutes. For monitoring the upgrade progress, please enter 'show' or 'show detail' command.
ステップ 10	シャーシの再起動（5 ～ 10 分）を待機してから、デフォルトのユーザ名 admin とパスワード Admin123 を使用して FXOS にログインします。 FXOS が起動しても、Firepower Threat Defense が稼働するまで（30 分）待機する必要があります。次のメッセージが表示されるまで待機します。 […] User enable_1 logged in to firepower Logins over the last 1 days: 1. Failed logins since the last login: 0. Type help or '?' for a list of available commands. firepower> Aug 26 01:31:48 firepower port-manager: Alert: Ethernet1/2 link changed to DOWN Aug 26 01:31:48 firepower port-manager: Alert: Ethernet1/1 link changed to DOWN firepower# Firepower Threat Defense の残りの起動メッセージが表示されたら、FXOS プロンプトに戻ることができます。
ステップ 11	Firepower Threat Defense CLI に接続します。 connect ftd
ステップ 12	EULA に同意するように求められます。Enter を押してから、以下が表示されるまで More プロンプトでスペースバーを押します。 Please enter 'YES' or press <ENTER> to AGREE to the EULA: `yes` と入力します。
ステップ 13	パスワードを変更して、初期セットアップを実行するように求められます。システムを設定するには、Firepower Device Manager または Firepower Management Center のクイックスタートガイドを参照してください。

ステップ 1	Firepower Management Center から Firepower Threat Defense デバイスを管理している場合は、Management Center からデバイスを削除します。
ステップ 2	Firepower Device Manager を使用して Firepower Threat Defense デバイスを管理している場合は、必ず、Firepower Device Manager またはスマートソフトウェアライセンシングサーバから、スマートソフトウェアライセンシングサーバのデバイスの登録を解除してください。
ステップ 3	管理 1/1 インターフェイスの Firepower Threat Defense デバイスからアクセス可能な TFTP サーバに ASA イメージ（ソフトウェアのダウンロードを参照）をダウンロードします。
ステップ 4	コンソールポートで、admin として FXOS にログインし、システムを再フォーマットします。 connect local-mgmt format everything firepower-2110# connect local-mgmt firepower-2110(local-mgmt)# format everything All configuration and bootable images will be lost. Do you still want to format? (yes/no):yes 「`yes`」と入力すると、Firepower 2100 が指起動します。
ステップ 5	ブートアップ中に ROMMON プロンプトを表示するよう要求されたら、Esc を押します。モニタを注視します。例： ***************************************************************************** Cisco System ROMMON, Version 1.0.03, RELEASE SOFTWARE Copyright (c) 1994-2017 by Cisco Systems, Inc. Compiled Thu 04/06/2017 12:16:16.21 by builder ***************************************************************************** Current image running: Boot ROM0 Last reset cause: ResetRequest DIMM_1/1 : Present DIMM_2/1 : Present Platform FPR-2130 with 32768 MBytes of main memory BIOS has been successfully locked !! MAC Address: 0c:75:bd:08:c9:80 Use BREAK or ESC to interrupt boot. Use SPACE to begin boot immediately. この時点で、Esc を押します。割り込みプロンプトを無視した場合は、Firepower 2100 が 3 回再起動を試みます。デバイス上にイメージが存在しないため、ROMMON しか使用できません。
ステップ 6	管理 1/1 のネットワーク設定を指定し、次の ROMMON コマンドを使用して FXOS（ASA パッケージの一部）をロードします。 address management_ip_address server tftp_ip_address gateway gateway_ip_address filepath/filename set sync tftp -b FXOS イメージがダウンロードされ、CLI にブートアップされます。次の情報を参照してください。 gateway：同じネットワーク上に存在する場合は、ゲートウェイアドレスをサーバの IP アドレスと同じに設定します。 set：ネットワーク設定を表示します。ping コマンドを使用してサーバへの接続を確認することもできます。 sync：ネットワーク設定を保存します。 tftp -b：FXOS をロードします。例： rommon 1> address 10.86.118.4 rommon 2> server 10.86.118.21 rommon 3> gateway 10.86.118.21 rommon 4> file cisco-asa-fp2k.9.8.2.SPA rommon 5> set ROMMON Variable Settings: ADDRESS=10.86.118.4 NETMASK=255.255.255.0 GATEWAY=10.86.118.21 SERVER=10.86.118.21 IMAGE=cisco-asa-fp2k.9.8.2.SPA CONFIG= PS1="rommon ! > " rommon 6> sync rommon #9> tftp -b Enable boot bundle: tftp_reqsize = 268435456 ADDRESS: 10.86.118.4 NETMASK: 255.255.255.0 GATEWAY: 10.86.118.21 SERVER: 10.86.118.21 IMAGE: cisco-asa-fp2k.9.8.2.SPA MACADDR: d4:2c:44:0c:26:00 VERBOSITY: Progress RETRY: 40 PKTTIMEOUT: 7200 BLKSIZE: 1460 CHECKSUM: Yes PORT: GbE/1 PHYMODE: Auto Detect link up Receiving cisco-asa-fp2k.9.8.2.SPA from 10.86.118.21!!!!!!!! […]
ステップ 7	デフォルトのユーザ名：admin とパスワード：Admin123 を使用して FXOS にログインします。デバイスが FXOS にブートアップしたら、ROMMON で設定した管理 IP アドレスが消去され、デフォルトの 192.168.45.45 に設定されます。サーバから ASA パッケージをダウンロードする前に、FXOS でネットワークの正しい IP アドレスとその他の関連設定を指定する必要があります。
ステップ 8	DHCP サーバを無効にします。 scope system scope services disable dhcp-server commit-buffer 管理 IP アドレスを変更するには、その前に DHCP サーバを無効にする必要があります。管理 IP アドレスを変更した後で、新しいクライアント IP アドレスを使用して DHCP を再び有効にすることができます。例： firepower-2110# scope system firepower-2110 /system # scope services firepower-2110 /system/services # disable dhcp-server firepower-2110 /system/services* # commit-buffer
ステップ 9	IPv4 管理 IP アドレス、および必要に応じてゲートウェイを設定します。 scopefabric-interconnecta setout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address 現在設定されているゲートウェイ（デフォルトで、ASA データインターフェイスを表す 0.0.0.0）を維持するには、gw キーワードを省略します。ダウンロードサーバがローカル管理 1/1 ネットワーク上に存在しない場合は、ゲートウェイ IP アドレスを変更します。ASA データインターフェイスはまだ存在しないため、デフォルト設定ではリモートサーバに到達できません。例： firepower-2110# scope fabric-interconnect a firepower-2110 /fabric-interconnect # firepower-2100 /fabric-interconnect # set out-of-band static ip 10.86.118.4 netmask 255.255.255.0 Warning: When committed, this change may disconnect the current CLI session firepower-2100 /fabric-interconnect* #
ステップ 10	HTTPS、SSH、および SNMP のアクセスリストを設定して、新しいネットワークからの管理接続を可能にします。 scope system scope services IPv4 の場合： enterip-block ip_address prefix [http \| snmp \| ssh] IPv6 の場合： enteripv6-block ipv6_address prefix [https \| snmp \| ssh] IPv4 の場合、すべてのネットワークを許可するには 0.0.0.0 とプレフィックス 0 を入力します。IPv6 の場合、すべてのネットワークを許可するには :: とプレフィックス 0 を入力します。例： firepower-2110# scope system firepower-2110 /system # scope services firepower-2110 /system/services # enter ip-block 10.86.118.0 24 https firepower-2110 /system/services/ip-block* # exit firepower-2110 /system/services* # enter ip-block 10.86.118.0 24 ssh firepower-2110 /system/services/ip-block* # exit firepower-2110 /system/services* #
ステップ 11	（任意） IPv4 DHCP サーバを再び有効にします。 scope system scope services enable dhcp-server start_ip_address end_ip_address 例： firepower-2110# scope system firepower-2110 /system # scope services firepower-2110 /system/services # enable dhcp-server 10.86.118.10 10.86.118.20
ステップ 12	設定を保存します。 commit-buffer 例： firepower-2110 /system/services* # commit-buffer
ステップ 13	ASA パッケージをダウンロードして起動します。パッケージをダウンロードします。 scope firmware download image URL show download-task パッケージは、以前使用したものと同じ TFTP サーバまたは管理 1/1 上で到達可能な別のサーバからダウンロードできます。例： firepower-2110# scope firmware firepower-2110 /firmware # download image tftp://10.86.118.21/cisco-asa-fp2k.9.8.2.SPA Please use the command 'show download-task' or 'show download-task detail' to check download progress. firepower-2110 /firmware # show download-task Download task: File Name Protocol Server Port Userid State --------- -------- --------------- ---------- --------------- ----- cisco-asa-fp2k.9.8.2.SPA Tftp 10.88.29.21 0 Downloaded パッケージのダウンロードが完了（[ダウンロード済み（Downloaded）] の状態）したら、パッケージを起動します。 show package scope auto-install install security-pack version version show package の出力で、security-pack version 番号の Package-Vers 値をコピーします。シャーシが ASA イメージをインストールして再起動します。例： firepower 2110 /firmware # show package Name Package-Vers --------------------------------------------- ------------ cisco-asa-fp2k.9.8.2.SPA 9.8.2 firepower 2110 /firmware # scope auto-install firepower 2110 /firmware/auto-install # install security-pack version 9.8.2 The system is currently installed with security software package not set, which has: - The platform version: not set If you proceed with the upgrade 9.8.2, it will do the following: - upgrade to the new platform version 2.2.2.52 - install with CSP asa version 9.8.2 During the upgrade, the system will be reboot Do you want to proceed ? (yes/no):yes This operation upgrades firmware and software on Security Platform Components Here is the checklist of things that are recommended before starting Auto-Install (1) Review current critical/major faults (2) Initiate a configuration backup Attention: If you proceed the system will be re-imaged. All existing configuration will be lost, and the default configuration applied. Do you want to proceed? (yes/no):yes Triggered the install of software package version 9.8.2 Install started. This will take several minutes. For monitoring the upgrade progress, please enter 'show' or 'show detail' command.
ステップ 14	シャーシの再起動（5 ～ 10 分）を待機してから、デフォルトのユーザ名 admin とパスワード Admin123 を使用して FXOS にログインします。 FXOS が起動しても、ASA が稼働するまで（5 分）待機する必要があります。次のメッセージが表示されるまで待機します。 firepower-2110# Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2__asa_001_JAD20280BW90MEZR11, FLAG='' Verifying signature for cisco-asa.9.8.2 ... Verifying signature for cisco-asa.9.8.2 ... success Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2__asa_001_JAD20280BW90MEZR11, FLAG='' Cisco ASA starting ... Registering to process manager ... Cisco ASA started successfully. […] ASA の残りの起動メッセージが表示されたら、FXOS プロンプトに戻ることができます。
ステップ 15	この手順で FXOS 管理 1/1 アドレスを変更した場合は、ASA アドレスを正しいネットワーク上のアドレスに変更する必要があります。デフォルトの ASA 管理 1/1 インターフェイス IP アドレスは 192.168.45.1 です。コンソールから、ASA CLI に接続して、グローバルコンフィギュレーションモードにアクセスします。 connect asa enable configure terminal デフォルトで、イネーブルパスワードは空白です。例： firepower-2110# connect asa Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach. Type help or '?' for a list of available commands. ciscoasa> enable Password: <blank> ciscoasa# configure terminal ciscoasa(config)# 管理 1/1 IP アドレスを変更します。 interface management1/1 ip address ip_address mask 例： ciscoasa(config)# interface management1/1 ciscoasa(config-ifc)# ip address 10.86.118.4 255.255.255.0 ASDM にアクセス可能なネットワークに変更します。 no http 192.168.45.0 255.255.255.0 management http ip_address maskmanagement 例： ciscoasa(config)# no http 192.168.45.0 255.255.255.0 management ciscoasa(config)# http 10.86.118.0 255.255.255.0 management 設定を保存します。 write memory FXOS コンソールに戻るには、Ctrl+a、d と入力します。
ステップ 16	システムを設定するには、『ASA for Firepower 2100 Series Getting Started Guide』を参照してください。

Cisco ASA または Firepower Threat Defense デバイスの再イメージ化

ダウンロード オプション

Reimage the Cisco ASA or Firepower Threat Defense Device

必要なコンソール ポート アクセス

ASA 5500-X シリーズの再イメージ化

サポートされている ASA 5500-X モデル

ソフトウェアのダウンロード

ROMMON イメージのアップグレード（ASA 5506-X、5508-X、および 5516-X）

ASA から Firepower Threat Defense への再イメージ化

Firepower Threat Defense から ASA への再イメージ化

Firepower 2100 シリーズの再イメージ化

ソフトウェアのダウンロード

ASA から Firepower Threat Defense への再イメージ化

Firepower Threat Defense から ASA への再イメージ化

次のステップ

Firepower Threat Defense

ASA

シスコ エンジニア提供

このドキュメントは役に立ちましたか?

お問い合わせ先

関連するサポート コミュニティのディスカッション

このドキュメントは次の製品に対応しています

シェアする

ダウンロードオプション

必要なコンソールポートアクセス

シスコエンジニア提供

関連するサポートコミュニティのディスカッション