Cisco ASA および Firepower Threat Defense 再イメージ化ガイド
このガイドでは、ASA と Firepower Threat Defense(FTD)間の再イメージ化の方法、および新しいイメージを使用した FTD の再イメージ化の方法について説明します。この方法はアップグレードとは異なり、FTD を工場出荷時のデフォルト状態に設定します。ASA の再イメージ化については、ASA の一般的な操作の設定ガイドを参照してください。このガイドでは、ASA の再イメージ化に複数の方法を使用できます。
サポート対象のモデル
ASA ソフトウェアまたは FTD ソフトウェアのいずれかをサポートするモデルは、次のとおりです。ASA および FTD バージョンのサポートについては、『ASA compatibility guide』または『Firepower compatibility guide』を参照してください。
-
Firepower 1000
-
Firepower 2100
-
ASA 5506-X、5506W-X、および 5506H-X(FTD 6.2.3 以前)
-
ASA 5508-X
-
ASA 5512-X (FTD 6.2.3 以前、ASA 9.12 以前)
-
ASA 5515-X(FTD 6.4 以前、ASA 9.12 以前)
-
ASA 5516-X
-
ASA 5525-X
-
ASA 5545-X
-
ASA 5555-X
-
ISA 3000
![]() (注) |
Firepower 4100 および 9300 でも、ASA または FTD のいずれかをサポートしますが、これらは論理デバイスとしてインストールされています。詳細については、FXOS の構成ガイドを参照してください。 |
![]() (注) |
ASA 5512-X ~ 5555-X 上の FTD の場合は、シスコのソリッド ステート ドライブ(SSD)を実装する必要があります。詳細については、ASA 5500-X のハードウェア ガイドを参照してください。ASA の場合は、ASA FirePOWER モジュールを使用するためにも SSD が必要です(ASA 5506-X、5508-X、および 5516-X には SSD が標準です)。 |
Firepower 1000 または 2100 シリーズの再イメージ化
Firepower 1000 と 2100 シリーズは FTD または ASA ソフトウェアのいずれかをサポートします。
ソフトウェアのダウンロード
FTD ソフトウェアまたは ASA ソフトウェアを入手します。このドキュメントの手順を実行するには、初期ダウンロード用の TFTP サーバにソフトウェアを配置する必要があります。他のイメージは、他のタイプ(HTTP、FTP など)のサーバからダウンロードできます。正確なソフトウェア パッケージとサーバ タイプについては、手順を参照してください。
![]() (注) |
Cisco.com のログインおよびシスコ サービス契約が必要です。 |
FTD モデル |
ダウンロードの場所 |
パッケージ |
---|---|---|
Firepower 1000 シリーズ |
||
FTD package 使用しているモデル > [Firepower Threat Defense Software] > バージョンの順に選択します。 |
パッケージには、次のようなファイル名が付けられています:cisco-ftd-fp1k.6.4.0.SPA。 |
|
Firepower 2100 シリーズ |
||
FTD package 使用しているモデル > [Firepower Threat Defense Software] > バージョンの順に選択します。 |
パッケージには、次のようなファイル名が付けられています:cisco-ftd-fp2k.6.2.2.SPA。 |
ASA モデル |
ダウンロードの場所 |
パッケージ |
---|---|---|
Firepower 1000 シリーズ |
||
ASA パッケージ 使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。 |
パッケージには、次のようなファイル名が付けられています:cisco-asa-fp1k.9.13.1.SPA。このパッケージには ASA と ASDM が含まれています。 |
|
ASDM ソフトウェア(アップグレード) 現在の ASDM または ASA CLI を使って ASDM の以降のバージョンにアップグレードするには、使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。 |
ASDM ソフトウェアのファイルには asdm-7131.bin のような名前が付いています。 |
|
Firepower 2100 シリーズ |
||
ASA パッケージ 使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。 |
パッケージには、次のようなファイル名が付けられています:cisco-asa-fp2k.9.8.2.SPA。このパッケージには、ASA、ASDM、FXOS、および Firepower Chassis Manager が含まれています。 |
|
ASDM ソフトウェア(アップグレード) 現在の ASDM または ASA CLI を使って ASDM の以降のバージョンにアップグレードするには、使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。 |
ASDM ソフトウェアのファイルには asdm-782.bin のような名前が付いています。 |
ASA→FTD:Firepower 1000 または 2100 アプライアンス モード
このタスクでは、ASA ソフトウェアから FTD イメージを起動することによって、ASA から FTD に Firepower 1000 または Firepower 2100 にアプライアンス モードで再イメージ化できます。
始める前に
-
アップロードするイメージが FTP、SCP、SFTP、または TFTP サーバか USB ドライブで使用可能であることを確認します。
-
この手順では、ASA CLI を使用する必要があります。
-
(Firepower 2100)9.12 以前では、プラットフォームモードのみを使用できます。9.13 以降では、アプライアンスモードがデフォルトです。プラットフォームモードのデバイスを 9.13 以降にアップグレードすると、ASA はプラットフォームモードのままになります。モードを確認するには 、ASA CLI で show fxos mode コマンドを使用します。Firepower 1000 はアプライアンスモードのみをサポートしています。
プラットフォームモードの ASA がある場合は、FXOS を使用してイメージを再作成する必要があります。「ASA→FTD:Firepower 2100プラットフォーム モード」を参照してください。
手順
ステップ 1 |
ASA CLI に接続します。 |
ステップ 2 |
ASA CLI/ASDM またはスマート ソフトウェア ライセンシング サーバから、スマート ソフトウェア ライセンシング サーバの ASA の登録を解除します。 |
ステップ 3 |
FTD イメージをフラッシュ メモリにダウンロードします。この手順では FTP コピーを示します。 copy ftp://[[user[:password]@]server[/path]/ftd_image_name diskn:/[path/]ftd_image_name 例:
|
ステップ 4 |
FTD イメージ(直前にアップロードしたもの)を起動します。 |
ステップ 5 |
シャーシが再起動するまで待ちます。 FXOS が最初に起動しますが、 FTD が起動するまで待つ必要があります。 アプリケーションが起動し、アプリケーションに接続すると、EULA に同意し、CLI で初期設定を実行するように求められます。Firepower Device Manager または Firepower Management Center のどちらかを使用してデバイスを管理できます。セットアップに進むには、http://www.cisco.com/go/ftd-asa-quick でご使用のモデルとマネージャのクイック スタート ガイドを参照してください。 例:
|
ASA→FTD:Firepower 2100プラットフォーム モード
このタスクでは、プラットフォーム モードの Firepower 2100 を FTD に再イメージ化することができます。
![]() (注) |
この手順を実行すると、FXOS 管理者パスワードは Admin123 にリセットされます。 |
始める前に
-
アップロードするイメージが Management 1/1 インターフェイス に接続されている FTP、SCP、SFTP、または TFTP サーバか USB ドライブで使用できることを確認します。
-
この手順では、FXOS CLI を使用する必要があります。
-
9.12 以前では、プラットフォームモードのみを使用できます。9.13 以降では、アプライアンスモードがデフォルトです。プラットフォームモードのデバイスを 9.13 以降にアップグレードすると、ASA はプラットフォームモードのままになります。ASA CLI で show fxos mode コマンドを使用して、9.13 以降のモードを確認します。
アプライアンス モードの ASA がある場合、これらの FXOS コマンドにアクセスすることはできません。FTD への再イメージ化は ASA OS で行われます。ASA→FTD:Firepower 1000 または 2100 アプライアンス モードを参照してください。
手順
ステップ 1 |
ASA CLI/ASDM またはスマート ソフトウェア ライセンシング サーバから、スマート ソフトウェア ライセンシング サーバの ASA の登録を解除します。 |
ステップ 2 |
コンソール ポート(推奨)または SSH のいずれかを使用して、FXOS CLI を Management 1/1 インターフェイスに接続します。コンソール ポートで接続する場合は、FXOS CLI にすぐにアクセスします。FXOS ログイン クレデンシャルを入力します。デフォルトのユーザ名は admin で、デフォルトのパスワードは Admin123 です。 SSH を使用して ASA 管理 IP アドレスに接続する場合は、FXOS にアクセスするために connect fxos と入力します。また、FXOS 管理 IP アドレスに直接 SSH 接続することもできます。 |
ステップ 3 |
シャーシにパッケージをダウンロードします。 |
ステップ 4 |
新しいパッケージのダウンロードが終了([ダウンロード済み(Downloaded)] の状態)したら、パッケージを起動します。 |
ステップ 5 |
シャーシが再起動するまで待ちます。 FXOS が最初に起動しますが、 FTD が起動するまで待つ必要があります。 アプリケーションが起動し、アプリケーションに接続すると、EULA に同意し、CLI で初期設定を実行するように求められます。Firepower Device Manager または Firepower Management Center のどちらかを使用してデバイスを管理できます。セットアップに進むには、http://www.cisco.com/go/ftd-asa-quick でご使用のモデルとマネージャのクイック スタート ガイドを参照してください。 例:
|
FTD→ASA:Firepower 1000 または 2100
このタスクでは、Firepower 1000 または2100 を FTD から ASA に再イメージ化することができます。 デフォルトでは、ASA はアプライアンス モードになっています。再イメージ化した後は、ASA をプラットフォーム モードに変更できます。
![]() (注) |
この手順を実行すると、FXOS 管理者パスワードは Admin123 にリセットされます。 |
始める前に
アップロードするイメージが Management 1/1 インターフェイス に接続されている FTP、SCP、SFTP、または TFTP サーバか USB ドライブで使用できることを確認します。
手順
ステップ 1 |
FTD のライセンスを解除します。
|
ステップ 2 |
コンソール ポート(推奨)または SSH のいずれかを使用して、FXOS CLI を Management 1/1 インターフェイスに接続します。コンソール ポートで接続する場合は、FXOS CLI にすぐにアクセスします。FXOS ログイン クレデンシャルを入力します。デフォルトのユーザ名は admin で、デフォルトのパスワードは Admin123 です。 SSH を使用して FTD 管理 IP アドレスに接続する場合は、FXOS にアクセスするために connect fxos と入力します。 |
ステップ 3 |
シャーシにパッケージをダウンロードします。 |
ステップ 4 |
新しいパッケージのダウンロードが終了([ダウンロード済み(Downloaded)] の状態)したら、パッケージを起動します。 |
ステップ 5 |
シャーシが再起動するまで待ちます。 ASA 9.13 以降(デフォルトではアプライアンス モード) ASA が起動したら、CLI でユーザ EXEC モードにアクセスします。 例:
ASA 9.12 以前(デフォルトではプラットフォーム モード) FXOS が最初に起動しますが、 ASA が起動するまで待つ必要があります。 アプリケーションが起動し、アプリケーションに接続したら、CLI でユーザ EXEC モードにアクセスします。 例:
|
FTD→FTD:Firepower 1000 または 2100
Firepower 1000 および 2100 は、デバイスを工場出荷時のデフォルトの状態に復元するための設定のみの消去からイメージの置換に至るまで複数レベルの再イメージ化を提供します。これらの手順のすべてについては、トラブルシューティング ガイドを参照してください。
ASA 5500-x または ISA 3000 の再イメージ化
ASA 5500 X シリーズまたは ISA 3000 シリーズのモデルの多くは、Firepower Threat Defense ソフトウェアと ASA ソフトウェアのどちらかをサポートします。
必要なコンソール ポート アクセス
再イメージ化を実行するには、コンピュータをコンソール ポートに接続する必要があります。
ASA 5512-X、5515-X、5525-X、5545-X、および 5555-X では、サードパーティ製のシリアル USB 変換ケーブルを使用して接続する必要がある場合があります。他のモデルには、ミニ USB タイプ B コンソール ポートが搭載されているため、ミニ USB ケーブルを使用できます。Windows では、software.cisco.com から USB シリアル ドライバのインストールが必要な場合があります。コンソール ポート オプションおよびドライバ要件の詳細については、http://www.cisco.com/go/asa5500x-install でハードウェア ガイドを参照してください。
9600 ボー、8 データ ビット、パリティなし、1 ストップ ビット、フロー制御なしに設定されたターミナル エミュレータを使用します。
ソフトウェアのダウンロード
Firepower Threat Defense ソフトウェアまたは ASA、ASDM、および ASA FirePOWER モジュール ソフトウェアを入手します。このドキュメントの手順を実行するには、初期ダウンロード用の TFTP サーバにソフトウェアを配置する必要があります。他のイメージは、他のタイプ(HTTP、FTP など)のサーバからダウンロードできます。正確なソフトウェア パッケージとサーバ タイプについては、手順を参照してください。
![]() (注) |
Cisco.com のログインおよびシスコ サービス契約が必要です。 |
![]() 注目 |
Firepower Threat Defense のブート イメージとシステム パッケージは、バージョン固有であり、モデル固有のものです。プラットフォームに適切なブート イメージとシステム パッケージがあることを確認します。ブート イメージとシステム パッケージの間に不一致があると、ブート障害が発生する可能性があります。一致しない場合は、新しいシステム パッケージで古いブートイ メージが使用されます。 |
Firepower Threat Defense モデル |
ダウンロードの場所 |
パッケージ |
||
---|---|---|---|---|
ASA 5506-X、ASA 5508-X、および ASA 5516-X |
http://www.cisco.com/go/asa-firepower-sw を参照してください。 |
|
||
ブート イメージ 使用しているモデル > [Firepower Threat Defense Software] > バージョンの順に選択します。 |
ブート イメージのファイルには ftd-boot-9.6.2.0.lfbff のような名前が付いています。 |
|||
システム ソフトウェア インストール パッケージ 使用しているモデル > [Firepower Threat Defense Software] > バージョンの順に選択します。 |
システム ソフトウェア インストール パッケージのファイルには ftd-6.1.0-330.pkg のような名前が付いています。 |
|||
ASA 5512-X ~ ASA 5555-X |
http://www.cisco.com/go/asa-firepower-sw を参照してください。 |
|
||
ブート イメージ 使用しているモデル > [Firepower Threat Defense Software] > バージョンの順に選択します。 |
ブート イメージのファイルには ftd-boot-9.6.2.0.cdisk のような名前が付いています。 |
|||
システム ソフトウェア インストール パッケージ 使用しているモデル > [Firepower Threat Defense Software] > バージョンの順に選択します。 |
システム ソフトウェア インストール パッケージのファイルには ftd-6.1.0-330.pkg のような名前が付いています。 |
|||
ISA 3000 |
を参照してください。 http://www.cisco.com/go/isa3000-software |
|
||
ブート イメージ 使用しているモデル > [Firepower Threat Defense Software] > バージョンの順に選択します。 |
ブート イメージのファイルには ftd-boot-9.9.2.0.lfbff のような名前が付いています。 |
|||
システム ソフトウェア インストール パッケージ 使用しているモデル > [Firepower Threat Defense Software] > バージョンの順に選択します。 |
システム ソフトウェア インストール パッケージのファイルには ftd-6.2.3-330.pkg のような名前が付いています。 |
ASA モデル |
ダウンロードの場所 |
パッケージ |
---|---|---|
ASA 5506-X、ASA 5508-X、および ASA 5516-X |
||
ASA ソフトウェア 使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。 |
ASA ソフトウェアのファイルには asa962-lfbff-k8.SPA のような名前が付いています。 |
|
ASDM ソフトウェア 使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。 |
ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。 |
|
REST API ソフトウェア 使用しているモデル > [Adaptive Security Appliance REST API Plugin] > バージョンの順に選択します。 |
API ソフトウェアのファイルには asa-restapi-132-lfbff-k8.SPA のような名前が付いています。REST API をインストールするには、『API クイック スタート ガイド』http://www.cisco.com/c/en/us/td/docs/security/asa/api/qsg-asa-api.htmlを参照してください |
|
ROMmon ソフトウェア ご使用のモデル > [ASA Rommon Software] > バージョンの順に選択します。 |
ROMMON ソフトウェアのファイルには asa5500-firmware-1108.SPA のような名前が付いています。 |
|
ASA 5512-X ~ ASA 5555-X |
||
ASA ソフトウェア 使用しているモデル > [Software on Chassis] > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。 |
ASA ソフトウェアのファイルには asa962-smp-k8.bin のような名前が付いています。 |
|
ASDM ソフトウェア 使用しているモデル > [Software on Chassis] > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。 |
ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。 |
|
REST API ソフトウェア 使用しているモデル > [Software on Chassis] > [Adaptive Security Appliance REST API Plugin] > バージョンの順に選択します。 |
API ソフトウェアのファイルには asa-restapi-132-lfbff-k8.SPA のような名前が付いています。REST API をインストールするには、『API クイック スタート ガイド』http://www.cisco.com/c/en/us/td/docs/security/asa/api/qsg-asa-api.htmlを参照してください |
|
Cisco Application Policy Infrastructure Controller(APIC)の ASA デバイス パッケージ 使用しているモデル > [Software on Chassis] > [ASA for Application Centric Infrastructure (ACI) Device Packages] > バージョンの順に選択します。 |
APIC 1.2(7) 以降では、ファブリック挿入によるポリシー オーケストレーションまたはファブリック挿入のみのパッケージを選択します。デバイス ソフトウェアのファイルには asa-device-pkg-1.2.7.10.zip のような名前が付いています。ASA デバイス パッケージをインストールするには、『Cisco APIC Layer 4 to Layer 7 Services Deployment Guide』http://www.cisco.com/c/en/us/support/cloud-systems-management/application-policy-infrastructure-controller-apic/tsd-products-support-series-home.htmlの「Importing a Device Package」の章を参照してください。 |
|
ISA 3000 |
||
ASA ソフトウェア 使用しているモデル > [Adaptive Security Appliance (ASA) Software] > バージョンの順に選択します。 |
ASA ソフトウェアのファイルには asa962-lfbff-k8.SPA のような名前が付いています。 |
|
ASDM ソフトウェア 使用しているモデル > [Adaptive Security Appliance (ASA) Device Manager] > バージョンの順に選択します。 |
ASDM ソフトウェアのファイルには asdm-762.bin のような名前が付いています。 |
|
REST API ソフトウェア 使用しているモデル > [Adaptive Security Appliance REST API Plugin] > バージョンの順に選択します。 |
API ソフトウェアのファイルには asa-restapi-132-lfbff-k8.SPA のような名前が付いています。REST API をインストールするには、『API クイックスタート ガイド』http://www.cisco.com/c/en/us/td/docs/security/asa/api/qsg-asa-api.htmlを参照してください。 |
ROMMON イメージのアップグレード(ASA 5506-X、5508-X、5516-X、および ISA 3000)
ASA 5506-X シリーズ、ASA 5508-X、ASA 5516-X、および ISA 3000 の ROMMON イメージをアップグレードするには、次の手順に従います。ASA モデルの場合、システムの ROMMON バージョンは 1.1.8 以上である必要があります。最新バージョンへのアップグレードを推奨します。
新バージョンへのアップグレードのみ可能です。ダウングレードはできません。
![]() 注意 |
ASA 5506-X、5508-X、5516-X の ROMMON 1.1.15 へのアップグレード、および ISA 3000 の ROMMON 1.0.5 へのアップグレードには、以前の ROMMON バージョンの 2 倍の時間がかかります(約 15 分)。アップグレード中はデバイスの電源を再投入しないでください。アップグレードが 30 分以内に完了しないか、または失敗した場合は、シスコ テクニカル サポートに連絡してください。デバイスの電源を再投入したり、リセットしたりしないでください。 |
始める前に
Cisco.com から新しい ROMMON イメージを取得して、サーバ上に置いて ASA にコピーします。ASA は、FTP サーバ、TFTP サーバ、SCP サーバ、HTTP(S)サーバ、および SMB サーバをサポートしています。次の URL からイメージをダウンロードします。
-
ASA 5506-X、5508-X、5516-X: https://software.cisco.com/download/home/286283326/type
-
ISA 3000: https://software.cisco.com/download/home/286288493/type
手順
ステップ 1 |
FTD ソフトウェアの場合は、診断 CLI を入力してから、有効モードを開始します。 system support diagnostic-cli enable パスワードの入力を求められたら、パスワードを入力せずに Enter キーを押します。 例:
|
ステップ 2 |
ROMMON イメージを ASA フラッシュ メモリにコピーします。この手順では、FTP コピーを表示します。他のサーバタイプのシンタックスの場合は copy ? と入力します。 copy ftp://[username:password@]server_ip/asa5500-firmware-xxxx.SPA disk0:asa5500-firmware-xxxx.SPA FTD ソフトウェアの場合は、データインターフェイスが設定されていることを確認します。診断 CLI は、専用の管理インターフェイスにアクセスできません。また、CSCvn57678 により、copy コマンドは FTD バージョンの通常の FTD CLI では機能しない場合があるため、その方法で専用の管理インターフェイスにはアクセスできません。 |
ステップ 3 |
現在のバージョンを確認するには、show module コマンドを入力して、MAC アドレス範囲テーブルの Mod 1 の出力で Fw バージョンを調べます。
|
ステップ 4 |
ROMMON イメージをアップグレードします。 upgrade rommon disk0:asa5500-firmware-xxxx.SPA 例:
|
ステップ 5 |
プロンプトが表示されたら、確認して ASA をリロードします。 ASA が ROMMON イメージをアップグレードして、その後オペレーティングシステムをリロードします。 |
ASA→FTD:ASA 5500-X または ISA 3000
ASA を FTD ソフトウェアに再イメージ化するには、ROMMON プロンプトにアクセスする必要があります。ROMMON では、管理インターフェイスで TFTP を使用して FTD ブート イメージをダウンロードする必要があります。サポートされているのは TFTP のみです。その後、ブート イメージは、HTTP または FTP を使用して、FTD システム ソフトウェアのインストール パッケージをダウンロードできます。TFTP のダウンロードには時間がかかることがあります。パケットの損失を防ぐために、ASA と TFTP サーバの間の接続が安定していることを確認してください。
始める前に
再イメージ化して ASA に戻すプロセスを容易にするために、次の手順を実行します。
-
backup コマンドを使用して完全なシステム バックアップを実行します。
詳細および他のバックアップ方法については、構成ガイドを参照してください。
-
現在のアクティベーション キーをコピーして保存します。これにより、show activation-key コマンドを使用してライセンスを再インストールできるようになります。
-
ISA 3000 の場合は、 Firepower Management Center を使用しているときにハードウェア バイパスを無効にします。この機能は、バージョン 6.3 以降の Firepower Device Manager でのみ使用できます。
手順
ステップ 1 |
管理インターフェイスの ASA からアクセス可能な TFTP サーバに FTD ブート イメージ(ソフトウェアのダウンロードを参照)をダウンロードします。 ASA 5506-X、5508-X、5516-X、ISA 3000:管理 1/1 ポートを使用してイメージをダウンロードする必要があります。他のモデルでは、任意のインターフェイスを使用できます。 |
||
ステップ 2 |
管理インターフェイスの ASA からアクセス可能な HTTP または FTP サーバに FTD システム ソフトウェアのインストール パッケージをダウンロードします(ソフトウェアのダウンロードを参照)。 |
||
ステップ 3 |
コンソール ポートから、ASA をリロードします。 reload 例:
|
||
ステップ 4 |
ブートアップ中に ROMMON プロンプトを表示するよう要求されたら、Esc を押します。 モニタを注視します。 例:
この時点で、Esc を押します。 次のメッセージが表示された場合は、時間がかかりすぎです。起動の終了後、再度 ASA をリロードする必要があります。
|
||
ステップ 5 |
次の ROMMON コマンドを使用してネットワーク設定を指定し、ブート イメージをロードします。 interface interface_id address management_ip_address netmask subnet_mask server tftp_ip_address gateway gateway_ip_address filepath/filename set sync tftpdnld FTD ブート イメージがダウンロードされ、ブート CLI にブートアップされます。 次の情報を参照してください。
例:ASA 5555-X の例:
ASA 5506-X の例:
サーバへの接続をトラブルシューティングするには、Ping を実行します。
|
||
ステップ 6 |
setup と入力して、管理インターフェイスのネットワーク設定を行い、システム ソフトウェア パッケージをダウンロードしてインストールできるように HTTP または FTP サーバへの一時的な接続を確立します。
例:
|
||
ステップ 7 |
FTD システム ソフトウェアのインストール パッケージをダウンロードします。この手順では、HTTP のインストールを示します。 system install [noconfirm] url 確認メッセージに応答しない場合は、noconfirm オプションを指定します。 例:
内部フラッシュ ドライブを消去するように求められます。y と入力します。
インストール プロセスによってフラッシュ ドライブが消去され、システム イメージがダウンロードされます。インストールを続行するように求められます。y と入力します。
インストールが完了したら、 Enter キーを押してデバイスをリブートします。
リブートには約 30 分かかりますが、より長時間かかる可能性があります。再起動時に、Firepower Threat Defense CLI が表示されます。 |
||
ステップ 8 |
ネットワーク接続をトラブルシューティングするには、次の例を参照してください。 例:ネットワーク インターフェイスの設定の表示
サーバに対して ping を実行します。
traceroute を使用して、ネットワーク接続をテストします。
|
||
ステップ 9 |
インストールの失敗をトラブルシューティングするには、次の例を参照してください。 例:「Timed out」エラー ダウンロード段階で、ファイル サーバに到達できない場合は、タイムアウトが原因で失敗します。
この場合は、ASA からファイル サーバに到達可能であることを確認します。ファイル サーバに ping を実行することで確認できます。 「Package not found」エラー ファイル サーバに到達可能であっても、ファイル パスまたは名前が間違っている場合は、「Package not found」というエラーでインストールが失敗します。
この場合は、FTD パッケージのファイル パスと名前が正しいことを確認します。 インストールが不明なエラーで失敗した システム ソフトウェアのダウンロード後にインストールが行われると、原因は通常、「Installation failed with unknown error」と表示されます。このエラーが発生した場合は、インストール ログを表示して失敗をトラブルシューティングできます。
また、ブート CLI 関連の問題に対して同じコマンドを使用して、/var/log/cisco の下にある upgrade.log、pyos.log、commandd.log を表示することもできます。 |
||
ステップ 10 |
Firepower Device Manager または Firepower Management Center のどちらかを使用してデバイスを管理できます。セットアップに進むには、http://www.cisco.com/go/ftd-asa-quick でご使用のモデルとマネージャのクイック スタート ガイドを参照してください。 |
FTD→ASA:ASA 5500-X または ISA 3000
FTD を ASA ソフトウェアに再イメージ化するには、ROMMON プロンプトにアクセスする必要があります。ROMMON では、ディスクを消去し、管理インターフェイスで TFTP を使用して ASA イメージをダウンロードする必要があります。サポートされるのは、TFTP のみです。ASA をリロードしたら、基本設定を指定し、FirePOWER モジュール ソフトウェアをロードできます。
始める前に
-
パケットの損失を防ぐために、ASA と TFTP サーバの間の接続が安定していることを確認してください。
手順
ステップ 1 |
Firepower Management Center から FTD を管理している場合は、デバイスを FMC から削除します。 |
ステップ 2 |
Firepower Device Manager を使用して FTD を管理している場合は、必ず、FDM またはスマート ソフトウェア ライセンシング サーバから、スマート ソフトウェア ライセンシング サーバのデバイスの登録を解除してください。 |
ステップ 3 |
管理インターフェイスの FTD でアクセス可能な TFTP サーバに ASA イメージ(ソフトウェアのダウンロードを参照)をダウンロードします。 ASA 5506-X、5508-X、5516-X、ISA 3000:管理 1/1 ポートを使用してイメージをダウンロードする必要があります。他のモデルでは、任意のインターフェイスを使用できます。 |
ステップ 4 |
コンソール ポートで、Firepower Threat Defense デバイスを再起動します。 reboot yes と入力して再起動します。 例:
|
ステップ 5 |
ブートアップ中に ROMMON プロンプトを表示するよう要求されたら、Esc を押します。 モニタを注視します。 例:
この時点で、Esc を押します。 次のメッセージが表示された場合は時間がかかりすぎるため、ブート終了後に再度 FTD をリロードする必要があります。
|
ステップ 6 |
FTD のすべてのディスクを消去します。内部フラッシュは disk0 と呼ばれます。外部 USB ドライブがある場合、そのドライブは disk1 です。 例:
この手順では、ASA が誤った設定ファイルのロードを試みることで多数のエラーが発生しないように、FTD ファイルを消去します。 |
ステップ 7 |
次の ROMMON コマンドを使用してネットワーク設定を指定し、ASA イメージをロードします。 interface interface_id address management_ip_address netmask subnet_mask server tftp_ip_address gateway gateway_ip_address filepath/filename set sync tftpdnld ASA イメージがダウンロードされ、CLI にブートアップされます。 次の情報を参照してください。
例:ASA 5555-X の例:
ASA 5506-X の例:
例:サーバへの接続をトラブルシューティングするには、Ping を実行します。
|
ステップ 8 |
ネットワークの設定を構成し、ディスクを準備します。 ASA の初期ブートアップ時は、ASA が設定されていません。インタラクティブ プロンプトに従って ASDM アクセス用に管理インターフェイスを設定するか、保存された設定を貼り付けるか、保存された設定がない場合は推奨設定(この後を参照)を貼り付けることができます。 保存された設定がない場合、ASA FirePOWER モジュールの使用を予定しているときは、推奨設定を貼り付けることをお勧めします。ASA FirePOWER モジュールは、管理インターフェイスで管理され、更新のためにインターネットにアクセスできる必要があります。シンプルな推奨ネットワーク配置には、Management(FirePOWER の管理専用)、内部インターフェイス(ASA の管理および内部トラフィック用)、および管理 PC を同じ内部ネットワークに接続するための内部スイッチが含まれます。ネットワーク配置の詳細については、次のクイック スタート ガイドを参照してください。 |
ステップ 9 |
ASA イメージと ASDM イメージをインストールします。 ROMMON モードから ASA を起動する場合、システム イメージはリロード間で保持されないため、やはりイメージをフラッシュ メモリにダウンロードする必要があります。また、ASDM をフラッシュ メモリにダウンロードする必要もあります。 |
ステップ 10 |
(任意) ASA FirePOWER モジュール ソフトウェアをインストールします。 ASA FirePOWER ブート イメージをインストールし、SSD を区分化して、この手順に従ってシステム ソフトウェアをインストールする必要があります。
|
ステップ 11 |
アクティベーション キーを保存しなかった既存の ASA の強力な暗号化ライセンスとその他のライセンスを取得します。http://www.cisco.com/go/license を参照してください。 セクションで、ライセンスを再ダウンロードできます。 ASDM(および他の多数の機能)を使用するには、高度暗号化(3DES/AES)ライセンスをインストールする必要があります。以前の手順で Firepower Threat Defense デバイスに再イメージ化する前に、この ASA からライセンス アクティベーション キーを保存した場合は、そのアクティベーション キーを再インストールできます。アクティベーション キーを保存していなくても、この ASA のライセンスを所有している場合は、ライセンスを再ダウンロードできます。新しい ASA の場合は、新しい ASA ライセンスを要求する必要があります。 |
ステップ 12 |
新しい ASA のライセンスを取得します。 |
ステップ 13 |
アクティベーション キーを適用します。 activation-key key 例:
この ASA にはまだアクティベーション キーがインストールされていないため、「Failed to retrieve permanent activation key.」というメッセージが表示されます。このメッセージは無視できます。 永続キーを 1 つだけと、複数の時間ベース キーをインストールできます。新しい永続キーを入力した場合、すでにインストール済みのキーが上書きされます。3DES/AES ライセンスをインストールした後に追加のライセンスを注文した場合は、組み合わせたアクティベーション キーにすべてのライセンスと 3DES/AES ライセンスが含まれるため、3DES/AES 専用キーを上書きできます。 |
ステップ 14 |
ASA FirePOWER モジュールは、ASA とは別のライセンス メカニズムを使用します。ライセンスはプリインストールされていませんが、注文に応じて、次のライセンスのライセンス アクティベーション キーを取得できる PAK が記載されたプリントアウトがボックスに同梱されている場合があります。
ASA FirePOWER サービスを含む ASA 5500-X を購入していない場合は、アップグレード バンドルを購入して必要なライセンスを取得することができます。詳細については、『Cisco ASA with FirePOWER Services Ordering Guide』を参照してください。 購入できるその他のライセンスには、次のものがあります。
これらのライセンスは、ASA FirePOWER モジュールの PAK/ライセンス アクティベーション キーを生成します。発注情報については、『Cisco ASA with FirePOWER Services Ordering Guide』を参照してください。『Cisco Firepower System Feature Licenses』も参照してください。 Control と Protection のライセンス、およびその他のオプションのライセンスをインストールする方法については、使用しているモデル用の ASA クイックスタート ガイドを参照してください。 |
FTD→FTD:ASA 5500-X または ISA 3000
この手順では、ROMMON を使用して既存の FTD を新しいバージョンの FTD ソフトウェアに再イメージ化する方法について説明します。この手順では、デバイスを工場出荷時のデフォルト状態に復元します。通常のアップグレードを実行する場合は、代わりにアップグレード ガイドを参照してください。
ROMMON では、管理インターフェイスで TFTP を使用して新しい FTD ブート イメージをダウンロードする必要があります。サポートされているのは TFTP のみです。その後、ブート イメージは、HTTP または FTP を使用して、FTD システム ソフトウェアのインストール パッケージをダウンロードできます。TFTP のダウンロードには時間がかかる場合があります。パケットの損失を防ぐために、FTD と TFTP サーバの間の接続が安定していることを確認してください。
手順
ステップ 1 |
Firepower Management Center から FTD を管理している場合は、デバイスを FMC から削除します。 |
||
ステップ 2 |
Firepower Device Manager を使用して FTD を管理している場合は、必ず、FDM またはスマート ソフトウェア ライセンシング サーバから、スマート ソフトウェア ライセンシング サーバのデバイスの登録を解除してください。 |
||
ステップ 3 |
管理インターフェイスの FTD からアクセス可能な TFTP サーバに FTD ブート イメージ(ソフトウェアのダウンロードを参照)をダウンロードします。 ASA 5506-X、5508-X、5516-X、ISA 3000:管理 1/1 ポートを使用してイメージをダウンロードする必要があります。他のモデルでは、任意のインターフェイスを使用できます。 |
||
ステップ 4 |
管理インターフェイスの FTD からアクセス可能な HTTP または FTP サーバに FTD システム ソフトウェアのインストール パッケージをダウンロードします(ソフトウェアのダウンロードを参照)。 |
||
ステップ 5 |
コンソール ポートで、Firepower Threat Defense デバイスを再起動します。 reboot 例:yes と入力して再起動します。 例:
|
||
ステップ 6 |
ブートアップ中に ROMMON プロンプトを表示するよう要求されたら、Esc を押します。 モニタを注視します。 例:
この時点で、Esc を押します。 次のメッセージが表示された場合は、時間がかかりすぎています。起動の終了後、再度 FTD をリロードする必要があります。
|
||
ステップ 7 |
FTD 上のすべてのディスクを消去します。内部フラッシュは disk0 と呼ばれます。外部 USB ドライブがある場合、そのドライブは disk1 です。 例:
この手順では、古い FTD ブート イメージとシステム イメージを消去します。システム イメージを消去しない場合は、次の手順でブート イメージをロードした後に、ブート プロセスをエスケープする必要があります。エスケープ ウィンドウが表示されない場合、FTD は古い FTD システム イメージのロードを続行します。これには時間がかかることがあり、その場合は、この手順を再度開始する必要があります。 |
||
ステップ 8 |
次の ROMMON コマンドを使用して、ネットワーク設定を指定し、新しいブート イメージをロードします。 interface interface_id address management_ip_address netmask subnet_mask server tftp_ip_address gateway gateway_ip_address file path/filename set sync tftpdnld Firepower Threat Defense ブート イメージがダウンロードされ、ブート CLI にブートアップされます。
次の情報を参照してください。
例:ASA 5508-X の例:
ASA 5555-X の例:
サーバへの接続をトラブルシューティングするには、Ping を実行します。
|
||
ステップ 9 |
setup と入力して、管理インターフェイスのネットワーク設定を行い、システム ソフトウェア パッケージをダウンロードしてインストールできるように HTTP または FTP サーバへの一時的な接続を確立します。
例:
|
||
ステップ 10 |
Firepower Threat Defense システム ソフトウェアのインストール パッケージをダウンロードします。この手順では、HTTP のインストールを示します。 system install [noconfirm] url 確認メッセージに応答しない場合は、noconfirm オプションを指定します。 例:
内部フラッシュ ドライブを消去するように求められます。y と入力します。
インストール プロセスによってフラッシュ ドライブが消去され、システム イメージがダウンロードされます。インストールを続行するように求められます。y と入力します。
インストールが完了したら、 Enter キーを押してデバイスをリブートします。
リブートには約 30 分かかりますが、より長時間かかる可能性があります。再起動時に、Firepower Threat Defense CLI が表示されます。 |
||
ステップ 11 |
ネットワーク接続をトラブルシューティングするには、次の例を参照してください。 例:ネットワーク インターフェイスの設定の表示
サーバに対して ping を実行します。
traceroute を使用して、ネットワーク接続をテストします。
|
||
ステップ 12 |
インストールの失敗をトラブルシューティングするには、次の例を参照してください。 例:「Timed out」エラー ダウンロード段階で、ファイル サーバに到達できない場合は、タイムアウトが原因で失敗します。
この場合は、ASA からファイル サーバに到達可能であることを確認します。ファイル サーバに ping を実行することで確認できます。 「Package not found」エラー ファイル サーバに到達可能であっても、ファイル パスまたは名前が間違っている場合は、「Package not found」というエラーでインストールが失敗します。
この場合は、FTD パッケージのファイル パスと名前が正しいことを確認します。 インストールが不明なエラーで失敗した システム ソフトウェアのダウンロード後にインストールが行われると、原因は通常、「Installation failed with unknown error」と表示されます。このエラーが発生した場合は、インストール ログを表示して失敗をトラブルシューティングできます。
また、ブート CLI 関連の問題に対して同じコマンドを使用して、/var/log/cisco の下にある upgrade.log、pyos.log、commandd.log を表示することもできます。 |
||
ステップ 13 |
Firepower Device Manager または Firepower Management Center のどちらかを使用してデバイスを管理できます。セットアップに進むには、http://www.cisco.com/go/ftd-asa-quick でご使用のモデルとマネージャのクイック スタート ガイドを参照してください。 |
次のステップ
Firepower Threat Defense
ご使用のモデルと管理アプリケーションのクイック スタート ガイドを参照してください。
ASA
使用しているモデル用のクイック スタート ガイドを参照してください。