ROMMON イメージは、プライマリ ROMMON およびゴールデン ROMMON の両方として SPI フラッシュデバイスに格納されます。

プライマリ ROMMON は、デバイスの電源がオンになるか再起動されるたびに、デバイスをブートするために使用されます。プライマリ ROMMON が破損した場合、デバイスはゴールデン ROMMON を使用して IOS XE ソフトウェアイメージをブートします。

デバイスがプライマリ ROMMON からブートした場合、ゴールデン ROMMON はロックされたままです。

BIOS 保護機能が有効になっていると、ゴールデン ROMMON は書き込み保護されるため、フラッシュユーティリティの標準アップグレードメカニズムを使用してアップグレードすることはできません。ゴールデン ROMMON のアクセスポリシーは、FPGA ファームウェアによって適用され、ゴールデン ROMMON SPI フラッシュデバイスでの書き込みおよび消去コマンドなどの不正な操作がブロックされます。

（注）	ゴールデン ROMMON のアップグレードは、セキュアブート FPGA がアップグレードされた後にのみ利用可能になります。

アップグレードプロセスは、スタンドアロン、高可用性、および SVL デバイスごとに異なります。アップグレードプロセスの仕組みを次の表に説明します。

プライマリ ROMMON、プライマリ FPGA、およびゴールデン FPGA（セキュアブート FPGA）は、デバイスのブート時に自動的にアップグレードされます。対照的に、ゴールデン ROMMON をアップグレードできるのはカプセルアップグレード プロセスを使用する場合のみであるため、重要なブートコンポーネントに対するセキュリティが強化されます。

カプセルアップグレードでは、セキュアなアップデートカプセルが作成されてデジタル署名され、プライマリ ROMMON によってそのカプセルが使用されて、認証後にゴールデン ROMMON がアップグレードされます。このプロセスにはセキュアなフラッシュ証明書が必要であり、それはプロダクトキーおよびアップデートカプセルの真正性を確認するためにプライマリ ROMMON イメージに含まれている ID を使用して生成されます。カプセル自体は、セキュアなフラッシュ証明書とセキュアブート 16 MB フラッシュイメージを使用して作成され、アップグレードの完全性と真正性を保証するために署名されます。

デバイスがブートすると、プライマリ ROMMON によってゴールデン ROMMON のカプセルアップグレードが開始されます。ゴールデン ROMMON のカプセルアップグレードを手動で行うには、スイッチで upgrade rom-monitor capsule golden コマンドを使用するか、スイッチスタックで upgrade rom-monitor capsule golden switch コマンドを特権 EXEC モードで使用します。