재이미징 및 시스템 복구

이 섹션에는 부팅 문제를 해결하고 비밀번호 복구를 수행하는 절차가 포함되어 있습니다.

어플라이언스 모드 페일세이프

Firepower 1000, Firepower 2100의 어플라이언스 모드, Firepower 3100 또는 Secure Firewall 4200이 ASA로 부팅되지 않는 경우, FXOS 페일세이프 모드로 부팅됩니다. 이 모드에서 FXOS를 사용하면 시스템의 진단 및 복구를 허용하는 최소한의 구성을 허용합니다. IP 주소, DNS, NTP로 관리 인터페이스를 구성하여 ASA 이미지를 다운로드하고 설치할 수 있습니다. 관리 인터페이스만 페일세이프 모드로 구성할 수 있습니다. FXOS에 로그인할 때 이전에 설정한 관리자 및 ASA 활성화 비밀번호를 사용합니다.

Firepower 2100 플랫폼 모드에서는 항상 섀시 기능의 FXOS 구성이 허용됩니다.

이 장의 절차에서는 Firepower 2100 어플라이언스 모드와 플랫폼 모드의 차이점을 설명합니다.

공장 초기화 수행(비밀번호 재설정)

FXOS에 로그인할 수 없는 경우(비밀번호를 잊어버린 경우 또는 SSD disk1 파일 시스템이 손상된 경우), ROMMON을 사용하여 FXOS 구성을 공장 기본값으로 복원할 수 있습니다. 기본 관리자 비밀번호는 Admin123입니다. 이 절차를 수행하면 ASA 구성이 재설정됩니다. 비밀번호를 알고 있으며 FXOS 내에서 공장 기본 구성을 복원하려는 경우, 공장 기본 구성 복원를 참조하십시오.

시작하기 전에

이 절차를 수행하려면 콘솔 액세스 권한이 있어야 합니다.

프로시저


단계 1

콘솔 포트에 연결하고 디바이스의 전원을 켭니다. 부팅 중에 ROMMON 프롬프트와 연결하라는 메시지가 나타나면 Esc 키를 누릅니다.

모니터를 자세히 살펴봅니다.

예:


*******************************************************************************
Cisco System ROMMON, Version 1.0.06, RELEASE SOFTWARE
Copyright (c) 1994-2018  by Cisco Systems, Inc.
Compiled Thu 04/06/2018 12:16:16.21 by builder
*******************************************************************************

Current image running: Boot ROM0
Last reset cause: ResetRequest
DIMM_1/1 : Present
DIMM_2/1 : Present

Platform FPR-2130 with 32768 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: 0c:75:bd:08:c9:80

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.

이 시점에서 Esc 키를 누릅니다.

단계 2

공장 기본 설정을 수행합니다.

rommon 2 > factory-reset

참고

 

ROMMON 버전 1.0.04의 경우 password_reset 명령을 사용합니다. 이 명령은 이후 버전에서 factory-reset 로 변경되었습니다. ROMMON 버전을 확인하려면 show info 를 입력합니다.

rommon 1 > show info

Cisco System ROMMON, Version 1.0.06, RELEASE SOFTWARE
Copyright (c) 1994-2018  by Cisco Systems, Inc.
Compiled Wed 11/01/2018 18:38:59.66 by builder

구성을 지운 다음 이미지를 부팅할 것인지 확인하라는 메시지가 여러 번 표시됩니다.

참고

 

이미지를 부팅하라는 메시지가 표시되지 않으면 boot 명령을 입력합니다.

예:

Firepower 2100 플랫폼 모드:


rommon 2 > factory-reset
Warning: All configuration will be permanently lost with this operation
         and application will be initialized to default configuration.
         This operation cannot be undone after booting the application image.
 
         Are you sure you would like to continue ? yes/no [no]: yes
         Please type 'ERASE' to confirm the operation or any other value to cancel: ERASE
 
Performing factory reset...
File size is 0x0000001b
Located .boot_string
Image size 27 inode num 16, bks cnt 1 blk size 8*512
 
Rommon will continue to boot disk0: fxos-k8-fp2k-lfbff.2.3.1.132.SSB
Are you sure you would like to continue ? yes/no [no]: yes
File size is 0x0817a870
Located fxos-k8-fp2k-lfbff.2.3.1.132.SSB

Firepower 1000, 2100, Secure Firewall 3100 및 Secure Firewall 4200 어플라이언스 모드:

참고

 

부팅 중에 FXOS에 로그인하고 관리자 비밀번호를 설정하라는 프롬프트가 표시됩니다. 로그인하여 해가 되지는 않지만 ASA가 부팅될 때까지 계속 기다려야 합니다. ASA 프롬프트에서 로그인해야 합니다. 그러면 활성화 비밀번호를 변경하라는 프롬프트가 표시됩니다. 시스템에서 FXOS 로그인에 사용하는 것은 이 활성화 비밀번호입니다.


rommon 2 > factory-reset
Warning: All configuration will be permanently lost with this operation 
         and application will be initialized to default configuration.
         This operation cannot be undone after booting the application image.
 
         Are you sure you would like to continue ? yes/no [no]: yes
         Please type 'ERASE' to confirm the operation or any other value to cancel: ERASE
 
Performing factory reset...
 
 
Execute 'boot' command afterwards for factory-reset to be initiated.
Use of reset/reboot/reload command will cancel the factory-reset request!
rommon 3 > boot
firepower-2140 login:
Cisco ASA: CMD=-start, CSP-ID=cisco-asa.99.13.1.108__asa_001_JAD200900ZRN2001A1, FLAG=''
Cisco ASA starting ...
[...]
firepower-2140 login: admin (automatic login)
Please wait for Cisco ASA to come online...1...
[...]
User enable_1 logged in to ciscoasa
Logins over the last 1 days: 1.  
Failed logins since the last login: 0.  
 Attaching to ASA CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
 
ciscoasa> enable
The enable password is not set.  Please set it now.
Enter  Password: *****
Repeat Password: *****
Note: Save your configuration so that the password can be used for FXOS failsafe access and persists across reboots
("write memory" or "copy running-config startup-config").
ciscoasa# write memory

단계 3

이미지를 부팅하라는 메시지가 표시되지 않으면 boot 명령을 입력합니다.

단계 4

시작 가이드에서 설정 작업을 완료합니다.


ROMMON에서 부팅

디바이스를 부팅할 수 없는 경우, FAT32 또는 TFTP 이미지로 포맷된 USB 드라이브에서 FXOS을 부팅할 수 있는 ROMMON으로 부팅됩니다. FXOS로 부팅한 후 eMMC(소프트웨어 이미지를 보유하는 내부 플래시 디바이스)를 다시 포맷할 수 있습니다. 다시 포맷한 다음 이미지를 eMMC에 다시 다운로드해야 합니다. 이 절차에서는 모든 설정을 보존하며, 이는 별도의 ssd1에 저장됩니다.

정전 또는 기타 드문 상황으로 인해 eMMC 파일 시스템이 손상될 수 있습니다.

시작하기 전에

이 절차를 수행하려면 콘솔 액세스 권한이 있어야 합니다.

프로시저


단계 1

부팅할 수 없는 경우, 시스템은 ROMMON으로 부팅됩니다.

ROMMON으로 자동 부팅되지 않으면 부팅 중에 ROMMON 프롬프트가 표시될 때 Esc 키를 누릅니다. 모니터를 자세히 살펴봅니다.

예:


*******************************************************************************
Cisco System ROMMON, Version 1.0.06, RELEASE SOFTWARE
Copyright (c) 1994-2018  by Cisco Systems, Inc.
Compiled Thu 04/06/2018 12:16:16.21 by builder
*******************************************************************************

Current image running: Boot ROM0
Last reset cause: ResetRequest
DIMM_1/1 : Present
DIMM_2/1 : Present

Platform FPR-2130 with 32768 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: 0c:75:bd:08:c9:80

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.

이 시점에서 Esc 키를 누릅니다.

단계 2

FAT32로 포맷된 USB 드라이브의 이미지에서 부팅하거나 TFTP를 사용하여 네트워크를 통해 부팅합니다.

참고

 

9.12 이하 버전의 경우, ROMMON에서 FXOS를 부팅하고 현재 설치된 이미지가 부팅 가능한 경우, 현재 설치된 이미지와 동일한 버전을 부팅해야 합니다. 그렇지 않으면 FXOS/ASA 버전 불일치로 인해 ASA가 충돌하게 됩니다. 9.13 이상 버전에서 ROMMON으로 FXOS를 부팅하면 ASA가 자동으로 로드되지 않습니다.

Firepower USB에서 부팅하려는 경우:

참고

 

시스템이 실행 중인 상태에서 USB 드라이브를 삽입하는 경우, 시스템을 재부팅해야 USB 드라이브가 인식됩니다.

boot disk1:/path/filename

디바이스가 FXOS CLI로 부팅됩니다. dir disk1: 명령을 사용하여 디스크 내용을 확인합니다.

예:


rommon 1 > dir disk1:
rommon 2 > boot disk1:/cisco-asa-fp2k.9.20.2.SPA

Secure Firewall USB에서 부팅하려는 경우:

참고

 

시스템이 실행 중인 상태에서 USB 드라이브를 삽입하는 경우, 시스템을 재부팅해야 USB 드라이브가 인식됩니다.

boot usb:/path/filename

디바이스가 FXOS CLI로 부팅됩니다. dir usb: 명령을 사용하여 디스크 내용을 확인합니다.

예:


rommon 1 > dir usb:
rommon 2 > boot usb:/cisco-asa-fp3k.9.20.2.SPA

TFTP에서 부팅하려는 경우:

Management 1/1에 대한 네트워크 설정을 설정하고 다음 ROMMON 명령을 사용하여 ASA 패키지를 로드합니다.

address management_ip_address

netmask subnet_mask

server tftp_ip_address

gateway gateway_ip_address

filepath/filename

set

sync

tftpdnld -b

FXOS 이미지가 다운로드되고 CLI에 부팅됩니다.

다음 정보를 참조하십시오.

  • set - 네트워크 설정을 표시합니다. 또한 서버에 대한 연결성을 확인하기 위해 ping 명령을 사용할 수 있습니다.

  • sync - 네트워크 설정을 저장합니다.

  • tftpdnld -b - FXOS를 로드합니다.

예:


rommon 1 > address 10.86.118.4
rommon 2 > netmask 255.255.252.0
rommon 3 > server 10.86.118.21
rommon 4 > gateway 10.86.118.1
rommon 5 > file cisco-asa-fp2k.9.8.2.SPA
rommon 6 > set
ROMMON Variable Settings:
  ADDRESS=10.86.118.4
  NETMASK=255.255.252.0
  GATEWAY=10.86.118.21
  SERVER=10.86.118.21
  IMAGE=cisco-asa-fp2k.9.8.2.SPA
  CONFIG=
  PS1="rommon ! > "

rommon 7 > sync
rommon 8 > tftpdnld -b
Enable boot bundle: tftp_reqsize = 268435456

             ADDRESS: 10.86.118.4
             NETMASK: 255.255.252.0
             GATEWAY: 10.86.118.21
              SERVER: 10.86.118.1
               IMAGE: cisco-asa-fp2k.9.8.2.SPA
             MACADDR: d4:2c:44:0c:26:00
           VERBOSITY: Progress
               RETRY: 40
          PKTTIMEOUT: 7200
             BLKSIZE: 1460
            CHECKSUM: Yes
                PORT: GbE/1
             PHYMODE: Auto Detect

link up
Receiving cisco-asa-fp2k.9.8.2.SPA from 10.86.118.21!!!!!!!!
[…]

서버 연결 문제를 해결하려면 Ping을 실행합니다.


rommon 1 > ping 10.86.118.21
Sending 10, 32-byte ICMP Echoes to 10.86.118.21 timeout is 4 seconds
!!!!!!!!!!
Success rate is 100 percent (10/10)
rommon 2 >

단계 3

현재 관리자 비밀번호를 사용하여 FXOS에 로그인합니다.

참고

 

자격 증명을 알지 못하거나 디스크 손상으로 인해 로그인할 수 없는 경우, ROMMON factory-reset 명령(공장 초기화 수행(비밀번호 재설정)참조)을 사용하여 공장 초기화를 수행해야 합니다. 공장 초기화를 수행한 후 이 절차를 재시작하여 FXOS로 부팅하고, 기본 자격 증명(admin/Admin123)으로 로그인합니다.

단계 4

eMMC를 다시 포맷합니다.

connect local-mgmt

format emmc

yes를 입력합니다.

예:


firepower-2110# connect local-mgmt 
firepower-2110(local-mgmt)# format emmc
All bootable images will be lost.
Do you still want to format? (yes/no):yes

단계 5

서버에서 ASA 이미지를 다운로드할 수 있도록 관리 인터페이스를 구성합니다.

USB를 사용하는 경우 이 단계를 건너뛸 수 있습니다.

  1. fabric-interconnect scope를 입력합니다.

    scope fabric-interconnect a

  2. 새로운 관리 IP 정보를 설정합니다.

    set out-of-band static ip ip netmask 넷마스크 gw 게이트웨이

  3. 구성을 커밋합니다.

    commit-buffer

예:


firepower# scope fabric-interconnect a
firepower /fabric-interconnect # set out-of-band static ip 10.1.1.5 netmask 255.255.255.0 gw 10.1.1.1
firepower /fabric-interconnect* # commit-buffer

참고

 

다음 오류가 발생하면 변경 사항을 커밋하기 전에 DHCP를 비활성화해야 합니다. 아래 명령어를 따라 DHCP를 비활성화합니다.

firepower /fabric-interconnect* # commit-buffer
Error: Update failed: [Management ipv4 address (IP <ip> / net mask <netmask> ) is not in the same network of current DHCP server IP range <ip - ip>.
Either disable DHCP server first or config with a different ipv4 address.]
firepower /fabric-interconnect* # exit
firepower* # scope system
firepower /system* # scope services
firepower /system/services* # disable dhcp-server
firepower /system/services* # commit-buffer

단계 6

ASA 패키지를 다시 다운로드하고 부팅합니다.

  1. 패키지를 다운로드합니다. USB 또는 TFTP에서 임시로 부팅했으므로, 이미지를 로컬 디스크에 다운로드해야 합니다.

    scope firmware

    download image url

    show download-task

    다음 중 하나를 사용하여 가져올 파일의 URL을 지정합니다.

    • ftp://username@server/[path/]image_name

    • scp://username@server/[path/]image_name

    • sftp://username@server/[path/]image_name

    • tftp://server[:port]/[path/]image_name

    • usbA:/path/filename

    예:

    
    firepower-2110# scope firmware
    firepower-2110 /firmware # download image tftp://10.86.118.21/cisco-asa-fp2k.9.8.2.SPA
    Please use the command 'show download-task' or 'show download-task detail' to check download progress.
    firepower-2110 /firmware # show download-task
    Download task:
        File Name Protocol Server          Port       Userid          State
        --------- -------- --------------- ---------- --------------- -----
        cisco-asa-fp2k.9.8.2.SPA
                  Tftp     10.88.29.21             0                 Downloaded
    
    
  2. 패키지 다운로드가 완료되면(Downloaded(다운로드됨) 상태) 패키지를 부팅합니다.

    show package

    scope auto-install

    install security-pack version version

    show package 출력에서 security-pack version 번호용으로 Package-Vers 값을 복사합니다. 섀시에 ASA 이미지가 설치되고 섀시가 재부팅됩니다.

    예:

    
    firepower 2110 /firmware # show package
    Name                                          Package-Vers
    --------------------------------------------- ------------
    cisco-asa-fp2k.9.8.2.SPA                      9.8.2
    firepower 2110 /firmware # scope auto-install
    firepower 2110 /firmware/auto-install # install security-pack version 9.8.2
    The system is currently installed with security software package not set, which has:
       - The platform version: not set
    If you proceed with the upgrade 9.8.2, it will do the following:
       - upgrade to the new platform version 2.2.2.52
       - install with CSP asa version 9.8.2
    During the upgrade, the system will be reboot
    
    Do you want to proceed ? (yes/no):yes
    
    This operation upgrades firmware and software on Security Platform Components
    Here is the checklist of things that are recommended before starting Auto-Install
    (1) Review current critical/major faults
    (2) Initiate a configuration backup
    
    Attention:
       If you proceed the system will be re-imaged. All existing configuration will be lost,
       and the default configuration applied.
    Do you want to proceed? (yes/no):yes
    
    Triggered the install of software package version 9.8.2
    Install started. This will take several minutes.
    For monitoring the upgrade progress, please enter 'show' or 'show detail' command.
    
    

단계 7

섀시의 재부팅이 완료될 때까지 기다립니다(5~10분).

FXOS가 작동하더라도 ASA가 작동할 때까지 5분 동안 기다려야 합니다. 다음 메시지가 나타날 때까지 기다립니다.


firepower-2110# 
Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Verifying signature for cisco-asa.9.8.2.2 ...
Verifying signature for cisco-asa.9.8.2.2 ... success

Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Cisco ASA starting ...
Registering to process manager ...
Cisco ASA started successfully. 
...


SSD 파일 시스템 다시 포맷(Firepower 2100)

FXOS에 성공적으로 로그인했지만 디스크 손상 오류 메시지가 표시되는 경우, FXOS 및 ASA 구성이 저장되어 있는 SSD1을 다시 포맷할 수 있습니다. 이 절차는 FXOS 구성을 공장 기본값으로 복원합니다. 플랫폼 모드의 경우 관리자 비밀번호는 기본값 Admin123으로 재설정됩니다. 이 절차를 수행하면 ASA 구성도 재설정됩니다.

이 절차는 다른 모델에는 적용되지 않으며, 이러한 모델에서는 시작 이미지를 유지하면서 SSD를 지울 수 없습니다.

프로시저


단계 1

FXOS CLI을 콘솔 포트에 연결합니다.

  • 어플라이언스 모드의 Firepower 2100 - 처음에 콘솔 포트에서 ASA에 연결합니다. FXOS에 연결하려면 connect fxos admin 명령을 입력합니다.

  • 플랫폼 모드의 Firepower 2100 - 처음에 콘솔 포트에서 FXOS에 연결합니다. admin 으로 로그인하고 관리자 비밀번호를 입력합니다.

단계 2

SSD1을 다시 포맷합니다.

connect local-mgmt

format ssd1

예:

Firepower 2100 어플라이언스 모드:

참고

 

부팅 중에 FXOS에 로그인하고 관리자 비밀번호를 설정하라는 프롬프트가 표시됩니다. 로그인하여 해가 되지는 않지만 ASA가 부팅될 때까지 계속 기다려야 합니다. ASA 프롬프트에서 로그인해야 합니다. 그러면 활성화 비밀번호를 변경하라는 프롬프트가 표시됩니다. 시스템에서 FXOS 로그인에 사용하는 것은 이 활성화 비밀번호입니다.


firepower-2110# connect local-mgmt 
firepower-2110(local-mgmt)# format ssd1
All configuration will be lost.
Do you still want to format? (yes/no):yes
Broadcast message from root@firepower-2140 (Fri Aug 16 19:53:45 2019):
All shells being terminated due to system /sbin/reboot
[  457.119988] reboot: Restarting system

[...]

*******************************************************************************
Cisco System ROMMON, Version 1.0.12, RELEASE SOFTWARE
Copyright (c) 1994-2019  by Cisco Systems, Inc.
Compiled Mon 06/17/2019 16:23:23.36 by builder
*******************************************************************************
 
Current image running: Boot ROM0
Last reset cause: ResetRequest (0x00001000)
DIMM_1/1 : Present
DIMM_2/1 : Present
 
Platform FPR-2140 with 65536 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: 70:7d:b9:75:23:00
 
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Located '.boot_string' @ cluster 98101.

[...]

Primary SSD discovered
Primary SSD has incorrect partitions
Skipping prompt because disk is blank
Formating Primary SSD...
Creating config partition: START: 1MB END: 1001MB

[...]

firepower-2140 login: 
Waiting for Application infrastructure to be ready...
Verifying the signature of the Application image...
Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.13.0.33__asa_001_JMX2134Y38S4F4RBT1, FLAG=''
Cisco ASA starting ...
Cisco ASA started successfully.

[...]

INFO: Unable to read firewall mode from flash
       Writing default firewall mode (single) to flash
 
INFO: Unable to read cluster interface-mode from flash
        Writing default mode "None" to flash
The 3DES/AES algorithms require a Encryption-3DES-AES entitlement.
The 3DES/AES algorithms require a Encryption-3DES-AES entitlement.
Cisco Adaptive Security Appliance Software Version 9.13.0.33
 
User enable_1 logged in to ciscoasa
Logins over the last 1 days: 1.  
Failed logins since the last login: 0.  
firepower-2140 login: admin (automatic login)
 
Successful login attempts for user 'admin' : 1
Attaching to ASA CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
 
ciscoasa> enable
The enable password is not set.  Please set it now.
Enter  Password: *****
Repeat Password: *****

단계 3

시작 가이드에서 설정 작업을 완료합니다.


공장 기본 구성 복원

FXOS 구성을 공장 기본 구성으로 복원할 수 있습니다. 이 절차를 수행하면 ASA 구축 및 구성이 재설정됩니다. 관리자 비밀번호도 기본값 Admin123으로 재설정됩니다. 하지만 FXOS에서 이 절차를 수행하므로 현재 관리자 비밀번호를 알고 있어야 합니다. 관리자 비밀번호를 모르는 경우, 공장 초기화 수행(비밀번호 재설정)의 절차를 사용합니다.

관리자 비밀번호는 ASA 활성화 비밀번호와 동일합니다.

시작하기 전에

이 절차를 수행하려면 콘솔 액세스 권한이 있어야 합니다.

프로시저


단계 1

FXOS CLI을 콘솔 포트에 연결합니다.

connect fxos admin

단계 2

로컬 관리에 연결합니다.

connect local-mgmt

예:


firepower-2120# connect local-mgmt
firepower-2120(local-mgmt)# 

단계 3

모든 FXOS 구성을 지우고 섀시를 원래 공장 기본 구성으로 복원합니다.

erase configuration

예:


firepower-2120(local-mgmt)# erase configuration
All configurations will be erased and system will reboot. Are you sure? (yes/no):

단계 4

명령 프롬프트에 yes를 입력하여 구성을 지운다는 것을 확인합니다.

시스템이 섀시에서 모든 구성을 지운 다음 재부팅합니다.

참고

 

부팅 중에 FXOS에 로그인하고 관리자 비밀번호를 설정하라는 프롬프트가 표시됩니다. 로그인하여 해가 되지는 않지만 ASA가 부팅될 때까지 계속 기다려야 합니다. ASA 프롬프트에서 로그인해야 합니다. 그러면 활성화 비밀번호를 변경하라는 프롬프트가 표시됩니다. 시스템에서 FXOS 로그인에 사용하는 것은 이 활성화 비밀번호입니다.


보안 기반 초기화 수행

보안 기반 초기화 기능은 SSD의 모든 데이터를 지우므로 특수 툴을 사용해도 데이터를 복구할 수 없습니다. 디바이스를 서비스 중지할 때는 보안 기반 초기화를 수행해야 합니다.

Firepower 2100의 경우 소프트웨어 이미지가 지워지지 않으므로 여전히 ASA를 부팅할 수 있습니다. 다른 모델의 경우 소프트웨어 이미지가 지워지므로 디바이스가 새 이미지를 다운로드할 수 있는 ROMMON으로 부팅됩니다.

시작하기 전에

  • Firepower 1000의 경우, Threat Defense 에서 ASA로 재이미징하는 경우, 보안 기반 초기화 기능을 허용하려면 디바이스의 전원을 껐다가 다시 켜야 할 수 있습니다. Threat Defense 6.5 이상으로 업그레이드하거나 Threat Defense 6.4에서 ASA로 재이미징하는 경우 보안 기반 초기화 기능을 사용하려면 전원을 껐다가 다시 켜야 합니다. 재부팅만으로는 충분하지 않습니다.

  • 이 절차를 수행하려면 콘솔 액세스 권한이 있어야 합니다.

프로시저


단계 1

FXOS CLI을 콘솔 포트에 연결합니다.

  • Firepower 2100 플랫폼 모드 - 처음에 콘솔 포트에서 FXOS에 연결합니다. admin으로 로그인하고 관리자 비밀번호를 입력합니다.

  • 기타 모든 모델 - 처음에 콘솔 포트에서 ASA에 연결합니다. FXOS에 연결하려면 connect fxos admin 명령을 입력합니다.

단계 2

로컬 관리를 시작합니다.

local-mgmt

예:


Firepower# connect local-mgmt
Firepower(local-mgmt)#

단계 3

SSD 보안 기반 초기화.

erase secure {all | ssd1 | ssd2}

  • all - 모든 SSD를 지웁니다. Firepower 2100 또는 Secure Firewall 3100은 2개의 SSD를 포함하는 반면 Firepower 1000은 SSD1만 포함합니다.

  • ssd1 - SSD1만 지웁니다.

  • ssd2 - SSD2만 지웁니다.

단계 4

(Firepower 2100 플랫폼 모드를 제외한 모든 모델) ROMMON으로 부팅합니다. ROMMON에서 부팅에 따라 새 이미지를 부팅합니다.


전체 재이미징 수행

이 절차를 수행하면 디바이스가 다시 포맷되고 공장 기본 설정으로 돌아갑니다. 이 절차를 수행한 후 새 소프트웨어 이미지를 다운로드합니다. 디바이스를 다른 용도로 사용하여 구성 이미지와 소프트웨어 이미지를 모두 제거하려는 경우 전체 이미지를 재설치할 수 있습니다.

시작하기 전에

  • 이 절차를 수행하려면 콘솔 액세스 권한이 있어야 합니다.

  • ASA 패키지를 TFTP 서버 또는 FAT32로 포맷된 USB 드라이브에 다운로드합니다.

  • USB를 사용하는 경우, 시작하기 전에 드라이브를 설치합니다. 시스템이 실행 중인 상태에서 USB 드라이브를 삽입하는 경우, 시스템을 재부팅해야 USB 드라이브가 인식됩니다.

프로시저


단계 1

Smart Software Licensing 서버(ASA CLI/ASDM 또는 Smart Software Licensing 서버)에서 ASA 등록을 취소합니다.

단계 2

FXOS CLI을 콘솔 포트에 연결합니다.

  • Firepower 2100 플랫폼 모드 - 처음에 콘솔 포트에서 FXOS에 연결합니다. admin으로 로그인하고 관리자 비밀번호를 입력합니다.

  • 기타 모든 모델 - 처음에 콘솔 포트에서 ASA에 연결합니다. FXOS에 연결하려면 connect fxos admin 명령을 입력합니다.

단계 3

시스템을 다시 포맷합니다.

connect local-mgmt

format everything

yes를 입력하면 디바이스가 재부팅됩니다.

예:


firepower-2110# connect local-mgmt 
firepower-2110(local-mgmt)# format everything
All configuration and bootable images will be lost.
Do you still want to format? (yes/no):yes

단계 4

부팅 중에 ROMMON 프롬프트와 연결하라는 메시지가 나타나면 Esc 키를 누릅니다. 모니터를 자세히 살펴봅니다.

예:


*******************************************************************************
Cisco System ROMMON, Version 1.0.03, RELEASE SOFTWARE
Copyright (c) 1994-2017  by Cisco Systems, Inc.
Compiled Thu 04/06/2017 12:16:16.21 by builder
*******************************************************************************

Current image running: Boot ROM0
Last reset cause: ResetRequest
DIMM_1/1 : Present
DIMM_2/1 : Present

Platform FPR-2130 with 32768 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: 0c:75:bd:08:c9:80

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.

이 시점에서 Esc 키를 누릅니다.

단계 5

FAT32로 포맷된 USB 드라이브의 ASA 패키지에서 부팅하거나 TFTP를 사용하여 네트워크를 통해 부팅합니다.

Firepower USB에서 부팅하려는 경우:

참고

 

시스템이 실행 중인 상태에서 USB 드라이브를 삽입하는 경우, 시스템을 재부팅해야 USB 드라이브가 인식됩니다.

boot disk1:/path/filename

dir disk1: 명령을 사용하여 Firepower 1000 및 2100에서 디스크 내용을 확인합니다.

예:


rommon 1 > dir disk1:
rommon 2 > boot disk1:/cisco-asa-fp2k.9.8.2.SPA

Secure Firewall USB에서 부팅하려는 경우:

참고

 

시스템이 실행 중인 상태에서 USB 드라이브를 삽입하는 경우, 시스템을 재부팅해야 USB 드라이브가 인식됩니다.

boot usb:/path/filename

dir usb: 명령을 사용하여 Secure Firewall 3100에서 디스크 내용을 확인합니다.

예:


rommon 1 > dir usb:
rommon 2 > boot usb:/cisco-asa-fp3k.9.17.1.SPA

TFTP에서 부팅하려는 경우:

Management 1/1에 대한 네트워크 설정을 설정하고 다음 ROMMON 명령을 사용하여 ASA 패키지를 로드합니다.

address management_ip_address

netmask subnet_mask

server tftp_ip_address

gateway gateway_ip_address

filepath/filename

set

sync

tftpdnld -b

다음 정보를 참조하십시오.

  • set - 네트워크 설정을 표시합니다. 또한 서버에 대한 연결성을 확인하기 위해 ping 명령을 사용할 수 있습니다.

  • sync - 네트워크 설정을 저장합니다.

  • tftpdnld -b - ASA 패키지를 로드합니다.

예:


rommon 1 > address 10.86.118.4
rommon 2 > netmask 255.255.252.0
rommon 3 > server 10.86.118.21
rommon 4 > gateway 10.86.118.1
rommon 5 > file cisco-asa-fp2k.9.8.2.SPA
rommon 6 > set
ROMMON Variable Settings:
  ADDRESS=10.86.118.4
  NETMASK=255.255.252.0
  GATEWAY=10.86.118.21
  SERVER=10.86.118.21
  IMAGE=cisco-asa-fp2k.9.8.2.SPA
  CONFIG=
  PS1="rommon ! > "

rommon 7 > sync
rommon 8 > tftpdnld -b
Enable boot bundle: tftp_reqsize = 268435456

             ADDRESS: 10.86.118.4
             NETMASK: 255.255.252.0
             GATEWAY: 10.86.118.21
              SERVER: 10.86.118.1
               IMAGE: cisco-asa-fp2k.9.8.2.SPA
             MACADDR: d4:2c:44:0c:26:00
           VERBOSITY: Progress
               RETRY: 40
          PKTTIMEOUT: 7200
             BLKSIZE: 1460
            CHECKSUM: Yes
                PORT: GbE/1
             PHYMODE: Auto Detect

link up
Receiving cisco-asa-fp2k.9.8.2.SPA from 10.86.118.21!!!!!!!!
[…]

서버 연결 문제를 해결하려면 Ping을 실행합니다.


rommon 1 > ping 10.86.118.21
Sending 10, 32-byte ICMP Echoes to 10.86.118.21 timeout is 4 seconds
!!!!!!!!!!
Success rate is 100 percent (10/10)
rommon 2 >

단계 6

시스템이 가동되면 기본 사용자 이름인 admin과 비밀번호인 Admin123을 사용하여 FXOS에 로그인합니다.

단계 7

서버에서 ASA 이미지를 다운로드할 수 있도록 관리 인터페이스를 구성합니다.

USB를 사용하는 경우 이 단계를 건너뛸 수 있습니다.

  1. fabric-interconnect scope를 입력합니다.

    scope fabric-interconnect a

  2. 새로운 관리 IP 정보를 설정합니다.

    set out-of-band static ip ip netmask 넷마스크 gw 게이트웨이

  3. 구성을 커밋합니다.

    commit-buffer

예:


firepower# scope fabric-interconnect a
firepower /fabric-interconnect # set out-of-band static ip 10.1.1.5 netmask 255.255.255.0 gw 10.1.1.1
firepower /fabric-interconnect* # commit-buffer

참고

 

다음 오류가 발생하면 변경 사항을 커밋하기 전에 DHCP를 비활성화해야 합니다. 아래 명령어를 따라 DHCP를 비활성화합니다.

firepower /fabric-interconnect* # commit-buffer
Error: Update failed: [Management ipv4 address (IP <ip> / net mask <netmask> ) is not in the same network of current DHCP server IP range <ip - ip>.
Either disable DHCP server first or config with a different ipv4 address.]
firepower /fabric-interconnect* # exit
firepower* # scope system
firepower /system* # scope services
firepower /system/services* # disable dhcp-server
firepower /system/services* # commit-buffer

단계 8

ASA 패키지를 다운로드하여 부팅합니다. USB 또는 TFTP에서 임시로 부팅했으므로, 이미지를 로컬 디스크에 다운로드해야 합니다.

  1. 패키지를 다운로드합니다.

    scope firmware

    download image url

    show download-task

    이전에 사용했던 것과 같은 TFTP 서버나 USB 드라이브 또는 관리 1/1에서 연결할 수 있는 다른 서버에서 패키지를 다운로드할 수 있습니다. 다음 중 하나를 사용하여 가져올 파일의 URL을 지정합니다.

    • ftp://username@server/[path/]image_name

    • scp://username@server/[path/]image_name

    • sftp://username@server/[path/]image_name

    • tftp://server[:port]/[path/]image_name

    • usbA:/path/filename

    예:

    
    firepower-2110# scope firmware
    firepower-2110 /firmware # download image tftp://10.86.118.21/cisco-asa-fp2k.9.8.2.SPA
    Please use the command 'show download-task' or 'show download-task detail' to check download progress.
    firepower-2110 /firmware # show download-task
    Download task:
        File Name Protocol Server          Port       Userid          State
        --------- -------- --------------- ---------- --------------- -----
        cisco-asa-fp2k.9.8.2.SPA
                  Tftp     10.88.29.21             0                 Downloaded
    
    
  2. 패키지 다운로드가 완료되면(Downloaded(다운로드됨) 상태) 패키지를 부팅합니다.

    show package

    scope auto-install

    install security-pack version version

    show package 출력에서 security-pack version 번호용으로 Package-Vers 값을 복사합니다. 섀시에 ASA 패키지가 설치되고 섀시가 재부팅됩니다.

    예:

    
    firepower 2110 /firmware # show package
    Name                                          Package-Vers
    --------------------------------------------- ------------
    cisco-asa-fp2k.9.8.2.SPA                      9.8.2
    firepower 2110 /firmware # scope auto-install
    firepower 2110 /firmware/auto-install # install security-pack version 9.8.2
    The system is currently installed with security software package not set, which has:
       - The platform version: not set
    If you proceed with the upgrade 9.8.2, it will do the following:
       - upgrade to the new platform version 2.2.2.52
       - install with CSP asa version 9.8.2
    During the upgrade, the system will be reboot
    
    Do you want to proceed ? (yes/no):yes
    
    This operation upgrades firmware and software on Security Platform Components
    Here is the checklist of things that are recommended before starting Auto-Install
    (1) Review current critical/major faults
    (2) Initiate a configuration backup
    
    Attention:
       If you proceed the system will be re-imaged. All existing configuration will be lost,
       and the default configuration applied.
    Do you want to proceed? (yes/no):yes
    
    Triggered the install of software package version 9.8.2
    Install started. This will take several minutes.
    For monitoring the upgrade progress, please enter 'show' or 'show detail' command.
    
    

    참고

     

    "모든 기존 설정이 손실되고 기본 구성이 적용됩니다."라는 메시지를 무시하십시오. 설정이 지워지지 않으며 기본 구성이 적용되지 않습니다.

단계 9

섀시가 리부팅될 때까지 기다렸다가(5~10분) FXOS에 관리자로 로그인합니다.

FXOS가 작동하더라도 ASA가 작동할 때까지 5분 동안 기다려야 합니다. 다음 메시지가 나타날 때까지 기다립니다.


firepower-2110# 
Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Verifying signature for cisco-asa.9.8.2 ...
Verifying signature for cisco-asa.9.8.2 ... success

Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Cisco ASA starting ...
Registering to process manager ...
Cisco ASA started successfully. 
[…]


시스템 복구 기록

기능

버전

세부 사항

보안 기반 초기화

9.13(1)

보안 지우기 기능은 SSD의 모든 데이터를 지우므로 특수 툴을 사용해도 데이터를 복구할 수 없습니다. 디바이스를 서비스 중지할 때는 보안 기반 초기화를 수행해야 합니다.

신규/새로운 명령: erase secure (local-mgmt)