• はじめに
• ASDM バックアップ・リストア機能
• ASDM バックアップ手順
• ASDM リストア手順
• 制限事項・ベストプラクティス
• 導入時: 証明書とRSAキーを利用時の注意点
• 運用時: ASDMでのバックアップ・リストア前の注意点
• 運用時: ASDMでリストア時のトラブル調査方法
• 運用時: CLIでのバックアップ・リストア機能について
• 参考リンク

　　　　　　　

はじめに

ASDMのバックアップ・リストア機能で、CLI利用時に比べ、簡単に 多くの設定のリストアが可能です。 

本ドキュメントでは、ASDMのバックアップ・リストア機能の説明と、その実行方法について説明します。

本ドキュメントは、ASAソフトウェアバージョン 9.4(2)、ASDMバージョン 7.5(2)を用いて確認、作成しております。

    　　　　
　　　　　　　

ASDM バックアップ・リストア機能

本機能を利用するには、対象機器が 同じASAバージョン、ライセンス適用状態である必要があります。

本機能を利用することで、以下などのバックアップとリストアが可能です。

• Running Configuration
• Startup Configuration
• AnyConnect packages and configs
• SSL VPN objects (bookmarks, web contents, customization..)
• VPN PreShared-Key
• Identity Certificate

AnyConnectを利用時は、AnyConnect Package(PKG) ファイルは、"show run | include anyconnect" もしくは"show run | include svc"コマンドで確認できるファイルを バックアップ対象とします。

DAPポリシーを利用時は、dap.xmlファイルをバックアップ対象とします。

Identity Certificateを利用時は、紐付いたRSAキーペアもバックアップ対象になります。 バックアップ時にはパスフレーズの入力画面がポップアップします。 パスフレーズは PKCSファイルの保護に利用されます。 リストア時に 同じパスフレーズの入力が必要になりますので、忘れないようにして下さい。リストアに成功すると、復元されたRSAキーペアは"show crypto key mypubkey rsa"コマンドで確認できます。

Local CA Serverを利用時は、コチラを参照し 別途バックアップを行ってください。

冗長構成で利用時は、Primary機とSecondary機で 個別にバックアップとリストアが必要です。

ASA9.3トレイン以下の冗長構成で 証明書を利用時は、Standby機への証明書同期問題(CSCsr71150 )の影響に注意してください。 CSCsr71150 の復旧方法は Standby機の手動再起動、もしくは "write standby"コマンドの実行です。

バックアップファイルはZIP形式で生成されます。 ZIPファイル内にはセキュアな情報が 多数格納されているため、厳重に保管してください。

リストア時は、ZIPファイルのまま利用します。 そのため、ZIPファイルを解凍しての保管は避けてください。

     　　　　
　　　　　　　

ASDM バックアップ手順

1. バックアップ対象ASAに ASDMでアクセスし、上部メニューの Tools > Backup Configurations を選択します

2. Backup Configurations がポップアップしますので、"Backup All"にチェックが入っていることを確認し、"Browse Local..."ボタンをクリックし 任意の保存先・ファイル名を設定後、"Backup"ボタンをクリックします
  
(Identity Certificatesを利用時のみ) バックアップの際、パスフレーズ(デフォルト=cisco)の入力を求められます。このパスフレーズはリストア時使うため、忘れないようにしてください

 

3. Backup Progress がポップアップしますので、完了まで待ちます

4. Backup Progress が完了後、"Close"ボタンをクリックします

5. Backup Statistics がポップアップしますので、バックアップ結果を確認しOKをクリックします

6. バックアップしたファイルは、セキュアな情報を多数 格納してますので、ZIP形式のまま 厳重に保管してください

7. (オプション) ZIPファイルでの 設定バックアップと合わせ、以下コマンド出力の 任意メモ帳への保存を 強くお勧めします。 ライセンス発行時やRMA時に利用します。

show version     もしくは show tech	ライセンス発行時の、有効状況やシリアル確認用 show versionのほうが出力量が少ないが、 show techは様々な用途があるため、show tech取得を基本推奨
show inventory	RMA時用の、筐体やパーツのシリアル確認用

  

当コマンドは、CLI もしくは ASDM、どちらからの取得でも問題ありません。

ASDMの場合、上部メニューの、Tools > Command Line Interface... をクリックすると 以下の Command Line Interface がポップアップします。 Multiple Line をクリックし上記コマンドを実行することで、出力を可能です。 Response欄の出力を 任意メモ帳に保存してください

    　　　　
　　　　　　　

ASDM リストア手順

1. 初期セットアップからのリストアの場合、事前に、以下を参考に、同じASA/ASDMバージョンと ライセンス適用状態に合わせ、ASDMでASAにアクセス可能な状態にしてください

ASA: TFTP サーバから ASA や ASDM のイメージファイルをダウンロードする手順
https://supportforums.cisco.com/docs/DOC-39733

ASA: 起動時の ASAソフトウェアイメージの指定方法
https://supportforums.cisco.com/ja/document/12021076

ASA: ASDM を利用して ASA にアクセスするための設定
https://supportforums.cisco.com/ja/document/12067231

ASA: Activation Keyを用いたライセンス有効化と確認
https://supportforums.cisco.com/ja/document/13091861#Activation_KeyASA

2. リストア対象ASAに ASDMでアクセスし、上部メニューの Tools > Restore Configurations を選択します


3. Restore Configurations がポップアップしますので、"Browse Local..."ボタンをクリックし ZIP形式のバックアップファイルを選択後、"Next"ボタンをクリックします


4. リストア対象をチェックし、"Restore"をクリックします。 全設定を復元する場合は、チェック可能なのを 全てチェックします

 

(Identity Certificatesを利用時のみ) リストアの際、パスフレーズ(デフォルト=cisco)の入力を求められます。仮にパスフレーズが間違ってるとIdentity Certificatesなど関連設定の復元に失敗するため、正しいパスフレーズを入力するようにしてください


5. 以下のリストア時の警告のある場合、確認した後、"はい(Y)"をクリックします

6. Running Configuration Restoreがポップアップしますので、リストア方式を選択します。 本例では "Replace"を クリックします

   Replace ・・・ バックアップされた Running-configを利用
   Merge ・・・・ 現在と バックアップされたRunning-configをマージ
   Skip ・・・・・・ Running-configの リストアをスキップ

7. Restore Progress の完了まで待ちます


8. Restore Progress が完了後、"Close"ボタンをクリックします


9. リストア対象ASAに ASDMで再アクセスし、設定が復元されたことを確認した後、画面上部の Save ボタンをクリックし設定を保存します。 もしくは、CLIから write memory コマンドで設定を保存します。

  
全設定の復元時などは、ASAを再起動し、起動後 想定のパスワードでログインできるか、再起動後も想定の設定が正しく復元されているか、などの確認の実施を お勧めします。

     　　　　

    　　　　　　

制限事項・ベストプラクティス

導入時: 証明書とRSAキーを利用時の注意点

AnyConnect接続用などで証明書を利用環境、かつ TrustpointにRSAキーを使用している場合、証明書バックアップ・リストア機能を利用するには Trustpoint名と RSAキーペア名を同じにしてください。 仮にTrustpoint名と RSAキーペア名が異なる場合、当設定部分のリストアに失敗します。

○ リストア可能な設定	× リストア不可な設定
crypto ca trustpoint TEST-Trustpoint  enrollment self  subject-name CN=cisco.com,OU=system,O=cisco  keypair TEST-Trustpoint  crl configure	crypto ca trustpoint TEST-Trustpoint  enrollment self  subject-name CN=cisco.com,OU=system,O=cisco  keypair TEST-Key  crl configure

 

これは、インポート時にキーペア名は Trustpoint名と同じ名前が割り当てられる制限によるものです。 以下は ASDM7.8 Configuration Guideからの抜粋です。

If you import PKCS12 data (with the crypto ca trustpoint command) and the trustpoint uses RSA keys, the imported key pair is assigned the same name as the trustpoint. Because of this limitation, if you specify a different name for the trustpoint and its key pair after you have restored an ASDM configuration, the startup configuration will be the same as the original configuration, but the running configuration will include a different key pair name. This means that if you use different names for the key pair and trustpoint, you cannot restore the original configuration. To work around this issue, make sure that you use the same name for the trustpoint and its key pair.

 

上記制限のため、RSAキーを指定する証明書を利用環境で、円滑なバックアップ・リストアを実現するには、Trustpoint名と RSAキーペア名を同じにする必要があります。 導入時や、関連設定を追加時は、当制限に注意してください。

  

  

運用時: ASDMでのバックアップ・リストア前の注意点

ご利用のASAバージョンがサポートする、最新のASDMバージョンのご利用をお勧めします。 古いASDMバージョンの場合、ASDMのバックアップ/リストア機能や 設定機能に問題が内在するリスクが上がってしまうためです。 また、2016年現在のメジャーバージョンは ASDM 7.x系となりますが、古いメジャーバージョン(ASDM 6.xなど)の場合、新しいJava SE Plug-in 7.0とそれ以降に対応してません。 つまり、古いASDMバージョンの利用は 保守性や管理性が低下します。 

ASDMは あくまで管理アクセスツールですので、そのアップグレードは、機器再起動 無しに、シンプルに実行できます。 基本的にASDMは下位互換性があるため、最新のASDMバージョンが利用できる事が多いです。 利用可能な最新ASDMバージョンは、ASDMメニューの Tools > Check for ASA/ASDM Updates.. から簡単に確認できます。 及び、そのままアップグレードも可能です。

各ASAバージョン毎の ASDM互換性情報の詳細はコチラを参照してください。 アップグレード手順はコチラを参照してください。

 

 

運用時: ASDMでリストア時のトラブル調査方法

リストア時にポップアップする Restore Progressの、Progress Messages欄でリストア状況と結果を確認できます。

 

リストアのトラブル時は、まずは以下の確認や実行をお勧めします。

• Progress Messages欄でエラーが発生してるかの確認と調査
• リストア対象機のバージョンやライセンス有効化状況、モデルが同じかの確認 
• リストア対象機のASAの再起動
• ASDMバージョンが古い場合は、ご利用のASAがサポートする最新のバージョンを利用しての再度リストア

 

以下はトラブルケース別の対応例です。

ファイルをアップロードできない場合：
Flash内に十分な空き容量があるか確認してください。 Flash内のファイルとそのサイズは、Tools > File Managementから確認やファイル削除ができます。 また、このTools > File Managementから、フラッシュ空き容量(Flash Space - Available)を確認できます。 空き容量が足りない場合は、使っていないASAやASDMのソフトウェアイメージの削除を検討します。
  

policy-mapの global_policy内の無効化したinspect設定が復元されてしまう場合：
交換前機器でpolicy mapの global_policy内のデフォルト有効のinspect設定の一部を何らかの理由で無効化しているASAの場合、リストア後にそれら無効化していたinspect設定が有効な状態で復元されてしまいます。 例えば、policy-mapの global_inspect内の inspect esmtpを無効化したASAで取得したバックアップファイルを、別のASAに復元するとinspect esmtpが再度有効化されてしまいます。当問題は  CSCux13150 で定義されており、修正の実装予定は未定です。回避策としては、リストア後に手動でinspect設定差分の無効化が必要となります。

なお、通常、policy mapのglobal_policy内のデフォルトのinspect設定は問題なく動作し、これら設定はアプリケーション通信のNATサポートやセキュリティ保護にも利用されます。 そのため、policy mapのglobal_policy内のinspect設定は、何らかの理由がない限りは削除せず、デフォルト値のままの利用が推奨されます。

 

Identity Certificatesを復元できない場合：
リストア時のパスフレーズが正しいか、Trustpoint名とRSAキーペア名が同じだったか、復元とリストアに用いたASDMバージョンは最新か、などを確認します。 

また、ASDM経由のリストアを Mergeを選択し再度実行してみてください。 初回リストア後にRSAキーがASAに復元されていることにより、2回目は証明書復元が成功するケースがあります。

TrustpointがRSAキーを利用している場合、実装によりRSAキーはTrustppoint名で復元されるため、復元されたRSAキーをコマンド show crypt key mypubkey rsa を確認し、そのRSAキーを Trustpointに紐付けしなおしてください。

 

上記を確認、実施してもASDM経由で復元できない場合は、ASA サーバ証明書を含むコンフィグのレストアに失敗する場合の対処方法についてを参考にCLIでのリストア手順も確認ください。

  
上記を確認後もトラブルの解決が難しい場合は、復元手順と、何の設定が復元できないかを明確化の上、以下情報などを収集の上、販売代理店様 もしくは Cisco TACに問い合わせを検討してください。

• 復元用ZIPファイル
• リストア時のProgress Messages出力のテキスト保存
• ASDMの Tools > Command Line Interface から、show tech と dir と show crypt key mypub rsa と show log と show inventoryの各実行結果の出力取得と テキスト保存

　　　　

　　　

運用時: CLIでのバックアップ・リストア機能について

ASAバージョン 9.3(2)から バックアップ・リストア機能が、CLIでも利用可能になりました。 詳しくは以下URLを参照ください。 なお、CLI経由と ASDM経由の、各バックアップ・リストア機能は互換性がありません。 CLIから取得したバックアップは、CLIからリストアする必要があります。 CLIから取得したバックアップファイルは、拡張子が tar.gz になります。

Cisco ASA Series Command Reference, A - H Commands - backup
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/A-H/cmdref1/b.html#pgfId-1441561

Cisco ASA Series Command Reference, I - R Commands - restore
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/I-R/cmdref2/qr1.html#pgfId-1906774

　　　
「ASDMからバックアップ」と 「CLIからバックアップ」は、"混用"は 極力 避けて頂いたほうが、運用がシンプルです。 

　　　　

　　　

参考リンク

ASDM7.8: Back Up and Restore Configurations or Other Files
- バックアップとリストア機能について詳細は、当URLを参照

https://www.cisco.com/c/en/us/td/docs/security/asa/asa98/asdm78/general/asdm-78-general-config/admin-swconfig.html#ID-2152-000009af

ファイアウォール トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161736

Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733