シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASA 8.3 アップグレードに必要な情報

 

はじめに

最初に 1 つ重要なことをはっきりさせておきましょう。ASA 8.2 から 8.3 へのアップグレードは決してマイナー アップグレードではありません。8.3 では、NAT と ACL の内部アーキテクチャが大きく変更されています。さらに、お客様にとっても重要な変更点があります。

  1. NAT CLI コマンドは、以前のすべての ASA バージョンとまったく異なります。
  2. ACL で使用される IP アドレスが異なります。バージョン 8.3 以前はグローバル/変換済み IP を使用していましたが、バージョン 8.3 では常にリアル IP(未変換)を使用します。
  3. ホストベース オブジェクトという新しい概念が導入され、個々のホストをその名前で参照できるようになりました(以前にも name コマンドがありましたが、show running-config output でのマクロ代用にすぎませんでした)

     
     

アップグレードの前提条件

ASA の多くのモデルは、バージョン 8.3 へアップグレードする前にメモリのアップグレードが必要になります。(2010 年 2 月以降に製造された)最新 ASA はメモリがアップグレードされた状態で出荷されます。ただし、お使いの ASA が 2010 年 2 月より前に製造されており、以下のいずれかのモデルである場合は、8.3 をインストールする前にメモリ アップグレード部品を購入する必要があります。

プラットフォーム
ライセンス
8.3以前の必要メモリ
8.3の必要メモリ
メモリアップグレード必要番号

5505無制限
(内部ホスト = 無制限)
256 MB512 MBASA5505-MEM-512=
5505セキュリティ プラス
(フェイルオーバー有効)
256 MB512 MBASA5505-MEM-512=
5505他のすべてのライセンス256 MB256 MBメモリ アップグレード不要
5510すべてのライセンス256 MB1024 MBASA5510-MEM-1GB=
5520すべてのライセンス512 MB2048 MB *ASA5520-MEM-2GB=
5540すべてのライセンス1024 MB2048 MB *ASA5540-MEM-2GB=
5550すべてのライセンス4096 MB4096 MBメモリ アップグレード不要
5580すべてのライセンス8-16 GB8-16 GBメモリ アップグレード不要

 

*注:ASA-5520 および ASA-5540 でサポートされている最大メモリは 3 GB です。これらのユニットに 4 GB のメモリをインストールするとブートループ状態になります。

     
     

ASA のメモリ容量を確認する方法

ASA の搭載メモリを確認するには、CLI から show version | include RAM コマンドを発行します。以下の例では、ASA-5520 に 512 MB の RAM が搭載されています。したがって、このユニットに 8.3 をインストールするには、事前にメモリをアップグレードする必要があります

   
ASA# show version | include RA
Hardware:   ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz

   
ASDM ユーザの場合、ASDM ホーム ページ(デバイス ダッシュボード)から ASA の RAM 容量を表示できます。

     
     

ASA がメモリ アップグレードを必要とする理由

お客様から非常によく寄せられるのが、「なぜ、8.3 をインストールするためにメモリ をアップグレードしなければならないのか」という質問です。理由は簡単です。最初にリリースされて以来、ASA はメモリが増加されていません。その間に多数の新機能が追加され、ブート時に追加メモリが必要になっています。ベース イメージで使用するメモリが増えるほど、ACL、接続、IPSec トンネル、SSL トンネルなどに割り当てられるメモリが少なくなります。さらに、新しい機能をお客様が導入すれば、それだけ多くのメモリを消費します。

     
     

ASA 設定 から nat-control を削除

nat-control は、ユーザが PIX 6.x から PIX/ASA バージョン 7.0 以上へ容易に移行できるように作成されたレガシー機能です。PIX 6.x では、2 つのインターフェイス間でトラフィックを通過させる場合、そのための NAT 設定が必要でした。PIX/ASA バージョン 7.0 ではこの制約が取り除かれ、ルータのように動作します。つまり、トラフィックが許可されているかどうかを ACL が制御し、NAT は任意となります。ただし、PIX ユーザの動作を維持するため、PIX ユーザが 6.x から 7.0 へアップグレードした場合、nat-control コマンドが自動的に設定に追加されます。PIX から ASA への移行ツールを使用する場合も同様です。したがって、設定に nat-control が追加されても、それを必要としないユーザが多数存在することになります。

    

nat-control コマンドを削除するとどうなりますか。

回答:大きな違いはありません。このコマンドを削除すると、NAT ポリシーがなくても、インターフェイス間でトラフィックを通過できるようにになります。したがって、トラフィックのセキュリティ ポリシー(どのトラフィックを許可し、どのトラフィックを拒否するか)はインターフェイス ACL に基づいて決定されます。

     

nat-control コマンドを設定に残したままにすると、どうなりますか。

回答:8.3 は nat-control コマンドをサポートしていないので、これと同等の NAT コマンドが追加されます。インターフェイス間を通過させるトラフィックについて明示的な NAT ルールを必要とするポリシーを適用する場合は、それらの NAT コマンドが使用されます。以下の例を参照してください。ASA 上のインターフェイスの数によっては、追加されるルールの数が指数関数的に増加することに注意してください。 そのため、セキュリティ ポリシー(ACL)に基づいてトラフィックの許可/拒否を制御する場合は、ASA バージョン 8.3 へアップグレードする前にno nat-control を発行してください。これによって以下の NAT ルールが作成されなくなり、より具体的な NAT ポリシーが定義されるまでインターフェイス間のトラフィックがブロックされます。
    

8.3 以前の設定8.3 の設定

nat-control
 object network obj_any
   subnet 0.0.0.0 0.0.0.0
   nat (inside,outside) dynamic obj-0.0.0.0
object network obj-0.0.0.0
   host 0.0.0.0
object network obj_any-01
   subnet 0.0.0.0 0.0.0.0
   nat (inside,mgmt) dynamic obj-0.0.0.0
object network obj_any-02
   subnet 0.0.0.0 0.0.0.0
   nat (inside,dmz) dynamic obj-0.0.0.0
object network obj_any-03
   subnet 0.0.0.0 0.0.0.0
   nat (mgmt,outside) dynamic obj-0.0.0.0
object network obj_any-04
   subnet 0.0.0.0 0.0.0.0
   nat (dmz,outside) dynamic obj-0.0.0.0
object network obj_any-05
   subnet 0.0.0.0 0.0.0.0
   nat (dmz,mgmt) dynamic obj-0.0.0.0

    

アップグレードする前に no nat-control を発行するのを忘れた場合は、NAT ルールに関連するすべて 0 のオブジェクトを後で削除してもかまいません。

    

現在の nat-control 設定を表示するには、show run all nat-control コマンドを発行します。

     
     

ASA を 8.3 にアップグレードする方法

ASA を 8.3 へアップグレードする方法は、以前のすべてのアップグレードと同じです。イメージをフラッシュ ディスクにコピーし、起動ファイルを指定して ASA を再起動するだけです。ASA の最初の起動時に、8.2 設定が、8.3 に必要な NAT および ACL の新しい構文へ自動変換されます。CLI コマンドは変更されますが、デバイスのセキュリティ ポリシーは変わりません。

注意: サポートされているのは 8.2 からの 8.3 へのアップグレードだけです。したがって、8.3 へアップグレードする前に、ASA 上で 8.2 を実行している必要があります。

    

フェイルオーバー セットの ASA に関しては、8.2 から 8.3 へのゼロダウンタイム アップグレードがサポートされています。ASA_8_3_ACL_Diagram.jpg

   

上記のトポロジーでは、内部 Web サーバ(IP 10.1.1.6)が ASA によって保護されます。インターネット上のクライアントは、パブリック IP アドレス(209.165.201.15)を使用してこの Web サーバにアクセスします。8.3 より前のバージョンでは、インターフェイス ACL がパブリック IP 209.165.201.15 へのトラフィックを許可していました。しかし、バージョン 8.3 からは、リアル IP 10.1.1.6 が設定で使用されます。以下の設定例を参照してください。

     

8.3 以前の設定

static (inside,outside) 209.165.201.15 10.1.1.6 netmask 255.255.255.255
!
access-list outside_in extended permit tcp any host 209.165.201.15
access-group outside_in in interface outside

       

8.3 の設定

object network obj-10.1.1.6
  host 10.1.1.6
  nat (inside,outside) static 209.165.201.15
!
access-list outside_in extended permit tcp any host 10.1.1.6
access-group outside_in in interface outside

     
     

8.3 で問題が発生した場合

  1. TAC に連絡して、サポートを依頼してください。
  2. disk0 の upgrade_startup_errors_<タイムスタンプ>.logon をチェックします。 more disk0:/upgrade_startup_errors_<timestamp>.log を使用してください。
  3. downgrade <image> <config> コマンドを使用して 8.2 へダウングレードします。これは重要です。このダウンロード コマンドを実行し、ディスク上の config ファイル(8.3 アップグレード プロセスが保存されている)を指定してください。

     
     

その他の情報

 

------------------------------------------------------------

DOC-12690

  • タグ付けされた記事をさらに検索:
コメント
New Member

こんにちは。

「アップグレード パス」の記述についてですが、
7.0 --> 8.2へのupgradeは、8.2のrelase notesに
以下の記述があります。

これによると、以下の順にupgradeする必要があるようです。
7.0 --> 7.1
7.1 --> 7.2
7.2 --> 8.2

Upgrading Between Major Releases
To ensure that your configuration updates correctly, you must upgrade to each major release in turn.
Therefore, to upgrade from Version 7.0 to Version 8.2, first upgrade from 7.0 to 7.1, then from 7.1 to 7.2,
and finally from Version 7.2 to Version 8.2 (8.1 was only available on the ASA 5580).
http://www.cisco.com/en/US/docs/security/asa/asa82/release/notes/asarn82.html#wp315678


これに対して、「アップグレード パス」の記述は、以下です。
7.0 --> 7.2
7.2 --> 8.0
8.0 --> 8.2

これらのドキュメントは、どちらが正しいのでしょうか。
あるいは、どちらでも、問題なくupgradeが完了するのでしょうか。

Silver

リリースノートで記述した手順はより丁寧ですが、経験上この記事にある「アップグレード パス」に準じて作業しても特に問題が発生しないです。

10376
閲覧回数
0
いいね!
2
コメント