シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel

ASA: ASDMを用いた、同じトレイン内の 最新バージョンへのアップグレード方法

 

 

はじめに

本ドキュメントは、ASDM7.xを用いた、現在利用しているASAソフトウェアの、同じトレイン内での、最新のInterimバージョンへの アップグレード(バージョンアップ)手順を示します。 なお、本手順は 同じトレイン内の最新のメンテナンスバージョンへの アップグレードにも利用可能です。

本ドキュメントでは、参考例として、ASAソフトウェア 8.4(7) ASDM 7.1(5)が動作するASA5505の、Interimバージョン8.4(7)23への アップグレード手順を示します。

    
また、本ドキュメントで扱っていない、CLIや 冗長構成でのアップグレード手順については、Cisco ASA Upgrade Guideファイアウォール トラブルシューティング ドキュメントの "アップグレード、メンテナンス"項を参考にしてください。

    

   

ASAソフトウェアバージョンの選定

ASAは トレインの更新毎(例:8.2→ 8.3→ 8.4や、9.0→ 9.1→ 9.2→ ・・)に、機能の多数追加や変更を行います。

各トレイン(例:8.2、8.3、8.4や、9.0、9.1、9.2、9.3、・・)は、ソフトウェア メンテナンス終了日まで継続し、不具合修正や 機能強化を行います。 これら修正や強化は、各トレインの最新バージョンに適用されます。 適用後、メンテナンスバージョン (例: 9.1の場合、9.1.1→ 9.1.2→ 9.1.3→ 9.1.4→・・)、 もしくは Interimバージョン (例: 9.1.6の場合、9.1.6.1→ 9.1.6.4→ 9.1.6.8→ ・・)として、入念なCisco社内テストを実施後、Download Softwareに公開されます。

Interimバージョンは、メンテナンスバージョンのリリース後に 発見された新規問題の修正を含みます。 緊急の脆弱性対応も 適用されます。 Interimバージョンも Cisco TAC 正式サポート対象です。 
 

以下は トレインの変遷図です。 分岐毎に 多数の機能追加や変更が行われます。 分岐後は メンテナンスを重ね、そのトレインは成熟に向かいます。 一定のメンテナンスの進んだトレインは、以後 Interimバージョンのみ公開されます。

ASA-software-train.JPG


つまり、現在利用しているトレインの、最新の Interimバージョン、もしくは最新のメンテナンスバージョンが、機能変更が少なく、最も不具合修正の進んだ 成熟したバージョンとなります。

脆弱性対応や、既知不具合の対応のための 緊急アップグレードが必要時は、同じトレイン内の 最新 Interimバージョン(例:9.1(3)→9.1(7)16)、もしくは 最新メンテナンスバージョンへのアップグレードを 優先し検討してください。

トレインを跨ぐ(例:8.2(5)→8.4(5))アップグレードの場合は、慎重に検討する必要があります。 事前に十分な時間を確保し、機能変更点などの確認と、(特にクリティカルな環境の場合や、大きくトレインを変更する場合は) 事前検証をお勧めしております。 トレインを跨ぐアップグレードは、利用中トレインのサポート終了が近い場合や、新機能を利用したい場合向けです。

各リリース毎の変更点や修正不具合情報は、リリースノートより確認できます。 Interimバージョンの修正不具合一覧は、Interimリリースノートより確認できます。 ASAモデル毎のサポートするトレイン一覧は、ASA software support list for each modelを参考にしてください。

表: トレイン別、アップグレード候補 

トレイン メジャー
バージョン
マイナー
バージョン
最新 Interim
バージョン *

最新 メンテナンス
バージョン *

End of SW Maintenance /
Last Date of Support **

 7.2  7  2  7.2(5)17  7.2(5)  Jul.2015 / Jul.2019
 8.2   8  2  8.2(5)59  8.2(5)  Oct.2015 / Oct.2019
 8.4   8  4  8.4(7)31  8.4(7)  Mar.2016 / Mar.2020
 8.6   8  6  8.6(1)17  8.6(1)  May.2015 / May.2019
 9.0   9  0  9.0(4)42  9.0(4)  Jan.2017 / Jan.2021
 9.1   9  1  9.1(7)25  9.1(7) 公開停止  Aug.2018 / Aug.2022
 9.2   9  2  9.2(4)28  9.2(4)  Aug.2018 / Aug.2022
 9.3   9  3  9.3(3)11  9.3(3)  Jan.2017 / Jan.2021
 9.4  9  4  9.4(4)17  9.4(4) 公開停止  Aug.2019 /  Aug.2021
 9.5 ***  9  5  9.5(3)9  9.5(3) 公開停止  May.2017 / May.2021
 9.6  9  6  9.6(4)6  9.6(4)  -
 9.7 ***  9  7  9.7(1)24  9.7(1) 公開停止  Aug.2018 / Aug.2022
 9.8  9  8  9.8(2)28  9.8(2)  -

 9.9 ***

 9  9  9.9(2)1  9.9(2)  -

9.10

 9  10   -   -   - 

    *2018年4月19日現在
   **各トレインのサポート終了日の最新情報は、End-of-Life and End-of-Sale Noticesで確認可能
  ***9.5以降 奇数トレインは 新機能実装用の 短期サポート リリース。 詳しくは ASA9.5(1)以降: トレイン別のサポートモデルの違いについて を参照

   
      

アップグレード実施前に・・確認事項

1. アップグレード先のASAソフトウェアバージョンが、現在利用のASDMバージョンと互換性がある事を、以下URLにて確認してください。 必要に応じて、事前にASDMソフトウェアのアップグレードを実施してください。

Cisco ASA Compatibility
http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#pgfId-226294


2. リリースノートに、アップグレードパスなどの重要な情報を記載してますので、アップグレード前に ご利用バージョンのリリースノートを確認してください。

Cisco ASA リリースノート
http://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-release-notes-list.html


3. 事前の設定のバックアップを お勧めしております。 バックアップとリストア手順について詳しくは 以下ドキュメントを参考にしてください。

ASDM: ASA設定のバックアップ・リストア機能について
https://supportforums.cisco.com/ja/document/12931301


4. ASAとASDMソフトウェアを Download Softwareから入手するには、適切なアカウントと契約が必要です。入手可能なアカウントをお持ちでない場合は、以下サイトを参照いただくか、Cisco製品販売代理店様に確認ください。

Cisco.com ユーザID アクセス権限ガイド
http://www.cisco.com/cisco/web/support/JP/loc/guide/access_authorize.html


5. 本ドキュメントの手順において ASAの再起動が発生します。 十分なダウンタイムを設けての実行を検討してください。

   
 

ASDM経由 アップグレード手順

以下手順を参考にするか、添付ファイル "asa_upgrade_from_asdm20150615v3.pdf"を参考にしてください。

         

1. 設定のバックアップ

1-1. アップグレード対象のデバイスに、ASDMでアクセス

  
1-2. Tools より、Backup Configurations を選択

forASAandASDMversionup_2-2.jpg

  
1-3.  Backup Configurations がポップアップするので、任意のファイル名と保存場所を指定した後、Backup ボタンをクリック

forASAandASDMversionup_2-3.jpg

    

  

2.ASAソフトウェアのダウンロード

ASAソフトウェアのアップグレードに利用する 最新Interimバージョンのイメージファイルなどは、Download Softwareサイトから入手する必要があります。 

 

2-1. 以下URLにアクセス

Download Software
http://software.cisco.com/download/navigator.html?mdfid=280582808&selMode=null


2-2. 利用の機種名で検索し、 Software on Chassisを選択forASAandASDMversionup_1-2.jpg

 

  
2-3. Adaptive Security Appliance(ASA) Software を選択

forASAandASDMversionup_1-3-1.jpg

  

2-4. ダウンロード可能な ASAソフトウェア一覧が表示されるので、All Releases → Interimを選択

forASAandASDMversionup_1-4.jpg

   

2-5.現在利用しているASAソフトウェアのトレインの、最新のInterimバージョンをダウンロードし、任意フォルダ内に保存。 なお、修正不具合管理IDの一覧を確認できる Interimリリースノートは、当ダウンロードページの右上リンク Release Notes for x.x.x Interim より確認が可能

forASAandASDMversionup_1-5.jpg
    

  

3. (必要時のみ) ASDMソフトウェアのアップグレード 

GUI管理ツールであるASDMのバージョンアップも実行する場合は、ASAソフトウェアのアップグレードに、ASDMアップグレードを実施してください。 仮にASDMアップグレードを行わない場合は、項番4「ASAソフトウェアのアップグレード」に進んでください。

  
当例では、CCO IDを利用した、ASDMソフトウェアの簡易アップグレード手順を紹介します。 仮に有効なCCO IDをお持ちでなく、ASDMイメージファイルからのアップグレードを行いたい場合は こちらを参照してください。 

  

ASDMバージョンのアップグレード時は、ASA本体の再起動は不要です。

  
3-1. Tools より、Check for ASA/ASDM Updates... を選択。 Cisco.comにアクセスするためのID・パスワード入力画面がポップアップするので、ソフトウェアのダウンロード権限を持つ ID・パスワード情報を入力

versionasdm411.JPG

versionasdm412.JPG

    

3-2. Cisco.com Upgrade Wizard が起動するので、Next ボタンをクリック

   
3-3. ASDM欄の Upgrade to をチェックし、プルダウンメニューをクリックすると、アップグレード可能なASDMバージョンを確認できる。現在利用のASAソフトウェアと互換性のある中で、最新のASDMバージョンを選択した後、Next ボタンをクリック

versionasdm43.JPG

    

3-4. 確認のステップに遷移するため、アップグレード内容が問題無い事を確認し、Next ボタンをクリック

   
3-5. 完了したら、Next ボタンをクリック

   
3-6. Finish ボタンをクリックし、ウィザードを閉じる

  
3-7. ASDMを閉じ、再度 ASDMで再接続し、期待のASDMバージョンである事を確認
forASAandASDMversionup_47.JPG

   

   

4. ASAソフトウェアのアップグレード

4-1. Tools より Upgrade Software from Local Computer... を選択

forASAandASDMversionup_3-1.jpg

  
4-2. Upgrade Software がポップアップするので、Image to Uploadより ASAを選択し、先ほどダウンロードした最新のInterimバージョンのファイルを指定し、Upload Image ボタンをクリック
forASAandASDMversionup_3-2.jpg
   

4-3. アップロードが完了すると、次回起動時に当ファイルを利用するかの確認のポップアップがあるため、Yes ボタンをクリック

   

4-4. ASA再起動後に 新しいASAソフトウェアバージョンで起動するため、その前に利用のASDMバージョンの互換性が問題無いかの確認の ポップアップがあるため、OK ボタンをクリック

  
4-5. ASDMの以下パスより、Boot Configurationの、Boot Image Locationのファイル名が上記手順でアップロードしたファイル名と同一である事を確認

 Configuration > Device Management > System Image/Configuration > Boot Image/Configuration
  
4-6. Toolsより、System Reload... を選択

forASAandASDMversionup_3-6.jpg

    

4-7. Save the running configuration at time of reload (=再起動前に設定を保存する) にチェックが入っている事を確認し、Schedule Reload ボタンをクリックし、ASAの再起動を実行

forASAandASDMversionup_3-7.jpg

   
4-8. 数分後、再度 ASDMで接続し、想定のASAソフトウェアバージョンになっている事を確認
forASAandASDMversionup_3-8.jpg

4-9. ASAを経由する通信の正常性を確認

     

  

参考情報

ファイアウォール トラブルシューティング
https://supportforums.cisco.com/t5/-/-/ta-p/3161736

コメント
Community Member

Nakamura様

 

こちらのURLより、ASAの互換性を確認しようとしたところ、

404エラーにて、アクセスできません。

Cisco ASA Compatibility
http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#pgfId-226294

 

こちらはすでに閉鎖されているWEBページになりますでしょうか。

もし、別のURLにて確認が出来るのであればそのURLを

ご教授願いますでしょうか。

 

 

Cisco Employee

ishiduさん、こんにちわ。 ご指摘ありがとうございます。 もしかしたら一時的にダウンしているのかもしれません。復旧させるよう弊社内の担当チームに依頼させて頂きました。

暫定対応/確認策としては、Compatibility 情報は、各ASDMソフトウェア ダウンロードページの、File Informationからも確認いただけるため、現在利用のASDMバージョン(できれば、利用中のASAバージョンをサポートする最新のASDMバージョン利用が望ましいです)が、アップグレード先のASAバージョンをサポートしているか、お手数ですが ご確認頂けますでしょうか。

例えば以下は ASDM バージョン 7.9.2のダウンロードリンクとなりますが、File Informationより、当ASDMバージョンは ASA 9.1~9.9までのトレインをサポートしていることを確認いただけます。

https://software.cisco.com/download/home/279513399/type/280775064/release/7.9.2

ASDM-support.JPG

 

なお、仮にASDMの互換性を確認せずASAバージョンアップをしてしまっても、(基本的にASDMはサポートするASAトレインは広いため ASAのバージョンを大きく変更する以外では互換性問題が発生することは少ないのですが)、仮にASDMが そのASAバージョンをサポートしない場合の 後からASDMバージョン変更も可能です。 ASDMアクセス時に、ASDMが 対象ASAのバージョンをサポートしてない場合は、警告と自動ASDMアップグレードを促すポップアップが出ます。 ASDMはあくまで ASAソフトウェア用の管理GUIのため、ASDMバージョン変更時のASA再起動は不要です。

15336
閲覧回数
15
いいね!
2
コメント