キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASDM: ASA設定のバックアップ・リストア機能について

 

       

はじめに

ASDMのバックアップ・リストア機能で、CLI利用時に比べ、簡単に 多くの設定のリストアが可能です。 

本ドキュメントでは、ASDMのバックアップ・リストア機能の説明と、その実行方法について説明します。

本ドキュメントは、ASAソフトウェアバージョン 9.4(2)、ASDMバージョン 7.5(2)を用いて確認、作成しております。

        
       

ASDM バックアップ・リストア機能

本機能を利用するには、対象機器が 同じASAバージョン、ライセンス適用状態である必要があります。

本機能を利用することで、以下などのバックアップとリストアが可能です。

    • Running Configuration
    • Startup Configuration
    • AnyConnect packages and configs
    • SSL VPN objects (bookmarks, web contents, customization..)
    • VPN PreShared-Key
    • Identity Certificate


AnyConnectを利用時は、AnyConnect Package(PKG) ファイルは、"show run | include anyconnect" もしくは"show run | include svc"コマンドで確認できるファイルを バックアップ対象とします。

DAPポリシーを利用時は、dap.xmlファイルをバックアップ対象とします。

Identity Certificateを利用時は、紐付いたRSAキーペアもバックアップ対象になります。 バックアップ時にはパスフレーズの入力画面がポップアップします。 パスフレーズは PKCSファイルの保護に利用されます。 リストア時に 同じパスフレーズの入力が必要になりますので、忘れないようにして下さい。リストアに成功すると、復元されたRSAキーペアは"show crypto key mypubkey rsa"コマンドで確認できます。

Local CA Serverを利用時は、コチラを参照し 別途バックアップを行ってください。


冗長構成で利用時は、Primary機とSecondary機で 個別にバックアップとリストアが必要です。

ASA9.3トレイン以下の冗長構成で 証明書を利用時は、Standby機への証明書同期問題(CSCsr71150 )の影響に注意してください。 CSCsr71150 の復旧方法は Standby機の手動再起動、もしくは "write standby"コマンドの実行です。


バックアップファイルはZIP形式で生成されます。 ZIPファイル内にはセキュアな情報が 多数格納されているため、厳重に保管してください。

リストア時は、ZIPファイルのまま利用します。 そのため、ZIPファイルを解凍しての保管は避けてください。

         
       

ASDM バックアップ手順

1. バックアップ対象ASAに ASDMでアクセスし、上部メニューの Tools > Backup Configurations を選択します


2. Backup Configurations がポップアップしますので、"Backup All"にチェックが入っていることを確認し、"Browse Local..."ボタンをクリックし 任意の保存先・ファイル名を設定後、"Backup"ボタンをクリックします

Backupの際、Identity Certificatesを利用時は、パスフレーズ(デフォルト=cisco)の入力を求められます。


3. Backup Progress がポップアップしますので、完了まで待ちます


4. Backup Progress が完了後、"Close"ボタンをクリックします


5. Backup Statistics がポップアップしますので、バックアップ結果を確認しOKをクリックします


6. バックアップしたファイルは、セキュアな情報を多数 格納してますので、ZIP形式のまま 厳重に保管してください



7. (オプション) ZIPファイルでの 設定バックアップと合わせ、以下コマンド出力の 任意メモ帳への保存を 強くお勧めします。 ライセンス発行時やRMA時に利用します。

   show version ・・・ ライセンス発行時の、有効状況やシリアル確認用
   show inventory ・・・ RMA時用の、筐体やパーツのシリアル確認用

当コマンドは、CLI もしくは ASDM、どちらからの取得でも問題ありません。

ASDMの場合、上部メニューの、Tools > Command Line Interface... をクリックすると 以下の Command Line Interface がポップアップします。 Multiple Line をクリックし上記コマンドを実行することで、出力を可能です。 Response欄の出力を 任意メモ帳に保存してください


        
       

ASDM リストア手順

1. 初期セットアップからのリストアの場合、事前に、以下を参考に、同じASA/ASDMバージョンと ライセンス適用状態に合わせ、ASDMでASAにアクセス可能な状態にしてください

ASA: TFTP サーバから ASA や ASDM のイメージファイルをダウンロードする手順
https://supportforums.cisco.com/docs/DOC-39733

ASA: 起動時の ASAソフトウェアイメージの指定方法
https://supportforums.cisco.com/ja/document/12021076

ASA: ASDM を利用して ASA にアクセスするための設定
https://supportforums.cisco.com/ja/document/12067231

ASA: Activation Keyを用いたライセンス有効化と確認
https://supportforums.cisco.com/ja/document/13091861#Activation_KeyASA


2. リストア対象ASAに ASDMでアクセスし、上部メニューの Tools > Restore Configurations を選択します


3. Restore Configurations がポップアップしますので、"Browse Local..."ボタンをクリックし ZIP形式のバックアップファイルを選択後、"Next"ボタンをクリックします


4. リストア対象をチェックし、"Restore"をクリックします。

全設定を復元する場合は、チェック可能なのを 全てチェックしてください。 Identity Certificatesを利用環境では、バックアップ時に入力したパスフレーズ(デフォルト=cisco)の入力を求められます


5. 以下のリストア時の警告のある場合、確認した後、"はい(Y)"をクリックします


6. Running Configuration Restoreがポップアップしますので、リストア方式を選択します。 本例では "Replace"を クリックします



   Replace
・・・ バックアップされた Running-configを利用
   Merge ・・・・ 現在と バックアップされたRunning-configをマージ
   Skip ・・・・・・ Running-configの リストアをスキップ

7. Restore Progress の完了まで待ちます


8. Restore Progress が完了後、"Close"ボタンをクリックします


9. リストア対象ASAに ASDMで再アクセスし、設定が復元されたことを確認した後、画面上部の Save ボタンをクリックし設定を保存します。 もしくは、CLIから write memory コマンドで設定を保存します。

  
全設定の復元時などは、ASAを再起動し、起動後 想定のパスワードでログインできるか、再起動後も想定の設定が正しく復元されているか、などの確認の実施を お勧めします。

         

          

補足情報: ASDMでのバックアップ・リストアの前に・・

ご利用のASAバージョンがサポートする、最新のASDMバージョンのご利用をお勧めします。 古いASDMバージョンの場合、ASDMのバックアップ/リストア機能や 設定機能に問題が内在するリスクが上がってしまうためです。 また、2016年現在のメジャーバージョンは ASDM 7.x系となりますが、古いメジャーバージョン(ASDM 6.xなど)の場合、新しいJava SE Plug-in 7.0とそれ以降に対応してません。 つまり、古いASDMバージョンの利用は 保守性や管理性が低下します。 

ASDMは あくまで管理アクセスツールですので、そのアップグレードは、機器再起動 無しに、シンプルに実行できます。 基本的にASDMは下位互換性があるため、最新のASDMバージョンが利用できる事が多いです。 利用可能な最新ASDMバージョンは、ASDMメニューの Tools > Check for ASA/ASDM Updates.. から簡単に確認できます。 及び、そのままアップグレードも可能です。

各ASAバージョン毎の ASDM互換性情報の詳細はコチラを参照してください。 アップグレード手順はコチラを参照してください。

 

 

補足情報: ASDMでリストア時のトラブル調査方法

リストア時にポップアップする Restore Progressの、Progress Messages欄でリストア状況と結果を確認できます。 そのためリストアのトラブル時は、Progress Messages欄でエラーが発生してないか確認してください。 ASAの再起動が有効な時があります。 また、ASDMバージョンが古い場合は、ご利用のASAがサポートする最新のバージョンを利用しての再度リストア実施を強くお勧めします。

例えば、ファイルをアップロードできない場合は、Flash内に十分な空き容量があるか確認してください。 Flash内のファイルとそのサイズは、Tools > File Managementから確認やファイル削除ができます。 また、このTools > File Managementから、フラッシュ空き容量(Flash Space - Available)を確認できます。 空き容量が足りない場合は、使っていないASAやASDMのソフトウェアイメージの削除を検討します。

例えば、Identity Certificatesを復元できない場合は、リストア時のパスフレーズが正しいか、Trustpoint名とKeypair名が同じか、復元とリストアに用いたASDMバージョンは最新か、などを確認します。  

 
トラブルの自己解決が難しい場合は、復元手順と、何の設定が復元できないかを明確化の上、以下情報などを収集の上、販売代理店様 もしくは Cisco TACに問い合わせを検討してください。

  • 復元用ZIPファイル
  • リストア時のProgress Messages出力のテキスト保存
  • ASDMの Tools > Command Line Interface から、show tech と dir と show crypt key mypub rsa と show log と show inventoryの各実行結果の出力取得と テキスト保存

    

   

補足情報: CLIでのバックアップ・リストア機能について

ASAバージョン 9.3(2)から バックアップ・リストア機能が、CLIでも利用可能になりました。 詳しくは以下URLを参照ください。 なお、CLI経由と ASDM経由の、各バックアップ・リストア機能は互換性がありません。 CLIから取得したバックアップは、CLIからリストアする必要があります。 CLIから取得したバックアップファイルは、拡張子が tar.gz になります。

Cisco ASA Series Command Reference, A - H Commands - backup
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/A-H/cmdref1/b.html#pgfId-1441561

Cisco ASA Series Command Reference, I - R Commands - restore
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/I-R/cmdref2/qr1.html#pgfId-1906774

   
「ASDMからバックアップ」と 「CLIからバックアップ」は、"混用"は 極力 避けて頂いたほうが、運用がシンプルです。 

    

   

参考情報

ASDM7.5: Back Up and Restore Configurations or Other Files
- バックアップとリストア機能について詳細は、当URLを参照
http://www.cisco.com/c/en/us/td/docs/security/asa/asa95/asdm75/general/asdm-75-general-config/admin-swconfig.html#ID-2152-000009af

ファイアウォール トラブルシューティング
https://supportforums.cisco.com/ja/document/12725841#ASA_Firewall-2

バージョン履歴
改訂番号
2/2
最終更新:
‎08-31-2017 10:35 AM
更新者:
 
ラベル(1)
寄稿者:
タグ(2)
コメント
Dan
New Member

こんにちは、

ASDM 7.4
ASA5515 7.4(3)

で運用しております。

上記の方法でバックアップを取りたいとASDMを起動したところ
「Tools > Downgreade Software...」
「Tools > Buckup Configurations」
「Tools > Restore Configurations」
が存在していませんでした。

他に上記画像と違う点ですが、
「Tools > File Managerment...」
「Tools > Check for ASA/ASDM Updates...」
「Tools > Upgrade Software from Lozal Computer...」
「Tools > System eload...」
の4項目がグレーアウトしています。

どのようにすれば
「Tools > Buckup Configurations」
等が表示されるのかご教授いただけないでしょうか?

Cisco Employee

Danさん、こんにちわ。

恐らく、ASA5515の Multiple Contextモードを利用されてませんでしょうか。 仮に利用時は、残念ながらMultiple Contextモードは Backup/Restore機能を含む、幾つかのASDM機能に対応してません。

Perform a Complete System Backup or Restoration
Before You Begin Backup or Restore
    - The ASA must be in single context mode.  <---

http://www.cisco.com/c/en/us/td/docs/security/asa/asa94/config-guides/asdm74/general/asdm-74-general-config/admin-swconfig.html#ID-2152-000009b5

 
Firewallとして利用するMultiple Contextモードの場合、システム実行スペース(admin contextからchanegto systemでアクセス可能)から、show techで各contextの show running-configを取得できるので、こちらをバックアップに利用して頂くのが良いかと思われます。

Dan
New Member

 様

ご回答ありがとうございました。

理由がわかり助かりました。