シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

CSC-SSM モジュールをリイメージする

下記の投稿は CSC-SSM のリイメージ(OS の再インストール)プロセスを、最新バージョンの情報に基づいて、詳細かつ分かりやすく説明するドキュメントです。

Re-imaging the CSC-SSM

https://supportforums.cisco.com/docs/DOC-1323

本投稿は原作者 Magnus Mortensen の了承を得て日本語に翻訳したものとなります。


    

概要

このガイドでは Cisco ASA Content Security and  Control (CSC) Security Services Module を最新バージョンへリイメージするステップを説明します。リイメージのプロセスは大体 30分間かかり(cisco.com から必要なファイルを入手する時間を除く)、リイメージ終了後、CSC モジュールは新しいバージョンで設定が入っていない状態で起動します。

   

アップグレード手法

CSC モジュールのアップグレードに 2種類のファイルが使われ、それぞれの拡張子が BIN と PKG となっています。

   

BIN ファイル - BIN ファイルはモジュールのリイメージに使われます。このファイルに CSC モジュールの基本 OS が入っています。通常 BIN ファイルは 6.2.1599.0 や 6.3.1172.0 のようなメインテナンスバージョンとしてリリースされます。

   

PKG ファイル - PKG ファイルは BIN ファイルのリリース後に見つかったバグの修正とマイナー実装変更が入っているパッチとなります。例えば、csc6.3.1172.3.pkg は 6.3.1172.0 に対するパッチであり、それを当てると、CSC モジュールのバージョンが  6.3.1172.3 になります。各 PKG ファイルのリリースノートには、そのパッチを当てれるバージョンが記載されています。

    

注意

リイメージする際、CSC モジュールのダウンタイムが発生します。ASA 側の設定で CSC モジュールのスキャンポリシーが 'fail-close' となっている場合、CSC モジュールの検査を要する通信ができなくなります。'fail-close' およびその逆の 'fail-open' については、下記のドキュメントを参照してください。

Diverting  Traffic to the CSC SSM

    

   

リイメージ方法

ステップ1: 最新バージョンの CSC モジュールのイメージファイルを入手する

  • このリンクにアクセスする: http://www.cisco.com/cisco/software/navigator.html?a=a&i=rpm
  • このページで必要な BIN ファイルと PKG ファイルをダウンロードする。ここでは “csc6.3.1172.0.bin” と "csc6.3.1172.3.pkg"。
  • ダウンロードし終えたら、「ステップ2: TFTP サーバをセットアップする」へ。

    

ステップ2: TFTP サーバをセットアップする

なお、作業環境の物理結線として、CSC モジュールの Ethernet ポートから TFTP サーバまで疎通が取れるようにケーブリングしておく必要があります。通常は便利上、CSC モジュールのポートと TFTP サーバとを同じサブネットに置くことをお勧めします。

    

注意:   もし TFTP サーバが用意済みであれば、このステップをスキップしてください。

  • もしTFTP サーバを持っていなければ、インタネットから無料公開されているものを入手してください。
  • ここでは http://tftpd32.jounin.net/ からダウンロード出来る TFTPD32  というソフトウェアを使います。
  • TFTPD32 をダウンロードした後、ロカールデイスクに解凍します。例えば: c:\tftp
  • CSC イメージファイル csc6.3.1172.0.bin を同じフォルダの下においておきます。(画像では旧バージョンのイメージファイルですが、気にしなくて良いです)

first.jpg
     
     

  • TFTP サーバのプロセス(tftpd32.exe)を立ち上げると、作業 PC の IP アドレスに自動的にバインドします。ここでは 192.168.1.50 となっています。

2.jpg
   
   

ステップ3: 現時点で CSC モジュールの設定やライセンスをバックアップします。

  • 右のリンクで CSC モジュールのウェブ管理画面にログインします。https://CSC-module-IP:8443
  • 左側のメニュより、“Administration” -> “Configuration Backup” を選びます。
  • 作業 PC に config.tgz という名前でバックアップファイルを保存します。
  • 再度メニュに戻り、“Administration” -> “Product License” からライセンスキーをテキストとして保存しておきます。

3.jpg
     
     

ステップ4: CSC モジュールをリイメージします。

  • Telnet もしくは SSH で ASA のコマンドラインにログインします。
    ましくは、作業PC から USB-to-Serial のコンバーターで ASA のコンソールに接続して、コンソール上で下記の作業を実施して頂いてもよいです。
  • ‘enable’ モードに入ります。
  • コマンド hw-module  module 1 recover config でリイメージのパラメータを設定します。
  • 下記の情報が要求されます(ここでは設定例の情報となっています)。
  • 注意点としては、"Port IP Address" はリイメージプロセス中に CSC モジュール自身が使用する暫定アドレスとなります。

    ciscoasa(config)# hw-module module 1 recover config
    Image URL [t
    ftp://0.0.0.0/]: tftp://192.168.1.50/csc6.3.1172.0.bin
    Port IP Address [0.0.0.0]: 192.168.1.250
    VLAN ID [0]:
    Gateway IP Address [0.0.0.0]:
    ciscoasa(config)#

       
    注意:  もし TFTP サーバと CSC モジュールのポートが同じサブネットにいるなら、ゲートウェイは 0.0.0.0 のままにしてください。もし両者が別々のサブネットにいるなら、ゲートウェイをサブネット間にあるネクストホップのルータに指定してください。

   

  • 準備が完了したら、このコマンドでリイメージプロセスを開始します: hw-module module 1  recover boot:
    ciscoasa(config)# hw-module module 1 recover boot
    The module in slot 1 will be recovered. This may
    erase all configuration and all data on that device and
    attempt to download a new image for it.
    Recover module in slot 1? [confirm]
    ciscoasa(config)#
    Recover issued for module in slot 1

       

  • debug module コマンドでデバッグを有効にすると、リイメージの過程を確認できます。:
    Slot-1 000> Platform SSM-CSC20
    Slot-1 001> GigabitEthernet0/0
    Slot-1 002> Link is UP
    Slot-1 003> MAC Address: 000b.fcf8.0134
    Slot-1 004> ROMMON Variable Settings:
    Slot-1 005>   ADDRESS=192.168.1.250
    Slot-1 006>   SERVER=192.168.1.50
    Slot-1 007>   GATEWAY=0.0.0.0
    Slot-1 008>   PORT=GigabitEthernet0/0
    Slot-1 009>   VLAN=untagged
    Slot-1 010>   IMAGE= csc6.3.1172.0.bin
    Slot-1 011>   CONFIG=
    Slot-1 012> tftp csc6.3.1172.0.bin@192.168.1.50
    Slot-1 013> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Slot-1 014> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

    

  • 大体 10 分ほどかかります。リイメージが無事完了できたら、下記のようなメッセージが表示されます。Launching  BootLoader... というメッセージが表示されたら、リイメージが完了したことを示しております。
    Slot-1 204>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Slot-1 205> Received 57985402 bytes
    Slot-1 206> Launching TFTP Image...
    Slot-1 207> Cisco Systems ROMMON Version (1.0(8)1) #0: Thu Jan 20 20:28:49 PST 2005
    Slot-1 208> Platform SSM-CSC20
    Slot-1 209> GigabitEthernet0/0
    Slot-1 210> Link is UP
    Slot-1 211> MAC Address: 000b.fcf8.0134
    Slot-1 212> Launching BootLoader...

       

ステップ5: CSC モジュールを再度初期化します。

  • ASA のコマンドラインから ‘session 1’ で CSC にログインします。
  • ログインユーザとパスワードは共に ‘cisco’ です。
  • ここでパスワード変更のプロンプトに従って、パスワード変更を行います。
  • ウィザードに従って CSC モジュールのネットワーク設定、ドメイン名指定やライセンスの入力を行ないます。
  • これらの初期化が完了すると、ウェブ管理画面へログインできるようになります。

      

ステップ6:  CSC モジュールの設定をリストアします。

  • 右のリンクでCSC モジュールのウェブ管理画面にログインします。https://CSC-module-IP:8443https://csc-module-ip:8443/
  • 左側のメニュより、“Administration” -> “Configuration Backup” を選び、バックアップした設定ファイルをリストアします。

4.jpg

     

ステップ7: 最新の PKG パッチファイルを当てます。

  • 右のリンクでCSC モジュールのウェブ管理画面にログインします。https://CSC-module-IP:8443
  • 左側のメニュより、“Administration” -> “Product Upgrade” を選び、"Browse" をクリックします。
  • ファイル csc6.3.1172.3.pkg (最新のパッチ)を選び、ガイドに従って 6.3.1172.3 にアップグレードします。
  • パッチ当てる期間中に CSC モジュールのプロセスが再起動されます。.
コメント
Cisco Employee

CSC を保守する可能性がある方は、全員が理解しておくべき内容と思います。

4327
閲覧回数
18
いいね!
1
コメント