購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
527
閲覧回数
5
いいね!
0
コメント

IPS:RMA交換/再インストールに必要なConfigのBackup/Restore方法

Kenichiro Kato
Cisco Employee
Cisco Employee

‎2015-07-13 09:13 PM

[toc:faq]

はじめに

本記事ではCisco IPS(アプライアンス、ASA5510等の物理モジュールや、ASA5512等のソフトウェアモジュール)等が機器故障によるRMA等によって、再インストール(Re-image)が必要な場合のconfigのbackupから再インストール、configのRestoreまでの流れを説明します。
また、機器交換の場合でなくても、運用期間が長くIPSが一時ファイルの肥大化する等、何かしらの原因で不安定になった場合には、再インストールを行うことで安定化を図ることができる場合もあるため、同一機器に再インストールする場合についても説明します。

前提条件

  • 本記事でのGUI/CLIはCisco IPS4345、IPS Version 7.2(2)E4にて動作確認をしております。
  • cisco.com上のドキュメントがある部分については適宜参照して記述しております。
  • 機器やバージョンによって出力や動作が異なる場合もございますが、基本的にはそれらに依存しないように記述しております。

作業の手順

作業は以下の流れで行います。これら一連の作業を行うことで、IPSの交換前と同じ状態へRestoreすることが可能です。
同一機器への再インストールは3.を省いて実行していただけたらと存じます。

1.既存IPSのSoftware Version及び適用したSignatureのリリースを確認
2.configのbackup
3.機器の交換等
4.OSの再インストール
5.Signatureの適用
6.configのrestore

以降、それぞれの作業について説明します。

 

1.既存IPSのSoftware Version及び適用したSignatureのリリースを確認

まず、IPSのSoftware Version及びSignatureのReleaseを確認します。

sensor# sh ver
Application Partition:

Cisco Intrusion Prevention System, Version 7.2(2)E4

Host:                                                  
    Realm Keys          key1.0                         
Signature Definition:                                  
    Signature Update    S875.0            2015-06-30   
OS Version:             2.6.29.1                       
Platform:               IPS-4345-K9                    
Serial Number:          XXXXXXXXXX                    
Licensed, expires:      12-Jul-2016 UTC                
Sensor up-time is 1:26.

この出力から、IPSのSoftwareは7.2(2)E4、SignatureのReleaseはS875.0であることが分かります。以降、作業に必要となりますので、忘れないように記録をします。

2.configのbackup

次にConfigのBackupを外部のFTPサーバ、SCPサーバへコピーします。
以下ではFTPサーバの場合の例となりますが、SCPの場合はftp://の部分をscp://に変更すれば動作致します。

sensor# copy current-config ftp://<username>@<hostnameもしくはIP>/<絶対PATH or 相対PATH>/current-config-backup
Password: ********

PATHの指定の仕方ですが、FTP/SCPでログインした後に現れるDirectory配下にFTPというDirectoryがあり、相対PATHを指定する場合は

ftp://testuser@192.168.100.1/FTP/current-config-backup

と指定し、ログインするフォルダ配下にないフォルダを絶対パスで指定する場合は

ftp://testuser@192.168.100.1//var/FTP/current-config-backup

等と、スラッシュを2つ続ける形で、指定します。

上記コマンドを実行した結果、FTPサーバにBackupのファイルが作成されていることを確認します。

3. 機器の交換等

機器の交換等を行います。同じ筐体への再インストールの場合は関係ありません。

4. OSの再インストール

Cisco IPSの同一バージョンのOS(この例では7.2(2)E4)を再インストールします。
今回の例ではIPS4345なので、IPS-4345-K9-sys-1.1-a-7.2-2-E4.imgを使用します。

再インストールの方法についてはIPSのバージョン、アプライアンスや、ASAのモジュールによって異なりますので、以下、お使いいただいているバージョンのドキュメントを参照頂き、その後、各プラットフォーム用の再インストール方法をご確認ください。

今回の例で言えば、7.2のドキュメントの「Installing the System Image for the IPS 4300 Series」を参照します。

<インストール手順へのリンク>

IPS 7.1 Upgrading, Downgrading, and Installing System Images 配下のInstalling System Imagesをご参照ください。

IPS 7.2 Upgrading, Downgrading, and Installing System Images 配下のInstalling System Imagesをご参照ください。

IPS 7.3 Upgrading, Downgrading, and Installing System Images 配下のInstalling System Imagesをご参照ください。
 

なお、再インストールの作業については、バージョン・プラットフォームによって大きく異なるため、現在主に使われる7.1/7.2/7.3それぞれへのリンクを紹介しますが、次項以降の内容はバージョン毎にほぼ違いがないので、紹介するドキュメントは、今回テストに使用している7.2のマニュアルへのリンクのみとします。しかし、細かい差が出来る場合もございますので、ご不安な方は、極力、ご使用いただいているバージョンのドキュメントをご使用いただくのが確実かと存じます。

 

5. ライセンスの適用

Signatureの適用をする前に、Licenseを再度適用する必要があるため、必要に応じて取得し、適用します。
ライセンスの取得と適用については以下ドキュメントをご参照ください。

Cisco Intrusion Prevention System Appliance and Module Installation Guide for IPS 7.2

6. Signatureの適用

Signatureのreleaseが同じになるように適用します。今回の例の場合は、S875.0となります。なお、元々最新のSignatureを適用していた場合は、Auto Updateで問題ありませんが、Signatureの差分があるときに、Configのリストアを行うと問題が発生する可能性があるため、最新版を使っていない場合は、元々のSignatureのReleaseと同じものを、cisco.com上から、ファイルダウンロードして手動で適用してください。

Signatureのファイルは以下からダウンロード可能です。(ダウンロードには適切な権限を持ったCCOIDが必要となります。)

Download Software
配下の[Intrusion Prevention System (IPS) Signature Updates]より、ダウンロードしてください。

Signatureの手動での適用については、以下のManually Updating the Sensorをご参照ください。
 

IDMからであれば、Configuration->Sensor Management->Update Sensorから手動アップデートを行うことができます。

最後に、再度show versionを実行して、Signatureのバージョンと、OSのバージョンが、交換前と一致していることを確認します。

7. ConfigのRestore

OSの再インストールとSignatureの適用が完了したら、最後に、先ほど作成したConfigのBackupを、IPS本体に適用します。

まず、直接FTPサーバから、current-configを書き換えることも出来ますが、一旦backup-configに移します。

copy ftp://<username>@<hostnameもしくはIP>/<絶対PATH or 相対PATH>/current-config-backup backup-config

Password: ********

その後、backup-configを、current-configにコピーします。

sensor# copy backup-config current-config
exit                          
Warning: /user-profiles/[profile-name=ASA9]/password/ -- var value did not change
Warning: / -- The entire edit config had no effect.

Error: Please enable sshv1 fallback before configuring communication as ssh-3des for router 192.168.70.2 , else choose ssh2.

Changes not related to the above error messages were applied successfully to the system.
sensor#

上記のようにErrorやWarningが出ることもありますが、エラーメッセージとは関係ない部分については、問題なくRestoreされております。

基本的には、こちらの方法で動作すると思われますが、問題がある場合は、交換前のconfigと、交換後のconfigの差分を確認する等して、修正いただけたらと思います。

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents