はじめに
本手順では Firepower2100シリーズ(FP2100)の FTDソフトウェアのリイメージ方法を紹介します。リイメージでは、旧ソフトウェアを削除し、新規ソフトウェアをインストールしなおします。 リイメージ後は、システムの再セットアップが必要です。
つまり、リイメージは以下などの用途で利用ができます。
- 初期状態からセットアップをしたい場合に
- ソフトウェアトラブル(破損含む)時の再インストール・復旧をしたい場合に
本ドキュメントは、Firepower 2140 Threat Defense v6.2.1を用いて確認、作成しております。 全体の作業時間目安は 1~2時間程度です。
Firepower 2100シリーズ リイメージ方法
1. Download Softwareより 対象の.SPAイメージをダウンロードします
2. 必要時のみ、事前に対象デバイスの初期化を行います。 初期化方法は 以下ドキュメントを参照してください。 パスワードリカバリ方法となりますが、設定初期化にも同手順の利用が可能です。
Firepower 2100 シリーズのパスワードリカバリ方法
https://supportforums.cisco.com/t5/-/-/ta-p/3292855
3. FP2100にコンソールアクセスし、任意TFTPサーバやFTPサーバより パッケージをデバイスにダウンロード・展開します。 ダウンロード後に展開は自動的に行われます。 なお、FP2100のデフォルトの管理IPアドレスは 192.168.45.45です。 (利用サーバとの通信速度などにも左右されますが、ダウンロード・展開の目安時間は20~30分です)
firepower#
firepower# scope firmware
firepower /firmware #
firepower /firmware # download image tftp://1.0.0.1/cisco-ftd-fp2k.6.2.1-341.SPA
Please use the command 'show download-task' or 'show download-task detail' to check download progress.
firepower /firmware #
4. ダウンロード状況や結果は「show download-task detail」コマンドで確認できます。
firepower /firmware # show download-task detail
Download task:
File Name: cisco-ftd-fp2k.6.2.1-341.SPA
Protocol: Tftp
Server: 1.0.0.1
Port: 0
Userid:
Path:
Downloaded Image Size (KB): 82576
Time stamp: 2017-07-21T10:27:10.069
State: Downloading
Status: Downloading the image <---- ダウンロード中
Transfer Rate (KB/s): 6881.333496
Current Task: downloading image cisco-ftd-fp2k.6.2.1-341.SPA from 1.0.0.1(FSM-STAGE:sam:dme:FirmwareDownloaderDownload:Local)
5. ダウンロードと展開完了後、利用可能なパッケージ情報を 「show package」コマンドで確認し、バージョン番号を確認し、メモをしておきます。
firepower /firmware # show package
Name Package-Vers
--------------------------------------------- ------------
cisco-ftd-fp2k.6.2.1-327.SPA 6.2.1-327
cisco-ftd-fp2k.6.2.1-341.SPA 6.2.1-341 <---- 今回アップグレード対象
6. 「scope auto-install」から、「install security-pack version <バージョン番号> force」コマンドを実行し、パッケージのインストールを開始します。 (本ドキュメント構成の場合、FTDインストール時間は 全体で30~40分程度です。)
firepower /firmware # scope auto-install
firepower /firmware/auto-install # install security-pack version 6.2.1-341 force
The system is currently installed with security software package 6.2.1-327, which has:
- The platform version: 2.2.1.47
- The CSP FTD version: 6.2.1.327
If you proceed with the upgrade, it will do the following:
- upgrade to the new platform version 2.2.1.49
- uninstall current app and reinstall with the new app version 6.2.1.341
During the upgrade, all CLI sessions will be terminated and the system will be reboot
Do you want to proceed ? (yes/no):yes
This operation upgrades firmware and software on Security Platform Components
Here is the checklist of things that are recommended before starting Auto-Install
(1) Review current critical/major faults
(2) Initiate a configuration backup
Do you want to proceed? (yes/no):yes
Triggered the install of software package version 6.2.1-341
Force option: true
Install started. This will take several minutes.
For monitoring the upgrade progress, please enter 'show' or 'show detail' command.
firepower /firmware/auto-install #
7. パッケージのインストールの進捗状況の詳細は 「show detail」 コマンドで確認できます。
firepower /firmware/auto-install # show detail
Firmware Auto-Install:
Package-Vers: 6.2.1-341
Oper State: Scheduled
Installation Time: 2017-07-21T10:48:17.190
Upgrade State: Removing Application
Upgrade Status: uninstalling the current CSP Application
Validation Software Pack Status: ok
Firmware Upgrade Status:
Current Task: Wait for Current Application Deletion to complete(FSM-STAGE:sa
m:dme:FirmwareSystemDeploy:PollDeleteCurrentApplicationStatus)
8. しばらくすると ログインプロンプト画面に戻るため、admin/Admin123でログインで可能となります。
firepower login: admin
Password: <---- デフォルト Admin123
Last login: Fri Jul 21 00:34:49 UTC 2017 on ttyS0
Last login: Fri Jul 21 11:07:20 UTC 2017 on ttyS0
Copyright 2004-2017, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.
Cisco Fire Linux OS v6.2.1 (build 6)
Cisco Firepower 2140 Threat Defense v6.2.1 (build 341)
Cisco Firepower Extensible Operating System (FX-OS) Software
TAC support: http://www.cisco.com/tac
Copyright (c) 2009-2015, Cisco Systems, Inc. All rights reserved.
9. なお、ログインプロンプトでアクセス可能な状態でも 以下のようなコンソールログが出る場合はインストール中となるため、操作せず、出力が落ち着くまで しばらくお待ちください。 (目安時間 10分~20分。)
firepower#
Executing S47install_default_sandbox_EO.pl [ OK ]
Executing S50install-remediation-modules [ OK ]
Executing S51install_health_policy.pl [ OK ]
Executing S52install_system_policy.pl [ OK ]
Executing S53change_reconciliation_baseline.pl [ OK ]
Executing S70remove_casuser.pl [ OK ]
Executing S70update_sensor_objects.sh [ OK ]
Executing S85patch_history-init [ OK ]
Executing S90banner-init [ OK ]
Executing S96grow_var.sh [ OK ]
Executing S96install_vmware_tools.pl [ OK ]
********** Attention **********
Initializing the system's localization settings. Depending on available
system resources (CPU, memory, and disk), this may take 10 minutes
or more to complete.
********** Attention **********
Executing S96localize-templates [ OK ]
Executing S96ovf-data.pl [ OK ]
Executing S97compress-client-resources [ OK ]
Executing S97create_platinum_forms.pl
10. パッケージインストールが完了後、「connect ftd」でログインすると、スタートアップウィザードにアクセスできます。 EULA確認や 任意パスワードやIP情報などを設定し、FTDソフトウェアの初期セットアップを完了させてください。
firepower# connect ftd
You must accept the EULA to continue.
Press <ENTER> to display the EULA:
END USER LICENSE AGREEMENT
IMPORTANT: PLEASE READ THIS END USER LICENSE AGREEMENT CAREFULLY. IT IS VERY
IMPORTANT THAT YOU CHECK THAT YOU ARE PURCHASING CISCO SOFTWARE OR EQUIPMENT
FROM AN APPROVED SOURCE AND THAT YOU, OR THE ENTITY YOU REPRESENT
(COLLECTIVELY, THE "CUSTOMER") HAVE BEEN REGISTERED AS THE END USER FOR THE
PURPOSES OF THIS CISCO END USER LICENSE AGREEMENT. IF YOU ARE NOT REGISTERED
AS THE END USER YOU HAVE NO LICENSE TO USE THE SOFTWARE AND THE LIMITED
WARRANTY IN THIS END USER LICENSE AGREEMENT DOES NOT APPLY. ASSUMING YOU HAVE
PURCHASED FROM AN APPROVED SOURCE, DOWNLOADING, INSTALLING OR USING CISCO OR
CISCO-SUPPLIED SOFTWARE CONSTITUTES ACCEPTANCE OF THIS AGREEMENT.
CISCO SYSTEMS, INC. OR ITS SUBSIDIARY LICENSING THE SOFTWARE INSTEAD OF CISCO
SYSTEMS, INC. ("CISCO") IS WILLING TO LICENSE THIS SOFTWARE TO YOU ONLY UPON
THE CONDITION THAT YOU PURCHASED THE SOFTWARE FROM AN APPROVED SOURCE AND THAT
YOU ACCEPT ALL OF THE TERMS CONTAINED IN THIS END USER LICENSE AGREEMENT PLUS
ANY ADDITIONAL LIMITATIONS ON THE LICENSE SET FORTH IN A SUPPLEMENTAL LICENSE
AGREEMENT ACCOMPANYING THE PRODUCT OR AVAILABLE AT THE TIME OF YOUR ORDER
(COLLECTIVELY THE "AGREEMENT"). TO THE EXTENT OF ANY CONFLICT BETWEEN THE
TERMS OF THIS END USER LICENSE AGREEMENT AND ANY SUPPLEMENTAL LICENSE
AGREEMENT, THE SUPPLEMENTAL LICENSE AGREEMENT SHALL APPLY. BY DOWNLOADING,
INSTALLING, OR USING THE SOFTWARE, YOU ARE REPRESENTING THAT YOU PURCHASED THE
SOFTWARE FROM AN APPROVED SOURCE AND BINDING YOURSELF TO THE AGREEMENT. IF
Please enter 'YES' or press <ENTER> to AGREE to the EULA:
System initialization in progress. Please stand by.
You must change the password for 'admin' to continue.
Enter new password:
Confirm new password:
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]:
初期セットアップ方法は、FTDの管理方法に合わせて、以下ドキュメントなどを参照してください。
スタンドアローンで利用時 (FDM管理)
Cisco Firepower Threat Defense for the Firepower 2100 Series Using Firepower Device Manager Quick Start Guide
http://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/fp2100/ftd-fdm-2100-qsg.html
中央管理 (FMC管理)
Cisco Firepower Threat Defense for the Firepower 2100 Series Using Firepower Management Center Quick Start Guide
http://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/fp2100/ftd-fmc-2100-qsg.html
バックアップファイルを持っている場合は、以下ドキュメントなどを参照して復元してください。
スタンドアローンで利用時 (FDM管理)
Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager, Version 6.4.0
https://www.cisco.com/c/en/us/td/docs/security/firepower/640/fdm/fptd-fdm-config-guide-640/fptd-fdm-mgmt.html#id_14714
中央管理 (FMC管理)
Firepower System 6.3以降: FTDのバックアップとリストア方法 (FMC管理時)
https://community.cisco.com/t5/-/-/ta-p/3945173
ソフトウェアトラブル時の リイメージ利用について (補足情報)
リイメージは、古いソフトウェアを廃棄しての 新規ソフトウェアの再インストールとなるため、初期化用途のみではなく、様々なソフトウェアトラブル (深刻なものも含む)の復旧対応にも使えます。 リイメージの過程で、古いソフトウェアの持っていた各種問題 (※例えば、長期連用で 何らかの理由で少しずつ溜まったデータベースやファイル内のゴミや破損など)も、本来のシステムの正しい状態に復元ができるためです。
最新パッチを当てても 設定を色々と見直しても 治らない問題が、設定バックアップ→リイメージ→設定リストア後に解決するケースも 少なからずあります。
万が一の発生時の、最終的な (かつ強力な) 復旧手段の1つとしても、リイメージを活用して頂ければ幸いです。
参考ドキュメント
Cisco FXOS Troubleshooting Guide for the Firepower 2100 Series - Chapter: Reimage Procedures
http://www.cisco.com/c/en/us/td/docs/security/firepower/2100/troubleshoot_fxos/b_2100_CLI_Troubleshoot/b_2100_CLI_Troubleshoot_chapter_011.html
Firepower2100: リイメージと ASA初期セットアップ手順
https://supportforums.cisco.com/t5/-/-/ta-p/3229154
Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733
