ASA: ASA5506シリーズが約3.2年の累積稼働後に応答しなくなる問題について [FN-72019][CSCvw53884]

Yasutaka Yokouchi · ‎2021-05-06

1.はじめに
2.影響有無確認方法
2-1.ASA Software の場合
2-2.FTD Software の場合
2-3. Serial Number Validation Tool での確認
3.暫定対処方法
3-1.ASA Software のみ
4.恒久対応策
4-1.ASA Software の場合
4-2.FTD Software の場合
5.よくある質問
参考情報

1.はじめに

ASA5506シリーズが約3.2年の累積稼働後に応答しなくなる問題として Field Notice:FN-72019 (CSCvw53884) が公開されております。
本ドキュメントではFN-72019についてよくお問い合わせ頂く内容について整理・ご紹介いたします。なお、問題の詳細についてはField Noticeページ(英語)に記載がありますため、本ドキュメントでは割愛させていただきます。

注意:
本記事はField Noticeページ内容の補足情報のご紹介となります。掲載内容に差異があった場合はField Noticeページに記載されている内容を正とし、ご確認ください。

2.影響有無確認方法

2-1.ASA Software の場合

FN-72019 の問題が改修される以前の Software Version では、SSD情報を表示するためのCLI コマンドは実装されていないため、確認することはできません。

2-2.FTD Software の場合

FTD の CLI から expert mode へ推移後、"sudo hdparm -I /dev/sda | egrep 'Model Number | Firmware Revision'"コマンドを実施することでFirmware Revision を確認することができます。

<例>

> expert
$ sudo hdparm -I /dev/sda | egrep 'Model Number | Firmware Revision'
Micron_M500IT_MTFDDAT064MBD
Firmware Revision: MU01.00

・ASA5506およびASA5506W モデルの確認点
SSDモデル番号が Micron_M500IT_ * 、かつ Firmware Revisionが MU01.00 または MU02.00の場合、問題を防ぐためにFirepowerソフトウェアのアップグレードが必要です。

・ASA5506H モデルの確認点
SSDモデル番号が Micron_M500IT_ * 、かつFirmware Revisionが CT01.00 または MU02.00 の場合、問題を防ぐためにFirepowerソフトウェアのアップグレードが必要です。

2-3. Serial Number Validation Tool での確認

Serial Number Validation Tool ページよりASA5506 のシャーシシリアル番号を入力頂くことで該当可否をご確認いただけます。
* 上記リンクからFN-72019ページへリダイレクト後、ページ下部にあるリンクより再度アクセスをお願いします。

機器のシャーシシリアル番号は機器の背面の記載をご確認いただくか、CLI より "show inventory"コマンドを実行頂くことでご確認いただけます。

[ASA CLI 例]

ASA5506> show inventory
Name: "Chassis", DESCR: "ASA 5506-X with SW, 8GE Data, 1GE Mgmt, AC"
PID: ASA5506           , VID: V02     ,  SN: JMX2014Z0GT

Name: "Storage Device 1", DESCR: "ASA 5506-X SSD"
PID: ASA5506-SSD        ,   VID: N/A , SN: MSA19520KKC

[FTD CLI 例]

> show inventory
Name: "Chassis", DESCR: "ASA 5506H-X with FirePOWER services, 4GE Data, AC, 3DES/AES"
PID: ASA5506H          , VID: V05      ,  SN: JMX1234ABCD

Name: "Storage Device 1", DESCR: "ASA 5506H-X SSD"
PID: ASA5506H-SSD , VID: N/A , SN: MSA223101AS

3.暫定対処方法

3-1.ASA Software のみ

FirePOWER Services を利用されていない場合、FirePOWER Module をアンインストール頂きますとFN-72019の影響は受けません。FirePOWER Moduleのアンインストールを実施頂き、ASA OS のみご利用時は当対処で対応完了となります。また、FirePOWERのライセンスを持っていない場合、利用されていない場合もアンインストールを推奨いたします。

[参考URL]

ASA: ASA5505から ASA5506に CLI設定の移行例 - 3.4. ASA5506の FirePOWERモジュールのアンインストールの検討

しかし、これは暫定的な対処であり根本の問題改善にはならないため、将来再び FirepowerModule をインストール、もしくは ASAからFTDにコンバートしてご利用したい等の用件がある場合は恒久的対策としてASA Software Version のupgradeをご検討ください。
なお、FirepowerModuleやFTDの利用には別途ライセンスが必要となります。

注意:
FirePOWER Services の機能を利用されていない場合であっても、FirePOWER Module が SSDにインストールされていますとFN-72019の影響対象となります。

また、インストール状況は show module コマンドや show module sfr コマンドを実行頂くことで確認できます。
　

[出力例]

ASA5506# show module

Mod Card Type                                     Model              Serial No.
---- -------------------------------------------- ------------------ -----------
   1 ASA 5506-X with SW, 8GE Data, 1GE Mgmt, AC   ASA5506            JADXXXXXXXX
 sfr FirePOWER Services Software Module           ASA5506            JADXXXXXXXX

Mod  MAC Address Range                 Hw Version   Fw Version   Sw Version
---- --------------------------------- ------------ ------------ ---------------
   1 84b2.xxxx.xxxx to 84b2.xxxx.xxxx  2.0          1.1.8        9.8(4)10
 sfr 84b2.xxxx.xxxx to 84b2.xxxx.xxxx  N/A          N/A          6.2.3-83

Mod  SSM Application Name           Status           SSM Application Version
---- ------------------------------ ---------------- --------------------------
 sfr ASA FirePOWER                  Up               6.2.3-83 <<<<<<<<<<<

Mod  Status             Data Plane Status     Compatibility
---- ------------------ --------------------- -------------
   1 Up Sys             Not Applicable
 sfr Up                 Up <<<<<<<<<<<

FirePOWER Module のアンインストールの方法は下記URLを参照ください。

4.恒久対応策

4-1.ASA Software の場合

FN-72019の恒久的対策は、ASA Software の下記 Version へのupgradeとなります。最新のSoftware Version では FN-72019の問題を含め、他の様々な不具合も改善されておりますため、各トレインの最新版へのupgradeをご検討ください。

<各トレインの修正バージョン>

・9.8.4.33 もしくはそれ以降

・9.9.2.83 もしくはそれ以降

・9.12.4.13 もしくはそれ以降

・9.13.1.19 もしくはそれ以降

・9.14.2.8 もしくはそれ以降

・9.15.1.7 もしくはそれ以降

*ASA Software Version を upgrade 頂くことでSSD の firmware も更新されます。そのため、FN-72019 の対策としてFirePOWER module の upgrade/patch適用等は不要です。

ASA Software のupgrade方法については下記URLをご参照ください。

また、upgradeを実施される際は ASA Software ,ASDM , FirePOWER module の互換性について、下記URLよりご確認ください。

4-2.FTD Software の場合

Cisco Firepower HotfixEH (ファイル名：Cisco_FTD_Hotfix_EH-6.2.3.999-6.sh.REL.tar)を適用する必要があります。
ソフトウェアはシスコソフトウェアダウンロードセンターから入手ください。

[参考画面]

5.よくある質問

Q.FirePOWER Module とは何ですか？
A. ASA5506の内蔵SSD上で動作する次世代ファイアウォールサービス(Software)になります。詳細は下記をご参照下さい。

Cisco ASA FirePOWER モジュールクイックスタートガイド

Q. ASA5506シリーズ以外のASA5500-X シリーズもFN-72019の影響をうけますか？
A. 他のASA5500-X シリーズはFN-72019の影響を受けません。FN-72019 の対象はASA5506シリーズのみとなります。

Q.FPR1000/FPR2100 シリーズは FN-72019 の影響を受けますか？
A.いいえ、受けません。FN-72019 の対象は ASA5506シリーズのみとなります。

Q. 機器を再起動すると累積時間はリセットされますか？
A.「累積時間」となりますため、リセットされません。

Q.SSD のみの交換対応はできないですか？
A.ASA5506はSSD内蔵型となるためSSDのみの交換対応はできません。

Q. FirePOWER Module を利用していますが fail-open を設定していれば通信はバイパスされますか？
A. FN-72019 の問題が発生しますと設定内容(fail-open,fail-close)に関わらずASAが通信を転送しなくなります。

Q. FirePOWER Module のアンインストール後に再起動は必要ですか？
A. 必須ではありませんが、可能であれば一度再起動の実施をご検討頂けたらと存じます。

Q. FirePOWER Module がアンインストール済みで将来的にFirePOWER Module も FTDも利用する予定がありませんが、FN-72019 の影響を受けますか？
A.いいえ、上記状況の場合は影響は受けません。

Q.修正版のSoftware Version へ upgrade 後に古い Version に戻したらSSD の Firmware version も古いVersionに戻りますか？
A.いいえ、SSD の Firmware version はダウングレードされません。

Q.SSD の Firmware version と ASA/FTD OS との互換性(Compativility)などはありますか？
A.互換性はありませんので、ASA/FTD OS をご利用頂く際にSSD の Firmware version を考慮頂く必要はありません。

Q. 今後出荷されるASA5506 は FN-72019 の問題に対応された機器が出荷されますか？
A. 2021年5月上旬以降に出荷される機器については、対応済みの機器が出荷される予定となっています。

Q. FNページ以外に本SSDの問題に関する情報は掲載されていませんか？
A. 原則FNページの記載内容をご確認ください。また、Solid State Drive Issue on Certain Productsページ下部に記載のございます "Frequently Asked Questions" も参考になるかと存じます。