キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.8

 

ASA: ASDMを用いた、同じトレイン内の 最新バージョンへのアップグレード方法

34253
閲覧回数
15
いいね!
2
コメント

 

 

はじめに

本ドキュメントは、ASDM7.xを用いた、現在利用しているASAソフトウェアの、同じトレイン内での、最新のInterimバージョンへの アップグレード(バージョンアップ)手順を示します。 なお、本手順は 同じトレイン内の最新のメンテナンスバージョンへの アップグレードにも利用可能です。

本ドキュメントでは、参考例として、ASAソフトウェア 8.4(7) ASDM 7.1(5)が動作するASA5505の、Interimバージョン8.4(7)23への アップグレード手順を示します。

    
なお、本ドキュメントで扱っていない、CLIや 冗長構成でのアップグレード手順については、Cisco ASA Upgrade Guideファイアウォール トラブルシューティング ドキュメントの "アップグレード、メンテナンス"項、ASA: Active/Standby冗長構成のCLIでのアップグレード方法 を参考にしてください。

また、当ドキュメントはASA5500/5500-Xシリーズや FPR1000/2100シリーズ(アプライアンスモード)、ASAv用です。FPR2100(プラットフォームモード)/4100/9300シリーズのASAアップグレード手順は、こちらを参照してください。

    

   

ASAソフトウェアバージョンの選定

ASAは トレインの更新毎(例:8.2→ 8.3→ 8.4や、9.0→ 9.1→ 9.2→ ・・)に、機能の多数追加や変更を行います。

各トレイン(例:8.2、8.3、8.4や、9.0、9.1、9.2、9.3、・・)は、ソフトウェア メンテナンス終了日まで継続し、不具合修正や 機能強化を行います。 これら修正や強化は、各トレインの最新バージョンに適用されます。 適用後、メンテナンスバージョン (例: 9.1の場合、9.1.1→ 9.1.2→ 9.1.3→ 9.1.4→・・)、 もしくは Interimバージョン (例: 9.1.6の場合、9.1.6.1→ 9.1.6.4→ 9.1.6.8→ ・・)として、入念なCisco社内テストを実施後、Download Softwareに公開されます。

Interimバージョンは、メンテナンスバージョンのリリース後に 発見された新規問題の修正を含みます。 緊急の脆弱性対応も 適用されます。 Interimバージョンも Cisco TAC 正式サポート対象です。以下は 9.8トレインのバージョンリリースの変遷です。
9.8train.JPG
  

以下は トレインの変遷図です。 トレイン分岐時に 多数の機能追加や変更が行われます。 トレイン分岐後は そのトレイン内でメンテナンスを重ね、そのトレインは成熟に向かいます。 一定のメンテナンスの進んだトレインは、以後 不具合修正に特化した Interimバージョンのみ公開されます。

ASA-software-train.JPG


つまり、現在利用しているトレインの、最新の Interimバージョン、もしくは最新のメンテナンスバージョンが、機能変更が少なく、最も不具合修正の進んだ 成熟したバージョンとなります。

脆弱性対応や、既知不具合の対応のための 緊急アップグレードが必要時は、同じトレイン内の 最新 Interimバージョン(例:9.1(5)→9.1(7)29や、9.6(3)→9.6(4)8など)、もしくは 最新メンテナンスバージョンへのアップグレードを 優先し検討してください。

トレインを跨ぐ(例:8.4(7)→9.1(7)29や、9.1(7)29→9.8(2)38など)アップグレードの場合は、慎重に検討する必要があります。 事前に十分な時間を確保し、機能変更点などの確認と、(特にクリティカルな環境の場合や、大きくトレインを変更する場合は) 事前検証をお勧めしております。 トレインを跨ぐアップグレードは、利用中トレインのサポート終了が近い場合や、新機能を利用したい場合向けです。

各リリース毎の変更点や修正不具合情報は、リリースノートより確認できます。 Interimバージョンの修正不具合一覧は、Interimリリースノートより確認できます。 ASAモデル毎のサポートするトレイン・バージョン情報は、Download Softwareの対象モデルでダウンロード可能なバージョンを確認するか、Cisco ASA Compatibility を参考にしてください。

表: トレイン別、アップグレード候補 

トレイン 最新 Interim
バージョン *

最新 メンテナンス
バージョン *

長期 or
短期 ***

End of SW Maintenance /
Last Date of Support **

 7.2  7.2(5)17  7.2(5) -  Jul, 2015 / Jul, 2019
 8.2   8.2(5)59  8.2(5) -  Oct, 2015 / Oct, 2019
 8.4   8.4(7)31  8.4(7) -  Mar, 2016 / Mar, 2020
 8.6   8.6(1)17  8.6(1) -  May, 2015 / May, 2019
 9.0   9.0(4)42  9.0(4) -  Jan, 2017 / Jan, 2021
 9.1   9.1(7)32  9.1(7) 公開停止 -  Aug, 2018 / Aug, 2022
 9.2   9.2(4)33  9.2(4) -  Aug, 2018 / Aug, 2022
 9.3   9.3(3)11  9.3(3) -  Jan, 2017 / Jan, 2021
 9.4  9.4(4)20  9.4(4) 公開停止 -  Aug, 2019 /  Aug, 2021
 9.5  9.5(3)9  9.5(3) 公開停止 短期  May, 2017 / May, 2021
 9.6  9.6(4)45  9.6(4) 長期  Sep, 2020 / Sep, 2022
 9.7  9.7(1)24  9.7(1) 公開停止 短期  Aug, 2018 / Aug, 2022
 9.8  9.8(4)26  9.8(4) 長期  -
 9.9   9.9(2)80  9.9(2) 短期  May, 2021 / May, 2023
 9.10
 9.10(1)42  9.10(1)

短期
(特殊)

 Oct, 2020 / Oct, 2022
※ASA 9.10は特殊リリース詳しくはコチラ

 9.11  -  - - ※9.11はリリース予定なしの廃番。詳しくはコチラ
 9.12  9.12(4)4  9.12(4) 超長期  -
 9.13   9.13(1)12  9.13(1) 短期  Jun, 2021 / Jun, 2023
 9.14  9.14(1)19  9.14(1) 長期  
 9.15   -  - 短期 (2020年秋 リリース予定)
 9.16  -  - 超長期 (2021年春 リリース予定)
 9.17  -   - 短期 (2021年秋 リリース予定)
 9.18  -  - 長期 (2022年春 リリース予定)

    *2020年9月20日現在
   **各トレインのサポート終了日の最新情報は、End-of-Life and End-of-Sale Noticesで確認可能。 End of SW Maintenance Dateを越えた(赤字)トレインは、原則 新しい不具合の修正とリリースは行われません。また、サポート終了日の近いトレインは、そのトレインの安定性を保つため 殆ど修正は行われなくなる傾向です。未記載のトレインは、サポート終了日がまだアナウンスされてません
  ***ASA 9.5以降の 2桁目が奇数のトレインは 新機能実装用の 短期サポート リリース。ASA 9.12以降で 2桁目が4の倍数のトレインは 政府認証にも選ばれる超長期サポート リリース。特にビジネスクリティカルな環境には、超長期 もしくは 長期のトレインの最新Interimバージョン利用が向く。 より詳しくは ASA/FTD: トレイン別のサポートモデルの違いについて を参照

   
      

ASDMソフトウェアバージョンの選定

利用予定のASAソフトウェアバージョンをサポートする、最新のASDMソフトウェアバージョンの利用が推奨です。

ASAとASDMソフトウェアバージョンの互換性情報は 以下ドキュメントを参照してください。

Cisco ASA Compatibility
http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#pgfId-226294

 

 

アップグレード実施前に・・確認事項

1. リリースノートに、アップグレードパスなどの重要な情報を記載してますので、アップグレード前に ご利用バージョンのリリースノートを確認してください。

Cisco ASA リリースノート
http://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-release-notes-list.html


2. 事前の設定のバックアップを お勧めしております。 バックアップとリストア手順について詳しくは 以下ドキュメントを参考にしてください。

ASDM: ASA設定のバックアップ・リストア機能について
https://supportforums.cisco.com/ja/document/12931301


3. ASAとASDMソフトウェアを Download Softwareから入手するには、適切なアカウントと契約が必要です。入手可能なアカウントをお持ちでない場合は、以下サイトを参照いただくか、Cisco製品販売代理店様に確認ください。

Cisco.com ユーザID アクセス権限ガイド
http://www.cisco.com/cisco/web/support/JP/loc/guide/access_authorize.html


4. 本ドキュメントの手順において ASAの再起動が発生します。 十分なダウンタイムを設けての実行を検討してください。

 

5. アップグレード先のASAソフトウェアバージョンが、現在利用の機種や ASDMバージョンと互換性がある事を、以下URLにて確認してください。 ASDMバージョンが対応していない場合は、事前のASDMソフトウェアバージョンのアップグレードが必要です。

Cisco ASA Compatibility
http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#pgfId-226294

   
 

ASDM経由 アップグレード手順

以下手順を参考にするか、添付ファイル "asa_upgrade_from_asdm20150615v3.pdf"を参考にしてください。

         

1. 設定のバックアップ

1-1. アップグレード対象のデバイスに、ASDMでアクセス

  
1-2. Tools より、Backup Configurations を選択

forASAandASDMversionup_2-2.jpg

  
1-3.  Backup Configurations がポップアップするので、任意のファイル名と保存場所を指定した後、Backup ボタンをクリック

forASAandASDMversionup_2-3.jpg

    

  

2.ASAソフトウェアのダウンロード

ASAソフトウェアのアップグレードに利用する 最新Interimバージョンのイメージファイルなどは、Download Softwareサイトから入手する必要があります。 

 

2-1. 以下URLにアクセス

Download Software
http://software.cisco.com/download/navigator.html?mdfid=280582808&selMode=null


2-2. 利用の機種名で検索し、 Software on Chassisを選択forASAandASDMversionup_1-2.jpg

 

  
2-3. Adaptive Security Appliance(ASA) Software を選択

forASAandASDMversionup_1-3-1.jpg

  

2-4. ダウンロード可能な ASAソフトウェア一覧が表示されるので、All Releases → Interimを選択

forASAandASDMversionup_1-4.jpg

   

2-5.現在利用しているASAソフトウェアのトレインの、最新のInterimバージョンをダウンロードし、任意フォルダ内に保存。 なお、修正不具合管理IDの一覧を確認できる Interimリリースノートは、当ダウンロードページの右上リンク Release Notes for x.x.x Interim より確認が可能

forASAandASDMversionup_1-5.jpg
    

  

3. (必要時のみ) ASDMソフトウェアのアップグレード 

GUI管理ツールであるASDMのバージョンアップも実施する場合は、ASAソフトウェアのアップグレードに、ASDMアップグレードを実施してください。 仮にASDMアップグレードを行わない場合は、項番4「ASAソフトウェアのアップグレード」に進んでください。プレビュー

  
当例では、CCO IDを利用した、ASDMソフトウェアの簡易アップグレード手順を紹介します。 仮に有効なCCO IDをお持ちでなく、ASDMイメージファイルからのアップグレードを行いたい場合は こちらを参照してください。 

  

ASDMバージョンのアップグレード時は、ASA本体の再起動は不要です。

  
3-1. Tools より、Check for ASA/ASDM Updates... を選択。 Cisco.comにアクセスするためのID・パスワード入力画面がポップアップするので、ソフトウェアのダウンロード権限を持つ ID・パスワード情報を入力

versionasdm411.JPG

versionasdm412.JPG

    

3-2. Cisco.com Upgrade Wizard が起動するので、Next ボタンをクリック

   
3-3. ASDM欄の Upgrade to をチェックし、プルダウンメニューをクリックすると、アップグレード可能なASDMバージョンを確認できる。現在利用のASAソフトウェアと互換性のある中で、最新のASDMバージョンを選択した後、Next ボタンをクリック

versionasdm43.JPG

    

3-4. 確認のステップに遷移するため、アップグレード内容が問題無い事を確認し、Next ボタンをクリック

   
3-5. 完了したら、Next ボタンをクリック

   
3-6. Finish ボタンをクリックし、ウィザードを閉じる

  
3-7. ASDMを閉じ、再度 ASDMで再接続し、期待のASDMバージョンである事を確認
forASAandASDMversionup_47.JPG

   

   

4. ASAソフトウェアのアップグレード

4-1. Tools より Upgrade Software from Local Computer... を選択

forASAandASDMversionup_3-1.jpg

  
4-2. Upgrade Software がポップアップするので、Image to Uploadより ASAを選択し、先ほどダウンロードした最新のInterimバージョンのファイルを指定し、Upload Image ボタンをクリック
forASAandASDMversionup_3-2.jpg
   

4-3. アップロードが完了すると、次回起動時に当ファイルを利用するかの確認のポップアップがあるため、Yes ボタンをクリック

   

4-4. ASA再起動後に 新しいASAソフトウェアバージョンで起動するため、その前に利用のASDMバージョンの互換性が問題無いかの確認の ポップアップがあるため、OK ボタンをクリック

  
4-5. ASDMの以下パスより、Boot Configurationの、Boot Image Locationのファイル名が上記手順でアップロードしたファイル名と同一である事を確認

 Configuration > Device Management > System Image/Configuration > Boot Image/Configuration
  
4-6. Toolsより、System Reload... を選択

forASAandASDMversionup_3-6.jpg

    

4-7. Save the running configuration at time of reload (=再起動前に設定を保存する) にチェックが入っている事を確認し、Schedule Reload ボタンをクリックし、ASAの再起動を実行

forASAandASDMversionup_3-7.jpg

   
4-8. 数分後、再度 ASDMで接続し、想定のASAソフトウェアバージョンになっている事を確認
forASAandASDMversionup_3-8.jpg

4-9. ASAを経由する通信の正常性を確認

 

 

よくある質問   

ASAトレインのアップグレード時にも当手順を利用できますか 

はい、利用可能ですが、特に大きなトレイン変更を実施時は、様々な機能追加や変更点が御座いますため、リリースノートのアップグレードパスや注意事項などの確認、可能な場合は事前の検証、アップグレード前の事前の設定ファイルのバックアップ、十分なメンテナンスと動作試験時間の確保をしてからのアップグレード実施をお勧めします。

  

切り戻しのためのダウングレード時にも当手順を利用できますか 

はい、ASAソフトウェアの場合 利用可能ですが、設定の自動変換はダウングレード時はサポートされません。例えば、大きくASAソフトウェアバージョンを下げる場合などは 設定差分が発生する可能性があります。 ASAソフトウェアバージョンダウングレード後に 設定差分が発生時は、アップグレード前に取得した事前設定バックアップファイルを、ダウングレード後のASAにリストアするようにしてください。

ASDMソフトウェアのダウングレードもしたい場合は、こちらを参照してください。なお、ASDMソフトウェアは下位互換性があり、そのASAソフトウェアをサポートする最新ASDMバージョン利用が推奨であるため、ASDMの管理操作や互換性に問題が発生していなければ、ASDMダウングレードは通常不要です。

 

Active/Standby冗長構成のアップグレード時にも当手順を利用できますか

いいえ、Active/Standby冗長構成の場合は専用の手順が必要です。 詳しくは、以下ドキュメントの手順をご参考ください。

ASA: Active/Standby冗長構成のCLIでのアップグレード方法
https://community.cisco.com/t5/-/-/ta-p/3714748

 

End of SW Maintenance Dateを越えたトレインの利用継続に問題はありますか 

そのまま利用継続は可能ですが、End-of-Life and End-of-Sale Notices記載の End of SW Maintenance (EoSWM)のDate以降は、そのトレインで不具合の修正バージョンがリリースされなくなります。 また、EoSWMのDateを越えなくとも、EoSWMのDateに近くなるほど、そのトレインのリリースバージョンの安定化のため、軽微な影響の不具合の修正や 大きな内部コードの変更が必要な不具合の修正などが行われ辛くなります。これは、古いトレインは機能追加や修正を厳選することによる安定化のための対応の1つです。なお、脆弱性に対する修正は、基本 ソフトウェアメンテナンス サポート中の全トレインに修正は適用されます。

そのため、特にインターネット接続環境で利用するような、脅威に曝されているASAは、セキュリティや安定性を高く保つためにも、ソフトウェアメンテナンス中のトレインの最新バージョンの利用継続が推奨されます。ご利用中トレインのEoSWMが近い場合は、適宜 トレインのアップグレードをご検討ください。

 

FPR1000/FPR2100シリーズを利用していますが、本ドキュメント手順は利用可能ですか 

FPR1000シリーズでASAを利用している場合は、本ドキュメント手順を利用可能です。
 

FPR2100シリーズでASAを利用している場合、かつ アプライアンスモード の場合は、本ドキュメント手順を利用可能です。 FPR2100シリーズは プラットフォームモード (ASA9.12以前デフォルト) と アプライアンスモード (ASA9.13以降 デフォルト) の2つのモードをサポートしています。アプライアンスモードを利用時、従来のASA5500-Xと殆ど同じ操作が可能です。動作モードは show fxos mode コマンドで確認でき、以下は アプライアンスモードで稼働時の出力例です。

ASA(config)# show fxos mode 
Mode is currently set to appliance

当モードの切り替え方法について詳しくは、Set the Firepower 2100 to Appliance or Platform Mode などを参照してください。

 

なお、アプライアンスモードの FPR1000/2100シリーズの CLIでのアップグレード手順については、アプライアンスモードでの Firepower 1000 および Firepower 2100 のアップグレード を参照してください。

 

なお、FPR1000/2100シリーズでは、筐体内部に 通信処理用のASAソフトウェアと シャーシ管理用のFXOSソフトウェアが動作しています。 FPR1000/2100シリーズでは、ASAソフトウェアをアップグレードを実施することで FXOSも自動でアップグレードされます。FXOSのみのアップグレードはできません。稼働している、ASAとFXOSの各バージョンは、show version コマンドで確認できます。

  

FPR2100/4100/9300シリーズのASAのアップグレード方法を教えてください 

FPR2100シリーズを プラットフォームモード (ASA9.12以前デフォルト)、もしくは FPR4100/9300シリーズでは、ASAのアップグレードは、ASDMではなく、Firepower Chassis Manager (FCM) もしくは FXOS CLIを利用します。 これは、シャーシ管理OSであるFXOSも同時にアップグレードが必要なためです。

FPR2100シリーズでは、ASAとFXOSは連携/統合されており、ASAをアップグレードすることで同時にFXOSもアップグレードされます。

FPR4100/9300シリーズでは、FXOSとASAは分離されているため、別々にアップグレードが必要です。FPR4100/9300の場合、Cisco Firepower 4100/9300 Compatibility Guideを確認し、ASAとFXOSのバージョンの互換性(太字バージョン)に注意しバージョン選定とアップグレードを行ってください。

FXOS CLIよりも、FXOSのGUIであるFCMを利用したアップグレードが簡便です。

アップグレード手順は本ドキュメント記載と異なります。 詳しくは、以下ドキュメントを参照してください。

FPR2100シリーズ [platform mode] ASAソフトウェア アップグレード手順
FCM利用時) https://www.cisco.com/c/en/us/td/docs/security/asa/quick_start/fp2100/asa-2100-gsg/firepower-chassis-manager.html#task_hcn_p3k_r1b
CLI利用時) https://www.cisco.com/c/ja_jp/td/docs/security/asa/upgrade/asa-upgrade/asa-upgrade_chapter_01.html#topic_ybn_b55_bbb

FPR4100/9300シリーズ ASA/FXOSソフトウェア アップグレード手順
https://www.cisco.com/c/ja_jp/td/docs/security/asa/upgrade/asa-upgrade/asa-upgrade_chapter_011.html

   

推奨トレインやバージョンの確認方法を教えてください 

特にお勧めのリリースがある場合、Software Download の対象製品のASAイメージ ダウンロードページから、★マーク (Cisco Suggested Release) で確認できます。 なお、製品により、Cisco Suggested Release がない場合もあります。Cisco Suggested Releaseは そのバージョンの安定性やサポート期間などを考慮し決定されるため、リリースして間もない最新トレインなどは Cisco Suggested Release に しばらく選ばれないこともあります。また、ASA9.5以降の2桁目が奇数のトレイン(例:ASA 9.5や9.7、9.9、9.10[特殊]、9.13など)は 新機能実装用の 短期サポート リリースとなるため、選ばれない傾向です。つまり、Cisco Suggested Release は、長期サポート かつ (リリースして少々時間のたった) 十分実績のあるバージョンが選ばれる傾向にあります。 トレインリリースモデルについて 詳しくは ASA9.5(1)以降: トレイン別のサポートモデルの違いについて を参照してください。

例えば以下は、ASA5506のASAソフトウェアのダウンロードページの画面となりますが、9.8トレインの 9.8.4の最新Interimバージョン、もしくは、9.6トレインの 9.6.4の最新Interimバージョンが、安定性やサポート期間など考慮し Cisco Suggested Releaseに選ばれていることを確認できます。

[Software Download 表示例 (2019年12月時点)]

ASA5506-suggested-release.JPG

なお、ASAはトレインが変わる毎に多数の新機能追加や変更が行われます。そのため、既に運用中のシステムの 即時の不具合修正を行う場合は、トレイン変更を伴うアップグレードは避けたほうがよいです。詳しくは、本ドキュメント内の ASAソフトウェアバージョンの選定 を参照してください。

バージョン選定は、(特にCisco Suggested Releaseに選ばれている) 2桁目が偶数トレインの最新Interimバージョン を利用することで、安定し かつ 脆弱性や不具合が最も修正された安全なASAソフトウェアの利用が可能であり、Cisco TAC でも利用を推奨してます。

  

 

参考情報

ファイアウォール トラブルシューティング
https://supportforums.cisco.com/t5/-/-/ta-p/3161736

コメント
m.ishidu1
Beginner

Nakamura様

 

こちらのURLより、ASAの互換性を確認しようとしたところ、

404エラーにて、アクセスできません。

Cisco ASA Compatibility
http://www.cisco.com/c/en/us/td/docs/security/asa/compatibility/asamatrx.html#pgfId-226294

 

こちらはすでに閉鎖されているWEBページになりますでしょうか。

もし、別のURLにて確認が出来るのであればそのURLを

ご教授願いますでしょうか。

 

 

Taisuke Nakamura
Cisco Employee

ishiduさん、こんにちわ。 ご指摘ありがとうございます。 もしかしたら一時的にダウンしているのかもしれません。復旧させるよう弊社内の担当チームに依頼させて頂きました。

暫定対応/確認策としては、Compatibility 情報は、各ASDMソフトウェア ダウンロードページの、File Informationからも確認いただけるため、現在利用のASDMバージョン(できれば、利用中のASAバージョンをサポートする最新のASDMバージョン利用が望ましいです)が、アップグレード先のASAバージョンをサポートしているか、お手数ですが ご確認頂けますでしょうか。

例えば以下は ASDM バージョン 7.9.2のダウンロードリンクとなりますが、File Informationより、当ASDMバージョンは ASA 9.1~9.9までのトレインをサポートしていることを確認いただけます。

https://software.cisco.com/download/home/279513399/type/280775064/release/7.9.2

ASDM-support.JPG

 

なお、仮にASDMの互換性を確認せずASAバージョンアップをしてしまっても、(基本的にASDMはサポートするASAトレインは広いため ASAのバージョンを大きく変更する以外では互換性問題が発生することは少ないのですが)、仮にASDMが そのASAバージョンをサポートしない場合の 後からASDMバージョン変更も可能です。 ASDMアクセス時に、ASDMが 対象ASAのバージョンをサポートしてない場合は、警告と自動ASDMアップグレードを促すポップアップが出ます。 ASDMはあくまで ASAソフトウェア用の管理GUIのため、ASDMバージョン変更時のASA再起動は不要です。