Firepower1000/2100/3100シリーズ: ASA（Appliance Mode）と FTD間のリイメージ手順について

junmjian · ‎2021-08-01

はじめに
FTD->ASA　リイメージする方法
ASA(アプライアンスモード)->FTD リイメージ方法
参考情報

はじめに

Firepower1000/2100/3100シリーズはFTD または ASA ソフトウェアのいずれかをサポートします。また、ASA9.13(1)リリース以降のFirepower 1000、2100および3100シリーズにはアプライアンスモードがサポートされています。アプライアンスモードについて、以下の資料にご参考ください。

Firepower1000/2100/3100シリーズ: ASA アプライアンスモードの概要紹介
https://community.cisco.com/t5/-/-/ta-p/4319018

本ドキュメントでは、Firepower1000/2100/3100シリーズのASA（アプライアンスモード）と Firepower Threat Defense（FTD)間のリイメージ方法を紹介します。リイメージとは、アップグレードとは異なり、旧ソフトウェアを削除し、新規ソフトウェアをインストールしなおして、工場出荷時のデフォルト状態に設定します。リイメージ後は、システムの再セットアップが必要です。

なお、本ドキュメントは、Firepower1010 を用いて、以下のASAバージョンとFTDバージョン間の再イメージかについて検証しております。全体の作業時間目安は 1～2時間程度です。

FTD: 6.6.1
ASA: 9.14.2.15

FTD->ASA　リイメージする方法

1. Download Softwareより対象の.SPAイメージをダウンロードします。

2. 必要時のみ、事前に対象デバイスの初期化を行います。初期化方法は以下ドキュメントを参照してください。
パスワードリカバリ方法となりますが、設定初期化にも同手順の利用が可能です。

FPR1000/FPR2100のパスワードリカバリー方法について
https://community.cisco.com/t5/-/-/ta-p/4194355

3. Firepower1010にコンソールアクセスし、ファームウェアモードに入ります。

firepower# scope firmware
firepower /firmware #

4. 任意TFTPサーバやFTPサーバよりパッケージをデバイスにダウンロード・展開します。ダウンロード状況や結果は「show download-task」コマンドで確認できます。

firepower /firmware # download image tftp://1.x.x.x/cisco-asa-fp1k.9.14.2.15.SPA
Please use the command 'show download-task' or 'show download-task detail' to check download progress.
firepower /firmware #
firepower /firmware # show download-task

Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    cisco-asa-fp1k.9.14.2.15.SPA
              Tftp     1.x.x.x              0                 Downloading <---- ダウンロード中
% Download-task cisco-asa-fp1k.9.14.2.15.SPA : transferring 18640 KB

5. ダウンロードと展開完了後、利用可能なパッケージ情報を「show package」コマンドで確認し、新しいパッケージのバージョン番号を表示し、コピーします。

firepower /firmware # show download-task

Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    cisco-asa-fp1k.9.14.2.15.SPA
              Tftp     1.x.x.x              0                 Downloaded <----ダウンロード済み

firepower /firmware # show package
Name                                          Package-Vers
--------------------------------------------- ------------
cisco-asa-fp1k.9.14.2.15.SPA                  9.14.2.15   ＜-----　今回のリイメージ対象
cisco-asa-fp1k.9.15.1.10.SPA                  9.15.1.10
cisco-ftd-fp1k.6.4.0-102.SPA                  6.4.0-102
cisco-ftd-fp1k.6.6.1-91.SPA                   6.6.1-91
cisco-ftd-fp1k.6.6.4-64.SPA                   6.6.4-64

6. 「scope auto-install」から、「install security-pack version <バージョン番号> 」コマンドを実行し、パッケージをインストールします。また、パッケージのインストールの進捗状況の詳細は「show detail」コマンドで確認できます。

firepower /firmware # scope auto-install
firepower /firmware/auto-install # install security-pack version 9.14.2.15

The system is currently installed with security software package 6.6.1-91, which has:
   - The platform version: 2.8.1.129
   - The CSP (ftd) version: 6.6.1.91
If you proceed with the upgrade 9.14.2.15, it will do the following:
   - upgrade to the new platform version 2.8.1.148
During the upgrade, the system will be reboot

Do you want to proceed ? (yes/no):yes

This operation upgrades firmware and software on Security Platform Components
Here is the checklist of things that are recommended before starting Auto-Install
(1) Review current critical/major faults
(2) Initiate a configuration backup

Do you want to proceed? (yes/no):yes

Triggered the install of software package version 9.14.2.15
Install started. This will take several minutes.
For monitoring the upgrade progress, please enter 'show' or 'show detail' command.

firepower /firmware/auto-install # show detail

Firmware Auto-Install:
Package-Vers: 9.14.2.15
Oper State: Scheduled
Installation Time: 2021-07-30T06:33:16.763
Upgrade State: Ready
Upgrade Status:
Validation Software Pack Status:
Firmware Upgrade Status:
Current Task: Waiting for Deploy to begin(FSM-STAGE:sam:dme:FirmwareSystemDe
ploy:WaitForDeploy)

7. しばらくすると、シャーシが再起動して、またログインプロンプト画面に戻るため、enableパスワードを設定したら、ログイン可能となります。ASA 9.13以後の場合、デフォルトではアプライアンスモードとなります。

firepower-1010 login: admin (automatic login)

Successful login attempts for user 'admin' : 1
Attaching to ASA CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.

ciscoasa>
ciscoasa> en
The enable password is not set.  Please set it now.
Enter  Password: ********
Repeat Password: ********
Note: Save your configuration so that the password can be used for FXOS failsafe access and persists across reboots
("write memory" or "copy running-config startup-config").
ciscoasa#

ASA(アプライアンスモード)->FTD リイメージ方法

1. Download Softwareより対象の.SPAイメージをダウンロードします。

2. スマートライセンスが登録している場合、ASA CLI/ASDMあるいはCSSMから、ASAスマートライセンスの登録を解除します。

3.Copyコマンドを使い、任意TFTPサーバやFTPサーバより FTDイメージをフラッシュメモリにダウンロードします。

ciscoasa(config)# copy tftp://1.x.x.x/cisco-ftd-fp1k.6.6.0-90.SPA disk0:/cisco-ftd-fp1k.6.6.0-90.SPA

Address or name of remote host [1.x.x.x]?

Source filename [cisco-ftd-fp1k.6.6.0-90.SPA]?

Destination filename [cisco-ftd-fp1k.6.6.0-90.SPA]?

Accessing tftp://1.x.x.x/cisco-ftd-fp1k.6.6.0-90.SPA...!!!!!

Verifying file disk0:/cisco-ftd-fp1k.6.6.0-90.SPA...

Writing file disk0:/cisco-ftd-fp1k.6.6.0-90.SPA...

1097176240 bytes copied in 1344.690 secs (816351 bytes/sec)

4. Bootコマンドを使い、リイメージ先のFTDソフトウェアイメージを指定し、設定の保存を行います。そして自動的に、再起動がシステムより求められます。

ciscoasa(config)# boot system disk0:/cisco-ftd-fp1k.6.6.0-90.SPA

The system is currently installed with security software package 9.14.2.15, which has:
   - The platform version:  2.8.1.148
   - The CSP (asa) version: 9.14.2.15
Preparing new image for install...
!!
Image download complete (Successful unpack the image).
Attention:
   If you proceed the system will be re-imaged and reboot automatically.
   All existing configuration will be lost and the default configuration applied.
Do you want to proceed? [confirm]
Finalizing image install process...
 
Installation succeeded.

5. シャーシが再起動するまで待ちます。しばらくするとログインプロンプト画面に戻るため、admin/Admin123でログインで可能となります。しかし、ログインプロンプトでアクセス可能な状態でも、以下のようなコンソールログが出る場合はFTDがインストール中となるため、操作せず、出力が落ち着くまでしばらくお待ちください。 (目安時間 10分～20分。)

...
Executing S53change_reconciliation_baseline.pl
[  OK  ]
Executing S70remove_casuser.pl
[  OK  ]
Executing S70update_sensor_objects.sh
[  OK  ]
Executing S85patch_history-init
[  OK  ]
Executing S96grow_var.sh
[  OK  ]
Executing S96install_vmware_tools.pl
[  OK  ]
********** Attention **********
   Initializing the system's localization settings.  Depending on available
   system resources (CPU, memory, and disk), this may take 10 minutes 
   or more to complete.
********** Attention **********
Executing S96localize-templates
[  OK  ]
Executing S96ovf-data.pl
[  OK  ]
Executing S97compress-client-resources
[  OK  ]
Executing S97create_platinum_forms.pl
[  OK  ]
Executing S97install_cas
[  OK  ]
...

6. FTDインストールが完了後、「connect ftd」でログインすると、スタートアップウィザードにアクセスできます。 EULA確認や任意パスワードやIP情報などを設定し、FTDソフトウェアの初期セットアップを完了させてください。

firepower# connect ftd
You must accept the EULA to continue.
Press <ENTER> to display the EULA:
END USER LICENSE AGREEMENT

IMPORTANT: PLEASE READ THIS END USER LICENSE AGREEMENT CAREFULLY. IT IS VERY
IMPORTANT THAT YOU CHECK THAT YOU ARE PURCHASING CISCO SOFTWARE OR EQUIPMENT
FROM AN APPROVED SOURCE AND THAT YOU, OR THE ENTITY YOU REPRESENT
(COLLECTIVELY, THE "CUSTOMER") HAVE BEEN REGISTERED AS THE END USER FOR THE
PURPOSES OF THIS CISCO END USER LICENSE AGREEMENT. IF YOU ARE NOT REGISTERED
AS THE END USER YOU HAVE NO LICENSE TO USE THE SOFTWARE AND THE LIMITED
WARRANTY IN THIS END USER LICENSE AGREEMENT DOES NOT APPLY. ASSUMING YOU HAVE
PURCHASED FROM AN APPROVED SOURCE, DOWNLOADING, INSTALLING OR USING CISCO OR
CISCO-SUPPLIED SOFTWARE CONSTITUTES ACCEPTANCE OF THIS AGREEMENT.

CISCO SYSTEMS, INC. OR ITS SUBSIDIARY LICENSING THE SOFTWARE INSTEAD OF CISCO
SYSTEMS, INC. ("CISCO") IS WILLING TO LICENSE THIS SOFTWARE TO YOU ONLY UPON
THE CONDITION THAT YOU PURCHASED THE SOFTWARE FROM AN APPROVED SOURCE AND THAT
YOU ACCEPT ALL OF THE TERMS CONTAINED IN THIS END USER LICENSE AGREEMENT PLUS
ANY ADDITIONAL LIMITATIONS ON THE LICENSE SET FORTH IN A SUPPLEMENTAL LICENSE
AGREEMENT ACCOMPANYING THE PRODUCT OR AVAILABLE AT THE TIME OF YOUR ORDER
(COLLECTIVELY THE "AGREEMENT"). TO THE EXTENT OF ANY CONFLICT BETWEEN THE
TERMS OF THIS END USER LICENSE AGREEMENT AND ANY SUPPLEMENTAL LICENSE
AGREEMENT, THE SUPPLEMENTAL LICENSE AGREEMENT SHALL APPLY. BY DOWNLOADING,
INSTALLING, OR USING THE SOFTWARE, YOU ARE REPRESENTING THAT YOU PURCHASED THE
SOFTWARE FROM AN APPROVED SOURCE AND BINDING YOURSELF TO THE AGREEMENT. IF

Please enter 'YES' or press <ENTER> to AGREE to the EULA:    

System initialization in progress. Please stand by.
You must change the password for 'admin' to continue.
Enter new password:
Confirm new password:
You must configure the network to continue.
You must configure at least one of IPv4 or IPv6.
Do you want to configure IPv4? (y/n) [y]:
Do you want to configure IPv6? (y/n) [n]:
Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]:

参考情報

Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733

Firepower2100: リイメージと FTD初期セットアップ手順
https://community.cisco.com/t5/-/-/ta-p/3293044

Firepower2100: リイメージと ASA初期セットアップ手順
https://community.cisco.com/t5/-/-/ta-p/3293044

Cisco Firepower 1010 Getting Started Guide
https://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/fp1010/firepower-1010-gsg/asa.html

Cisco FXOS Troubleshooting Guide for the Firepower 1000/2100 with Firepower Threat Defense

https://www.cisco.com/c/en/us/td/docs/security/firepower/2100/troubleshoot_fxos/b_2100_CLI_Troubleshoot/b_2100_CLI_Troubleshoot_chapter_011.html

FPR1000/FPR2100のパスワードリカバリー方法について
https://community.cisco.com/t5/-/-/ta-p/4194355

Firepower1000/2100/3100シリーズ: ASA アプライアンスモードの概要紹介
https://community.cisco.com/t5/-/-/ta-p/4319018