- 最終編集日: 、編集者:
JapanTAC_CSC
- はじめに
- 事前確認と準備事項
- Active/Standby冗長構成 ASA/ASDMバージョンアップグレード 簡易フロー
- Active/Standby冗長構成 ASA/ASDMバージョンアップグレード 手順
- よくある質問
- ASDMを利用した 冗長構成のアップグレード手順はありますか
- 切り戻しのためのダウングレード時も当手順を利用できますか
- Active機とStandby機のバージョンが異なる構成はサポートされますか
- 参考情報
はじめに
本ドキュメントでは、ASAのActive/Standby冗長構成の、CLIを用いた ASAとASDMソフトウェアのアップグレード方法を紹介します。
本ドキュメント手順は、ASA5500-Xシリーズ、ASA5585-Xシリーズ、ASAv、ASASMで利用が可能です。
本ドキュメント内容は、ASA5515を利用し、ASAソフトウェアバージョンを9.6(3)3から9.6(4)14、ASDMソフトウェアバージョン 7.6(2)150から7.9(2)152へのアップグレードによる確認を行っております。
事前確認と準備事項
・以下ドキュメントを参照し、ASA/ASDMバージョン選定や、アップグレード前の注意事項、互換性情報などを確認してください
ASA: ASDMを用いた、同じトレイン内の 最新バージョンへのアップグレード方法
https://community.cisco.com/t5/-/-/ta-p/3151046
・以下リリースノートを参照し、利用予定バージョンのアップグレードパスや 注意事項などを確認してください。 なお、原則 ASAバージョン 9.1(2)以降からのアップグレード時は 中継バージョン利用は不要です
・以下ドキュメントの「5.2. Download Softwareからソフトウェアイメージのダウンロード」を参照し、利用予定のASA/ASDMソフトウェアイメージの事前ダウンロードを実施してください
ASA5500-X: 初期セットアップ手順: 初期設定、S/Wアップグレード、ライセンス有効化方法
https://community.cisco.com/t5/-/-/ta-p/3162692#toc-hId-1287429854
・Active/Standbyの切り替え(Failover)時に通信影響が発生するリスクがあります。 以下ドキュメントの「Failover時の注意事項」を参照の上、十分なメンテナンス時間を確保してからの アップグレード作業実施をお勧めします
ASA: 冗長構成(Act/Stby)で Active機とStandby機の再起動方法 (CLI)
https://community.cisco.com/t5/-/-/ta-p/3166724#toc-hId--1443186820
・以下ドキュメントを参照し、ASDM もしくは CLIからの、両機器(Primary機とSecondary機)の設定の事前バックアップを 強くお勧めします
ASDM: ASA設定のバックアップ・リストア機能について
https://community.cisco.com/t5/-/-/ta-p/3155941
・(未設定時は) 以下ドキュメントなどを参考に、prompt hostname priority state コマンドを有効化し、プロンプトから 機器状態などが確認できる状態にしてください
ASA 冗長構成で、コマンドラインのプロンプトで Active機 Standby機状態を確認する
https://community.cisco.com/t5/-/-/ta-p/3150135
・(はじめてのアップグレード作業の場合) Active/Standby冗長構成の場合、各機器は固定の優先度(Primary機もしくはSecondary機)を持ち、また、どちらか片方がActive機となり通信処理を行います。 この優先度と状態について理解することでアップグレード作業をより円滑に進めることができます。詳しくは、以下ドキュメントの「ASA 冗長機能の仕組み」を一読いただく事をお勧めいたします
ASA: 冗長機能と、Failoverのトリガー、Health Monitoringについて
https://community.cisco.com/t5/-/-/ta-p/3157060
Active/Standby冗長構成 ASA/ASDMバージョンアップグレード 簡易フロー
以下のフローでアップグレードを行います。 Active/Standbyの切り替え(Failover)時に通信影響が発生する可能性があります。
 |
1. Active機とStandby機の両方に ソフトウェアイメージファイルを アップロードします |
 |
2. Active機で ソフトウェアイメ ージの起動指定を行ったのち 設 定保存します。これら設定操作 は自動で、Standby機に同期さ れます |
 |
3. Standby機のアップグレード Standby機は業務通信が通過しな |
 |
4. もう片側機のアップグレード この操作で数秒程度の通信影響 |
 |
5. 新Standby機(旧Active機)の |
Active/Standby冗長構成 ASA/ASDMバージョンアップグレード 手順
1. Active機で以下コマンドを実行し、現在のソフトウェアバージョンなどを確認します
【ASAソフトウェアバージョンや IP情報などの確認】
ASA/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: fover GigabitEthernet0/5 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 114 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.6(3)3, Mate 9.6(3)3 <--- THIS
Serial Number: Ours FCH1746JR8X, Mate FCH16157DJW
Last Failover at: 05:40:41 UTC Sep 25 2018
This host: Primary - Active
Active time: 178914 (sec)
slot 0: ASA5515 hw/sw rev (1.0/9.6(3)3) status (Up Sys)
admin Interface inside (172.20.0.254): Normal (Monitored)
admin Interface outside (0.0.0.0): Normal (Not-Monitored)
admin Interface manage (1.170.0.62): Normal (Monitored)
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: ASA5515 hw/sw rev (1.0/9.6(3)3) status (Up Sys)
admin Interface inside (172.20.0.253): Normal (Monitored)
admin Interface outside (0.0.0.0): Normal (Not-Monitored)
admin Interface manage (1.170.0.63): Normal (Monitored)
【ASA/ASDMソフトウェアバージョンの確認】
ASA/pri/act# show version Cisco Adaptive Security Appliance Software Version 9.6(3)3 <system> Device Manager Version 7.6(2)150 <--- Active ASDM version --- snip --- ASA/pri/act# failover exec standby show version Cisco Adaptive Security Appliance Software Version 9.6(3)3 <system> Device Manager Version 7.6(2)150 <--- Standby ASDM version
2. 事前に準備したASAと ASDMソフトウェアイメージを、Active機とStandby機にて各ダウンロードします。 以下は、TFTPサーバーからのファイルダウンロード例を示します。他に FTPやHTTPサーバーからのファイルダウンロードも可能です
【Active側】
ASA/pri/act# copy tftp flash Address or name of remote host [1.0.0.1]? Source filename [asa964-14-smp-k8.bin]? Destination filename [asa964-14-smp-k8.bin]? Accessing tftp://1.0.0.1/asa964-14-smp-k8.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Writing file disk0:/asa964-14-smp-k8.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 82980864 bytes copied in 70.450 secs (1185440 bytes/sec) ASA/pri/act# ASA/pri/act# copy tftp flash Address or name of remote host []? 1.0.0.1 Source filename []? asdm-792-152.bin Destination filename [asdm-792-152.bin]? Accessing tftp://1.0.0.1/asdm-792-152.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Writing file disk0:/asdm-792-152.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 32738244 bytes copied in 28.80 secs (1169223 bytes/sec)
【Standby側】
ASA/sec/stby# copy tftp flash Address or name of remote host [1.0.0.1]? Source filename [asdm-792-152.bin]? asa964-14-smp-k8.bin Destination filename [asa964-14-smp-k8.bin]? Accessing tftp://1.0.0.1/asa964-14-smp-k8.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Writing file disk0:/asa964-14-smp-k8.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 82980864 bytes copied in 70.500 secs (1185440 bytes/sec) ASA/sec/stby# ASA/sec/stby# copy tftp flash Address or name of remote host []? 1.0.0.1 Source filename []? asdm-792-152.bin Destination filename [asdm-792-152.bin]? Accessing tftp://1.0.0.1/asdm-792-152.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Writing file disk0:/asdm-792-152.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 32738244 bytes copied in 27.570 secs (1212527 bytes/sec)
3. 現在の起動時に選択されるASAソフトウェアイメージの確認と、既存設定がある場合は 削除します。Active機の設定変更は自動でStandby機に同期されます
ASA/pri/act# show running-config boot boot system disk0:/asa963-3-smp-k8.bin <--- 既存設定を確認 ASA/pri/act# ASA/pri/act# ASA/pri/act# conf t ASA/pri/act(config)# no boot system disk0:/asa963-3-smp-k8.bin <--- 既存設定の削除 ASA/pri/act(config)# ASA/pri/act(config)# show running-config boot <--- 何も表示されないことを確認 ASA/pri/act(config)#
4. アップグレード先ASAバージョンの ASAソフトウェアイメージを指定し設定の保存を行います。Active機の設定変更や保存操作は自動でStandby機に同期されます
ASA/pri/act(config)# boot system disk0:/asa964-14-smp-k8.bin ASA/pri/act(config)# ASA/pri/act(config)# write memory Building configuration... Cryptochecksum: a8b35af3 b94b2de6 96e78669 800a9ee7 1755 bytes copied in 0.790 secs [OK] ASA/pri/act(config)#
5. 環境変数にASAソフトウェアイメージが指定されていることを確認します。当ASAソフトウェアイメージが次回ASA起動時に利用されます
ASA/pri/act(config)# show bootvar <--- Active機の環境変数の確認 BOOT variable = disk0:/asa964-14-smp-k8.bin Current BOOT variable = disk0:/asa964-14-smp-k8.bin CONFIG_FILE variable = Current CONFIG_FILE variable = ASA/pri/act(config)# failover exec standby show bootvar <--- Standby機の環境変数の確認 BOOT variable = disk0:/asa964-14-smp-k8.bin Current BOOT variable = disk0:/asa964-14-smp-k8.bin CONFIG_FILE variable = Current CONFIG_FILE variable =
6. アップグレード先ASDMバージョンの ASDMソフトウェアイメージを指定し設定の保存を行います。Active機の設定変更や保存操作は自動でStandby機に同期されます
ASA/pri/act(config)# asdm image disk0:/asdm-792-152.bin ASA/pri/act(config)# ASA/pri/act(config)# write memory Building configuration... Cryptochecksum: e985df14 bcd1ccd4 6150742c 022d0ce1 1755 bytes copied in 0.780 secs [OK] ASA/pri/act(config)#
7. ASDMソフトウェアイメージは即座に反映されるため、Active機とStandby機でASDMバージョンが更新されたことを確認します
ASA/pri/act# show version Cisco Adaptive Security Appliance Software Version 9.6(3)3 <system> Device Manager Version 7.9(2)152 <--- Active ASDM version --- snip --- ASA/pri/act# failover exec standby show version Cisco Adaptive Security Appliance Software Version 9.6(3)3 <system> Device Manager Version 7.9(2)152 <--- Standby ASDM version
8. ASAソフトウェアをアップグレードするため、Active機から Standby機の再起動を行います。この際、通信影響はありません
ASA/pri/act(config)# failover reload-standby ASA/pri/act(config)#
なお、上記コマンドをActive機で実施した後、Standby機は自動で再起動します
ASA/sec/stby# *** *** --- SHUTDOWN NOW --- *** *** Message to all terminals: *** *** requested by active unit Process shutdown finished
9. 通常 5分~10分ほど待ち、Standby機が起動し Standby Readyとして稼働していること、及び ASAソフトウェアバージョンが上がっていることを確認します
ASA/pri/act(config)# show failover
Failover On
Failover unit Primary
Failover LAN Interface: fover GigabitEthernet0/5 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 114 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.6(3)3, Mate 9.6(4)14 <--- THIS
Serial Number: Ours FCH1746JR8X, Mate FCH16157DJW
Last Failover at: 05:40:41 UTC Sep 25 2018
This host: Primary - Active
Active time: 180946 (sec)
slot 0: ASA5515 hw/sw rev (1.0/9.6(3)3) status (Up Sys)
admin Interface inside (172.20.0.254): Normal (Monitored)
admin Interface outside (0.0.0.0): Normal (Not-Monitored)
admin Interface manage (1.170.0.62): Normal (Monitored)
Other host: Secondary - Standby Ready <--- THIS
Active time: 0 (sec)
slot 0: ASA5515 hw/sw rev (1.0/9.6(4)14) status (Up Sys)
admin Interface inside (172.20.0.253): Normal (Monitored)
admin Interface outside (0.0.0.0): Normal (Not-Monitored)
admin Interface manage (1.170.0.63): Normal (Monitored)
10. Active機のアップグレードを行うため、手動Failover(ステート切り替え)を実施し、Active機をStandby機に変更します。この際、ASA 及び 周囲機器の切り替え動作により、数秒程度のパケットロスが発生することがあります。 切り替え後、Active機が Standby機に変わったことを確認してください
[注意] TelnetやSSHを利用し管理アクセス時は、手動Failoverにより Primary機とSecondary機のIP/MACアドレスが入れ替わるため、Failover後に各機器の管理IPアドレスに再接続が必要です
ASA/pri/act(config)# no failover active
ASA/pri/act(config)#
Switching to Standby
ASA/pri/stby(config)# <--- stby(Standby)に変わったことを確認
ASA/pri/stby(config)#
ASA/pri/stby(config)# show failover
Failover On
Failover unit Primary
Failover LAN Interface: fover GigabitEthernet0/5 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 114 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.6(3)3, Mate 9.6(4)14
Serial Number: Ours FCH1746JR8X, Mate FCH16157DJW
Last Failover at: 07:58:27 UTC Sep 27 2018
This host: Primary - Standby Ready <--- THIS
11. 旧Active機(現Standby機)のアップグレードのため 再起動を行います
ASA/pri/stby(config)# reload Proceed with reload? [confirm] ASA/pri/stby(config)# *** *** --- START GRACEFUL SHUTDOWN --- Shutting down isakmp Shutting down webvpn Shutting down sw-module Shutting down License Controller Shutting down File system
12. 通常 5分~10分ほど待ち、正常起動し Standby Readyとして稼働していること、及び 両機器のASAソフトウェアバージョンが上がっていることを確認します
ASA/pri/stby> enable
Password:
ASA/pri/stby#
ASA/pri/stby# show failover
Failover On
Failover unit Primary
Failover LAN Interface: fover GigabitEthernet0/5 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 114 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.6(4)14, Mate 9.6(4)14 <--- THIS
Serial Number: Ours FCH1746JR8X, Mate FCH16157DJW
Last Failover at: 08:04:58 UTC Sep 27 2018
This host: Primary - Standby Ready
Active time: 0 (sec)
slot 0: ASA5515 hw/sw rev (1.0/9.6(4)14) status (Up Sys)
admin Interface inside (172.20.0.253): Normal (Monitored)
admin Interface outside (0.0.0.0): Normal (Not-Monitored)
admin Interface manage (1.170.0.63): Normal (Monitored)
Other host: Secondary - Active
Active time: 496 (sec)
slot 0: ASA5515 hw/sw rev (1.0/9.6(4)14) status (Up Sys)
admin Interface inside (172.20.0.254): Normal (Monitored)
admin Interface outside (0.0.0.0): Normal (Not-Monitored)
admin Interface manage (1.170.0.62): Normal (Monitored)
13. (option) 何等か理由で 旧Active機(現Standby機)を Activeに戻したい場合は、以下コマンドを実行します。この際、ASA 及び 周囲機器の切り替え動作により、数秒程度のパケットロスが発生することがあります。 なお、ASA冗長構成では Primary機と Secondary機の通信処理は同等に動作するため、不要なFailoverは少ないほうがよく、通常 この作業は不要です
ASA/pri/stby(config)# failover active Switching to Active ASA/pri/act(config)#
よくある質問
ASDMを利用した 冗長構成のアップグレード手順はありますか
はい、以下ドキュメントの手順を利用いただけます。
Cisco ASA Upgrade Guide
https://www.cisco.com/c/en/us/td/docs/security/asa/upgrade/asa-upgrade/asa-appliance-asav.html#task_E9EE51964590499999B1D976F66E2771
切り戻しのためのダウングレード時も当手順を利用できますか
はい、利用可能ですが、設定の自動変換はダウングレード時はサポートされません。例えば、大きくASAソフトウェアバージョンを下げる場合などは 設定差分が発生する可能性があります。
ASAソフトウェアバージョンダウングレード後に 設定差分が発生時は、以下の何れかの実施を検討してください。設定差分が少ない場合は1を、設定差分が多かったり確実に設定を戻したい場合は2がお勧めです。
- アップグレード前に取得したバックアップファイル内のrunning-config.cfgと ダウングレード後 のバックアップファイル内のrunning-config.cfgを、WinMergeなど差分比較ツールで確認し、差分箇所を手動で変更
- Secondary(Standby)機の電源を停止した状態で、アップグレード前に取得したバックアップファイルをPrimary(Active)機にリストアする。その後、Secondary機を起動すると、最新設定が Primary(Active)機からSecondary(Standby)機に自動同期される
なお、特に2の作業時は 設定が一時クリアしリストアされることにより通信影響が発生する恐れがあります。そのため、ダウングレード作業は通信影響のない時間、もしくは少ない時間帯に実施してください。
Active機とStandby機のバージョンが異なる構成はサポートされますか
サポート対象となりますが、アップグレード時などの一時的なバージョン差分の発生の場合を除き、Primary機とSecondary機は原則同じバージョンで稼働/運用するようにしてください。冗長構成でのバージョンが違う事で、正常な新規セッションの同期や引継ぎなどがうまくいかないケースがあるためです。
参考情報
ASA: 冗長機能と、Failoverのトリガー、Health Monitoringについて
https://community.cisco.com/t5/-/-/ta-p/3157060
ASA Failover: ケース別のGARP送付有無について
https://community.cisco.com/t5/-/-/ta-p/3224179
ファイアウォール トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161736
Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
