購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
5025
閲覧回数
18
いいね!
1
コメント

CSC-SSM モジュールをリイメージする

zhaqin
Level 1
Level 1

‎2010-07-18 07:14 AM

下記の投稿は CSC-SSM のリイメージ(OS の再インストール)プロセスを、最新バージョンの情報に基づいて、詳細かつ分かりやすく説明するドキュメントです。

Re-imaging the CSC-SSM

https://supportforums.cisco.com/docs/DOC-1323

本投稿は原作者 Magnus Mortensen の了承を得て日本語に翻訳したものとなります。

    

概要

このガイドでは Cisco ASA Content Security and  Control (CSC) Security Services Module を最新バージョンへリイメージするステップを説明します。リイメージのプロセスは大体 30分間かかり(cisco.com から必要なファイルを入手する時間を除く)、リイメージ終了後、CSC モジュールは新しいバージョンで設定が入っていない状態で起動します。

   

アップグレード手法

CSC モジュールのアップグレードに 2種類のファイルが使われ、それぞれの拡張子が BIN と PKG となっています。

   

BIN ファイル - BIN ファイルはモジュールのリイメージに使われます。このファイルに CSC モジュールの基本 OS が入っています。通常 BIN ファイルは 6.2.1599.0 や 6.3.1172.0 のようなメインテナンスバージョンとしてリリースされます。

   

PKG ファイル - PKG ファイルは BIN ファイルのリリース後に見つかったバグの修正とマイナー実装変更が入っているパッチとなります。例えば、csc6.3.1172.3.pkg は 6.3.1172.0 に対するパッチであり、それを当てると、CSC モジュールのバージョンが  6.3.1172.3 になります。各 PKG ファイルのリリースノートには、そのパッチを当てれるバージョンが記載されています。

    

注意

リイメージする際、CSC モジュールのダウンタイムが発生します。ASA 側の設定で CSC モジュールのスキャンポリシーが 'fail-close' となっている場合、CSC モジュールの検査を要する通信ができなくなります。'fail-close' およびその逆の 'fail-open' については、下記のドキュメントを参照してください。

Diverting  Traffic to the CSC SSM

    

   

リイメージ方法

ステップ1: 最新バージョンの CSC モジュールのイメージファイルを入手する

  • このリンクにアクセスする: http://www.cisco.com/cisco/software/navigator.html?a=a&i=rpm
  • このページで必要な BIN ファイルと PKG ファイルをダウンロードする。ここでは “csc6.3.1172.0.bin” と "csc6.3.1172.3.pkg"。
  • ダウンロードし終えたら、「ステップ2: TFTP サーバをセットアップする」へ。

    

ステップ2: TFTP サーバをセットアップする

なお、作業環境の物理結線として、CSC モジュールの Ethernet ポートから TFTP サーバまで疎通が取れるようにケーブリングしておく必要があります。通常は便利上、CSC モジュールのポートと TFTP サーバとを同じサブネットに置くことをお勧めします。

    

注意:   もし TFTP サーバが用意済みであれば、このステップをスキップしてください。

  • もしTFTP サーバを持っていなければ、インタネットから無料公開されているものを入手してください。
  • ここでは http://tftpd32.jounin.net/ からダウンロード出来る TFTPD32  というソフトウェアを使います。
  • TFTPD32 をダウンロードした後、ロカールデイスクに解凍します。例えば: c:\tftp
  • CSC イメージファイル csc6.3.1172.0.bin を同じフォルダの下においておきます。(画像では旧バージョンのイメージファイルですが、気にしなくて良いです)

first.jpg
     
     

  • TFTP サーバのプロセス(tftpd32.exe)を立ち上げると、作業 PC の IP アドレスに自動的にバインドします。ここでは 192.168.1.50 となっています。

2.jpg
   
   

ステップ3: 現時点で CSC モジュールの設定やライセンスをバックアップします。

  • 右のリンクで CSC モジュールのウェブ管理画面にログインします。https://CSC-module-IP:8443
  • 左側のメニュより、“Administration” -> “Configuration Backup” を選びます。
  • 作業 PC に config.tgz という名前でバックアップファイルを保存します。
  • 再度メニュに戻り、“Administration” -> “Product License” からライセンスキーをテキストとして保存しておきます。

3.jpg
     
     

ステップ4: CSC モジュールをリイメージします。

  • Telnet もしくは SSH で ASA のコマンドラインにログインします。
    ましくは、作業PC から USB-to-Serial のコンバーターで ASA のコンソールに接続して、コンソール上で下記の作業を実施して頂いてもよいです。
  • ‘enable’ モードに入ります。
  • コマンド hw-module  module 1 recover config でリイメージのパラメータを設定します。
  • 下記の情報が要求されます(ここでは設定例の情報となっています)。
  • 注意点としては、"Port IP Address" はリイメージプロセス中に CSC モジュール自身が使用する暫定アドレスとなります。

    ciscoasa(config)# hw-module module 1 recover config
    Image URL [t    ftp://0.0.0.0/]: tftp://192.168.1.50/csc6.3.1172.0.bin
    Port IP Address [0.0.0.0]: 192.168.1.250
    VLAN ID [0]:
    Gateway IP Address [0.0.0.0]:
    ciscoasa(config)#

       
    注意:  もし TFTP サーバと CSC モジュールのポートが同じサブネットにいるなら、ゲートウェイは 0.0.0.0 のままにしてください。もし両者が別々のサブネットにいるなら、ゲートウェイをサブネット間にあるネクストホップのルータに指定してください。

   

  • 準備が完了したら、このコマンドでリイメージプロセスを開始します: hw-module module 1  recover boot: 
    ciscoasa(config)# hw-module module 1 recover boot
    The module in slot 1 will be recovered. This may 
    erase all configuration and all data on that device and
    attempt to download a new image for it.
    Recover module in slot 1? [confirm]
    ciscoasa(config)#
    Recover issued for module in slot 1

       

  • debug module コマンドでデバッグを有効にすると、リイメージの過程を確認できます。: 
    Slot-1 000> Platform SSM-CSC20
    Slot-1 001> GigabitEthernet0/0
    Slot-1 002> Link is UP
    Slot-1 003> MAC Address: 000b.fcf8.0134
    Slot-1 004> ROMMON Variable Settings:
    Slot-1 005>   ADDRESS=192.168.1.250
    Slot-1 006>   SERVER=192.168.1.50
    Slot-1 007>   GATEWAY=0.0.0.0
    Slot-1 008>   PORT=GigabitEthernet0/0
    Slot-1 009>   VLAN=untagged
    Slot-1 010>   IMAGE= csc6.3.1172.0.bin
    Slot-1 011>   CONFIG=
    Slot-1 012> tftp csc6.3.1172.0.bin@192.168.1.50
    Slot-1 013> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Slot-1 014> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

    

  • 大体 10 分ほどかかります。リイメージが無事完了できたら、下記のようなメッセージが表示されます。Launching  BootLoader... というメッセージが表示されたら、リイメージが完了したことを示しております。 
    Slot-1 204>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Slot-1 205> Received 57985402 bytes
    Slot-1 206> Launching TFTP Image...
    Slot-1 207> Cisco Systems ROMMON Version (1.0(8)1) #0: Thu Jan 20 20:28:49 PST 2005
    Slot-1 208> Platform SSM-CSC20
    Slot-1 209> GigabitEthernet0/0
    Slot-1 210> Link is UP
    Slot-1 211> MAC Address: 000b.fcf8.0134
    Slot-1 212> Launching BootLoader...

       

ステップ5: CSC モジュールを再度初期化します。

  • ASA のコマンドラインから ‘session 1’ で CSC にログインします。
  • ログインユーザとパスワードは共に ‘cisco’ です。
  • ここでパスワード変更のプロンプトに従って、パスワード変更を行います。
  • ウィザードに従って CSC モジュールのネットワーク設定、ドメイン名指定やライセンスの入力を行ないます。
  • これらの初期化が完了すると、ウェブ管理画面へログインできるようになります。

      

ステップ6:  CSC モジュールの設定をリストアします。

  • 右のリンクでCSC モジュールのウェブ管理画面にログインします。https://CSC-module-IP:8443https://csc-module-ip:8443/
  • 左側のメニュより、“Administration” -> “Configuration Backup” を選び、バックアップした設定ファイルをリストアします。

4.jpg

     

ステップ7: 最新の PKG パッチファイルを当てます。

  • 右のリンクでCSC モジュールのウェブ管理画面にログインします。https://CSC-module-IP:8443
  • 左側のメニュより、“Administration” -> “Product Upgrade” を選び、"Browse" をクリックします。
  • ファイル csc6.3.1172.3.pkg (最新のパッチ)を選び、ガイドに従って 6.3.1172.3 にアップグレードします。
  • パッチ当てる期間中に CSC モジュールのプロセスが再起動されます。.
コメント
miarai
Cisco Employee
Cisco Employee
‎2011-06-11 04:01 AM

CSC を保守する可能性がある方は、全員が理解しておくべき内容と思います。

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents