下記の投稿は CSC-SSM のリイメージ(OS の再インストール)プロセスを、最新バージョンの情報に基づいて、詳細かつ分かりやすく説明するドキュメントです。
Re-imaging the CSC-SSM
https://supportforums.cisco.com/docs/DOC-1323
本投稿は原作者 Magnus Mortensen の了承を得て日本語に翻訳したものとなります。
概要
このガイドでは Cisco ASA Content Security and Control (CSC) Security Services Module を最新バージョンへリイメージするステップを説明します。リイメージのプロセスは大体 30分間かかり(cisco.com から必要なファイルを入手する時間を除く)、リイメージ終了後、CSC モジュールは新しいバージョンで設定が入っていない状態で起動します。
アップグレード手法
CSC モジュールのアップグレードに 2種類のファイルが使われ、それぞれの拡張子が BIN と PKG となっています。
BIN ファイル - BIN ファイルはモジュールのリイメージに使われます。このファイルに CSC モジュールの基本 OS が入っています。通常 BIN ファイルは 6.2.1599.0 や 6.3.1172.0 のようなメインテナンスバージョンとしてリリースされます。
PKG ファイル - PKG ファイルは BIN ファイルのリリース後に見つかったバグの修正とマイナー実装変更が入っているパッチとなります。例えば、csc6.3.1172.3.pkg は 6.3.1172.0 に対するパッチであり、それを当てると、CSC モジュールのバージョンが 6.3.1172.3 になります。各 PKG ファイルのリリースノートには、そのパッチを当てれるバージョンが記載されています。
注意
リイメージする際、CSC モジュールのダウンタイムが発生します。ASA 側の設定で CSC モジュールのスキャンポリシーが 'fail-close' となっている場合、CSC モジュールの検査を要する通信ができなくなります。'fail-close' およびその逆の 'fail-open' については、下記のドキュメントを参照してください。
Diverting Traffic to the CSC SSM
リイメージ方法
ステップ1: 最新バージョンの CSC モジュールのイメージファイルを入手する
ステップ2: TFTP サーバをセットアップする
なお、作業環境の物理結線として、CSC モジュールの Ethernet ポートから TFTP サーバまで疎通が取れるようにケーブリングしておく必要があります。通常は便利上、CSC モジュールのポートと TFTP サーバとを同じサブネットに置くことをお勧めします。
注意: もし TFTP サーバが用意済みであれば、このステップをスキップしてください。
- もしTFTP サーバを持っていなければ、インタネットから無料公開されているものを入手してください。
- ここでは http://tftpd32.jounin.net/ からダウンロード出来る TFTPD32 というソフトウェアを使います。
- TFTPD32 をダウンロードした後、ロカールデイスクに解凍します。例えば: c:\tftp
- CSC イメージファイル csc6.3.1172.0.bin を同じフォルダの下においておきます。(画像では旧バージョンのイメージファイルですが、気にしなくて良いです)
![first.jpg](/legacyfs/online/legacy/5/4/2/6245-first.jpg)
- TFTP サーバのプロセス(tftpd32.exe)を立ち上げると、作業 PC の IP アドレスに自動的にバインドします。ここでは 192.168.1.50 となっています。
![2.jpg](/legacyfs/online/legacy/6/4/2/6246-2.jpg)
ステップ3: 現時点で CSC モジュールの設定やライセンスをバックアップします。
- 右のリンクで CSC モジュールのウェブ管理画面にログインします。https://CSC-module-IP:8443
- 左側のメニュより、“Administration” -> “Configuration Backup” を選びます。
- 作業 PC に config.tgz という名前でバックアップファイルを保存します。
- 再度メニュに戻り、“Administration” -> “Product License” からライセンスキーをテキストとして保存しておきます。
![3.jpg](/legacyfs/online/legacy/7/4/2/6247-3.jpg)
ステップ4: CSC モジュールをリイメージします。
- Telnet もしくは SSH で ASA のコマンドラインにログインします。
ましくは、作業PC から USB-to-Serial のコンバーターで ASA のコンソールに接続して、コンソール上で下記の作業を実施して頂いてもよいです。
- ‘enable’ モードに入ります。
- コマンド hw-module module 1 recover config でリイメージのパラメータを設定します。
- 下記の情報が要求されます(ここでは設定例の情報となっています)。
- 注意点としては、"Port IP Address" はリイメージプロセス中に CSC モジュール自身が使用する暫定アドレスとなります。
ciscoasa(config)# hw-module module 1 recover config
Image URL [tftp://0.0.0.0/]: tftp://192.168.1.50/csc6.3.1172.0.bin
Port IP Address [0.0.0.0]: 192.168.1.250
VLAN ID [0]:
Gateway IP Address [0.0.0.0]:
ciscoasa(config)#
注意: もし TFTP サーバと CSC モジュールのポートが同じサブネットにいるなら、ゲートウェイは 0.0.0.0 のままにしてください。もし両者が別々のサブネットにいるなら、ゲートウェイをサブネット間にあるネクストホップのルータに指定してください。
- 準備が完了したら、このコマンドでリイメージプロセスを開始します: hw-module module 1 recover boot:
ciscoasa(config)# hw-module module 1 recover boot
The module in slot 1 will be recovered. This may
erase all configuration and all data on that device and
attempt to download a new image for it.
Recover module in slot 1? [confirm]
ciscoasa(config)#
Recover issued for module in slot 1
- debug module コマンドでデバッグを有効にすると、リイメージの過程を確認できます。:
Slot-1 000> Platform SSM-CSC20
Slot-1 001> GigabitEthernet0/0
Slot-1 002> Link is UP
Slot-1 003> MAC Address: 000b.fcf8.0134
Slot-1 004> ROMMON Variable Settings:
Slot-1 005> ADDRESS=192.168.1.250
Slot-1 006> SERVER=192.168.1.50
Slot-1 007> GATEWAY=0.0.0.0
Slot-1 008> PORT=GigabitEthernet0/0
Slot-1 009> VLAN=untagged
Slot-1 010> IMAGE= csc6.3.1172.0.bin
Slot-1 011> CONFIG=
Slot-1 012> tftp csc6.3.1172.0.bin@192.168.1.50
Slot-1 013> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Slot-1 014> !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
ステップ5: CSC モジュールを再度初期化します。
- ASA のコマンドラインから ‘session 1’ で CSC にログインします。
- ログインユーザとパスワードは共に ‘cisco’ です。
- ここでパスワード変更のプロンプトに従って、パスワード変更を行います。
- ウィザードに従って CSC モジュールのネットワーク設定、ドメイン名指定やライセンスの入力を行ないます。
- これらの初期化が完了すると、ウェブ管理画面へログインできるようになります。
ステップ6: CSC モジュールの設定をリストアします。
![4.jpg](/legacyfs/online/legacy/8/4/2/6248-4.jpg)
ステップ7: 最新の PKG パッチファイルを当てます。
- 右のリンクでCSC モジュールのウェブ管理画面にログインします。https://CSC-module-IP:8443
- 左側のメニュより、“Administration” -> “Product Upgrade” を選び、"Browse" をクリックします。
- ファイル csc6.3.1172.3.pkg (最新のパッチ)を選び、ガイドに従って 6.3.1172.3 にアップグレードします。
- パッチ当てる期間中に CSC モジュールのプロセスが再起動されます。.