購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
1783
閲覧回数
0
いいね!
0
コメント

FMC 6.x: ASA with FirePOWER リイメージと リストア方法

Taisuke Nakamura
Cisco Employee
Cisco Employee

‎2017-03-27 10:41 PM ‎2019-03-22 07:32 AM 更新


   

1. はじめに

本ドキュメントでは、FMC(旧名=FireSIGHT)のバージョン6.xで ASA with FirePOWER Servicesを管理時の、ASAの保守交換(RMA)や FirePOWERモジュールのリイメージと、設定のリストア方法について記述します。

なお、FMCはバージョン 5.xと6.xでは、WebUIが少なからず変わっています。FMC バージョン 5.xのWebUIを利用時の復元手順は、以下ドキュメントを参照してください。
https://supportforums.cisco.com/ja/document/12529281

 
本ドキュメントは、FMCバージョン 6.0.1.2、FirePOWERバージョン 6.0.0.1を用いて確認、作成しております。

 

 

2. 事前準備

2.1. 新FirePOWERモジュールのインストールと初期セットアップ

事前にASA設定が完全に復元された状態とすること、及び、以下を参照し FirePOWERシステムソフトウェアのインストールとIP情報の初期セットアップを行ってください。

[FirePower] ASA with FirePOWER の初期インストール手順(ASA5500-X wo/ ASA5585-X)
https://supportforums.cisco.com/ja/document/12475796
    ---> ASA5500-Xシリーズ(Software module) 向け

[FirePower] ASA with FirePOWER の初期インストール手順(ASA5585-X)
https://supportforums.cisco.com/ja/document/12531146
    ---> ASA5585-Xシリーズ(Hardware module) 向け

   
当 セットアップで利用するインストールパッケージ(.pkg)は、旧FirePOWERモジュールと同じ Major/Minorバージョンのを利用します。 Major/Minorバージョンとは、1番目と2番目の数字を示します。 例えば、バージョン6.0.0.1の場合、Major/Minorバージョンは 6.0となり、6.0.0のインストールパッケージを利用します。

ASA5515の、バージョン6.0.0のインストールと初期セットアップ時間の目安は、40分程度です。 (実測値。)

インストールパッケージを適用した後の状態は、通常、各リリースの初期バージョンとなるため、旧FirePOWERで利用のパッチや、最新のVDB、最新のシグネチャなどの適用が必要となります。

  

2.2. パッチとVDBの、FMCに事前アップロード

FirePOWERモジュールに適用するパッチや 最新VDBがない場合、事前にFMCにアップロードしておきます。

例 えば、ASA5515の旧FirePOWERモジュールのバージョンが6.0.0.1の場合、Download Softwareより 6.0.1のパッチファイル(ファイル名=Cisco_Network_Sensor_Patch-6.0.0.1-26.sh)をダウンロードしておき ます。

https://software.cisco.com/download/release.html?mdfid=286285782&softwareid=286277393&release=6.0.0

  
  
FMCの System > Updatesの Product Updatesタブより、Upload Updateボタンをクリックし、パッチファイル(拡張子=.sh)を事前にアップロードしておいてください。

  
  
  

  

3. FMCから 旧FirePOWERモジュールの削除

FirePOWERモジュールのライセンスは FMCが統合管理しているため、旧FirePOWERモジュールに割当てたライセンスを、新FirePOWERモジュールに付替えが可能です。

なお、FMC上に旧FirePOWERモジュールの情報が残っていると、同じ管理IPアドレスの新FirePOWERモジュールが追加できないため、事前に旧FirePOWERモジュールのFMCからの削除を実施します。

  
削除前に、旧FirePOWERモジュールの運用状態や設定を確認し、メモやスクリーンショットを取ってください。 これら情報は、新FirePOWERモジュールをFMC登録時に利用します。

Devices > Device Managementより、管理IPアドレスや 製品名、バージョン、ライセンス有効状況、Access Control Policy(ACP)が確認できます。

  
  
Devices > Device Managementから対象デバイスを Editし、DeviceタブのHealth欄で、割り当てられたHealth Policyを確認できます。

 
    
Devices > Device Managementに戻り、対象デバイスのDeleteボタンをクリックし、FMCから削除します。

  
  
   

  

4. FMCに 新FirePOWERモジュール登録と 設定・パッチ適用

ASAのCLI経由で、FirePOWERモジュール(sfr)にアクセスします。 デフォルトのログインパスワードは、admin/Admin123 もしくは admin/Sourcefire です。

asa/pri/act# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.

Login incorrect
firepower login: admin
Password:
Last login: Mon Mar 27 08:30:00 UTC 2017 on ttyS1

Copyright 2004-2015, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.

Cisco Fire Linux OS v6.0.0 (build 258)
Cisco ASA5515 v6.0.0 (build 1005)

>


FirePOWER CLIより、configure manager add コマンドを実行し、FMCを登録します。 以下コマンド実行例の場合、FMCのIPアドレスが 1.150.0.28、registration keyが "cisco123"です。

> configure manager add 1.150.0.28 cisco123
Manager successfully configured.
Please make note of reg_key as this will be required while adding Device in FMC.


FMCの Devices > Device Management より、画面右 Addボタンをクリックし、Add Deviceを選択します。以下ポップアップが出るため、設定したregistration keyと、旧FirePOWERモジュールと同じIPアドレスや Access Control Policy、ライセンスを選択し、Registerをクリックします。

  
  
しばらくすると (ASA5515の場合 5分~10分ほど)、以下の画面のように、新FirePOWERモジュールの登録が完了し、ライセンスやAccess Control Policyの適用も完了します。

  

  

(Security Zonesを Access Control Policyで利用時のみ実施) Objects > Object Management > Security Zonesから 追加したASAデバイスのInterfaceが、任意Security-zoneに紐付いてるかの確認と、必要に応じてASA Interfaceの再割り当てを実施してください。

FMC-ASA-Zone.JPG

  
  
Health Policyを適用するため、System > Health > Policy より、旧FirePOWERモジュールに適用していたHealth Policyの Applyボタンをクリックします。適用対象デバイスを選択できるので、新FirePOWERモジュールをチェックし、Applyをクリックします。

  
  
System Updatesから、同じMajor/Minorバージョンの適用するパッチ(Network Sensor Patch)を選択し、Installボタンをクリックします。

  
  
指定したパッチを適用可能なデバイスが表示されるので、新FirePOWERモジュールをチェックし、Installボタンをクリックします。

  
  
パッチの適用状況は、System Statusアイコンをクリックし、Taskタブから確認できます。 パッチのインストールはある程度の時間がかかります。 ASA5515の 6.0.0から6.0.0.1の場合、30分~40分程度です。(実測。) パッチインストールの必要な時間は、機器の処理速度や、パッチ量(例えば、6.0.0⇒6.0.0.1よりも、6.0.0⇒6.0.1のほうがより時間がかかります)などに左右されるため、予め余裕を持ったメンテナンスタイムを用意しておくことをお勧めします。

  
  
パッチ適用後にはACP再適用が必要なため、Deployボタンをクリックし、新FirePOWERモジュールをチェックし、Deployを実行します。

  
  
  

  

5. リストア後 確認

Devices > Device Management より、新FirePOWERモジュールが想定のセットアップ状態(バージョンやライセンスや適用ポリシーなどを確認)を確認してください。

   
  
System > Health > Monitorより、特にエラーが無いことを確認してください。

   
  
他、通信試験を実施し、想定の通信ログが出るかなどの適宜試験を実施を検討します。

  

  

6. ベストプラクティス

  • FirePOWERにパッチやACP適用時は、構成により、断続的な通信影響が発生します。そのため、メンテナンス時間や、通信影響の少ない時間帯に実行をお勧めします

 

 

7. 参考情報

ASA with FirePOWER リストア方法
    - FMC(旧名:FireSIGHT) バージョン5.x向け
https://supportforums.cisco.com/ja/document/12529281

Firepower System: FMCと 管理deviceの パッチ 簡易アップデート手順
    - ご利用のMajor/Minorバージョンの最新パッチ適用方法
https://supportforums.cisco.com/ja/document/12948626

0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents