- 1. はじめに
- 2. リイメージ個所の決定
- 3. セキュリティモジュールのリイメージ手順
- 4. シャーシとセキュリティモジュールのリイメージ手順
- 5. シャーシとセキュリティモジュールのリイメージ手順 紹介動画
- 6. シャーシのリイメージ手順 CLI 出力例
- 7. よくある質問
- FPR2100シリーズのリイメージガイドはありますか
- ASA5500-Xシリーズを利用時の FXOSリイメージ手順はありますか
- FPR4100シリーズのセキュリティモジュールは交換可能ですか
- 8. 参考情報
1. はじめに
Firepower 4100/9300シリーズでは、シャーシやセキュリティモジュールの管理をFXOSが実施し、セキュリティモジュール上で ASA もしくは FTD が動作しています。
例えば以下のようなシーンの場合、リイメージを行うことで、システムの初期化と再構築を行うことができます。リイメージを行うことで、イメージ破損に伴い発生する殆どの問題の復旧が可能です。
- 運用中の予期せぬ電源停止など理由でFXOS もしくは ASA/FTDのイメージが破損し正常な稼働が困難となった場合
- アップグレード中に誤って手動再起動したことで アップグレードプロセスが途中で停止し、内部ファイル構造が中途半端に変わってしまっており、以後のアップグレードが失敗する場合
- 初期化し最初からセットアップしたい場合
なお、リイメージを実施すると、対象の設定やデータがすべて削除されるため、事前のバックアップの取得をお勧めします。リイメージ後は、そのOSの初期セットアップから必要です。
本ドキュメントでは、FXOS 2.6を利用時を前提に作成しております。ご利用するバージョンによって、参照するリリースノートやドキュメントは変更してください。
Note) Firepower4100/9300シリーズはサーバーベースの製品です。事前にシャットダウン処理を実施せずに電源ケーブルの抜き差しや、電源ボタンを用いての 再起動やシステム停止は避けてください。Firepower4100/9300シリーズの再起動や停止方法について詳しくは、FXOS: シャーシ再起動と停止方法 (FPR1000/FPR2100/FPR4100/FPR9300) を参照してください。
2. リイメージ個所の決定
以下はFPR4100シリーズの内部構造です。セキュリティモジュールは独立したハードウェアであり、FPR4100シリーズは シャーシ内部にセキュリティモジュールが1つ固定されています。FPR9300シリーズの場合は 取り外し可能なセキュリティモジュールを3つ搭載しております。FPR4100/9300シリーズは、セキュリティモジュール内に ASA もしくは FTD(snort) ソフトウェアをインストールすることで、ASA/FTDがデータ通信の処理やセキュリティ制御を行います。 FPR4100/9300のモジュール性能はほぼ同等であり、FPR9300はモジュール数を増やすことで全体パフォーマンスを向上させています。FXOSと、ASA/FTDの役割について詳しくは、Firepower 2100/4100 の ASA/FTD 利用時の比較と保守方法を参照してください。
問題発生部位や初期化したい部位に応じて、リイメージ部位を決定します。
例:
・セキュリティモジュール内のASAやFTDのイメージ破損が考えられる場合は、セキュリティモジュールのリイメージを実施
・シャーシ側も含めたFXOSの破損が考えられる場合は、シャーシとセキュリティモジュールの両方のリイメージを実施
例えば、FTDのイメージファイルが突然の停電などの理由で破損し起動不可となった場合、セキュリティモジュールのリイメージのみ実施することで、早急に復旧が可能です。
3. セキュリティモジュールのリイメージ手順
設定ガイドはFXOS 2.6利用時をベースに紹介します。実際にリイメージを実施する際は、ご利用の製品のFXOSバージョンのものを利用してください。
3.1. 以下ドキュメントの「セキュリティ モジュール/エンジンの再初期化」を参考に、セキュリティ モジュール/エンジンの再初期化の実施
3.2. クイックスタートガイドを参考に、論理デバイス(ASA or FTD)の追加や初期セットアップを実施
| OSと管理方式 | FPR4100シリーズ 利用時 |
| ASA利用時 | |
| FTD利用時 (FMC管理) | https://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/fp4100/firepower-4100-gsg/ftd_fmc_deploy.html |
| FTD利用時 (FDM管理) | https://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/fp4100/firepower-4100-gsg/ftd_fdm_deploy.html |
| OSと管理方式 | FPR9300シリーズ 利用時 |
| ASA利用時 | |
| FTD利用時 (FMC管理) | https://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/fp9300/firepower-9300-gsg/ftd_fmc_deploy.html |
| FTD利用時 (FDM管理) | https://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/fp9300/firepower-9300-gsg/ftd_fdm_deploy.html |
3.3. (バックアップファイルがある場合) 以下ドキュメントなどを参考に設定リストア
| OSと管理方式 | バックアップファイル リストア方法 |
| ASA利用時 (ASDM管理) |
ASDM: ASA設定のバックアップ・リストア機能について |
| FTD利用時 (FMC管理) |
Firepower System 6.3以降: FTDのバックアップとリストア方法 (FMC管理時) https://community.cisco.com/t5/-/-/ta-p/3945173 |
| FTD利用時 (FDM管理) |
Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager, Version 6.4.0 https://www.cisco.com/c/en/us/td/docs/security/firepower/640/fdm/fptd-fdm-config-guide-640/fptd-fdm-mgmt.html#id_14714 |
4. シャーシとセキュリティモジュールのリイメージ手順
4.1. 以下ドキュメントの「破損ファイル システムの回復」を参考に、システムのフォーマットと 再インストールを実施
https://www.cisco.com/c/ja_jp/td/docs/security/firepower/fxos/fxos261/web-guide/b_GUI_FXOS_ConfigGuide_261/troubleshooting.html#task_dwm_2px_zy
4.2. FXOSの起動後、以下ドキュメントの「セキュリティ モジュール/エンジンの再初期化」を参考に、セキュリティ モジュール/エンジンの再初期化の実施
https://www.cisco.com/c/ja_jp/td/docs/security/firepower/fxos/fxos261/cli-guide/b_CLI_ConfigGuide_FXOS_261/b_CLI_ConfigGuide_FXOS_261_chapter_01011.html#task_93EE10D6731C4556910E8021DE81A409
4.3. FXOS設定のセットアップ・復元
FXOSのバックアップファイル(xml)がある場合:
以下ドキュメントの「設定の復元 (GUI利用時)」項目の、「復元フローと事前確認事項」から「FXOS設定の復元」まで実施
Firepower4100-ASA: FXOSとASA設定のバックアップと復元方法
https://community.cisco.com/t5/-/-/ta-p/3328844
FXOSのバックアップファイル(xml)がない場合:
以下のクイックスタートアップガイドの「Firepower xxxx Chassis Initial Configuration」を参考にFXOSの初期セットアップ
Cisco Firepower 4100 Getting Started Guide
https://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/fp4100/firepower-4100-gsg.html
Cisco Firepower 9300 Getting Started Guide
https://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/fp9300/firepower-9300-gsg.html
4.4. セキュリティモジュールのセットアップとリストア
本ドキュメントの 項番3.2と 3.3を実施
5. シャーシとセキュリティモジュールのリイメージ手順 紹介動画
FPR4100のFXOSとセキュリティモジュールのリイメージ操作の動画は以下から確認可能です。
https://youtu.be/i0cgn2PT-k4?si=LNqs8VIIgqPeW-3c
6. シャーシのリイメージ手順 CLI 出力例
FPR4100/9300のFXOSリイメージ時のCLIの操作例は以下ドキュメントを参考にしてください。
7. よくある質問
FPR2100シリーズのリイメージガイドはありますか
以下ドキュメントなどを参考にしてください。
Firepower2100: リイメージと ASA初期セットアップ手順
https://community.cisco.com/t5/-/-/ta-p/3229154
Firepower2100: リイメージと FTD初期セットアップ手順
https://community.cisco.com/t5/-/-/ta-p/3293044
Cisco ASA および Firepower Threat Defense 再イメージ化ガイド
https://www.cisco.com/c/ja_jp/td/docs/security/firepower/quick_start/reimage/asa-ftd-reimage.html
ASA5500-Xシリーズを利用時の FXOSリイメージ手順はありますか
ASA5500-Xの場合、FXOSは動作してないため、リイメージ手順もありません。
FPR4100シリーズのセキュリティモジュールは交換可能ですか
セキュリティモジュールはシャーシ内に固定されているため、セキュリティモジュールのみの交換はできません。また、セキュリティモジュールのイメージ破損が考えられる場合は、ハードウェア予防交換ではなく、まずはリイメージにてソフトウェアの復旧を実施してください。ソフトウェアに関連した殆どの問題は、リイメージにより素早く(通常 数時間以内に)復旧可能です。また、正常に稼働しているハードウェアの交換は、ハードウェアトラブルの発生リスクを高めます。
8. 参考情報
ファイアウォール トラブルシューティング
https://supportforums.cisco.com/ja/document/12725841
Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733
Cisco Secure Firewall (FTD) - how to ※FTD情報 まとめサイト
https://community.cisco.com/t5/-/-/ta-p/5024782
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
