このドキュメントでは、PIX アプライアンスのバージョン 6.2 または 6.3 からバージョン 7.x へのアップグレード方法について説明します。また、Adaptive Security Device Manager(ASDM)バージョン 5.0 のインストール方法についても説明します。
このアップグレード手順を開始する前に、次の作業を実行してください。
show running-confi コマンドまたは write net コマンドを使用して、現在の PIX の設定をテキスト ファイルまたは TFTP サーバに保存します。
show version コマンドを使用して、シリアル番号とアクティベーション キーを表示します。この出力をテキスト ファイルに保存します。古いバージョンのコードに復帰する必要があるときには、元のアクティベーション キーが必要になることがあります。アクティベーション キーの詳細については、『PIX Firewall に関するよく寄せられる質問(FAQ)』を参照してください。
現在の設定に conduit コマンドまたは outbound コマンドがないことを確認します。これらのコマンドは、7.x ではサポートされていないため、アップグレード プロセスによって削除されます。アップグレードを行う前に、これらのコマンドをアクセスリストに変換するには、アウトプット インタープリタ(登録ユーザ専用)を使用します。
PIX が Point to Point Tunneling Protocol(PPTP)接続を終端していないことを確認します。現在、PIX 7.1 以降では PPTP の終端をサポートしていません。
フェールオーバーを使用している場合は、LAN またはステートフル インターフェイスが、インターフェイスを通過するデータによって共有されていないことを確認します。たとえば、データ トラフィックの送信用に内部インターフェイスを使用して、同様にステートフル フェールオーバー インターフェイス(内部フェールオーバー リンク)用にも使用している場合は、アップグレードを行う前に、ステートフル フェールオーバー インターフェイスを別のインターフェイスに移動させる必要があります。これを行わないと、内部インターフェイスに関連付けられたすべての設定が削除されます。また、アップグレード後はデータ トラフィックがこのインターフェイスを通過しなくなります。
作業を進める前に、PIX でバージョン 6.2 または 6.3 を実行していることを確認します。
アップグレードしようとしているバージョンのリリース ノートを読み、新しいコマンド、変更されたコマンド、廃止される予定のコマンドについてすべて把握してください。
バージョン 6.x と 7.x 間のその他のコマンドの変更については、『アップグレード ガイド』を参照してください。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
PIX セキュリティ アプライアンス 515、515E、525、および 535
PIX ソフトウェア バージョン 6.3(4)、7.0(1)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
シスコでは、バージョン 7.x へのアップグレード プロセスを開始する前は、PIX でバージョン 6.2 以降が実行されていることを推奨します。これによって、現在の設定が正しく変換されるようになります。さらに、これらのハードウェア要件は、次に示す最小限の RAM およびフラッシュの要件を満たしている必要があります。
PIX モデル | RAM 要件 | フラッシュの要件 | |
---|---|---|---|
制限あり(R) | 制限なし(UR)/フェールオーバーのみ(FO) | ||
PIX-515 | 64 MB* | 128 MB* | 16 MB |
PIX-515 E | 64 MB* | 128 MB* | 16 MB |
PIX-525 | 128 MB | 256 MB | 16 MB |
PIX-535 | 512 MB | 1 GB | 16 MB |
* PIX-515 と PIX-515E アプライアンスでは、すべてメモリのアップグレードが必要です。
現在 PIX 上にインストールされている RAM とフラッシュの量を調べるには、show version コマンドを発行します。この表にあるすべての PIX アプライアンスには、デフォルトで 16 MB がインストールされているため、フラッシュのアップグレードは必要ありません。
注:バージョン7.xでは、この表に示すPIXセキュリティアプライアンスだけがサポートされています。PIX-520、510、10000、および Classic など、以前の PIX セキュリティ アプライアンスはすでに製造中止になっており、バージョン 7.0 以降は実行できません。このようなアプライアンスのいずれかを所有していて、7.x 以降を実行する場合は、新型のセキュリティ アプライアンスの購入について、お近くのシスコ アカウント チームまたは再販業者にお問い合せください。また、64 MB 未満の RAM を搭載している PIX ファイアウォール(PIX-501、PIX-506、および PIX-506E)では、初期の 7.0 リリースを実行できません。
メモリのアップグレードが必要なのは、PIX-515 および PIX-515E アプライアンスだけです。これらのアプライアンスでメモリをアップグレードするには、次の表で必要な部品番号を確認してください。
注:部品番号は、PIXにインストールされているライセンスによって異なります。
現在のアプライアンスの設定 | アップグレード ソリューション | ||
---|---|---|---|
プラットフォームのライセンス | 合計メモリ(アップグレード前) | 部品番号 | 合計メモリ(アップグレード後) |
制限あり(R) | 32 MB | PIX-515-MEM-32= | 64 MB |
制限なし(UR) | 32 MB | PIX-515-MEM-128= | 128 MB |
フェールオーバーのみ(FO) | 64 MB | PIX-515-MEM-128= | 128 MB |
詳細については、『Cisco PIX 515/515E セキュリティ アプライアンスでの PIX ソフトウェア v7.0 のためのメモリ アップグレードに関する製品速報』を参照してください。
ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
PIX 7.x ソフトウェアをダウンロードするには、Cisco Software Center(登録ユーザ専用)にアクセスします。TFTP サーバ ソフトウェアは Cisco.com から入手できなくなりました。ただしお気に入りのインターネット検索エンジンで「tftp server」を検索すると、多くの TFTP サーバが見つかります。シスコでは、特定の TFTP の実装は推奨していません。詳細については、TFTP サーバのページ(登録ユーザ専用)を参照してください。
PIX セキュリティ アプライアンスのバージョン 7.x へのアップグレードは、大きな変更である点に注意してください。CLI の大半が変更されているため、アップグレード後の設定は、大きく異なったものになります。アップグレード プロセスには多少のダウンタイムが必要であるため、アップグレードはメンテナンス時間の間にのみ行うようにしてください。6.x のイメージに復帰する必要がある場合は、『ダウングレード』の手順に従ってください。この手順に従わないと、PIX が連続的にリブートを繰り返します。作業を進めるには、使用している PIX アプライアンスのモデルを次の表から探し、そのリンクをクリックして、アップグレード手順の説明を参照してください。
PIX モデル | アップグレード方法 |
---|---|
PIX-515 | モニタ |
PIX-515E | copy tftp flash |
PIX-525 | copy tftp flash |
PIX-535(PDM 未インストール) | copy tftp flash |
PIX-535 (PDM インストール済み) | モニタ |
PIX でモニタ モードに入るには、次のステップを実行してください。
次の通信設定を使用して、コンソール ケーブルを PIX のコンソール ポートに接続します。
9600 ビット/秒
8 データ ビット
パリティなし
1 ストップ ビット
フロー制御なし
電源をオフにしてからオンにするか、PIX をリロードします。起動時に、フラッシュ ブートを中断するには Break キーまたは Esc キーを使用するように指示するプロンプトが表示されます。通常のブート プロセスを中断するための時間は、10 秒あります。
ESC キーを押すか、Break 文字を送信すると、モニタ モードに入ります。
Windows Hyper Terminal を使用している場合は、ESC キーか、Ctrl+Break キーを押すことで、Break 文字を送信できます。
PIX のコンソール ポートにアクセスするために、ターミナル サーバ経由で Telnet を行っている場合は、Telnet のコマンド プロンプトを得るために Ctrl+](Control + 右角カッコ)を押す必要があります。その後、send break コマンドを入力します。
monitor> プロンプトが表示されます。
「モニタ モードからの PIX のアップグレード」セクションに進みます。
モニタ モードから PIX をアップグレードするには、次のステップを実行します。
注:64ビットスロットのファストイーサネットカードは、モニタモードでは表示されません。この問題は、TFTP サーバがこれらのインターフェイスのいずれか 1 つに存在できないことを意味します。ユーザが TFTP を介して PIX ファイアウォールのイメージ ファイルをダウンロードするには、copy tftp flash コマンドを使用する必要があります。
PIX アプライアンスのバイナリ イメージ(たとえば pix701.bin)を TFTP サーバのルート ディレクトリにコピーします。
PIX でモニタ モードに入ります。この方法がわからない場合は、このドキュメントの「モニタ モードに入る」の説明を参照してください。
注:モニタモードに入ると、「?」を使用できます 利用可能なオプションのリストを表示できます。
TFTP サーバが接続されているインターフェイス番号か、TFTP サーバに最も近いインターフェイスを入力します。デフォルトはインターフェイス 1(内部)です。
monitor>interface
注: モニタ モードでは、インターフェイスはオート ネゴシエートによって速度とデュプレックスを設定します。インターフェイスの設定をハード コードすることはできません。したがって、PIX インターフェイスを速度やデュプレックスがハード コードされているスイッチに接続する場合は、モニタ モードに入っている間に、オート ネゴシエートするようにスイッチを再設定します。また、PIX アプライアンスでは、モニタ モードからギガビット イーサネット インターフェイスを初期化できないことに注意してください。代わりに、ファスト イーサネット インターフェイスを使用する必要があります。
ステップ 3 で入力したインターフェイスの IP アドレスを入力します。
monitor>address
TFTP サーバの IP アドレスを入力します。
monitor>server
(オプション)ゲートウェイの IP アドレスを入力します。ゲートウェイ アドレスは、PIX のインターフェイスが TFTP サーバと同じネットワーク上にない場合に必要です。
monitor>gateway
ロードする TFTP サーバ上のファイルの名前を入力します。これは PIX のバイナリ イメージのファイル名です。
monitor>file
PIX から TFTP サーバに対して ping を実行し、IP の接続性を確認します。
PING に失敗した場合は、ケーブル、PIX インターフェイスと TFTP サーバの IP アドレス、およびゲートウェイの IP アドレス(必要な場合)を再度チェックしてください。 以降の手順に進むには、ping が成功する必要があります。
monitor>ping
TFTP のダウンロードを開始するには、tftp と入力します。
monitor>tftp
PIX によってイメージが RAM にダウンロードされ、RAM が自動的にブートされます。
ブート プロセスの間、ファイル システムが現在の設定と一緒に変換されます。ただし、作業はまだ完了していません。ブートした後、ステップ 11 に進む前に、次の警告メッセージに注意してください。
****************************************************************** ** ** ** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** ** ** ** ** ----> Current image running from RAM only! <---- ** ** ** ** When the PIX was upgraded in Monitor mode the boot image was not ** ** written to Flash. Please issue "copy tftp: flash:" to load and ** ** save a bootable image to Flash. Failure to do so will result in ** ** a boot loop the next time the PIX is reloaded. ** ** ** ************************************************************************
ブートが完了したら、イネーブル モードに入り、同じイメージを PIX に再度コピーします。今回は copy tftp flash コマンドを使用します。
この操作によって、イメージがフラッシュ ファイル システムに保存されます。このステップを行わないと、次に PIX がリロードしたときに、ブート時にループに陥ります。
pixfirewall>enable pixfirewall#copy tftp flash
注:copy tftp flashコマンドを使用してイメージをコピーする方法の詳細については、「copy tftp flashコマンドによるPIXセキュリティアプライアンスのアップグレード」セクションを参照してください。
copy tftp flash コマンドを使用してイメージをコピーすれば、アップグレード プロセスは完了です。
設定例:モニタ モードからの PIX セキュリティ アプライアンスのアップグレード
monitor>interface 1 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) 2: i8255X @ PCI(bus:1 dev:0 irq:11) 3: i8255X @ PCI(bus:1 dev:1 irq:11) 4: i8255X @ PCI(bus:1 dev:2 irq:11) 5: i8255X @ PCI(bus:1 dev:3 irq:11) Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81 monitor>address 10.1.1.2 address 10.1.1.2 monitor>server 172.18.173.123 server 172.18.173.123 monitor>gateway 10.1.1.1 gateway 10.1.1.1 monitor>file pix701.bin file pix701.bin monitor>ping 172.18.173.123 Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds: !!!!! Success rate is 100 percent (5/5) monitor>tftp tftp pix701.bin@172.18.173.123.......................................... Received 5124096 bytes Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar 7 17:39:03 PST 2005 ####################################################################### 128MB RAM Total NICs found: 6 mcwa i82559 Ethernet at irq 10 MAC: 0050.54ff.4d80 mcwa i82559 Ethernet at irq 7 MAC: 0050.54ff.4d81 mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2014 mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2015 mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2016 mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2017 BIOS Flash=AT29C257 @ 0xfffd8000 Old file system detected. Attempting to save data in flash !--- This output indicates that the Flash file !--- system is formatted. The messages are normal. Initializing flashfs... flashfs[7]: Checking block 0...block number was (-10627) flashfs[7]: erasing block 0...done. flashfs[7]: Checking block 1...block number was (-14252) flashfs[7]: erasing block 1...done. flashfs[7]: Checking block 2...block number was (-15586) flashfs[7]: erasing block 2...done. flashfs[7]: Checking block 3...block number was (5589) flashfs[7]: erasing block 3...done. flashfs[7]: Checking block 4...block number was (4680) flashfs[7]: erasing block 4...done. flashfs[7]: Checking block 5...block number was (-21657) flashfs[7]: erasing block 5...done. flashfs[7]: Checking block 6...block number was (-28397) flashfs[7]: erasing block 6...done. flashfs[7]: Checking block 7...block number was (2198) flashfs[7]: erasing block 7...done. flashfs[7]: Checking block 8...block number was (-26577) flashfs[7]: erasing block 8...done. flashfs[7]: Checking block 9...block number was (30139) flashfs[7]: erasing block 9...done. flashfs[7]: Checking block 10...block number was (-17027) flashfs[7]: erasing block 10...done. flashfs[7]: Checking block 11...block number was (-2608) flashfs[7]: erasing block 11...done. flashfs[7]: Checking block 12...block number was (18180) flashfs[7]: erasing block 12...done. flashfs[7]: Checking block 13...block number was (0) flashfs[7]: erasing block 13...done. flashfs[7]: Checking block 14...block number was (29271) flashfs[7]: erasing block 14...done. flashfs[7]: Checking block 15...block number was (0) flashfs[7]: erasing block 15...done. flashfs[7]: Checking block 61...block number was (0) flashfs[7]: erasing block 61...done. flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0 flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0 flashfs[7]: 9 files, 3 directories flashfs[7]: 0 orphaned files, 0 orphaned directories flashfs[7]: Total bytes: 15998976 flashfs[7]: Bytes used: 10240 flashfs[7]: Bytes available: 15988736 flashfs[7]: flashfs fsck took 58 seconds. flashfs[7]: Initialization complete. Saving the datafile ! Saving a copy of old datafile for downgrade ! Saving the configuration ! Saving a copy of old configuration as downgrade.cfg ! Saved the activation key from the flash image Saved the default firewall mode (single) to flash The version of image file in flash is not bootable in the current version of software. Use the downgrade command first to boot older version of software. The file is being saved as image_old.bin anyway. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Upgrade process complete Need to burn loader.... Erasing sector 0...[OK] Burning sector 0...[OK] Erasing sector 64...[OK] Burning sector 64...[OK] Licensed features for this platform: Maximum Physical Interfaces : 6 Maximum VLANs : 25 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Cut-through Proxy : Enabled Guards : Enabled URL Filtering : Enabled Security Contexts : 2 GTP/GPRS : Disabled VPN Peers : Unlimited This platform has an Unrestricted (UR) license. Encryption hardware device : VAC+ (Crypto5823 revision 0x1) -------------------------------------------------------------------------- . . | | ||| ||| .|| ||. .|| ||. .:||| | |||:..:||| | |||:. C i s c o S y s t e m s -------------------------------------------------------------------------- Cisco PIX Security Appliance Software Version 7.0(1) ****************************** Warning ******************************* This product contains cryptographic features and is subject to United States and local country laws governing, import, export, transfer, and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute, or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return the enclosed items immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. ******************************* Warning ******************************* Copyright (c) 1996-2005 by Cisco Systems, Inc. Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. Cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 !--- These messages are printed for any deprecated commands. .ERROR: This command is no longer needed. The LOCAL user database is always enabled. *** Output from config line 71, "aaa-server LOCAL protoco..." ERROR: This command is no longer needed. The 'floodguard' feature is always enabled. *** Output from config line 76, "floodguard enable" Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303 !--- All current fixups are converted to the !--- new Modular Policy Framework. INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands INFO: converting 'fixup protocol ftp 21' to MPF commands INFO: converting 'fixup protocol h323_h225 1720' to MPF commands INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands INFO: converting 'fixup protocol http 80' to MPF commands INFO: converting 'fixup protocol ils 389' to MPF commands INFO: converting 'fixup protocol netbios 137-138' to MPF commands INFO: converting 'fixup protocol rsh 514' to MPF commands INFO: converting 'fixup protocol rtsp 554' to MPF commands INFO: converting 'fixup protocol sip 5060' to MPF commands INFO: converting 'fixup protocol skinny 2000' to MPF commands INFO: converting 'fixup protocol smtp 25' to MPF commands INFO: converting 'fixup protocol sqlnet 1521' to MPF commands INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands INFO: converting 'fixup protocol tftp 69' to MPF commands INFO: converting 'fixup protocol sip udp 5060' to MPF commands INFO: converting 'fixup protocol xdmcp 177' to MPF commands ************************************************************************ ** ** ** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** ** ** ** ** ----> Current image running from RAM only! <---- ** ** ** ** When the PIX was upgraded in Monitor mode the boot image was not ** ** written to Flash. Please issue "copy tftp: flash:" to load and ** ** save a bootable image to Flash. Failure to do so will result in ** ** a boot loop the next time the PIX is reloaded. ** ** ** ************************************************************************ Type help or '?' for a list of available commands. pixfirewall> pixfirewall>enable Password:pixfirewall# pixfirewall#copy tftp flash Address or name of remote host []? 172.18.173.123 Source filename []? pix701.bin Destination filename [pix701.bin]? Accessing tftp://172.18.173.123/pix701.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Writing file flash:/pix701.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 5124096 bytes copied in 139.790 secs (36864 bytes/sec) pixfirewall#
copy tftp flash コマンドを使用して PIX をアップグレードするには、次のステップを実行します。
PIX アプライアンスのバイナリ イメージ(たとえば pix701.bin)を TFTP サーバのルート ディレクトリにコピーします。
イネーブル プロンプトから、copy tftp flash コマンドを発行します。
pixfirewall>enable Password:pixfirewall#copy tftp flash
TFTP サーバの IP アドレスを入力します。
Address or name of remote host [0.0.0.0]?
ロードする TFTP サーバ上のファイルの名前を入力します。これは PIX のバイナリ イメージのファイル名です。
Source file name [cdisk]?
TFTP コピーを開始するというプロンプトが表示されたら、yes と入力します。
copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]?yes
イメージが TFTP サーバからフラッシュにコピーされます。
次のメッセージが表示されます。このメッセージは、転送が成功し、フラッシュ上の古いバイナリ イメージが消去され、新しいイメージが書き込まれてインストールされたことを示しています。
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Writing 5066808 bytes of image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Image installed pixfirewall#
PIX アプライアンスをリロードして、新しいイメージをブートします。
pixfirewall#reload Proceed with reload? [confirm]Rebooting....
この時点で、PIX は 7.0 のイメージをブートします。これでアップグレード プロセスは完了です。
設定例:copy tftp flash コマンドによる PIX アプライアンスのアップグレード
pixfirewall#copy tftp flash Address or name of remote host [0.0.0.0]? 172.18.173.123 Source file name [cdisk]? pix701.bin copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]? yes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Writing 5066808 bytes of image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Image installed pixfirewall# pixfirewall#reload Proceed with reload? [confirm]Rebooting..ÿ CISCO SYSTEMS PIX FIREWALL Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73 Compiled by morlee 128 MB RAM PCI Device Table. Bus Dev Func VendID DevID Class Irq 00 00 00 8086 7192 Host Bridge 00 07 00 8086 7110 ISA Bridge 00 07 01 8086 7111 IDE Controller 00 07 02 8086 7112 Serial Bus 9 00 07 03 8086 7113 PCI Bridge 00 0D 00 8086 1209 Ethernet 11 00 0E 00 8086 1209 Ethernet 10 00 13 00 11D4 2F44 Unknown Device 5 Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001 Platform PIX-515E System Flash=E28F128J3 @ 0xfff00000 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 5063168 bytes of image from flash. ###################################################################### ###################################################################### 128MB RAM Total NICs found: 2 mcwa i82559 Ethernet at irq 11 MAC: 0009.4360.ed44 mcwa i82559 Ethernet at irq 10 MAC: 0009.4360.ed43 BIOS Flash=am29f400b @ 0xd8000 Old file system detected. Attempting to save data in flash !--- This output indicates that the Flash file !--- system is formatted. The messages are normal. Initializing flashfs... flashfs[7]: Checking block 0...block number was (-27642) flashfs[7]: erasing block 0...done. flashfs[7]: Checking block 1...block number was (-30053) flashfs[7]: erasing block 1...done. flashfs[7]: Checking block 2...block number was (-1220) flashfs[7]: erasing block 2...done. flashfs[7]: Checking block 3...block number was (-22934) flashfs[7]: erasing block 3...done. flashfs[7]: Checking block 4...block number was (2502) flashfs[7]: erasing block 4...done. flashfs[7]: Checking block 5...block number was (29877) flashfs[7]: erasing block 5...done. flashfs[7]: Checking block 6...block number was (-13768) flashfs[7]: erasing block 6...done. flashfs[7]: Checking block 7...block number was (9350) flashfs[7]: erasing block 7...done. flashfs[7]: Checking block 8...block number was (-18268) flashfs[7]: erasing block 8...done. flashfs[7]: Checking block 9...block number was (7921) flashfs[7]: erasing block 9...done. flashfs[7]: Checking block 10...block number was (22821) flashfs[7]: erasing block 10...done. flashfs[7]: Checking block 11...block number was (7787) flashfs[7]: erasing block 11...done. flashfs[7]: Checking block 12...block number was (15515) flashfs[7]: erasing block 12...done. flashfs[7]: Checking block 13...block number was (20019) flashfs[7]: erasing block 13...done. flashfs[7]: Checking block 14...block number was (-25094) flashfs[7]: erasing block 14...done. flashfs[7]: Checking block 15...block number was (-7515) flashfs[7]: erasing block 15...done. flashfs[7]: Checking block 16...block number was (-10699) flashfs[7]: erasing block 16...done. flashfs[7]: Checking block 17...block number was (6652) flashfs[7]: erasing block 17...done. flashfs[7]: Checking block 18...block number was (-23640) flashfs[7]: erasing block 18...done. flashfs[7]: Checking block 19...block number was (23698) flashfs[7]: erasing block 19...done. flashfs[7]: Checking block 20...block number was (-28882) flashfs[7]: erasing block 20...done. flashfs[7]: Checking block 21...block number was (2533) flashfs[7]: erasing block 21...done. flashfs[7]: Checking block 22...block number was (-966) flashfs[7]: erasing block 22...done. flashfs[7]: Checking block 23...block number was (-22888) flashfs[7]: erasing block 23...done. flashfs[7]: Checking block 24...block number was (-9762) flashfs[7]: erasing block 24...done. flashfs[7]: Checking block 25...block number was (9747) flashfs[7]: erasing block 25...done. flashfs[7]: Checking block 26...block number was (-22855) flashfs[7]: erasing block 26...done. flashfs[7]: Checking block 27...block number was (-32551) flashfs[7]: erasing block 27...done. flashfs[7]: Checking block 28...block number was (-13355) flashfs[7]: erasing block 28...done. flashfs[7]: Checking block 29...block number was (-29894) flashfs[7]: erasing block 29...done. flashfs[7]: Checking block 30...block number was (-18595) flashfs[7]: erasing block 30...done. flashfs[7]: Checking block 31...block number was (22095) flashfs[7]: erasing block 31...done. flashfs[7]: Checking block 32...block number was (1486) flashfs[7]: erasing block 32...done. flashfs[7]: Checking block 33...block number was (13559) flashfs[7]: erasing block 33...done. flashfs[7]: Checking block 34...block number was (24215) flashfs[7]: erasing block 34...done. flashfs[7]: Checking block 35...block number was (21670) flashfs[7]: erasing block 35...done. flashfs[7]: Checking block 36...block number was (-24316) flashfs[7]: erasing block 36...done. flashfs[7]: Checking block 37...block number was (29271) flashfs[7]: erasing block 37...done. flashfs[7]: Checking block 125...block number was (0) flashfs[7]: erasing block 125...done. flashfs[7]: inconsistent sector list, fileid 7, parent_fileid 0 flashfs[7]: inconsistent sector list, fileid 12, parent_fileid 0 flashfs[7]: 5 files, 3 directories flashfs[7]: 0 orphaned files, 0 orphaned directories flashfs[7]: Total bytes: 16128000 flashfs[7]: Bytes used: 5128192 flashfs[7]: Bytes available: 10999808 flashfs[7]: flashfs fsck took 59 seconds. flashfs[7]: Initialization complete. Saving the configuration ! Saving a copy of old configuration as downgrade.cfg ! Saved the activation key from the flash image Saved the default firewall mode (single) to flash Saving image file as image.bin !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Upgrade process complete Need to burn loader.... Erasing sector 0...[OK] Burning sector 0...[OK] Licensed features for this platform: Maximum Physical Interfaces : 6 Maximum VLANs : 25 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Cut-through Proxy : Enabled Guards : Enabled URL Filtering : Enabled Security Contexts : 2 GTP/GPRS : Disabled VPN Peers : Unlimited This platform has an Unrestricted (UR) license. Encryption hardware device : VAC (IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5) -------------------------------------------------------------------------- . . | | ||| ||| .|| ||. .|| ||. .:||| | |||:..:||| | |||:. C i s c o S y s t e m s -------------------------------------------------------------------------- Cisco PIX Security Appliance Software Version 7.0(1) ****************************** Warning ******************************* This product contains cryptographic features and is subject to United States and local country laws governing, import, export, transfer, and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute, or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return the enclosed items immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. ******************************* Warning ******************************* Copyright (c) 1996-2005 by Cisco Systems, Inc. Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. Cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 !--- These messages are printed for any deprecated commands. ERROR: This command is no longer needed. The LOCAL user database is always enabled. *** Output from config line 50, "aaa-server LOCAL protoco..." ERROR: This command is no longer needed. The 'floodguard' feature is always enabled. *** Output from config line 55, "floodguard enable" Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 !--- All current fixups are converted to the new Modular Policy Framework. INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands INFO: converting 'fixup protocol ftp 21' to MPF commands INFO: converting 'fixup protocol h323_h225 1720' to MPF commands INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands INFO: converting 'fixup protocol http 80' to MPF commands INFO: converting 'fixup protocol netbios 137-138' to MPF commands INFO: converting 'fixup protocol rsh 514' to MPF commands INFO: converting 'fixup protocol rtsp 554' to MPF commands INFO: converting 'fixup protocol sip 5060' to MPF commands INFO: converting 'fixup protocol skinny 2000' to MPF commands INFO: converting 'fixup protocol smtp 25' to MPF commands INFO: converting 'fixup protocol sqlnet 1521' to MPF commands INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands INFO: converting 'fixup protocol tftp 69' to MPF commands INFO: converting 'fixup protocol sip udp 5060' to MPF commands INFO: converting 'fixup protocol xdmcp 177' to MPF commands Type help or '?' for a list of available commands. pixfirewall>
注:無制限ライセンスでは、PIX 515 Eに最大8つのVLANを設定でき、PIX 535に最大25のVLANを設定できます。
PIX セキュリティ アプライアンス バージョン 7.0 以降では、以前の PIX バージョンとは異なるフラッシュ ファイルのフォーマットを使用します。したがって、7.0 のイメージから 6.x のイメージに copy tftp flash コマンドを使用してダウングレードすることはできません。代わりに downgrade コマンドを使用する必要があります。この手順に従わないと、PIX がブート時にループに陥ります。
PIX が最初にアップグレードされたときに、6.x スタートアップ コンフィギュレーションは downgrade.cfg としてフラッシュに保存されました。このダウングレード手順に従う場合、ダウングレードしたときに、この設定がデバイスに復元されます。この設定は、more flash:downgrade.cfgコマンドを7.0のenable>プロンプトから発行してダウングレードする前に確認できます。また、モニタモードでPIXをアップグレードした場合、前の6.xバイナリイメージはimage_old.binとしてフラッシュにに保存されます。show flash:コマンドが表示されない場合もあります。イメージがフラッシュ上にある場合は、この手順のステップ 1 で TFTP サーバからイメージをロードする代わりに、このイメージを使用できます。
PIX セキュリティ アプライアンスをダウングレードするには、次のステップを実行します。
downgrade コマンドを入力して、ダウングレードするイメージの場所を指定します。
pixfirewall#downgrade tftp:///
注:モニタモードからPIXをアップグレードした場合でも、古いバイナリイメージはフラッシュに保存されます。そのイメージにダウングレードする場合は、次のコマンドを発行します。
pixfirewall#downgrade flash:/image_old.bin
フラッシュがフォーマットされようとしていることを警告するメッセージが表示されます。継続する場合は Enter キーを押します。
This command will reformat the flash and automatically reboot the system. Do you wish to continue? [confirm]
イメージが RAM にコピーされます。また、スタートアップ コンフィギュレーションも RAM にコピーされます。
Buffering image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Buffering startup config All items have been buffered successfully
フラッシュのフォーマットを開始することを示す 2 番目の警告メッセージが表示されます。このプロセスを中断しないでください。中断するとフラッシュが破損する場合があります。フォーマットを継続する場合は Enter キーを押します。
If the flash reformat is interrupted or fails, data in flash will be lost and the system might drop to monitor mode. Do you wish to continue? [confirm]
フラッシュがフォーマットされ、古いイメージがインストールされ、PIX がリブートします。
Acquiring exclusive access to flash Installing the correct file system for the image and saving the buffered data !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Flash downgrade succeeded Rebooting....
PIX がブートし、通常のプロンプトが表示されます。これでダウングレード プロセスは完了です。
設定例 - PIX 7.x から 6.x へのダウングレード
pixfirewall#downgrade tftp://172.18.108.26/pix634.bin This command will reformat the flash and automatically reboot the system. Do you wish to continue? [confirm]Buffering image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Buffering startup config All items have been buffered successfully. If the flash reformat is interrupted or fails, data in flash will be lost and the system might drop to monitor mode. Do you wish to continue? [confirm] Acquiring exclusive access to flash Installing the correct file system for the image and saving the buffered data !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Flash downgrade succeeded Rebooting.... CISCO SYSTEMS PIX FIREWALL Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73 Compiled by morlee 128 MB RAM PCI Device Table. Bus Dev Func VendID DevID Class Irq 00 00 00 8086 7192 Host Bridge 00 07 00 8086 7110 ISA Bridge 00 07 01 8086 7111 IDE Controller 00 07 02 8086 7112 Serial Bus 9 00 07 03 8086 7113 PCI Bridge 00 0D 00 8086 1209 Ethernet 11 00 0E 00 8086 1209 Ethernet 10 00 13 00 11D4 2F44 Unknown Device 5 Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001 Platform PIX-515E System Flash=E28F128J3 @ 0xfff00000 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 1962496 bytes of image from flash. ################################################################################# ############################## 128MB RAM mcwa i82559 Ethernet at irq 11 MAC: 0009.4360.ed44 mcwa i82559 Ethernet at irq 10 MAC: 0009.4360.ed43 System Flash=E28F128J3 @ 0xfff00000 BIOS Flash=am29f400b @ 0xd8000 IRE2141 with 2048KB ----------------------------------------------------------------------- || || || || |||| |||| ..:||||||:..:||||||:.. c i s c o S y s t e m s Private Internet eXchange ----------------------------------------------------------------------- Cisco PIX Firewall Cisco PIX Firewall Version 6.3(4) Licensed Features: Failover: Enabled VPN-DES: Enabled VPN-3DES-AES: Enabled Maximum Physical Interfaces: 6 Maximum Interfaces: 10 Cut-through Proxy: Enabled Guards: Enabled URL-filtering: Enabled Inside Hosts: Unlimited Throughput: Unlimited IKE peers: Unlimited This PIX has an Unrestricted (UR) license. ****************************** Warning ******************************* Compliance with U.S. Export Laws and Regulations - Encryption. This product performs encryption and is regulated for export by the U.S. Government. This product is not authorized for use by persons located outside the United States and Canada that do not have prior approval from Cisco Systems, Inc. or the U.S. Government. This product may not be exported outside the U.S. and Canada either by physical or electronic means without PRIOR approval of Cisco Systems, Inc. or the U.S. Government. Persons outside the U.S. and Canada may not re-export, resell or transfer this product by either physical or electronic means without prior approval of Cisco Systems, Inc. or the U.S. Government. ******************************* Warning ******************************* Copyright (c) 1996-2003 by Cisco Systems, Inc. Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. Cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 Type help or '?' for a list of available commands. pixfirewall>
PIX アプライアンス 6.x から 7.x へのアップグレードは、大きなアップグレードです。PIX にフェールオーバーの設定がされていても、ダウンタイムなしで実行することはできません。フェールオーバーのコマンドの多くは、アップグレードによって変わります。推奨するアップグレード パスとしては、まずフェールオーバー設定のいずれかの PIX の電源をオフにします。次に、このドキュメントの説明に従って、電源がオンの状態の PIX をアップグレードします。アップグレードが完了したら、トラフィックが通過していることを確認します。また、PIX を一度リブートして、問題なく復帰することを確認します。すべてが正しく動作することを確認したら、新しくアップグレードした PIX の電源をオフにして、もう一方の PIX の電源をオンにします。このドキュメントの説明に従って、その PIX をアップグレードします。アップグレードが完了したら、トラフィックが通過していることを確認します。また、PIX を一度リブートして、問題なく復帰することを確認します。すべてが正しく動作することを確認したら、もう一方の PIX の電源をオンにします。両方の PIX が 7.x にアップグレードされ、電源がオンになりました。show failover コマンドを使用して、フェールオーバーの通信が正しく確立していることを確認します。
注:PIXでは、データトラフィックを通過するインターフェイスをLANフェールオーバーインターフェイスやステートフルフェールオーバーインターフェイスとしても使用できないという制限が適用されるようになりました。現在の PIX の設定に、通常のデータ トラフィックと一緒に LAN フェールオーバー情報やステートフル情報を通過させる共有インターフェイスが含まれている場合は、アップグレードすると、データ トラフィックはこのインターフェイスを通過できなくなります。このインターフェイスに関連付けられているコマンドも実行できなくなります。
シスコでは、ASDM をインストールする前に、インストールしようとしているバージョンのリリース ノートを読まれることを推奨しています。リリース ノートには、サポートされている最低限必要なブラウザや Java のバージョン、サポートされている新しい機能や公開されている注意事項のリストが記載されています。
ASDM のインストール手順は、バージョン 7.0 では以前の手順とわずかに異なります。また、ASDM イメージがフラッシュへコピーされたら、PIX がこれを使用するように、設定で指定する必要があります。ASDM イメージをフラッシュにインストールするには、次のステップを実行します。
Cisco.com から ASDM イメージ(登録ユーザ専用)をダウンロードし、TFTP サーバのルート ディレクトリに置きます。
PIX から TFTP サーバへの IP 接続が確立されていることを確認します。これを行うには、TFTP サーバから PIX に PING を実行します。
イネーブル プロンプトから、copy tftp flash コマンドを発行します。
pixfirewall>enable Password:pixfirewall#copy tftp flash
TFTP サーバの IP アドレスを入力します。
Address or name of remote host [0.0.0.0]?
ロードする TFTP サーバ上の ASDM ファイルの名前を入力します。
Source file name [cdisk]?
フラッシュに保存する ASDM ファイルの名前を入力します。同じファイル名のままにするには、Enter キーを押します。
Destination filename [asdm-501.bin]?
イメージが TFTP サーバからフラッシュにコピーされます。転送に成功したことを示す次のメッセージが表示されます。
Accessing tftp://172.18.173.123/asdm-501.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!! Writing file flash:/asdm-501.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!! 5880016 bytes copied in 140.710 secs (42000 bytes/sec)
ASDM イメージをコピーした後、使用する ASDM イメージを指定するため、asdm image flash:コマンド発行します。
pixfirewall(config)#asdm image flash:asdm-501.bin
write memory コマンドを発行して、設定をフラッシュに保存します。
pixfirewall(config)#write memory
これで ASDM のインストール プロセスは完了です。
症状 | 解決方法 |
---|---|
PIX のアップグレードに copy tftp flash 方式を使用した後リブートすると、次のようなリブートのループ状態になる。 Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 5063168 bytes of image from flash. |
BIOS バージョンが 4.2 より前の PIX アプライアンスは、copy tftp flash コマンドを使用してアップグレードすることはできません。モニタ モードによる方法でアップグレードする必要があります。 |
PIX で 7.0 を実行した後、リブートすると、次のようなリブートのループの状態になる。 Rebooting.... Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 115200 bytes of image from flash. PIX Flash Load Helper Initializing flashfs... flashfs[0]: 10 files, 4 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 15998976 flashfs[0]: Bytes used: 1975808 flashfs[0]: Bytes available: 14023168 flashfs[0]: Initialization complete. Unable to locate boot image configuration Booting first image in flash No bootable image in flash. Please download an image from a network server in the monitor mode Failed to find an image to boot |
PIX をモニタ モードから 7.0 へアップグレードしたものの、7.0 の初回ブート後に 7.0 のイメージがフラッシュに再コピーされなかった場合は、PIX がリロードされたときにリブートのループ状態になります。解決策は、モニタ モードからイメージを再ロードすることです。ブートアップ後、copy tftp flash コマンドを使用して、イメージをもう一度コピーする必要があります。 |
copy tftp flash コマンドを使用する方法でアップグレードすると、次のエラー メッセージが表示される。 pixfirewall#copy tftp flash Address or name of remote host [0.0.0.0]? 172.18.173.123 Source file name [cdisk]? pix701.bin copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]? y !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Insufficient flash space available for this request: Size info: request:5066808 current:1966136 delta:3100672 free:2752512 Image not installed pixfirewall# |
通常、このメッセージは、PIX-535 または PIX-515(E でないもの)を copy tftp flash を使用する方法でアップグレードして、PDM もこの PIX のフラッシュにロードされている場合に表示されます。解決策は、モニタ モードを使用する方法でアップグレードすることです。 |
PIX を 6.x から 7.0 へアップグレードした後、一部の設定が正しく移行されない。 | show startup-config errors コマンドの出力には、設定の移行中に発生したエラーが表示されます。エラーは PIX を初めてブートした後にこの出力に表示されます。これらのエラーを調べて、解決を試みてください。 |
PIX でバージョン 7.x が実行されており、新しいバージョンをインストールした。PIX のリブート時に、古いバージョンが引き続きロードされる。 | PIX バージョン 7.x では、フラッシュに複数のイメージを保存できます。PIX はまず、boot system flash:コマンドを発行します。これらのコマンドでは、PIX がブートする必要のあるイメージを指定しています。boot system flash: コマンドが見つからない場合、PIX はフラッシュで最初にブート可能なイメージをブートします。別のバージョンをブートするには、boot system flash:/<filename>コマンドを使用してファイルを指定します。 |
ASDM イメージがフラッシュにロードされているが、ユーザがブラウザで ASDM をロードできない。 | まず、フラッシュにロードする ASDM ファイルが asdm image flash://<asdm_file> コマンドで指定されていることを確認します。次に、http server enable コマンドが設定にあることを確認します。最後に、ASDM をロードしようとするホストが許可されているかを、http <address> <mask> <interface> コマンドで確認します。 |
アップグレード後に FTP が機能しない。 | アップグレード後、FTP インスペクションが有効化されませんでした。『FTP インスペクションの有効化』セクションで示す 2 つの方法のいずれかで FTP インスペクションを有効にします。 |
FTP インスペクションは、次の 2 つの方法のいずれかで有効化できます。
default/global インスペクション ポリシーに FTP を追加する。
これがない場合、inspection_default クラスマップを作成します。
PIX1#configure terminal PIX1(config)#class-map inspection_default PIX1(config-cmap)#match default-inspection-traffic PIX1(config-cmap)#exit
global_policy ポリシー マップを作成または編集し、クラス inspection_default の FTP インスペクションを有効化します。
PIX1(config)#policy-map global_policy PIX1(config-pmap)#class inspection_default PIX1(config-pmap-c)#inspect dns preset_dns_map PIX1(config-pmap-c)#inspect ftp PIX1(config-pmap-c)#inspect h323 h225 PIX1(config-pmap-c)#inspect h323 ras PIX1(config-pmap-c)#inspect rsh PIX1(config-pmap-c)#inspect rtsp PIX1(config-pmap-c)#inspect esmtp PIX1(config-pmap-c)#inspect sqlnet PIX1(config-pmap-c)#inspect skinny PIX1(config-pmap-c)#inspect sunrpc PIX1(config-pmap-c)#inspect xdmcp PIX1(config-pmap-c)#inspect sip PIX1(config-pmap-c)#inspect netbios PIX1(config-pmap-c)#inspect tftp
global_policy をグローバルで有効化します。
PIX1(config)#service-policy global_policy global
個別のインスペクション ポリシーを作成して FTP を有効化する。
PIX1#configure terminal PIX1(config)#class-map ftp-traffic !--- Matches the FTP data traffic. PIX1(config-cmap)#match port tcp eq ftp PIX1(config-cmap)#exit PIX1(config)#policy-map ftp-policy PIX1(config-pmap)#class ftp-traffic !--- Inspection for the FTP traffic is enabled. PIX1(config-pmap-c)#inspect ftp PIX1(config-pmap)#exit PIX1(config)#exit !--- Applies the FTP inspection globally. PIX1(config)#service-policy ftp-policy global
PIX ソフトウェアをダウンロードするには、有効なサービス契約が必要です。サービス契約を取得するには、次の手順を実行します。
直接購入契約書をお持ちの場合は、Cisco の営業担当にご連絡ください。
Cisco.com プロファイルを更新して、サービス契約への関連付けをリクエストするには、Profile Manager をご利用ください。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
16-Oct-2008 |
初版 |