CLI ブック 1:Cisco ASA シリーズ 9.8 CLI コンフィギュレーション ガイド(一般的な操作)

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

CLI ブック 1:Cisco ASA シリーズ 9.8 CLI コンフィギュレーション ガイド(一般的な操作)

Chapter Title

ソフトウェアおよびコンフィギュレーション

検索結果

Updated:
2020年1月10日

章のタイトル: ソフトウェアおよびコンフィギュレーション

ソフトウェアおよびコンフィギュレーション

この章では、Cisco ASA ソフトウェアおよびコンフィギュレーションの管理方法について説明します。

ソフトウェアのアップグレード

完全なアップグレードの手順については、『Cisco ASA Upgrade Guide』を参照してください。

ROMMON を使用したイメージのロード

TFTP を使用して ROMMON モードから ASA へソフトウェア イメージをロードするには、次の手順を実行します。

手順

ステップ 1

アプライアンス コンソールへのアクセスに従って、ASA のコンソール ポートに接続します。

ステップ 2

ASA の電源を切ってから、再び電源をオンにします。

ステップ 3

スタートアップの間に、ROMMON モードに入るようにプロンプト表示されたら、Escape キーを押します。

ステップ 4

ROMMON モードで、IP アドレス、TFTP サーバ アドレス、ゲートウェイ アドレス、ソフトウェア イメージ ファイル、およびポートを含む、ASA に対するインターフェイス設定を次のように定義します。 


rommon #1> interface gigabitethernet0/0
rommon #2> address 10.86.118.4
rommon #3> server 10.86.118.21
rommon #4> gateway 10.86.118.21
rommon #5> file asa961-smp-k8.bin
(注)   

ネットワークへの接続がすでに存在することを確認してください。

インターフェイス コマンドは ASA 5506-X、ASA 5508-X、および ASA 5516-X プラットフォームで無視されるため、これらのプラットフォームで Management 1/1 インターフェイスから TFTP リカバリを実行する必要があります。

ステップ 5

設定を検証します。 


rommon #6> set
ROMMON Variable Settings:
  ADDRESS=10.86.118.3
  SERVER=10.86.118.21
  GATEWAY=10.86.118.21
  PORT=GigabitEthernet0/0
  VLAN=untagged
  IMAGE=asa961-smp-k8.bin
  CONFIG=
  LINKTIMEOUT=20
  PKTTIMEOUT=4
  RETRY=20
ステップ 6

TFTP サーバに ping を送信します。 


rommon #7> ping server
Sending 20, 100-byte ICMP Echoes to server 10.86.118.21, timeout is 4 seconds:

Success rate is 100 percent (20/20)
ステップ 7

ネットワーク設定を、後で使用できるように保管しておきます。 


rommon #8> sync
Updating NVRAM Parameters...
ステップ 8

システム ソフトウェア イメージをロードします。 


rommon #9> tftpdnld
ROMMON Variable Settings:
  ADDRESS=10.86.118.3
  SERVER=10.86.118.21
  GATEWAY=10.86.118.21
  PORT=GigabitEthernet0/0
  VLAN=untagged
  IMAGE=asa961-smp-k8.bin
  CONFIG=
  LINKTIMEOUT=20
  PKTTIMEOUT=4
  RETRY=20

tftp asa961-smp-k8.bin@10.86.118.21 via 10.86.118.21

Received 14450688 bytes

Launching TFTP Image...
Cisco ASA Security Appliance admin loader (3.0) #0: Mon Mar 5 16:00:07 MST 2016

Loading...

ソフトウェア イメージが正常にロードされると、ASA は自動的に ROMMON モードを終了します。

ステップ 9

ROMMON モードから ASA を起動する場合、システム イメージはリロード間で保持されないため、やはりイメージをフラッシュ メモリにダウンロードする必要があります。「ソフトウェアのアップグレード」を参照してください。

ROMMON を使用した ASASM のイメージのロード

TFTP を使用して ROMMON モードから ASASM へソフトウェア イメージをロードするには、次の手順を実行します。

手順

ステップ 1

ASA サービス モジュール コンソールへのアクセスに従って、ASA のコンソール ポートに接続します。

ステップ 2

ASASM イメージをリロードすることを確認してください。

ステップ 3

スタートアップの間に、ROMMON モードに入るようにプロンプト表示されたら、Escape キーを押します。

ステップ 4

ROMMON モードで、IP アドレス、TFTP サーバ アドレス、ゲートウェイ アドレス、ソフトウェア イメージ ファイル、ポートおよび VLAN を含む、ASASM に対するインターフェイス設定を次のように定義します。 


rommon #2> address 10.86.118.4
rommon #3> server 10.86.118.21
rommon #4> gateway 10.86.118.21
rommon #5> file asa961-smp-k8.bin
rommon #5> interface Data0
rommon #6> vlan 1
Data0
Link is UP
MAC Address: 0012.d949.15b8
(注)   

ネットワークへの接続がすでに存在することを確認してください。

ステップ 5

設定を検証します。 


rommon #7> set
ROMMON Variable Settings:
  ADDRESS=10.86.118.4
  SERVER=10.86.118.21
  GATEWAY=10.86.118.21
  PORT=Data0
  VLAN=1
  IMAGE=asa961-smp-k8.bin
  CONFIG=
  LINKTIMEOUT=20
  PKTTIMEOUT=2
  RETRY=20
ステップ 6

TFTP サーバに ping を送信します。 


rommon #8> ping server
Sending 20, 100-byte ICMP Echoes to server 10.86.118.21, timeout is 2 seconds:

Success rate is 100 percent (20/20)
ステップ 7

システム ソフトウェア イメージをロードします。 


rommon #9> tftpdnld
Clearing EOBC receive queue ...
cmostime_set = 1
ROMMON Variable Settings:
  ADDRESS=10.86.118.3
  SERVER=10.86.118.21
  GATEWAY=10.86.118.21
  PORT=Data0
  VLAN=1
  IMAGE=asa961-smp-k8.bin
  CONFIG=
  LINKTIMEOUT=20
  PKTTIMEOUT=4
  RETRY=20

tftp asa961-smp-k8.bin@10.86.118.21 via 10.86.118.21
Starting download. Press ESC to abort.

ソフトウェア イメージが正常にロードされると、ASASM は自動的に ROMMON モードを終了します。

ステップ 8

ROMMON モードからモジュールを起動する場合、システム イメージはリロード間で保持されないため、やはりイメージをフラッシュ メモリにダウンロードする必要があります。「ソフトウェアのアップグレード」を参照してください。

ROMMON イメージのアップグレード(ASA 5506-X、5508-X、および 5516-X)

ASA 5506-X シリーズ、ASA 5508-X、および ASA 5516-X の ROMMON イメージをアップグレードするには、次の手順に従います。システムの ROMMON バージョンは 1.1.8 以上でなければなりません。


注意    

1.1.15 の ROMMON のアップグレードには、以前の ROMMON バージョンの 2 倍の時間がかかります(約 15 分)。アップグレード中はデバイスの電源を再投入しないでください。アップグレードが 30 分以内に完了しないか、または失敗した場合は、シスコ テクニカル サポートに連絡してください。デバイスの電源を再投入したり、リセットしたりしないでください

始める前に

新バージョンへのアップグレードのみ可能です。ダウングレードはできません。現在のバージョンを確認するには、show module コマンドを入力して、MAC アドレス範囲テーブルの Mod 1 の出力で Fw バージョンを調べます。 


ciscoasa# show module
[...]
Mod  MAC Address Range                 Hw Version   Fw Version   Sw Version     
---- --------------------------------- ------------ ------------ ---------------
   1 7426.aceb.ccea to 7426.aceb.ccf2  0.3          1.1.5        9.4(1)
 sfr 7426.aceb.cce9 to 7426.aceb.cce9  N/A          N/A

手順

ステップ 1

Cisco.com から新しい ROMMON イメージを取得して、サーバ上に置いて ASA にコピーします。この手順では、TFTP コピーの方法を説明します。

次の URL からイメージをダウンロードします。

https://software.cisco.com/download/type.html?mdfid=286283326&flowid=77251

ステップ 2

ROMMON イメージを ASA フラッシュ メモリにコピーします。

copy tftp://server_ip/asa5500-firmware-xxxx.SPA disk0:asa5500-firmware-xxxx.SPA

ステップ 3

ROMMON イメージをアップグレードします。

upgrade rommon disk0:asa5500-firmware-xxxx.SPA

例:


ciscoasa# upgrade rommon disk0:asa5500-firmware-1108.SPA
Verifying file integrity of disk0:/asa5500-firmware-1108.SPA

Computed Hash   SHA2: d824bdeecee1308fc64427367fa559e9
                      eefe8f182491652ee4c05e6e751f7a4f
                      5cdea28540cf60acde3ab9b65ff55a9f
                      4e0cfb84b9e2317a856580576612f4af
                      
Embedded Hash   SHA2: d824bdeecee1308fc64427367fa559e9
                      eefe8f182491652ee4c05e6e751f7a4f
                      5cdea28540cf60acde3ab9b65ff55a9f
                      4e0cfb84b9e2317a856580576612f4af
                      

Digital signature successfully validated
File Name                     : disk0:/asa5500-firmware-1108.SPA
Image type                    : Release
    Signer Information
        Common Name           : abraxas
        Organization Unit     : NCS_Kenton_ASA
        Organization Name     : CiscoSystems
    Certificate Serial Number : 553156F4
    Hash Algorithm            : SHA2 512
    Signature Algorithm       : 2048-bit RSA
    Key Version               : A
Verification successful.
Proceed with reload? [confirm]
ステップ 4

プロンプトが表示されたら、確認して ASA をリロードします。

ASA が ROMMON イメージをアップグレードした後、ASA の OS をリロードします。

ASA 5506W-X ワイヤレス アクセス ポイントのイメージの回復およびロード

TFTP を使用してソフトウェア イメージを回復して ASA 5506W-X にロードするには、次の手順を実行します。

手順

ステップ 1

アクセス ポイント(AP)へのセッションを確立し、AP ROMMON(ASA ROMMON ではなく)を開始します。 

 
ciscoasa# hw-module module wlan recover image
ステップ 2

Cisco Aironet アクセス ポイント Cisco IOS ソフトウェア コンフィギュレーション ガイド [英語] の手順に従います。

ソフトウェアのダウングレード

ダウングレードでは、以下の機能を完了するためのショートカットが存在します。

  • ブート イメージ コンフィギュレーションのクリア(clear configure boot )。

  • 古いイメージへのブート イメージの設定(boot system )。

  • (オプション)新たなアクティベーション キーの入力(activation-key )。

  • 実行コンフィギュレーションのスタートアップへの保存(write memory )。これにより、BOOT 環境変数を古いイメージに設定します。このため、リロードすると古いイメージがロードされます。

  • スタートアップ コンフィギュレーションへの古いコンフィギュレーションのコピー(copy old_config_url startup-config )。

  • リロード(reload )。

始める前に

  • クラスタリング用の公式のゼロ ダウンタイム ダウングレードのサポートはありません。ただし場合によっては、ゼロ ダウンタイム ダウングレードが機能します。ダウングレードに関する次の既知の問題を参照してください。この他の問題が原因でクラスタ ユニットのリロードが必要になることもあり、その場合はダウンタイムが発生します。

    • クラスタリングおよび暗号マップを使用する場合に 9.8(1) からダウングレードする:暗号マップが設定されている場合に 9.8 (1) からダウングレードすると、ゼロ ダウンタイム ダウングレードはサポートされません。ダウングレード前に暗号マップ設定をクリアし、ダウングレード後に設定をもう一度適用する必要があります。

    • クラスタリング ユニットのヘルスチェックを 0.3 ~ 0.7 秒に設定した状態で 9.8(1) からダウングレードする:(health-check holdtime で)ホールド時間を 0.3 ~ 0.7 秒に設定した後で ASA ソフトウェアをダウングレードすると、新しい設定はサポートされないため、設定値はデフォルトの 3 秒に戻ります。

    • クラスタリング(CSCuv82933)を使用している場合に 9.5(2) 以降から 9.5(1) 以前にダウングレードする:9.5(2) からダウングレードする場合、ゼロ ダウンタイム ダウングレードはサポートされません。ユニットがオンラインに戻ったときに新しいクラスタが形成されるように、すべてのユニットをほぼ同時にリロードする必要があります。ユニットが順番にリロードされるのを待つと、クラスタを形成できなくなります。

    • クラスタリングを使用する場合に 9.2(1) 以降から 9.1 以前にダウングレードする:ゼロ ダウンタイム ダウングレードはサポートされません。

  • PBKDF2(パスワード ベースのキー派生関数 2 )ハッシュをパスワードで使用する場合に 9.5 以前のバージョンにダウングレードする:9.6 より前のバージョンは PBKDF2 ハッシュをサポートしていません。9.6(1) では、32 文字より長い enable パスワードおよび username パスワードで PBKDF2 ハッシュを使用します。9.7(1) では、すべての新しいパスワードは、長さに関わらず PBKDF2 ハッシュを使用します(既存のパスワードは引き続き MD5 ハッシュを使用します)。ダウングレードすると、enable パスワードがデフォルト(空白)に戻ります。ユーザ名は正しく解析されず、username コマンドが削除されます。ローカル ユーザをもう一度作成する必要があります。

  • ASAv 用のバージョン 9.5(2.200) からのダウングレード:ASAv はライセンス登録状態を保持しません。license smart register idtoken id_token force コマンドで再登録する必要があります(ASDM の場合、[Configuration] > [Device Management] > [Licensing] > [Smart Licensing] ページで [Force registration] オプションを使用)。Smart Software Manager から ID トークンを取得します。

  • 設定を移行すると、ダウングレードの可否に影響を与える可能性があります。そのため、ダウングレード時に使用できる古い設定のバックアップを保持することを推奨します。8.3 へのアップグレード時には、バックアップが自動的に作成されます(<old_version>_startup_cfg.sav)。他の移行ではバックアップが作成されません。古いバージョンでは利用できなかったコマンドが新しい設定に含まれていると、設定がロードされたときにそれらのコマンドのエラーが表示されます。ただし、エラーは無視できます。各バージョンの設定の移行または廃止の詳細については、各バージョンのアップグレード ガイドを参照してください。

  • 元のトンネルがネゴシエートした暗号スイートをサポートしないソフトウェア バージョンをスタンバイ装置が実行している場合でも、VPN トンネルがスタンバイ装置に複製されます。このシナリオは、ダウングレード時に発生します。その場合、VPN 接続を切断して再接続してください。

手順

次のコマンドを入力します。

downgrade [/noconfirm] old_image_url old_config_url [activation-key old_key]

例:



ciscoasa(config)# downgrade /noconfirm disk0:/asa821-k8.bin disk0:/8_2_1_0_startup_cfg.sav

/noconfirm オプションを指定すると、プロンプトが表示されずにダウングレードされます。image_url は、disk0、disk1、tftp、ftp、または smb 上の古いイメージへのパスです。old_config_url は、保存された移行前の設定へのパスです。8.3 よりも前のアクティベーション キーに戻る必要がある場合は、そのアクティベーション キーを入力できます。

ファイルの管理

フラッシュ メモリ内のファイルの表示

フラッシュ メモリ内のファイルを表示して、そのファイルに関する情報を参照できます。

手順

ステップ 1

フラッシュ メモリ内のファイルを表示します。

dir [disk0: | disk1:]

例:


hostname# dir

Directory of disk0:/
500    -rw-  4958208     22:56:20 Nov 29 2004  cdisk.bin
2513   -rw-  4634        19:32:48 Sep 17 2004  first-backup
2788   -rw-  21601       20:51:46 Nov 23 2004  backup.cfg
2927   -rw-  8670632     20:42:48 Dec 08 2004  asdmfile.bin

内部フラッシュ メモリの場合、disk0: と入力します。disk1: キーワードは外部フラッシュ メモリを表します。デフォルトは、内部フラッシュ メモリです。

ステップ 2

特定のファイルに関する追加情報を表示します。

show file information [path:/]filename

例:


hostname# show file information cdisk.bin

disk0:/cdisk.bin:
  type is image (XXX) []
  file size is 4976640 bytes version 7.0(1)

示されているファイル サイズは例にすぎません。

デフォルト パスは、内部フラッシュ メモリのルート ディレクトリ(disk0:/)です。

フラッシュ メモリからのファイルの削除

不要になったファイルはフラッシュ メモリから削除できます。

手順

フラッシュ メモリからファイルを削除します。

delete disk0: filename

パスを指定しないと、デフォルトにより、ファイルは現在の作業ディレクトリから削除されます。ファイルを削除するときは、ワイルドカードを使用できます。削除するファイル名を求めるプロンプトが表示されます。その後、削除を確認する必要があります。

フラッシュ ファイル システムの削除

フラッシュ ファイル システムを消去するには、次の手順を実行します。

手順

ステップ 1

ASA サービス モジュール コンソールへのアクセス または アプライアンス コンソールへのアクセス の手順に従って、ASA のコンソール ポートに接続します。

ステップ 2

ASA の電源を切ってから、再び電源をオンにします。

ステップ 3

スタートアップの間に、ROMMON モードに入るようにプロンプト表示されたら、Escape キーを押します。

ステップ 4

erase コマンドを入力します。これにより、すべてのファイルが上書きされてファイル システムが消去されます(非表示のシステム ファイルを含む)。

rommon #1> erase [disk0: | disk1: | flash:]

ファイル アクセスの設定

ASA では、FTP クライアント、セキュア コピー クライアント、または TFTP クライアントを使用できます。また、ASA をセキュア コピー サーバとして設定することもできるため、コンピュータでセキュア コピー クライアントを使用できます。

FTP クライアント モードの設定

ASA では、FTP サーバとの間で、イメージ ファイルやコンフィギュレーション ファイルのアップロードおよびダウンロードを実行できます。パッシブ FTP では、クライアントは制御接続およびデータ接続の両方を開始します。パッシブ モードではデータ接続の受け入れ側となるサーバは、今回の特定の接続においてリッスンするポート番号を応答として返します。

手順

FTP モードをパッシブに設定します。

ftp mode passive

例:

ciscoasa(config)# ftp mode passive

セキュア コピー サーバとしての ASA の設定  

ASA 上でセキュア コピー(SCP)サーバをイネーブルにできます。SSH による ASA へのアクセスを許可されたクライアントだけが、セキュア コピー接続を確立できます。

始める前に

  • サーバにはディレクトリ サポートがありません。ディレクトリ サポートがないため、ASA の内部ファイルへのリモート クライアント アクセスは制限されます。

  • サーバでは、バナーまたはワイルドカードがサポートされていません。

  • SSH アクセスの設定 に従って、ASA で SSH を有効にします。

  • SSH バージョン 2 接続をサポートするには、ASA のライセンスに強力な暗号化(3DES/AES)ライセンスが必要です。

  • 特に指定されていないかぎり、マルチ コンテキスト モードでは、システム実行スペースで次の手順を実行します。コンテキストからシステム実行スペースに切り替えるには、changeto system コマンドを入力します。

  • セキュア コピーのパフォーマンスは、使用する暗号化アルゴリズムにある程度依存します。デフォルトで、ASA は 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr の順にアルゴリズムをネゴシエートします。提示された最初のアルゴリズム(3des-cbc)が選択された場合、aes128-cbc などの一層効率的なアルゴリズムが選択された場合よりも大幅にパフォーマンスが低下します。提示された暗号方式を変更するには、ssh cipher encryption コマンド。たとえば、ssh cipher encryption custom aes128-cbc

手順
ステップ 1

SCP サーバをイネーブルにします。

ssh scopy enable

ステップ 2

(オプション)ASA データベースから手動でサーバとそのキーを追加または削除します。

ssh pubkey-chain [no] server ip_address {key-string    key_string    exit| key-hash {md5 | sha256} fingerprint}

例:

ciscoasa(config)# ssh pubkey-chain
ciscoasa(config-ssh-pubkey-chain)# server 10.7.8.9
ciscoasa(config-ssh-pubkey-server)# key-string
Enter the base 64 encoded RSA public key.
End with the word "exit" on a line by itself
ciscoasa(config-ssh-pubkey-server-string)# c1:b1:30:29:d7:b8:de:6c:97:77:10:d7:46:41:63:87
ciscoasa(config-ssh-pubkey-server-string)# exit
ciscoasa(config-ssh-pubkey-server)# show running-config ssh pubkey-chain
ssh pubkey-chain
  server 10.7.8.9
    key-hash sha256 f1:22:49:47:b6:76:74:b2:db:26:fb:13:65:d8:99:19:
e7:9e:24:46:59:be:13:7f:25:27:70:9b:0e:d2:86:12

ASA は接続先の各 SCP サーバの SSH ホストキーを保存します。必要に応じて、手動でキーを管理できます。

各サーバについて、SSH ホストの key-string(公開キー) または key-hash(ハッシュ値)を指定できます。

key_string はリモート ピアの Base64 で符号化された RSA 公開キーです。オープン SSH クライアントから(言い換えると .ssh/id_rsa.pub ファイルから)公開キー値を取得できます。Base64 で符号化された公開キーを送信した後、SHA-256 によってそのキーがハッシュされます。

key-hash {md5 | sha256} fingerprint では、たとえば、show コマンドの出力からコピーしたキーなどの、すでにハッシュされているキー(MD5 または SHA-256 キーを使用)が入力されます。

ステップ 3

(任意) SSH ホスト キー チェックを有効または無効にします。マルチ コンテキスト モードでは、管理コンテキストでこのコマンドを入力します。

[no] ssh stricthostkeycheck

例:

ciscoasa# ssh stricthostkeycheck
ciscoasa# copy x scp://cisco@10.86.95.9/x
The authenticity of host '10.86.95.9 (10.86.95.9)' can't be established.
RSA key fingerprint is dc:2e:b3:e4:e1:b7:21:eb:24:e9:37:81:cf:bb:c3:2a.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.86.95.9' (RSA) to the list of known hosts.
Source filename [x]?

Address or name of remote host [10.86.95.9]?

Destination username [cisco]?

Destination password []? cisco123

Destination filename [x]?

デフォルトで、このオプションは有効になっています。このオプションがイネーブルになっている場合、ASA にまだ格納されていないホストキーを許可または拒否するように求められます。このオプションがディセーブルになっている場合、ASA は過去に保存されたことがないホストキーを自動的に許可します。

外部ホストのクライアントから、SCP ファイル転送を実行します。たとえば、Linux では次のコマンドを入力します。

scp -v -pw password source_filename username @asa_address :{disk0|disk1}:/dest_filename

-v は冗長を表します。-pw が指定されていない場合は、パスワードの入力を求めるプロンプトが表示されます。

次に、10.86.94.170 にあるサーバのすでにハッシュされているホスト キーを追加する例を示します。 


ciscoasa(config)# ssh pubkey-chain
ciscoasa(config-ssh-pubkey-chain)# server 10.86.94.170
ciscoasa(config-ssh-pubkey-server)# key-hash sha256 65:d9:9d:fe:1a:bc:61:aa:
64:9d:fc:ee:99:87:38:df:a8:8e:d9:e9:ff:42:de:e8:8d:2d:bf:a9:2b:85:2e:19

次に、10.7.8.9 にあるサーバのホスト ストリング キーを追加する例を示します。 


ciscoasa(config)# ssh pubkey-chain
ciscoasa(config-ssh-pubkey-chain)# server 10.7.8.9
ciscoasa(config-ssh-pubkey-server)# key-string
Enter the base 64 encoded RSA public key.
End with the word "exit" on a line by itself
ciscoasa(config-ssh-pubkey-server-string)# c1:b1:30:29:d7:b8:de:6c:97:77:10:d7:
46:41:63:87
ciscoasa(config-ssh-pubkey-server-string)# exit

ASA TFTP クライアントのパス設定

TFTP は、単純なクライアント/サーバ ファイル転送プロトコルで、RFC 783 および RFC 1350 Rev. 2 で規定されています。TFTP サーバとの間でファイルをコピーできるように、ASA を TFTP クライアントとして設定できます。これにより、コンフィギュレーション ファイルをバックアップし、それらを複数の ASA にプロパゲートできます。

ここでは、TFTP サーバへのパスを事前定義できるため、copy および configure net などのコマンドで入力する必要がなくなります。

手順

configure net および copy コマンドで使用するために、TFTP サーバのアドレスおよびファイル名を事前定義します。

tftp-server interface_name server_ip filename

例:

ciscoasa(config)# tftp-server inside 10.1.4.7 files/config1.cfg
ciscoasa(config)# copy tftp: test.cfg

Address or name of remote host [10.1.4.7]?

Source filename [files/config1.cfg]?config2.cfg

Destination filename [test.cfg]?

Accessing tftp://10.1.4.7/files/config2.cfg;int=outside...

コマンドを入力するとファイル名を上書きできます。たとえば、copy コマンドを使用するときに事前定義された TFTP サーバのアドレスを利用できますが、インタラクティブ プロンプトでファイル名を入力することもできます。

copy コマンドに、tftp://url ではなく tftp: を入力して tftp-server の値を使用します。

ASA へのファイルのコピー

この項では、アプリケーション イメージ、ASDM ソフトウェア、コンフィギュレーション ファイル、または TFTP、FTP、SMB、HTTP、HTTPS、または SCP サーバから内部または外部フラッシュ メモリにダウンロードする必要があるその他のファイルをコピーする方法について説明します。

始める前に

  • IPS SSP ソフトウェア モジュールの場合、IPS ソフトウェアを disk0 にダウンロードする前に、フラッシュ メモリに少なくとも 50% の空きがあることを確認してください。IPS をインストールするときに、IPS のファイル システム用に内部フラッシュ メモリの 50% が予約されます。

  • 文字の大文字と小文字が異なっていても、同じ名前の 2 つのファイルをフラッシュ メモリの同じディレクトリに保存できません。たとえば、config.cfg というファイルが存在する場所に Config.cfg というファイルをダウンロードしようとすると、次のエラー メッセージが表示されます。 

    
%Error opening disk0:/Config.cfg (File exists)

  • Cisco SSL VPN Client をインストールする方法の詳細については、『Cisco AnyConnect VPN Client Administrator Guide』を参照してください。ASA に Cisco Secure Desktop をインストールする方法の詳細については、『Cisco Secure Desktop Configuration Guide for Cisco ASA 5500 Series Administrators(Cisco ASA 5500 シリーズ管理者向け Cisco Secure Desktop コンフィギュレーション ガイド)』を参照してください。

  • 複数のイメージがインストールされている場合、または外部フラッシュ メモリにイメージがインストールされている場合に特定のアプリケーション イメージまたは ASDM イメージを使用するように ASA を設定するには、ASA イメージ、ASDM、およびスタートアップ コンフィギュレーションの設定を参照してください。

  • マルチ コンテキスト モードの場合は、システム実行スペース内にいる必要があります。

  • (オプション)ASA がサーバとの通信に使用するインターフェイスを指定します。インターフェイスを指定しない場合、ASA は管理専用のルーティング テーブルをチェックします。ここで一致が見つからない場合はデータのルーティング テーブルをチェックします。

手順

次のサーバ タイプの 1 つを使用してファイルをコピーします。

  • TFTP サーバからコピーします。

    copy [/noconfirm] [interface_name] tftp://server[/path]/src_filename {disk0|disk1}:/[path/]dest_filename

    例: 

    
ciscoasa# copy tftp://10.1.1.67/files/context1.cfg disk0:/context1.cfg

Address or name of remote host [10.1.1.67]?

Source filename [files/context1.cfg]?

Destination filename [context1.cfg]?
Cryptochecksum: db8ba196 9ad189a8 7f5f501f 1bec469b
!!!!!!!!!!!
11143 bytes copied in 5.710 secs (2228 bytes/sec)

  • FTP サーバからコピーします。

    copy [/noconfirm] [interface_name] ftp://[user[:password]@]server[/path]/src_filename {disk0|disk1}:/[path/]dest_filename

    例: 

    
ciscoasa# copy ftp://jcrichton:aeryn@10.1.1.67/files/context1.cfg disk0:/contexts/context1.cfg

Address or name of remote host [10.1.1.67]?

Source username [jcrichton]?

Source password [aeryn]?

Source filename [files/context1.cfg]?

Destination filename [contexts/context1.cfg]?
Cryptochecksum: db8ba196 9ad189a8 7f5f501f 1bec469b
!!!!!!!!!!!
11143 bytes copied in 5.710 secs (2228 bytes/sec)

  • HTTP(S) サーバからコピーします。

    copy [/noconfirm] [interface_name] http[s]://[user[:password]@]server[:port][/path]/src_filename {disk0|disk1}:/[path/]dest_filename

    例: 

    
ciscoasa# copy https://asun:john@10.1.1.67/files/moya.cfg disk0:/contexts/moya.cfg

Address or name of remote host [10.1.1.67]?

Source username [asun]?

Source password [john]?

Source filename [files/moya.cfg]?

Destination filename [contexts/moya.cfg]?
Cryptochecksum: db8ba196 9ad189a8 7f5f501f 1bec469b
!!!!!!!!!!!
11143 bytes copied in 5.710 secs (2228 bytes/sec)

  • SMB サーバからコピーします。

    copy [/noconfirm] [interface_name] smb://[user[:password]@]server[/path]/src_filename {disk0|disk1}:/[path/]dest_filename

    例: 

    
ciscoasa# copy /noconfirm smb://chiana:dargo@10.1.1.67/test.xml disk0:/test.xml

Cryptochecksum: db8ba196 9ad189a8 7f5f501f 1bec469b
!!!!!!!!!!!
11143 bytes copied in 5.710 secs (2228 bytes/sec)

  • SCP サーバからコピーします。

    ;int=interface オプションは、ルート ルックアップをバイパスして、常に指定されたインターフェイスを使用して SCP サーバに到達します。

    copy [/noconfirm] [interface_name] scp://[user[:password]@]server[/path]/src_filename[;int=interface_name] {disk0|disk1}:/[path/]dest_filename

    例: 

    
ciscoasa# copy scp://pilot@10.86.94.170/test.cfg disk0:/test.cfg

Address or name of remote host [10.86.94.170]?

Source username [pilot]?

Destination filename [test.cfg]?

The authenticity of host '10.86.94.170 (10.86.94.170)' can't be established.
RSA key fingerprint is <65:d9:9d:fe:1a:bc:61:aa:64:9d:fc:ee:99:87:38:df:a8:8e:d9:e9:ff:42:de:e8:8d:2d:bf:a9:2b:85:2e:19>(SHA256).
Are you sure you want to continue connecting (yes/no)? yes

Please use the following commands to add the hash key to the configuration:
  ssh pubkey-chain
    server 10.86.94.170
      key-hash sha256 65:d9:9d:fe:1a:bc:61:aa:64:9d:fc:ee:99:87:38:df:a8:8e:d9:e9:ff:42:de:e8:8d:2d:bf:a9:2b:85:2e:19


Password: <type in password>
!!!!!!
6006 bytes copied in 8.160 secs (750 bytes/sec)

スタートアップ コンフィギュレーションまたは実行コンフィギュレーションへのファイルのコピー

テキスト ファイルは、TFTP、FTP、SMB、HTTP(S)、または SCP サーバから、またはフラッシュ メモリから、実行コンフィギュレーションまたはスタートアップ コンフィギュレーションにダウンロードできます。

始める前に

コンフィギュレーションを実行コンフィギュレーションにコピーするには、2 つのコンフィギュレーションをマージします。マージによって、新しいコンフィギュレーションから実行コンフィギュレーションに新しいコマンドが追加されます。コンフィギュレーションが同じ場合、変更は発生しません。コマンドが衝突する場合、またはコマンドがコンテキストの実行に影響を与える場合、マージの結果はコマンドによって異なります。エラーが発生することも、予期できない結果が生じることもあります。

(オプション)ASA がサーバとの通信に使用するインターフェイスを指定します。インターフェイスを指定しない場合、ASA は管理専用のルーティング テーブルをチェックします。ここで一致が見つからない場合はデータのルーティング テーブルをチェックします。

手順

スタートアップ コンフィギュレーションまたは実行コンフィギュレーションにファイルをコピーするには、適切なダウンロード サーバに対して次のコマンドのいずれかを入力します。

  • TFTP サーバからコピーします。

    copy [/noconfirm] [interface_name] tftp://server[/path]/src_filename {startup-config | running-config}

    例: 

    
ciscoasa# copy tftp://10.1.1.67/files/old-running.cfg running-config

  • FTP サーバからコピーします。

    copy [/noconfirm] [interface_name] ftp://[user[:password]@]server[/path]/src_filename {startup-config | running-config}

    例: 

    
ciscoasa# copy ftp://jcrichton:aeryn@10.1.1.67/files/old-startup.cfg startup-config

  • HTTP(S) サーバからコピーします。

    copy [/noconfirm] [interface_name] http[s]://[user[:password]@]server[:port][/path]/src_filename {startup-config | running-config}

    例: 

    
ciscoasa# copy https://asun:john@10.1.1.67/files/new-running.cfg running-config

  • SMB サーバからコピーします。

    copy [/noconfirm] [interface_name] smb://[user[:password]@]server[/path]/src_filename {startup-config | running-config}

    例: 

    
ciscoasa# copy /noconfirm smb://chiana:dargo@10.1.1.67/new-running.cfg running-config

  • SCP サーバからコピーします。

    copy [/noconfirm] [interface_name] scp://[user[:password]@]server[/path]/src_filename[;int=interface_name] {startup-config | running-config}

    例: 

    
ciscoasa# copy scp://pilot:moya@10.86.94.170/new-startup.cfg startup-config

    ;int=interface オプションは、ルート ルックアップをバイパスして、常に指定されたインターフェイスを使用して SCP サーバに到達します。

たとえば、TFTP サーバからコンフィギュレーションをコピーするには、次のコマンドを入力します。 


ciscoasa# copy tftp://209.165.200.226/configs/startup.cfg startup-config

FTP サーバからコンフィギュレーションをコピーするには、次のコマンドを入力します。 


ciscoasa# copy ftp://admin:letmein@209.165.200.227/configs/startup.cfg startup-config

HTTP サーバからコンフィギュレーションをコピーするには、次のコマンドを入力します。 


ciscoasa# copy http://209.165.200.228/configs/startup.cfg startup-config

ASA イメージ、ASDM、およびスタートアップ コンフィギュレーションの設定

複数の ASA または ASDM イメージがある場合は、ブートするイメージを指定する必要があります。イメージを設定しない場合はデフォルトのブート イメージが使用され、そのイメージは意図されたものではない可能性があります。スタートアップ コンフィギュレーションでは、コンフィギュレーション ファイルを任意で指定できます。

次のモデルのガイドラインを参照してください。

  • Firepower 4100/9300 シャーシ:ASA のアップグレードは FXOS によって管理されます。ASA オペレーティング システム内で ASA をアップグレードすることはできません。したがって、この手順を ASA イメージに使用しないでください。ASA と FXOS を別々にアップグレードすることができ、FXOS ディレクトリ リストに別々にリストされます。ASA パッケージには常に ASDM が含まれています。

  • Firepower 2100:ASA、ASDM、および FXOS のイメージは 1 つのパッケージに一緒にバンドルされています。パッケージ更新は FXOS によって管理されます。ASA オペレーティング システム内で ASA をアップグレードすることはできません。したがって、この手順を ASA イメージに使用しないでください。ASA と FXOS を個別にアップグレードすることはできません。常にバンドルされています。

  • Firepower モデルの ASDM:ASDM は ASA オペレーティングシステム内からアップグレードできるため、バンドルされた ASDM イメージのみを使用する必要はありません。手動でアップロードする ASDM イメージは FXOS イメージリストに表示されません。ASA から ASDM イメージを管理する必要があります。


    (注)  

    ASA バンドルをアップグレードすると、同じ名前(asdm.bin)であるため、バンドル内の ASDM イメージが ASA 上の前の ASDM バンドル イメージに置き換わります。ただし、アップロードした別の ASDM イメージ(たとえば asdm-782.bin)を手動で選択すると、バンドル アップグレード後も引き続き同じイメージが使用されます。互換性のある ASDM バージョンを実行していることを確認するには、バンドルをアップグレードする前に ASDM をアップグレードするか、または ASA バンドルをアップグレードする直前に、バンドルされた ASDM イメージ(asdm.bin)を使用するように ASA を再設定する必要があります。

  • ASAv:初期展開の ASAv パッケージでは、ASA イメージが読み取り専用 boot:/ パーティションに配置されます。ASAv をアップグレードするときは、フラッシュ メモリに別のイメージを指定します。後でコンフィギュレーションをクリアするとclear configure all、ASAv は元の展開のイメージをロードするようになることに注意してください。初期展開の ASAv パッケージには、フラッシュ メモリに配置される ASDM イメージも含まれています。ASDM イメージを個別にアップグレードできます。

次のデフォルト設定を参照してください。

  • ASA イメージ:

    • 物理 ASA:内部フラッシュ メモリ内で見つかった最初のアプリケーション イメージをブートします。

    • ASAv:最初に展開したときに作成された、読み取り専用の boot:/ パーティションにあるイメージをブートします。

    • Firepower 4100/9300 シャーシ:どの ASA イメージをブートするかは FXOS システムによって決定されます。この手順を使用して ASA イメージを設定することはできません。

    • Firepower 2100:どの ASA/FXOS パッケージをブートするかは FXOS システムによって決定されます。この手順を使用して ASA イメージを設定することはできません。

  • すべての ASA の ASDM イメージ:内部フラッシュ メモリ内で見つかった(またはここにイメージがない場合は、外部フラッシュ メモリ内で見つかった)最初の ASDM イメージをブートします。

  • スタートアップ コンフィギュレーション:デフォルトでは、ASA は、隠しファイルであるスタートアップ コンフィギュレーションからブートします。

手順

ステップ 1

ASA ブート イメージの場所を設定します。

boot system url

例:


ciscoasa(config)# boot system disk0:/images/asa921.bin

URL は次のようになります。

  • {disk0:/ | disk1:/}[path/]filename

  • tftp://[user[:password]@]server[:port]/[path/]filename

    TFTP オプションは、すべてのモデルでサポートされるわけではありません。

最大 4 つの boot system コマンド エントリを入力して、ブートする複数のイメージを順番に指定することができます。ASA は、最初に検出に成功したイメージをブートします。boot system コマンドを入力すると、エントリがリストの最後に追加されます。ブート エントリの順序を変更するには、clear configure boot system コマンドを使用してすべてのエントリを削除してから、エントリを目的の順序で再入力する必要があります。設定できる boot system tftp コマンドは 1 つだけです。これは、最初に設定する必要があります。

(注)   

ASA が連続ブートのサイクルから抜け出せない場合は、ASA を ROMMON モードにリブートします。ROMMON モードの詳細については、デバッグ メッセージの表示を参照してください。

ステップ 2

ブートする ASDM イメージを設定します。

asdm image {disk0:/ | disk1:/}[path/]filename

例:


ciscoasa(config)# asdm image disk0:/images/asdm721.bin

ブートするイメージを指定しない場合、インストールされているイメージが 1 つしかなくても、ASA によって asdm image コマンドが実行コンフィギュレーションに挿入されます。Auto Update(設定されている場合)の問題を避けるため、また起動時ごとのイメージ検索を回避するため、ブートする ASDM イメージをスタートアップ コンフィギュレーションで指定する必要があります。

ステップ 3

(オプション)スタートアップ コンフィギュレーションをデフォルトの隠しファイルではなく既知のファイルになるように設定します。

boot config {disk0:/ | disk1:/}[path/]filename

例:


ciscoasa(config)# boot config disk0:/configs/startup1.cfg

コンフィギュレーションまたはその他のファイルのバックアップおよび復元

システム障害から保護するために、コンフィギュレーションおよびその他のファイルの定期的なバックアップを実行することを推奨します。

完全なシステム バックアップまたは復元の実行

次の手順では、コンフィギュレーションおよびイメージの zipバックアップ tar.gz ファイルへのバックアップおよび復元方法と、そのファイルのローカル コンピュータへの転送方法について説明します。

バックアップまた復元を開始する前に

  • バックアップまたは復元を開始する前に、バックアップまたは復元場所に使用可能なディスク領域が少なくとも 300 MB ある必要があります。

  • バックアップ中またはバックアップ後にコンフィギュレーションを変更した場合、その変更内容はバックアップに含められません。バックアップの実行後にコンフィギュレーションを変更してから復元を実行した場合、このコンフィギュレーションの変更は上書きされます。結果として、ASA は異なる挙動をすることもあります。

  • 一度に開始できるバックアップまたは復元は 1 つだけです。

  • コンフィギュレーションは、元のバックアップを実行したときと同じ ASA バージョンにのみ復元できます。復元ツールを使用して、ASA の異なるバージョン間でコンフィギュレーションを移行することはできません。コンフィギュレーションの移行が必要な場合、ASA は、新しい ASA OS をロードした時に常駐するスタートアップ コンフィギュレーションを自動的にアップグレードします。

  • クラスタリングを使用する場合、バックアップまたは復元できるのは、スタートアップ コンフィギュレーション、実行コンフィギュレーション、およびアイデンティティ証明書のみです。ユニットごとに別々にバックアップを作成および復元する必要があります。

  • フェールオーバーを使用する場合、バックアップの作成および復元は、アクティブ ユニットとスタンバイ ユニットに対して別々に行う必要があります。

  • ASA にマスター パスフレーズを設定している場合は、この手順で作成したバックアップ コンフィギュレーションの復元時にそのマスター パスフレーズが必要となります。ASA のマスター パスフレーズが不明な場合は、マスター パスフレーズの設定を参照して、バックアップを続行する前に、マスター パスフレーズをリセットする方法を確認してください。

  • PKCS12 データをインポート(crypto ca trustpoint コマンドを使用)する際にトラストポイントが RSA キーを使用している場合、インポートされたキー ペアにはトラストポイントと同じ名前が割り当てられます。この制約のため、ASDM コンフィギュレーションを復元した後でトラストポイントおよびそのキー ペアに別の名前を指定した場合、スタートアップ コンフィギュレーションは元のコンフィギュレーションと同じになるのに、実行コンフィギュレーションには異なるキー ペア名が含まれることになります。つまり、キー ペアとトラストポイントに別の名前を使用した場合は、元のコンフィギュレーションを復元できないということです。この問題を回避するため、トラストポイントとそのキー ペアには必ず同じ名前を使用してください。

  • CLI を使用してバックアップしてから ASDM を使用して復元したり、その逆を行うことはできません。

  • 各バックアップ ファイルに含まれる内容は次のとおりです。

    • 実行コンフィギュレーション

    • スタートアップ コンフィギュレーション

    • すべてのセキュリティ イメージ

      Cisco Secure Desktop およびホスト スキャンのイメージ

      Cisco Secure Desktop およびホスト スキャンの設定

      AnyConnect(SVC)クライアントのイメージおよびプロファイル

      AnyConnect(SVC)のカスタマイズおよびトランスフォーム

    • アイデンティティ証明書(アイデンティティ証明書に関連付けられた RSA キー ペアは含まれるが、スタンドアロン キーは除外される)

    • VPN 事前共有キー

    • SSL VPN コンフィギュレーション

    • アプリケーション プロファイルのカスタム フレームワーク(APCF)

    • ブックマーク

    • カスタマイゼーション

    • ダイナミック アクセス ポリシー(DAP)

    • プラグイン

    • 接続プロファイル用の事前入力スクリプト

    • プロキシ自動設定

    • 変換テーブル

    • Web コンテンツ

    • バージョン情報

システムのバックアップ

この手順では、完全なシステム バックアップを実行する方法について説明します。

手順
ステップ 1

システムをバックアップします。

backup [/noconfirm] [ context ctx-name] [ interface name] [ passphrase value] [ location path]

例:

ciscoasa# backup location disk0:/sample-backup]
Backup location [disk0:/sample-backup]?

interface name を指定しない場合、ASA は管理専用のルーティング テーブルをチェックします。ここで一致が見つからない場合はデータのルーティング テーブルをチェックします。

システム実行スペースからのマルチ コンテキスト モードで、context キーワードを入力して、指定したコンテキストをバックアップします。各コンテキストは個別にバックアップする必要があります。つまり、ファイルごとに backup コマンドを再入力する必要があります。

VPN 証明書および事前共有キーのバックアップ中、証明書を符号化するために、passphrase キーワードで指定された秘密キーが必要です。PKCS12 形式の証明書を符号化および復号化するために使用するパスフレーズを入力する必要があります。バックアップに含まれるのは証明書に関連する RSA キー ペアだけであり、スタンドアロン証明書は除外されます。

バックアップの location にはローカル ディスクまたはリモート URL を指定できます。location を指定しない場合は、次のデフォルト名が使用されます。

  • シングル モード:disk0:hostname.backup.timestamp.tar.gz

  • マルチ モード:disk0:hostname.context-ctx-name.backup.timestamp.tar.gz

ステップ 2

プロンプトに従います。

例:

ciscoasa# backup location disk0:/sample-backup
Backup location [disk0:/sample-backup]?

Begin backup…
Backing up [ASA version] … Done!
Backing up [Running Config] … Done!
Backing up [Startup Config]  … Done!

Enter a passphrase to encrypt identity certificates. The default is cisco. 
You will be required to enter the same passphrase while doing a restore: cisco
Backing up [Identity Certificates] … Done!

IMPORTANT: This device uses master passphrase encryption. If this backup file 
is used to restore to a device with a different master passphrase, 
you will need to provide the current master passphrase during restore.
Backing up [VPN Pre-shared keys] … Done!
Backing up [SSL VPN Configurations: Application Profile Custom Framework] … Done!
Backing up [SSL VPN Configurations: Bookmarks]… Done!
Backing up [SSL VPN Configurations: Customization] … Done!
Backing up [SSL VPN Configurations: Dynamic Access Policy] … Done!
Backing up [SSL VPN Configurations: Plug-in] … Done!
Backing up [SSL VPN Configurations: Pre-fill scripts for Connection Profile] … Done!
Backing up [SSL VPN Configurations: Proxy auto-config] … Done!
Backing up [SSL VPN Configurations: Translation table] … Done!
Backing up [SSL VPN Configurations: Web Content] … Done!
Backing up [Anyconnect(SVC) client images and profiles] … Done!
Backing up [Anyconnect(SVC) customizations and transforms] … Done!
Backing up [Cisco Secure Desktop and Host Scan images] … Done!
Backing up [UC-IME tickets] … Done!
Compressing the backup directory ... Done!
Copying Backup ... Done!
Cleaning up ... Done!
Backup finished!

バックアップの復元

zip tar.gz ファイルからローカル PC に復元するコンフィギュレーションやイメージを指定します。

手順
ステップ 1

バックアップ ファイルからシステムを復元します。

restore [/noconfirm] [context ctx-name] [passphrase value] [location path]

例:

ciscoasa# restore location disk0:/5525-2051.backup.2014-07-09-223$
restore location [disk0:/5525-2051.backup.2014-07-09-223251.tar.gz]?

context キーワードを使用して複数のコンテキストを復元する場合、バック アップされた各コンテキスト ファイルは個別に復元する必要があります。つまり、restore コマンドをファイルごとに再入力する必要があります。

ステップ 2

プロンプトに従います。

例:

ciscoasa# restore location disk0:/5525-2051.backup.2014-07-09-223$
restore location [disk0:/5525-2051.backup.2014-07-09-223251.tar.gz]?

Copying Backup file to local disk... Done!
Extracting the backup file ... Done!
Warning: The ASA version of the device is not the same as the backup version, 
some configurations might not work after restore!
 Do you want to continue? [confirm] y
Begin restore ...
IMPORTANT: This backup configuration uses master passphrase encryption. 
Master passphrase is required to restore running configuration, 
startup configuration and VPN pre-shared keys.
Backing up [VPN Pre-shared keys] … Done!
Backing up [SSL VPN Configurations: Application Profile Custom Framework] … Done!
Backing up [SSL VPN Configurations: Bookmarks]… Done!
Backing up [SSL VPN Configurations: Customization] … Done!
Backing up [SSL VPN Configurations: Dynamic Access Policy] … Done!
Backing up [SSL VPN Configurations: Plug-in] … Done!
Backing up [SSL VPN Configurations: Pre-fill scripts for Connection Profile] … Done!
Backing up [SSL VPN Configurations: Proxy auto-config] … Done!
Backing up [SSL VPN Configurations: Translation table] … Done!
Backing up [SSL VPN Configurations: Web Content] … Done!
Backing up [Anyconnect(SVC) client images and profiles] … Done!
Backing up [Anyconnect(SVC) customizations and transforms] … Done!
Backing up [Cisco Secure Desktop and Host Scan images] … Done!
Backing up [UC-IME tickets] … Done!
Restoring [Running Configuration]
Following messages are as a result of applying the backup running-configuration to 
this device, please note them for future reference.

ERROR: Interface description was set by failover and cannot be changed
ERROR: Unable to set this url, it has already been set
Remove the first instance before adding this one
INFO: No change to the stateful interface
Failed to update LU link information
.Range already exists.
WARNING: Advanced settings and commands should only be altered or used
under Cisco supervision.
ERROR: Failed to apply media termination address 198.0.1.228 to interface outside, 
the IP is already used as media-termination address on interface outside.
ERROR: Failed to apply media termination address 198.0.0.223 to interface inside, 
the IP is already used as media-termination address on interface inside.
WARNING: PAC settings will override http- and https-proxy configurations. 
Do not overwrite configuration file if you want to preserve the old http- 
and https-proxy configurations.

Cryptochecksum (changed): 98d23c2c ccb31dc3 e51acf88 19f04e28
 Done!
Restoring UC-IME ticket ... Done!
Enter the passphrase used while backup to encrypt identity certificates. 
The default is cisco. If the passphrase is not correct, certificates will not be restored.

No passphrase was provided for identity certificates. 
Using the default value: cisco. If the passphrase is not correct, 
certificates will not be restored.
Restoring Certificates ...
Enter the PKCS12 data in base64 representation....
ERROR: A keypair named Main already exists.
INFO: Import PKCS12 operation completed successfully
. Done!
Cleaning up ... Done!
Restore finished!

自動バックアップおよび復元の設定(ISA 3000)

この機能により、システムの設定を簡単かつ自動的にバックアップおよび復元できるため、次のような状況で役立ちます。

  • 初期設定:デバイス設定(ハードウェアおよびソフトウェア)が外部メディアに保存されていて、そのメディアを使用して設定情報をターゲット デバイスに転送する場合。

  • デバイスを交換する際の設定の複製:障害が発生した既存のデバイスからバックアップした設定を交換用デバイスに適用する場合。

  • 運用状態へのロールバック:ソフトウェア コンフィギュレーションが破損したために、以前の有効なコンフィギュレーションにロールバックする場合。

始める前に

  • この機能は、Cisco ISA 3000 アプライアンスのみで使用できます。

  • ISA 3000 に自動バックアップおよび復元を設定するには、特定のパラメータを 1 回限り設定します。

    • バックアップ ロケーション:ストレージ メディア(SD カードなど)、USB ストレージ、またはネットワークの場所を選択できます。

    • バックアップ モード:手動または自動。

    • パスフレーズ:バックアップ構成を暗号化するときに使用するパスフレーズ。

    以上の設定が、以降の自動バックアップ操作と復元操作で使用されます。

  • バックアップ機能と復元機能はそれぞれ独立に、自動モードまたは手動モードで動作するように設定できます。

  • 元の EXEC backup|restore コマンドは変更されません。backup-package コマンドを設定した後は、他のコマンドライン パラメータを指定することなく、EXEC コマンドを使用して手動でバックアップおよび復元を行うことができます。

手順

ステップ 1

パッケージのバックアップ パラメータを設定します。

backup-package backup [interface name] location diskn: [passphrase string]

例:


ciscoasa(config)# backup-package backup GigabitEthernet1/1 location disk3: passphrase cisco

このコマンドを使用して、以降のバックアップ操作で構成データをバックアップする際に使用するパラメータを指定します。

interface name では、バックアップ操作の発信インターフェイスを指定します。

location diskn では、データのバックアップに使用するストレージ メディアを指定します。

passphrase string は、バックアップしたデータをセキュリティで保護するために使用します。

ステップ 2

パッケージの復元のパラメータを設定します。

backup-package restore [ interface name] location diskn: [ passphrase string]

例:


ciscoasa(config)# backup-package restore GigabitEthernet1/1 location disk3: passphrase cisco

このコマンドを使用して、以降の復元操作で使用する復元パラメータを指定します。復元パラメータは、前述のバックアップ操作のパラメータを反映しています。

ステップ 3

自動モードのバックアップおよび復元をイネーブルにします。

backup-package {backup | restore} auto

例:

 
ciscoasa(config)# backup-package backup auto
ciscoasa(config)# backup-package restore auto

このコマンドを使用して、自動モードのバックアップまたは復元をイネーブル/ディセーブルにします。復元に選択したモードも ROMMON 変数に保存されます。

シングル モード コンフィギュレーションまたはマルチ モード システム コンフィギュレーションのバックアップ

シングルコンテキスト モードで、またはマルチモードのシステム コンフィギュレーションから、スタートアップ コンフィギュレーションまたは実行コンフィギュレーションを外部サーバまたはローカル フラッシュ メモリにコピーできます。

始める前に

(オプション)ASA がサーバとの通信に使用するインターフェイスを指定します。インターフェイスを指定しない場合、ASA は管理専用のルーティング テーブルをチェックします。ここで一致が見つからない場合はデータのルーティング テーブルをチェックします。

手順

次のサーバ タイプの 1 つを使用してコンフィギュレーションをバックアップします。

  • TFTP サーバにコピーします。

    copy [/noconfirm] [interface_name] {startup-config | running-config} tftp://server[/path]/dst_filename

    例: 

    
ciscoasa# copy running-config tftp://10.1.1.67/files/new-running.cfg

  • FTP サーバにコピーします。

    copy [/noconfirm] [interface_name] {startup-config | running-config} ftp://[user[:password]@]server[/path]/dst_filename

    例: 

    
ciscoasa# copy startup-config ftp://jcrichton:aeryn@10.1.1.67/files/new-startup.cfg

  • SMB サーバにコピーします。

    copy [/noconfirm] [interface_name] {startup-config | running-config} smb://[user[:password]@]server[/path]/dst_filename

    例: 

    
ciscoasa# copy /noconfirm running-config smb://chiana:dargo@10.1.1.67/new-running.cfg

  • SCP サーバにコピーします。

    copy [/noconfirm] [interface_name] {startup-config | running-config} scp://[user[:password]@]server[/path]/dst_filename[;int=interface_name]

    例: 

    
ciscoasa# copy startup-config
scp://pilot:moya@10.86.94.170/new-startup.cfg

    ;int=interface オプションは、ルート ルックアップをバイパスして、常に指定されたインターフェイスを使用して SCP サーバに到達します。

  • ローカル フラッシュ メモリにコピーします。

    copy [/noconfirm] {startup-config | running-config} {disk0|disk1}:/[path/]dst_filename

    例: 

    
ciscoasa# copy /noconfirm running-config disk0:/new-running.cfg

    宛先ディレクトリが存在することを確認してください。存在しない場合は、まず mkdir コマンドを使用してディレクトリを作成します。

フラッシュ メモリ内のコンテキスト コンフィギュレーションまたはその他のファイルのバック アップ

システム実行スペースで次のいずれかのコマンドを入力することによって、ローカル フラッシュ メモリにあるコンテキスト コンフィギュレーションまたは他のファイルをコピーします。

始める前に

(オプション)ASA がサーバとの通信に使用するインターフェイスを指定します。インターフェイスを指定しない場合、ASA は管理専用のルーティング テーブルをチェックします。ここで一致が見つからない場合はデータのルーティング テーブルをチェックします。

手順

次のサーバ タイプの 1 つを使用してコンテキスト コンフィギュレーションバックアップをバックアップします。

  • フラッシュから TFTP サーバにコピーします。

    copy [/noconfirm] [interface_name] {disk0|disk1}:/[path/]src_filename tftp://server[/path]/dst_filename

    例: 

    
ciscoasa# copy disk0:/asa-os.bin tftp://10.1.1.67/files/asa-os.bin

  • フラッシュから FTP サーバにコピーします。

    copy [/noconfirm] [interface_name] {disk0|disk1}:/[path/]src_filename ftp://[user[:password]@]server[/path]/dst_filename

    例: 

    
ciscoasa# copy disk0:/asa-os.bin ftp://jcrichton:aeryn@10.1.1.67/files/asa-os.bin

  • フラッシュから SMB サーバにコピーします。

    copy [/noconfirm] [interface_name] {disk0|disk1}:/[path/]src_filename smb://[user[:password]@]server[/path]/dst_filename

    例: 

    
ciscoasa# copy /noconfirm copy disk0:/asdm.bin
smb://chiana:dargo@10.1.1.67/asdm.bin

  • フラッシュから SCP サーバにコピーします。

    copy [/noconfirm] [interface_name] {disk0|disk1}:/[path/]src_filename scp://[user[:password]@]server[/path]/dst_filename[;int=interface_name]

    例: 

    
ciscoasa# copy disk0:/context1.cfg
scp://pilot:moya@10.86.94.170/context1.cfg

    ;int=interface オプションは、ルート ルックアップをバイパスして、常に指定されたインターフェイスを使用して SCP サーバに到達します。

  • フラッシュからローカル フラッシュ メモリにコピーします。

    copy [/noconfirm] {disk0|disk1}:/[path/]src_filename {disk0|disk1}:/[path/]dst_filename

    例: 

    
ciscoasa# copy /noconfirm disk1:/file1.cfg disk0:/file1.cfgnew-running.cfg

    宛先ディレクトリが存在することを確認してください。存在しない場合は、まず mkdir コマンドを使用してディレクトリを作成します。

コンテキスト内でのコンテキスト コンフィギュレーションのバックアップ

マルチ コンテキスト モードでは、コンテキスト内から次のバックアップを実行できます。

手順

ステップ 1

(admin コンテキストに接続された)スタートアップ コンフィギュレーション サーバに実行コンフィギュレーションをコピーします。 

 
ciscoasa/contexta# copy running-config startup-config
ステップ 2

コンテキスト ネットワークに接続された TFTP サーバに実行コンフィギュレーションをコピーします。 


ciscoasa/contexta# copy running-config tftp:/server[/path]/filename

端末ディスプレイからのコンフィギュレーションのコピー

手順

ステップ 1

コンフィギュレーションを端末に表示します。

more system:running-config

ステップ 2

コマンドから出力をコピーして、コンフィギュレーションをテキスト ファイルに貼り付けます。

export および import コマンドを使用した追加ファイルのバックアップ

コンフィギュレーションに欠かせない追加ファイルは次のとおりです。

  • import webvpn コマンドを使用してインポートするファイル。現在これらのファイルには、カスタマイゼーション、URL リスト、Web コンテンツ、プラグイン、および言語翻訳などがあります。

  • DAP ポリシー(dap.xml)。

  • CSD コンフィギュレーション(data.xml)。

  • デジタル キーおよびデジタル証明書。

  • ローカル CA ユーザ データベース ファイルと証明書ステータス ファイル。

CLI では、export コマンドと import コマンドを使用して、コンフィギュレーションの個々の要素をバックアップおよび復元できます。

これらのファイル(たとえば、import webvpn コマンドを使用してインポートしたこれらのファイルや証明書など)をバックアップするには、次の手順を実行します。

手順

ステップ 1

次のように、適用可能な show コマンドを実行します。 

 
ciscoasa # show import webvpn plug-in
ica
rdp
ssh, telnet
vnc

ステップ 2

バックアップするファイルに対して export コマンドを発行します(この例では rdp ファイルです)。 

 
ciscoasa # export webvpn plug-in protocol rdp tftp://tftpserver/backupfilename

スクリプトを使用したファイルのバックアップおよび復元

スクリプトを使用して、ASA のコンフィギュレーション ファイルをバックアップおよび復元できます。これには、import webvpn CLI によってインポートする拡張機能のすべて、CSD コンフィギュレーションの XML ファイル、および DAP コンフィギュレーションの XML ファイルが含まれます。セキュリティ上の理由により、デジタル キーと証明書、またはローカル CA キーの自動バックアップを実行することはお勧めしません。

この項では、自動バックアップの手順について説明します。また、そのまま使用することも、環境要件に合わせて修正することもできるサンプル スクリプトを示します。サンプル スクリプトは Linux システムに固有のスクリプトです。Microsoft Windows システムで使用するには、サンプルのロジックを使用して修正する必要があります。


(注)  

代わりに、backup コマンドと restore コマンドを使用することもできます。詳細については、「完全なシステム バックアップまたは復元の実行」を参照してください。

バックアップおよび復元スクリプトを使用する前に

スクリプトを使用して ASA コンフィギュレーションをバックアップおよび復元するには、まず次の作業を実行します。

  • Expect モジュールとともに Perl をインストールする。

  • ASA に到達可能な SSH クライアントをインストールする。

  • TFTP サーバをインストールして、ASA からバックアップ サイトにファイルを送信する。

別の選択肢としては、市販のツールを使用します。このスクリプトのロジックをそれらのツールに取り入れることができます。

スクリプトを実行する

バックアップおよび復元のスクリプトを実行するには、次の手順を実行します。

手順
ステップ 1

システムの任意の場所に、スクリプト ファイルをダウンロードまたはカットアンドペーストします。

ステップ 2

コマンド ラインで、Perlscriptname と入力します。scriptname はスクリプト ファイルの名前です。

ステップ 3

Enter を押します。

ステップ 4

オプションごとに値を入力するように、プロンプトが表示されます。あるいは、Perlscriptname コマンドを入力するときにオプションの値を入力してから、Enter を押すこともできます。どちらの方法でも、スクリプトによりオプションごとに値を入力するよう求められます。

ステップ 5

このスクリプトが実行され、発行されるコマンドが出力されます。この出力は CLI の記録となります。これらの CLI は後で行われる復元に使用できます。特に、ファイルを 1 つまたは 2 つだけ復元する場合に便利です。

サンプル スクリプト


#!/usr/bin/perl
#Description: The objective of this script is to show how to back up configurations/extensions. 
# It currently backs up the running configuration, all extensions imported via "import webvpn" command, the CSD configuration XML file, and the DAP configuration XML file.
#Requirements: Perl with Expect, SSH to the ASA, and a TFTP server.
#Usage: backupasa -option option_value
#       -h: ASA hostname or IP address
#       -u: User name to log in via SSH
#       -w: Password to log in via SSH
#       -e: The Enable password on the security appliance
#       -p: Global configuration mode prompt
#       -s: Host name or IP address of the TFTP server to store the configurations
#       -r: Restore with an argument that specifies the file name. This file is produced during backup. 
#If you don't enter an option, the script will prompt for it prior to backup.
#
#Make sure that you can SSH to the ASA.

use Expect;
use Getopt::Std;

#global variables
%options=();
$restore = 0; #does backup by default
$restore_file = '';
$asa = '';
$storage = '';
$user = '';
$password = '';
$enable = '';
$prompt = '';
$date = ‘date +%F‘;
chop($date);
my $exp = new Expect();

getopts("h:u:p:w:e:s:r:",\%options);
do process_options();

do login($exp);
do enable($exp);
if ($restore) {
   do restore($exp,$restore_file);
}
else {
   $restore_file = "$prompt-restore-$date.cli";
   open(OUT,">$restore_file") or die "Can't open $restore_file\n";
   do running_config($exp);
   do lang_trans($exp);
   do customization($exp);
   do plugin($exp);
   do url_list($exp);
   do webcontent($exp);
   do dap($exp);
   do csd($exp);
   close(OUT);
}
do finish($exp);

sub enable {
   $obj = shift;
   $obj->send("enable\n");
   unless ($obj->expect(15, 'Password:')) {
      print "timed out waiting for Password:\n";
   }
   $obj->send("$enable\n");
   unless ($obj->expect(15, "$prompt#")) {
      print "timed out waiting for $prompt#\n";
   }
}

sub lang_trans {
   $obj = shift;
   $obj->clear_accum();
   $obj->send("show import webvpn translation-table\n");
   $obj->expect(15, "$prompt#" );
   $output = $obj->before();
   @items = split(/\n+/, $output);

   for (@items) {
     s/^\s+//;
     s/\s+$//;
     next if /show import/ or /Translation Tables/;
     next unless (/^.+\s+.+$/);
     ($lang, $transtable) = split(/\s+/,$_);
     $cli = "export webvpn translation-table $transtable language $lang $storage/$prompt-$date-$transtable-$lang.po";
     $ocli = $cli;
     $ocli =~ s/^export/import/;
     print "$cli\n";
     print OUT "$ocli\n";
     $obj->send("$cli\n");
     $obj->expect(15, "$prompt#" );
   }
}

sub running_config {
  $obj = shift;
  $obj->clear_accum();
  $cli ="copy /noconfirm running-config $storage/$prompt-$date.cfg";
  print "$cli\n";
  $obj->send("$cli\n");
  $obj->expect(15, "$prompt#" );
}


sub customization {
  $obj = shift;
  $obj->clear_accum();
  $obj->send("show import webvpn customization\n");
  $obj->expect(15, "$prompt#" );
  $output = $obj->before();
  @items = split(/\n+/, $output);

  for (@items) {
    chop;
    next if /^Template/ or /show import/ or /^\s*$/;
    $cli = "export webvpn customization $_ $storage/$prompt-$date-cust-$_.xml";
    $ocli = $cli;
    $ocli =~ s/^export/import/;
    print "$cli\n";
    print OUT "$ocli\n";
    $obj->send("$cli\n");
    $obj->expect(15, "$prompt#" );
  }
}

sub plugin {
   $obj = shift;
   $obj->clear_accum();
   $obj->send("show import webvpn plug-in\n");
   $obj->expect(15, "$prompt#" );
   $output = $obj->before();
   @items = split(/\n+/, $output);

   for (@items) {
     chop;
     next if /^Template/ or /show import/ or /^\s*$/;
     $cli = "export webvpn plug-in protocol $_ $storage/$prompt-$date-plugin-$_.jar";
     $ocli = $cli;
     $ocli =~ s/^export/import/;
     print "$cli\n";
     print OUT "$ocli\n";
     $obj->send("$cli\n");
     $obj->expect(15, "$prompt#" );
   }
}

sub url_list {
   $obj = shift;
   $obj->clear_accum();
   $obj->send("show import webvpn url-list\n");
   $obj->expect(15, "$prompt#" );
   $output = $obj->before();
   @items = split(/\n+/, $output);

   for (@items) {
     chop;
     next if /^Template/ or /show import/ or /^\s*$/ or /No bookmarks/;
     $cli="export webvpn url-list $_ $storage/$prompt-$date-urllist-$_.xml";
     $ocli = $cli;
     $ocli =~ s/^export/import/;
     print "$cli\n";
     print OUT "$ocli\n";
     $obj->send("$cli\n");
     $obj->expect(15, "$prompt#" );
   }
}

sub dap {
   $obj = shift;
   $obj->clear_accum();
   $obj->send("dir dap.xml\n");
   $obj->expect(15, "$prompt#" );

   $output = $obj->before();
   return 0 if($output =~ /Error/);

   $cli="copy /noconfirm dap.xml $storage/$prompt-$date-dap.xml";
   $ocli="copy /noconfirm $storage/$prompt-$date-dap.xml disk0:/dap.xml";
   print "$cli\n";
   print OUT "$ocli\n";
   $obj->send("$cli\n");
   $obj->expect(15, "$prompt#" );
}

sub csd {
   $obj = shift;
   $obj->clear_accum();
   $obj->send("dir sdesktop\n");
   $obj->expect(15, "$prompt#" );

   $output = $obj->before();
   return 0 if($output =~ /Error/);

   $cli="copy /noconfirm sdesktop/data.xml $storage/$prompt-$date-data.xml";
   $ocli="copy /noconfirm $storage/$prompt-$date-data.xml disk0:/sdesktop/data.xml";
   print "$cli\n";
   print OUT "$ocli\n";
   $obj->send("$cli\n");
   $obj->expect(15, "$prompt#" );
}

sub webcontent {
   $obj = shift;
   $obj->clear_accum();
   $obj->send("show import webvpn webcontent\n");
   $obj->expect(15, "$prompt#" );
   $output = $obj->before();
   @items = split(/\n+/, $output);

   for (@items) {
     s/^\s+//;
     s/\s+$//;
     next if /show import/ or /No custom/;
     next unless (/^.+\s+.+$/);
     ($url, $type) = split(/\s+/,$_);
     $turl = $url;
     $turl =~ s/\/\+//;
     $turl =~ s/\+\//-/;
     $cli = "export webvpn webcontent $url $storage/$prompt-$date-$turl";
     $ocli = $cli;
     $ocli =~ s/^export/import/;
     print "$cli\n";
     print OUT "$ocli\n";
     $obj->send("$cli\n");
     $obj->expect(15, "$prompt#" );
   }
}

sub login {
    $obj = shift;
    $obj->raw_pty(1);
    $obj->log_stdout(0); #turn off console logging.
    $obj->spawn("/usr/bin/ssh $user\@$asa") or die "can't spawn ssh\n";
    unless ($obj->expect(15, "password:" )) {
        die "timeout waiting for password:\n";
    }

    $obj->send("$password\n");

    unless ($obj->expect(15, "$prompt>" )) {
        die "timeout waiting for $prompt>\n";
    }
}

sub finish {
    $obj = shift;
    $obj->hard_close();
    print "\n\n";

}

sub restore {
   $obj = shift;
   my $file = shift;
   my $output;
   open(IN,"$file") or die "can't open $file\n";
   while (<IN>) {
      $obj->send("$_");
      $obj->expect(15, "$prompt#" );
      $output = $obj->before();
      print "$output\n";
   }
   close(IN);
}

sub process_options {
  if (defined($options{s})) {
      $tstr= $options{s};
      $storage = "tftp://$tstr";
  }
  else {
      print "Enter TFTP host name or IP address:";
      chop($tstr=<>);
      $storage = "tftp://$tstr";
  }
  if (defined($options{h})) {
      $asa = $options{h};
  }
  else {
      print "Enter ASA host name or IP address:";
      chop($asa=<>);
  }
   
  if (defined ($options{u})) {
      $user= $options{u};
  }
  else {
      print "Enter user name:";
      chop($user=<>);
  }
   
  if (defined ($options{w})) {
      $password= $options{w};
  }
  else {
      print "Enter password:";
      chop($password=<>);
  }
  if (defined ($options{p})) {
      $prompt= $options{p};
  }
  else {
      print "Enter ASA prompt:";
      chop($prompt=<>);
  }
  if (defined ($options{e})) {
      $enable = $options{e};
  }
  else {
      print "Enter enable password:";
      chop($enable=<>);
  }

  if (defined ($options{r})) {
     $restore = 1;
     $restore_file = $options{r};
  }
}

Auto Update の設定

Auto Update は、Auto Update サーバがコンフィギュレーションおよびソフトウェア イメージを多数の ASA にダウンロードすることを許可し、中央からの ASA の基本的なモニタリングを提供するプロトコル仕様です。

Auto Update について

この項では、Auto Update の実装方法と Auto Update が必要になる理由について説明します。

Auto Update クライアントまたはサーバ

ASA は、クライアントまたはサーバとして設定できます。Auto Update クライアントとして動作する場合は、ソフトウェア イメージおよびコンフィギュレーション ファイルへのアップデートのため、Auto Update サーバを定期的にポーリングします。Auto Update サーバとして動作する場合は、Auto Update クライアントとして設定された ASA のアップデートを発行します。

Auto Update の利点

Auto Update は、次のように、管理者が ASA の管理で直面するさまざまな問題を解決できる便利な機能です。

  • ダイナミック アドレッシングおよび NAT に関する問題点の解決。

  • コンフィギュレーションの変更を 1 つのアクションでコミット。

  • ソフトウェア更新用の信頼度の高い方式の提供。

  • ハイ アベイラビリティ用の十分実績のある方式の活用(フェールオーバー)。

  • オープン インターフェイスによる柔軟性の提供。

  • サービス プロバイダー環境のセキュリティ ソリューションの簡素化。

Auto Update 仕様は、中央、または複数の場所から、リモート管理アプリケーションにより ASA のコンフィギュレーションやソフトウェア イメージをダウンロードしたり、基本的な監視機能を実行したりする場合に必要なインフラストラクチャです。

Auto Update 仕様に従うと、Auto Update サーバから ASA にコンフィギュレーション情報をプッシュしたり、要求を送信して情報を取得したりすることも、ASA から Auto Update サーバに定期的にポーリングすることによって、最新のコンフィギュレーション情報を引き出す(プルする)こともできます。また、Auto Update サーバはいつでも ASA にコマンドを送信し、ただちにポーリング要求を送信させることもできます。Auto Update サーバと ASA の通信では、通信パスとローカル CLI コンフィギュレーションをすべての ASA に設定する必要があります。

フェールオーバー設定での Auto Update サーバ サポート

Auto Update サーバを使用して、ソフトウェア イメージとコンフィギュレーション ファイルを、アクティブ/スタンバイ フェールオーバー コンフィギュレーションの ASA に配置できます。アクティブ/スタンバイ フェールオーバー コンフィギュレーションで Auto Update をイネーブルにするには、フェールオーバー ペアのプライマリ装置に Auto Update サーバのコンフィギュレーションを入力します。

フェールオーバー コンフィギュレーションの Auto Update サーバ サポートには、次の制限と動作が適用されます。

  • アクティブ/スタンバイ コンフィギュレーションがサポートされるのは、シングル モードだけです。

  • 新しいプラットフォーム ソフトウェア イメージをロードする際、フェールオーバー ペアはトラフィックの転送を停止します。

  • LAN ベースのフェールオーバーを使用する場合、新しいコンフィギュレーションによってフェールオーバー リンクのコンフィギュレーションが変更されてはいけません。フェールオーバー リンクのコンフィギュレーションが変更されると、装置間の通信は失敗します。

  • Auto Update サーバへの Call Home を実行するのはプライマリ装置だけです。Call Home を実行するには、プライマリ装置がアクティブ状態である必要があります。そうでない場合、ASA は自動的にプライマリ装置にフェールオーバーします。

  • ソフトウェア イメージまたはコンフィギュレーション ファイルをダウンロードするのは、プライマリ装置だけです。その後、ソフトウェア イメージまたはコンフィギュレーション ファイルはセカンダリ装置にコピーされます。

  • インターフェイス MAC アドレスとハードウェアのシリアル番号は、プライマリ装置のものです。

  • Auto Update サーバまたは HTTP サーバに保存されたコンフィギュレーション ファイルは、プライマリ装置専用です。

Auto Update プロセスの概要

次に、フェールオーバー コンフィギュレーションでの Auto Update プロセスの概要を示します。このプロセスは、フェールオーバーがイネーブルであり、動作していることを前提としています。装置がコンフィギュレーションを同期化している場合、SSM カードの不具合以外の理由でスタンバイ装置に障害が発生している場合、または、フェールオーバー リンクがダウンしている場合、Auto Update プロセスは実行できません。

  1. 両方の装置は、プラットフォームおよび ASDM ソフトウェア チェックサムとバージョン情報を交換します。

  2. プライマリ装置は Auto Update サーバにアクセスします。プライマリ装置がアクティブ状態でない場合、ASA はプライマリ装置にフェールオーバーした後、Auto Update サーバにアクセスします。

  3. Auto Update サーバは、ソフトウェア チェックサムと URL 情報を返します。

  4. プライマリ装置が、アクティブまたはスタンバイ装置のプラットフォーム イメージ ファイルをアップデートする必要があると判断した場合は、次の処理が実行されます。

    1. プライマリ装置は、Auto Update サーバの URL を使用して、HTTP サーバから適切なファイルを取得します。

    2. プライマリ装置は、そのイメージをスタンバイ装置にコピーしてから、自身のイメージをアップデートします。

    3. 両方の装置に新しいイメージがある場合は、セカンダリ(スタンバイ)装置が最初にリロードされます。

      • セカンダリ装置のブート時にヒットレス アップグレードが可能な場合は、セカンダリ装置がアクティブ装置になり、プライマリ装置がリロードされます。リロードが終了すると、プライマリ装置がアクティブ装置になります。

      • スタンバイ装置のブート時にヒットレス アップグレードができない場合は、両方の装置が同時にリロードされます。

    4. セカンダリ(スタンバイ)装置だけに新しいイメージがある場合は、セカンダリ装置だけがリロードされます。プライマリ装置は、セカンダリ装置のリロードが終了するまで待機します。

    5. プライマリ(アクティブ)装置だけに新しいイメージがある場合は、セカンダリ装置がアクティブ装置になり、プライマリ装置がリロードされます。

    6. もう一度アップデート プロセスが手順 1 から開始されます。

  5. ASA が、プライマリまたはセカンダリ装置の ASDM ファイルをアップデートする必要があると判断した場合は、次の処理が実行されます。

    1. プライマリ装置は、Auto Update サーバから提供された URL を使用して、HTTP サーバから ASDM イメージ ファイルを取得します。

    2. プライマリ装置は、必要に応じてそのイメージをスタンバイ装置にコピーします。

    3. プライマリ装置は、自身の ASDM イメージをアップデートします。

    4. もう一度アップデート プロセスが手順 1 から開始されます。

  6. プライマリ装置が、コンフィギュレーション ファイルをアップデートする必要があると判断した場合は、次の処理が実行されます。

    1. プライマリ装置は、指定された URL を使用して、からコンフィギュレーション ファイルを取得します。

    2. 両方の装置で同時に、古いコンフィギュレーションが新しいコンフィギュレーションに置換されます。

    3. もう一度アップデート プロセスが手順 1 から開始されます。

  7. チェックサムがすべてのイメージおよびコンフィギュレーション ファイルと一致している場合、アップデートは必要ありません。このプロセスは、次のポーリング時間まで中断されます。

Auto Update のガイドライン

コンテキスト モード

Auto Update は、シングル コンテキスト モードでのみサポートされます。

クラスタ

クラスタリングはサポートされません。

モデル

次のモデルではサポートされません。

  • ASA 5506-X、5508-X、5516-X

  • Firepower 2100、 4100、および 9300

  • ASAv

その他のガイドライン

  • Auto Update サーバと通信するためのプロトコルとして HTTPS が選択されている場合は、ASA は SSL を使用します。これは、ASA による DES または 3DES ライセンスの保有が必須です。

Auto Update サーバとの通信の設定

手順

ステップ 1

Auto Update サーバの URL を指定するには、次のコマンドを入力します。

auto-update server url [source interface] [verify-certificate | no-verification]

ここで、url には次の構文があります。

http [s ]:// [user:password@ ]server_ip [:port ]/pathname

source interface キーワードおよび引数は、Auto Update サーバに要求を送信するときに使用するインターフェイスを指定します。management-access コマンドで指定したインターフェイスと同じインターフェイスを指定すると、Auto Update 要求は管理アクセスに使用されるのと同じ IPsec VPN トンネルを通過します。

HTTPS の場合、verify-certificate キーワード(デフォルト)は、Auto Update サーバが返す証明書を検証します。検証をディセーブルにするには(推奨されません)、no-verification キーワードを指定します。

ステップ 2

(任意)Auto Update サーバと通信する際に送信するデバイス ID を識別するには、次のコマンドを入力します。

auto-update device-id {hardware-serial | hostname | ipaddress [if-name] | mac-address [if-name] | string text}

使用する ID は、次のいずれかのパラメータによって決まります。

  • hardware-serial 引数は、ASA のシリアル番号を指定します。

  • hostname 引数は、ASA のホスト名を指定します。

  • ipaddress キーワードは、指定したインターフェイスの IP アドレスを指定します。インターフェイス名を指定しない場合、Auto Update サーバとの通信に使用するインターフェイスの IP アドレスが使用されます。

  • mac-address キーワードは、指定のインターフェイスの MAC アドレスを指定します。インターフェイス名を指定しない場合、Auto Update サーバとの通信に使用するインターフェイスの MAC アドレスが使用されます。

  • string キーワードは、指定のテキスト識別子を指定します。空白や ’、“、>、&、? は使用できません。

ステップ 3

(任意)コンフィギュレーション、またはイメージのアップデートを要求するために Auto Update サーバにポーリングする回数を指定するには、次のコマンドを入力します。

auto-update poll-period poll-period [retry-count [retry-period]]

poll-period 引数は、更新を確認する間隔(分単位)を指定します。デフォルトは 720 分(12 時間)です。

retry-count 引数は、サーバへの最初の接続に失敗した場合に、再試行する回数を指定します。デフォルトは 0 です。

retry-period 引数は、リトライの間の待機時間(分単位)を指定します。デフォルトは 5 分です。

ステップ 4

(オプション)ASA から Auto Update サーバにポーリングする特定の時刻をスケジュールするには、次のコマンドを入力します。

auto-update poll-at days-of-the-week time [ randomize minutes ] [retry_count [retry_period ]]

days-of-the-week 引数は、Monday、Tuesday、Wednesday、Thursday、Friday、Saturday、および Sunday の中の任意の曜日または曜日の組み合わせです。それ以外に、daily(月曜日から日曜日)、weekdays(月曜日から金曜日)、および weekend(土曜日と日曜日)の値が設定可能です。

time 引数は、ポーリングの開始時刻を HH:MM 形式で指定します。たとえば、午前 8 時は 8:00、午後 8 時は 20:00 とします。

randomize minutes キーワードおよび引数は、指定した開始時刻に続いてポーリングをランダムに実行する期間を指定します。範囲は 1 ~ 1439 分です。

retry_count 引数は、最初の接続に失敗したときに、Auto Update サーバへの再接続を試みる回数を指定します。デフォルトは 0 です。

retry_period 引数は、接続の試行から次の試行までの待機時間を指定します。デフォルトは 5 分です。範囲は 1 ~ 35791 分です。

ステップ 5

(オプション)Auto Update サーバに一定期間アクセスがなかった場合にトラフィックの通過を中断するには、次のコマンドを入力します。

auto-update timeout period

period 引数は、1 ~ 35791 の範囲で分単位のタイムアウト期間を指定します。デフォルトはタイムアウトなし(0 分)です。デフォルトに戻すには、このコマンドの no 形式を使用します。

auto-update timeout コマンドを使用して、最新のイメージと設定が ASA に存在することを確認します。この状態は、システム ログ メッセージ 201008 で報告されます。

次の例では、ASA が外部インターフェイスから証明書の検証付きで、IP アドレス 209.165.200.224、ポート番号 1742 で Auto Update サーバをポーリングするように設定されています。

また、ASA は、デバイス ID としてホスト名を使用し、Auto Update サーバへのポーリングを毎週金曜日と土曜日の 10:00 p.m から 11:00 p.m. の間の任意の時刻に実行するように設定されます。次の例のように、ポーリングに失敗した場合は、ASA によって Auto Update サーバへの再接続が 10 回試みられます。再接続と再接続の間は、3 分間の待機時間が設定されます。 


ciscoasa(config)# auto-update server https://jcrichton:farscape@209.165.200.224:1742/management source outside verify-certificate
ciscoasa (config)# auto-update device-id hostname
hostname (config)# auto-update poll-at Friday Saturday 22:00 randomize 60 2 10

Auto Update サーバとしてのクライアント アップデートの設定

client-update コマンドを入力すると、Auto Update クライアントとして設定された ASA のアップデートがイネーブルになり、ソフトウェア コンポーネントのタイプ(ASDM またはブート イメージ)、ASA のタイプまたはファミリ、アップデートが適用されるリビジョン番号、アップデートを取得した URL または IP アドレスを指定できるようになります。

ASA を Auto Update サーバとして設定するには、次の手順を実行します。

手順

ステップ 1

クライアント アップデートをイネーブルにするには、次のコマンドを入力します。 


ciscoasa(config)# client-update enable
ステップ 2

ASA に適用する client-update コマンドに、次のパラメータを設定します。

client-update {component {asdm | image} | device-id dev_string | family family_name | type type} url url-string rev-nums rev-nums}

component {asdm | image} パラメータでは、ASDM または ASA のブート イメージのいずれかをソフトウェア コンポーネントとして指定します。

device-id dev_string パラメータでは、Auto Update クライアントが自身を識別するために使用する固有の文字列を指定します。最大で 63 文字です。

family family_name パラメータでは、Auto Update クライアントが自身を識別するために使用するファミリ名を指定します。asa、pix、または 7 文字以内のテキスト文字列を指定します。

rev-nums rev-nums パラメータでは、このクライアントのソフトウェアまたはファームウェア イメージを指定します。最大 4 個のイメージを、任意の順序でカンマで区切って指定します。

type type パラメータでは、クライアント アップデートを通知するクライアントのタイプを指定します。このコマンドは、Windows クライアントのアップデートでも使用されるため、クライアントのリストには Windows オペレーティング システムも複数含まれています。

url url-string パラメータでは、ソフトウェアまたはファームウェア イメージの URL を指定します。この URL は、クライアントに適合するファイルを指している必要があります。すべての Auto Update クライアントでは、URL のプレフィックスとしてプロトコル「http://」または「https://」を使用する必要があります。

特定のタイプの ASA すべてに適用するクライアント アップデートのパラメータを設定します。つまり、ASA のタイプ、および更新されたイメージの取得元となる URL または IP アドレスを指定します。また、リビジョン番号も指定する必要があります。リモートの ASA のリビジョン番号が、指定したリビジョン番号の 1 つと一致する場合は、クライアントのアップデートは不要です。アップデートは無視されます。

Cisco 5525-X ASA にクライアント アップデートを設定するには、次のコマンドを入力します。 


ciscoasa(config)# client-update type asa5525 component asdm url 
http://192.168.1.114/aus/asdm601.bin rev-nums 8.0(1)

Auto Update のモニタリング

Auto Update プロセスのモニタリング

debug auto-update client または debug fover cmd-exe コマンドを使用して、Auto Update プロセスで実行される処理を表示できます。次に、debug auto-update client コマンドの出力例を示します。 


Auto-update client: Sent DeviceDetails to /cgi-bin/dda.pl of server 192.168.0.21
Auto-update client: Processing UpdateInfo from server 192.168.0.21
   Component: asdm, URL: http://192.168.0.21/asdm.bint, checksum: 
0x94bced0261cc992ae710faf8d244cf32
   Component: config, URL: http://192.168.0.21/config-rms.xml, checksum: 
0x67358553572688a805a155af312f6898
   Component: image, URL: http://192.168.0.21/cdisk73.bin, checksum: 
0x6d091b43ce96243e29a62f2330139419
Auto-update client: need to update img, act: yes, stby yes
name
ciscoasa(config)# Auto-update client: update img on stby unit...
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 1, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 1001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 1501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 2001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 2501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 3001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 3501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 4001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 4501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 5001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 5501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 6001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 6501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 7001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 7501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 8001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 8501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 9001, len = 1024
auto-update: Fover file copy waiting at clock tick 6129280
fover_parse: Rcvd file copy ack, ret = 0, seq = 4
auto-update: Fover filecopy returns value: 0 at clock tick 6150260, upd time 145980 msecs
Auto-update client: update img on active unit...
fover_parse: Rcvd image info from mate
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
Beginning configuration replication: Sending to mate.
auto-update: HA safe reload: reload active waiting with mate state: 50
auto-update: HA safe reload: reload active waiting with mate state: 50

auto-update: HA safe reload: reload active waiting with mate state: 80
        Sauto-update: HA safe reload: reload active unit at clock tick: 6266860
Auto-update client: Succeeded: Image, version: 0x6d091b43ce96243e29a62f2330139419

Auto Update プロセスが失敗すると、次の syslog メッセージが生成されます。 


%ASA4-612002: Auto Update failed: file version: version reason: reason

file は、失敗したアップデートに応じて “image”、“asdm”、または “configuration” になります。version は、アップデートのバージョン番号です。reason は、アップデートが失敗した原因です。

Auto Update ステータスのモニタリング

Auto Update ステータスのモニタリングについては、次のコマンドを参照してください。

show auto-update

次に、show auto-update コマンドの出力例を示します。 


ciscoasa(config)# show auto-update

Server: https://********@209.165.200.224:1742/management.cgi?1276
Certificate will be verified
Poll period: 720 minutes, retry count: 2, retry period: 5 minutes
Timeout: none
Device ID: host name [corporate]
Next poll in 4.93 minutes
Last poll: 11:36:46 PST Tue Nov 13 2004
Last PDM update: 23:36:46 PST Tue Nov 12 2004

ソフトウェアとコンフィギュレーションの履歴

機能名

プラットフォーム リリース

機能情報

セキュア コピー クライアント

9.1(5)/9.2(1)

SCP サーバとの間でファイルを転送するため、ASA は Secure Copy(SCP)クライアントをサポートするようになりました。

ssh pubkey-chainserver (ssh pubkey-chain)key-stringkey-hashssh stricthostkeycheck の各コマンドが導入されました。

copy scp コマンドが変更されました。

設定可能な SSH 暗号機能と整合性アルゴリズム

9.1(7)/9.4(3)/9.5(3)/9.6(1)

ユーザは SSH 暗号化を管理するときに暗号化モードを選択し、さまざまなキー交換アルゴリズムに対して HMAC と暗号化を設定できます。アプリケーションに応じて、暗号の強度を強くしたり弱くする必要がある場合があります。セキュアなコピーのパフォーマンスは暗号化アルゴリズムに一部依存します。デフォルトで、ASA は 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr の順にアルゴリズムをネゴシエートします。提示された最初のアルゴリズム(3des-cbc)が選択された場合、aes128-cbc などの一層効率的なアルゴリズムが選択された場合よりも大幅にパフォーマンスが低下します。たとえば、提示された暗号方式に変更するには、ssh cipher encryption custom aes128-cbc を使用します。

次のコマンドが導入されました。ssh cipher encryptionssh cipher integrity

デフォルトでイネーブルになっている Auto Update サーバ証明書の検証

9.2(1)

Auto Update サーバ証明書の検証がデフォルトでイネーブルになりました。新しいコンフィギュレーションでは証明書の検証を明示的にディセーブルにする必要があります。証明書の確認をイネーブルにしていなかった場合に、以前のリリースからアップグレードしようとすると、証明書の確認はイネーブルではなく、次の警告が表示されます。 


WARNING: The certificate provided by the
auto-update servers will not be verified. 
In order to verify this certificate please 
use the verify-certificate option.

設定を移行する場合は、次のように確認なしを明示的に設定します。

auto-update server no-verification

auto-update server {verify-certificate | no-verification} コマンドが変更されました。

CLI を使用したシステムのバックアップと復元

9.3(2)

CLI を使用してイメージや証明書を含む完全なシステム コンフィギュレーションをバックアップおよび復元できるようになりました。

backup および restore の各コマンドが導入されました。

新しい ASA 5506W-X イメージの回復およびロード

9.4(1)

新しい ASA 5506W-X イメージのリカバリおよびロードがサポートされています。

hw-module module wlan recover image コマンドが導入されました。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ