アップグレード前の重要なガイドライン
各オペレーティング システムのアップグレード ガイドライン、制約事項、および設定移行をチェックします。
ASA のアップグレード ガイドライン
アップグレードを行う前に、移行およびその他のガイドラインを確認してください。
バージョン固有のガイドラインおよび移行
現在お使いのバージョンにより、1 つまたは複数の設定の移行が必要になる場合があります。またアップグレード時に、最初のバージョンから最後のバージョンまですべてのバージョンの設定ガイドラインを考慮する必要があります。
9.20 のガイドライン
-
プレフィックスリストと一致するルートマップを指定する OSPF redistribute コマンドは、9.20(2) で削除されます。9.20(2) にアップグレードすると、指定されたルートマップが match ip address prefix-list を使用する OSPF redistribute コマンドが設定から削除されます。プレフィックスリストはサポートされていませんが、パーサーでは引き続きこのコマンド使用できます。アップグレードする前に、match ip address コマンドで ACL を指定するルートマップを使用するように OSPF を再設定する必要があります。
9.19 のガイドライン
-
ASDM 7.19(1) には Oracle Java バージョン 8u261 以降が必要です。ASDM 7.19 にアップグレードする前に、Oracle Java(使用している場合)をバージョン 8u261 以降に更新してください。このバージョンでは、ASDM Launcher のアップグレードに必要な TLSv1.3 がサポートされています。OpenJRE は影響を受けません。
9.18 のガイドライン
-
9.18(2)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート:ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。(CSCwb05291、CSCwb05264)
-
同じポートを使用した同じインターフェイスで HTTPS/ASDM(HTTPS 認証を使用)および SSL を有効にした場合の 9.18(1) アップグレードの問題:同じインターフェイス上で SSL([webvpn] > [インターフェイスの有効化(enable interface)])と HTTPS/ASDM(http )アクセスの両方を有効にした場合、https://ip_address から AnyConnect にアクセスでき、https://ip_address/admin から ASDM にアクセスできます。どちらもポート 443 を使用します。ただし、HTTPS 認証(aaa authentication http console)も有効にする場合は、9.18(1) 以降、ASDM アクセス用に別のポートを指定する必要があります。http コマンドを使用してアップグレードする前に、ポートを変更してください。(CSCvz92016)
-
ASDM アップグレードウィザード:ASD API 移行のため、ASA 9.18 以降にアップグレードするには ASDM 7.18 以降を使用する必要があります。ASDM は以前の ASA バージョンと下位互換性があるため、どの ASA バージョンでも ASDM を 7.18 以降にアップグレードできます。
9.17 のガイドライン
-
9.17(1.13)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート:ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。(CSCwb05291、CSCwb05264)
-
9.17(1) 以降でのクライアントレス SSL VPN はサポートされていません。クライアントレス SSL VPN はサポートされなくなりました。
-
webvpn:次のサブコマンドが削除されています。
-
apcf
-
java-trustpoint
-
onscreen-keyboard
-
port-forward
-
portal-access-rule
-
rewrite
-
smart-tunnel
-
-
group-policy webvpn:次のサブコマンドが削除されています。
-
port-forward
-
smart-tunnel
-
ssl-clientless
-
-
-
ASDM アップグレードウィザード:2022 年 3 月以降の内部変更により、アップグレードウィザードは ASDM 7.17(1.152) より前のバージョンでは機能しなくなります。ウィザードを使用するには、手動で 7.17(1.152) にアップグレードする必要があります。
9.16 のガイドライン
-
9.16(3.19)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート:ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。(CSCwb05291、CSCwb05264)
-
MD5 ハッシュと DES 暗号化を使用する SNMPv3 ユーザーはサポートされなくなり、9.16(1) にアップグレードするとユーザーが削除されます。アップグレードする前に、snmp-server user コマンドを使用してユーザー設定をより高いセキュリティアルゴリズムに変更してください。
-
9.16(1) では SSH ホストキーアクションが必要:RSA に加えて、EDDSA および ECDSA ホストキーのサポートが追加されました。ASA は、存在する場合、EDDSA、ECDSA、RSA の順にキーの使用を試みます。9.16(1) にアップグレードすると、ASA は既存の RSA キーを使用するようにフォールバックします。ただし、できるだけ早くcrypto key generate {eddsa | ecdsa} コマンドを使用してセキュリティレベルの高いセキュリティキーを生成することを推奨します。また、ssh key-exchange hostkey rsa コマンドで RSA キーを使用するように ASA を明示的に設定する場合は、2048 ビット以上のキーを生成する必要があります。アップグレードの互換性のために、ASA はデフォルトのホストキー設定が使用されている場合にのみ、より小さい RSA ホストキーを使用します。RSA のサポートは今後のリリースで削除されます。
-
9.16 以降では、RSA キーを使用した証明書は ECDSA 暗号と互換性がない:ECDHE_ECDSA 暗号グループを使用する場合は、ECDSA 対応キーを含む証明書を使用してトラストポイントを設定します。
-
ssh version コマンドは 9.16(1) で削除されました:このコマンドは削除されました。SSH バージョン 2 のみサポートされます。
-
SAMLv1 機能は 9.16(1) で削除されました:SAMLv1 のサポートは削除されました。
-
9.16(1) では DH グループ 2、5、24 はサポートされません:SSL DH グループ設定の DH グループ 2、5、および 24 のサポートは削除されました。ssl dh-groupコマンドが更新され、コマンドオプション group2、group5およびgroup24が削除されました。
9.15 のガイドライン
-
ASA 9.15(1) 以降では、ASA 5525-X、ASA 5545-X、および ASA 5555-X はサポート対象外:ASA 9.14(x) がサポートされている最後のバージョンです。ASA FirePOWER モジュールについては、6.6 がサポートされている最後のバージョンです。
-
シスコは、ASA バージョン 9.17(1) で有効なクライアントレス SSL VPN の非推奨機能を発表:9.17(1) より前のリリースでは、限定的なサポートが継続されます。
-
Firepower 1010 の場合の無効な VLAN ID による問題発生の可能性:9.15(1) にアップグレードする前に、3968 〜 4047 の範囲内のスイッチポートに VLAN を使用していないことを確認してください。これらの ID は内部使用専用であり、9.15(1) には、これらの ID を使用していないことを確認するチェックが含まれます。たとえば、フェールオーバーペアのアップグレード後にこれらの ID が使用されていた場合、フェールオーバーペアは一時停止状態になります。詳細については、「CSCvw33057」を参照してください。
-
SAMLv1 機能の廃止:SAMLv1 のサポートは廃止されました。
-
ASA 9.15(1) での低セキュリティ暗号の削除:IKE および IPsecで使用される安全性の低い次の暗号のサポートが廃止されました。
-
Diffie-Hellman グループ:2 および 24
-
暗号化アルゴリズム:DES、3DES、AES-GMAC、AES-GMAC-192、AES-GMAC-256、NULL、ESP-3DES、ESP-DES、ESP-MD5-HMAC
-
ハッシュアルゴリズム:MD5
(注)
安全性の低い SSH 暗号と SSL 暗号はまだ廃止されていません。
ASA の以前のバージョンからバージョン 9.15(1) にアップグレードする前に、9.15(1) でサポートされている暗号を使用するように VPN 設定を更新する必要があります。そのようにしないと、古い設定が拒否されます。設定が拒否されると、コマンドに応じて次のいずれかのアクションが実行されます。
-
コマンドはデフォルトの暗号を使用する。
-
コマンドが削除される。
アップグレード前の設定の修正は、クラスタリングまたはフェールオーバーの展開で特に重要です。たとえば、セカンダリユニットが 9.15(1) にアップグレードされ、削除された暗号がプライマリからこのユニットに同期された場合、セカンダリユニットは設定を拒否します。この拒否により、クラスタへの参加の失敗などの予期しない動作が発生する可能性があります。
IKEv1:次のサブコマンドが削除されています。
-
crypto ikev1 policy priority:
-
hash md5
-
encryption 3des
-
encryption des
-
group 2
-
IKEv2:次のサブコマンドが削除されています。
-
crypto ikev2 policy priority:
-
prf md5
-
integrity md5
-
group 2
-
group 24
-
encryption 3des
-
encryption des
-
encryption null
-
IPsec:次のサブコマンドが削除されています。
-
crypto ipsec ikev1 transform-set name esp-3des esp-des esp-md5-hmac
-
crypto ipsec ikev2 ipsec-proposal name
-
protocol esp integrity md5
-
protocol esp encryption 3des aes-gmac aes-gmac- 192 aes-gmac -256 des
-
-
crypto ipsec profile name
-
set pfs group2 group24
-
Crypto Map:次のサブコマンドが削除されています。
-
crypto map name sequence set pfs group2
-
crypto map name sequence set pfs group24
-
crypto map name sequence set ikev1 phase1-mode aggressive group2
-
-
CRL 配布ポイント設定の再導入:9.13(1) で削除された静的 CDP URL 設定オプションが match-certificate コマンドに再導入されました。
-
バイパス証明書の有効性チェックオプションの復元:CRL または OCSP サーバーとの接続の問題による失効チェックをバイパスするオプションが復元されました。
次のサブコマンドが復元されました。
-
revocation-check crl none
-
revocation-check ocsp none
-
revocation-check crl ocsp none
-
revocation-check ocsp crl none
-
9.14 のガイドライン
-
9.14(4.14)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート:ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。(CSCwb05291、CSCwb05264)
-
アプライアンスモードの Firepower 1000 および 2100 での ASDM Cisco.com アップグレードウィザードの失敗:ASDM Cisco.com アップグレードウィザードは、9.14 へのアップグレードには使用できません([Tools] > [Check for ASA/ASDM Updates])。ウィザードでは ASDM を 7.13 から 7.14 にアップグレードできますが、ASA イメージのアップグレードはグレー表示されます(CSCvt72183)。回避策として、次のいずれかの方法を使用してください。
-
ASA と ASDM の両方で [Tools] > [Upgrade Software from Local Computer] を使用します。9.14(1) バンドルの ASDM イメージ(7.14(1))にも CSCvt72183 のバグがあることに注意してください。ウィザードを正しく機能させるには、より新しい 7.14(1.46) イメージをダウンロードする必要があります。
-
[Tools] > [Check for ASA/ASDM Updates] を使用して ASDM 7.14 にアップグレードします(バージョンは 7.14(1.46) になる)。次に、新しい ASDM を使用して ASA イメージをアップグレードします。致命的なインストールエラーが表示されることがあることに注意してください。この場合は、[OK] をクリックします。次に、 画面で、ブートイメージを手動で設定する必要があります。設定を保存し、ASA をリロードします。
-
-
9.14(1) 以降のフェールオーバーペアの場合、ASA は SNMP クライアントエンジンデータをピアと共有しません。
-
ASA 9.14(1) 以降では、cnatAddrBindNumberOfEntries および cnatAddrBindSessionCount の OID はサポートされません(CSCvy22526)。
-
プラットフォームモードでの Firepower 2100 のアップグレード:9.14 以降にアップグレードするときに、アップグレード時に EtherChannel(ポートチャネル)が無効になっていた場合は、アップグレード後に EtherChannel とそのメンバーインターフェイスの両方を手動で有効にする必要があります。
-
プラットフォームモードでの 9.13/9.14 から 9.12 以前への Firepower 2100 のダウングレードの問題:プラットフォームモードに変換した 9.13 または 9.14 を新規インストールした Firepower 2100 の場合:9.12 以前にダウングレードすると、FXOS で新しいインターフェイスの設定や、既存インターフェイスの編集ができなくなります(9.12 以前ではプラットフォームモードのみがサポートされています)。バージョンを 9.13 以降に戻すか、または FXOS の erase configuration コマンドを使用して設定をクリアする必要があります。この問題は、元々以前のリリースから 9.13 または 9.14 にアップグレードした場合は発生しません。新しいデバイスや再イメージ化されたデバイスなど、新規インストールのみが影響を受けます。(CSCvr19755)
-
tls-proxy キーワード、および SCCP/Skinny 暗号化インスペクションのサポートは、inspect skinny コマンドから削除されました。
-
ASDM アップグレードウィザード:内部的な変更により、このウィザードでは ASDM 7.10(1) 以降の使用のみがサポートされています。また、イメージの命名が変更されたため、ASA 9.10(1) 以降にアップグレードするには、ASDM 7.12(1) 以降を使用する必要があります。ASDM には ASA の以前のリリースと下位互換性があるため、実行している ASA バージョンを問わず、ASDM をアップグレードすることができます。ASDM 7.13 と 7.14 は、ASA 5512-X、5515-X、5585-X、または ASASM をサポートしていませんでした。そのため、ASDM 7.13(1.101) または 7.14(1.48) にアップグレードして ASDM のサポートを復活させる必要があります。
9.13 のガイドライン
-
9.13(1) 以降では ASAv に 2GB のメモリが必要:9.13(1) 以降の ASAv の最小メモリ要件は 2GB です。現在の ASAv が 2 GB 未満のメモリで動作している場合は、以前のバージョンから 9.13(1) にアップグレードできません。アップグレードする前にメモリサイズを調整する必要があります。バージョン 9.13(1) でサポートされているリソース割り当て(vCPU とメモリ)については、ASAv のスタートアップガイドを参照してください。
-
プラットフォームモードでの 9.13 から 9.12 以前への Firepower 2100 のダウングレードの問題:プラットフォームモードに変換した 9.13 を新規インストールした Firepower 2100 の場合:9.12 以前にダウングレードすると、FXOS で新しいインターフェイスの設定や、既存のインターフェイスの編集ができなくなります(9.12 以前ではプラットフォームモードのみがサポートされていたことに注意してください)。バージョンを 9.13 に戻すか、または FXOS の erase configuration コマンドを使用して設定をクリアする必要があります。この問題は、元々以前のリリースから 9.13 にアップグレードした場合は発生しません。新しいデバイスや再イメージ化されたデバイスなど、新規インストールのみが影響を受けます。(CSCvr19755)
-
9.13(1) でのクラスタ制御リンク MTU の変更:9.13(1) 以降では、多くのクラスタ制御パケットが以前のリリースよりも大きくなっています。クラスタ制御リンクに推奨されている MTU は常に 1600 以上であり、この値が適切です。ただし、MTU を1600に設定しても接続スイッチの MTU と一致しなかった場合は(スイッチの MTU を1500 のままにしたなど)、ドロップされたクラスタ制御パケットとのこの不一致の影響が現れ始めます。クラスタ制御リンク上のすべてのデバイスが同じ MTU(具体的には 1600 以上)に設定されていることを確認します。
-
9.13(1) 以降、ASA は、次の認定条件のいずれかが満たされている場合にのみ、LDAP/SSL 接続を確立します。
-
LDAP サーバー証明書が信頼されていて(トラストポイントまたは ASA トラストプールに存在する)、有効であること。
-
チェーンを発行しているサーバーからの CA 証明書が信頼されていて(トラストポイントまたは ASA トラストプールに存在する)、チェーン内のすべての下位 CA 証明書が完全かつ有効であること。
-
-
ローカル CA サーバーは 9.13(1) で削除される:ASA がローカル CA サーバーとして設定されている場合、デジタル証明書の発行、証明書失効リスト(CRL)の発行、および発行された証明書の安全な取り消しが可能です。この機能は古くなったため、crypto ca server コマンドは削除されています。
-
CRL 配布ポイントコマンドの削除:スタティック CDP URL 設定コマンド、つまり crypto-ca-trustpoint crl と crl url は関連する他のロジックとともに削除されました。CDP URL が match certificate コマンドに移動されました。
(注)
CDP URL 設定が拡張され、単一のマップに対して CDP オーバーライドの複数のインスタンスを許可するようになりました(CSCvu05216 を参照)。
-
バイパス証明書の有効性チェックオプションの削除:CRL または OCSP サーバーとの接続の問題による失効チェックをバイパスするオプションが削除されました。
次のサブコマンドが削除されています。
-
revocation-check crl none
-
revocation-check ocsp none
-
revocation-check crl ocsp none
-
revocation-check ocsp crl none
したがって、アップグレード後は、trailing none を無視することで、サポートされなくなった revocation-check コマンドは新しい動作に移行します。
(注)
これらのコマンドは後で復元されました(CSCtb41710 を参照)。
-
-
低セキュリティの暗号の廃止:ASA IKE、IPsec、および SSH モジュールで使用されるいくつかの暗号化方式は、安全ではないと見なされ、廃止されています。これらは、以降のリリースで削除されます。
IKEv1:次のサブコマンドは廃止されています。
-
crypto ikev1 policy priority:
-
hash md5
-
encryption 3des
-
encryption des
-
group 2
-
group 5
-
IKEv2:次のサブコマンドは廃止されています。
-
crypto ikev2 policy priority
-
integrity md5
-
prf md5
-
group 2
-
group 5
-
group 24
-
encryption 3des
-
encryption des (このコマンドは、DES 暗号化ライセンスのみがある場合でも使用できます)
-
encryption null
-
IPsec:次のコマンドは廃止されています。
-
crypto ipsec ikev1 transform-set name esp-3des esp-des esp-md5-hmac
-
crypto ipsec ikev2 ipsec-proposal name
-
protocol esp integrity md5
-
protocol esp encryption 3des aes-gmac aes-gmac- 192 aes-gmac -256 des
-
-
crypto ipsec profile name
-
set pfs group2 group5 group24
-
SSH:次のコマンドは廃止されました。
-
ssh cipher integrity custom hmac-sha1-96:hmac-md5: hmac-md5-96
-
ssh key-exchange group dh-group1-sha1
SSL:次のコマンドは廃止されました。
-
ssl dh-group group2
-
ssl dh-group group5
-
ssl dh-group group24
暗号マップ:次のコマンドは廃止されました。
-
crypto map name sequence set pfs group2
-
crypto map name sequence set pfs group5
-
crypto map name sequence set pfs group24
-
crypto map name sequence set ikev1 phase1-mode aggressive group2
-
crypto map name sequence set ikev1 phase1-mode aggressive group5
-
-
crypto map set pfs 、crypto ipsec profile 、crypto dynamic-map set pfs 、および crypto map set ikev1 phase1-mode を使用する IPsec PFS の crypto ikev1 policy 、ssl dh-group 、および crypto ikev2 policy の group コマンドのデフォルトは、9.13(1) では、Diffie-Hellman Group 14 になりました。以前のデフォルトの Diffie-Hellman グループは Group 2 でした。
9.13 (1) 以前のリリースからアップグレードし、古いデフォルト(Diffie-Hellman Group 2) を使用する必要がある場合は、DH グループを group 2 として手動で設定する必要があります。そうでない場合、トンネルはデフォルトで Group 14 に設定されます。group 2 は今後のリリースで削除されるため、できるだけ早く group 14 にトンネルを移動する必要があります。
9.12 のガイドライン
-
9.12(4.50)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート:ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。(CSCwb05291、CSCwb05264)
-
ASDM アップグレード ウィザード:内部的な変更により、このウィザードでは ASDM 7.10(1) 以降の使用のみがサポートされています。また、イメージの命名が変更されたため、ASA 9.10(1) 以降にアップグレードするには、ASDM 7.12(1) 以降を使用する必要があります。ASDM には ASA の以前のリリースと下位互換性があるため、実行している ASA バージョンを問わず、ASDM をアップグレードすることができます。
-
9.12(1) での SSH セキュリティの改善と新しいデフォルト設定:次の SSH セキュリティの改善点を参照してください。
-
SSH バージョン 1 はサポートされなくなりました。バージョン 2 のみがサポートされています。ssh version 1 コマンドは ssh version 2 に移行されます。
-
Diffie-Hellman Group 14 SHA256 キー交換のサポート。この設定がデフォルト(ssh key-exchange group dh-group14-sha256 )になりました。以前のデフォルトは Group 1 SHA1 でした。SSH クライアントが Diffie-Hellman Group 14 SHA256 をサポートしていることを確認してください。サポートしていない場合は、「Couldn't agree on a key exchange algorithm」などのエラーが表示されることがあります。たとえば、OpenSSH では Diffie-Hellman Group 14 SHA256 がサポートされています。
-
HMAC-SHA256 整合性暗号のサポート。デフォルトは、高セキュリティの暗号セット(ssh cipher integrity high コマンドによって定義された hmac-sha1 および hmac-sha2-256)になりました。以前のデフォルトは中程度のセットでした。
-
-
NULL-SHA TLSv1 暗号は廃止され、9.12(1) では削除されている:NULL-SHA は暗号化を提供せず、現在の脅威に対して安全とは見なされなくなったため、tls-proxy mode コマンド/オプションおよび show ssl ciphers all の出力に TLSv1 でサポートされている暗号を一覧表示すると削除されます。ssl cipher tlsv1 all コマンドと ssl cipher tlsv1 custom NULL-SHA コマンドも廃止され、削除されます。
-
9.12(1) ではデフォルトの trustpool が削除されている:PSB 要件、SEC-AUT-DEFROOT に準拠するため、「デフォルト」の信頼できる CA バンドルが ASA イメージから削除されています。その結果、 crypto ca trustpool import default コマンドと crypto ca trustpool import clean default コマンドも、その他の関連ロジックとともに削除されています。ただし、既存の展開では、これらのコマンドを使用して以前にインポートされた証明書はそのまま残ります。
-
ssl encryption コマンドは 9.12(1) で削除されている:9.3(2) では、廃止が公表され、ssl cipher に置き換えられます。9.12(1) では、ssl encryption が削除され、サポートされなくなりました。
9.10 のガイドライン
-
内部的な変更により、ASDM アップグレードウィザードでは ASDM 7.10(1) 以降の使用のみがサポートされています。また、イメージの命名が変更されたため、ASA 9.10(1) 以降にアップグレードするには、ASDM 7.12(1) 以降を使用する必要がありますASDM には ASA の以前のリリースと下位互換性があるため、実行している ASA バージョンを問わず、ASDM をアップグレードすることができます。
9.9 のガイドライン
-
9.9(2) 以降での大規模な構成による ASA 5506-X のメモリの問題:9.9(2) 以降にアップグレードする場合、大規模な構成の一部がメモリ不足のため拒否され、「エラーが発生しました:ルールをインストールするためのメモリが不足しています(ERROR: Insufficient memory to install the rules)」のメッセージが表示される場合があります。これを回避する方法の 1 つに、object-group-search access-control コマンドを入力して、ACL のメモリ使用量を改善する方法があります。ただし、パフォーマンスに影響する可能性があります。また、9.9(1) にダウン グレードする方法もあります。
9.8 ガイドライン
-
9.8(4.45)/7.18(1.152) 以降で ASDM 署名付きイメージをサポート:ASA は、ASDM イメージがシスコのデジタル署名付きイメージであるかどうかを検証するようになりました。この修正を適用した ASA バージョンで古い ASDM イメージを実行しようとすると、ASDM がブロックされ、「%ERROR: Signature not valid for file disk0:/<filename>」というメッセージが ASA CLI に表示されます。ASDM リリース 7.18(1.152) 以降は、この修正が適用されていないものも含め、すべての ASA バージョンと下位互換性があります。(CSCwb05291、CSCwb05264)
-
9.8(2) 以降にアップグレードする前に、FIPS モードではフェールオーバーキーを 14 文字以上にする必要があります。FIPS モードで 9.8(2) 以降にアップグレードする前に、failover key または failover ipsec pre-shared-key を 14 文字以上に変更する必要があります。フェールオーバーキーが短すぎる場合、最初のユニットをアップグレードしたときにフェールオーバーキーが拒否され、フェールオーバーキーを有効な値に設定するまで、両方のユニットがアクティブになります。
-
Amazon Web サービスの ASAv については 9.8(1) にアップグレードしないようにしてください。CSCve56153 のため、9.8(1) にアップグレードするべきではありません。アップグレード後に、ASAv はアクセス不能になります。代わりに 9.8(1.5) 以降にアップグレードしてください。
9.7 ガイドライン
-
VTI および VXLAN VNI 用の 9.7(1) ~ 9.7(1.X) およびそれ以降のアップグレードに関する問題:Virtual Tunnel Interfaces(VTI)と VXLAN Virtual Network Identifier(VNI)の両方のインターフェイスを設定すると、フェールオーバー用のゼロ ダウンタイム アップグレードは実行できません。両方のユニットが同じバージョンになるまでは、これらのインターフェイス タイプの接続はスタンバイ ユニットに複製されません。(CSCvc83062)
9.6 ガイドライン
-
(ASA 9.6(2) ~ 9.7(x))SSH 公開キー認証使用時のアップグレードの影響:SSH 認証が更新されることにより、SSH 公開キー認証を有効にするための新たな設定が必要となります。そのため、公開キー認証を使用した既存の SSH 設定はアップグレード後機能しません。公開キー認証は、Amazon Web サービス(AWS)の ASAv のデフォルトであるため、AWS のユーザーはこの問題を確認する必要があります。SSH 接続を失う問題を避けるには、アップグレードの前に設定を更新します。または(ASDM アクセスが有効になっている場合)アップグレード後に ASDM を使用して設定を修正できます。
(注)
元の行動が 9.8(1) で復元されました。
ユーザー名が「admin」の場合の設定例を示します。
username admin nopassword privilege 15 username admin attributes ssh authentication publickey 55:06:47:eb:13:75:fc:5c:a8:c1:2c:bb: 07:80:3a:fc:d9:08:a9:1f:34:76:31:ed:ab:bd:3a:9e:03:14:1e:1b hashed
ssh authentication コマンドを使用するには、アップグレードの前に次のコマンドを入力します。
aaa authentication ssh console LOCAL username admin password <password> privilege 15
nopassword キーワードが存在している場合、これを維持するのではなく、代わりにユーザー名に対応したパスワードを設定することを推奨します。nopassword キーワードは、パスワードの入力不可を意味するのではなく、任意のパスワードを入力できます。9.6(2) より前のバージョンでは、aaa コマンドは SSH 公開キー認証に必須ではありませんでした。このため、nopassword キーワードはトリガーされませんでした。本バージョンより aaa コマンドは必須となり、password (または nopassword )キーワードが存在する場合、自動的に username の通常のパスワード認証を許可するようになりました。
アップグレード後は、username コマンドに対する password または nopassword キーワードの指定は任意となり、ユーザーがパスワードを入力できないように指定できます。よって、公開キー認証のみを強制的に使用する場合は、username コマンドを入力しなおします。
username admin privilege 15
-
Firepower 9300 で ASA をアップグレードする場合のアップグレードの影響:バックエンドにおけるライセンス権限付与名義の変更により、ASA 9.6(1)/FXOS 1.1(4) にアップグレードした場合、最初のリロードの際にスタートアップ コンフィギュレーションが正しく解析されず、アドオンの権利付与に対応する設定が拒否されることがあります。
スタンドアロン ASA では、新バージョンでのリロード後、権限付与が処理され、「承認済み」状態になるのを待ち([show license all] または [Monitoring] > [Properties] > [Smart License])、そのまま設定を保存しないで、もう一度リロード([reload] または [Tools] > [System Reload])してください。リロードすると、スタートアップ コンフィギュレーションが正しく解析されます。
フェールオーバー ペアにアドオンの権限付与がある場合は、FXOS リリースノートのアップグレード手順に従い、さらに各装置のリロード後にフェールオーバーをリセットしてください(failover reset または [Monitoring] > [Properties] > [Failover] > [Status]、[Monitoring] > [Failover] > [System] または [Monitoring] > [Failover] > [Failover Group] を選択後、Reset Failover をクリック)。
クラスタに関しては、FXOS のリリース ノートのアップグレード手順に従います。以降、さらなる操作は不要です。
9.5 のガイドラインおよび移行
-
9.5(2) 新しいキャリア ライセンス:新しいキャリア ライセンスは既存の GTP/GPRS ライセンスを置き換え、SCTP と Diameter インスペクションもサポートします。Firepower 9300 ASA セキュリティ モジュールの場合、feature mobile-sp コマンドは feature carrier コマンドに自動的に移行します。
-
廃止された 9.5(2) 電子メール プロキシ コマンド:ASA バージョン 9.5(2) では、電子メール プロキシ コマンド(imap4s 、pop3s 、smtps )およびサブコマンドはサポートされなくなりました。
-
廃止または移行された 9.5(2) CSD コマンド:ASA バージョン 9.5(2) では、CSD コマンド(csd image 、show webvpn csd image 、show webvpn csd 、show webvpn csd hostscan 、show webvpn csd hostscan image )はサポートされなくなりました。
次の CSD コマンドは移行されます:csd enable は hostscan enable に移行、csd hostscan image は hostscan image に移行。
-
廃止された 9.5(2) Select AAA コマンド:ASA バージョン 9.5(2) では、次の AAA コマンドおよびサブコマンド(override-account-disable 、authentication crack )はサポートされなくなりました。
-
9.5(1) 次のコマンドが廃止されました。 timeout gsn
-
ASA 5508-X および 5516-X を 9.5(x)以降へアップグレードする場合における問題:ASA バージョン 9.5(x)以降へアップグレードする前に、ジャンボフレーム予約を一度も有効にしたことがない場合は、最大のメモリフットプリントをチェックする必要があります。製造上の不具合により、ソフトウェアのメモリ制限が誤って適用されていることがあります。以下の修正を適用せずに 9.5(x)以降にアップグレードした場合、デバイスはブートアップ時にクラッシュします。この場合、ROMMON (「Load an Image for the ASA 5500-X Series Using ROMMON」) を使用して 9.4 にダウングレードし、次の手順を実行して再度アップグレードする必要があります。
-
次のコマンドを入力して障害のステータスをチェックします。
ciscoasa# show memory detail | include Max memory footprint Max memory footprint = 456384512 Max memory footprint = 0 Max memory footprint = 456384512
456,384,512 より少ない値が [Max memory footprint] に戻される場合は障害が発生しているため、アップグレード前に次の手順を実施する必要があります。表示されるメモリが 456,384,512 以上であれば、この手順の残りをスキップして通常通りにアップグレードできます。
-
グローバル コンフィギュレーション モードを開始します。
ciscoasa# configure terminal ciscoasa(config)#
-
一時的にジャンボフレーム予約を有効にします。
ciscoasa(config)# jumbo-frame reservation WARNING: This command will take effect after the running-config is saved and the system has been rebooted. Command accepted. INFO: Interface MTU should be increased to avoid fragmenting jumbo frames during transmit
(注)
ASA はリロードしません。
-
設定を保存します。
ciscoasa(config)# write memory Building configuration... Cryptochecksum: b511ec95 6c90cadb aaf6b306 41579572 14437 bytes copied in 1.320 secs (14437 bytes/sec) [OK]
-
ジャンボフレーム予約を無効にします。
ciscoasa(config)# no jumbo-frame reservation WARNING: This command will take effect after the running-config is saved and the system has been rebooted. Command accepted.
(注)
ASA はリロードしません。
-
コンフィギュレーション ファイルを再保存します。
ciscoasa(config)# write memory Building configuration... Cryptochecksum: b511ec95 6c90cadb aaf6b306 41579572 14437 bytes copied in 1.320 secs (14437 bytes/sec) [OK]
-
これで、バージョン 9.5(x)以降へアップグレードできます。
-
9.4 のガイドラインおよび移行
-
9.4(1) ユニファイド コミュニケーション電話プロキシと Intercompany Media Engine プロキシは非推奨:ASA バージョン 9.4 では、電話プロキシと IME プロキシはサポートされません。
9.3 のガイドラインおよび移行
-
9.3(2) Transport Layer Security(TLS)バージョン 1.2 のサポート:ASDM、クライアントレス SSVPN、および AnyConnect VPN のセキュアなメッセージ送信を実現するため、TLS バージョン 1.2 をサポートします。次のコマンドが導入または変更されました。ssl client-version、ssl server-version、ssl cipher、ssl trust-point、ssl dh-group。次のコマンドが非推奨になりました。ssl encryption
-
9.3(1) AAA Windows NT ドメイン認証の廃止:リモート アクセス VPN ユーザの NTLM サポートを廃止しました。次のコマンドが非推奨になりました。aaa-server protocol nt
9.2 のガイドラインおよび移行
Auto Update Server 証明書の確認
9.2(1) デフォルトでイネーブルになる Auto Update Server 証明書の確認。Auto Update Server 証明書の確認がデフォルトでイネーブルになりました。新しい設定では、証明書の確認を明示的にディセーブルにする必要があります。証明書の確認をイネーブルにしていなかった場合に、以前のリリースからアップグレードしようとすると、証明書の確認はイネーブルではなく、次の警告が表示されます。
WARNING: The certificate provided by the auto-update servers will not be verified. In order to verify this certificate please
use the verify-certificate option.
設定を移行する場合は、次のように確認なしを明示的に設定します。
auto-update server no-verification
ASDM ログインへのアップグレードの影響
リリース 9.2(2.4) より前のバージョンから 9.2(2.4) 以降にアップグレードした場合の ASDM ログインへのアップグレードの影響。リリース 9.2(2.4) より前のバージョンから ASA バージョン 9.2(2.4) 以降にアップグレードし、コマンド認可と ASDM 定義のユーザー ロールを使用している場合、読み取り専用アクセス権限をもつユーザーは ASDM にログインできなくなります。アップグレードの前または後に、more コマンドを特権レベル 5 に変更する必要があります。この変更は管理者ユーザのみができます。ASDM バージョン 7.3(2) 以降には定義済みユーザー ロールにレベル 5 の more コマンドが含まれますが、既存の設定を手作業で修正する必要があります。
ASDM:
-
[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] の順に選択し、[Configure Command Privileges] をクリックします。
-
[more] を選択し、[Edit] をクリックします。
-
[Privilege Level] を 5 に変更し、[OK] をクリックします。
-
[OK]、続いて [Apply] をクリックします。
CLI:
ciscoasa(config)# privilege cmd level 5 mode exec command more
9.1 のガイドラインおよび移行
-
現在の最大 MTU は 9198 バイト:MTU が 9198 を超える値に設定されている場合は、アップグレード時に MTU が自動的に削減されます。場合によっては、この MTU の変更により MTU の不一致が発生する可能性があります。接続している機器が新しい MTU 値を使用するように設定されていることを確認してください。ASA で使用できる最大の MTU は 9198 バイトです(CLI のヘルプでご使用のモデルの正確な最大値を確認してください)。この値にはレイヤ 2 ヘッダーは含まれません。以前は、ASA で 65535 バイトの最大 MTU を指定できましたが、これは不正確であり、問題が発生する可能性がありました。
9.0 のガイドラインおよび移行
-
IPv6 ACL の移行:IPv6 ACL(ipv6 access-list )は、拡張 ACL に移行されます(access-list extended )。IPv6 ACL はサポートされなくなりました。
IPv4 ACL と IPv6 ACL がインターフェイス(access-group コマンド)の同じ方向に適用される場合、ACL がマージされます。
-
IPv4 ACL と IPv6 ACL のいずれも access-group 以外で使用されていない場合、IPv4 ACL の名前がマージ後の ACL に使用されます。IPv6 access-list は削除されます。
-
少なくとも 1 つの ACL が別の機能で使用されている場合、新しい ACL は IPv4-ACL-name_IPv6-ACL-name の名前で作成されます。使用中の ACL は、その他の機能に引き続き使用されます。使用されていない ACL は削除されます。IPv6 ACL が別の機能に使用されている場合は、同じ名前の拡張 ACL に移行されます。
-
-
ACL Any Keyword の移行:ACL では IPv4 と IPv6 の両方がサポートされるようになり、any キーワードが「すべての IPv4 トラフィックと IPv6 トラフィック」を表すようになりました。any キーワードを使用するすべての既存の ACL は、「すべての IPv4 トラフィック」を表す any4 キーワードを使用するように変更されます。
また、「すべての IPv6 トラフィック」を表す別個のキーワード、any6 が導入されました。
any4 および any6 キーワードは、any キーワードを使用するすべてのコマンドで使用できるわけではありません。たとえば、NAT 機能では any キーワードのみを使用します。any は、特定の NAT コマンド内のコンテキストに応じて、IPv4 トラフィックまたは IPv6 トラフィックを表します。
-
スタティック NAT とポート変換のアップグレード前の要件:バージョン 9.0 以降、スタティック NAT とポート変換のルールによって宛先 IP アドレスへのアクセスが制限されるのは、指定されたポートのみです。NAT ルール対象外の別のポートで宛先 IP アドレスにアクセスしようとすると、接続がブロックされます。この動作は Twice NAT の場合も同じです。さらに、Twice NAT ルールの送信元 IP アドレスと一致しないトラフィックが宛先 IP アドレスと一致する場合、宛先ポートに関係なくドロップされます。したがって、宛先 IP アドレスに対して許可される他のすべてのトラフィックのルールをアップグレード前に追加する必要があります。
たとえば、内部サーバーへの HTTP トラフィックをポート 80 とポート 8080 間で変換する次のオブジェクト NAT ルールがあるとします。
object network my-http-server host 10.10.10.1 nat (inside,outside) static 192.168.1.1 80 8080
このサーバーに FTP などの他のサービスからアクセスする必要がある場合、明示的に許可する必要があります。
object network my-ftp-server host 10.10.10.1 nat (inside,outside) static 192.168.1.1 ftp ftp
また、サーバーの他の複数のポートでトラフィックを許可するために、他のすべてのポートと一致する一般的なスタティック NAT ルールを追加することができます。
object network my-server-1 host 10.10.10.1 nat (inside,outside) static 192.168.1.1
Twice NAT の場合は、192.168.1.0/24 から内部サーバーへの HTTP トラフィックを許可し、ポート 80 とポート 8080 間で変換する次のルールがあるとします。
object network my-real-server host 10.10.10.1 object network my-mapped-server host 192.168.1.1 object network outside-real-hosts subnet 192.168.1.0 255.255.255.0 object network outside-mapped-hosts subnet 10.10.11.0 255.255.255.0 object service http-real service tcp destination eq 80 object service http-mapped service tcp destination eq 8080 object service ftp-real service tcp destination eq 21 nat (outside,inside) source static outside-real-hosts outside-mapped-hosts destination static my-mapped-server my-real-server service http-mapped http-real
外部のホストから内部サーバーの別のサービス(FTP など)にアクセスする必要がある場合は、そのサービスに対して別の NAT ルールを追加します。
nat (outside,inside) source static outside-real-hosts outside-mapped-hosts destination static my-mapped-server my-real-server ftp-real ftp-real
他の発信元アドレスから内部サーバーの任意のポートへアクセスする必要がある場合は、その特定の IP アドレスまたは任意の送信元 IP アドレスに対する別の NAT ルールを追加できます。一般的なルールは、特定のルールの後に並べてください。
nat (outside,inside) source static any any destination static my-mapped-server my-real-server
8.4 のガイドラインおよび移行
-
トランスペアレント モードの設定の移行:8.4 では、すべてのトランスペアレント モードのインターフェイスがブリッジ グループに属します。8.4 にアップグレードすると、既存の 2 つのインターフェイスがブリッジ グループ 1 に配置され、管理 IP アドレスがブリッジ グループ仮想インターフェイス(BVI)に割り当てられます。機能は、1 つのブリッジ グループを使用する場合と同じです。ブリッジ グループ機能を活用して、ブリッジ グループごとに最大 4 つのインターフェイスを設定できます。またシングル モードで、またはコンテキストごとに最大 8 つのブリッジ グループを作成できます。
(注)
8.3 およびそれ以前のバージョンでは、サポートされていない設定として、IP アドレスを使用せずに管理インターフェイスを設定できるほか、デバイス管理アドレスを使用してインターフェイスにアクセスできます。8.4 では、デバイス管理アドレスは BVI に割り当てられるため、その IP アドレスを使用して管理インターフェイスにアクセスできなくなります。管理インターフェイスには独自の IP アドレスが必要です。
-
8.3(1)、8.3(2)、8.4(1) から 8.4(2) にアップグレードする場合、既存の機能を保持するため、すべてのアイデンティティ NAT コンフィギュレーションに no-proxy-arp キーワードと route-lookup キーワードが含まれるようになりました。unidirectional キーワードが削除されました。
8.3 のガイドラインおよび移行
次のマニュアルでは、Cisco ASA 5500 オペレーティング システム(OS)を 8.3 より前のバージョンからバージョン 8.3 にアップグレードする場合の設定の移行プロセスについて説明します。
クラスタリングのガイドライン
次の例外を除いて、ASA クラスタリングのゼロ ダウンタイム アップグレードに関する特別な要件はありません。
(注) |
ゼロ ダウンタイム ダウングレードは、正式にはクラスタリングでサポートされていません。 |
-
Firepower 4100/9300 フェールオーバーとフローオフロードのクラスタリング ヒットレス アップグレードの要件:フローオフロード機能でのバグ修正により、FXOS と ASA のいくつかの組み合わせはフローオフロードをサポートしていません(互換性テーブルを参照)。フローオフロードは、ASA のデフォルトでは無効になっています。フローオフロードの使用時にフェールオーバーまたはクラスタリング ヒットレス アップグレードを実行するには、次のアップグレードパスに従って、FXOS 2.3.1.130 以降にアップグレードする際に常に互換性のある組み合わせを実行していることを確認する必要があります。
-
ASA を 9.8(3) 以降にアップグレードします。
-
FXOS を 2.3.1.130 以降にアップグレードします。
-
ASA を最終バージョンにアップグレードします。
たとえば、FXOS 2.2.2.26/ASA 9.8(1) を実行していて、FXOS 2.6.1/ASA 9.12(1) にアップグレードする場合は、次を実行できます。
-
ASA を 9.8(4) にアップグレードします。
-
FXOS を 2.6.1 アップグレードします。
-
ASA を 9.12(1) にアップグレードします。
-
-
Firepower 4100/9300 クラスタを FXOS 2.3/ASA 9.9(2) にアップグレード:制御ユニットが FXOS 2.3/9.9(2) 以降で動作している場合、9.8 以前の ASA 上のデータユニットはクラスタに再参加できません。それらのデータユニットは、ASA バージョンを 9.9(2)+ にアップグレードした後に参加できます [CSCvi54844]。
-
分散サイト間 VPN:障害の発生したユニットでの分散サイト間 VPN セッションは他のユニットで安定するまでに最大 30 分かかります。この間は、さらなるユニット障害によってセッションが失われる可能性があります。このため、クラスタのアップグレード時は、トラフィックの損失を防ぐために次の手順を実行してください。これらの手順をアップグレード タスクに統合するには、FXOS/ASA クラスタのアップグレード手順を参照してください。
(注)
9.9(1) から 9.9(2) 以降にアップグレードする場合、ゼロ ダウンタイム アップグレードは分散サイト間 VPN ではサポートされません。9.9(2) でのアクティブ セッション再配布の機能拡張のために、一部のユニットを 9.9(2) で実行し他のユニットを 9.9(1) で実行することはできません。
-
制御ユニットのないシャーシでは、ASA コンソールを使用して 1 つのモジュールでクラスタリングを無効にします。
cluster group name
no enable
このシャーシ上の FXOS と ASA をアップグレードする場合は、シャーシの再起動後にクラスタリングが無効になるように設定を保存します。
write memory
-
クラスタが安定するのを待ちます。すべてのバックアップ セッションが作成されたことを確認してください。
show cluster vpn-sessiondb summary
-
このシャーシ上のモジュールごとに、手順 1 と 2 を繰り返します。
-
FXOS CLI または Firepower Chassis Manager を使用してシャーシ上の FXOS をアップグレードします。
-
シャーシがオンラインになったら、FXOS CLI または Firepower Chassis Manager を使用して各モジュール上の ASA イメージを更新します。
-
モジュールがオンラインになったら、ASA コンソールで各モジュール上のクラスタリングを再度有効にします。
cluster group name
enable
write memory
-
2 番目のシャーシで手順 1 ~ 6 を繰り返します。必ず、まずデータユニットでクラスタリングを無効にしてから、最後に制御ユニットでクラスタリングを無効にしてください。
新しい制御ユニットが、アップグレードされたシャーシから選択されます。
-
クラスタが安定したら、制御ユニットで ASA コンソールを使用して、クラスタ内のすべてのモジュール間でアクティブ セッションを再配布します。
cluster redistribute vpn-sessiondb
-
-
クラスタリングを含む 9.9(1) 以降に関するアップグレードの問題:9.9(1) 以降では、バックアップの配布が改善されています。新しいバックアップ配布方法を利用するには、次の手順で 9.9(1) 以降へのアップグレードを実行する必要があります。これを行わない場合、アップグレードされたユニットは引き続き古い方法を使用します。
-
クラスタからすべてのセカンダリ ユニットを削除します(クラスタはプライマリ ユニットのみで構成されます)。
-
1 つのセカンダリ ユニットをアップグレードし、クラスタに再参加させます。
-
プライマリ ユニットでクラスタリングを無効にします。そのユニットをアップグレードし、クラスタに再参加させます。
-
残りのセカンダリ ユニットをアップグレードし、それらを一度に 1 つずつクラスタに再参加させます。
-
-
Firepower 4100/9300 クラスタの ASA 9.8(1) 以前へのアップグレード:アップグレードプロセスの一部であるデータユニット(no enable )のクラスタリングを無効にすると、そのユニット宛てのトラフィックは、トラフィックが新しい所有者 [CSCvc85008] にリダイレクトされるまで、最大で 3 秒間ドロップされる場合があります。
-
CSCvb24585 に関する修正が行われている次のリリースにアップグレードする場合は、ゼロ ダウンタイム アップグレードがサポートされない可能性があります。この修正により、3DES がデフォルト(中レベル)の SSL 暗号から低レベルの暗号セットに移行されました。3DES のみを含むカスタム暗号を設定する場合、接続の相手側が 3DES を含まないデフォルト(中レベル)の暗号を使用していると、不一致が生じる可能性があります。
-
9.1(7.12)
-
9.2(4.18)
-
9.4(3.12)
-
9.4(4)
-
9.5(3.2)
-
9.6(2.4)
-
9.6(3)
-
9.7(1)
-
9.8(1)
-
-
完全修飾ドメイン名(FQDN)ACL のアップグレードに関する問題:CSCuv92371 が原因で、FQDN を含む ACL は、クラスタまたはフェールオーバー ペアのセカンダリ ユニットへの不完全な ACL 複製を引き起こす可能性があります。このバグは、9.1(7)、9.5(2)、9.6(1)、およびいくつかの暫定リリースにおいて発生します。CSCuy34265 の修正プログラムを含む 9.1(7.6) 以降、9.5(3) 以降、9.6(2) 以降にアップグレードすることをお勧めします。ただし、設定の複製の性質上、ゼロ ダウンタイム アップグレードは使用できません。さまざまなアップグレード方法の詳細については、CSCuy34265 を参照してください。
-
Firepower Threat Defense バージョン 6.1.0 クラスタは、サイト間クラスタリングをサポートしていません(6.2.0 以降では FlexConfig を使用してサイト間機能を設定できます)。FXOS 2.1.1 で 6.1.0 クラスタを展開または再展開している場合、(サポートされていない)サイト ID の値を入力しているときは、6.2.3 にアップグレードする前に、FXOS の各ユニットでサイト ID を削除(0 に設定)する必要があります。これを行わない場合、ユニットはアップグレード後にクラスタに再参加できません。すでにアップグレード済みの場合は、各ユニットでサイト ID を 0 に変更して問題を解決してください。サイト ID を表示または変更するには、FXOS の構成ガイドを参照してください。
-
9.5(2) 以降へのアップグレード(CSCuv82933):制御ユニットをアップグレードする前に「show cluster info 」と入力すると、アップグレードされたデータユニットが「DEPUTY_BULK_SYNC」と表示されます。他にも正しい状態と一致しない状態が表示されます。すべてのユニットをアップグレードすると状態が正しく表示されるようになるので、この表示は無視しても構いません。
-
9.0(1) または 9.1(1) からのアップグレード(CSCue72961):ゼロ ダウンタイム アップグレードはサポートされていません。
フェールオーバーのガイドライン
次の例外を除き、フェールオーバー用のゼロ ダウンタイム アップグレードに関する特別な要件はありません。
-
Firepower 1010 では、無効な VLAN ID によって問題が発生する可能性があります。9.15(1) にアップグレードする前に、3968 〜 4047 の範囲内のスイッチポートに VLAN を使用していないことを確認してください。これらの ID は内部使用専用であり、9.15(1) には、これらの ID を使用していないことを確認するチェックが含まれます。たとえば、フェールオーバーペアのアップグレード後にこれらの ID が使用されていた場合、フェールオーバーペアは一時停止状態になります。詳細については、「CSCvw33057」を参照してください。
-
Firepower 4100/9300 フェールオーバーとフローオフロードのクラスタリング ヒットレス アップグレードの要件:フローオフロード機能でのバグ修正により、FXOS と ASA のいくつかの組み合わせはフローオフロードをサポートしていません(互換性テーブルを参照)。フローオフロードは、ASA のデフォルトでは無効になっています。フローオフロードの使用時にフェールオーバーまたはクラスタリング ヒットレス アップグレードを実行するには、次のアップグレードパスに従って、FXOS 2.3.1.130 以降にアップグレードする際に常に互換性のある組み合わせを実行していることを確認する必要があります。
-
ASA を 9.8(3) 以降にアップグレードします。
-
FXOS を 2.3.1.130 以降にアップグレードします。
-
ASA を最終バージョンにアップグレードします。
たとえば、FXOS 2.2.2.26/ASA 9.8(1) を実行していて、FXOS 2.6.1/ASA 9.12(1) にアップグレードする場合は、次を実行できます。
-
ASA を 9.8(4) にアップグレードします。
-
FXOS を 2.6.1 アップグレードします。
-
ASA を 9.12(1) にアップグレードします。
-
-
8.4(6)、9.0(2)、および 9.1(2) のアップグレードの問題:CSCug88962 が原因で、8.4(6)、9.0(2)、および 9.1(3) へのゼロ ダウンタイム アップグレードを実行することはできません。代わりに 8.4(5) または 9.0(3) にアップグレードする必要があります。9.1(1) をアップグレードする場合、CSCuh25271 が原因で、9.1(3) リリースに直接アップグレードすることはできません。したがってゼロ ダウンタイム アップグレードのための回避策はありません。9.1 (3) 以降にアップグレードする前に、9.1(2) にアップグレードする必要があります。
-
完全修飾ドメイン名(FQDN)ACL のアップグレードに関する問題:CSCuv92371 が原因で、FQDN を含む ACL は、クラスタまたはフェールオーバー ペアのセカンダリ ユニットへの不完全な ACL 複製を引き起こす可能性があります。このバグは、9.1(7)、9.5(2)、9.6(1)、およびいくつかの暫定リリースにおいて発生します。CSCuy34265 の修正プログラムを含む 9.1(7.6) 以降、9.5(3) 以降、9.6(2) 以降にアップグレードすることをお勧めします。ただし、設定の複製の性質上、ゼロ ダウンタイム アップグレードは使用できません。さまざまなアップグレード方法の詳細については、CSCuy34265 を参照してください。
-
VTI および VXLAN VNI 用の 9.7(1) ~ 9.7(1.X) およびそれ以降のアップグレードに関する問題:Virtual Tunnel Interfaces(VTI)と VXLAN Virtual Network Identifier(VNI)の両方のインターフェイスを設定すると、フェールオーバー用のゼロ ダウンタイム アップグレードは実行できません。両方のユニットが同じバージョンになるまでは、これらのインターフェイス タイプの接続はスタンバイ ユニットに複製されません。(CSCvc83062)
-
9.8(2) 以降にアップグレードする前に、FIPS モードではフェールオーバーキーを 14 文字以上にする必要があります。FIPS モードで 9.8(2) 以降にアップグレードする前に、failover key または failover ipsec pre-shared-key を 14 文字以上に変更する必要があります。フェールオーバーキーが短すぎる場合、最初のユニットをアップグレードしたときにフェールオーバーキーが拒否され、フェールオーバーキーを有効な値に設定するまで、両方のユニットがアクティブになります。
-
GTP インスペクションのアップグレードの問題:GTP のデータ構造が新しいノードに複製されないため、アップグレード中にダウンタイムが発生する可能性があります。
その他のガイドライン
-
Cisco ASA クライアントレス SSL VPN ポータルのカスタマイズにおける整合性の脆弱性:ASA 上のクライアントレス SSL VPN に対して複数の脆弱性修正が行われているため、修正版へソフトウェアをアップグレードする必要があります。脆弱性と ASA の修正済みバージョンについて、http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141008-asa を参照してください。脆弱性をもった構成で以前のバージョンの ASA を運用したことがある場合は、現在実行中のバージョンに関係なく、ポータルのカスタマイズが危殆化されていないか確認する必要があります。過去に攻撃者がカスタマイゼーション オブジェクトを危殆化した場合、ASA を修正版にアップグレードした後にも危殆化されたオブジェクトが存続します。ASA をアップグレードすることで今後の危殆化を阻止できますが、すでに危殆化されているカスタマイゼーション オブジェクトは一切変更されず、システムに存続します。
Firepower Management Center のアップ グレード ガイドライン
アップグレードする前に、『Secure Firewall Management Center Upgrade Guide』で Cisco Secure Firewall Management Center のガイドラインを確認してください。
FXOS のアップグレード ガイドライン
アップグレードする前に、選択したアップグレード パスの各 FXOS バージョンのリリース ノートをお読みください。リリース ノートには、新機能や変更された機能を含む、各 FXOS リリースに関する重要な情報が記載されています。
アップグレードを行うには、対処する必要のある設定変更が必要な場合があります。たとえば、FXOS リリースでサポートされている新しいハードウェアが、FXOS ファームウェアの更新を要求する場合があります。
FXOS リリース ノートはこちらから入手できます:https://www.cisco.com/c/en/us/support/security/firepower-9000-series/products-release-notes-list.html。