ASA/PIX:CLIを使用してフェールオーバーペア上のソフトウェアイメージをアップグレードする方法

ダウンロード オプション

  • PDF     (413.3 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (81.5 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (69.7 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2010 年 3 月 16 日
Document ID:111867

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、CLI を使用して、Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス フェールオーバー ペアのソフトウェア イメージをアップグレードする方法について説明します。

注:セキュリティアプライアンスソフトウェアを7.0から7.2に直接アップグレード(またはダウングレード)する場合、またはASDMソフトウェアを5.0から5.2に直接アップグレード(またはダウングレード)する場合、Adaptive Security Device Manager(ASDM)は動作しません。段階的にアップグレード(またはダウングレード)する必要があります。

ASAのASDMとソフトウェアイメージをアップグレードする方法の詳細は、『PIX/ASA:ASDMまたはCLIを使用したソフトウェアイメージのアップグレードの設定例』を参照してください。

注:マルチコンテキストモードでは、copy tftp flashコマンドを使用してすべてのコンテキストでPIX/ASAイメージのアップグレードまたはダウングレードを行うことはできません。このコマンドは、System Execモードでのみサポートされます。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • バージョン 7.0 以降が稼働する Cisco 適応型セキュリティ アプライアンス(ASA)

  • Cisco ASDM バージョン 5.0 以降

注:ASAをASDMで設定できるようにする方法については、『ASDMでのHTTPSアクセスの許可』を参照してください。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

関連製品

この設定は、Cisco PIX 500 シリーズ セキュリティ アプライアンス ソフトウェア バージョン 7.0 以降にも適用できます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

コンフィギュレーション

フェールオーバー ペアのゼロ ダウンタイム アップグレードの実行

フェールオーバー コンフィギュレーション内の 2 つの装置は、メジャー(最初の番号)およびマイナー(2 番目の番号)のソフトウェア バージョンが同じになるようにします。ただし、アップグレードプロセス中にユニットでバージョンパリティを維持する必要はありません。各ユニットで稼働するソフトウェアのバージョンが異なっていても、フェールオーバーのサポートは維持できます。互換性と安定性を長期にわたって確保するため、可能な限り早く両方の装置を同じバージョンにアップグレードすることを推奨します。

次の 3 種類のアップグレードがあります。

  1. メンテナンス リリース—どのメンテナンス リリースからでも、マイナー リリース内のその他すべてのメンテナンス リリースにアップグレードできます。たとえば、中間のメンテナンス リリースをあらかじめインストールしなくても、7.0(1) から 7.0(4) にアップグレードできます。

  2. マイナー リリース—あるマイナー リリースから次のマイナー リリースにアップグレードできます。マイナー リリースはスキップできません。たとえば、7.0 から 7.1 にアップグレードできます。7.0から7.2への直接アップグレードは、ダウンタイムなしのアップグレードではサポートされません。まず7.1にアップグレードする必要があります

  3. メジャー リリース—前のバージョンの最後のマイナー リリースから次のメジャー リリースにアップグレードできます。たとえば、7.9 が 7.x リリースの最後のマイナー バージョンであれば、7.9 から 8.0 にアップグレードできます。

アクティブ/スタンバイ フェールオーバー コンフィギュレーションのアップグレード

アクティブ/スタンバイ フェールオーバー コンフィギュレーションの 2 つの装置をアップグレードするには、次の手順を実行します。

  1. 両方の装置に新規ソフトウェアをダウンロードし、ロードする新規イメージを boot system コマンドで指定します。

    詳細については、「CLI を使用したソフトウェア イメージと ASDM イメージのアップグレード」を参照してください。

  2. 次のように、アクティブ装置で failover reload-standby コマンドを入力し、スタンバイ装置をリロードして新しいイメージをブートします。

    active#failover reload-standby

  3. スタンバイ装置がリロードを終了して Standby Ready 状態になったら、アクティブ装置で no failover active コマンドを入力して、アクティブ装置をスタンバイ装置に強制的にフェールオーバーします。

    active#no failover active

    注:show failoverコマンドを使用して、スタンバイ装置がStandby Ready状態かどうかを検証します。

  4. reload コマンドを入力して、前のアクティブ装置(現在の新規スタンバイ装置)をリロードします。

    newstandby#reload

  5. 新しいスタンバイ装置がリロードを終了して Standby Ready 状態になったら、failover active コマンドを入力して、元のアクティブ装置をアクティブ ステータスに戻します。

    newstandby#failover active

これで、アクティブ/スタンバイ フェールオーバー ペアをアップグレードするプロセスは終わりです。

アクティブ/アクティブ フェールオーバー コンフィギュレーションのアップグレード

アクティブ/アクティブ フェールオーバー コンフィギュレーションの 2 つの装置をアップグレードするには、次の手順を実行します。

  1. 両方の装置に新規ソフトウェアをダウンロードし、ロードする新規イメージを boot system コマンドで指定します。

    詳細については、「CLI を使用したソフトウェア イメージと ASDM イメージのアップグレード」を参照してください。

  2. プライマリ装置のシステム実行スペースで failover active コマンドを入力して、プライマリ装置の両方のフェールオーバー グループをアクティブにします。

    primary#failover active

  3. プライマリ装置のシステム実行スペースで failover reload-standby コマンドを入力して、セカンダリ装置をリロードして新規イメージをブートします。

    primary#failover reload-standby

  4. セカンダリ装置がリロードを終了し、その装置で両方のフェールオーバー グループが Standby Ready 状態になったら、プライマリ装置のシステム実行スペースで no failover active コマンドを使用して、セカンダリ装置の両方のフィールオーバー グループをアクティブにします。

    primary#no failover active

    注:セカンダリ装置の両方のフェールオーバーグループがStandby Ready状態かどうかを検証するには、show failoverコマンドを使用します。

  5. プライマリ装置の両方のフェールオーバー グループが Standby Ready 状態になっていることを確認してから、reload コマンドを使用してプライマリ装置をリロードします。

    primary#reload

  6. フェールオーバー グループは、preempt コマンドを使用して設定されると、プリエンプト遅延の経過後、指定された装置で自動的にアクティブになります。フェールオーバー グループが preempt コマンドによって設定されていない場合は、failover active group コマンドを使用して、指定された装置でそれらのステータスをアクティブに戻すことができます。

トラブルシュート

%ASA-5-720012:(VPN-Secondary)スタンバイユニットでIPSecフェールオーバーランタイムデータを更新できませんでした(または)%ASA-6-720012:(VPN-unit)スタンバイユニットでIPSecフェールオーバーランタイムデータを更新できませんでした

問題

Cisco 適応型セキュリティ アプライアンス(ASA)をアップグレードしようとすると、次のいずれかのエラー メッセージが表示されます。

%ASA-5-720012:(VPN-Secondary)スタンバイユニットでIPSecフェールオーバーランタイムデータを更新できませんでした。

%ASA-6-720012:(VPN-unit)スタンバイユニットでIPsecフェールオーバーランタイムデータを更新できませんでした。

解決方法

このエラー メッセージは情報伝達のためのエラーです。このメッセージは、ASA または VPN の機能に影響しません。

このメッセージは、対応する IPSec トンネルがスタンバイ装置で削除されているため、VPN フェールオーバー サブシステムが IPSec 関連のランタイム データをアップデートできないときに表示されます。これを解決するには、アクティブ装置で wr standby コマンドを実行します。

この動作に対処するために、2つのバグが報告されています。これらのバグが修正されているASAのソフトウェアバージョンにアップグレードできます。詳細は、Cisco Bug ID CSCtj58420(登録ユーザ専用)および CSCtn56517(登録ユーザ専用)を参照してください。

関連情報

更新履歴

改定 発行日 コメント
1.0
16-Mar-2010
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています