このドキュメントでは、CLI を使用して、Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス フェールオーバー ペアのソフトウェア イメージをアップグレードする方法について説明します。
注:セキュリティアプライアンスソフトウェアを7.0から7.2に直接アップグレード(またはダウングレード)する場合、またはASDMソフトウェアを5.0から5.2に直接アップグレード(またはダウングレード)する場合、Adaptive Security Device Manager(ASDM)は動作しません。段階的にアップグレード(またはダウングレード)する必要があります。
ASAのASDMとソフトウェアイメージをアップグレードする方法の詳細は、『PIX/ASA:ASDMまたはCLIを使用したソフトウェアイメージのアップグレードの設定例』を参照してください。
注:マルチコンテキストモードでは、copy tftp flashコマンドを使用してすべてのコンテキストでPIX/ASAイメージのアップグレードまたはダウングレードを行うことはできません。このコマンドは、System Execモードでのみサポートされます。
このドキュメントに関する固有の要件はありません。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
バージョン 7.0 以降が稼働する Cisco 適応型セキュリティ アプライアンス(ASA)
Cisco ASDM バージョン 5.0 以降
注:ASAをASDMで設定できるようにする方法については、『ASDMでのHTTPSアクセスの許可』を参照してください。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
この設定は、Cisco PIX 500 シリーズ セキュリティ アプライアンス ソフトウェア バージョン 7.0 以降にも適用できます。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
フェールオーバー コンフィギュレーション内の 2 つの装置は、メジャー(最初の番号)およびマイナー(2 番目の番号)のソフトウェア バージョンが同じになるようにします。ただし、アップグレードプロセス中にユニットでバージョンパリティを維持する必要はありません。各ユニットで稼働するソフトウェアのバージョンが異なっていても、フェールオーバーのサポートは維持できます。互換性と安定性を長期にわたって確保するため、可能な限り早く両方の装置を同じバージョンにアップグレードすることを推奨します。
次の 3 種類のアップグレードがあります。
メンテナンス リリース—どのメンテナンス リリースからでも、マイナー リリース内のその他すべてのメンテナンス リリースにアップグレードできます。たとえば、中間のメンテナンス リリースをあらかじめインストールしなくても、7.0(1) から 7.0(4) にアップグレードできます。
マイナー リリース—あるマイナー リリースから次のマイナー リリースにアップグレードできます。マイナー リリースはスキップできません。たとえば、7.0 から 7.1 にアップグレードできます。7.0から7.2への直接アップグレードは、ダウンタイムなしのアップグレードではサポートされません。まず7.1にアップグレードする必要があります
メジャー リリース—前のバージョンの最後のマイナー リリースから次のメジャー リリースにアップグレードできます。たとえば、7.9 が 7.x リリースの最後のマイナー バージョンであれば、7.9 から 8.0 にアップグレードできます。
アクティブ/スタンバイ フェールオーバー コンフィギュレーションの 2 つの装置をアップグレードするには、次の手順を実行します。
両方の装置に新規ソフトウェアをダウンロードし、ロードする新規イメージを boot system コマンドで指定します。
詳細については、「CLI を使用したソフトウェア イメージと ASDM イメージのアップグレード」を参照してください。
次のように、アクティブ装置で failover reload-standby コマンドを入力し、スタンバイ装置をリロードして新しいイメージをブートします。
active#failover reload-standby
スタンバイ装置がリロードを終了して Standby Ready 状態になったら、アクティブ装置で no failover active コマンドを入力して、アクティブ装置をスタンバイ装置に強制的にフェールオーバーします。
active#no failover active
注:show failoverコマンドを使用して、スタンバイ装置がStandby Ready状態かどうかを検証します。
reload コマンドを入力して、前のアクティブ装置(現在の新規スタンバイ装置)をリロードします。
newstandby#reload
新しいスタンバイ装置がリロードを終了して Standby Ready 状態になったら、failover active コマンドを入力して、元のアクティブ装置をアクティブ ステータスに戻します。
newstandby#failover active
これで、アクティブ/スタンバイ フェールオーバー ペアをアップグレードするプロセスは終わりです。
アクティブ/アクティブ フェールオーバー コンフィギュレーションの 2 つの装置をアップグレードするには、次の手順を実行します。
両方の装置に新規ソフトウェアをダウンロードし、ロードする新規イメージを boot system コマンドで指定します。
詳細については、「CLI を使用したソフトウェア イメージと ASDM イメージのアップグレード」を参照してください。
プライマリ装置のシステム実行スペースで failover active コマンドを入力して、プライマリ装置の両方のフェールオーバー グループをアクティブにします。
primary#failover active
プライマリ装置のシステム実行スペースで failover reload-standby コマンドを入力して、セカンダリ装置をリロードして新規イメージをブートします。
primary#failover reload-standby
セカンダリ装置がリロードを終了し、その装置で両方のフェールオーバー グループが Standby Ready 状態になったら、プライマリ装置のシステム実行スペースで no failover active コマンドを使用して、セカンダリ装置の両方のフィールオーバー グループをアクティブにします。
primary#no failover active
注:セカンダリ装置の両方のフェールオーバーグループがStandby Ready状態かどうかを検証するには、show failoverコマンドを使用します。
プライマリ装置の両方のフェールオーバー グループが Standby Ready 状態になっていることを確認してから、reload コマンドを使用してプライマリ装置をリロードします。
primary#reload
フェールオーバー グループは、preempt コマンドを使用して設定されると、プリエンプト遅延の経過後、指定された装置で自動的にアクティブになります。フェールオーバー グループが preempt コマンドによって設定されていない場合は、failover active group コマンドを使用して、指定された装置でそれらのステータスをアクティブに戻すことができます。
問題
Cisco 適応型セキュリティ アプライアンス(ASA)をアップグレードしようとすると、次のいずれかのエラー メッセージが表示されます。
%ASA-5-720012:(VPN-Secondary)スタンバイユニットでIPSecフェールオーバーランタイムデータを更新できませんでした。
%ASA-6-720012:(VPN-unit)スタンバイユニットでIPsecフェールオーバーランタイムデータを更新できませんでした。
解決方法
このエラー メッセージは情報伝達のためのエラーです。このメッセージは、ASA または VPN の機能に影響しません。
このメッセージは、対応する IPSec トンネルがスタンバイ装置で削除されているため、VPN フェールオーバー サブシステムが IPSec 関連のランタイム データをアップデートできないときに表示されます。これを解決するには、アクティブ装置で wr standby コマンドを実行します。
この動作に対処するために、2つのバグが報告されています。これらのバグが修正されているASAのソフトウェアバージョンにアップグレードできます。詳細は、Cisco Bug ID CSCtj58420(登録ユーザ専用)および CSCtn56517(登録ユーザ専用)を参照してください。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
16-Mar-2010 |
初版 |