セキュアファイアウォールのためのASAアクティブ/スタンバイフェールオーバーペアのアップグレード

ダウンロードオプション

PDF (1.5 MB)
Adobe Reader を使ってさまざまなデバイスで表示
ePub (1.1 MB)
iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
Mobi (Kindle) (1.2 MB)
Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示

Updated: 2024 年 2 月 2 日

Document ID:221618

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポートコンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版（リンクからアクセス可能）もあわせて参照することを推奨します。

内容

はじめに

前提条件

要件

使用するコンポーネント

設定

前提条件の確認

CLIを使用したアップグレード

ASDMを使用したアップグレード

確認

CLI の場合

ASDM の場合

はじめに

このドキュメントでは、アプライアンスモードのセキュアファイアウォール1000、2100、およびセキュアファイアウォール3100/4200のフェールオーバー導入のためにASAをアップグレードする方法について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

Cisco Secure Firewall脅威対策
Cisco適応型セキュリティアプライアンス(ASA)設定

使用するコンポーネント

この文書の情報のベースとなっているソフトウェアバージョンは、

Cisco 適応型セキュリティアプライアンスソフトウェアバージョン 9.14(4)
Cisco 適応型セキュリティアプライアンスソフトウェアバージョン 9.16(4)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

設定

前提条件の確認

ステップ 1：デバイスがアプライアンスモードであることを確認するには、show fxos modeコマンドを実行します

注：バージョン9.13以前のセキュアファイアウォール21XXでは、プラットフォームモードだけがサポートされます。バージョン9.14以降では、アプライアンスモードがデフォルトです。

ciscoasa# show fxos mode
Mode is currently set to appliance

ステップ 2：互換性を確認します。

FTDハードウェアプラットフォームとSecure Firewall ASAソフトウェアの互換性を確認するには、Cisco Secure Firewall ASAの互換性に関するドキュメントを参照してください。詳細については、

Cisco Secure Firewall ASAの互換性

ステップ 3：Cisco Software Centralからアップグレードパッケージをダウンロードします。

注:Secure Firewall 1000/2100およびSecure Firewall 3100/4200では、ASAとFXOSを別々にインストールすることはできません。どちらのイメージもバンドルの一部です。

バンドルに含まれるASAおよびFXOSのバージョンについては、リンク先のタイトルを参照してください。「ファイアウォール1000/2100および3100/4200 ASAとFXOSバンドルバージョンの保護」を参照してください。

CLIを使用したアップグレード

ステップ 1：ASDMイメージをリセットします。

グローバルコンフィギュレーションモードでプライマリユニットに接続し、次のコマンドを実行します。

ciscoasa(config)# asdm image disk0:/asdm.bin
ciscoasa(config)# exit
ciscoasa# copy running-config startup-config

Source filename [running-config]? 
Cryptochecksum: 6beb01d1 b7a3c30f 5e8eb557 a8ebb8ca 

12067 bytes copied in 3.780 secs (4022 bytes/sec)

ステップ 2：ソフトウェアイメージをプライマリユニットにアップロードします。

注：この文書ではFTPサーバを使用していますが、TFTP、HTTP、またはその他のサーバタイプを使用できます。

ciscoasa# copy ftp://calo:calo@10.88.7.12/cisco-asa-fp2k.9.16.4.SPA disk0:/cisco-asa-fp2k.9.16.4.SPA Address or name of remote host [10.88.7.12]? Source username [calo]? Source password []? **** Source filename [cisco-asa-fp2k.9.16.4.SPA]? Destination filename [cisco-asa-fp2k.9.16.4.SPA]? Accessing ftp:/calo:<password>@10.88.7.12/cisco-asa-fp2k.9.16.4.SPA...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Verifying file disk0:/cisco-asa-fp2k.9.16.4.SPA... Writing file disk0:/cisco-asa-fp2k.9.16.4.SPA... 474475840 bytes copied in 843.230 secs (562842 bytes/sec)

ステップ 3：ソフトウェアイメージをセカンダリユニットにアップロードします。

プライマリユニットでコマンドを実行します。

ciscoasa# failover exec mate copy /noconfirm ftp://calo:calo@10.88.7.12/cisco-asa-fp2k.9.16.4.SPA disk0:/cisco-asa-fp2k.9.16.4.SPA

Accessing ftp://calo :<password>@10.88.7.12/cisco-asa-fp2k.9.16.4.SPA...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/cisco-asa-fp2k.9.16.4.SPA...

Writing file disk0:/cisco-asa-fp2k.9.16.4.SPA...

474475840 bytes copied in 843.230 secs (562842 bytes/sec)

ステップ 4： show running-config boot system コマンドを使用して、現在のブートイメージが設定されているかどうかを確認します。

 
     
     注：ブートシステムを設定していない可能性があります。

ciscoasa(config)# show running-config boot system
boot system disk0:/cisco-asa-fp2k.9.14.4.SPAステップ 5（オプション）： ブートイメージが設定されている場合は、ブートイメージを削除する必要があります。
no boot system diskn:/asa_image_nameコマンドを発行します。
以下に例を挙げます。
ciscoasa(config)# no boot system disk0:/cisco-asa-fp2k.9.14.4.SPA
手順 6：ブートするイメージを選択します。
ciscoasa(config)# boot system disk0:/cisco-asa-fp2k.9.16.4.SPA 

The system is currently installed with security software package 9.14.4, which has:
   - The platform version:  2.8.1.172
   - The CSP (asa) version: 9.14.4
Preparing new image for install...
!!!!!!!!!!!!
Image download complete (Successful unpack the image).
Installation of version 9.16.4 will do the following:
   - upgrade to the new platform version 2.10.1.217
   - upgrade to the CSP ASA version 9.16.4
After installation is complete, ensure to do write memory and reload to save this config and apply the new image.
Finalizing image install process...

Install_status: ready............................
Install_status: validating-images....
Install_status: upgrading-npu
Install_status: upgrading-system.
Install_status: update-software-pack-completed
手順 7：copy running-config startup-configコマンドを使用して設定を保存します。
ステップ 8：セカンダリユニットをリロードして、新しいバージョンをインストールします。
ciscoasa(config)# failover reload-standby  
セカンダリユニットがロードされるまで待ちます。
ステップ 9：スタンバイユニットがリロードされたら、プライマリユニットをアクティブステートからスタンバイステートに変更します。
ciscoasa# no failover active 
ステップ 10：新しいスタンバイユニットをリロードして、新しいバージョンをインストールします。新しいアクティブユニットに接続する必要があります。
ciscoasa(config)# failover reload-standby 
新しいスタンバイユニットがロードされれば、アップグレードは完了です。
ASDMを使用したアップグレード
ステップ 1：ASDMでセカンダリユニットに接続します。
ステップ 2：Tools > Upgrade Software from Local Computerの順に進みます。 
ステップ 3：ドロップダウンリストからASAを選択します。 
   
ステップ 4：Upgrade Softwareウィンドウで、Browse Local Filesをクリックして、ソフトウェアイメージをセカンダリユニットにアップロードします。
 
    
     
     
     注：デフォルトでは、フラッシュファイルシステムパスはdisk0です。これを変更するには、Browse Flashをクリックして新しいパスを選択します。 
     
   
Upload Imageをクリックします。
イメージのアップロードが完了したら、Noをクリックします。
ステップ 5：ASDMイメージをリセットする。 
ASDMでプライマリユニットに接続し、Configuration > Device Management > System Image/Configuration > Boot Image/Configurationの順に選択します。 
ASDM Image File Pathに、値disk0:/asdm.bin とApplyを入力します。
手順 6： ソフトウェアイメージをプライマリユニットにアップロードします。
Browse Local Filesをクリックして、デバイス上のアップグレードパッケージを選択します。
Upload Imageをクリックします。
イメージのアップロードが完了したら、Yesをクリックします。
プレビューウィンドウで、Sendボタンをクリックして設定を保存します。
手順 7： Saveをクリックして、設定を保存します。
ステップ 8： セカンダリユニットをリロードして、新しいバージョンをインストールします。
Monitoring > Properties > Failover > Statusの順に選択し、Reload Standbyをクリックします。
スタンバイユニットがロードされるまで待ちます。
ステップ 9：スタンバイユニットがリロードされたら、プライマリユニットをアクティブ状態からスタンバイ状態に変更します。
Monitoring > Properties > Failover > Statusの順に選択し、Make Standbyをクリックします。 
    
     
     
     注:ASMDは自動的に新しいアクティブユニットに接続します。 
     
   
ステップ 10：新しいスタンバイユニットをリロードして、新しいバージョンをインストールします。
Monitoring > Properties > Failover > Statusの順に選択し、Reload Standbyをクリックします。
新しいスタンバイユニットがロードされれば、アップグレードは完了です。
確認
両方のユニットでアップグレードが完了していることを検証するには、CLIとASDMでアップグレードを確認します。
CLI の場合
ciscoasa# show failover 
Failover On 
Failover unit Primary
Failover LAN Interface: folink Ethernet1/1 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1292 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.16(4), Mate 9.16(4)
Serial Number: Ours JAD25430R73, Mate JAD25430RCG
Last Failover at: 22:45:48 UTC Jan 31 2024
This host: Primary - Active 
Active time: 45 (sec)
slot 0: FPR-2120 hw/sw rev (1.5/9.16(4)) status (Up Sys)
Interface management (10.88.15.58): Normal (Monitored)
Other host: Secondary - Standby Ready 
Active time: 909 (sec)
slot 0: FPR-2120 hw/sw rev (1.5/9.16(4)) status (Up Sys)
Interface management (10.88.15.59): Normal (Monitored)

Stateful Failover Logical Update Statistics
Link : folink Ethernet1/1 (up)
Stateful Obj xmit xerr rcv rerr 
General 27 0 29 0 
sys cmd 27 0 27 0 
up time 0 0 0 0 
RPC services 0 0 0 0 
TCP conn 0 0 0 0 
UDP conn 0 0 0 0 
ARP tbl 0 0 1 0 
Xlate_Timeout 0 0 0 0 
IPv6 ND tbl 0 0 0 0 
VPN IKEv1 SA 0 0 0 0 
VPN IKEv1 P2 0 0 0 0 
VPN IKEv2 SA 0 0 0 0 
VPN IKEv2 P2 0 0 0 0 
VPN CTCP upd 0 0 0 0 
VPN SDI upd 0 0 0 0 
VPN DHCP upd 0 0 0 0 
SIP Session 0 0 0 0 
SIP Tx 0 0 0 0 
SIP Pinhole 0 0 0 0 
Route Session 0 0 0 0 
Router ID 0 0 0 0 
User-Identity 0 0 1 0 
CTS SGTNAME 0 0 0 0 
CTS PAC 0 0 0 0 
TrustSec-SXP 0 0 0 0 
IPv6 Route 0 0 0 0 
STS Table 0 0 0 0 
Umbrella Device-ID 0 0 0 0

Logical Update Queue Information
Cur Max Total
Recv Q: 0 10 160
Xmit Q: 0 1 53
ASDM の場合
Monitoring > Properties > Failover > Statusの順に選択すると、両方のデバイスのASAバージョンが表示されます。
関連情報 
    
     Cisco Secure Firewall ASAの互換性
  
     Cisco Secure Firewall ASA アップグレードガイド