この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
パケット キャプチャ ツールは、接続と設定の問題のデバッグや、Firepower 4100/9300 シャーシを通過するトラフィック フローの理解に使用できる価値ある資産です。パケット キャプチャ ツールを使用すると、特定の顧客側のポートまたは Firepower 4100/9300 シャーシのアプリケーション ポートを通過するトラフィックについてログを記録できます。
複数のパケット キャプチャ セッションを作成し、各セッションで複数のポートのトラフィックをキャプチャできます。パケット キャプチャ セッションに含まれる各ポート用に、個別のパケット キャプチャ(PCAP)ファイルが作成されます。
Firepower 4100/9300 シャーシでは、内部バックプレーン ポートに次のマッピング ポートを使用します。
セキュリティ モジュール |
ポート マッピング |
説明 |
---|---|---|
セキュリティ モジュール 1/セキュリティ エンジン |
Ethernet1/9 |
Internal-Data0/0 |
セキュリティ モジュール 1/セキュリティ エンジン |
Ethernet1/10 |
Internal-Data0/1 |
セキュリティ モジュール 2 |
Ethernet1/11 |
Internal-Data0/0 |
セキュリティ モジュール 2 |
Ethernet1/12 |
Internal-Data0/1 |
セキュリティ モジュール 3 |
Ethernet1/13 |
Internal-Data0/0 |
セキュリティ モジュール 3 |
Ethernet1/14 |
Internal-Data0/1 |
パケット キャプチャ ツールには、次の制限事項があります。
キャプチャできるのは最大 100 Mbps までです。
パケット キャプチャ セッションの使用に使用可能な十分な記憶域がなくても、パケット キャプチャ セッションを作成できます。パケット キャプチャ セッションを開始する前に、使用可能な十分な記憶域があることを確認する必要があります。
複数のアクティブなパケット キャプチャ セッションはサポートされません。
内部スイッチの入力の段階でのみキャプチャされます。
内部スイッチが認識できないパケット(セキュリティ グループ タグ、ネットワーク サービス ヘッダー パケットなど)にはフィルタの効果がありません。
抽象化はサポートされません(ポート チャネル、サービス チェーンなど)。
(注) | ポート チャネルのトラフィックのキャプチャはサポートされていませんが、パケット キャプチャ セッションにポート チャネルを構成する個々のメンバ ポートを含めることができます。パケット キャプチャ ツールは、メンバ ポートごとに別のパケット キャプチャ ファイルを作成します。 |
キャプチャ セッションがアクティブな間は、PCAP ファイルをコピーしたり、エクスポートできません。
パケット キャプチャ セッションを削除すると、そのセッションに関連するすべてのパケット キャプチャ ファイルも削除されます。
パケット キャプチャ セッションに含まれるトラフィックを制限するためにフィルタを作成できます。パケット キャプチャ セッションの作成中にどのインターフェイスが特定のフィルタを使用するかを選択できます。
(注) | 現在実行中のパケット キャプチャ セッションに適用されているフィルタを変更または削除する場合、そのセッションを無効にしてから再度有効にするまでは実行されません。 |
ステップ 1 |
の順に選択します。 [キャプチャ セッション(Capture Session)] タブに、現在設定されているパケット キャプチャ セッションのリストが表示されます。パケット キャプチャ セッションが現在設定されていなければ、代わりにそのことを示すメッセージが表示されます。 | ||
ステップ 2 | パケット キャプチャ セッションを開始するには、そのセッションの [セッションの有効化(Enable Session)] ボタンをクリックし、次に確認のために [はい(Yes)] をクリックします。
セッションに含まれるインターフェイスの PCAP ファイルがトラフィックの収集を開始します。セッションがセッション データを上書きするように設定されている場合、既存の PCAP データは消去されます。そうでない場合、データは(もしあれば)既存のファイルに追加されます。 パケット キャプチャ セッションの実行中は、トラフィックをキャプチャするにつれて個々の PCAP ファイルのファイル サイズが増加します。バッファのサイズ制限に達すると、システムがパケットの廃棄を開始し、廃棄カウント フィールドの値が増加します。 | ||
ステップ 3 | パケット キャプチャ セッションを停止するには、そのセッションの [セッションの無効化(Disable Session)] ボタンをクリックし、次に確認のために [はい(Yes)] をクリックします。
セッションが無効になった後、PCAP ファイルをダウンロードできます(パケット キャプチャ ファイルのダウンロードを参照)。 |
セッションからローカル コンピュータにパケット キャプチャ(PCAP)ファイルをダウンロードできます。これでネットワーク パケット アナライザを使用して分析できるようになります。
ステップ 1 |
の順に選択します。 [キャプチャ セッション(Capture Session)] タブに、現在設定されているパケット キャプチャ セッションのリストが表示されます。パケット キャプチャ セッションが現在設定されていなければ、代わりにそのことを示すメッセージが表示されます。 | ||
ステップ 2 | パケット キャプチャ セッションから特定のインターフェイスの PCAP ファイルをダウンロードするには、そのインターフェイスに対応する [ダウンロード(Download)] ボタンをクリックします。
ブラウザによって、指定した PCAP ファイルがデフォルトのダウンロード場所に自動的にダウンロードされるか、またはファイルを保存するように求められます。 |
個々のパケット キャプチャ セッションは、現在実行していなければ削除できます。非アクティブ パケット キャプチャ セッションは、いずれも削除できます。
ステップ 1 |
の順に選択します。 [キャプチャ セッション(Capture Session)] タブに、現在設定されているパケット キャプチャ セッションのリストが表示されます。パケット キャプチャ セッションが現在設定されていなければ、代わりにそのことを示すメッセージが表示されます。 |
ステップ 2 | 特定のパケット キャプチャ セッションを削除するには、そのセッションの対応する [削除(Delete)] ボタンをクリックします。 |
ステップ 3 | すべての非アクティブ パケット キャプチャ セッションを削除するには、パケット キャプチャ セッションのリストの上にある [すべてのセッションの削除(Delete All Sessions)] ボタンをクリックします。 |
基本的なネットワーク接続をテストする目的で、ネットワーク上の別のデバイスのホスト名または IPv4 アドレスを使って ping を実行するには、ping コマンドを使用します。ネットワーク上の別のデバイスのホスト名または IPv6 アドレスを使って ping を実行するには、ping6 コマンドを使用します。
ネットワーク上の別のデバイスに至るルートを、そのホスト名または IPv4 アドレスを使ってトレースするには、traceroute コマンドを使用します。ネットワーク上の別のデバイスに至るルートを、そのホスト名または IPv6 アドレスを使ってトレースするには、traceroute6 コマンドを使用します。
ステップ 1 | 次のコマンドのいずれか 1 つを入力することにより、local-mgmt モードまたは module モードに接続します。
例: FP9300-A# connect local-mgmt FP9300-A(local-mgmt)# |
ステップ 2 | 基本的なネットワーク接続をテストする目的で、ネットワーク上の別のデバイスのホスト名または IPv4 アドレスを使って ping を実行するには:
ping {hostname | IPv4_address} [count number_packets ] | [deadline seconds ] | [interval seconds ] | [packet-size bytes ] 例: この例は、ネットワーク上の別のデバイスに対して ping 接続を 12 回実行する方法を示しています。 FP9300-A(local-mgmt)# ping 198.51.100.10 count 12 PING 198.51.100.10 (198.51.100.10) from 203.0.113.5 eth0: 56(84) bytes of data. 64 bytes from 198.51.100.10: icmp_seq=1 ttl=61 time=0.264 ms 64 bytes from 198.51.100.10: icmp_seq=2 ttl=61 time=0.219 ms 64 bytes from 198.51.100.10: icmp_seq=3 ttl=61 time=0.234 ms 64 bytes from 198.51.100.10: icmp_seq=4 ttl=61 time=0.205 ms 64 bytes from 198.51.100.10: icmp_seq=5 ttl=61 time=0.216 ms 64 bytes from 198.51.100.10: icmp_seq=6 ttl=61 time=0.251 ms 64 bytes from 198.51.100.10: icmp_seq=7 ttl=61 time=0.223 ms 64 bytes from 198.51.100.10: icmp_seq=8 ttl=61 time=0.221 ms 64 bytes from 198.51.100.10: icmp_seq=9 ttl=61 time=0.227 ms 64 bytes from 198.51.100.10: icmp_seq=10 ttl=61 time=0.224 ms 64 bytes from 198.51.100.10: icmp_seq=11 ttl=61 time=0.261 ms 64 bytes from 198.51.100.10: icmp_seq=12 ttl=61 time=0.261 ms --- 198.51.100.10 ping statistics --- 12 packets transmitted, 12 received, 0% packet loss, time 11104ms rtt min/avg/max/mdev = 51.005/51.062/51.164/0.064 ms FP9300-A(local-mgmt)# |
ステップ 3 | ネットワーク上の別のデバイスに至るルートを、そのホスト名または IPv4 アドレスを使ってトレースするには:
traceroute {hostname | IPv4_address} 例: FP9300-A(local-mgmt)# traceroute 198.51.100.10 traceroute to 198.51.100.10 (198.51.100.10), 30 hops max, 40 byte packets 1 198.51.100.57 (198.51.100.57) 0.640 ms 0.737 ms 0.686 ms 2 net1-gw1-13.cisco.com (198.51.100.101) 2.050 ms 2.038 ms 2.028 ms 3 net1-sec-gw2.cisco.com (198.51.100.201) 0.540 ms 0.591 ms 0.577 ms 4 net1-fp9300-19.cisco.com (198.51.100.108) 0.336 ms 0.267 ms 0.289 ms FP9300-A(local-mgmt)# |
ステップ 4 | (任意)local-mgmt モードを終了してトップレベル モードに戻るには、exit を入力します。 |
現在定義されているポート チャネルのステータスを判別するには、次の手順を実行します。
ステップ 1 | 次のコマンドを入力することにより、/eth-uplink/fabric モードに入ります。
例: FP9300-A# connect eth-uplink FP9300-A /eth-uplink # scope fabric a FP9300-A /eth-uplink/fabric # |
ステップ 2 | show
port-channel コマンドを入力すると、現在のポート チャネルとその管理状態および動作状態のリストが表示されます。 例: FP9300-A /eth-uplink/fabric # show port-channel Port Channel: Port Channel Id Name Port Type Admin State Oper State State Reason --------------- ---------------- ------------------ ----- ------ ---------------- ------------ 10 Port-channel10 Data Enabl ed Failed No operational members 11 Port-channel11 Data Enabl ed Failed No operational members 12 Port-channel12 Data Disab led Admin Down Administratively down 48 Port-channel48 Cluster Enabl ed Up FP9300-A /eth-uplink/fabric # |
ステップ 3 | 次のコマンドを入力すると /port-channel モードに入り、個々のポート チャネルとポート情報が表示されます。
例: FP9300-A /eth-uplink/fabric/port-channel # top FP9300-A# connect fxos Cisco Firepower Extensible Operating System (FX-OS) Software TAC support: http://www.cisco.com/tac Copyright (c) 2002-2017, Cisco Systems, Inc. All rights reserved. The copyrights to certain works contained in this software are owned by other third parties and used and distributed under license. <--- remaining lines removed for brevity ---> FP9300-A(fxos)# |
ステップ 4 | show コマンドを入力して、指定したポート チャネルのステータス情報を表示します。 例: FP9300-A /eth-uplink/fabric/port-channel # show Port Channel: Port Channel Id Name Port Type Admin State Oper State State Reason --------------- ---------------- ------------------ ----- ------ ---------------- ------------ 10 Port-channel10 Data Enabl ed Failed No operational members FP9300-A /eth-uplink/fabric/port-channel # |
ステップ 5 | show
member-port コマンドを入力して、ポート チャネルのメンバー ポートのステータス情報を表示します。 例: FP9300-A /eth-uplink/fabric/port-channel # show member-port Member Port: Port Name Membership Oper State State Reas on --------------- ------------------ ---------------- ---------- -- Ethernet2/3 Suspended Failed Suspended Ethernet2/4 Suspended Failed Suspended FP9300-A /eth-uplink/fabric/port-channel # ポート チャネルは、論理デバイスに割り当てるまで動作しないことに注意してください。ポート チャネルが論理デバイスから削除された場合や論理デバイスが削除された場合は、ポート チャネルが一時停止状態に戻ります。 |
ステップ 6 | 追加のポート チャネルおよび LACP 情報を表示するには、次のコマンドを入力することにより、 /eth-uplink/fabric/port-channel モードを終了して fxos モードに入ります。
例: |
ステップ 7 | show port-channel
summary コマンドを入力すると、現在のポート チャネルの概要情報が表示されます。 例: FP9300-A(fxos)# show port-channel summary Flags: D - Down P - Up in port-channel (members) I - Individual H - Hot-standby (LACP only) s - Suspended r - Module-removed S - Switched R - Routed U - Up (port-channel) M - Not in use. Min-links not met ------------------------------------------------------------- ------------------- Group Port- Type Protocol Member Ports Channel ------------------------------------------------------------- ------------------- 10 Po10(SD) Eth LACP Eth2/3(s) Eth2/4(s) 11 Po11(SD) Eth LACP Eth2/1(s) Eth2/2(s) 12 Po12(SD) Eth LACP Eth1/4(D) Eth1/5(D) 48 Po48(SU) Eth LACP Eth1/1(P) Eth1/2(P) fxos モードでは、さらに show port-channel コマンドおよび show lacp コマンドを使用できます。これらのコマンドを使用すると、容量、トラフィック、カウンタ、使用状況など、さまざまなポート チャネルおよび LACP 情報を表示することができます。 |
ポート チャネルの作成については、ポートチャネルの作成を参照してください。
システムが正常にブートできないソフトウェア障害が発生した場合は、以下の手順を実行して、ソフトウェアの新規バージョンをブートできます。このプロセスを実行するには、キックスタート イメージを TFTP ブートし、新規システムとマネージャ イメージをダウンロードし、新規イメージを使用してブートする必要があります。
特定の FXOS バージョンのリカバリ イメージは、以下のいずれかのロケーションの Cisco.com から入手できます。
Firepower 9300:https://software.cisco.com/portal/pub/download/portal/select.html?&mdfid=286287252&flowid=77282&softwareid=286287263
Firepower 4100 シリーズhttps://software.cisco.com/portal/pub/download/portal/select.html?&mdfid=286305187&flowid=79423&softwareid=286287263
リカバリ イメージには、3 つの異なるファイルが含まれます。たとえば、FXOS 2.1.1.64 の現在のリカバリ イメージを以下に示します。
Recovery image (kickstart) for FX-OS 2.1.1.64. fxos-k9-kickstart.5.0.3.N2.4.11.63.SPA Recovery image (manager) for FX-OS 2.1.1.64. fxos-k9-manager.4.1.1.63.SPA Recovery image (system) for FX-OS 2.1.1.64. fxos-k9-system.5.0.3.N2.4.11.63.SPA
ステップ 1 | ROMMON にアクセスします。 例: Cisco System ROMMON, version 1.0.09, RELEASE SOFTWARE Copright (c) 1994-2015 by Cisco Systems, Inc. Compiled Sun 01/01/1999 23:59:59:59.99 by user Current image running: Boot ROM0 Last reset cause: LocalSoft DIMM Slot 0 : Present DIMM Slot 1 : Present No USB drive !! Platform FPR9K-SUP with 16384 Mbytes of main memory MAC Address aa:aa:aa:aa:aa:aa find the string ! boot bootflash:/installables/switch/fxos-k9-kickstart.5.0.3.N2.0.00.00.SPA bootflash:/installables/switch/fxos-k9-system.5.0.3.N2.0.00.00.SPA Use BREAK, ESC or CTRL+L to interrupt boot. use SPACE to begin boot immediately. Boot interrupted. rommon 1 > | ||
ステップ 2 | キックスタート イメージを TFTP ブートします。 例: rommon 1 > set ADDRESS= NETMASK= GATEWAY= SERVER= IMAGE= PS1="ROMMON ! > " rommon 2 > address 10.0.0.2 rommon 3 > netmask 255.255.255.0 rommon 4 > gateway 10.0.0.1 rommon 5 > ping 10.0.0.2 ..!!!!!!!!!! Success rate is 100 percent (10/10) rommon 6 > ping 192.168.1.2 ..!!!!!!!!!! Success rate is 100 percent (10/10) rommon 7 > boot tftp://192.168.1.2/fxos-k9-kickstart.5.0.3.N2.1.11.1.SPA ADDRESS: 10.0.0.2 NETMASK: 255.255.255.0 GATEWAY: 10.0.0.1 SERVER: 192.168.1.2 IMAGE: fxos-k9-kickstart.5.0.3.N2.1.11.1.SPA TFTP_MACADDR: aa:aa:aa:aa:aa:aa ............................................................................ Receiving fxos-k9-kickstart.5.0.3.N2.1.11.1.SPA from 192.168.1.2 ############################################################################### ############################################################################### ############################################################################# File reception completed. | ||
ステップ 3 | Firepower 4100/9300 シャーシに直前にロードしたキックスタート イメージと一致するリカバリ システムとマネージャ イメージをダウンロードします。 例: switch(boot)# config terminal Enter configuration commands, one per line. End with CNTL/Z. switch(boot)(config)# interface mgmt 0 switch(boot)(config-if)# ip address 10.0.0.2 255.255.255.0 switch(boot)(config-if)# no shutdown switch(boot)(config-if)# exit switch(boot)(config)# ip default-gateway 10.0.0.1 switch(boot)(config)# exit switch(boot)# copy tftp://192.168.1.2/recovery_images/fxos-k9-system.5.0.3.N2.4.11.69.SPA bootflash: Trying to connect to tftp server...... Connection to server Established. Copying Started..... / TFTP get operation was successful Copy complete, now saving to disk (please wait)... switch(boot)# copy tftp://192.168.1.2/recovery_images/fxos-k9-manager.4.1.1.69.SPA bootflash: Trying to connect to tftp server...... Connection to server Established. Copying Started..... / TFTP get operation was successful Copy complete, now saving to disk (please wait)... switch(boot)# copy bootflash:fxos-k9-manager.4.1.1.69.SPA bootflash:nuova-sim-mgmt-nsg.0.1.0.001.bin Copy complete, now saving to disk (please wait)... switch(boot)# | ||
ステップ 4 | 直前にダウンロードしたシステム イメージをロードします。
switch(boot)# load bootflash:<system-image> 例: switch(boot)# load bootflash:fxos-k9-system.5.0.3.N2.4.11.69.SPA Uncompressing system image: bootflash:/fxos-k9-system.5.0.3.N2.4.11.69.SPA Manager image digital signature verification successful ... System is coming up ... Please wait ... Cisco FPR Series Security Appliance FP9300-A login: | ||
ステップ 5 | リカバリ イメージがロードされたら、以下のコマンドを入力して、システムが旧イメージをロードしないようにします。
FP9300-A# scope org FP9300-A /org # scope fw-platform-pack default FP9300-A /org/fw-platform-pack # set platform-bundle-version "" Warning: Set platform version to empty will result software/firmware incompatibility issue. FP9300-A /org/fw-platform-pack* # commit-buffer | ||
ステップ 6 | Firepower 4100/9300 シャーシで使用するプラットフォーム バンドル イメージをダウンロードしてインストールします。詳細については、イメージの管理を参照してください。 例: FP9300-A# scope firmware FP9300-A /firmware # show download-task Download task: File Name Protocol Server Port Userid State --------- -------- --------------- ---------- --------------- ----- fxos-k9.2.1.1.73.SPA Tftp 192.168.1.2 0 Downloaded FP9300-A /firmware # show package fxos-k9.2.1.1.73.SPA detail Firmware Package fxos-k9.2.1.1.73.SPA: Version: 2.1(1.73) Type: Platform Bundle State: Active Time Stamp: 2012-01-01T07:40:28.000 Build Date: 2017-02-28 13:51:08 UTC FP9300-A /firmware # |
スーパバイザのオンボード フラッシュが破損し、システムが正常に開始できなくなった場合は、次の手順を使用してシステムを回復できます。このプロセスを実行するには、キックスタート イメージを TFTP ブートし、フラッシュを再フォーマットし、新規システムとマネージャ イメージをダウンロードし、新規イメージを使用してブートする必要があります。
(注) | この手順には、システム フラッシュの再フォーマットが含まれています。その結果、回復後にはシステムを完全に再設定する必要があります。 |
特定の FXOS バージョンのリカバリ イメージは、以下のいずれかのロケーションの Cisco.com から入手できます。
Firepower 9300:https://software.cisco.com/portal/pub/download/portal/select.html?&mdfid=286287252&flowid=77282&softwareid=286287263
Firepower 4100 シリーズhttps://software.cisco.com/portal/pub/download/portal/select.html?&mdfid=286305187&flowid=79423&softwareid=286287263
リカバリ イメージには、3 つの異なるファイルが含まれます。たとえば、FXOS 2.1.1.64 の回復イメージを以下に示します。
Recovery image (kickstart) for FX-OS 2.1.1.64. fxos-k9-kickstart.5.0.3.N2.4.11.63.SPA Recovery image (manager) for FX-OS 2.1.1.64. fxos-k9-manager.4.1.1.63.SPA Recovery image (system) for FX-OS 2.1.1.64. fxos-k9-system.5.0.3.N2.4.11.63.SPA
ステップ 1 | ROMMON にアクセスします。 例: Cisco System ROMMON, version 1.0.09, RELEASE SOFTWARE Copright (c) 1994-2015 by Cisco Systems, Inc. Compiled Sun 01/01/1999 23:59:59:59.99 by user Current image running: Boot ROM0 Last reset cause: LocalSoft DIMM Slot 0 : Present DIMM Slot 1 : Present No USB drive !! Platform FPR9K-SUP with 16384 Mbytes of main memory MAC Address aa:aa:aa:aa:aa:aa find the string ! boot bootflash:/installables/switch/fxos-k9-kickstart.5.0.3.N2.0.00.00.SPA bootflash:/installables/switch/fxos-k9-system.5.0.3.N2.0.00.00.SPA Use BREAK, ESC or CTRL+L to interrupt boot. use SPACE to begin boot immediately. Boot interrupted. rommon 1 > | ||
ステップ 2 | キックスタート イメージを TFTP ブートします。 例: rommon 1 > set ADDRESS= NETMASK= GATEWAY= SERVER= IMAGE= PS1="ROMMON ! > " rommon 2 > address 10.0.0.2 rommon 3 > netmask 255.255.255.0 rommon 4 > gateway 10.0.0.1 rommon 5 > ping 10.0.0.2 ..!!!!!!!!!! Success rate is 100 percent (10/10) rommon 6 > ping 192.168.1.2 ..!!!!!!!!!! Success rate is 100 percent (10/10) rommon 7 > boot tftp://192.168.1.2/fxos-k9-kickstart.5.0.3.N2.1.11.1.SPA ADDRESS: 10.0.0.2 NETMASK: 255.255.255.0 GATEWAY: 10.0.0.1 SERVER: 192.168.1.2 IMAGE: fxos-k9-kickstart.5.0.3.N2.1.11.1.SPA TFTP_MACADDR: aa:aa:aa:aa:aa:aa ............................................................................ Receiving fxos-k9-kickstart.5.0.3.N2.1.11.1.SPA from 192.168.1.2 ############################################################################### ############################################################################### ############################################################################# File reception completed. | ||
ステップ 3 | キックスタート イメージをロードしたら、init system コマンドを使用してフラッシュを再フォーマットします。
init system コマンドを実行すると、システムにダウンロードされているすべてのソフトウェア イメージやシステムのすべての設定を含め、フラッシュの内容は消去されます。コマンドが完了するまで約 20 ~ 30 分かかります。 例: switch(boot)# init system This command is going to erase your startup-config, licenses as well as the contents of your bootflash:. Do you want to continue? (y/n) [n] y Detected 32GB flash... Initializing the system mke2fs 1.35 (28-Feb-2004) Checking for bad blocks (read-only test): done Initializing startup-config and licenses mke2fs 1.35 (28-Feb-2004) Checking for bad blocks (read-only test): done mke2fs 1.35 (28-Feb-2004) Checking for bad blocks (read-only test): done mke2fs 1.35 (28-Feb-2004) Checking for bad blocks (read-only test): done Formatting bootflash: mke2fs 1.35 (28-Feb-2004) Checking for bad blocks (read-only test): done Formatting SAM partition: mke2fs 1.35 (28-Feb-2004) Checking for bad blocks (read-only test): done Formatting Workspace partition: mke2fs 1.35 (28-Feb-2004) Checking for bad blocks (read-only test): done Formatting Sysdebug partition: mke2fs 1.35 (28-Feb-2004) Checking for bad blocks (read-only test): done | ||
ステップ 4 | リカバリ イメージを Firepower 4100/9300 シャーシへダウンロードします。 例: switch(boot)# config terminal Enter configuration commands, one per line. End with CNTL/Z. switch(boot)(config)# interface mgmt 0 switch(boot)(config-if)# ip address 10.0.0.2 255.255.255.0 switch(boot)(config-if)# no shutdown switch(boot)(config-if)# exit switch(boot)(config)# ip default-gateway 10.0.0.1 switch(boot)(config)# exit switch(boot)# copy tftp://192.168.1.2/recovery_images/fxos-k9-kickstart.5.0.3.N2.4.11.69.SPA bootflash: Trying to connect to tftp server...... Connection to server Established. Copying Started..... / TFTP get operation was successful Copy complete, now saving to disk (please wait)... switch(boot)# copy tftp://192.168.1.2/recovery_images/fxos-k9-system.5.0.3.N2.4.11.69.SPA bootflash: Trying to connect to tftp server...... Connection to server Established. Copying Started..... / TFTP get operation was successful Copy complete, now saving to disk (please wait)... switch(boot)# copy tftp://192.168.1.2/recovery_images/fxos-k9-manager.4.1.1.69.SPA bootflash: Trying to connect to tftp server...... Connection to server Established. Copying Started..... / TFTP get operation was successful Copy complete, now saving to disk (please wait)... switch(boot)# copy bootflash:fxos-k9-manager.4.1.1.69.SPA bootflash:nuova-sim-mgmt-nsg.0.1.0.001.bin Copy complete, now saving to disk (please wait)... switch(boot)# | ||
ステップ 5 | スイッチをリロードします。
switch(boot)# reload 例: switch(boot)# reload This command will reboot this supervisor module. (y/n) ? y [ 1866.310313] Restarting system. !! Rommon image verified successfully !! Cisco System ROMMON, Version 1.0.11, RELEASE SOFTWARE Copyright (c) 1994-2016 by Cisco Systems, Inc. Compiled Wed 11/23/2016 11:23:23.47 by builder Current image running: Boot ROM1 Last reset cause: ResetRequest DIMM Slot 0 : Present DIMM Slot 1 : Present No USB drive !! BIOS has been locked !! Platform FPR9K-SUP with 16384 Mbytes of main memory MAC Address: bb:aa:77:aa:aa:bb autoboot: Can not find autoboot file 'menu.lst.local' Or can not find correct boot string !! rommon 1 > | ||
ステップ 6 | キックスタート イメージおよびシステム イメージからブートします。
rommon 1 > boot <kickstart-image> <system-image>
例: rommon 1 > dir Directory of: bootflash:\ 01/01/12 12:33a <DIR> 4,096 . 01/01/12 12:33a <DIR> 4,096 .. 01/01/12 12:16a <DIR> 16,384 lost+found 01/01/12 12:27a 34,333,696 fxos-k9-kickstart.5.0.3.N2.4.11.69.SPA 01/01/12 12:29a 330,646,465 fxos-k9-manager.4.1.1.69.SPA 01/01/12 12:31a 250,643,172 fxos-k9-system.5.0.3.N2.4.11.69.SPA 01/01/12 12:34a 330,646,465 nuova-sim-mgmt-nsg.0.1.0.001.bin 4 File(s) 946,269,798 bytes 3 Dir(s) rommon 2 > boot fxos-k9-kickstart.5.0.3.N2.4.11.69.SPA fxos-k9-system.5.0.3.N2.4.11.69.SPA !! Kickstart Image verified successfully !! Linux version: 2.6.27.47 (security@cisco.com) #1 SMP Thu Nov 17 18:22:00 PST 2016 [ 0.000000] Fastboot Memory at 0c100000 of size 201326592 Usage: init 0123456SsQqAaBbCcUu INIT: version 2.86 booting POST INIT Starts at Sun Jan 1 00:27:32 UTC 2012 S10mount-ramfs.supnuovaca Mounting /isan 3000m Mounted /isan Creating /callhome.. Mounting /callhome.. Creating /callhome done. Callhome spool file system init done. Platform is BS or QP MIO: 30 FPGA Version 0x00010500 FPGA Min Version 0x00000600 Checking all filesystems..r.r..r done. Warning: switch is starting up with default configuration Checking NVRAM block device ... done . FIPS power-on self-test passed Unpack CMC Application software Loading system software Uncompressing system image: bootflash:/fxos-k9-system.5.0.3.N2.4.11.69.SPA Manager image digital signature verification successful ... System is coming up ... Please wait ... nohup: appending output to `nohup.out' ---- Basic System Configuration Dialog ---- This setup utility will guide you through the basic configuration of the system. Only minimal configuration including IP connectivity to the Fabric interconnect and its clustering mode is performed through these steps. Type Ctrl-C at any time to abort configuration and reboot system. To back track or make modifications to already entered values, complete input till end of section and answer no when prompted to apply configuration. You have chosen to setup a new Security Appliance. Continue? (y/n): | ||
ステップ 7 | イメージのロードが完了すると、システムにより初期構成設定を入力するように求められます。詳細については、初期設定を参照してください。 | ||
ステップ 8 | Firepower 4100/9300 シャーシで使用するプラットフォーム バンドル イメージをダウンロードします。プラットフォーム バンドル イメージのバージョンは、システムの回復に使用するイメージと対応している必要があります。詳細については、イメージの管理を参照してください。 例: FP9300-A# scope firmware FP9300-A /firmware # show download-task Download task: File Name Protocol Server Port Userid State --------- -------- --------------- ---------- --------------- ----- fxos-k9.2.1.1.73.SPA Tftp 192.168.1.2 0 Downloaded FP9300-A /firmware # show package fxos-k9.2.1.1.73.SPA detail Firmware Package fxos-k9.2.1.1.73.SPA: Version: 2.1(1.73) Type: Platform Bundle State: Active Time Stamp: 2012-01-01T07:40:28.000 Build Date: 2017-02-28 13:51:08 UTC FP9300-A /firmware # | ||
ステップ 9 | プラットフォーム バンドルが正常にダウンロードされたら、後でシステムをロードするときに使用できるように、キックスタート イメージとシステム イメージを手動でアクティブにする必要があります。実行中のバージョンと推奨されるスタートアップ バージョンとが一致するため、破損したファイル システムからの回復時にこの手順を使用する場合には、自動アクティベーションは実行されません。 例: FP9300-A /firmware # top FP9300-A# scope fabric-interconnect a FP9300-A /fabric-interconnect # show version Fabric Interconnect A: Running-Kern-Vers: 5.0(3)N2(4.11.69) Running-Sys-Vers: 5.0(3)N2(4.11.69) Package-Vers: 2.1(1.73) Startup-Kern-Vers: Startup-Sys-Vers: Act-Kern-Status: Ready Act-Sys-Status: Ready Bootloader-Vers: FP9300-A /fabric-interconnect # activate firmware kernel-version 5.0(3)N2(4.11.69) system-version 5.0(3)N2(4.11.69) Warning: When committed this command will reset the end-point FP9300-A /fabric-interconnect* # commit-buffer FP9300-A /fabric-interconnect # show version Fabric Interconnect A: Running-Kern-Vers: 5.0(3)N2(4.11.69) Running-Sys-Vers: 5.0(3)N2(4.11.69) Package-Vers: 2.1(1.73) Startup-Kern-Vers: 5.0(3)N2(4.11.69) Startup-Sys-Vers: 5.0(3)N2(4.11.69) Act-Kern-Status: Activating Act-Sys-Status: Activating Bootloader-Vers: FP9300-A /fabric-interconnect # show version Fabric Interconnect A: Running-Kern-Vers: 5.0(3)N2(4.11.69) Running-Sys-Vers: 5.0(3)N2(4.11.69) Package-Vers: 2.1(1.73) Startup-Kern-Vers: 5.0(3)N2(4.11.69) Startup-Sys-Vers: 5.0(3)N2(4.11.69) Act-Kern-Status: Ready Act-Sys-Status: Ready Bootloader-Vers: | ||
ステップ 10 | システムを再起動します。 例: FP9300-A /fabric-interconnect # top FP9300-A# scope chassis 1 FP9300-A /chassis # reboot no-prompt Starting chassis reboot. Monitor progress with the command "show fsm status" FP9300-A /chassis # システムは Firepower 4100/9300 シャーシの電源を最終的にオフにしてから再起動する前に、各セキュリティ モジュール/エンジンの電源をオフにします。このプロセスには約 5 ~ 10 分かかります。 | ||
ステップ 11 | システムのステータスをモニタします。サーバのステータスは「検出(Discovery)」から「構成(Config)」、最終的には「OK」へと変わります。 例: FP9300-A# show server status Server Slot Status Overall Status Discovery ------- --------------------------------- --------------------- --------- 1/1 Equipped Discovery In Progress 1/2 Equipped Discovery In Progress 1/3 Empty FP9300-A# show server status Server Slot Status Overall Status Discovery ------- --------------------------------- --------------------- --------- 1/1 Equipped Config Complete 1/2 Equipped Config Complete 1/3 Empty FP9300-A# show server status Server Slot Status Overall Status Discovery ------- --------------------------------- --------------------- --------- 1/1 Equipped Ok Complete 1/2 Equipped Ok Complete 1/3 Empty 総合的なステータスが「OK」になれば、システムは回復したことになります。引き続き、セキュリティ アプライアンス(ライセンス設定を含む)を再設定し、論理デバイスがあれば再作成する必要があります。詳細については、次を参照してください。
|