Cisco Nexus 9000 シリーズ FPGA/EPLD アップグレード リリース ノート、リリース9.3(5)
このドキュメントでは、EPLD イメージの現在および過去のバージョンの一覧を示し、Cisco Nexus 9000 シリーズ スイッチで使用するためにそれらのイメージを更新する方法について説明します。
次の表には、このマニュアルの変更点を一覧に表示しています。
Cisco Nexus 9000 シリーズ NX-OS モードスイッチのすべてのモジュールにはハードウェア機能の為の複数の Progurammable Logical Device(PLD)が含まれているので、すべてのモジュールでハードウェア機能を使用できます。シスコは Electronic Programmable Logic Device(EPLD)イメージ アップグレードを提供し、ハードウェア機能の強化や既知の問題の解決を行っています。PLD には、Electronic Programmable Logic Device(EPLD)、Field Programmable Gate Array(FPGA)、Complex Programmable Logic Device(CPLD)が含まれますが、ASIC は含まれません。このマニュアルでは、EPLD という用語で FPGA および CPLD も表します。
一部のモジュール機能に EPLD を装備すると、モジュール機能のアップグレードが必要になったときに、ハードウェアを交換せずにソフトウェア イメージをアップグレードするだけで済むという利点があります。
EPLD イメージのアップグレードが使用可能になると、リリースノートで使用可能であることが告知され、https://software.cisco.com/download/navigator.html で EPLD イメージをダウンロードできるようになります。
注: EPLD アップグレード操作は、中断を伴う操作です。この操作の実行は、予定されたメンテナンス時間に限定してください。システム ISSU のアップグレードは、中断を伴いません。
注:ISSU システムのアップグレード中は、EPLD アップグレードを実行しないでください。
Cisco Nexus 9000 シリーズスイッチが Cisco NX-OS オペレーションシステムを実行していること
コンソール、SSH、または Telnet を介してスイッチにアクセスできる必要があります (NX-OS モードで実行されているスイッチの設定に必要)。
Cisco Nexus 9000 シリーズ スイッチを操作するには、管理者権限が必要です。
ソフトウェア ダウンロード ページからダウンロードできる各 EPLD イメージは、EPLD アップグレードのバンドルです。Cisco Nexus 9200、9300、9300-EX、9300-FX、および 9500 プラットフォームの最近更新された EPLD バージョンを確認するには、次の表を参照してください。
注:イメージに対するすべての更新は、太字で示されています。1 つの列に複数のリリースが表示されている場合、その列にリストされている最初のリリースが太字になります。
注:EPLD の 10.2(3) リリースは、Nexus 3K および Nexus 9000 シリーズスイッチのセキュアブートハードウェア改ざんの脆弱性に対処しています。セキュリティ アドバイザリを参照してください。
パッチの適用方法の詳細については、対象の HW-PID(下の表を参照)のアドバイザリを確認してください。9.3(5) リリース epld では、指定された順序でのアップグレードが必要です。
セキュリティアドバイザリ(cisco-sa-20190513-secureboot)で対処された脆弱性のある製品
注: N3K-C36180YC-R および N3K-C3636C-R の場合、CPU FPGA に修正があるため、IO ではなく CPU FPGA を探してください。
次のセクションでは、https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot にリストされている対象スイッチの EPLD バージョンの更新について詳しく説明します。
重要な注意:
特にこの脆弱性に対処するには、FPGA のゴールデンリージョンとプライマリリージョンの両方を更新する必要があります。 仕様により、プライマリとゴールデンの両方を同時に更新することは許可されていません(プログラミングエラーが発生しスイッチが起動しなくなる可能性を避けるため、プログラムできるのはリロードごとに 1 つのリージョンのみです)。
修正バージョンになった後は、FPGA のゴールデンリージョンをアップグレードしないでください。
1. EPLD イメージをブートフラッシュにコピーします(例:n9000-epld.10.2.3.img を使用)。
3. スタンバイスーパーバイザがスロット 28 であると仮定します。スタンバイスーパーバイザのプライマリ FPGA リージョンを更新します。
install epld bootflash:n9000-epld.9.3.5.img module 28
想定される結果:スイッチはスタンバイスーパーバイザのプライマリ EPLD を更新し、スタンバイ スーパーバイザ モジュールを自動的にリロードします。EPLD の更新が行われているときに、中断、電源の再投入、またはリロードを行わないでください。スタンバイが起動すると、スタンバイスーパーバイザとして再び機能します。「show version module 28 epld」では、引き続き古いバージョンが表示されます。
27 0 Supervisor Module N9K-SUP-A active *
28 0 Supervisor Module N9K-SUP-A ha-standby
switch# show version module 28 epld
---------------------------------------
スイッチはまだ更新されていないゴールデン FPGA から起動するため、この表示は想定内です。syslog で次のように確認できます。
%CARDCLIENT-5-MOD_BOOT_GOLDEN: Module 28 IOFPGA booted from Golden
4. スタンバイスーパーバイザのゴールデン(バックアップとも呼ばれる)FPGA リージョンを更新します。
install epld bootflash:n9000-epld.9.3.1.img module 28 golden
Module 28 : IO FPGA [Programming ] : 100.00% ( 64 of 64 total sectors)
Module 28 EPLD upgrade is successful.
------ ------------------ --------------
想定される結果:スイッチは スタンバイスーパーバイザのゴールデン EPLD を更新し、スタンバイ スーパーバイザ モジュールを自動的にリロードします。EPLD の更新が行われているときに、中断、電源の再投入、またはリロードを行わないでください。スタンバイが起動すると、再び ha-standby スーパーバイザとして機能します。
完了後、「show version module 28 epld」をチェックすると、スタンバイスーパーバイザの修正バージョン以上の FPGA バージョンが表示されます。これで、スイッチのスタンバイスーパーバイザが修正済みバージョンになります。
switch# show version module 28 epld
---------------------------------------
アクティブなスーパーバイザについて、ステップ 3 と 4 を繰り返します。ステップ 3 の最後に、スロット 27 のスーパーバイザがリロードされるため、スタンバイスーパーバイザになります。アクティブなスーパーバイザは、スロット 28 のスーパーバイザになります。
(SUP 27 が最初にアクティブであることを考慮すると、ステップ 3 および 4 などの上記のアクティビティでは、コマンドは 28 ではなく 27 になります。)
以下のログは、アクティブなスーパーバイザに対して epld のアップグレードが発生したときに何が起こるかを示しています。
Module 27 : IO FPGA [Programming] : 100.00% ( 64 of 64 sectors)
Module 27 EPLD upgrade is successful.
------ ------------------ --------------
EPLDs upgraded. Performing switchover.
スロット 27 のスーパーバイザが ha-standby になったら、スロット 27 でステップ 4 を完了させると、再起動して ha-standby になります。これで、両方のスーパーバイザに、FPGA の脆弱性修正バージョンが含まれることになります。
アップグレードの最後に、スイッチは両方の SUP のプライマリで起動する必要があります。ログは以下のとおりです。
switch# show logging log | grep -i fpga | grep -i 27
2019 Jul 10 07:55:04 switch %CARDCLIENT-5-MOD_BOOT_PRIMARY: Module 27 IOFPGA booted from Primary
switch# show logging log | grep -i fpga | grep -i 28
2019 Jul 10 07:58:01 switch %CARDCLIENT-5-MOD_BOOT_PRIMARY: Module 28 IOFPGA booted from Primary
重要な注意:
特にこの脆弱性に対処するには、FPGA のゴールデンリージョンとプライマリリージョンの両方を更新する必要があります。 仕様により、プライマリとゴールデンの両方を同時に更新することは許可されていません(プログラミングエラーが発生しスイッチが起動しなくなる可能性を避けるため、プログラムできるのはリロードごとに 1 つのリージョンのみです)。
修正バージョンになった後は、FPGA のゴールデンリージョンをアップグレードしないでください。
1.EPLD イメージをブートフラッシュにコピーします(例:n9000-epld.10.2.3.img を使用)。
2.スーパーバイザがスロット 27 にあると仮定します。プライマリ FPGA リージョンを更新します。
install epld bootflash:n9000-epld.9.3.5.img module 27
想定される結果:スイッチはスーパーバイザのプライマリ EPLD を更新し、スイッチを自動的にリロードします。EPLD の更新が行われているときに、中断、電源の再投入、またはリロードを行わないでください。スーパーバイザが起動すると、「show version module 27 epld」では、引き続き古いバージョンが表示されます。
Switch#show version module 27 epld
-------------------------------------------------------------------
-------------------------------------------------------------------
IO FPGA 0 0x27 20160111
BIOS version v08.35(08/31/2018)
Alternate BIOS version v08.32(10/18/2016)
スイッチはまだ更新されていないゴールデン FPGA から起動するため、この表示は想定内です。syslog で次のように確認できます。
%CARDCLIENT-5-MOD_BOOT_GOLDEN: Module 27 IOFPGA booted from Golden
3. このケースではスーパーバイザは 1 つしかないため、ゴールデン(バックアップとも呼ばれる)FPGA リージョンを更新します。
install epld bootflash:n9000-epld.9.3.5.img module 27 golden
Module 27 : IO FPGA [Programming ] : 100.00% ( 64 of 64 total sectors)
Module 27 EPLD upgrade is successful.
------ ------------------ --------------
想定される結果:スイッチはスーパーバイザのゴールデン EPLD を更新し、スイッチを自動的にリロードします。EPLD の更新が行われているときに、中断、電源の再投入、またはリロードを行わないでください。
完了後、「show version module 27 epld」をチェックすると、スーパーバイザの修正バージョン以上の FPGA バージョンが表示されます。これで、スーパーバイザに、FPGA の脆弱性修正バージョンが含まれることになります。
SWITCH# show version module 27 epld
-------------------------------------------------------------------
-------------------------------------------------------------------
IO FPGA 0 0x30 20190625
BIOS version v08.35(08/31/2018)
Alternate BIOS version v08.32(10/18/2016)
アップグレードの最後に、スイッチは SUP のプライマリで起動する必要があります。ログは以下のとおりです。
switch# show logging log | grep -i fpga | grep -i 27
2019 Jul 10 07:55:04 switch %CARDCLIENT-5-MOD_BOOT_PRIMARY: Module 27 IOFPGA booted from Primary
修正バージョンになっている FPGA のゴールデンリージョンをアップグレードしようとすると、SUP のゴールデンリージョンを自動的にアップグレードすることはできず、次のプロンプトが表示されます。
switch# install epld bootflash:n9000-epld.9.2.5.img module all golden
Digital signature verification is successful
Module Type Upgradable Impact Reason
------ ----------------- ---------- ---------- ------
22 FM Yes disruptive Module Upgradable
24 FM Yes disruptive Module Upgradable
27 SUP No none Golden Not Upgradable
28 SUP No none Golden Not Upgradable
29 SC Yes disruptive Module Upgradable
30 SC Yes disruptive Module Upgradable
Retrieving EPLD versions.... しばらくお待ちください。
Images will be upgraded according to following table:
Module Type EPLD Running-Version New-Version Upg-Required
------ ---- ------------- --------------- ----------- ------------
Module 27 (EPLD ver 0x29) Golden upgrade not supported
Module 28 (EPLD ver 0x30) Golden upgrade not supported
The above modules require upgrade.
Do you want to continue (y/n) ? [n] y
重要な注意:
特にこの脆弱性に対処するには、FPGA のゴールデンリージョンとプライマリリージョンの両方を更新する必要があります。 仕様により、プライマリとゴールデンの両方を同時に更新することは許可されていません(プログラミングエラーが発生しスイッチが起動しなくなる可能性を避けるため、プログラムできるのはリロードごとに 1 つのリージョンのみです)。
修正バージョンになった後は、FPGA のゴールデンリージョンをアップグレードしないでください。
1. EPLD イメージをブートフラッシュにコピーします(例:n9000-epld.10.2.3.img を使用)。
install epld bootflash:n9000-epld.9.3.5.img module 1
想定される結果:スイッチは EPLD を更新し、自動的にリロードします。EPLD の更新が行われているときに、中断、電源の再投入、またはリロードを行わないでください。 スイッチはゴールデン FPGA で起動するため、「show version module 1 epld」は IO の古い Fpga バージョンを表示します。これは予想どおりの結果です。
-------------------------------------------------------------------
-------------------------------------------------------------------
IO FPGA 0 0x06 20180920
BIOS version v01.14(06/15/2019)
Alternate BIOS version v01.12(07/25/2018)
%CARDCLIENT-5-MOD_BOOT_GOLDEN: Module 1 IOFPGA booted from Golden
%CARDCLIENT-2-FPGA_BOOT_GOLDEN: IOFPGA booted from Golden
3. ゴールデン(バックアップとも呼ばれる)FPGA リージョンを更新します。
install epld bootflash:n9000-epld.9.3.5.img module 1 golden
想定される結果:スイッチは EPLD を更新し、自動的にリロードします。EPLD の更新が行われているときに、中断、電源の再投入、またはリロードを行わないでください。
完了後、「show version module 1 epld」をチェックすると、修正バージョン以上の FPGA バージョンが表示されます。
-------------------------------------------------------------------
-------------------------------------------------------------------
IO FPGA 0 0x07 20180920
BIOS version v01.14(06/15/2019)
Alternate BIOS version v01.12(07/25/2018)
アップグレードが完了すると、スイッチはプライマリで起動します。以下のログが表示されます。
show logging log | grep -i fpga
2019 Jul 9 19:46:11 Deervalley4 %CARDCLIENT-2-FPGA_BOOT_PRIMARY: IOFPGA booted from Primary
2019 Jul 9 19:46:11 Deervalley4 %CARDCLIENT-2-FPGA_BOOT_PRIMARY: MIFPGA booted from Primary
2019 Jul 9 19:46:11 Deervalley4 %CARDCLIENT-5-MOD_BOOT_PRIMARY: Module 1 IOFPGA booted from Primary
2019 Jul 9 19:46:11 Deervalley4 %CARDCLIENT-5-MOD_BOOT_PRIMARY: Module 1 MIFPGA booted from Primary
注: N3K-C36180YC-R および N3K-C3636C-R の場合、CPU FPGA に修正があるため、IO ではなく CPU FPGA を探してください。
Cisco Nexus 9200、9300、9300-EX、および 9300-FX プラットフォームスイッチで利用可能な EPLD イメージ
0x8 (0.008) |
0x8 (0.008) |
0x8 (0.008) |
|||
0x9 (0.009) |
0x9 (0.009) |
0x9 (0.009) |
|||
なし1 |
なし1 |
なし1 |
|||
なし1 |
なし1 |
なし1 |
|||
Cisco Nexus 93180YC-FX3S |
IOFPGA |
なし1 |
なし1 |
なし1 |
0x12 (0.018) |
MIFPGA |
なし1 |
なし1 |
なし1 |
0x15 (0.021) |
|
0x8 (0.008) |
0x8 (0.008) |
0x8 (0.008) |
0x8 (0.008) |
||
0x12 (0.018) |
0x12 (0.018) |
0x12 (0.018) |
0x12 (0.018) |
||
Cisco Nexus 9500 プラットフォーム スイッチで使用可能な EPLD イメージ
R ラインカード搭載の Cisco Nexus 9500 プラットフォーム スイッチで使用可能な EPLD イメージ
EPLD イメージ番号によっては、アップグレードをスキップできます。
EPLD イメージをインストール用に準備する前に、FTP サーバまたは管理サーバに EPLD イメージをダウンロードする必要があります。
CLI コマンドを使用して EPLD イメージをアップグレードするには、次のガイドラインに従ってください。
■ EPLD イメージをアップグレードする前に、Cisco NX-OS オペレーティング システムをイメージに必要なレベルにアップデートしていることを確認します。また、EPLD イメージ ファイルがあることを確認してください。
■ アクティブなスーパーバイザ モジュールからしかアップグレードを実行できません。このアップグレードは、次のように、モジュールの 1 つまたはすべてに対応します。
■ アップグレードを中断する場合は、中断中にアップグレードしていたモジュールをもう一度アップグレードを適用する必要があります。
■ アップグレード プロセスにより、対象モジュールのトラフィックが中断されます。
■ EPLD のアップグレード中に、モジュールの挿入や取り外しは行わないでください。
注意 : EPLD をアップグレードする場合は、インストールされているソフトウェアと同じバージョンの EPLD を使用することをお勧めします。ただし、インストールされている EPLD のバージョンがインストールしているソフトウェアよりも新しい場合は、EPLD をダウングレードする必要はありません。
スイッチまたはそのモジュールの EPLD アップグレードを確認するには、次のように show version module slot-number epld コマンドを使用します。
■ モジュラ スイッチ(Cisco Nexus 9500 プラットフォーム スイッチ)のモジュールのアップデートを確認するには、slot-number
switch# show version module 22 epld にシャーシ スロット番号を指定します。
■ トップオブラック スイッチ(Cisco Nexus 9200、9300、および 9300-EX プラットフォーム)の更新を確認するには、slot-number.
switch# show version module 1 epld に 1 を使用します。
スイッチの EPLD のステータスを表示するには、show install epld status コマンドを使用します。
EPLD をアップグレードする際は、次のガイドラインと観察事項が適用されます。
■ モジュールがオンラインでない場合、そのモジュールの EPLD イメージをアップグレードできません。
■ スイッチに 2 つのスーパーバイザがインストールされている場合(Cisco Nexus 9504、9508、および 9516 スイッチのみ)、次のコマンドを使用して、スタンバイだけをアップグレードすることも、すべてのモジュール(両方のスーパーバイザモジュールを含む)をアップグレードすることもできます。
— install epld bootflash: image module standby-supervisor-slot-number(スタンバイ スーパーバイザ モジュールのみをアップグレード)
注:このコマンドを使用すると、アクティブおよびスタンバイ スーパーバイザ モジュールをスイッチオーバーしてから、もう片方のスーパーバイザをアップグレードできます。
— install epld bootflash: image module all(すべてのモジュールをアップグレード)
■ スイッチにインストールされているスーパーバイザが 1 つだけの場合、EPLD イメージのアップグレードまたはダウングレードには、中断を伴います。
Cisco NX-OS 9000 シリーズ全体のマニュアルセットを参照してください。
Cisco NX-OS 9000 シリーズ全体のリリースノートセットを参照してください。
Cisco および Cisco ロゴは、Cisco Systems, Inc. またはその関連会社の米国およびその他の国における登録商標または商標です。シスコの商標の一覧は、http://www.cisco.com/web/JP/trademark_statement.html でご確認いただけます。Third-party trademarks mentioned are the property of their respective owners. 「パートナー」という用語の使用は Cisco と他社との間のパートナーシップ関係を意味するものではありません。(1110R)。
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアルの中の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際の IP アドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。
© 2020 Cisco Systems, Inc. All rights reserved.