ファームウエア アップグレードについて

ファームウェア アップグレード プロセスは、 Firepower 4100/9300 シャーシスーパーバイザ上の ROMMON、FPGA、SSD ファームウェアをアップグレードするため、および取り付け済みネットワークモジュールの FPGA をアップグレードするために使用されます。

はじめる前に

Firepower 4100/9300 シャーシ でファームウェアをアップグレードする前に、次の準備を行う必要があります。

  • 現在のクリティカル(危機的)およびメジャー(重大)障害をすべて確認します。

  • 設定をバックアップします。

特記事項

Firepower 4100/9300 シャーシ はファームウェア アップグレード プロセスの一部として再起動します。アップグレードされるソフトウェアに応じて、システムは数分から最大 20 分までダウンする可能性があります。状況に応じたアップグレードを計画してください。

ファームウェアモードで install firmware pack-versionversion_number verify-only コマンドを使用すると、インストールする予定の新しいファームウェアパッケージを事前に確認できます。これにより、ファームウェアをアップグレードするためのメンテナンス期間をスケジュールする前に、予期しない結果を認識することができます。

アップグレード中は、システムの電源が失われないようにすることが重要です。アップグレード中に電源喪失が発生するとシステムが破損する可能性があり、RMA が必要となります。

FXOS のバグにより、SUP ファームウェアのアップグレード中に SSD ファームウェアのアップグレードがスキップされます。この問題を回避するには、ファームウェアをアップグレードする前に、FXOS バージョンを次のいずれかのバージョンにアップグレードします。

  • 2.6 の 2.6.1.234 以降のリリース

  • 2.8 の 2.8.1.164 以降のリリース

  • 2.9 の 2.9.1.155 以降のリリース

  • 2.10 の 2.10.1.165 以降のリリース

  • 2.11.1.70 以降

ROMMON、FPGA、SSD を含むすべてのファームウェアをアップグレードする場合、ファームウェアのアップグレードが完了するまでに最大 20 分かかります。さらに、シャーシを再起動して、シャーシ、ブレード、およびアプリケーションを起動するには、30 分かかります。

何らかの理由でアップグレードが失敗した場合は、Cisco TAC(https://www.cisco.com/c/en/us/support/index.html)に連絡してください。ユニットの電源を再投入しないでください。

ファームウェア アップグレード パッケージ

次の表に、Firepower 4100/9300 シャーシ で使用可能なファームウェア アップグレード パッケージを示します。


(注)  

ファームウェアパッケージ内のコンポーネントのバージョン番号は、ファームウェアパッケージ自体のバージョン番号と必ずしも一致しません。
表 1. Firepower 4100/9300 ファームウェア アップグレード パッケージ

Version

サポートされるモデル

パッケージファイルの名前と内容

説明

1.0.19

Firepower 4150

Firepower 4145

Firepower 4140

Firepower 4125

Firepower 4120

Firepower 4115

Firepower 4112

Firepower 4110

ファームウェアパッケージ:fxos-k9-fpr4k-firmware.1.0.19.SPA

  • ROMMON:fxos-k9-fpr4k-rommon.1.0.15.SPA

  • スーパーバイザ FPGA:ffxos-k9-fpr4k-fpga2.0.0.SPA

  • ネットワークモジュール:該当なし

  • SSD:

    fxos-k9-fpr4k-ssd.MU03.SPA

    fxos-k9-fpr4k-ssd.MU04.SPA

(注)  

 

  • このファームウェアアップグレードは包括的なシステムレベルのアップグレードであり、デバイスに特定の SSD タイプ(Micron_M500IT_* など)がある場合にのみ実行されるため、以前のファームウェアアップグレードと比較して、アップグレードの完了に時間がかかります。アップグレードプロセスは、全体で最大 20 分かかる場合があります。

  • SSD タイプが Micron_M500IT_* 以外で、ファームウェアと FPGA が 1.0.18 ですでに実行されている場合、FXOS ファームウェアのアップグレードはスキップされ、「操作の必要はありません(No action required)」というメッセージが表示されます。これは、ROMMON と FPGA が最新であり、SSD モデルが適用されないためです。

ヒント

 

ROMMON および FPGA ファームウェアをバージョン 1.0.19 に正常にアップグレードするには、SSD タイプ Micron_M500IT_* は必須ではありません。SSD タイプが Micron_M500IT_* ではなく、シャーシに 1.0.17 以前の既存のファームウェア パッケージ バージョンがある場合、SSD ファームウェアをアップグレードしなくても、ROMMON および FPGA ファームウェアを 1.0.19 にアップグレードできます。

(注)  

 

「scope chassis 1」の「show sup version」の出力にある ROMMON/FPGA ファームウェアパッケージのバージョンは、既存の ROMMON/FPGA バージョンがターゲットイメージと異なるバージョン(以前のバージョン)の場合に更新されます(たとえば、ファームウェアバージョン 1.0.19 と 1.0.17 以前)。

Firepower 9300

ファームウェアパッケージ:fxos-k9-fpr9k-firmware.1.0.19.SPA

  • ROMMON:fxos-k9-fpr9k-rommon.1.0.15.SPA

  • スーパーバイザ FPGA:fxos-k9-fpr9k-fpga.2.0.0.SPA

  • ネットワークモジュール FPGA:fxos-k9-fpr-dnm-2x100g-epm-fpga.1.2.0.SPA

  • SSD:

    fxos-k9-fpr9k-ssd.MU03.SPA

    fxos-k9-fpr9k-ssd.MU04.SPA

1.0.18

Firepower 4150

Firepower 4145

Firepower 4140

Firepower 4125

Firepower 4120

Firepower 4115

Firepower 4112

Firepower 4110

ファームウェアパッケージ:fxos-k9-fpr4k-firmware.1.0.18.SPA

  • ROMMON:fxos-k9-fpr4k-rommon.1.0.15.SPA

  • スーパーバイザ FPGA:fxos-k9-fpr4k-fpga.2.00.SPA

  • ネットワークモジュール:該当なし

(注)  

 

このファームウェアアップグレードは包括的なシステムレベルのアップグレードであり、以前のファームウェア アップグレードに比べて完了までに時間がかかります。アップグレードプロセスは、全体で最大 20 分かかる場合があります。

ファームウェアバージョンが 1.0.18 から 1.0.19 にアップグレードされた場合、両方のファームウェアパッケージに同じ ROMMON バージョン 1.0.15 および FPGA バージョン 2.00 があるため、「scope chassis 1」の「show sup version」の出力にある ROMMON/FPGA ファームウェア パッケージ バージョンは、1.0.18 のままです。このような場合、ROMMON/FPGA ファームウェアは、SSD ファームウェアのアップグレードステータスに関係なくアップグレードされません。

(注)  

 

「scope chassis 1」の「show sup version」の出力にある ROMMON/FPGA ファームウェアパッケージのバージョンは、既存の ROMMON/FPGA バージョンがターゲットイメージと異なるバージョン(以前のバージョン)の場合に更新されます(たとえば、ファームウェアバージョン 1.0.19 と 1.0.17 以前)。

Firepower 9300

ファームウェアパッケージ:fxos-k9-fpr9k-firmware.1.0.18.SPA

  • ROMMON:fxos-k9-fpr9k-rommon.1.0.15.SPA

  • スーパーバイザ FPGA:fxos-k9-fpr9k-fpga.2.00.SPA

  • ネットワークモジュール FPGA:fxos-k9-fpr-dnm-2x100g-epm-fpga.1.2.0.SPA

1.0.17

Firepower 9300

ファームウェアパッケージ:fxos-k9-fpr9k-firmware.1.0.17.SPA

  • ROMMON:fxos-k9-fpr9k-rommon.1.0.14.SPA

  • スーパーバイザ FPGA:fxos-k9-fpr9k-fpga.1.06.SPA

  • ネットワークモジュール FPGA:fxos-k9-fpr-dnm-2x100g-epm-fpga.1.2.0.SPA

Firepower 2 ポート100G ネットワークモジュールの重要な修正が含まれています。詳細については、以下を参照してください。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190220-firpwr-dos

  • CSCvn57812

    - Cisco FP 9000 FP 2 ポート 100G 倍幅ネットワーク モジュール キュー ウェッジ DoS 脆弱性 nyshen

(注)  

 

「scope chassis 1」の「show sup version」の出力にある ROMMON/FPGA ファームウェアパッケージのバージョンは、既存の ROMMON/FPGA バージョンがターゲットイメージと異なるバージョン(以前のバージョン)の場合に更新されます(たとえば、ファームウェアバージョン 1.0.19 と 1.0.17 以前)。

1.0.16

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4112

Firepower 4110

ファームウェアパッケージ:fxos-k9-fpr4k-firmware.1.0.16.SPA

  • ROMMON:fxos-k9-fpr4k-rommon.1.0.14.SPA

  • スーパーバイザ FPGA:fxos-k9-fpr4k-fpga.1.06.SPA

  • ネットワークモジュール FPGA:該当なし

スーパーバイザ FPGAが改善され、シャーシがリブートされるたびに Firepower 4100 シリーズ セキュリティ アプライアンスのセキュリティエンジンが再起動するように修正されました。1.0.16 ファームウェアパッケージには、Firepower 4100/9300 セキュリティアプライアンスの製造過程で使用される新しい SPI フラッシュ部品をサポートするための、スーパーバイザ ROMMON に対するアップデートも含まれています。新しい SPI フラッシュを使用するすべての Firepower 4100/9300 セキュリティアプライアンスは、ファームウェアが更新されています。

Firepower 9300 セキュリティアプライアンスで Firepower 2 ポート100G ネットワークモジュール(FPR9K-NM-2X100G)または Firepower 4 ポート100G ネットワークモジュール(FPR9K-NM-4X100G)を使用する前に必要です。

(注)  

 

「scope chassis 1」の「show sup version」の出力にある ROMMON/FPGA ファームウェアパッケージのバージョンは、既存の ROMMON/FPGA バージョンがターゲットイメージと異なるバージョン(以前のバージョン)の場合に更新されます(たとえば、ファームウェアバージョン 1.0.19 と 1.0.17 以前)。

Firepower 9300

ファームウェアパッケージ:fxos-k9-fpr9k-firmware.1.0.16.SPA

  • ROMMON:fxos-k9-fpr9k-rommon.1.0.14.SPA

  • スーパーバイザ FPGA:fxos-k9-fpr9k-fpga.1.06.SPA

  • ネットワークモジュール FPGA:該当なし

1.0.12

Firepower 4150

Firepower 4140

Firepower 4120

Firepower 4112

Firepower 4110

ファームウェアパッケージ:fxos-k9-fpr4k-firmware.1.0.12.SPA

  • ROMMON:fxos-k9-fpr4k-rommon.1.0.12.SPA

  • スーパーバイザ FPGA:fxos-k9-fpr4k-fpga.1.05.SPA

  • ネットワークモジュール FPGA:該当なし

セキュアなロック解除機能を使用する前に必要です。

(注)  

 

「scope chassis 1」の「show sup version」の出力にある ROMMON/FPGA ファームウェアパッケージのバージョンは、既存の ROMMON/FPGA バージョンがターゲットイメージと異なるバージョン(以前のバージョン)の場合に更新されます(たとえば、ファームウェアバージョン 1.0.19 と 1.0.17 以前)。

Firepower 9300

ファームウェアパッケージ:fxos-k9-fpr9k-firmware.1.0.12.SPA

  • ROMMON:fxos-k9-fpr9k-rommon.1.0.12.SPA

  • スーパーバイザ FPGA:fxos-k9-fpr9k-fpga.1.05.SPA

  • ネットワークモジュール FPGA:該当なし

1.0.10

Firepower 4150

Firepower 4140

Firepower 4120

Firep

Firepower 4112

ower 4110

ファームウェアパッケージ:fxos-k9-fpr4k-firmware.1.0.10.SPA

  • ROMMON:fxos-k9-fpr4k-rommon.1.0.10.SPA

  • スーパーバイザ FPGA:fxos-k9-fpr4k-fpga.1.05.SPA

  • ネットワークモジュール FPGA:該当なし

Firepower 9300 セキュリティアプライアンスで Firepower 2 ポート100G 倍幅ネットワークモジュール(FPR9K-DNM-2X100G)を使用する前に必要です。

(注)  

 

「scope chassis 1」の「show sup version」の出力にある ROMMON/FPGA ファームウェアパッケージのバージョンは、既存の ROMMON/FPGA バージョンがターゲットイメージと異なるバージョン(以前のバージョン)の場合に更新されます(たとえば、ファームウェアバージョン 1.0.19 と 1.0.17 以前)。

Firepower 9300

ファームウェアパッケージ:fxos-k9-fpr9k-firmware.1.0.10.SPA

  • ROMMON:fxos-k9-fpr9k-rommon.1.0.10.SPA

  • スーパーバイザ FPGA:fxos-k9-fpr9k-fpga.1.05.SPA

  • ネットワークモジュール FPGA:該当なし

(注)  

FXOS 2.13 以降、次のプラットフォームはサポートされていません。

  • Firepower 4110

  • Firepower 4120

  • Firepower 4140

  • Firepower 4150

ファームウェア アップグレード パッケージの Cisco.com からのダウンロード

次の手順に従って、Cisco.com から Firepower 4100/9300 シャーシ 用のファームウェア アップグレード パッケージをダウンロードします。

手順

ステップ 1

Cisco.comで、使用しているデバイス用のソフトウエア ダウンロード ページを開きます。

ステップ 2

[ソフトウエアタイプの選択(Select a Software Type)] で、Firepower Extensible Operating System を選択します。

ステップ 3

[すべてのリリース(All Releases)] > [ファームウェア(firmware)] を選択して、Cisco.com でファームウェア パッケージを選択し、Firepower 4100/9300 シャーシ からアクセス可能なサーバーにダウンロードします。

ファームウェア アップグレード パッケージの Firepower 4100/9300 シャーシへの転送

次の手順を使用して、ファームウェア アップグレード パッケージを Firepower 4100/9300 シャーシ に転送します。

手順

ステップ 1

Firepower Chassis Manager または FXOS CLI を使用して、ファームウェア アップグレード パッケージを Firepower 4100/9300 シャーシ に転送します。

Firepower Chassis Manager

  1. Firepower Chassis Manager で、[システム(System)] > [更新(Updates)] を選択します。

  2. [イメージのアップロード(Upload Image)] をクリックして、[イメージのアップロード(Upload Image)] ダイアログ ボックスを開きます。

  3. [参照(Browse)] をクリックし、アップロードするファームウェア アップグレード パッケージまで移動して選択します。

  4. [アップロード(Upload)] をクリックします。

    選択したファームウェア アップグレード パッケージが Firepower 4100/9300 シャーシ にアップロードされます。

    (注)  

     

    ファームウェア アップグレード パッケージは、[使用可能な更新(Available Updates)] リストに表示されません。

FXOS CLI

  1. ファームウェア モードを開始します。

    Firepower-chassis # scope firmware

  2. FXOS ファームウェア イメージを Firepower 4100/9300 シャーシへダウンロードします。

    Firepower-chassis /firmware # download image URL

    次のいずれかの構文を使用してインポートされるファイルの URL を指定します。

    • ftp://username@hostname/ path/ image_name

    • scp://username@hostname/ path/ image_name

    • sftp://username@hostname/ path/ image_name

    • tftp://hostname: port-num/ path/ image_name

  3. ダウンロード プロセスをモニタする場合:

    Firepower-chassis /firmware # show download-task image_name detail

例:

Firepower-chassis# scope firmware 
Firepower-chassis /firmware # download image tftp://10.10.10.1/fxos-k9-fpr9k-firmware.1.0.10.SPA 
Firepower-chassis /firmware # show download-task fxos-k9-fpr9k-firmware.1.0.10.SPA detail

Download task:
    File Name: fxos-k9-fpr9k-firmware.1.0.10.SPA
    Protocol: Tftp
    Server: 10.10.10.1
    Port: 0
    Userid:
    Path:
    Downloaded Image Size (KB): 2104
    Time stamp: 2015-12-04T23:51:57.846
    State: Downloading
    Transfer Rate (KB/s): 263.000000
    Current Task: unpacking image fxos-k9-fpr9k-firmware.1.0.10.SPA on primary(
FSM-STAGE:sam:dme:FirmwareDownloaderDownload:UnpackLocal)

ステップ 2

ファームウェア アップグレード パッケージがに正常に Firepower 4100/9300 シャーシ にアップロードされたことを確認します。

scope firmware

show package

例:

firepower-chassis# scope firmware
firepower-chassis /firmware # show package
Name                                          Version
--------------------------------------------- -------
fxos-k9-fpr9k-firmware.1.0.10.SPA             1.0.10
fxos-k9-fpr9k-firmware.1.0.12.SPA             1.0.12
fxos-k9-fpr9k-firmware.1.0.16.SPA             1.0.16
fxos-k9-fpr9k-firmware.1.0.17.SPA             1.0.17
fxos-k9-fpr9k-firmware.1.0.18.SPA             1.0.18
fxos-k9.2.6.1.157.SPA                         2.6(1.157)
firepower-chassis /firmware #

ステップ 3

次のコマンドを入力して、ファームウェア パッケージの内容を表示できます。

show package image_name expand

(注)  

 

ファームウェアパッケージ内のコンポーネントのバージョン番号は、ファームウェアパッケージ自体のバージョン番号と必ずしも一致しません。詳細については、ファームウェア アップグレード パッケージを参照してください。

例:

firepower-chassis /firmware # show package fxos-k9-fpr9k-firmware.1.0.18.SPA expand
Package fxos-k9-fpr9k-firmware.1.0.18.SPA:
    Images:
        fxos-k9-fpr9k-fpga.2.00.SPA
        fxos-k9-fpr9k-rommon.1.0.15.SPA
firepower-chassis /firmware #

ファームウェア アップグレード パッケージのインストール

FXOS CLI を使用して、Firepower 4100/9300 シャーシ のファームウェアをアップグレードします。

手順

ステップ 1

Firepower 4100/9300 シャーシで、ファームウェア モードを入力します。

scope firmware

例:

firepower-chassis# scope firmware
firepower-chassis /firmware #

ステップ 2

次のコマンドを入力してファームウェアパッケージのバージョン番号を表示します。

show package

このバージョン番号は、以下のステップでファームウェア パッケージをインストールするときに使用されます。

例:

firepower-chassis /firmware # show package
Name                                          Version
--------------------------------------------- -------
fxos-k9-fpr9k-firmware.1.0.10.SPA             1.0.10
fxos-k9-fpr9k-firmware.1.0.12.SPA             1.0.12
fxos-k9-fpr9k-firmware.1.0.16.SPA             1.0.16
fxos-k9-fpr9k-firmware.1.0.17.SPA             1.0.17
fxos-k9-fpr9k-firmware.1.0.18.SPA             1.0.18
fxos-k9.2.6.1.157.SPA                         2.6(1.157)
firepower-chassis /firmware #

ステップ 3

ファームウェア パッケージをインストールする場合:

  1. firmware-install モードに入ります。

    scope firmware-install

  2. ファームウェア パッケージをインストールします。

    install firmware pack-version version_number

    システムでファームウェア パッケージが確認され、確認プロセスが完了するまでに数分かかることがあると通知されます。

  3. yes と入力し、確認を続行します。

    ファームウェア パッケージの確認後、インストール プロセスが完了するまで数分かかる可能性があることと、システムが更新プロセス中にリブートされることが通知されます。

  4. yes と入力し、インストールを続行します。アップグレード プロセス中に Firepower 4100/9300 シャーシ の電源を再投入しないでください。

例:

firepower-chassis /firmware # scope firmware-install
firepower-chassis /firmware/firmware-install # install firmware pack-version 1.0.18
Verifying FXOS firmware package 1.0.15. Verification could take several minutes.
Do you want to proceed? (yes/no):yes
FXOS SUP ROMMON: Upgrade from 1.0.14 to 1.0.15
FXOS SUP FPGA: Upgrade from 1.06 to 2.00
FXOS SUP NM FPGA(slot:2): NM FPGA image not part of package

This operation upgrades SUP firmware on Security Platform.
Here is the checklist of things that are recommended before starting the install operation
(1) Review current critical/major faults
(2) Initiate a configuration backup

Attention:
   The system will be reboot to upgrade the SUP firmware.
   The upgrade operation will take several minutes to complete.
   PLEASE DO NOT POWER RECYCLE DURING THE UPGRADE.
Do you want to proceed? (yes/no):yes

Upgrading FXOS SUP firmware software package version 1.0.18

command executed

例:

firepower-chassis /firmware # scope firmware-install
firepower-chassis /firmware/firmware-install # install firmware pack-version 1.0.19
Verifying FXOS firmware package 1.0.19. Verification could take several minutes.
Do you want to proceed? (yes/no):yes
FXOS SUP ROMMON: Upgrade from 1.0.14 to 1.0.15
FXOS SUP FPGA: Upgrade from 1.06 to 2.00
FXOS SUP NM FPGA(slot:2): NM FPGA image not part of package
FXOS SUP SSD: Upgrade from MU02 to MU03

This operation upgrades SUP firmware on Security Platform.
Here is the checklist of things that are recommended before starting the install operation
(1) Review current critical/major faults
(2) Initiate a configuration backup

Attention:
   The system will be reboot to upgrade the SUP firmware.
   The upgrade operation will take several minutes to complete.
   PLEASE DO NOT POWER RECYCLE DURING THE UPGRADE.
Do you want to proceed? (yes/no):yes

Upgrading FXOS SUP firmware software package version 1.0.19
command executed

ステップ 4

アップグレード プロセスをモニターするには、次の手順を実行します。

show detail

ファームウェア アップグレード プロセスでは、プロセスが正常に完了すると、アップグレードステータスが Upgrade Complete Successful と表示されます。

例:

firepower-chassis /firmware/firmware-install # show detail

Firmware Pack Install:
    Upgrade Package Version: 1.0.18
    Oper State: In Progress
    Upgrade Status:
    Current Task: Waiting for Deploy to begin(FSM-STAGE:sam:dme:FirmwareSupFirmwareDeploy:WaitForDeploy)

firepower-chassis /firmware/firmware-install # show detail

Firmware Pack Install:
    Upgrade Package Version: 1.0.18
    Oper State: Ready
    Upgrade Status: Upgrade Complete Successful
    Current Task:
firepower-chassis /firmware/firmware-install #

ステップ 5

インストールが完了したら、現在のファームウェア バージョンを表示するために、次のコマンドを入力することもできます。

top

scope chassis 1

show sup version

show nm-fpga-version

例:

firepower-chassis /firmware/firmware-install # top
firepower-chassis# scope chassis 1
firepower-chassis /chassis # show sup version
SUP FIRMWARE:
    ROMMON:
        Running-Vers: 1.0.15
        Package-Vers: 1.0.18
        Activate-Status: Ready
    FPGA:
        Running-Vers: 2.00
        Package-Vers: 1.0.18
        Activate-Status: Ready
    SSD:
        Running-Vers: MU03
        Model: Micron_M500IT_MTFDDAT128MBD

firepower-chassis /chassis # show nm-fpga-version

Network Module Version:
    Network Module Slot: 2
    Running-Vers: 1.2.0
    Package-Vers: 1.0.17
    Activate-Status: Ready
firepower-chassis /chassis #