Cisco、Fortigete、PaloAltoのアップグレード
最近Cisco、Fortigate、PaloAltoのアップグレード作業を行った。
検証環境でアップグレードすることはあまりできないと思うので、ほとんどがぶっつけ本番の作業になると思う。そのために、以下に参考情報をまとめ、アップグレードを検討している人の参考になればと思う。
Fortigate/PaloAltoのアップグレード
FortigateやPaloAltoはGUIでポチポチしていれば簡単にできるため、そんなに難易度が高くない。ただし、アップグレードパスが詳細に決まっているので、そこだけは注意。
FortigateもPaloAltoもライセンスがあれば、管理画面からダウンロード・インストールまで完結する。
ライセンスがなければ、以下のページからダウンロード可能。(Fortigateの場合)
https://support.fortinet.com/Download/FirmwareImages.aspx
Cisco CatalystのIOSアップグレード
Catalystスイッチの場合は、非常に簡単である。
一昔前の場合は、binファイルをコピーして、Configにて読み込むbinファイルを変更すればよかったが、今は別の方法がCiscoにて推奨されている。
まず、binファイルは、TFTPで送る必要がない。今はだいたいのスイッチはUSBポートがあるので、USBポートに予め用意したUSBを指してコピーする。
TFTPと比較してだいぶ高速だし、IPの設定も不要なので今後はこれが当たり前になる。コマンドは、
dir
copy source destination
くらいを覚えておけばいいと思う。
DirはLinuxでいうls -lコマンドに該当。
copyは文字通りファイルのコピーである。
なお、現在稼働しているbinファイルをUSBにコピーしてバックアップすることは忘れないようにしたほうがいい。ロールバックできないことにならないように。
ちなみに、USBのファイルシステムは、FAT32でフォーマットしておくこと。LinuxユーザやMACユーザは要注意。
たまにFAT32でもCiscoデバイスが認識しないことがあるが、そのときは、コマンドでformatできるので、シスコ端末からformatするのもあり。フォーマット後のUSBに用意しておいたbinファイルをコピーする。
Stack構成の場合
software auto-upgrade enable
まずこのコマンドを予め有効にすることで、MasterのIOSをアップグレードすると、Memberに自動的にアップグレードされていく。
その後は、以下のコマンドを入力するだけで完了。
conf t no boot sys boot sys bootflash:packages.conf end wr install add file bootflash:[new .bin file] activate commit
Ciscoのルータの場合(ISRなど)
ルータの場合は、スイッチと多少だが違う。
特に私が過去あったトラブルでは、RMONを先にアップグレードしないと、新しいbinファイルがアップグレードされない場合があった。
そのため、RMONを先にアップグレードすることを忘れないようにしないといけない。
バージョンはCiscoのサイトで確認すること。例えばASR1kシリーズで見ると以下のように対応表がある。これにマッチしないとbinをアップグレードしても起動しない、というエラーに遭遇する。過去私も遭遇し、現場でかなり焦った。。
| Cisco IOS XE Release | ASR 1001-X | ASR 1002-X | ASR 1001-HX | ASR 1002-HX | ||||
|---|---|---|---|---|---|---|---|---|
| Minimum | Recommended | Minimum | Recommended | Minimum | Recommended | Minimum | Recommended | |
| 16.2.x | 16.2(1r) | 16.3(2r) | 16.2(1r) | 16.3(2r) | 16.2(2r) | — | 16.2(2r) | 16.3(2r) |
| 16.3.x | 15.5(3r)S | 16.3(2r) | 15.5(3r)s | 16.3(2r) | 16.2(2r) | 16.3(2r) | 16.2(2r) | 16.3(2r) |
| 16.4.x | 15.5(3r)S | 16.3(2r) | 15.5(3r)s | 16.7(1r) | 16.2(2r) | 16.3(2r) | 16.2(2r) | 16.3(2r) |
| 16.5.x | 15.5(3r)S | 16.3(2r) | 15.5(3r)s | 16.7(1r) | 16.2(2r) | 16.3(2r) | 16.2(2r) | 16.3(2r) |
| 16.6.x | 15.5(3r)S | 16.3(2r) | 16.7(1r) | 16.7(1r) | 16.2(2r) | 16.3(2r) | 16.2(2r) | 16.3(2r) |
| 16.7.x | 15.5(3r)S | 16.3(2r) | 16.7(1r) | 16.7(1r) | 16.2(2r) | 16.3(2r) | 16.2(2r) | 16.3(2r) |
| 16.8.x | 15.5(3r)S | 16.3(2r) | 16.7(1r) | 16.7(1r) | 16.2(2r) | 16.3(2r) | 16.2(2r) | 16.3(2r) |
| 16.9.x | 16.9(4r) | 16.9(4r) | 16.7(1r) | 16.7(1r) | 16.9(4r) | 16.9(4r) | 16.9(4r) | 16.9(4r) |
| 16.10.x | 16.9(4r) | 16.9(4r) | 16.7(1r) | 16.7(1r) | 16.9(4r) | 16.9(4r) | 16.9(4r) | 16.9(4r) |
| 16.11.x | 16.9(4r) | 16.9(4r) | 16.7(1r) | 16.7(1r) | 16.9(4r) | 16.9(4r) | 16.9(4r) | 16.9(4r) |
| 16.12.x | 16.9(4r) | 16.9(4r) | 16.7(1r) | 16.7(1r) | 16.9(4r) | 16.9(4r) | 16.9(4r) | 16.9(4r) |
| 17.1.x | 17.3(1r) | 17.3(1r) | 17.3(1r) | 17.3(1r) | 17.3(1r) | 17.3(1r) | 17.3(1r) | 17.3(1r) |
| 17.2.x | 17.3(1r) | 17.3(1r) | 17.3(1r) | 17.3(1r) | 17.3(1r) | 17.3(1r) | 17.3(1r) | 17.3(1r) |
| 17.3.x | 17.3(1r) | 17.3(1r) | 17.3(1r) | 17.3(1r) | 17.3(1r) | 17.3(1r) | 17.3(1r) | 17.3(1r) |
https://www.cisco.com/c/en/us/td/docs/routers/asr1000/rommon/asr1000-rommon-upg-guide.html
RMONのアップグレード方法
これは非常に簡単で、RMONをまずは、シスコのサイトからダウンロード、bin同様にUSBにコピーする。
その後以下のコマンドでアップグレードする。
#upgrade rom-monitor filename usb0:
* 二回実行する。これは過去にシスコのエンジニアから推奨された。。
# wr
# reload
その後binをアップグレードする。
pkgごとにやる方法がありCiscoとしてはそちらが推奨であるが、、、私は面倒で好きではないのでLegacyな方法でやっている。。
# no boot system flash bootflash: # wr これでもし新しいBinが壊れていても、古いバージョンで起動できる。 RMONを先にアップグレードする、というのはシスコのドキュメントに書かれていないことが多い。特に要注意。
# boot system flash bootflash:
# reload
再起動後問題なく新しいバージョンが起動できていたら、以下のコマンドで古いバージョンの読み込みを削除する。
# no boot system flash bootflash:
# reload
Leave a Reply