ネットワークデバイスのアップグレード方法

Pocket

Cisco、Fortigete、PaloAltoのアップグレード

最近Cisco、Fortigate、PaloAltoのアップグレード作業を行った。

検証環境でアップグレードすることはあまりできないと思うので、ほとんどがぶっつけ本番の作業になると思う。そのために、以下に参考情報をまとめ、アップグレードを検討している人の参考になればと思う。

Fortigate/PaloAltoのアップグレード

FortigateやPaloAltoはGUIでポチポチしていれば簡単にできるため、そんなに難易度が高くない。ただし、アップグレードパスが詳細に決まっているので、そこだけは注意。

FortigateもPaloAltoもライセンスがあれば、管理画面からダウンロード・インストールまで完結する。

ライセンスがなければ、以下のページからダウンロード可能。(Fortigateの場合)

https://support.fortinet.com/Download/FirmwareImages.aspx

Cisco CatalystのIOSアップグレード

Catalystスイッチの場合は、非常に簡単である。

一昔前の場合は、binファイルをコピーして、Configにて読み込むbinファイルを変更すればよかったが、今は別の方法がCiscoにて推奨されている。

まず、binファイルは、TFTPで送る必要がない。今はだいたいのスイッチはUSBポートがあるので、USBポートに予め用意したUSBを指してコピーする。

TFTPと比較してだいぶ高速だし、IPの設定も不要なので今後はこれが当たり前になる。コマンドは、

dir
copy source destination

くらいを覚えておけばいいと思う。

DirはLinuxでいうls -lコマンドに該当。

copyは文字通りファイルのコピーである。

なお、現在稼働しているbinファイルをUSBにコピーしてバックアップすることは忘れないようにしたほうがいい。ロールバックできないことにならないように。

ちなみに、USBのファイルシステムは、FAT32でフォーマットしておくこと。LinuxユーザやMACユーザは要注意。

たまにFAT32でもCiscoデバイスが認識しないことがあるが、そのときは、コマンドでformatできるので、シスコ端末からformatするのもあり。フォーマット後のUSBに用意しておいたbinファイルをコピーする。

Stack構成の場合

software auto-upgrade enable

まずこのコマンドを予め有効にすることで、MasterのIOSをアップグレードすると、Memberに自動的にアップグレードされていく。

その後は、以下のコマンドを入力するだけで完了。

conf t
no boot sys
boot sys bootflash:packages.conf
end
wr
install add file bootflash:[new .bin file] activate commit

Ciscoのルータの場合(ISRなど)

ルータの場合は、スイッチと多少だが違う。

特に私が過去あったトラブルでは、RMONを先にアップグレードしないと、新しいbinファイルがアップグレードされない場合があった。

そのため、RMONを先にアップグレードすることを忘れないようにしないといけない。

バージョンはCiscoのサイトで確認すること。例えばASR1kシリーズで見ると以下のように対応表がある。これにマッチしないとbinをアップグレードしても起動しない、というエラーに遭遇する。過去私も遭遇し、現場でかなり焦った。。

Cisco IOS XE ReleaseASR 1001-XASR 1002-XASR 1001-HXASR 1002-HX
MinimumRecommendedMinimumRecommendedMinimumRecommendedMinimumRecommended
16.2.x16.2(1r)16.3(2r)16.2(1r)16.3(2r)16.2(2r)16.2(2r)16.3(2r)
16.3.x15.5(3r)S16.3(2r)15.5(3r)s16.3(2r)16.2(2r)16.3(2r)16.2(2r)16.3(2r)
16.4.x15.5(3r)S16.3(2r)15.5(3r)s16.7(1r)16.2(2r)16.3(2r)16.2(2r)16.3(2r)
16.5.x15.5(3r)S16.3(2r)15.5(3r)s16.7(1r)16.2(2r)16.3(2r)16.2(2r)16.3(2r)
16.6.x15.5(3r)S16.3(2r)16.7(1r)16.7(1r)16.2(2r)16.3(2r)16.2(2r)16.3(2r)
16.7.x15.5(3r)S16.3(2r)16.7(1r)16.7(1r)16.2(2r)16.3(2r)16.2(2r)16.3(2r)
16.8.x15.5(3r)S16.3(2r)16.7(1r)16.7(1r)16.2(2r)16.3(2r)16.2(2r)16.3(2r)
16.9.x16.9(4r)16.9(4r)16.7(1r)16.7(1r)16.9(4r)16.9(4r)16.9(4r)16.9(4r)
16.10.x16.9(4r)16.9(4r)16.7(1r)16.7(1r)16.9(4r)16.9(4r)16.9(4r)16.9(4r)
16.11.x16.9(4r)16.9(4r)16.7(1r)16.7(1r)16.9(4r)16.9(4r)16.9(4r)16.9(4r)
16.12.x16.9(4r)16.9(4r)16.7(1r)16.7(1r)16.9(4r)16.9(4r)16.9(4r)16.9(4r)
17.1.x17.3(1r)17.3(1r)17.3(1r)17.3(1r)17.3(1r)17.3(1r)17.3(1r)17.3(1r)
17.2.x17.3(1r)17.3(1r)17.3(1r)17.3(1r)17.3(1r)17.3(1r)17.3(1r)17.3(1r)
17.3.x17.3(1r)17.3(1r)17.3(1r)17.3(1r)17.3(1r)17.3(1r)17.3(1r)17.3(1r)

https://www.cisco.com/c/en/us/td/docs/routers/asr1000/rommon/asr1000-rommon-upg-guide.html

RMONのアップグレード方法

これは非常に簡単で、RMONをまずは、シスコのサイトからダウンロード、bin同様にUSBにコピーする。

その後以下のコマンドでアップグレードする。

#upgrade rom-monitor filename usb0: all
* 二回実行する。これは過去にシスコのエンジニアから推奨された。。
# wr
# reload

その後binをアップグレードする。

pkgごとにやる方法がありCiscoとしてはそちらが推奨であるが、、、私は面倒で好きではないのでLegacyな方法でやっている。。

# no boot system flash bootflash: # boot system flash bootflash:
# boot system flash bootflash:

# wr

これでもし新しいBinが壊れていても、古いバージョンで起動できる。
# reload
再起動後問題なく新しいバージョンが起動できていたら、以下のコマンドで古いバージョンの読み込みを削除する。
# no boot system flash bootflash: # delete bootflash: # wr
# reload

RMONを先にアップグレードする、というのはシスコのドキュメントに書かれていないことが多い。特に要注意。

コメントを残す