おれさまラボ

実際に手を動かして理解を深めるブログ。

Juniper SSG5のファームウェアアップデート

簡単と思いきや変なところでハマってしまいました。

必要なもの

  • SSG5本体
  • LANケーブル(ストレートでOK)
  • 作業用PC

 イメージこんな感じです。

f:id:naoto408:20160124220202j:plain

 

事前準備

1.SSG5のインターフェース情報を確認する

get interface

WebUIでログインするIPを調べます。今回の場合は、bgroup0が192.168.1.1/24の割当(デフォルト)になっています。

 

2.作業用PCのインターフェースをSSG5と同セグメントに変更する

作業用PCのネットワーク設定を変更します。今回は、192.168.1.10に設定しています。

f:id:naoto408:20160124214954p:plain

3.作業用PCでTFTPサーバを立ち上げる

3CDaemonなどのTFTPサーバを作業用PCで立ち上げます。今回はSolarwindsのTFTPサーバを利用しています。

f:id:naoto408:20160124214908p:plain

 

アップデート方法

CLIとWebUIでやる方法があります。

どちらも192.168.1.1にアクセスします。

 

CLIで行う場合

1.現行のファームウェアバージョンを確認

get system

 今回は6.2.0r7.0でした。

2.現行のファームウェアのバックアップを取る

save software from flash to tftp 192.168.1.10 screenos_image

 

3.新しいファームウェアをSSG5に転送する

save software from tftp 192.168.1.10 6.3.0r19.0 to flash

 

4.再起動する

resetコマンドでSSG5を再起動します。

reset

System reset, are you sure? y/[n] y

In reset ...

 

5.バージョンが上がっていることを確認

get system

 

WebUIで行う場合

1.Configulation > Update > ScreenOS/Key に移動

f:id:naoto408:20160124215058p:plain

2.Firmware Update (ScreenOS) にチェックを付ける

 

3.Load Fileの「参照」ボタンをクリックし、新しいファームウェアを選択する

 

4.Applyをクリック

 

5.バージョンの確認

しばらくするとSSGが再起動するので、再ログインしたトップ画面からアップデートが完了していることを確認

 

ハマったところ

例によって、そううまくいくわけもなくハマったところがありましたのでご紹介です。

TFTPサーバとの転送に問題が発生

ssg5-serial-> save software from flash to tftp 192.168.1.10 screenos_image
Load image from flash.
Save software to TFTP 192.168.1.10 (file: screenos_image). It may take a few minutes ...
Type escape sequence to abort
!!!!!!!!!!tftp timeout max!
tftp wait error, instance was freed!

これについては未だに原因不明。何が悪いんだろうか。TFTPサーバ側の問題?

 

ファームウェアのアップロードエラーが発生

WebUIでは「Firmware update failed.」、CLIでは「Fips check failed」と表示されアップデートができませんでした。はじめはCLIで実行していたのでTFTPサーバの設定の問題かとも思ったのですが、WebUIでもできなかったのでいろいろ調べました。

 

結論としては、ImageKeyのアップデートが必要です。

Juniper Networks - Where can I download the Juniper Networks DSA Public Key (imagekey.cer) file, and how do I load/install the imagekey.cer file? - Knowledge Base

「SSG製品は、機器起動時やファームウェアアップデート時に、ファームウェアに含まれるImage KeyとSSG製品に保存されているImage Keyが一致するかを確認する」そうです。

参考:SSG140のファームウェア、Image Keyアップデート – 稲葉サーバーデザイン

 

新しいImageKeyは、JuniperNetworksのサイトからダウンロード可能なのでダウンロードしてきます。

参考:Juniper Networks :: Technical Documentation :: NetScreen Hardware

 

WebUIのConfiguration > Update > ScreenOS/Keysで「Image Signature Key Update」を選択、ダウンロードしたimagekey.cerを選択し、Applyをクリックして適用させます。

 

適用後、再度ファームウェアのアップデートを行うと無事アップデートが完了しました。

 

感想

こんなことで2時間もハマってしまうあたり、まだまだ半人前だなと思いました。