PIX/ASA - Mise à niveau d'une image logicielle à l'aide d'ASDM ou CLI

Introduction

Ce document décrit comment mettre à jour une image du logiciel sur les dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500 en utilisant ASDM (Cisco Adaptive Security Device Manager).

ASDM ne fonctionne pas si vous mettez à niveau le logiciel du dispositif de sécurité de 7.0 à 7.2 directement ou que vous mettez à niveau le logiciel ASDM de 5.0 à 5.2 directement (ou que vous passez à une version antérieure). Vous devez le faire dans l'ordre incrémentiel.

Exemple : Afin d'exécuter la mise à niveau du logiciel ASDM de 5.0 vers 5.2, effectuez d'abord la niveau de 5.0 vers 5.1, puis effectuez la niveau de 5.1 vers 5.2. De même, pour le dispositif de sécurité, effectuez d'abord la niveau de 7.0 vers 7.1, puis effectuez la niveau de 7.1 vers 7.2.

Remarque : Si vous souhaitez mettre à niveau ou rétrograder de la version 7.1.x à la version 7.2(x) et vice versa, vous devez suivre les étapes de cette procédure car les anciennes versions des images de l'appliance de sécurité ne reconnaissent pas les nouvelles images ASDM et les nouvelles images de l'appliance de sécurité ne reconnaissent pas les anciennes images ASDM. Référez-vous à la section Mise à niveau vers une nouvelle version du logiciel de Notes de publication relatives au dispositif de sécurité Cisco PIX, version 7.2(2) afin d'en savoir plus sur les procédures de mise à niveau.

Remarque : Vous ne pouvez pas rétrograder l'ASA 5550 vers une version logicielle antérieure à 7.1(2). De même, vous ne pouvez pas faire passer l'ASA 5505 à une version du logiciel antérieure à 7.2. Référez-vous Compatibilité matérielle et logicielle des dispositifs de sécurité de la gamme Cisco ASA 5500 et PIX 500 pour plus d'informations.

Remarque : En mode multicontexte, vous ne pouvez pas utiliser la commande copy tftp flash pour mettre à niveau ou rétrograder l'image PIX/ASA dans tous les contextes ; elle est prise en charge seulement en mode System Exec.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Cisco ASA 5500 7.0 et ultérieures

• Cisco ASDM 5.0 et ultérieures

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Produits connexes

Cette configuration peut également être utilisée avec le logiciel du dispositif de sécurité de la gamme Cisco PIX 500 version 7.0 et ultérieures.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Téléchargez le logiciel

Vous pouvez télécharger la version requise des images du logiciel ASA et des images du logiciel ASDM à l'aide des liens suivants :

• Téléchargement de version du logiciel Cisco ASA (clients enregistrés uniquement)

• Téléchargement de version du logiciel Cisco ASDM (clients enregistrés uniquement)

Remarque : Vous devez disposer d'informations d'identification utilisateur Cisco valides pour télécharger ce logiciel depuis Cisco.com.

Mettre à jour une image du logiciel en utilisant ASDM 5.x

Suivez les étapes suivantes pour mettre à niveau une image du logiciel sur l'ASA 5500 en utilisant ASDM.

1. Sélectionnez Outils > Mettre à niveau le logiciel... dans la fenêtre Accueil de l'ASDM.

   

2. Sélectionnez le type d'image à télécharger à partir du menu déroulant.

   

3. Cliquez sur Parcourir les fichiers locaux... ou tapez le chemin d'accès dans le champ Chemin d'accès au fichier local pour spécifier l'emplacement de l'image logicielle sur votre ordinateur.

4. Cliquez sur Parcourir Flash....

   Une fenêtre Browse Flash Dialog apparaît avec le nom du fichier entré automatiquement. Si le nom du fichier n'apparaît pas, entrez-le manuellement dans le champ File Name. Cliquez sur OK lorsque vous avez terminé.

   

5. Une fois que les noms de fichier local et distant sont spécifiés, cliquez sur Upload Image.

   

   Une fenêtre Status apparaît tandis qu'ASDM écrit l'image dans le système Flash.

   

   Une fois l'opération terminée, une fenêtre Information qui indique que le téléchargement a réussi apparaît.

   

6. Cliquez sur OK dans la fenêtre Information, puis sur Close dans la fenêtre Upload Image from Local PC.

7. Choisissez Configuration > Properties > Device Administration > Boot Image/Configuration > Edit afin de changer l'emplacement de l'image de démarrage.

   

   Cliquez sur Browse Flash afin de choisir ou de spécifier le fichier image ASA. Cliquez ensuite sur OK.

   

8. Choisissez File > Save Running Configuration to Flash afin de stocker la configuration dans la mémoire flash.

   

9. Choisissez Tools > System Reload à partir de la fenêtre Home pour recharger le périphérique.

   

10. Une nouvelle fenêtre qui vous demande de vérifier les détails du rechargement apparaît. Sélectionnez Save the running configuration at the time of reload et choisissez alors le moment souhaité pour le rechargement.

    • Now — Redémarrer le périphérique immédiatement.

    • Delay By — Spécifier dans combien de minutes ou d'heures à partir de maintenant le périphérique doit être rechargé.

    • Schedule at — Spécifier une heure et une date pour recharger le périphérique.

    Vous pouvez également spécifier si le périphérique doit forcer ou non un rechargement immédiatement si un rechargement planifié échoue. Activez On Reload failure, force an immediate reload after puis spécifiez un temps de maintien maximum. C'est le temps que le dispositif de sécurité attend pour informer d'autres sous-systèmes avant un arrêt ou un redémarrage. Une fois ce temps écoulé, un arrêt/redémarrage rapide (forcé) se produit. Cliquez sur Schedule Reload.

    

11. Une fois le rechargement en cours, une fenêtre Reload Status apparaît, indiquant qu'un rechargement est en cours d'exécution. Une option permettant de quitter ASDM est également fournie.

    Remarque : recommencez l'ASDM après le rechargement de l'ASA.

    

Mettre à jour une image ASDM en utilisant ASDM 5.x

Suivez les étapes suivantes pour mettre à niveau une image ASDM sur l'ASA 5500 en utilisant ASDM.

1. Choisissez Outils > Mettre à niveau le logiciel... dans la fenêtre Accueil de l'ASDM.

   

2. Sélectionnez le type d'image à télécharger à partir du menu déroulant.

   

3. Cliquez sur Parcourir local... ou tapez le chemin d'accès dans le champ Chemin du fichier local pour spécifier l'emplacement de l'image ASDM sur votre ordinateur.

4. Cliquez sur Parcourir Flash....

   Une fenêtre Browse Flash Dialog apparaît avec le nom du fichier entré automatiquement. Si le nom du fichier n'apparaît pas, entrez-le manuellement dans le champ File Name. Cliquez sur OK lorsque vous avez terminé.

   

5. Une fois que les noms de fichier local et distant sont spécifiés, cliquez sur Upload Image.

   

   Une fenêtre Status apparaît tandis qu'ASDM écrit l'image dans le système Flash.

   

   Une fois l'opération terminée, une fenêtre Information qui indique que le téléchargement a réussi apparaît.

   

6. Cliquez sur OK dans la fenêtre Information, puis sur Close dans la fenêtre Upload Image from Local PC.

7. Choisissez Configuration > Properties > Device Administration > Boot Image/Configuration afin de changer le nom du fichier image ASDM dans la configuration.

   

   Cliquez sur Browse Flash afin de choisir ou de spécifier le fichier image ASDM. Cliquez ensuite sur OK.

   

8. Choisissez File > Save Running Configuration to Flash afin de stocker la configuration dans la mémoire flash.

   

9. Choisissez Tools > System Reload à partir de la fenêtre Home pour recharger le périphérique.

   

10. Une nouvelle fenêtre qui vous demande de vérifier les détails du rechargement apparaît. Cliquez sur Save the running configuration at the time of reload et choisissez alors le moment souhaité pour le rechargement.

    • Now — Redémarrer le périphérique immédiatement.

    • Delay By — Spécifier dans combien de minutes ou d'heures à partir de maintenant le périphérique doit être rechargé.

    • Schedule at — Spécifier une heure et une date pour recharger le périphérique.

    Vous pouvez également spécifier si le périphérique doit forcer ou non un rechargement immédiatement si un rechargement planifié échoue. Activez On Reload failure, force an immediate reload after puis spécifiez un temps de maintien maximum. C'est le temps que le dispositif de sécurité attend pour informer d'autres sous-systèmes avant un arrêt ou un redémarrage. Une fois ce temps écoulé, un arrêt/redémarrage rapide (forcé) se produit. Cliquez sur Schedule Reload.

    

11. Une fois le rechargement en cours, une fenêtre Reload Status apparaît, indiquant qu'un rechargement est en cours d'exécution. Une option permettant de quitter ASDM est également fournie.

    Remarque : recommencez l'ASDM après le rechargement de l'ASA.

    

Mettre à jour une image du logiciel avec ASDM 6.x

Remarque : ASDM 6.x n'est pris en charge que sur les images logicielles ASA 8.x et ultérieures.

Suivez les étapes suivantes pour mettre à niveau une image du logiciel sur l'ASA 5500 avec ASDM :

1. Choisissez Outils > Mettre à niveau le logiciel à partir de l'ordinateur local... dans la fenêtre Accueil de l'ASDM.

   

2. Choisissez le type d'image à télécharger à partir du menu déroulant.

   

3. Cliquez sur Parcourir les fichiers locaux... ou tapez le chemin d'accès dans le champ Chemin d'accès au fichier local pour spécifier l'emplacement de l'image logicielle sur votre ordinateur. Le chemin d'accès du fichier dans Flash File System Path est automatiquement déterminé et affiché. Si le chemin d'accès du fichier dans Flash File System Path n'est pas affiché, vous pouvez le taper manuellement ou cliquer sur Browse Flash et choisir le chemin d'accès.

   

4. Une fois les deux chemins d'accès de fichier spécifiés, cliquez sur Upload Image. Une fenêtre Status apparaît tandis qu'ASDM écrit l'image dans le système Flash.

   

5. Une fois l'opération terminée, une fenêtre Information apparaît, indiquant que le téléchargement a réussi et demandant de définir cette image en tant qu'image de démarrage. Cliquez sur Yes si vous voulez que la nouvelle image soit définie en tant qu'image de démarrage ; autrement, cliquez sur No.

   

6. Si vous cliquez sur Yes, cela définit la nouvelle image comme image de démarrage, et une boîte Information apparaît. Click OK.

   

7. Choisissez Tools > System Reload à partir de la fenêtre Home pour recharger le périphérique.

   

8. Une nouvelle fenêtre qui vous demande de vérifier les détails du rechargement apparaît. Choisissez Save the running configuration at the time of reload, puis choisissez le moment souhaité pour le rechargement.

   • Now — Redémarrer le périphérique immédiatement.

   • Delay By — Spécifier dans combien de minutes ou d'heures à partir de maintenant le périphérique doit être rechargé.

   • Schedule at — Spécifier une heure et une date pour recharger le périphérique.

   Vous pouvez également spécifier si le périphérique doit forcer ou non un rechargement immédiatement si un rechargement planifié échoue. Activez On Reload failure, force an immediate reload after, puis spécifiez un temps de maintien maximum. C'est le temps que le dispositif de sécurité attend pour informer d'autres sous-systèmes avant un arrêt ou un redémarrage. Une fois ce temps écoulé, un arrêt/redémarrage rapide (forcé) se produit. Cliquez sur Schedule Reload.

   

9. Une fois le rechargement en cours, une fenêtre Reload Status apparaît, indiquant qu'un rechargement est en cours d'exécution. Une option permettant de quitter ASDM est également fournie. Cliquez sur Exit ASDM, et redémarrez ASDM après le rechargement du périphérique.

   

Mettre à jour une image ASDM avec ASDM 6.x

Remarque : ASDM 6.x n'est pris en charge que sur les images logicielles ASA 8.x et ultérieures.

Suivez les étapes suivantes pour mettre à niveau une image ASDM sur l'ASA 5500 avec ASDM :

1. Choisissez Outils > Mettre à niveau le logiciel à partir de l'ordinateur local... dans la fenêtre Accueil de l'ASDM.

   

2. Choisissez le type d'image à télécharger à partir du menu déroulant.

   

3. Cliquez sur Parcourir les fichiers locaux... ou tapez le chemin d'accès dans le champ Chemin du fichier local pour spécifier l'emplacement de l'image ASDM sur votre ordinateur. Le chemin d'accès du fichier dans Flash File System Path est automatiquement déterminé et affiché. Si le chemin d'accès du fichier dans Flash File System Path n'est pas affiché, vous pouvez le taper manuellement ou cliquer sur Browse Flash et choisir le chemin d'accès.

   

4. Une fois les deux chemins d'accès de fichier spécifiés, cliquez sur Upload Image. Une fenêtre Status apparaît tandis qu'ASDM écrit l'image dans le système Flash.

   

5. Une fois l'opération terminée, une fenêtre Information apparaît, indiquant que le téléchargement a réussi et demandant de définir cette image comme image ASDM par défaut. Cliquez sur Yes si vous voulez que la nouvelle image soit définie en tant qu'image ASDM ; autrement, cliquez sur No.

   

6. Si vous choisissiez Yes pour utiliser la nouvelle image comme image ASDM, une boîte Information apparaît. Click OK.

   

7. Cliquez sur Save en haut de la fenêtre pour sauvegarder la configuration en cours dans le système Flash.

   

8. Une boîte de dialogue apparaît pour obtenir votre confirmation. Cliquez sur Apply.

   

9. Cliquez sur Fichier en haut de la fenêtre, et choisissez Exit pour fermer ASDM.

   

10. Une boîte de dialogue peut apparaître, vous demandant votre confirmation. Cliquez sur Yes.

    

11. Exécutez ASDM de nouveau pour charger la nouvelle image ASDM.

    Reportez-vous à cette vidéo pour plus d'informations : Comment mettre à niveau l'image logicielle sur un appareil de sécurité adaptatif Cisco (ASA) à l'aide de Cisco Adaptive Security Device Manager (ASDM)

Cette vidéo publiée sur la communauté d'assistance Cisco décrit comment mettre à niveau l'image logicielle sur Cisco ASA à l'aide d'ASDM : Comment mettre à niveau l'image logicielle sur un dispositif de sécurité adaptatif Cisco (ASA) à l'aide de Cisco Adaptive Security Device Manager (ASDM)

Mettre à jour une image du logiciel et une image ASDM en utilisant CLI

Un serveur TFTP est requis pour mettre à niveau une image de logiciel ainsi qu'une image ASDM pour un PIX/ASA (ou les faire passer à une version antérieure). Référez-vous Sélection et utilisation d'un serveur TFTP afin d'en savoir plus sur la sélection d'un serveur TFTP.

La commande copy tftp flash vous permet de télécharger une image du logiciel dans la mémoire flash du pare-feu par l'intermédiaire de TFTP. Vous pouvez utiliser la commande copy tftp flash avec n'importe quel modèle de dispositif de sécurité. L'image que vous téléchargez est disponible pour le dispositif de sécurité lors du prochain rechargement (redémarrage).

C'est la sortie de la commande copy tftp flash :

copy tftp[:[[//location] [/tftp_pathname]]] [[flash/disk0][:[image | asdm]]]

Remarque : pour ASA, le mot clé disk0 remplace flash dans la commande copy.

Si la commande est utilisée sans les paramètres facultatifs d'emplacement ou de nom de chemin d'accès, l'emplacement et le nom de fichier sont obtenus à partir de l'utilisateur en mode interactif par l'intermédiaire d'une série de questions semblables à celles présentées par le logiciel Cisco IOS®. Si vous entrez seulement des deux-points, les paramètres sont pris dans les paramètres de la commande tftp-server. Si d'autres paramètres facultatifs sont fournis, alors ces valeurs sont utilisées au lieu du paramètre de commande tftp-server correspondant. Si l'un des paramètres facultatifs, tels qu'un deux-points et n'importe quoi après, est fourni, la commande s'exécute sans invite pour une entrée utilisateur.

L'emplacement est une adresse IP ou un nom qui est résolu en adresse IP par l'intermédiaire du mécanisme de résolution des nom du dispositif de sécurité, qui est actuellement des mappages statiques par l'intermédiaire des commandes name et names. Le dispositif de sécurité doit savoir comment atteindre cet emplacement par l'intermédiaire des informations de sa table de routage. Ces informations sont déterminées par l'adresse IP, la route ou les commandes RIP. Cela dépend de votre configuration.

Le nom de chemin d'accès peut inclure des noms de répertoires en plus du dernier composant réel du chemin d'accès au fichier sur le serveur. Le nom de chemin d'accès ne peut pas contenir d'espaces. Si un nom de répertoire comporte des espaces dans le répertoire sur le serveur TFTP au lieu de la commande copy tftp flash, et si votre serveur TFTP est configuré pour pointer vers un répertoire sur le système à partir duquel vous téléchargez l'image, vous avez besoin seulement d'utiliser l'adresse IP du système et le nom du fichier image. Le serveur TFTP reçoit commande et détermine l'emplacement de fichier réel à partir de ses informations de répertoire racine. Le serveur télécharge alors l'image TFTP sur le dispositif de sécurité.

Ces commandes sont nécessaires pour mettre à niveau l'image du logiciel ainsi que l'image ASDM et en faire une image de démarrage lors du prochain rechargement.

ASA#copy tftp [[flash:/disk0:][software image name/asdm image name]]

!--- Command to set an image as bootup or specify the !--- ASDM image file. 

ASA(config)#boot system [flash:/disk0:]/[software image name]

!--- Save active configuration to the Flash.

ASA#write memory

!--- Reboot the security appliance and load !--- with the new boot image as per the configuration file.

ASA#reload

Exemple :

ASA5510#copy tftp disk0:

Address or name of remote host []? 172.16.31.1
Source filename []? asa722-k8.bin
Destination filename [asa722-k8.bin]?
Accessing tftp://172.16.31.1/asa722-k8.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asa722-k8.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
8312832 bytes copied in 163.350 secs (50998 bytes/sec)

ASA5510#show disk0:
-#- --length-- -----date/time------ path
  6 5124096    Jan 01 2003 00:06:22 asa702-k8.bin
  7 5623108    Feb 12 2007 00:23:48 asdm-522.bin
 10 5539756    Feb 12 2007 00:14:18 asdm-521.bin
 11 8294400    Dec 07 2006 05:47:20 asa721-24-k8.bin
 12 6002680    Dec 21 2006 03:58:30 asdm-52034.bin
 13 8312832    Feb 12 2007 22:46:30 asa722-k8.bin

23949312 bytes available (38932480 bytes used)

!--- Command to set "asa722-k8.bin" as the boot image.

ASA5510(config)# boot system disk0:/asa722-k8.bin

!--- Command to set "asdm-522.bin" as the ASDM image.

ASA5510(config)# asdm image disk0:/asdm-522.bin
ASA5510# write memory
ASA5510# reload

Remarque : lorsque vous essayez de mettre à niveau l'image sur l'ASA à partir d'un serveur FTP, vous pouvez utiliser la commande copy ftp flash. Cette commande vous permet de spécifier des paramètres, tels que l'adresse IP distante et le nom du fichier source. Cette procédure est similaire à TFTP. Cependant, une des limitations de est que vous ne pouvez pas modifier l'interface IP/source distante (comme vous pouvez le faire avec TFTP). En mode TFTP, les options spécifiées avec la commande tftp-server peuvent être retirées et exécutées. Mais avec FTP, il n'y a pas d'option. L'interface source doit toujours être l'interface externe par défaut, qui ne peut pas être modifiée. Autrement dit, le serveur FTP doit être accessible depuis l'interface externe.

Vérification

Employez cette section pour confirmer que votre mise à niveau logicielle a réussi.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Après le rechargement d'ASA et après vous être connecté de nouveau à ASDM avec succès, vous pouvez vérifier la version de l'image qui s'exécute sur le périphérique. Consultez l'onglet General sur la fenêtre Home pour cette information.

Ces commandes CLI sont utilisées afin de vérifier la mise à niveau :

1. Show version : affiche l'image actuelle avec laquelle l'ASA est amorcé.

2. Show bootvar : affiche la priorité de l'image à utiliser après le rechargement.

3. Show asdm image : affiche l'image asdm actuelle utilisée par ASA.

Dépannage

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Informations connexes

• Téléchargement des fichiers de logiciel ou de configuration en mémoire flash, Guide de configuration en ligne de commande des dispositifs de sécurité Cisco
• Assistance produit des dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500
• Assistance produit de Cisco Adaptive Security Device Manager
• Logiciels pare-feu Cisco PIX
• Références des commandes du pare-feu Cisco Secure PIX
• Notices de champs relatives aux produits de sécurité (y compris PIX)
• Sélection et utilisation d'un serveur TFTP
• Sauvegarde et restauration de fichiers de configuration PIX
• Demandes de commentaires (RFC)
• Mise à niveau ASA 8.3 - Ce que vous devez savoir
• Support et documentation techniques - Cisco Systems