Aggiornamento software per PIX 500 Security Appliance da 6.x a 7.x
Sommario
Introduzione
Questo documento spiega come aggiornare l'accessorio PIX dalla versione 6.2 o 6.3 alla versione 7.x. e l'installazione di Adaptive Security Device Manager (ASDM) versione 5.0.
Prerequisiti
Requisiti
Prima di avviare la procedura di aggiornamento, completare le seguenti attività.
-
Usare il comando show running-config o write net per salvare la configurazione PIX corrente in un file di testo o in un server TFTP.
-
Per visualizzare il numero di serie e la chiave di attivazione, usare il comando show version. Salva questo output in un file di testo. Se è necessario ripristinare una versione precedente del codice, potrebbe essere necessaria la chiave di attivazione originale. Per ulteriori informazioni sui tasti di attivazione, consultare il documento sulle domande frequenti relative a PIX Firewall.
-
Accertarsi di non avere comandi conduit o outbound nella configurazione corrente. Questi comandi non sono più supportati in 7.x e vengono rimossi dal processo di aggiornamento. Usare lo strumento Output Interpreter (solo utenti registrati) per convertire questi comandi in elenchi degli accessi prima di tentare l'aggiornamento.
-
Verificare che il PIX non termini le connessioni PPTP (Point to Point Tunneling Protocol). PIX 7.1 e versioni successive non supportano la terminazione PPTP.
-
Se si utilizza il failover, verificare che l'interfaccia LAN o stateful non sia condivisa con i dati che passano le interfacce. Ad esempio, se si utilizza l'interfaccia interna per passare il traffico di dati e per l'interfaccia di failover stateful (collegamento di failover interno), è necessario spostare l'interfaccia di failover stateful su un'altra interfaccia prima di eseguire l'aggiornamento. In caso contrario, tutte le configurazioni legate all'interfaccia interna verranno rimosse. Inoltre, il traffico di dati non passa attraverso l'interfaccia dopo l'aggiornamento.
-
Prima di procedere, accertarsi che la versione del PIX sia 6.2 o 6.3.
-
Leggere le note sulla versione per la quale si intende eseguire l'aggiornamento, in modo da conoscere tutti i comandi nuovi, modificati e deprecati.
-
Per ulteriori modifiche ai comandi tra la versione 6.x e la versione 7.x, consultare la guida all'aggiornamento.
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
-
PIX Security Appliance 515, 515E, 525 e 535
-
PIX Software versioni 6.3(4), 7.0(1)
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Requisiti minimi di sistema
Prima di avviare il processo di aggiornamento alla versione 7.x, Cisco consiglia di eseguire PIX versione 6.2 o successive. Ciò garantisce che la configurazione corrente venga convertita correttamente. Inoltre, questi requisiti hardware devono essere soddisfatti per i requisiti minimi di RAM e Flash:
| Modello PIX | Requisiti RAM | Requisiti Flash | |
|---|---|---|---|
| Con restrizioni (R) | Senza restrizioni (URL) / Solo failover (FO) | ||
| PIX-515 | 64 MB* | 128 MB* | 16 MB |
| PIX-515E | 64 MB* | 128 MB* | 16 MB |
| PIX-525 | 128 MB | 256 MB | 16 MB |
| PIX-535 | 512 MB | 1 GB | 16 MB |
* Tutti gli accessori PIX-515 e PIX-515E richiedono un aggiornamento della memoria.
Usare il comando show version per determinare la quantità di RAM e di flash attualmente installata sul PIX. Non sono necessari aggiornamenti Flash, in quanto per impostazione predefinita in tutti gli accessori PIX della tabella sono installati 16 MB.
Nota: nella versione 7.x sono supportati solo gli accessori di sicurezza PIX riportati in questa tabella. Le versioni precedenti delle appliance di sicurezza PIX, ad esempio PIX-520, 510, 10000 e Classic, non sono più disponibili e non possono essere eseguite dalla versione 7.0 o successive. Se si dispone di uno di questi accessori e si desidera eseguire la versione 7.x o successive, contattare il team amministrativo o il rivenditore Cisco locale per acquistare una nuova appliance di sicurezza. Inoltre, i firewall PIX con meno di 64 MB di RAM (PIX-501, PIX-506 e PIX-506E) non sono in grado di eseguire la versione 7.0 iniziale.
Informazioni sull'aggiornamento della memoria per gli accessori PIX 515/515E
Gli aggiornamenti della memoria sono richiesti solo per gli accessori PIX-515 e PIX-515E. Per aggiornare la memoria di questi accessori, vedere la tabella dei numeri di parte necessari.
Nota: il numero di parte dipende dalla licenza installata sul PIX.
| Configurazione accessorio corrente | Aggiorna soluzione | ||
|---|---|---|---|
| Licenza per piattaforma | Memoria totale (prima dell'aggiornamento) | Codice prodotto | Memoria totale (dopo l'aggiornamento) |
| Con restrizioni (R) | 32 MB | PIX-515-MEM-32 | 64 MB |
| Senza restrizioni (UR) | 32 MB | PIX-515-MEM-128 | 128 MB |
| Solo failover (FO) | 64 MB | PIX-515-MEM-128 | 128 MB |
Per ulteriori informazioni, consultare il documento sull'aggiornamento della memoria di Cisco PIX 515/515E Security Appliance per il software PIX v7.0.
Convenzioni
Fare riferimento a Cisco Technical Tips Conventions per ulteriori informazioni sulle convenzioni dei documenti.
Aggiornamento di PIX Security Appliance
Download di software
Visitare il Cisco Software Center (solo utenti registrati) per scaricare il software PIX 7.x. Il software server TFTP non è più disponibile all'indirizzo Cisco.com. Tuttavia, è possibile trovare molti server TFTP quando si cerca "server tftp" sul motore di ricerca Internet preferito. Cisco non consiglia specificamente una particolare implementazione TFTP. Per ulteriori informazioni, consultare la pagina sul server TFTP (solo utenti registrati).
Procedura di aggiornamento
Tenere presente che l'aggiornamento di PIX Security Appliance alla versione 7.x rappresenta una modifica importante. Gran parte della CLI viene modificata e quindi la configurazione dopo l'aggiornamento apparirà molto diversa. Aggiornare solo durante una finestra di manutenzione in quanto il processo di aggiornamento richiede tempi di inattività. Se è necessario ripristinare un'immagine 6.x, seguire le procedure di downgrade. In caso contrario, il PIX entra in un ciclo continuo di riavvio. Per continuare, individuare nella tabella il modello di accessorio PIX e quindi selezionare il collegamento per visualizzare le istruzioni per l'aggiornamento.
| Modello PIX | Metodo di aggiornamento |
|---|---|
| PIX-515 | Monitor (Monitora) |
| PIX-515E | copy tftp flash |
| PIX-525 | copy tftp flash |
| PIX-535 (senza PDM installato) | copy tftp flash |
| PIX-535 (PDM installato) | Monitor (Monitora) |
Aggiornamento di PIX Security Appliance dalla modalità Monitor
Accedere alla modalità Monitor
Completare questa procedura per accedere alla modalità Monitor sul PIX.
-
Collegare un cavo console alla porta console sul PIX utilizzando queste impostazioni di comunicazione:
-
9600 bit al secondo
-
8 bit di dati
-
nessuna parità
-
1 bit di stop
-
nessun controllo del flusso
-
-
Spegnere e riaccendere il PIX. Durante l'avvio viene richiesto di utilizzare BREAK o ESC per interrompere l'avvio di Flash. Sono necessari dieci secondi per interrompere il normale processo di avvio.
-
Per accedere alla modalità Monitor, premere ESC o inviare un carattere BREAK.
-
Se si utilizza Windows Hyper Terminal, è possibile premere ESC o Ctrl+Break per inviare un carattere di interruzione.
-
Se si utilizza Telnet tramite un Terminal Server per accedere alla porta console del PIX, è necessario premere Ctrl+] (Ctrl + parentesi destra) per accedere al prompt dei comandi Telnet. Immettere quindi il comando send break.
-
-
Viene visualizzato il prompt monitor>.
-
Procedere alla sezione Aggiornamento del PIX dalla modalità monitor.
Aggiornamento del PIX dalla modalità Monitor
Completare questi passaggi per aggiornare PIX dalla modalità Monitor.
Nota: le schede Fast Ethernet in slot a 64 bit non sono visibili in modalità monitor. Questo problema significa che il server TFTP non può risiedere su una di queste interfacce. L'utente deve usare il comando copy tftp flash per scaricare il file di immagine del firewall PIX tramite TFTP.
-
Copiare l'immagine binaria dell'accessorio PIX (ad esempio, pix701.bin) nella directory principale del server TFTP.
-
Accedere alla modalità Monitor sul PIX. In caso di dubbi, vedere le istruzioni per accedere alla modalità Monitor in questo documento.
Nota: in modalità Monitor è possibile utilizzare il punto interrogativo "?" per visualizzare un elenco delle opzioni disponibili.
-
Immettere il numero di interfaccia a cui è connesso il server TFTP o l'interfaccia più vicina al server TFTP. Il valore predefinito è interface 1 (Inside).
monitor>interfaceNota: In modalità monitor, l'interfaccia esegue sempre la negoziazione automatica della velocità e del duplex. Le impostazioni dell'interfaccia non possono essere hardcoded. Pertanto, se l'interfaccia PIX è collegata a uno switch hardcoded per velocità/duplex, riconfigurarla per la negoziazione automatica mentre è in modalità monitor. Tenere presente che l'accessorio PIX non è in grado di inizializzare un'interfaccia Gigabit Ethernet dalla modalità di monitoraggio. In alternativa, è necessario utilizzare un'interfaccia Fast Ethernet.
-
Immettere l'indirizzo IP dell'interfaccia definita al passaggio 3.
monitor>address -
Immettere l'indirizzo IP del server TFTP.
monitor>server -
(Facoltativo) Immettere l'indirizzo IP del gateway. È necessario un indirizzo gateway se l'interfaccia del PIX non si trova sulla stessa rete del server TFTP.
monitor>gateway -
Immettere il nome del file sul server TFTP che si desidera caricare. Nome del file di immagine binario PIX.
monitor>file -
Eseguire il ping tra il PIX e il server TFTP per verificare la connettività IP.
Se i ping hanno esito negativo, controllare i cavi, l'indirizzo IP dell'interfaccia PIX e del server TFTP e l'indirizzo IP del gateway (se necessario). I ping devono avere esito positivo prima di continuare.
monitor>ping -
Digitare tftp per avviare il download del TFTP.
monitor>tftp
-
Il PIX scarica l'immagine nella RAM e la avvia automaticamente.
Durante il processo di avvio, il file system viene convertito insieme alla configurazione corrente. Tuttavia, non hai ancora finito. Notare questo messaggio di avviso dopo l'avvio e continuare con il passaggio 11:
****************************************************************** ** ** ** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** ** ** ** ** ----> Current image running from RAM only! <---- ** ** ** ** When the PIX was upgraded in Monitor mode the boot image was not ** ** written to Flash. Please issue "copy tftp: flash:" to load and ** ** save a bootable image to Flash. Failure to do so will result in ** ** a boot loop the next time the PIX is reloaded. ** ** ** ************************************************************************
-
Una volta avviato, accedere alla modalità di abilitazione e copiare nuovamente la stessa immagine sul PIX. Questa volta usate il comando copy tftp flash.
L'immagine viene salvata nel file system Flash. Se questa operazione non viene eseguita, al successivo caricamento del PIX verrà eseguito un ciclo di avvio.
pixfirewall>enable pixfirewall#copy tftp flash
Nota: per istruzioni dettagliate su come copiare l'immagine con il comando copy tftp flash, consultare la sezione Aggiornamento dell'appliance di sicurezza PIX con il comando copy tftp flash.
-
Una volta copiata l'immagine con il comando copy tftp flash, il processo di aggiornamento è completo.
Configurazione di esempio - Aggiornamento di PIX Security Appliance dalla modalità di monitoraggio
monitor>interface 1
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
2: i8255X @ PCI(bus:1 dev:0 irq:11)
3: i8255X @ PCI(bus:1 dev:1 irq:11)
4: i8255X @ PCI(bus:1 dev:2 irq:11)
5: i8255X @ PCI(bus:1 dev:3 irq:11)
Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81
monitor>address 10.1.1.2
address 10.1.1.2
monitor>server 172.18.173.123
server 172.18.173.123
monitor>gateway 10.1.1.1
gateway 10.1.1.1
monitor>file pix701.bin
file pix701.bin
monitor>ping 172.18.173.123
Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor>tftp
tftp pix701.bin@172.18.173.123..........................................
Received 5124096 bytes
Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar 7 17:39:03 PST 2005
#######################################################################
128MB RAM
Total NICs found: 6
mcwa i82559 Ethernet at irq 10 MAC: 0050.54ff.4d80
mcwa i82559 Ethernet at irq 7 MAC: 0050.54ff.4d81
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2014
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2015
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2016
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2017
BIOS Flash=AT29C257 @ 0xfffd8000
Old file system detected. Attempting to save data in flash
!--- This output indicates that the Flash file !--- system is formatted. The messages are normal.
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-10627)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-14252)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-15586)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (5589)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (4680)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-21657)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-28397)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (2198)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-26577)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (30139)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (-17027)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (-2608)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (18180)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (0)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (29271)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (0)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 61...block number was (0)
flashfs[7]: erasing block 61...done.
flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0
flashfs[7]: 9 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 15998976
flashfs[7]: Bytes used: 10240
flashfs[7]: Bytes available: 15988736
flashfs[7]: flashfs fsck took 58 seconds.
flashfs[7]: Initialization complete.
Saving the datafile
!
Saving a copy of old datafile for downgrade
!
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
The version of image file in flash is not bootable in the current version of
software.
Use the downgrade command first to boot older version of software.
The file is being saved as image_old.bin anyway.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
Erasing sector 64...[OK]
Burning sector 64...[OK]
Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs : 25
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited
This platform has an Unrestricted (UR) license.
Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
--------------------------------------------------------------------------
. .
| |
||| |||
.|| ||. .|| ||.
.:||| | |||:..:||| | |||:.
C i s c o S y s t e m s
--------------------------------------------------------------------------
Cisco PIX Security Appliance Software Version 7.0(1)
****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.
A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************
Copyright (c) 1996-2005 by Cisco Systems, Inc.
Restricted Rights Legend
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
!--- These messages are printed for any deprecated commands.
.ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 71, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 76, "floodguard enable"
Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303
!--- All current fixups are converted to the !--- new Modular Policy Framework.
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
************************************************************************
** **
** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** **
** **
** ----> Current image running from RAM only! <---- **
** **
** When the PIX was upgraded in Monitor mode the boot image was not **
** written to Flash. Please issue "copy tftp: flash:" to load and **
** save a bootable image to Flash. Failure to do so will result in **
** a boot loop the next time the PIX is reloaded. **
** **
************************************************************************
Type help or '?' for a list of available commands.
pixfirewall>
pixfirewall>enable
Password:
Aggiornare PIX Security Appliance con il comando copy tftp flash
Completare questa procedura per aggiornare il PIX con il comando copy tftp flash.
-
Copiare l'immagine binaria dell'accessorio PIX (ad esempio, pix701.bin) nella directory principale del server TFTP.
-
Dal prompt di abilitazione, usare il comando copy tftp flash.
pixfirewall>enable Password:pixfirewall#copy tftp flash -
Immettere l'indirizzo IP del server TFTP.
Address or name of remote host [0.0.0.0]? -
Immettere il nome del file sul server TFTP che si desidera caricare. Nome del file di immagine binario PIX.
Source file name [cdisk]? -
Quando viene richiesto di avviare la copia TFTP, digitare yes.
copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]?yes
-
L'immagine viene ora copiata dal server TFTP a Flash.
Questo messaggio viene visualizzato e indica che il trasferimento è riuscito, che la vecchia immagine binaria in Flash viene cancellata e che la nuova immagine viene scritta e installata.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Writing 5066808 bytes of image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Image installed pixfirewall#
-
Ricaricare l'accessorio PIX per avviare la nuova immagine.
pixfirewall#reload Proceed with reload? [confirm]Rebooting.... -
Il PIX ora avvia l'immagine 7.0 e questo completa il processo di aggiornamento.
Configurazione di esempio - Aggiornare l'accessorio PIX con il comando copy tftp flash
pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall#
pixfirewall#reload
Proceed with reload? [confirm]
Nota: con la licenza senza restrizioni, PIX 515 E può avere fino a otto VLAN e PIX 535 fino a venticinque VLAN.
Downgrade da PIX 7.x a 6.x
PIX Security Appliance versione 7.0 e successive utilizzano un formato di file Flash diverso rispetto alle versioni PIX precedenti. Pertanto, non è possibile effettuare il downgrade da un'immagine 7.0 a un'immagine 6.x con il comando copy tftp flash. Usare al suo posto il comando downgrade. In caso contrario, il PIX si blocca in un loop di avvio.
Quando il PIX è stato originariamente aggiornato, la configurazione di avvio 6.x è stata salvata in Flash come downgrade.cfg. Se si esegue questa procedura di downgrade, la configurazione viene ripristinata sul dispositivo al momento del downgrade. È possibile rivedere questa configurazione prima di effettuare il downgrade quando si immette il comando more flash:downgrade.cfg da un prompt enable> in 7.0. Inoltre, se il PIX è stato aggiornato in modalità Monitor, l'immagine binaria 6.x precedente viene ancora salvata in Flash come image_old.bin. Per verificare l'esistenza di questa immagine, usare il comando show flash: Se l'immagine è presente in Flash, è possibile utilizzarla nel passaggio 1 di questa procedura anziché caricarla da un server TFTP.
Completare questi passaggi per effettuare il downgrade di PIX Security Appliance.
-
Immettere il comando downgrade e specificare la posizione dell'immagine in cui eseguire il downgrade.
pixfirewall#downgrade tftp:/// Nota: se il PIX è stato aggiornato dalla modalità Monitor, la vecchia immagine binaria viene ancora salvata in Flash. Per effettuare il downgrade all'immagine, usare questo comando:
pixfirewall#downgrade flash:/image_old.bin
-
Viene visualizzato un messaggio di avvertenza che avvisa l'utente che la formattazione di Flash sta per essere eseguita. Premere Invio per continuare.
This command will reformat the flash and automatically reboot the system. Do you wish to continue? [confirm] -
L'immagine viene copiata nella RAM e la configurazione di avvio viene copiata anche nella RAM.
Buffering image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Buffering startup config All items have been buffered successfully
-
Viene visualizzato un secondo messaggio di avvertenza che indica che Flash inizia ora a formattare. NON interrompere questo processo, altrimenti Flash potrebbe danneggiarsi. Premere Invio per continuare con il formato.
If the flash reformat is interrupted or fails, data in flash will be lost and the system might drop to monitor mode. Do you wish to continue? [confirm] -
La memoria flash è ora formattata, l'immagine precedente è installata e il PIX si riavvia.
Acquiring exclusive access to flash Installing the correct file system for the image and saving the buffered data !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Flash downgrade succeeded Rebooting....
-
Il PIX viene ora avviato al prompt normale. Il processo di declassamento è stato completato.
Esempio di configurazione - Downgrade da PIX 7.x a 6.x
pixfirewall#downgrade tftp://172.18.108.26/pix634.bin
This command will reformat the flash and automatically reboot the system.
Do you wish to continue? [confirm]
Aggiornare gli accessori PIX in un set di failover
L'aggiornamento da PIX Appliance 6.x a 7.x è un aggiornamento importante. Non è possibile farlo senza downtime, anche per i PIX in un set di failover. Molti comandi di failover cambiano con l'aggiornamento. Il percorso di aggiornamento consigliato consiste nello spegnere uno dei PIX nel set di failover. Quindi, seguire le istruzioni in questo documento per aggiornare il PIX acceso. Una volta completato l'aggiornamento, verificare che il traffico passi, e anche riavviare il PIX una volta per verificare che ritorni senza problemi. Una volta verificato che tutto funzioni correttamente, spegnere il PIX appena aggiornato e accendere l'altro PIX. Quindi seguire le istruzioni in questo documento per aggiornare il PIX. Al termine dell'aggiornamento, verificare che il traffico passi. Riavviare inoltre il PIX una volta per verificare che torni attivo senza problemi. Una volta verificato che tutto funzioni correttamente, accendere l'altro PIX. Entrambi i PIX sono stati aggiornati alla versione 7.x e sono accesi. Verificare che le comunicazioni di failover vengano stabilite correttamente con il comando show failover.
Nota: il PIX applica ora la restrizione secondo cui qualsiasi interfaccia che passa il traffico di dati non può essere utilizzata come interfaccia di failover LAN o interfaccia di failover stateful. Se la configurazione PIX corrente dispone di un'interfaccia condivisa utilizzata per passare il normale traffico di dati, nonché le informazioni di failover LAN o le informazioni stateful e se si esegue l'aggiornamento, il traffico di dati non passa più attraverso questa interfaccia. Anche tutti i comandi associati all'interfaccia hanno esito negativo.
Installare Adaptive Security Device Manager (ASDM)
Prima di installare ASDM, Cisco consiglia di leggere le note sulla versione per la quale si intende installare ASDM. Le Note di rilascio includono i browser e le versioni Java minimi supportati, nonché un elenco di nuove funzionalità supportate e avvertenze aperte.
Il processo di installazione di ASDM è leggermente diverso nella versione 7.0 rispetto al passato. Inoltre, una volta copiata l'immagine ASDM nella memoria flash, è necessario specificarla nella configurazione in modo che il PIX sappia di utilizzarla. Per installare l'immagine ASDM in Flash, effettuare i seguenti passaggi.
-
Scaricare l'immagine ASDM (solo utenti registrati) da Cisco.com e inserirla nella directory principale del server TFTP.
-
Verificare che il PIX disponga di connettività IP al server TFTP. A tal fine, eseguire il ping tra il server TFTP e il PIX.
-
Dal prompt di abilitazione, usare il comando copy tftp flash.
pixfirewall>enable Password:pixfirewall#copy tftp flash -
Immettere l'indirizzo IP del server TFTP.
Address or name of remote host [0.0.0.0]? -
Immettere il nome del file ASDM sul server TFTP che si desidera caricare.
Source file name [cdisk]? -
Immettere il nome del file ASDM che si intende salvare in Flash. Premere Invio per mantenere lo stesso nome di file.
Destination filename [asdm-501.bin]? -
L'immagine viene ora copiata dal server TFTP a Flash. Vengono visualizzati messaggi che indicano che il trasferimento è stato completato.
Accessing tftp://172.18.173.123/asdm-501.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!! Writing file flash:/asdm-501.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!! 5880016 bytes copied in 140.710 secs (42000 bytes/sec)
-
Dopo aver copiato l'immagine ASDM, usare il comando asdm image flash: per specificare l'immagine ASDM da utilizzare.
pixfirewall(config)#asdm image flash:asdm-501.bin
-
Salvare la configurazione in Flash con il comando write memory.
pixfirewall(config)#write memory
-
Il processo di installazione di ASDM è stato completato.
Risoluzione dei problemi
| Sintomo | Risoluzione |
|---|---|
Dopo aver usato il metodo copy tftp flash per aggiornare il PIX e il riavvio, si blocca in questo ciclo di riavvio: Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 5063168 bytes of image from flash. |
Gli accessori PIX con versioni del BIOS precedenti alla 4.2 non possono essere aggiornati con il comando copy tftp flash. È necessario aggiornarli con il metodo Modalità monitor. |
Una volta eseguita la versione 7.0 del PIX e riavviato, il PIX rimane bloccato nel seguente ciclo di riavvio: Rebooting.... Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 115200 bytes of image from flash. PIX Flash Load Helper Initializing flashfs... flashfs[0]: 10 files, 4 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 15998976 flashfs[0]: Bytes used: 1975808 flashfs[0]: Bytes available: 14023168 flashfs[0]: Initialization complete. Unable to locate boot image configuration Booting first image in flash No bootable image in flash. Please download an image from a network server in the monitor mode Failed to find an image to boot |
Se il PIX è stato aggiornato dalla modalità Monitor alla versione 7.0, ma l'immagine 7.0 non è stata copiata nuovamente nella memoria flash dopo il primo avvio di 7.0, quando il PIX viene ricaricato, si blocca in un ciclo di riavvio. La risoluzione consiste nel caricare nuovamente l'immagine dalla modalità Monitor. Una volta avviato, è necessario copiare di nuovo l'immagine utilizzando il metodo copy tftp flash. |
Quando si esegue l'aggiornamento con il metodo copy tftp flash, viene visualizzato questo messaggio di errore: pixfirewall#copy tftp flash Address or name of remote host [0.0.0.0]? 172.18.173.123 Source file name [cdisk]? pix701.bin copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]? y !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Insufficient flash space available for this request: Size info: request:5066808 current:1966136 delta:3100672 free:2752512 Image not installed pixfirewall# |
Questo messaggio viene in genere visualizzato quando il PIX-535 o PIX-515 (non E) viene aggiornato tramite il metodo copy tftp flash e anche il PDM viene caricato nella memoria flash su tale PIX. La risoluzione consiste nell'eseguire l'aggiornamento con il metodo Modalità monitor. |
| Dopo l'aggiornamento di PIX dalla versione 6.x alla 7.0, alcune configurazioni non vengono migrate correttamente. | L'output del comando show startup-config errors visualizza gli eventuali errori verificatisi durante la migrazione della configurazione. Gli errori vengono visualizzati in questo output dopo il primo avvio di PIX. Esaminare gli errori e tentare di risolverli. |
| PIX esegue la versione 7.x ed è installata una versione più recente. Quando il PIX viene riavviato, la versione precedente continua a essere caricata. | In PIX versione 7.x, potete salvare più immagini in Flash. Il PIX cerca prima nella configurazione la memoria flash del sistema di avvio: comandi. Questi comandi specificano l'immagine che il PIX deve avviare. Se il sistema di avvio non lampeggia: PIX avviano la prima immagine avviabile in Flash. Per avviare una versione diversa, specificare il file usando il comando boot system flash:/<nomefile>. |
| Un'immagine ASDM viene caricata in Flash, ma gli utenti non possono caricare ASDM nel browser. | Innanzitutto, accertatevi che il file ASDM caricato in Flash sia specificato dal comando asdm image flash://<asdm_file>. Verificare quindi che il comando http server enable sia presente nella configurazione. Infine, verificare che l'host che tenta di caricare ASDM sia autorizzato tramite il comando http <address> <mask> <interface>. |
| L'FTP non funziona dopo un aggiornamento. | Ispezione FTP non abilitata dopo l'aggiornamento. Abilitare l'ispezione FTP in uno dei due modi descritti nella sezione Abilita ispezione FTP. |
Abilita ispezione FTP
L'ispezione FTP può essere abilitata con uno dei due metodi seguenti:
-
Aggiungere FTP al criterio di ispezione predefinito/globale.
-
Se non esiste, creare la mappa di classe inspection_default.
PIX1#configure terminal PIX1(config)#class-map inspection_default PIX1(config-cmap)#match default-inspection-traffic PIX1(config-cmap)#exit
-
Creare o modificare la mappa dei criteri global_policy e abilitare l'ispezione FTP per la classe selection_default.
PIX1(config)#policy-map global_policy PIX1(config-pmap)#class inspection_default PIX1(config-pmap-c)#inspect dns preset_dns_map PIX1(config-pmap-c)#inspect ftp PIX1(config-pmap-c)#inspect h323 h225 PIX1(config-pmap-c)#inspect h323 ras PIX1(config-pmap-c)#inspect rsh PIX1(config-pmap-c)#inspect rtsp PIX1(config-pmap-c)#inspect esmtp PIX1(config-pmap-c)#inspect sqlnet PIX1(config-pmap-c)#inspect skinny PIX1(config-pmap-c)#inspect sunrpc PIX1(config-pmap-c)#inspect xdmcp PIX1(config-pmap-c)#inspect sip PIX1(config-pmap-c)#inspect netbios PIX1(config-pmap-c)#inspect tftp
-
Abilitare global_policy globalmente.
PIX1(config)#service-policy global_policy global
-
-
Abilitare FTP creando un criterio di ispezione separato.
PIX1#configure terminal PIX1(config)#class-map ftp-traffic !--- Matches the FTP data traffic. PIX1(config-cmap)#match port tcp eq ftp PIX1(config-cmap)#exit PIX1(config)#policy-map ftp-policy PIX1(config-pmap)#class ftp-traffic !--- Inspection for the FTP traffic is enabled. PIX1(config-pmap-c)#inspect ftp PIX1(config-pmap)#exit PIX1(config)#exit !--- Applies the FTP inspection globally. PIX1(config)#service-policy ftp-policy global
Ottieni un contratto di assistenza valido
Per scaricare il software PIX, è necessario disporre di un contratto di assistenza valido. Per ottenere un contratto di assistenza, eseguire i seguenti passaggi:
-
Se disponi di un contratto di acquisto diretto, contatta il team Cisco che gestisce gli account.
-
Per acquistare un contratto di assistenza, contattare un partner o un rivenditore Cisco.
-
Utilizzare Profile Manager per aggiornare il profilo Cisco.com e richiedere l'associazione a un contratto di assistenza.
Informazioni correlate
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
16-Oct-2008 |
Versione iniziale |
Feedback