In diesem Dokument wird die Verwendung der CLI für das Upgrade des Software-Images eines Failover-Paars von Cisco Adaptive Security Appliances der Serie ASA 5500 beschrieben.
Hinweis: Der Adaptive Security Device Manager (ASDM) funktioniert nicht, wenn Sie die Software der Security Appliance direkt von 7.0 auf 7.2 aktualisieren (oder herabstufen) oder die ASDM-Software direkt von 5.0 auf 5.2 aktualisieren (oder herabstufen). Sie müssen Upgrades (oder Downgrades) in inkrementeller Reihenfolge durchführen.
Weitere Informationen zum Upgrade von ASDM und Software-Image auf ASA finden Sie unter PIX/ASA: Upgrade a Software Image using ASDM or CLI Configuration Example (PIX/ASA: Upgrade a Software Image using ASDM or CLI).
Hinweis: Im Multi-Context-Modus können Sie den Befehl copy tftp flash nicht für Upgrades oder Downgrades des PIX/ASA-Image in allen Kontexten verwenden. Dieses Image wird nur im System Exec-Modus unterstützt.
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Cisco Adaptive Security Appliance (ASA) ab Version 7.0
Cisco ASDM Version 5.0 und höher
Hinweis: Weitere Informationen zum Zulassen der ASA-Konfiguration durch den ASDM finden Sie unter Zulassen des HTTPS-Zugriffs für ASDM.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Diese Konfiguration kann auch mit Cisco Security Appliances der Serie PIX 500, Version 7.0 oder höher, verwendet werden.
Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
Die beiden Einheiten in einer Failover-Konfiguration sollten die gleiche Haupt- (erste Zahl) und Nebenversion der Software (zweite Zahl) aufweisen. Sie müssen jedoch während des Upgrade-Prozesses keine Versionsparität auf den Geräten aufrechterhalten. Sie können verschiedene Versionen der Software auf jedem Gerät ausführen und dennoch die Failover-Unterstützung aufrechterhalten. Um eine langfristige Kompatibilität und Stabilität zu gewährleisten, empfiehlt Cisco, beide Einheiten so bald wie möglich auf die gleiche Version zu aktualisieren.
Es gibt drei Arten von Upgrades. Es handelt sich dabei um:
Wartungsversion - Sie können ein Upgrade von jeder Wartungsversion auf jede andere Wartungsversion innerhalb einer Nebenversion durchführen. Sie können beispielsweise ein Upgrade von 7.0(1) auf 7.0(4) durchführen, ohne zuvor die dazwischen liegenden Wartungsversionen zu installieren.
Nebenversion - Sie können ein Upgrade von einer Nebenversion auf die nächste Nebenversion durchführen. Sie können eine Nebenversion nicht überspringen. Sie können beispielsweise ein Upgrade von 7.0 auf 7.1 durchführen. Ein direktes Upgrade von 7.0 auf 7.2 wird für Upgrades ohne Ausfallzeiten nicht unterstützt. Sie müssen zuerst ein Upgrade auf 7.1 durchführen.
Hauptversion - Sie können ein Upgrade von der letzten Nebenversion der vorherigen Version auf die nächste Hauptversion durchführen. Sie können beispielsweise ein Upgrade von 7.9 auf 8.0 durchführen, vorausgesetzt, 7.9 ist die letzte Nebenversion von Version 7.x.
Führen Sie die folgenden Schritte aus, um zwei Einheiten in einer Aktiv/Standby-Failover-Konfiguration zu aktualisieren:
Laden Sie die neue Software auf beide Einheiten herunter, und geben Sie das neue Image an, das mit dem Befehl boot system geladen werden soll.
Weitere Informationen finden Sie unter Upgrade a Software Image and ASDM Image using CLI (Upgrade eines Software-Images und eines ASDM-Images mit CLI).
Laden Sie das Standby-Gerät neu, um das neue Image zu booten, indem Sie den Befehl failover reload-standby auf dem aktiven Gerät wie folgt eingeben:
active#failover reload-standby
Wenn das Neuladen des Standby-Geräts abgeschlossen ist und sich der Status "Standby Ready" befindet, erzwingen Sie das Failover des aktiven Geräts zum Standby-Gerät, indem Sie den Befehl no failover active auf dem aktiven Gerät eingeben.
active#no failover active
Hinweis: Verwenden Sie den Befehl show failover (Failover anzeigen), um sicherzustellen, dass sich das Standby-Gerät im Standby-Status "Ready" befindet.
Laden Sie das zuvor aktive Gerät (jetzt das neue Standby-Gerät) neu, indem Sie den Befehl reload eingeben:
newstandby#reload
Wenn die neue Standby-Einheit das Neuladen abgeschlossen hat und sich im Status "Standby Ready" befindet, setzen Sie die ursprüngliche aktive Einheit in den Status "Active" zurück, indem Sie den Befehl failover active eingeben:
newstandby#failover active
Damit ist das Upgrade eines Aktiv/Standby-Failover-Paars abgeschlossen.
Führen Sie die folgenden Schritte aus, um zwei Einheiten in einer Aktiv/Aktiv-Failover-Konfiguration zu aktualisieren:
Laden Sie die neue Software auf beide Einheiten herunter, und geben Sie das neue Image an, das mit dem Befehl boot system geladen werden soll.
Weitere Informationen finden Sie unter Upgrade a Software Image and ASDM Image using CLI (Upgrade eines Software-Images und eines ASDM-Images mit CLI).
Aktivieren Sie beide Failover-Gruppen auf der primären Einheit, indem Sie den Befehl failover active im Systemausführungsbereich der primären Einheit eingeben:
primary#failover active
Laden Sie die sekundäre Einheit neu, um das neue Image zu booten, indem Sie den Befehl failover reload-standby in den Systemausführungsumfang der primären Einheit eingeben:
primary#failover reload-standby
Wenn das Neuladen der sekundären Einheit abgeschlossen ist und sich beide Failover-Gruppen auf dieser Einheit im Status "Standby Ready" befinden, aktivieren Sie beide Failover-Gruppen auf der sekundären Einheit. Verwenden Sie dazu den Befehl "no failover active" im Systemausführungsbereich der primären Einheit:
primary#no failover active
Hinweis: Verwenden Sie den Befehl show failover (Failover anzeigen), um sicherzustellen, dass sich beide Failover-Gruppen auf der sekundären Einheit im Status "Standby Ready" befinden.
Vergewissern Sie sich, dass beide Failover-Gruppen auf der primären Einheit im Status "Standby Ready" sind, und laden Sie die primäre Einheit dann mit dem Befehl reload neu:
primary#reload
Wenn die Failover-Gruppen mit dem Befehl preempt konfiguriert werden, werden sie automatisch auf ihrer zugewiesenen Einheit aktiviert, nachdem die Preempt-Verzögerung verstrichen ist. Wenn die Failover-Gruppen nicht mit dem Befehl preempt konfiguriert sind, können Sie sie mithilfe des Befehls failover active group auf ihren zugewiesenen Einheiten in den aktiven Status zurücksetzen.
Problem
Eine der folgenden Fehlermeldungen wird angezeigt, wenn Sie versuchen, die Cisco Adaptive Security Appliance (ASA) zu aktualisieren:
%ASA-5-720012: (VPN-Sekundär) Fehler beim Aktualisieren der IPSec-Failover-Laufzeitdaten auf der Standby-Einheit.
%ASA-6-720012: (VPN-Einheit) Fehler beim Aktualisieren der IPsec-Failover-Laufzeitdaten auf der Standby-Einheit.
Lösung
Diese Fehlermeldungen dienen lediglich der Information und haben keine Auswirkungen auf die Funktionalität von ASA oder VPN.
Diese Meldungen werden angezeigt, wenn das VPN-Failover-Subsystem die IPsec-bezogenen Laufzeitdaten nicht aktualisieren kann, da der entsprechende IPsec-Tunnel auf der Standby-Einheit gelöscht wurde. Um diese zu beheben, führen Sie den Befehl wr standby auf dem aktiven Gerät aus.
Es wurden zwei Fehler gemeldet, um dieses Verhalten zu beheben. Sie können ein Upgrade auf eine Softwareversion von ASA durchführen, in der diese Fehler behoben sind. Weitere Informationen finden Sie in den Cisco Bug-IDs CSCtj58420 (nur für registrierte Kunden) und CSCtn56517 (nur für registrierte Kunden).
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
16-Mar-2010 |
Erstveröffentlichung |