ASA/PIX: Verwenden der CLI zum Aktualisieren des Software-Images auf einem Failover-Paar

Download-Optionen

  • PDF     (266.3 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (89.9 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (78.0 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:16. März 2010
Dokument-ID:111867

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird die Verwendung der CLI für das Upgrade des Software-Images eines Failover-Paars von Cisco Adaptive Security Appliances der Serie ASA 5500 beschrieben.

Hinweis: Der Adaptive Security Device Manager (ASDM) funktioniert nicht, wenn Sie die Software der Security Appliance direkt von 7.0 auf 7.2 aktualisieren (oder herabstufen) oder die ASDM-Software direkt von 5.0 auf 5.2 aktualisieren (oder herabstufen). Sie müssen Upgrades (oder Downgrades) in inkrementeller Reihenfolge durchführen.

Weitere Informationen zum Upgrade von ASDM und Software-Image auf ASA finden Sie unter PIX/ASA: Upgrade a Software Image using ASDM or CLI Configuration Example (PIX/ASA: Upgrade a Software Image using ASDM or CLI).

Hinweis: Im Multi-Context-Modus können Sie den Befehl copy tftp flash nicht für Upgrades oder Downgrades des PIX/ASA-Image in allen Kontexten verwenden. Dieses Image wird nur im System Exec-Modus unterstützt.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • Cisco Adaptive Security Appliance (ASA) ab Version 7.0

  • Cisco ASDM Version 5.0 und höher

Hinweis: Weitere Informationen zum Zulassen der ASA-Konfiguration durch den ASDM finden Sie unter Zulassen des HTTPS-Zugriffs für ASDM.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Verwandte Produkte

Diese Konfiguration kann auch mit Cisco Security Appliances der Serie PIX 500, Version 7.0 oder höher, verwendet werden.

Konventionen

Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Konfiguration

Durchführung von Upgrades ohne Ausfallzeiten für Failover-Paare

Die beiden Einheiten in einer Failover-Konfiguration sollten die gleiche Haupt- (erste Zahl) und Nebenversion der Software (zweite Zahl) aufweisen. Sie müssen jedoch während des Upgrade-Prozesses keine Versionsparität auf den Geräten aufrechterhalten. Sie können verschiedene Versionen der Software auf jedem Gerät ausführen und dennoch die Failover-Unterstützung aufrechterhalten. Um eine langfristige Kompatibilität und Stabilität zu gewährleisten, empfiehlt Cisco, beide Einheiten so bald wie möglich auf die gleiche Version zu aktualisieren.

Es gibt drei Arten von Upgrades. Es handelt sich dabei um:

  1. Wartungsversion - Sie können ein Upgrade von jeder Wartungsversion auf jede andere Wartungsversion innerhalb einer Nebenversion durchführen. Sie können beispielsweise ein Upgrade von 7.0(1) auf 7.0(4) durchführen, ohne zuvor die dazwischen liegenden Wartungsversionen zu installieren.

  2. Nebenversion - Sie können ein Upgrade von einer Nebenversion auf die nächste Nebenversion durchführen. Sie können eine Nebenversion nicht überspringen. Sie können beispielsweise ein Upgrade von 7.0 auf 7.1 durchführen. Ein direktes Upgrade von 7.0 auf 7.2 wird für Upgrades ohne Ausfallzeiten nicht unterstützt. Sie müssen zuerst ein Upgrade auf 7.1 durchführen.

  3. Hauptversion - Sie können ein Upgrade von der letzten Nebenversion der vorherigen Version auf die nächste Hauptversion durchführen. Sie können beispielsweise ein Upgrade von 7.9 auf 8.0 durchführen, vorausgesetzt, 7.9 ist die letzte Nebenversion von Version 7.x.

Aktualisieren einer Aktiv/Standby-Failover-Konfiguration

Führen Sie die folgenden Schritte aus, um zwei Einheiten in einer Aktiv/Standby-Failover-Konfiguration zu aktualisieren:

  1. Laden Sie die neue Software auf beide Einheiten herunter, und geben Sie das neue Image an, das mit dem Befehl boot system geladen werden soll.

    Weitere Informationen finden Sie unter Upgrade a Software Image and ASDM Image using CLI (Upgrade eines Software-Images und eines ASDM-Images mit CLI).

  2. Laden Sie das Standby-Gerät neu, um das neue Image zu booten, indem Sie den Befehl failover reload-standby auf dem aktiven Gerät wie folgt eingeben:

    active#failover reload-standby

  3. Wenn das Neuladen des Standby-Geräts abgeschlossen ist und sich der Status "Standby Ready" befindet, erzwingen Sie das Failover des aktiven Geräts zum Standby-Gerät, indem Sie den Befehl no failover active auf dem aktiven Gerät eingeben.

    active#no failover active

    Hinweis: Verwenden Sie den Befehl show failover (Failover anzeigen), um sicherzustellen, dass sich das Standby-Gerät im Standby-Status "Ready" befindet.

  4. Laden Sie das zuvor aktive Gerät (jetzt das neue Standby-Gerät) neu, indem Sie den Befehl reload eingeben:

    newstandby#reload

  5. Wenn die neue Standby-Einheit das Neuladen abgeschlossen hat und sich im Status "Standby Ready" befindet, setzen Sie die ursprüngliche aktive Einheit in den Status "Active" zurück, indem Sie den Befehl failover active eingeben:

    newstandby#failover active

Damit ist das Upgrade eines Aktiv/Standby-Failover-Paars abgeschlossen.

Upgrade einer Aktiv/Aktiv-Failover-Konfiguration

Führen Sie die folgenden Schritte aus, um zwei Einheiten in einer Aktiv/Aktiv-Failover-Konfiguration zu aktualisieren:

  1. Laden Sie die neue Software auf beide Einheiten herunter, und geben Sie das neue Image an, das mit dem Befehl boot system geladen werden soll.

    Weitere Informationen finden Sie unter Upgrade a Software Image and ASDM Image using CLI (Upgrade eines Software-Images und eines ASDM-Images mit CLI).

  2. Aktivieren Sie beide Failover-Gruppen auf der primären Einheit, indem Sie den Befehl failover active im Systemausführungsbereich der primären Einheit eingeben:

    primary#failover active

  3. Laden Sie die sekundäre Einheit neu, um das neue Image zu booten, indem Sie den Befehl failover reload-standby in den Systemausführungsumfang der primären Einheit eingeben:

    primary#failover reload-standby

  4. Wenn das Neuladen der sekundären Einheit abgeschlossen ist und sich beide Failover-Gruppen auf dieser Einheit im Status "Standby Ready" befinden, aktivieren Sie beide Failover-Gruppen auf der sekundären Einheit. Verwenden Sie dazu den Befehl "no failover active" im Systemausführungsbereich der primären Einheit:

    primary#no failover active

    Hinweis: Verwenden Sie den Befehl show failover (Failover anzeigen), um sicherzustellen, dass sich beide Failover-Gruppen auf der sekundären Einheit im Status "Standby Ready" befinden.

  5. Vergewissern Sie sich, dass beide Failover-Gruppen auf der primären Einheit im Status "Standby Ready" sind, und laden Sie die primäre Einheit dann mit dem Befehl reload neu:

    primary#reload

  6. Wenn die Failover-Gruppen mit dem Befehl preempt konfiguriert werden, werden sie automatisch auf ihrer zugewiesenen Einheit aktiviert, nachdem die Preempt-Verzögerung verstrichen ist. Wenn die Failover-Gruppen nicht mit dem Befehl preempt konfiguriert sind, können Sie sie mithilfe des Befehls failover active group auf ihren zugewiesenen Einheiten in den aktiven Status zurücksetzen.

Fehlerbehebung

%ASA-5-720012: (VPN-sekundär) IPSec-Failover-Laufzeitdaten konnten auf der Standby-Einheit nicht aktualisiert werden (oder) %ASA-6-720012: (VPN-Einheit) IPsec-Failover-Laufzeitdaten konnten auf der Standby-Einheit nicht aktualisiert werden

Problem

Eine der folgenden Fehlermeldungen wird angezeigt, wenn Sie versuchen, die Cisco Adaptive Security Appliance (ASA) zu aktualisieren:

%ASA-5-720012: (VPN-Sekundär) Fehler beim Aktualisieren der IPSec-Failover-Laufzeitdaten auf der Standby-Einheit.

%ASA-6-720012: (VPN-Einheit) Fehler beim Aktualisieren der IPsec-Failover-Laufzeitdaten auf der Standby-Einheit.

Lösung

Diese Fehlermeldungen dienen lediglich der Information und haben keine Auswirkungen auf die Funktionalität von ASA oder VPN.

Diese Meldungen werden angezeigt, wenn das VPN-Failover-Subsystem die IPsec-bezogenen Laufzeitdaten nicht aktualisieren kann, da der entsprechende IPsec-Tunnel auf der Standby-Einheit gelöscht wurde. Um diese zu beheben, führen Sie den Befehl wr standby auf dem aktiven Gerät aus.

Es wurden zwei Fehler gemeldet, um dieses Verhalten zu beheben. Sie können ein Upgrade auf eine Softwareversion von ASA durchführen, in der diese Fehler behoben sind. Weitere Informationen finden Sie in den Cisco Bug-IDs CSCtj58420 (nur für registrierte Kunden) und CSCtn56517 (nur für registrierte Kunden).

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
16-Mar-2010
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.