Migration von Security Appliances der Serie PIX 500 auf Adaptive Security Appliances der Serie ASA 5500

Einleitung

In diesem Dokument wird die Migration von den Sicherheitslösungen der Serie PIX 500 zu den Adaptive Security Appliances der Serie ASA 5500 erläutert.

Hinweis: PIX 501, PIX 506 und PIX 506E unterstützen nicht die Softwareversion 7.

Es gibt zwei Möglichkeiten, eine PIX- in eine ASA-Konfiguration umzuwandeln:

• Tool-gestützte Konvertierung

• Manuelle Konvertierung

Automatische werkzeugbasierte/werkzeuggestützte Konvertierung

Cisco empfiehlt die Verwendung der werkzeuggestützten Konvertierung, um PIX-Konfigurationen in ASA-Konfigurationen zu konvertieren.

Die werkzeuggestützte Konvertierungsmethode ist schneller und skalierbarer, wenn Sie mehrere Konvertierungen vornehmen. Die Ausgabe des Prozesses in einer Zwischenkonfiguration enthält jedoch sowohl die alte als auch die neue Syntax. Dieses Verfahren beruht auf der Installation der Zwischenkonfiguration auf der Ziel-Adaptive Security Appliance, um die Konvertierung abzuschließen. Sie können die endgültige Konfiguration erst anzeigen, wenn sie auf dem Zielgerät installiert wurde.

Hinweis: Cisco hat das Tool zur Migration von PIX zu ASA veröffentlicht, um die Automatisierung des Migrationsprozesses auf die neuen ASA Appliances zu unterstützen. Dieses Tool kann von der PIX Software-Download-Site heruntergeladen werden. Weitere Informationen finden Sie unter Migrating the Configuration of PIX 500 Series Security Appliance to ASA 5500 Series Adaptive Security Appliances.

Voraussetzungen

Hardware- und Softwareanforderungen

Sie können ein Upgrade von PIX 515, 515E, 525, 535 auf Version 7.0 durchführen.

Bevor Sie mit dem Upgrade auf Version 7.x beginnen, empfiehlt Cisco, dass PIX Version 6.2 oder höher ausführt. So wird sichergestellt, dass die aktuelle Konfiguration korrekt umgewandelt wird. Darüber hinaus müssen die folgenden Hardware-Anforderungen für die RAM-Mindestanforderungen erfüllt werden:

PIX-Modell	RAM-Anforderungen
	Eingeschränkt (R)	UnRestricted (UR)/Failover Only (FO)
PIX 515	64 MB*	128 MB*
PIX-515 E	64 MB*	128 MB*
PIX 525	128 MB	256 MB
PIX 535	512 MB	1 GB

Führen Sie den Befehl show version aus, um die RAM-Größe zu ermitteln, die derzeit auf dem PIX installiert ist.

Hinweis: Für Softwareupgrades auf dem PIX 515 und 515E kann auch ein Speicherupgrade erforderlich sein:

• Benutzer mit eingeschränkten Lizenzen und 32 MB Arbeitsspeicher müssen auf 64 MB Arbeitsspeicher aufgerüstet werden.

• Benutzer mit uneingeschränkten Lizenzen und 64 MB Arbeitsspeicher müssen auf 128 MB Arbeitsspeicher aufgerüstet werden.

In dieser Tabelle finden Sie die Teilenummern, die Sie benötigen, um den Speicher auf diesen Appliances zu aktualisieren.

Aktuelle Appliance-Konfiguration		Upgrade-Lösung
Plattform-Lizenz	Gesamtspeicher (vor dem Upgrade)	Teilenummer	Gesamtspeicher (nach Aktualisierung)
Eingeschränkt (R)	32 MB	PIX-515-MEM-32=	64 MB
Unrestricted (UR)	32 MB	PIX-515-MEM-128=	128 MB
Failover-Only (FO)	64 MB	PIX-515-MEM-128=	128 MB

Hinweis: Die Teilenummer hängt von der auf dem PIX installierten Lizenz ab.

Das Upgrade der Softwareversion 6.x auf 7.x ist problemlos möglich und erfordert einige manuelle Eingriffe. Diese Schritte müssen jedoch vor dem Start ausgeführt werden:

1. Vergewissern Sie sich, dass in Ihrer aktuellen Konfiguration keine Befehle für Conduit oder Outbound/Apply vorhanden sind. Diese Befehle werden in 7.x nicht mehr unterstützt und durch den Upgrade-Prozess entfernt. Verwenden Sie das Tool Conduit Converter, um diese Befehle vor dem Upgrade in Zugriffslisten zu konvertieren.

2. Stellen Sie sicher, dass PIX PPTP-Verbindungen (Point to Point Tunneling Protocol) nicht terminiert. Die Softwareversion 7.x unterstützt derzeit keine PPTP-Terminierung.

3. Kopieren Sie alle digitalen Zertifikate für VPN-Verbindungen auf den PIX, bevor Sie den Upgrade-Prozess starten.

4. Lesen Sie diese Dokumente, um sicherzustellen, dass Sie über neue, geänderte und veraltete Befehle informiert sind:

   • Versionshinweise für die Softwareversion, auf die Sie aktualisieren möchten. Diese finden Sie in den Versionshinweisen für die Cisco PIX Security Appliance.

   • Leitfaden für Benutzer von Cisco PIX 6.2 und 6.3, die auf Cisco PIX Software 7.0 aktualisieren

5. Planen Sie die Durchführung der Migration während Ausfallzeiten. Die Migration ist zwar ein einfacher Prozess in zwei Schritten, das Upgrade der PIX Security Appliance auf 7.x stellt jedoch eine erhebliche Änderung dar und erfordert einige Ausfallzeiten.

6. Laden Sie die Software 7.x von Cisco Downloads herunter (nur für registrierte Kunden).

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Security Appliances der Serie ASA 5500

• PIX Security Appliance 515, 515E, 525 und 535

• PIX-Softwareversionen 6.3, 7.0

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Manuelle Konfigurationsumwandlung

Bei der manuellen Konvertierung verwenden Sie einen Texteditor, um Ihre Konfiguration zeilenweise zu durchlaufen und PIX-spezifische Befehle in ASA-Befehle zu konvertieren.

Durch die manuelle Umwandlung der PIX- in eine ASA-Konfiguration haben Sie die größtmögliche Kontrolle über den Umwandlungsprozess. Der Prozess ist jedoch zeitaufwendig und lässt sich nicht gut skalieren, wenn Sie mehrere Konvertierungen durchführen müssen.

Die folgenden drei Schritte müssen für die Migration von PIX zu ASA durchgeführt werden:

1. Aktualisieren Sie die PIX-Softwareversion auf 7.x.

2. Konvertieren von Schnittstellennamen aus der Cisco PIX-Software 7.0 in das Cisco ASA-Format

3. Kopieren Sie die PIX Software 7.0-Konfiguration auf Cisco ASA 5500.

PIX-Softwareversion auf 7.x aktualisieren

Führen Sie die folgenden Schritte aus, bevor Sie mit dem eigentlichen Upgrade beginnen:

1. Führen Sie den Befehl show running-config oder write net aus, um die aktuelle PIX-Konfiguration in einer Textdatei oder auf einem TFTP-Server zu speichern.

2. Führen Sie den Befehl show version aus, um die Anforderungen zu überprüfen, z. B. RAM. Speichern Sie außerdem die Ausgabe dieses Befehls in einer Textdatei. Wenn Sie zu einer älteren Version des Codes zurückkehren müssen, benötigen Sie möglicherweise den ursprünglichen Aktivierungsschlüssel.

Wenn der PIX eine BIOS-Version (Basic Input Output System) vor 4.2 hat oder wenn Sie ein Upgrade auf einen PIX 515 oder einen PIX 535 mit einem bereits installierten PDM planen, müssen Sie das Upgrade im Überwachungsmodus durchführen, anstatt mit der copy tftp flash-Methode. Um die BIOS-Version anzuzeigen, starten Sie den PIX neu, und lesen Sie beim Booten die Meldungen, wenn ein Konsolenkabel angeschlossen ist.

Die BIOS-Version wird in einer Meldung wie der folgenden angezeigt:

Rebooting....


CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
64 MB RAM

Hinweis: Die 6.x-Befehle werden während des Upgrades automatisch in 7.x-Befehle konvertiert. Die automatische Umwandlung von Befehlen führt zu einer Änderung Ihrer Konfiguration. Überprüfen Sie die Konfigurationsänderungen nach dem Start der 7.x-Software, um sicherzustellen, dass die automatischen Änderungen zufriedenstellend sind. Speichern Sie dann die Konfiguration im Flash-Speicher, um sicherzustellen, dass das System die Konfiguration beim nächsten Start der Sicherheits-Appliance nicht erneut konvertiert.

Hinweis: Nach dem Upgrade des Systems auf 7.x ist es wichtig, dass Sie das Festplattendienstprogramm der Softwareversion 6.x np, wie z. B. die Kennwortwiederherstellung, nicht verwenden, da dieses das Software-Image von 7.x beschädigt und einen Neustart des Systems im Überwachungsmodus erfordert. Es kann auch dazu führen, dass Sie Ihre vorherige Konfiguration, Ihren Sicherheits-Kernel und Ihre Schlüsselinformationen verlieren.

Aktualisieren Sie die PIX Security Appliance mit dem Befehl copy tftp flash

Führen Sie diese Schritte aus, um das PIX-Upgrade mit dem Befehl copy tftp flash durchzuführen.

1. Kopieren Sie das Binär-Image der PIX-Appliance, z. B. pix701.bin, in das Stammverzeichnis des TFTP-Servers.

2. Geben Sie an der Eingabeaufforderung enable den Befehl copy tftp flash ein.

   pixfirewall>enable
   Password:
    
              
   
   pixfirewall#copy tftp flash
   

3. Geben Sie die IP-Adresse des TFTP-Servers ein.

   Address or name of remote host [0.0.0.0]? 
             
             
   

4. Geben Sie den Namen der Datei auf dem TFTP-Server ein, den Sie laden möchten. Dies ist der Dateiname des binären PIX-Abbilds.

   Source file name [cdisk]?
    
              
   
   

5. Wenn Sie aufgefordert werden, die TFTP-Kopie zu starten, geben Sie yes (Ja) ein.

   copying tftp://172.18.173.123/pix701.bin to flash:image
   [yes|no|again]?yes
   

6. Das Image wird nun vom TFTP-Server auf Flash kopiert.

   Diese Meldung zeigt an, dass die Übertragung erfolgreich war, das alte Binärbild in Flash gelöscht und das neue Bild geschrieben und installiert wurde.

   !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
   Received 5124096 bytes
   Erasing current image
   Writing 5066808 bytes of image
   !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
   Image installed
   pixfirewall#

7. Laden Sie die PIX-Appliance neu, um das neue Image zu booten.

   pixfirewall#reload
   Proceed with reload? [confirm] 
    
              
   
   
   
   Rebooting....

8. Das PIX startet jetzt das 7.0-Image, und damit ist der Upgrade-Prozess abgeschlossen.

Beispielkonfiguration - Führen Sie ein Upgrade der PIX-Appliance mit dem Befehl copy tftp flash durch.

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall# 
pixfirewall#reload
Proceed with reload? [confirm] 
 
         




Rebooting...

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
128 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 7192 Host Bridge 
00 07 00 8086 7110 ISA Bridge 
00 07 01 8086 7111 IDE Controller 
00 07 02 8086 7112 Serial Bus 9
00 07 03 8086 7113 PCI Bridge 
00 0D 00 8086 1209 Ethernet 11
00 0E 00 8086 1209 Ethernet 10
00 13 00 11D4 2F44 Unknown Device 5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash. 
######################################################################
######################################################################
128MB RAM

Total NICs found: 2
mcwa i82559 Ethernet at irq 11 MAC: 0009.4360.ed44
mcwa i82559 Ethernet at irq 10 MAC: 0009.4360.ed43
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


!--- This output indicates that the Flash file 
!--- system is formatted. The messages are normal.

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-27642)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-30053)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-1220)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-22934)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (2502)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (29877)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-13768)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (9350)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-18268)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (7921)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (22821)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (7787)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (15515)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (20019)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-25094)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-7515)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (-10699)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (6652)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (-23640)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (23698)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (-28882)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (2533)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-966)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-22888)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (-9762)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (9747)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (-22855)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-32551)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-13355)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (-29894)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-18595)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (22095)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (1486)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (13559)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (24215)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (21670)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (-24316)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 7, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 12, parent_fileid 0
flashfs[7]: 5 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 5128192
flashfs[7]: Bytes available: 10999808
flashfs[7]: flashfs fsck took 59 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6 
Maximum VLANs : 25 
Inside Hosts : Unlimited 
Failover : Active/Active
VPN-DES : Enabled 
VPN-3DES-AES : Enabled 
Cut-through Proxy : Enabled 
Guards : Enabled 
URL Filtering : Enabled 
Security Contexts : 2 
GTP/GPRS : Disabled 
VPN Peers : Unlimited 

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC (IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5)
--------------------------------------------------------------------------
. . 
| | 
||| ||| 
.|| ||. .|| ||. 
.:||| | |||:..:||| | |||:. 
C i s c o S y s t e m s 
--------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1) 

****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.

A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

!--- These messages are printed for any deprecated commands.

ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 50, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 55, "floodguard enable"

Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 

!--- All current fixups are converted to the new Modular Policy Framework.

INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
pixfirewall>

Hinweis: Geben Sie den Befehl show version (Version anzeigen) ein, um zu überprüfen, ob auf dem PIX jetzt die Softwareversion 7.x ausgeführt wird.

Hinweis: Um Fehler zu untersuchen, die während der Migration der Konfiguration aufgetreten sind, geben Sie den Befehl show startup-config errors (Fehler anzeigen) ein. Die Fehler werden in dieser Ausgabe angezeigt, nachdem Sie das PIX-System zum ersten Mal gestartet haben.

Aktualisieren der PIX Security Appliance vom Überwachungsmodus

Überwachungsmodus eingeben

Führen Sie diese Schritte aus, um den Überwachungsmodus auf dem PIX aufzurufen.

1. Schließen Sie unter Verwendung der folgenden Kommunikationseinstellungen ein Konsolenkabel an den Konsolenport des PIX an:

   • 9600 Bits pro Sekunde

   • 8 Daten-Bit

   • Keine Parität

   • 1 Stopp-Bit

   • Keine Flusskontrolle

2. Aus- und wieder Einschalten oder erneutes Laden des PIX Während des Bootvorgangs werden Sie aufgefordert, BREAK oder ESC zu verwenden, um den Flash-Start zu unterbrechen. Sie haben zehn Sekunden, um den normalen Bootvorgang zu unterbrechen.

3. Drücken Sie die ESC-Taste, oder senden Sie ein BREAK-Zeichen, um den Überwachungsmodus aufzurufen.

   • Wenn Sie Windows Hyper Terminal verwenden, können Sie die Esc-Taste drücken oder Strg+Break drücken, um ein BREAK-Zeichen zu senden.

   • Wenn Sie Telnet über einen Terminalserver ausführen, um auf den Konsolen-Port des PIX zuzugreifen, müssen Sie Strg+] (Strg + rechte Klammer) drücken, um zur Telnet-Eingabeaufforderung zu gelangen. Geben Sie dann den Befehl send break ein.

4. Die Eingabeaufforderung monitor> wird angezeigt.

5. Fahren Sie mit dem Abschnitt PIX vom Überwachungsmodus aktualisieren fort.

PIX vom Überwachungsmodus aktualisieren

Führen Sie diese Schritte aus, um Ihr PIX-System aus dem Überwachungsmodus zu aktualisieren.

1. Kopieren Sie das Binär-Image der PIX-Appliance, z. B. pix701.bin, in das Stammverzeichnis des TFTP-Servers.

2. Wechseln Sie auf dem PIX in den Überwachungsmodus. Wenn Sie sich nicht sicher sind, wie Sie vorgehen sollen, lesen Sie Enter Monitor Mode (Überwachungsmodus aufrufen).

   Hinweis: Sobald Sie sich im Überwachungsmodus befinden, können Sie mit der Taste "?" eine Liste der verfügbaren Optionen anzeigen.

3. Geben Sie die Schnittstellennummer ein, mit der der TFTP-Server verbunden ist, oder die Schnittstelle, die dem TFTP-Server am nächsten liegt. Der Standardwert ist "interface 1 (Inside)".

   monitor>interface 
             
             
   

   Hinweis: Im Überwachungsmodus werden Geschwindigkeit und Duplex immer automatisch von der Schnittstelle ausgehandelt. Die Schnittstelleneinstellungen können nicht fest codiert sein. Wenn die PIX-Schnittstelle an einen Switch angeschlossen ist, der für Geschwindigkeit/Duplex fest codiert ist, konfigurieren Sie ihn daher so, dass er automatisch ausgehandelt wird, während Sie sich im Überwachungsmodus befinden. Beachten Sie außerdem, dass die PIX-Appliance eine Gigabit Ethernet-Schnittstelle nicht über den Überwachungsmodus initialisieren kann. Sie müssen stattdessen eine Fast Ethernet-Schnittstelle verwenden.

4. Geben Sie die IP-Adresse der in Schritt 3 definierten Schnittstelle ein.

   monitor>address 
             
             
   

5. Geben Sie die IP-Adresse des TFTP-Servers ein.

   monitor>server 
             
             
   

6. (Optional) Geben Sie die IP-Adresse des Kabelmodems ein. Eine Gateway-Adresse ist erforderlich, wenn sich die Schnittstelle des PIX nicht im selben Netzwerk wie der TFTP-Server befindet.

   monitor>gateway 
             
             
   

7. Geben Sie den Namen der Datei auf dem TFTP-Server ein, den Sie laden möchten. Dies ist der Dateiname des binären PIX-Abbilds.

   monitor>file 
             
             
   

8. Pingen Sie vom PIX zum TFTP-Server, um die IP-Verbindung zu überprüfen.

   Wenn die Pings fehlschlagen, überprüfen Sie die Kabel, die IP-Adresse der PIX-Schnittstelle und des TFTP-Servers sowie die IP-Adresse des Gateways (falls erforderlich). Die Pings müssen erfolgreich sein, bevor Sie fortfahren.

   monitor>ping 
             
             
   

9. Geben Sie tftp ein, um den TFTP-Download zu starten.

   monitor>tftp
   

10. Der PIX lädt das Image in den RAM herunter und bootet es automatisch.

    Während des Bootvorgangs wird das Dateisystem zusammen mit Ihrer aktuellen Konfiguration konvertiert. Sie sind jedoch noch nicht fertig. Beachten Sie diese Warnmeldung nach dem Booten, und fahren Sie mit Schritt 11 fort:

    ******************************************************************
      **                                                                    **
      **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
      **                                                                    **
      **          ----> Current image running from RAM only! <----          **
      **                                                                    **
      **  When the PIX was upgraded in Monitor mode the boot image was not  **
      **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
      **  save a bootable image to Flash.  Failure to do so will result in  **
      **  a boot loop the next time the PIX is reloaded.                    **
      **                                                                    **
      ************************************************************************

11. Nach dem Booten wechseln Sie in den privilegierten Modus, und kopieren Sie das gleiche Image erneut auf den PIX. Dieses Mal geben Sie den Befehl copy tftp flash ein.

    Das Bild wird im Flash-Dateisystem gespeichert. Wenn dieser Schritt nicht abgeschlossen wird, wird beim nächsten Laden des PIX ein Bootloop generiert.

    pixfirewall>enable
    pixfirewall#copy tftp flash
    

    Hinweis: Detaillierte Anweisungen zum Kopieren des Images mithilfe des Befehls copy tftp flash finden Sie im Abschnitt PIX Security Appliance mit dem Befehl copy tftp flash Command aktualisieren.

12. Sobald das Image mit dem Befehl copy tftp flash kopiert wurde, ist der Upgrade-Prozess abgeschlossen.

    Beispielkonfiguration - Upgrade der PIX Security Appliance vom Überwachungsmodus

    monitor>interface 1 
    0: i8255X @ PCI(bus:0 dev:13 irq:10)
    1: i8255X @ PCI(bus:0 dev:14 irq:7 )
    2: i8255X @ PCI(bus:1 dev:0  irq:11)
    3: i8255X @ PCI(bus:1 dev:1  irq:11)
    4: i8255X @ PCI(bus:1 dev:2  irq:11)
    5: i8255X @ PCI(bus:1 dev:3  irq:11)
    
    Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81
    monitor>address 10.1.1.2 
    address 10.1.1.2 
    monitor>server 172.18.173.123 
    server 172.18.173.123 
    monitor>gateway 10.1.1.1
    gateway 10.1.1.1
    monitor>file pix701.bin 
    file pix701.bin 
    monitor>ping 172.18.173.123 
    Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds: 
    !!!!! 
    Success rate is 100 percent (5/5) 
    monitor>tftp 
    tftp pix701.bin@172.18.173.123.......................................... 
    Received 5124096 bytes 
    
    Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar  7 17:39:03 PST 2005
    #######################################################################
    128MB RAM
    
    Total NICs found: 6
    mcwa i82559 Ethernet at irq 10  MAC: 0050.54ff.4d80
    mcwa i82559 Ethernet at irq  7  MAC: 0050.54ff.4d81
    mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2014
    mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2015
    mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2016
    mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2017
    BIOS Flash=AT29C257 @ 0xfffd8000
    Old file system detected. Attempting to save data in flash
     
    
    !--- This output indicates that the Flash file 
    !--- system is formatted. The messages are normal.
    
    Initializing flashfs...
    flashfs[7]: Checking block 0...block number was (-10627)
    flashfs[7]: erasing block 0...done.
    flashfs[7]: Checking block 1...block number was (-14252)
    flashfs[7]: erasing block 1...done.
    flashfs[7]: Checking block 2...block number was (-15586)
    flashfs[7]: erasing block 2...done.
    flashfs[7]: Checking block 3...block number was (5589)
    flashfs[7]: erasing block 3...done.
    flashfs[7]: Checking block 4...block number was (4680)
    flashfs[7]: erasing block 4...done.
    flashfs[7]: Checking block 5...block number was (-21657)
    flashfs[7]: erasing block 5...done.
    flashfs[7]: Checking block 6...block number was (-28397)
    flashfs[7]: erasing block 6...done.
    flashfs[7]: Checking block 7...block number was (2198)
    flashfs[7]: erasing block 7...done.
    flashfs[7]: Checking block 8...block number was (-26577)
    flashfs[7]: erasing block 8...done.
    flashfs[7]: Checking block 9...block number was (30139)
    flashfs[7]: erasing block 9...done.
    flashfs[7]: Checking block 10...block number was (-17027)
    flashfs[7]: erasing block 10...done.
    flashfs[7]: Checking block 11...block number was (-2608)
    flashfs[7]: erasing block 11...done.
    flashfs[7]: Checking block 12...block number was (18180)
    flashfs[7]: erasing block 12...done.
    flashfs[7]: Checking block 13...block number was (0)
    flashfs[7]: erasing block 13...done.
    flashfs[7]: Checking block 14...block number was (29271)
    flashfs[7]: erasing block 14...done.
    flashfs[7]: Checking block 15...block number was (0)
    flashfs[7]: erasing block 15...done.
    flashfs[7]: Checking block 61...block number was (0)
    flashfs[7]: erasing block 61...done.
    flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0
    flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0
    flashfs[7]: 9 files, 3 directories
    flashfs[7]: 0 orphaned files, 0 orphaned directories
    flashfs[7]: Total bytes: 15998976
    flashfs[7]: Bytes used: 10240
    flashfs[7]: Bytes available: 15988736
    flashfs[7]: flashfs fsck took 58 seconds.
    flashfs[7]: Initialization complete.
    
    Saving the datafile
    !
    Saving a copy of old datafile for downgrade
    !
    Saving the configuration
    !
    Saving a copy of old configuration as downgrade.cfg
    !
    Saved the activation key from the flash image
    Saved the default firewall mode (single) to flash
    The version of image file in flash is not bootable in the current version of
    software.
    Use the downgrade command first to boot older version of software.
    The file is being saved as image_old.bin anyway.
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Upgrade process complete
    Need to burn loader....
    Erasing sector 0...[OK]
    Burning sector 0...[OK]
    Erasing sector 64...[OK]
    Burning sector 64...[OK]
    
    Licensed features for this platform:
    Maximum Physical Interfaces : 6         
    Maximum VLANs               : 25        
    Inside Hosts                : Unlimited 
    Failover                    : Active/Active
    VPN-DES                     : Enabled   
    VPN-3DES-AES                : Enabled   
    Cut-through Proxy           : Enabled   
    Guards                      : Enabled   
    URL Filtering               : Enabled   
    Security Contexts           : 2         
    GTP/GPRS                    : Disabled  
    VPN Peers                   : Unlimited 
    
    This platform has an Unrestricted (UR) license.
    
    Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
      --------------------------------------------------------------------------
                                     .            .                             
                                     |            |                             
                                    |||          |||                            
                                  .|| ||.      .|| ||.                          
                               .:||| | |||:..:||| | |||:.                       
                                C i s c o  S y s t e m s                        
      --------------------------------------------------------------------------
    
    Cisco PIX Security Appliance Software Version 7.0(1) 
    
      ****************************** Warning *******************************
      This product contains cryptographic features and is
      subject to United States and local country laws
      governing, import, export, transfer, and use.
      Delivery of Cisco cryptographic products does not
      imply third-party authority to import, export,
      distribute, or use encryption. Importers, exporters,
      distributors and users are responsible for compliance
      with U.S. and local country laws. By using this
      product you agree to comply with applicable laws and
      regulations. If you are unable to comply with U.S.
      and local laws, return the enclosed items immediately.
    
      A summary of U.S. laws governing Cisco cryptographic
      products may be found at:
      http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
    
      If you require further assistance please contact us by
      sending email to export@cisco.com.
      ******************************* Warning *******************************
    
    Copyright (c) 1996-2005 by Cisco Systems, Inc.
    
                    Restricted Rights Legend
    
    Use, duplication, or disclosure by the Government is
    subject to restrictions as set forth in subparagraph
    (c) of the Commercial Computer Software - Restricted
    Rights clause at FAR sec. 52.227-19 and subparagraph
    (c) (1) (ii) of the Rights in Technical Data and Computer
    Software clause at DFARS sec. 252.227-7013.
    
                    Cisco Systems, Inc.
                    170 West Tasman Drive
                    San Jose, California 95134-1706
    
    
    !--- These messages are printed for any deprecated commands.
    
    .ERROR: This command is no longer needed. The LOCAL user database is always enabled.
     *** Output from config line 71, "aaa-server LOCAL protoco..."
    ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
     *** Output from config line 76, "floodguard enable"
    
    Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303 
    
    !--- All current fixups are converted to the 
    !--- new Modular Policy Framework.
    
    INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
    INFO: converting 'fixup protocol ftp 21' to MPF commands
    INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
    INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
    INFO: converting 'fixup protocol http 80' to MPF commands
    INFO: converting 'fixup protocol ils 389' to MPF commands
    INFO: converting 'fixup protocol netbios 137-138' to MPF commands
    INFO: converting 'fixup protocol rsh 514' to MPF commands
    INFO: converting 'fixup protocol rtsp 554' to MPF commands
    INFO: converting 'fixup protocol sip 5060' to MPF commands
    INFO: converting 'fixup protocol skinny 2000' to MPF commands
    INFO: converting 'fixup protocol smtp 25' to MPF commands
    INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
    INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
    INFO: converting 'fixup protocol tftp 69' to MPF commands
    INFO: converting 'fixup protocol sip udp 5060' to MPF commands
    INFO: converting 'fixup protocol xdmcp 177' to MPF commands
      ************************************************************************
      **                                                                    **
      **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
      **                                                                    **
      **          ----> Current image running from RAM only! <----          **
      **                                                                    **
      **  When the PIX was upgraded in Monitor mode the boot image was not  **
      **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
      **  save a bootable image to Flash.  Failure to do so will result in  **
      **  a boot loop the next time the PIX is reloaded.                    **
      **                                                                    **
      ************************************************************************
    Type help or '?' for a list of available commands.
    pixfirewall>
    pixfirewall>enable
    Password:
     
               
    
    pixfirewall# 
    pixfirewall#copy tftp flash
    
    Address or name of remote host []? 172.18.173.123
    
    Source filename []? pix701.bin
    
    Destination filename [pix701.bin]? 
     
               
    
    
    Accessing tftp://172.18.173.123/pix701.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Writing file flash:/pix701.bin...
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    5124096 bytes copied in 139.790 secs (36864 bytes/sec)
    pixfirewall#

Konvertieren von Schnittstellennamen aus der Cisco PIX Software 7.0 in das Cisco ASA-Format

Der nächste Schritt besteht darin, die neu konvertierte, auf der Cisco PIX Software 7.0 basierende Konfiguration offline zu bearbeiten.

Da sich die Benennungskonvention der Cisco ASA-Schnittstelle von der der Cisco PIX Security Appliances unterscheidet, müssen Sie Änderungen an der Cisco PIX-Konfiguration vornehmen, bevor Sie diese in die Cisco Security Appliance der Serie ASA 5500 kopieren bzw. auf diese hochladen.

Führen Sie die folgenden Schritte aus, um die Schnittstellennamen in der PIX-Konfiguration zu ändern:

1. Kopieren Sie die neue auf Cisco PIX Software 7.0 basierende Konfiguration offline. Laden Sie dazu die Konfiguration auf einen TFTP/FTP-Server hoch oder kopieren Sie sie von einer Konsolensitzung in einen Texteditor.

   Um die PIX-Konfiguration von der Konsole auf einen TFTP-/FTP-Server hochzuladen, führen Sie den folgenden Befehl aus:

   copy startup−config tftp://n.n.n.n/PIX7cfg.txt
       or
   copy startup−config ftp://n.n.n.n/PIX7cfg.txt
   

2. Wenn die auf Cisco PIX Software 7.0 basierende Konfigurationsdatei erfolgreich auf den TFTP/FTP-Server hochgeladen (oder in einen Texteditor eingefügt/kopiert) wurde, öffnen Sie Notepad/WordPad oder einen beliebigen Texteditor, um die Schnittstellennamen in der PIX-Konfiguration zu ändern.

   Cisco PIX Security Appliances nummerieren Schnittstellen von 0 bis n. Cisco Security Appliances der Serie ASA 5500 nummerieren Schnittstellen basierend auf ihrem Standort/Steckplatz. Integrierte Schnittstellen sind von 0/0 bis 0/3 nummeriert, und die Verwaltungsschnittstelle ist Management 0/0. Die Schnittstellen auf dem 4GE SSM-Modul sind von 1/0 bis 1/3 nummeriert.

   Die Cisco ASA 5510 mit einer Basislizenz von 7.0 verfügt über drei Fast Ethernet-Ports (0/0 bis 0/2) sowie die verfügbare Management 0/0-Schnittstelle. Die Cisco ASA 5510 mit Security Plus-Lizenz bietet alle fünf verfügbaren Fast Ethernet-Schnittstellen. Die Cisco ASA 5520 und 5540 verfügen über vier Gigabit Ethernet-Ports und einen Fast Ethernet Management-Port. Die Cisco ASA 5550 verfügt über acht Gigabit-Ethernet-Ports und einen Fast Ethernet-Port.

   Ändern Sie die Schnittstellennamen in der PIX-Konfiguration in das ASA-Schnittstellenformat.

   Beispiele:

      
      Ethernet0 ==> Ethernet0/0
      Ethernet1 ==> Ethernet0/1
      GigabitEthernet0 ==> GigabitEthernet0/0
   

   Weitere Informationen finden Sie im Abschnitt "Konfigurieren von Schnittstellenparametern" im Cisco Security Appliance Command Line Configuration Guide, Version 7.0.

Kopieren der Konfiguration von PIX auf ASA

An diesem Punkt verfügen Sie über eine Konfiguration auf Basis der Cisco PIX Software 7.0, deren Schnittstellennamen geändert wurden und kopiert oder auf die Cisco Serie ASA 5500 hochgeladen werden können. Es gibt zwei Möglichkeiten, die Konfiguration der Cisco PIX Software 7.0 auf die Appliance der Serie ASA 5500 zu laden.

Führen Sie die Schritte unter Methode 1: Manuelles Kopieren/Einfügen oder Methode 2: Herunterladen von TFTP/FTP aus.

Methode 1: Manuelles Kopieren/Einfügen

Kopieren Sie die Konfiguration über die Copy/Paste-Methode der PIX-Konsole:

1. Melden Sie sich über die Konsole bei der Cisco Serie ASA 5500 an, und geben Sie den Befehl clear config all aus, um die Konfiguration zu löschen, bevor Sie die geänderte Cisco PIX Software 7.0-Konfiguration einfügen.

   ASA#config t
   ASA(config)#clear config all
   

2. Kopieren Sie die Konfiguration, fügen Sie sie in die ASA-Konsole ein, und speichern Sie sie.

   Hinweis: Stellen Sie sicher, dass sich alle Schnittstellen im Status no shutdown befinden, bevor Sie mit dem Test beginnen.

Methode 2: Download über TFTP/FTP

Die zweite Methode besteht darin, die auf Cisco PIX Software 7.0 basierende Konfiguration von einem TFTP-/FTP-Server herunterzuladen. Für diesen Schritt müssen Sie die Verwaltungsschnittstelle auf der Appliance der Serie Cisco ASA 5500 für den TFTP-/FTP-Download konfigurieren:

1. Geben Sie in der ASA-Konsole Folgendes ein:

   ASA#config t
   ASA(config)#interface management 0
   ASA(config)#nameif management
   ASA(config)#ip add 
             
              
              
                ASA(config)#no shut 
               
             
   

   Hinweis: (Optional) Routen-Management <IP> <Maske> <Next-Hop>

2. Sobald die Management-Schnittstelle eingerichtet ist, können Sie die PIX-Konfiguration auf die ASA herunterladen:

   ASA(Config)#copy tftp://
             
             
               /PIX7cfg.txt running-config 
             
   

3. Speichern Sie die Konfiguration.

Anwenden einer PIX Software Version 6.x-Konfiguration auf die ASA Software Version 7.x

Die Konvertierung einer PIX 6.2- oder 6.3-Konfiguration in eine neue ASA Security Appliance erfolgt manuell. Der ASA/PIX-Administrator muss die PIX 6.x-Syntax so umwandeln, dass sie mit der ASA-Syntax übereinstimmt, und die Befehle in die ASA-Konfiguration eingeben. Sie können einige Befehle ausschneiden und einfügen, z. B. den Befehl access-list. Vergleichen Sie unbedingt die PIX 6.2- oder 6.3-Konfiguration mit der neuen ASA-Konfiguration, um sicherzustellen, dass bei der Konvertierung keine Fehler gemacht werden.

Hinweis: Der Cisco CLI Analyzer (nur für registrierte Kunden) kann verwendet werden, um einige der älteren, nicht unterstützten Befehle wie apply, outbound oder Conduit in die entsprechende Zugriffsliste zu konvertieren. Die konvertierten Aussagen müssen gründlich überprüft werden. Es muss überprüft werden, ob die Konvertierung den Sicherheitsrichtlinien entspricht.

Hinweis: Der Prozess für das Upgrade auf eine neue ASA-Appliance unterscheidet sich von einem Upgrade auf eine neue PIX-Appliance. Der Versuch, ein Upgrade auf eine ASA mit dem PIX-Prozess durchzuführen, führt zu einer Reihe von Konfigurationsfehlern auf der ASA.

Fehlerbehebung - manuelle Konfigurationsumwandlung

Gerät steckt in Neustart-Schleife fest

• Nachdem Sie die copy tftp flash-Methode verwenden, um das PIX zu aktualisieren, und neu zu starten, wird es in diesem Neustart-Loop festgehalten:

  Cisco Secure PIX Firewall BIOS (4.0) #0: 
  Thu Mar  2 22:59:20 PST 2000
  Platform PIX-515
  Flash=i28F640J5 @ 0x300
  
  Use BREAK or ESC to interrupt flash boot.
  Use SPACE to begin flash boot immediately.
  Reading 5063168 bytes of image from flash.   

  PIX-Appliances mit BIOS-Versionen vor 4.2 können nicht mit dem Befehl copy tftp flash aktualisiert werden. Sie müssen diese mit der Überwachungsmodus-Methode aktualisieren.

• Nachdem der PIX 7.x ausgeführt und neu gestartet hat, bleibt er in dieser Neustart-Schleife stecken:

  Rebooting....
  
  Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000
  Platform PIX-515
  Flash=i28F640J5 @ 0x300
  
  Use BREAK or ESC to interrupt flash boot.
  Use SPACE to begin flash boot immediately.
  Reading 115200 bytes of image from flash. 
  
  PIX Flash Load Helper
  
  Initializing flashfs...
  flashfs[0]: 10 files, 4 directories
  flashfs[0]: 0 orphaned files, 0 orphaned directories
  flashfs[0]: Total bytes: 15998976
  flashfs[0]: Bytes used: 1975808
  flashfs[0]: Bytes available: 14023168
  flashfs[0]: Initialization complete.
  
  Unable to locate boot image configuration
  
  Booting first image in flash
  
  No bootable image in flash. Please download 
  an image from a network server in the monitor mode
  
  Failed to find an image to boot
  

  Wenn das PIX vom Überwachungsmodus auf 7.0 aktualisiert wird, das 7.0-Image jedoch nach dem ersten Start von 7.0 nicht wieder in Flash kopiert wird, bleibt es beim erneuten Laden des PIX in einem Neustart-Loop stecken.

  Die Auflösung besteht darin, das Bild erneut aus dem Überwachungsmodus zu laden. Nach dem Booten müssen Sie das Bild noch einmal mit der copy tftp flash-Methode kopieren.

Fehlermeldung

Wenn Sie ein Upgrade mit der copy tftp flash-Methode durchführen, wird folgende Fehlermeldung angezeigt:

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? y
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Insufficient flash space available for this request:
Size info: request:5066808 current:1966136 delta:3100672 free:2752512
Image not installed
pixfirewall# 

Diese Meldung wird in der Regel angezeigt, wenn das PIX 515 oder ein PIX 535 mit bereits installiertem PDM mit der copy tftp flash-Methode aktualisiert wird.

Führen Sie ein Upgrade mit der Monitor Mode-Methode durch, um dieses Problem zu beheben.

Konfiguration scheint nicht korrekt zu sein

Nach dem Upgrade von PIX von 6.x auf 7.x kann ein Teil der Konfiguration nicht richtig migriert werden.

Die Ausgabe des Befehls show startup-config errors zeigt alle Fehler an, die während der Migration der Konfiguration aufgetreten sind. Die Fehler werden in dieser Ausgabe angezeigt, nachdem Sie das PIX-System zum ersten Mal gestartet haben. Untersuchen Sie diese Fehler, und versuchen Sie, sie zu beheben.

Einige Dienste wie FTP funktionieren nicht

Gelegentlich funktionieren einige Dienste wie FTP nach einem Upgrade nicht mehr.

Die Überprüfung für diese Services ist nach dem Upgrade nicht aktiviert. Aktivieren Sie die Überprüfung für die entsprechenden Services. Fügen Sie sie zu diesem Zweck der Standard-/globalen Prüfrichtlinie hinzu, oder erstellen Sie eine separate Prüfrichtlinie für den gewünschten Service.

Weitere Informationen zu Prüfungsrichtlinien finden Sie im Abschnitt "Application Layer Protocol Inspection" (Anwendungsebenen-Protokollüberprüfung anwenden) im Cisco Security Appliance Command Line Configuration Guide, Version 7.0.

Kein Internetzugriff, wenn die Cisco PIX Security Appliance durch die Cisco Adaptive Security Appliance (ASA) ersetzt wird

Verwenden Sie diesen Abschnitt, wenn Sie nach dem Austausch der Cisco PIX Security Appliance durch die Cisco Adaptive Security Appliance (ASA) nicht mehr auf das Internet zugreifen können.

Wenn Sie den PIX vom Netzwerk trennen und die ASA mit einer IP-Adresse für die externe Schnittstelle an das Netzwerk anschließen, die mit der externen Schnittstelle des PIX übereinstimmt, verfügt der Upstream-Router weiterhin über die MAC-Adresse für den PIX, die der IP-Adresse der externen Schnittstelle entspricht. Daher kann es die Antwortpakete nicht an die ASA zurücksenden. Damit die ASA funktioniert, müssen Sie den ARP-Eintrag auf dem Upstream-Router löschen, damit dieser den neuen/richtigen MAC-Adresseintrag erkennt. Wenn Sie die ARP-Einträge leeren, wenn Sie den PIX durch ASA ersetzen möchten, wird das Problem mit der Internetverbindung behoben. Das Leeren des ARP-Eintrags muss vom ISP an dessen Ende durchgeführt werden.

Zugehörige Informationen

• Cisco Security Appliances der Serie PIX 500 - Einführung
• Technischer Support und Dokumentation für Cisco Systeme