Mise à niveau du logiciel pour le dispositif de sécurité PIX 500 6.x à 7.x
Contenu
Introduction
Ce document explique comment mettre à niveau le dispositif PIX de la version 6.2 ou 6.3 à la version 7.x. Il couvre également l'installation d'Adaptive Security Device Manager (ASDM) version 5.0.
Conditions préalables
Conditions requises
Avant de commencer cette procédure de mise à niveau, effectuez ces tâches.
-
Utilisez la commande show running-config ou write net afin d'enregistrer la configuration PIX actuelle dans un fichier texte ou un serveur TFTP.
-
Utilisez la commande show version afin d'afficher le numéro de série et la clé d'activation. Enregistrez cette sortie dans un fichier texte. Si vous devez revenir à une version antérieure du code, il se peut que vous ayez besoin de la clé d'activation d'origine. Pour plus d'informations sur les clés d'activation, consultez la Foire aux questions de PIX Firewall.
-
Assurez-vous que vous n'avez aucune commande conduit ou sortant dans votre configuration actuelle. Ces commandes ne sont plus prises en charge dans 7.x et le processus de mise à niveau les supprime. Utilisez l'outil Output Interpreter (clients enregistrés uniquement) afin de convertir ces commandes en listes d'accès avant de tenter la mise à niveau.
-
Assurez-vous que PIX ne termine pas les connexions PPTP (Point to Point Tunneling Protocol). PIX 7.1 et versions ultérieures ne prend pas actuellement en charge la terminaison PPTP.
-
Si vous utilisez le basculement, assurez-vous que l'interface LAN ou avec état n'est pas partagée avec les données qui passent par les interfaces. Par exemple, si vous utilisez votre interface interne afin de transmettre le trafic de données ainsi que votre interface de basculement dynamique (lien de basculement interne), vous devez déplacer l'interface de basculement dynamique vers une autre interface avant de procéder à la mise à niveau. Si vous ne le faites pas, toutes les configurations liées à l'interface interne seront supprimées. En outre, le trafic de données ne passe pas par l'interface après la mise à niveau.
-
Assurez-vous que PIX exécute la version 6.2 ou 6.3 avant de continuer.
-
Lisez les Notes de version de la version vers laquelle vous prévoyez de mettre à niveau afin de connaître toutes les commandes nouvelles, modifiées et déconseillées.
-
Reportez-vous au Guide de mise à niveau pour toute modification de commande supplémentaire entre les versions 6.x et 7.x.
Components Used
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
-
Dispositif de sécurité PIX 515, 515E, 525 et 535
-
Logiciel PIX versions 6.3(4), 7.0(1)
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configuration système minimale requise
Avant de commencer le processus de mise à niveau vers la version 7.x, Cisco recommande que PIX exécute la version 6.2 ou ultérieure. Cela garantit que la configuration actuelle se convertit correctement. En outre, ces exigences matérielles doivent être satisfaites pour les exigences minimales en matière de mémoire vive et de mémoire Flash :
| Modèle PIX : | Exigences en matière de mémoire vive | Configuration Flash requise | |
|---|---|---|---|
| Restreint (R) | NonRestreint (UR) / Basculement uniquement (FO) | ||
| PIX-515 | 64 Mo* | 128 Mo* | 16 Mo |
| PIX-515 E | 64 Mo* | 128 Mo* | 16 Mo |
| PIX-525 | 128 Mo | 256 Mo | 16 Mo |
| PIX-535 | 512 Mo | 1 Go | 16 Mo |
* Tous les appareils PIX-515 et PIX-515E nécessitent une mise à niveau de mémoire.
Émettez la commande show version afin de déterminer la quantité de mémoire vive et de mémoire Flash actuellement installée sur le PIX. Aucune mise à niveau Flash n'est nécessaire, car tous les appareils PIX de cette table ont 16 Mo installés par défaut.
Remarque : Seuls les appliances de sécurité PIX de cette table sont pris en charge dans la version 7.x. Les appareils de sécurité PIX plus anciens, tels que PIX-520, 510, 1000 et Classic, ont été interrompus et n'exécutent pas la version 7.0 ou ultérieure. Si vous disposez de l'un de ces appareils et que vous souhaitez exécuter 7.x ou une version ultérieure, contactez votre équipe de compte ou revendeur Cisco local afin d'acheter un nouvel appareil de sécurité. En outre, les pare-feu PIX avec moins de 64 Mo de RAM (PIX-501, PIX-506 et PIX-506E) ne peuvent pas exécuter la version 7.0 initiale.
Informations de mise à niveau de mémoire pour les appliances PIX 515/515E
Les mises à niveau de mémoire sont requises uniquement pour les appliances PIX-515 et PIX-515E. Reportez-vous à ce tableau pour connaître les références dont vous avez besoin pour mettre à niveau la mémoire de ces appliances.
Remarque : la référence dépend de la licence installée sur le PIX.
| Configuration actuelle de l'appareil | Solution de mise à niveau | ||
|---|---|---|---|
| Licence de plate-forme | Mémoire totale (avant mise à niveau) | Numéro de référence | Mémoire totale (après mise à niveau) |
| Restreint (R) | 32 Mo | PIX-515-MEM-32= | 64 Mo |
| Sans restriction (UR) | 32 Mo | PIX-515-MEM-128= | 128 Mo |
| Basculement uniquement (FO) | 64 Mo | PIX-515-MEM-128= | 128 Mo |
Référez-vous au bulletin de mise à niveau de la mémoire du dispositif de sécurité Cisco PIX 515/515E pour le logiciel PIX v7.0 pour plus d'informations.
Conventions
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Mettre à niveau l'appliance de sécurité PIX
Téléchargements de logiciels
Visitez le Cisco Software Center (clients enregistrés uniquement) afin de télécharger le logiciel PIX 7.x. Le logiciel serveur TFTP n'est plus disponible sur Cisco.com. Cependant, vous pouvez trouver de nombreux serveurs TFTP lorsque vous recherchez « serveur tftp » sur votre moteur de recherche Internet préféré. Cisco ne recommande pas de mise en oeuvre TFTP particulière. Pour plus d'informations, consultez la page serveur TFTP (clients enregistrés uniquement).
Procédure de mise à niveau
Sachez que la mise à niveau de votre dispositif de sécurité PIX vers la version 7.x est un changement majeur. Une grande partie de l'interface de ligne de commande est modifiée et votre configuration après la mise à niveau apparaîtra donc très différente. Mise à niveau uniquement pendant une fenêtre de maintenance, car le processus de mise à niveau nécessite des temps d'arrêt. Si vous devez revenir à une image 6.x, vous devez suivre les procédures de rétrogradation. Si vous ne le faites pas, le PIX se retrouve dans une boucle de redémarrage continue. Afin de continuer, localisez votre modèle d'appliance PIX dans ce tableau, puis sélectionnez le lien pour voir les instructions de mise à niveau.
| Modèle PIX : | Méthode de mise à niveau |
|---|---|
| PIX-515 | Monitor |
| PIX-515E | copie flash tftp |
| PIX-525 | copie flash tftp |
| PIX-535 (aucun PDM installé) | copie flash tftp |
| PIX-535 (PDM installé) | Monitor |
Mettre à niveau le dispositif de sécurité PIX à partir du mode Surveillance
Passer en mode Surveillance
Complétez ces étapes afin de passer en mode Surveillance sur le PIX.
-
Connectez un câble console au port console du PIX à l'aide des paramètres de communication suivants :
-
9600 bits par seconde
-
8 bits de données
-
aucune parité
-
1 bit d'arrêt
-
aucun contrôle de flux
-
-
Éteignez et rallumez ou rechargez le PIX. Au démarrage, vous êtes invité à utiliser BREAK ou ESC afin d'interrompre le démarrage Flash. Vous avez dix secondes pour interrompre le processus de démarrage normal.
-
Appuyez sur la touche ESC ou envoyez un caractère BREAK afin d'entrer en mode Monitor.
-
Si vous utilisez Windows Hyper Terminal, vous pouvez appuyer sur la touche ESC ou sur Ctrl+Break pour envoyer un caractère BREAK.
-
Si vous établissez une connexion Telnet via un serveur de terminal pour accéder au port de console du PIX, vous devez appuyer sur Ctrl+] (Ctrl + crochet droit) afin d'accéder à l'invite de commande Telnet. Entrez alors la commande send break.
-
-
L'invite monitor> s'affiche.
-
Passez à la section Upgrade the PIX from Monitor Mode.
Mettre à niveau le PIX à partir du mode Surveillance
Complétez ces étapes afin de mettre à niveau votre PIX à partir du mode Surveillance.
Remarque : les cartes Fast Ethernet des logements 64 bits ne sont pas visibles en mode moniteur. Ce problème signifie que le serveur TFTP ne peut pas résider sur l’une de ces interfaces. L'utilisateur doit utiliser la commande copy tftp flash afin de télécharger le fichier image du pare-feu PIX via TFTP.
-
Copiez l'image binaire du dispositif PIX (par exemple, pix701.bin) dans le répertoire racine du serveur TFTP.
-
Passez en mode Surveillance sur le PIX. Si vous n'êtes pas sûr de la façon de procéder, reportez-vous aux instructions relatives à la façon de passer en mode Surveillance dans ce document.
Remarque : Une fois en mode Surveillance, vous pouvez utiliser le « ? » pour voir une liste des options disponibles.
-
Saisissez le numéro d'interface auquel le serveur TFTP est connecté ou l'interface la plus proche du serveur TFTP. Il s'agit par défaut de l'interface 1 (à l'intérieur).
monitor>interfaceRemarque : En mode Surveillance, l'interface négocie toujours automatiquement la vitesse et le duplex. Les paramètres d'interface ne peuvent pas être codés en dur. Par conséquent, si l'interface PIX est connectée à un commutateur codé en dur pour la vitesse/le duplex, reconfigurez-la pour négocier automatiquement lorsque vous êtes en mode Surveillance. Sachez également que le dispositif PIX ne peut pas initialiser une interface Gigabit Ethernet à partir du mode surveillance. Vous devez utiliser une interface Fast Ethernet à la place.
-
Entrez l’adresse IP de l’interface définie à l’étape 3.
monitor>address -
Saisissez l'adresse IP du serveur TFTP.
monitor>server -
(Facultatif) Saisissez l'adresse IP de votre passerelle. Une adresse de passerelle est requise si l'interface du PIX n'est pas sur le même réseau que le serveur TFTP.
monitor>gateway -
Entrez le nom du fichier sur le serveur TFTP que vous souhaitez charger. Il s'agit du nom du fichier image binaire PIX.
monitor>file -
Envoyez une requête ping à partir du PIX vers le serveur TFTP afin de vérifier la connectivité IP.
Si les requêtes ping échouent, vérifiez deux fois les câbles, l'adresse IP de l'interface PIX et du serveur TFTP, ainsi que l'adresse IP de la passerelle (si nécessaire). Les requêtes ping doivent aboutir avant de continuer.
monitor>ping -
Tapez tftp afin de démarrer le téléchargement TFTP.
monitor>tftp
-
Le PIX télécharge l'image dans la mémoire vive et la démarre automatiquement.
Au cours du processus de démarrage, le système de fichiers est converti avec votre configuration actuelle. Cependant, vous n'avez pas encore terminé. Notez ce message d'avertissement après le démarrage et passez à l'étape 11 :
****************************************************************** ** ** ** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** ** ** ** ** ----> Current image running from RAM only! <---- ** ** ** ** When the PIX was upgraded in Monitor mode the boot image was not ** ** written to Flash. Please issue "copy tftp: flash:" to load and ** ** save a bootable image to Flash. Failure to do so will result in ** ** a boot loop the next time the PIX is reloaded. ** ** ** ************************************************************************
-
Une fois amorcé, passez en mode enable et copiez à nouveau la même image sur le PIX. Cette fois, utilisez la commande copy tftp flash.
Cette opération enregistre l'image dans le système de fichiers Flash. Si vous ne réalisez pas cette étape, une boucle de démarrage se produira lors du prochain rechargement du PIX.
pixfirewall>enable pixfirewall#copy tftp flash
Remarque : Pour obtenir des instructions détaillées sur la façon de copier l'image avec l'utilisation de la commande copy tftp flash, reportez-vous à la section Upgrade the PIX Security Appliance with the copy tftp flash Command.
-
Une fois l'image copiée à l'aide de la commande copy tftp flash, le processus de mise à niveau est terminé.
Exemple de configuration : mise à niveau de l'appliance de sécurité PIX à partir du mode Surveillance
monitor>interface 1
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
2: i8255X @ PCI(bus:1 dev:0 irq:11)
3: i8255X @ PCI(bus:1 dev:1 irq:11)
4: i8255X @ PCI(bus:1 dev:2 irq:11)
5: i8255X @ PCI(bus:1 dev:3 irq:11)
Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81
monitor>address 10.1.1.2
address 10.1.1.2
monitor>server 172.18.173.123
server 172.18.173.123
monitor>gateway 10.1.1.1
gateway 10.1.1.1
monitor>file pix701.bin
file pix701.bin
monitor>ping 172.18.173.123
Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor>tftp
tftp pix701.bin@172.18.173.123..........................................
Received 5124096 bytes
Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar 7 17:39:03 PST 2005
#######################################################################
128MB RAM
Total NICs found: 6
mcwa i82559 Ethernet at irq 10 MAC: 0050.54ff.4d80
mcwa i82559 Ethernet at irq 7 MAC: 0050.54ff.4d81
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2014
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2015
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2016
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2017
BIOS Flash=AT29C257 @ 0xfffd8000
Old file system detected. Attempting to save data in flash
!--- This output indicates that the Flash file !--- system is formatted. The messages are normal.
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-10627)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-14252)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-15586)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (5589)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (4680)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-21657)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-28397)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (2198)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-26577)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (30139)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (-17027)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (-2608)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (18180)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (0)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (29271)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (0)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 61...block number was (0)
flashfs[7]: erasing block 61...done.
flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0
flashfs[7]: 9 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 15998976
flashfs[7]: Bytes used: 10240
flashfs[7]: Bytes available: 15988736
flashfs[7]: flashfs fsck took 58 seconds.
flashfs[7]: Initialization complete.
Saving the datafile
!
Saving a copy of old datafile for downgrade
!
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
The version of image file in flash is not bootable in the current version of
software.
Use the downgrade command first to boot older version of software.
The file is being saved as image_old.bin anyway.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
Erasing sector 64...[OK]
Burning sector 64...[OK]
Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs : 25
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited
This platform has an Unrestricted (UR) license.
Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
--------------------------------------------------------------------------
. .
| |
||| |||
.|| ||. .|| ||.
.:||| | |||:..:||| | |||:.
C i s c o S y s t e m s
--------------------------------------------------------------------------
Cisco PIX Security Appliance Software Version 7.0(1)
****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.
A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************
Copyright (c) 1996-2005 by Cisco Systems, Inc.
Restricted Rights Legend
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
!--- These messages are printed for any deprecated commands.
.ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 71, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 76, "floodguard enable"
Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303
!--- All current fixups are converted to the !--- new Modular Policy Framework.
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
************************************************************************
** **
** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** **
** **
** ----> Current image running from RAM only! <---- **
** **
** When the PIX was upgraded in Monitor mode the boot image was not **
** written to Flash. Please issue "copy tftp: flash:" to load and **
** save a bootable image to Flash. Failure to do so will result in **
** a boot loop the next time the PIX is reloaded. **
** **
************************************************************************
Type help or '?' for a list of available commands.
pixfirewall>
pixfirewall>enable
Password:
Mettre à niveau le dispositif de sécurité PIX avec la commande copy tftp flash
Procédez comme suit afin de mettre à niveau le PIX avec l'utilisation de la commande copy tftp flash.
-
Copiez l'image binaire du dispositif PIX (par exemple, pix701.bin) dans le répertoire racine du serveur TFTP.
-
À partir de l'invite enable, exécutez la commande copy tftp flash.
pixfirewall>enable Password:pixfirewall#copy tftp flash -
Saisissez l'adresse IP du serveur TFTP.
Address or name of remote host [0.0.0.0]? -
Entrez le nom du fichier sur le serveur TFTP que vous souhaitez charger. Il s'agit du nom du fichier image binaire PIX.
Source file name [cdisk]? -
Lorsque vous êtes invité à démarrer la copie TFTP, tapez yes.
copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]?yes
-
L'image est maintenant copiée du serveur TFTP vers Flash.
Ce message apparaît et indique que le transfert est un succès, que l'ancienne image binaire dans Flash est effacée et que la nouvelle image est écrite et installée.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Writing 5066808 bytes of image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Image installed pixfirewall#
-
Rechargez le dispositif PIX afin de démarrer la nouvelle image.
pixfirewall#reload Proceed with reload? [confirm]Rebooting.... -
Le PIX démarre maintenant l'image 7.0, ce qui termine le processus de mise à niveau.
Exemple de configuration : mise à niveau de l'appliance PIX à l'aide de la commande copy tftp flash
pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall#
pixfirewall#reload
Proceed with reload? [confirm]
Remarque : Avec la licence illimitée, PIX 515 E peut avoir jusqu'à huit VLAN et PIX 535 peut avoir jusqu'à vingt-cinq VLAN.
Rétrograder de PIX 7.x à 6.x
Les appliances de sécurité PIX versions 7.0 et ultérieures utilisent un format de fichier Flash différent des versions précédentes de PIX. Par conséquent, vous ne pouvez pas rétrograder d'une image 7.0 à une image 6.x à l'aide de la commande copy tftp flash. À la place, vous devez utiliser la commande de rétrogradation. Si ce n'est pas le cas, le PIX est bloqué dans une boucle de démarrage.
Lors de la mise à niveau initiale du PIX, la configuration de démarrage 6.x a été enregistrée dans Flash en tant que downgrade.cfg. Lorsque vous suivez cette procédure de rétrogradation, cette configuration est restaurée sur le périphérique lors de sa rétrogradation. Cette configuration peut être revue avant de procéder à une mise à niveau lorsque vous émettez la commande more flash:downgrade.cfg à partir d'une invite enable> dans 7.0. En outre, si le PIX a été mis à niveau via le mode Monitor, l'image binaire 6.x précédente est toujours enregistrée en Flash en tant que image_old.bin. Vous pouvez vérifier que cette image existe lorsque vous émettez la commande show flash: erasecat4000_flash:. Si l'image existe sur Flash, vous pouvez l'utiliser à l'étape 1 de cette procédure au lieu de charger l'image à partir d'un serveur TFTP.
Complétez ces étapes afin de rétrograder votre dispositif de sécurité PIX.
-
Entrez la commande de rétrogradation et spécifiez l'emplacement de l'image vers laquelle vous souhaitez rétrograder.
pixfirewall#downgrade tftp:/// Remarque : si vous avez mis à niveau votre PIX à partir du mode Surveillance, l'ancienne image binaire est toujours enregistrée dans Flash. Émettez cette commande afin de revenir à cette image :
pixfirewall#downgrade flash:/image_old.bin
-
Un message d'avertissement s'affiche vous avertissant que le Flash est sur le point d'être formalisé. Appuyez sur Entrée pour continuer.
This command will reformat the flash and automatically reboot the system. Do you wish to continue? [confirm] -
L'image est maintenant copiée dans la mémoire vive et la configuration de démarrage est également copiée dans la mémoire vive.
Buffering image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Buffering startup config All items have been buffered successfully
-
Un deuxième message d'avertissement s'affiche, indiquant que la mémoire Flash commence à se formater. N'interrompez PAS ce processus ou le Flash peut devenir corrompu. Appuyez sur Entrée afin de continuer avec le format.
If the flash reformat is interrupted or fails, data in flash will be lost and the system might drop to monitor mode. Do you wish to continue? [confirm] -
Le Flash est maintenant formaté et l'ancienne image est installée, et le PIX redémarre.
Acquiring exclusive access to flash Installing the correct file system for the image and saving the buffered data !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Flash downgrade succeeded Rebooting....
-
Le PIX démarre maintenant jusqu'à l'invite normale. Ceci termine le processus de rétrogradation.
Exemple de configuration : rétrogradation de PIX 7.x à 6.x
pixfirewall#downgrade tftp://172.18.108.26/pix634.bin
This command will reformat the flash and automatically reboot the system.
Do you wish to continue? [confirm]
Mettre à niveau les appliances PIX dans un jeu de basculement
Une mise à niveau de PIX Appliance 6.x vers 7.x est une mise à niveau majeure. Cela ne peut pas être fait sans temps d'arrêt, même pour les PIXes dans un jeu de basculement. La plupart des commandes de basculement changent avec la mise à niveau. Le chemin de mise à niveau recommandé consiste à mettre hors tension l'un des PIX dans le jeu de basculement. Suivez ensuite les instructions de ce document afin de mettre à niveau le PIX sous tension. Une fois la mise à niveau terminée, vérifiez que le trafic passe, et redémarrez également le PIX une fois pour vérifier qu'il revient sans problème. Une fois que vous êtes convaincu que tout fonctionne correctement, mettez le PIX nouvellement mis à niveau hors tension et mettez l'autre PIX sous tension. Suivez ensuite les instructions de ce document afin de mettre à niveau le PIX. Une fois la mise à niveau terminée, vérifiez que le trafic passe. Redémarrez également le PIX une fois afin de vérifier qu'il se réactive sans problème. Une fois que vous êtes convaincu que tout fonctionne correctement, mettez l'autre PIX sous tension. Les deux PIX sont maintenant mis à niveau vers 7.x et sous tension. Vérifiez qu'ils établissent correctement les communications de basculement à l'aide de la commande show failover.
Remarque : le PIX applique désormais la restriction selon laquelle toute interface qui transmet le trafic de données ne peut pas également être utilisée comme interface de basculement LAN ou interface de basculement dynamique. Si votre configuration PIX actuelle a une interface partagée qui est utilisée pour transmettre le trafic de données normal ainsi que les informations de basculement LAN ou les informations d'état, et si vous effectuez une mise à niveau, le trafic de données ne passe plus par cette interface. Toutes les commandes associées à cette interface échouent également.
Installer l'Adaptive Security Device Manager (ASDM)
Avant d'installer ASDM, Cisco vous recommande de lire les Notes de version de la version que vous prévoyez d'installer. Les Notes de version incluent le nombre minimum de navigateurs pris en charge et les versions Java, ainsi qu'une liste des nouvelles fonctionnalités prises en charge et des mises en garde ouvertes.
Le processus d'installation d'ASDM est légèrement différent dans la version 7.0 qu'il ne l'a été dans le passé. En outre, une fois l'image ASDM copiée dans le Flash, vous devez la spécifier dans la configuration afin que le PIX sache l'utiliser. Complétez ces étapes afin d'installer l'image ASDM dans Flash.
-
Téléchargez l'image ASDM (clients enregistrés uniquement) depuis Cisco.com et placez-la dans le répertoire racine de votre serveur TFTP.
-
Vérifiez que votre PIX dispose d'une connectivité IP à votre serveur TFTP. Pour ce faire, envoyez une requête ping au serveur TFTP à partir du PIX.
-
À partir de l'invite enable, exécutez la commande copy tftp flash.
pixfirewall>enable Password:pixfirewall#copy tftp flash -
Saisissez l'adresse IP du serveur TFTP.
Address or name of remote host [0.0.0.0]? -
Entrez le nom du fichier ASDM sur le serveur TFTP que vous souhaitez charger.
Source file name [cdisk]? -
Entrez le nom du fichier ASDM que vous prévoyez d'enregistrer dans Flash. Appuyez sur Entrée pour conserver le même nom de fichier.
Destination filename [asdm-501.bin]? -
L'image est maintenant copiée du serveur TFTP vers Flash. Ces messages apparaissent et indiquent que le transfert est un succès.
Accessing tftp://172.18.173.123/asdm-501.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!! Writing file flash:/asdm-501.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!! 5880016 bytes copied in 140.710 secs (42000 bytes/sec)
-
Une fois l'image ASDM copiée, émettez la mémoire flash de l'image asdm : afin de spécifier l'image ASDM à utiliser.
pixfirewall(config)#asdm image flash:asdm-501.bin
-
Enregistrez la configuration dans Flash à l'aide de la commande write memory.
pixfirewall(config)#write memory
-
Ceci termine le processus d'installation de l'ASDM.
Dépannage
| Symptôme | Résolution |
|---|---|
Après avoir utilisé la méthode copy tftp flash afin de mettre à niveau le PIX, et redémarrer, il est coincé dans cette boucle de redémarrage : Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 5063168 bytes of image from flash. |
Les appliances PIX avec des versions du BIOS antérieures à la version 4.2 ne peuvent pas être mises à niveau à l'aide de la commande copy tftp flash. Vous devez les mettre à niveau avec la méthode Monitor Mode. |
Une fois que le PIX exécute 7.0 et redémarre, il se bloque dans cette boucle de redémarrage : Rebooting.... Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 115200 bytes of image from flash. PIX Flash Load Helper Initializing flashfs... flashfs[0]: 10 files, 4 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 15998976 flashfs[0]: Bytes used: 1975808 flashfs[0]: Bytes available: 14023168 flashfs[0]: Initialization complete. Unable to locate boot image configuration Booting first image in flash No bootable image in flash. Please download an image from a network server in the monitor mode Failed to find an image to boot |
Si le PIX a été mis à niveau du mode Surveillance vers la version 7.0, mais que l'image 7.0 n'a pas été recopiée dans Flash après le premier démarrage de 7.0, alors quand le PIX est rechargé, il devient coincé dans une boucle de redémarrage. La résolution est de charger à nouveau l'image à partir du mode Surveillance. Après le démarrage, vous devez copier l'image une fois de plus à l'aide de la méthode copy tftp flash. |
Lorsque vous effectuez une mise à niveau avec la méthode copy tftp flash, vous voyez ce message d'erreur : pixfirewall#copy tftp flash Address or name of remote host [0.0.0.0]? 172.18.173.123 Source file name [cdisk]? pix701.bin copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]? y !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Insufficient flash space available for this request: Size info: request:5066808 current:1966136 delta:3100672 free:2752512 Image not installed pixfirewall# |
Ce message est généralement affiché lorsque le PIX-535 ou le PIX-515 (non E) est mis à niveau via la méthode copy tftp flash, et que le PDM est également chargé en Flash sur ce PIX. La résolution est de mettre à niveau avec la méthode Monitor Mode. |
| Après avoir mis à niveau le PIX de 6.x à 7.0, une partie de la configuration ne migre pas correctement. | La sortie de la commande show startup-config errors affiche toutes les erreurs survenues lors de la migration de la configuration. Les erreurs apparaissent dans cette sortie après le premier démarrage du PIX. Examinez ces erreurs et essayez de les résoudre. |
| Le PIX exécute la version 7.x et une version plus récente est installée. Lorsque le PIX redémarre, l'ancienne version continue à se charger. | Dans PIX version 7.x, vous pouvez enregistrer plusieurs images dans Flash. Le PIX commence par rechercher dans la configuration toute mémoire flash du système de démarrage : . Ces commandes spécifient l'image dont le PIX a besoin pour démarrer. Si aucun système de démarrage n'est Flash : est trouvée, le PIX boot la première image amorçable dans Flash. Pour démarrer une autre version, spécifiez le fichier à l'aide de la commande boot system flash:/<filename>. |
| Une image ASDM est chargée dans Flash, mais les utilisateurs ne peuvent pas charger ASDM dans leur navigateur. | Tout d'abord, assurez-vous que le fichier ASDM chargé dans Flash est spécifié par la commande asdm image flash://<asdm_file>. Ensuite, vérifiez que la commande http server enable figure dans la configuration. Enfin, vérifiez que l’hôte qui tente de charger ASDM est autorisé via la commande http <address> <mask> <interface>. |
| FTP ne fonctionne pas après une mise à niveau. | L'inspection FTP n'a pas été activée après la mise à niveau. Activez l'inspection FTP de l'une des deux manières suivantes, comme indiqué dans la section Activer l'inspection FTP. |
Activer l'inspection FTP
L'inspection FTP peut être activée avec l'une des deux méthodes suivantes :
-
Ajoutez le protocole FTP à la stratégie d'inspection globale/par défaut.
-
S'il n'existe pas, créez le class-map inspection_default.
PIX1#configure terminal PIX1(config)#class-map inspection_default PIX1(config-cmap)#match default-inspection-traffic PIX1(config-cmap)#exit
-
Créez ou modifiez la carte de stratégie global_policy et activez l'inspection FTP pour la classe inspection_default.
PIX1(config)#policy-map global_policy PIX1(config-pmap)#class inspection_default PIX1(config-pmap-c)#inspect dns preset_dns_map PIX1(config-pmap-c)#inspect ftp PIX1(config-pmap-c)#inspect h323 h225 PIX1(config-pmap-c)#inspect h323 ras PIX1(config-pmap-c)#inspect rsh PIX1(config-pmap-c)#inspect rtsp PIX1(config-pmap-c)#inspect esmtp PIX1(config-pmap-c)#inspect sqlnet PIX1(config-pmap-c)#inspect skinny PIX1(config-pmap-c)#inspect sunrpc PIX1(config-pmap-c)#inspect xdmcp PIX1(config-pmap-c)#inspect sip PIX1(config-pmap-c)#inspect netbios PIX1(config-pmap-c)#inspect tftp
-
Activez la stratégie globale globalement.
PIX1(config)#service-policy global_policy global
-
-
Activez FTP en créant une stratégie d'inspection distincte.
PIX1#configure terminal PIX1(config)#class-map ftp-traffic !--- Matches the FTP data traffic. PIX1(config-cmap)#match port tcp eq ftp PIX1(config-cmap)#exit PIX1(config)#policy-map ftp-policy PIX1(config-pmap)#class ftp-traffic !--- Inspection for the FTP traffic is enabled. PIX1(config-pmap-c)#inspect ftp PIX1(config-pmap)#exit PIX1(config)#exit !--- Applies the FTP inspection globally. PIX1(config)#service-policy ftp-policy global
Obtenez un contrat de service valide
Vous devez avoir un contrat de service valide afin de télécharger le logiciel PIX. Afin d'obtenir un contrat de service, procédez comme suit :
-
Contactez votre équipe de compte Cisco si vous avez un contrat d'achat direct.
-
Contactez un partenaire ou un revendeur Cisco afin d'acheter un contrat de service.
Informations connexes
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
16-Oct-2008 |
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)