ASA/PIX: come utilizzare la CLI per aggiornare l'immagine software su una coppia di failover

Opzioni per il download

  • PDF     (265.5 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (89.8 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (77.7 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:16 marzo 2010
ID documento:111867

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

Questo documento descrive come usare la CLI per aggiornare l'immagine software su una coppia di failover di Cisco ASA serie 5500 Adaptive Security Appliance.

Nota: Adaptive Security Device Manager (ASDM) non funziona se si aggiorna (o si declassa) direttamente il software dell'appliance di sicurezza dalla versione 7.0 alla 7.2 o si aggiorna (o si declassa) direttamente il software ASDM dalla versione 5.0 alla 5.2. È necessario eseguire l'aggiornamento o il downgrade in ordine incrementale.

Per ulteriori informazioni su come aggiornare l'ASDM e l'immagine software sull'appliance ASA, fare riferimento all'esempio di configurazione PIX/ASA: aggiornamento di un'immagine software usando ASDM o CLI

Nota: in modalità multicontesto, non è possibile usare il comando copy tftp flash per aggiornare o effettuare il downgrade dell'immagine PIX/ASA in tutti i contesti. È supportata solo in modalità di esecuzione del sistema.

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

  • Cisco Adaptive Security Appliance (ASA) con versione 7.0 e successive

  • Cisco ASDM versione 5.0 e successive

Nota: per informazioni su come consentire all'ASA di essere configurata dall'ASDM, consultare il documento sull'autorizzazione dell'accesso HTTPS per ASDM.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Prodotti correlati

Questa configurazione può essere utilizzata anche con il software Cisco PIX serie 500 Security Appliance versione 7.0 e successive.

Convenzioni

Fare riferimento a Cisco Technical Tips Conventions per informazioni sulle convenzioni dei documenti.

Configurazione

Eseguire aggiornamenti senza interruzione delle attività per coppie di failover

Le due unità in una configurazione di failover devono avere la stessa versione del software principale (primo numero) e secondaria (secondo numero). Tuttavia, non è necessario mantenere la parità delle versioni sulle unità durante il processo di aggiornamento; è possibile avere versioni diverse sul software in esecuzione su ciascuna unità e mantenere comunque il supporto del failover. Per garantire compatibilità e stabilità a lungo termine, Cisco consiglia di aggiornare entrambe le unità alla stessa versione il più presto possibile.

Sono disponibili 3 tipi di aggiornamenti. Essi sono i seguenti:

  1. Release di manutenzione: è possibile eseguire l'aggiornamento da qualsiasi release di manutenzione a qualsiasi altra release di manutenzione all'interno di una release secondaria. Ad esempio, è possibile eseguire l'aggiornamento da 7.0(1) a 7.0(4) senza prima installare le versioni di manutenzione intermedie.

  2. Release secondaria: è possibile eseguire l'aggiornamento da una release secondaria alla release secondaria successiva. Non è possibile ignorare una versione secondaria. Ad esempio, è possibile eseguire l'aggiornamento da 7.0 a 7.1. L'aggiornamento diretto dalla versione 7.0 alla 7.2 non è supportato per gli aggiornamenti senza interruzione delle attività; è necessario prima eseguire l'aggiornamento alla versione 7.1

  3. Release principale - È possibile eseguire l'aggiornamento dall'ultima release secondaria della versione precedente alla release principale successiva. Ad esempio, è possibile eseguire l'aggiornamento dalla versione 7.9 alla versione 8.0, supponendo che la versione 7.9 sia l'ultima versione secondaria della versione 7.x.

Aggiornare una configurazione di failover attivo/standby

Completare questa procedura per aggiornare due unità in una configurazione di failover attivo/standby:

  1. Scaricare il nuovo software su entrambe le unità e specificare la nuova immagine da caricare con il comando boot system.

    per ulteriori informazioni, fare riferimento a Aggiornamento di un'immagine software e di un'immagine ASDM tramite la CLI.

  2. Ricaricare l'unità in standby per avviare la nuova immagine immettendo il comando failover reload-standby sull'unità attiva, come mostrato di seguito:

    active#failover reload-standby

  3. Quando l'unità in standby ha terminato il ricaricamento ed è in stato Standby Ready, forzare l'unità attiva a eseguire il failover sull'unità in standby immettendo il comando no failover active sull'unità attiva.

    active#no failover active

    Nota: per verificare che l'unità in standby sia in stato pronto, usare il comando show failover.

  4. Ricaricare la precedente unità attiva (ora la nuova unità in standby) immettendo il comando reload:

    newstandby#reload

  5. Quando la nuova unità in standby ha terminato il ricaricamento ed è in stato Standby Ready (Pronta per standby), ripristinare lo stato attivo dell'unità attiva originale immettendo il comando failover active:

    newstandby#failover active

Il processo di aggiornamento di una coppia di failover attivo/standby è stato completato.

Aggiornare una configurazione di failover attivo/attivo

Completare questa procedura per aggiornare due unità in una configurazione di failover attivo/attivo:

  1. Scaricare il nuovo software su entrambe le unità e specificare la nuova immagine da caricare con il comando boot system.

    per ulteriori informazioni, fare riferimento a Aggiornamento di un'immagine software e di un'immagine ASDM tramite la CLI.

  2. Rendere entrambi i gruppi di failover attivi sull'unità primaria immettendo il comando failover attivo nello spazio di esecuzione del sistema dell'unità primaria:

    primary#failover active

  3. Ricaricare l'unità secondaria per avviare la nuova immagine immettendo il comando failover reload-standby nello spazio di esecuzione del sistema dell'unità primaria:

    primary#failover reload-standby

  4. Al termine del ricaricamento dell'unità secondaria ed entrambi i gruppi di failover sono in stato Standby Ready sull'unità, rendere entrambi i gruppi di failover attivi sull'unità secondaria utilizzando il comando no failover active nello spazio di esecuzione del sistema dell'unità primaria:

    primary#no failover active

    Nota: utilizzare il comando show failover per verificare che entrambi i gruppi di failover si trovino nello stato Pronto per la modalità standby sull'unità secondaria.

  5. Verificare che entrambi i gruppi di failover siano in stato Standby Ready sull'unità primaria, quindi ricaricare l'unità primaria utilizzando il comando reload:

    primary#reload

  6. Se i gruppi di failover sono configurati con il comando preempt, diventeranno automaticamente attivi sull'unità designata dopo il superamento del ritardo di preempt. Se i gruppi di failover non sono configurati con il comando preempt, è possibile ripristinarne lo stato attivo sulle unità designate utilizzando il comando failover active group.

Risoluzione dei problemi

%ASA-5-72012: (VPN-Secondario) non è stato possibile aggiornare i dati di runtime del failover IPSec sull'unità in standby o %ASA-6-72012: (unità VPN) non è stato possibile aggiornare i dati di runtime del failover IPSec sull'unità in standby

Problema

Quando si cerca di aggiornare Cisco Adaptive Security Appliance (ASA), viene visualizzato uno dei seguenti messaggi di errore:

%ASA-5-72012: (VPN-Secondario) non è stato possibile aggiornare i dati di runtime del failover IPSec sull'unità in standby.

%ASA-6-72012: (unità VPN) non è possibile aggiornare i dati di runtime del failover IPsec sull'unità in standby.

Soluzione

Questi messaggi di errore sono di tipo informativo. I messaggi non influiscono sulla funzionalità dell'ASA o della VPN.

Questi messaggi vengono visualizzati quando il sottosistema di failover VPN non è in grado di aggiornare i dati di runtime relativi a IPSec perché il tunnel IPSec corrispondente è stato eliminato dall'unità di standby. Per risolvere questi problemi, eseguire il comando wr standby sull'unità attiva.

Per risolvere questo problema, sono stati archiviati due bug; è possibile eseguire l'aggiornamento a una versione software dell'ASA in cui i bug sono stati risolti. Per ulteriori informazioni, fare riferimento agli ID bug Cisco CSCtj58420 (solo utenti registrati) e CSCtn56517 (solo utenti registrati).

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
16-Mar-2010
Versione iniziale

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti