Questo documento descrive come usare la CLI per aggiornare l'immagine software su una coppia di failover di Cisco ASA serie 5500 Adaptive Security Appliance.
Nota: Adaptive Security Device Manager (ASDM) non funziona se si aggiorna (o si declassa) direttamente il software dell'appliance di sicurezza dalla versione 7.0 alla 7.2 o si aggiorna (o si declassa) direttamente il software ASDM dalla versione 5.0 alla 5.2. È necessario eseguire l'aggiornamento o il downgrade in ordine incrementale.
Per ulteriori informazioni su come aggiornare l'ASDM e l'immagine software sull'appliance ASA, fare riferimento all'esempio di configurazione PIX/ASA: aggiornamento di un'immagine software usando ASDM o CLI
Nota: in modalità multicontesto, non è possibile usare il comando copy tftp flash per aggiornare o effettuare il downgrade dell'immagine PIX/ASA in tutti i contesti. È supportata solo in modalità di esecuzione del sistema.
Nessun requisito specifico previsto per questo documento.
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Cisco Adaptive Security Appliance (ASA) con versione 7.0 e successive
Cisco ASDM versione 5.0 e successive
Nota: per informazioni su come consentire all'ASA di essere configurata dall'ASDM, consultare il documento sull'autorizzazione dell'accesso HTTPS per ASDM.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Questa configurazione può essere utilizzata anche con il software Cisco PIX serie 500 Security Appliance versione 7.0 e successive.
Fare riferimento a Cisco Technical Tips Conventions per informazioni sulle convenzioni dei documenti.
Le due unità in una configurazione di failover devono avere la stessa versione del software principale (primo numero) e secondaria (secondo numero). Tuttavia, non è necessario mantenere la parità delle versioni sulle unità durante il processo di aggiornamento; è possibile avere versioni diverse sul software in esecuzione su ciascuna unità e mantenere comunque il supporto del failover. Per garantire compatibilità e stabilità a lungo termine, Cisco consiglia di aggiornare entrambe le unità alla stessa versione il più presto possibile.
Sono disponibili 3 tipi di aggiornamenti. Essi sono i seguenti:
Release di manutenzione: è possibile eseguire l'aggiornamento da qualsiasi release di manutenzione a qualsiasi altra release di manutenzione all'interno di una release secondaria. Ad esempio, è possibile eseguire l'aggiornamento da 7.0(1) a 7.0(4) senza prima installare le versioni di manutenzione intermedie.
Release secondaria: è possibile eseguire l'aggiornamento da una release secondaria alla release secondaria successiva. Non è possibile ignorare una versione secondaria. Ad esempio, è possibile eseguire l'aggiornamento da 7.0 a 7.1. L'aggiornamento diretto dalla versione 7.0 alla 7.2 non è supportato per gli aggiornamenti senza interruzione delle attività; è necessario prima eseguire l'aggiornamento alla versione 7.1
Release principale - È possibile eseguire l'aggiornamento dall'ultima release secondaria della versione precedente alla release principale successiva. Ad esempio, è possibile eseguire l'aggiornamento dalla versione 7.9 alla versione 8.0, supponendo che la versione 7.9 sia l'ultima versione secondaria della versione 7.x.
Completare questa procedura per aggiornare due unità in una configurazione di failover attivo/standby:
Scaricare il nuovo software su entrambe le unità e specificare la nuova immagine da caricare con il comando boot system.
per ulteriori informazioni, fare riferimento a Aggiornamento di un'immagine software e di un'immagine ASDM tramite la CLI.
Ricaricare l'unità in standby per avviare la nuova immagine immettendo il comando failover reload-standby sull'unità attiva, come mostrato di seguito:
active#failover reload-standby
Quando l'unità in standby ha terminato il ricaricamento ed è in stato Standby Ready, forzare l'unità attiva a eseguire il failover sull'unità in standby immettendo il comando no failover active sull'unità attiva.
active#no failover active
Nota: per verificare che l'unità in standby sia in stato pronto, usare il comando show failover.
Ricaricare la precedente unità attiva (ora la nuova unità in standby) immettendo il comando reload:
newstandby#reload
Quando la nuova unità in standby ha terminato il ricaricamento ed è in stato Standby Ready (Pronta per standby), ripristinare lo stato attivo dell'unità attiva originale immettendo il comando failover active:
newstandby#failover active
Il processo di aggiornamento di una coppia di failover attivo/standby è stato completato.
Completare questa procedura per aggiornare due unità in una configurazione di failover attivo/attivo:
Scaricare il nuovo software su entrambe le unità e specificare la nuova immagine da caricare con il comando boot system.
per ulteriori informazioni, fare riferimento a Aggiornamento di un'immagine software e di un'immagine ASDM tramite la CLI.
Rendere entrambi i gruppi di failover attivi sull'unità primaria immettendo il comando failover attivo nello spazio di esecuzione del sistema dell'unità primaria:
primary#failover active
Ricaricare l'unità secondaria per avviare la nuova immagine immettendo il comando failover reload-standby nello spazio di esecuzione del sistema dell'unità primaria:
primary#failover reload-standby
Al termine del ricaricamento dell'unità secondaria ed entrambi i gruppi di failover sono in stato Standby Ready sull'unità, rendere entrambi i gruppi di failover attivi sull'unità secondaria utilizzando il comando no failover active nello spazio di esecuzione del sistema dell'unità primaria:
primary#no failover active
Nota: utilizzare il comando show failover per verificare che entrambi i gruppi di failover si trovino nello stato Pronto per la modalità standby sull'unità secondaria.
Verificare che entrambi i gruppi di failover siano in stato Standby Ready sull'unità primaria, quindi ricaricare l'unità primaria utilizzando il comando reload:
primary#reload
Se i gruppi di failover sono configurati con il comando preempt, diventeranno automaticamente attivi sull'unità designata dopo il superamento del ritardo di preempt. Se i gruppi di failover non sono configurati con il comando preempt, è possibile ripristinarne lo stato attivo sulle unità designate utilizzando il comando failover active group.
Problema
Quando si cerca di aggiornare Cisco Adaptive Security Appliance (ASA), viene visualizzato uno dei seguenti messaggi di errore:
%ASA-5-72012: (VPN-Secondario) non è stato possibile aggiornare i dati di runtime del failover IPSec sull'unità in standby.
%ASA-6-72012: (unità VPN) non è possibile aggiornare i dati di runtime del failover IPsec sull'unità in standby.
Soluzione
Questi messaggi di errore sono di tipo informativo. I messaggi non influiscono sulla funzionalità dell'ASA o della VPN.
Questi messaggi vengono visualizzati quando il sottosistema di failover VPN non è in grado di aggiornare i dati di runtime relativi a IPSec perché il tunnel IPSec corrispondente è stato eliminato dall'unità di standby. Per risolvere questi problemi, eseguire il comando wr standby sull'unità attiva.
Per risolvere questo problema, sono stati archiviati due bug; è possibile eseguire l'aggiornamento a una versione software dell'ASA in cui i bug sono stati risolti. Per ulteriori informazioni, fare riferimento agli ID bug Cisco CSCtj58420 (solo utenti registrati) e CSCtn56517 (solo utenti registrati).
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
16-Mar-2010 |
Versione iniziale |