ASA/PIX: CLI를 사용하여 장애 조치 쌍에서 소프트웨어 이미지를 업그레이드하는 방법

다운로드 옵션

  • PDF     (298.0 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (84.6 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (72.2 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2010년 3월 16일
문서 ID:111867

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Cisco ASA 5500 Series Adaptive Security Appliances 페일오버 쌍에서 소프트웨어 이미지를 업그레이드하기 위해 CLI를 사용하는 방법에 대해 설명합니다.

참고: 보안 어플라이언스 소프트웨어를 7.0에서 7.2로 직접 업그레이드(또는 다운그레이드)하거나 ASDM 소프트웨어를 5.0에서 5.2로 직접 업그레이드(또는 다운그레이드)하면 ASDM(Adaptive Security Device Manager)이 작동하지 않습니다. 증분 순서로 업그레이드(또는 다운그레이드)해야 합니다.

ASA에서 ASDM 및 소프트웨어 이미지를 업그레이드하는 방법에 대한 자세한 내용은 PIX/ASA: ASDM 또는 CLI 컨피그레이션 예를 사용하여 소프트웨어 이미지 업그레이드를 참조하십시오

참고: 멀티컨텍스트 모드에서는 copy tftp flash 명령을 사용하여 모든 컨텍스트에서 PIX/ASA 이미지를 업그레이드하거나 다운그레이드할 수 없습니다. 이 명령은 시스템 실행 모드에서만 지원됩니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

  • Cisco ASA(Adaptive Security Appliance), 버전 7.0 이상

  • Cisco ASDM 버전 5.0 이상

참고: ASDM에서 ASA를 구성하도록 허용하는 방법에 대한 자세한 내용은 ASDM에 대한 HTTPS 액세스 허용을 참조하십시오.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

관련 제품

이 컨피그레이션은 Cisco PIX 500 Series Security Appliance Software Version 7.0 이상에서도 사용할 수 있습니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco Technical Tips Conventions를 참조하십시오.

설정

장애 조치 쌍에 대해 다운타임 없는 업그레이드 수행

장애 조치 컨피그레이션의 두 유닛은 주(첫 번째 번호) 및 부(두 번째 번호) 소프트웨어 버전이 동일해야 합니다. 그러나 업그레이드 프로세스 동안 유닛에서 버전 패리티를 유지할 필요는 없습니다. 각 유닛에서 실행 중인 소프트웨어의 버전이 다르더라도 장애 조치 지원은 계속 유지할 수 있습니다. 장기적인 호환성 및 안정성을 위해 가능한 한 빨리 두 유닛을 동일한 버전으로 업그레이드하는 것이 좋습니다.

3가지 유형의 업그레이드를 사용할 수 있습니다. 이러한 항목은 다음과 같습니다.

  1. Maintenance Release(유지 보수 릴리스) - 모든 유지 보수 릴리스에서 부 릴리스 내의 다른 유지 보수 릴리스로 업그레이드할 수 있습니다. 예를 들어 7.0(1)에서 7.0(4)로 업그레이드할 경우 그 사이에 먼저 유지 보수 릴리스를 설치하지 않아도 됩니다.

  2. 부 릴리스 - 부 릴리스에서 다음 부 릴리스로 업그레이드할 수 있습니다. 부 릴리스는 건너뛸 수 없습니다. 예를 들어 7.0에서 7.1로 업그레이드할 수 있습니다. 7.0에서 7.2로의 직접 업그레이드는 제로 다운타임 업그레이드에 지원되지 않습니다. 먼저 7.1로 업그레이드해야 합니다.

  3. Major Release(주요 릴리스) - 이전 버전의 마지막 부 릴리스에서 다음 주 릴리스로 업그레이드할 수 있습니다. 예를 들어 7.9가 7.x 릴리스의 마지막 부 버전이라고 가정할 때 7.9에서 8.0으로 업그레이드할 수 있습니다.

액티브/스탠바이 장애 조치 컨피그레이션 업그레이드

액티브/스탠바이 장애 조치 컨피그레이션에서 두 유닛을 업그레이드하려면 다음 단계를 완료하십시오.

  1. 두 유닛에 새 소프트웨어를 다운로드하고 boot system 명령을 사용하여 로드할 새 이미지를 지정합니다.

    자세한 내용은 CLI를 사용하여 소프트웨어 이미지 및 ASDM 이미지 업그레이드를 참조하십시오.

  2. 아래 그림과 같이 액티브 유닛에 failover reload-standby 명령을 입력하여 새 이미지를 부팅하도록 스탠바이 유닛을 다시 로드합니다.

    active#failover reload-standby

  3. 스탠바이 유닛이 다시 로드되고 스탠바이 준비 상태가 되면 액티브 유닛에서 no failover active 명령을 입력하여 액티브 유닛이 스탠바이 유닛으로 장애 조치되도록 합니다.

    active#no failover active

    참고: 스탠바이 유닛이 스탠바이 준비 상태인지 확인하려면 show failover 명령을 사용합니다.

  4. reload 명령을 입력하여 이전의 액티브 유닛(현재 새 스탠바이 유닛)을 다시 로드합니다.

    newstandby#reload

  5. 새 스탠바이 유닛이 다시 로드를 완료하고 스탠바이 준비 상태가 되면 failover active 명령을 입력하여 원래 액티브 유닛을 액티브 상태 되돌립니다.

    newstandby#failover active

이렇게 하면 액티브/스탠바이 장애 조치 쌍을 업그레이드하는 프로세스가 완료됩니다.

액티브/액티브 장애 조치 컨피그레이션 업그레이드

액티브/액티브 장애 조치 컨피그레이션에서 두 유닛을 업그레이드하려면 다음 단계를 완료하십시오.

  1. 두 유닛에 새 소프트웨어를 다운로드하고 boot system 명령을 사용하여 로드할 새 이미지를 지정합니다.

    자세한 내용은 CLI를 사용하여 소프트웨어 이미지 및 ASDM 이미지 업그레이드를 참조하십시오.

  2. 기본 유닛의 시스템 실행 공간에서 failover active 명령을 입력하여 두 장애 조치 그룹을 모두 기본 유닛에서 액티브 상태로 설정합니다.

    primary#failover active

  3. 기본 유닛의 시스템 실행 공간에 failover reload-standby 명령을 입력하여 새 이미지를 부팅하도록 보조 유닛을 다시 로드합니다.

    primary#failover reload-standby

  4. 보조 유닛의 재로드가 완료되고 두 장애 조치 그룹이 해당 유닛에서 스탠바이 준비 상태이면 기본 유닛의 시스템 실행 공간에서 no failover active 명령을 사용하여 두 장애 조치 그룹을 모두 보조 유닛에서 액티브 상태로 만듭니다.

    primary#no failover active

    참고: 보조 유닛에서 장애 조치 그룹이 모두 Standby Ready 상태인지 확인하려면 show failover 명령을 사용합니다.

  5. 두 장애 조치 그룹이 기본 유닛에서 Standby Ready 상태인지 확인한 다음 reload 명령을 사용하여 기본 유닛을 다시 로드합니다.

    primary#reload

  6. 장애 조치 그룹이 preempt 명령으로 구성된 경우, 사전 대응 지연이 지나면 지정된 유닛에서 자동으로 액티브 상태가 됩니다. 장애 조치 그룹이 preempt 명령으로 구성되지 않은 경우, failover active group 명령을 사용하여 지정된 유닛에서 액티브 상태로 되돌릴 수 있습니다.

문제 해결

%ASA-5-720012: (VPN-Secondary) 대기 유닛에서 IPSec 장애 조치(failover) 런타임 데이터를 업데이트하지 못했습니다. 또는 %ASA-6-720012: (VPN-unit) 대기 유닛에서 IPsec 장애 조치(failover) 런타임 데이터를 업데이트하지 못했습니다.

문제

Cisco ASA(Adaptive Security Appliance)를 업그레이드하려고 할 때 다음 오류 메시지 중 하나가 나타납니다.

%ASA-5-720012: (VPN-Secondary) 스탠바이 유닛에서 IPSec 장애 조치(failover) 런타임 데이터를 업데이트하지 못했습니다.

%ASA-6-720012: (VPN-unit) 스탠바이 유닛에서 IPsec 장애 조치(failover) 런타임 데이터를 업데이트하지 못했습니다.

솔루션

이러한 오류 메시지는 유용한 오류입니다. 이 메시지는 ASA 또는 VPN의 기능에 영향을 주지 않습니다.

이러한 메시지는 해당 IPsec 터널이 스탠바이 유닛에서 삭제되었기 때문에 VPN 장애 조치 하위 시스템이 IPsec 관련 런타임 데이터를 업데이트할 수 없을 때 나타납니다. 이러한 문제를 해결하려면 액티브 유닛에서 wr standby 명령을 실행합니다.

이 동작을 해결하기 위해 두 개의 버그가 제출되었습니다. 이러한 버그가 수정되는 ASA의 소프트웨어 버전으로 업그레이드할 수 있습니다. 자세한 내용은 Cisco 버그 ID CSCtj58420(등록된 고객만) 및 CSCtn56517(등록된 고객만)을 참조하십시오.

관련 정보

개정 이력

개정 게시 날짜 의견
1.0
16-Mar-2010
최초 릴리스

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품