PIX 500 Series Security Appliance에서 ASA 5500 Series Adaptive Security Appliance로 마이그레이션
다운로드 옵션
편견 없는 언어
본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
이 번역에 관하여
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
목차
소개
이 문서에서는 PIX 500 Series Security Appliance에서 ASA 5500 Series Adaptive Security Appliance로 마이그레이션하는 방법에 대해 설명합니다.
참고: PIX 501, PIX 506 및 PIX 506E는 소프트웨어 버전 7을 지원하지 않습니다.
PIX 컨피그레이션을 ASA 컨피그레이션으로 변환하는 방법에는 두 가지가 있습니다.
-
툴 지원 변환
-
수동 변환
자동 툴 기반/툴 지원 변환
Cisco에서는 PIX 컨피그레이션을 ASA 컨피그레이션으로 변환하기 위해 툴 지원 변환을 사용하는 것을 권장합니다.
도구 지원 변환 방법은 여러 변환을 하는 경우 더 빠르고 확장 가능합니다. 그러나 중간 컨피그레이션의 프로세스 출력에는 이전 구문과 새 구문이 모두 포함됩니다. 이 방법은 대상 Adaptive Security Appliance에 중간 컨피그레이션을 설치하여 변환을 완료합니다. 대상 장치에 설치될 때까지 최종 컨피그레이션을 볼 수 없습니다.
참고: Cisco는 새로운 ASA 어플라이언스로 마이그레이션하는 프로세스를 자동화할 수 있도록 PIX to ASA Migration 툴을 릴리스했습니다. 이 툴은 PIX 소프트웨어 다운로드 사이트에서 다운로드할 수 있습니다. 자세한 내용은 PIX 500 Series Security Appliance에서 ASA 5500 Series Adaptive Security Appliance로 컨피그레이션 마이그레이션을 참조하십시오.
사전 요구 사항
하드웨어 및 소프트웨어 요구 사항
PIX 515, 515E, 525, 535를 버전 7.0으로 업그레이드할 수 있습니다.
버전 7.x로의 업그레이드 프로세스를 시작하기 전에 PIX에서 버전 6.2 이상을 실행하는 것이 좋습니다. 이렇게 하면 현재 컨피그레이션이 제대로 변환됩니다. 또한 최소 RAM 요구 사항을 충족하려면 다음 하드웨어 요구 사항을 충족해야 합니다.
| PIX 모델 | RAM 요구 사항 | |
|---|---|---|
| 제한(R) | 제한 없음(UR)/장애 조치 전용(FO) | |
| PIX-515 | 64MB* | 128MB* |
| PIX-515 E | 64MB* | 128MB* |
| PIX-525 | 128메가바이트 | 256메가바이트 |
| PIX-535 | 512메가바이트 | 1GB |
PIX에 현재 설치된 RAM의 양을 확인하려면 show version 명령을 실행합니다.
참고: PIX 515 및 515E 소프트웨어 업그레이드에도 메모리 업그레이드가 필요할 수 있습니다.
-
라이센스가 제한되고 메모리가 32MB인 사용자는 64MB 메모리로 업그레이드해야 합니다.
-
무제한 라이센스와 64MB 메모리가 있는 사용자는 128MB 메모리로 업그레이드해야 합니다.
이러한 어플라이언스에서 메모리를 업그레이드하기 위해 필요한 부품 번호는 이 표를 참조하십시오.
| 현재 어플라이언스 컨피그레이션 | 솔루션 업그레이드 | ||
|---|---|---|---|
| 플랫폼 라이센스 | 총 메모리(업그레이드 전) | 부품 번호 | 총 메모리(업그레이드 후) |
| 제한(R) | 32메가바이트 | PIX-515-MEM-32= | 64메가바이트 |
| 제한 없음(UR) | 32메가바이트 | PIX-515-MEM-128= | 128메가바이트 |
| 장애 조치 전용(FO) | 64메가바이트 | PIX-515-MEM-128= | 128메가바이트 |
참고: 부품 번호는 PIX에 설치된 라이센스에 따라 다릅니다.
소프트웨어 버전 6.x에서 7.x로의 업그레이드는 원활하며 몇 가지 수동 작업이 필요하지만, 시작하기 전에 다음 단계를 완료해야 합니다.
-
현재 컨피그레이션에 연결 또는 아웃바운드/apply 명령이 없는지 확인합니다. 이러한 명령은 7.x에서 더 이상 지원되지 않으며 업그레이드 프로세스에서 제거합니다. 업그레이드를 시도하기 전에 이러한 명령을 액세스 목록으로 변환하려면 Conduit Converter 툴을 사용합니다.
-
PIX가 PPTP(Point to Point Tunneling Protocol) 연결을 종료하지 않는지 확인합니다. 소프트웨어 버전 7.x는 현재 PPTP 종료를 지원하지 않습니다.
-
업그레이드 프로세스를 시작하기 전에 PIX에서 VPN 연결용 디지털 인증서를 복사합니다.
-
새 명령, 변경된 명령 및 사용 중단된 명령을 인식하기 위해 다음 문서를 읽으십시오.
-
업그레이드할 소프트웨어 버전에 대한 릴리스 정보. "Cisco PIX Security Appliance 릴리스 정보"에서 확인할 수 있습니다.
-
Cisco PIX 소프트웨어 버전 7.0으로 업그레이드하는 Cisco PIX 6.2 및 6.3 사용자를 위한 설명서
-
-
다운타임 동안 마이그레이션을 수행할 계획입니다. 마이그레이션은 간단한 2단계 프로세스이지만 PIX Security Appliance를 7.x로 업그레이드하는 것은 중대한 변화이며 약간의 다운타임이 필요합니다.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
-
ASA 5500 Series 보안 어플라이언스
-
PIX Security Appliance 515, 515E, 525 및 535
-
PIX Software 버전 6.3, 7.0
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
표기 규칙
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.
수동 컨피그레이션 변환
수동 변환 프로세스에서는 텍스트 편집기를 사용하여 컨피그레이션을 행별로 살펴보고 PIX 관련 명령을 ASA 명령으로 변환합니다.
PIX 컨피그레이션을 ASA 컨피그레이션으로 수동 변환하면 변환 프로세스를 가장 효과적으로 제어할 수 있습니다. 그러나 이 프로세스는 시간이 많이 소요되며 둘 이상의 변환을 수행해야 하는 경우 확장성이 좋지 않습니다.
PIX에서 ASA로 마이그레이션하려면 다음 세 단계를 완료해야 합니다.
-
PIX 소프트웨어 버전을 7.x로 업그레이드합니다.
-
인터페이스 이름을 Cisco PIX software 7.0에서 Cisco ASA 형식으로 변환합니다.
-
PIX 소프트웨어 7.0 컨피그레이션을 Cisco ASA 5500에 복사합니다.
PIX 소프트웨어 버전을 7.x로 업그레이드
실제 업그레이드 프로세스를 시작하기 전에 다음 단계를 완료하십시오.
-
PIX 현재 컨피그레이션을 텍스트 파일 또는 TFTP 서버에 저장하려면 show running-config 또는 write net 명령을 실행합니다.
-
RAM과 같은 요구 사항을 확인하기 위해 show version 명령을 실행합니다. 또한 이 명령의 출력을 텍스트 파일에 저장합니다. 이전 버전의 코드로 되돌려야 하는 경우 원래 활성화 키가 필요할 수 있습니다.
PIX의 BIOS(Basic Input Output System) 버전이 4.2 이전인 경우 또는 PDM이 이미 설치된 PIX 515 또는 PIX 535를 업그레이드하려는 경우 copy tftp flash 방법 대신 모니터 모드에서 업그레이드 절차를 완료해야 합니다. BIOS 버전을 보려면 PIX를 재부팅하고 콘솔 케이블이 연결된 상태에서 부팅 시 메시지를 읽습니다.
BIOS 버전은 다음과 같은 메시지에 나열됩니다.
Rebooting.... CISCO SYSTEMS PIX FIREWALL Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73 Compiled by morlee 64 MB RAM
참고: 6.x 명령은 업그레이드 중에 7.x 명령으로 자동으로 변환됩니다. 명령을 자동으로 변환하면 컨피그레이션이 변경됩니다. 7.x 소프트웨어가 부팅된 후 컨피그레이션 변경 사항을 검토하여 자동 변경 사항이 만족스러운지 확인해야 합니다. 그런 다음 컨피그레이션을 플래시 메모리에 저장하여 다음에 보안 어플라이언스를 부팅할 때 시스템이 컨피그레이션을 다시 변환하지 않도록 합니다.
참고: 시스템을 7.x로 업그레이드한 후에는 7.x 소프트웨어 이미지를 손상시키고 모니터 모드에서 시스템을 다시 시작해야 하므로 암호 복구와 같은 소프트웨어 버전 6.x np 디스크 유틸리티를 사용하지 않는 것이 중요합니다. 또한 이전 컨피그레이션, 보안 커널 및 주요 정보를 잃을 수 있습니다.
copy tftp flash 명령을 사용하여 PIX 보안 어플라이언스 업그레이드
copy tftp flash 명령을 사용하여 PIX를 업그레이드하려면 다음 단계를 완료하십시오.
-
PIX 어플라이언스 이진 이미지(예: pix701.bin)를 TFTP 서버의 루트 디렉토리에 복사합니다.
-
enable 프롬프트에서 copy tftp flash 명령을 실행합니다.
pixfirewall>enable Password:pixfirewall#copy tftp flash -
TFTP 서버의 IP 주소를 입력합니다.
Address or name of remote host [0.0.0.0]? -
로드할 TFTP 서버에 있는 파일의 이름을 입력합니다. PIX 이진 이미지 파일 이름입니다.
Source file name [cdisk]? -
TFTP 사본을 시작하라는 프롬프트가 표시되면 yes를 입력합니다.
copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]?yes
-
이제 이미지가 TFTP 서버에서 플래시로 복사됩니다.
이 메시지가 나타나고 전송이 성공했음을 나타내며, Flash의 이전 이진 이미지가 지워지고, 새 이미지가 작성되어 설치됨을 나타냅니다.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Writing 5066808 bytes of image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Image installed pixfirewall#
-
새 이미지를 부팅하기 위해 PIX 어플라이언스를 다시 로드합니다.
pixfirewall#reload Proceed with reload? [confirm]Rebooting.... -
이제 PIX가 7.0 이미지를 부팅하며, 이로써 업그레이드 프로세스가 완료됩니다.
컨피그레이션 예 - copy tftp flash 명령을 사용하여 PIX 어플라이언스 업그레이드
pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall#
pixfirewall#reload
Proceed with reload? [confirm]
!--- system is formatted. The messages are normal.
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-27642)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-30053)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-1220)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-22934)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (2502)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (29877)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-13768)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (9350)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-18268)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (7921)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (22821)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (7787)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (15515)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (20019)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-25094)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-7515)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (-10699)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (6652)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (-23640)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (23698)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (-28882)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (2533)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-966)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-22888)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (-9762)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (9747)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (-22855)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-32551)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-13355)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (-29894)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-18595)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (22095)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (1486)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (13559)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (24215)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (21670)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (-24316)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 7, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 12, parent_fileid 0
flashfs[7]: 5 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 5128192
flashfs[7]: Bytes available: 10999808
flashfs[7]: flashfs fsck took 59 seconds.
flashfs[7]: Initialization complete.
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs : 25
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited
This platform has an Unrestricted (UR) license.
Encryption hardware device : VAC (IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5)
--------------------------------------------------------------------------
. .
| |
||| |||
.|| ||. .|| ||.
.:||| | |||:..:||| | |||:.
C i s c o S y s t e m s
--------------------------------------------------------------------------
Cisco PIX Security Appliance Software Version 7.0(1)
****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.
A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************
Copyright (c) 1996-2005 by Cisco Systems, Inc.
Restricted Rights Legend
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
!--- These messages are printed for any deprecated commands.
ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 50, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 55, "floodguard enable"
Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255
!--- All current fixups are converted to the new Modular Policy Framework.
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
pixfirewall>
참고: PIX가 이제 7.x 소프트웨어 버전을 실행하는지 확인하려면 show version 명령을 실행합니다.
참고: 컨피그레이션을 마이그레이션하는 동안 발생한 오류를 검사하려면 show startup-config errors 명령을 실행합니다. PIX를 처음 부팅하면 이 출력에 오류가 나타납니다.
모니터 모드에서 PIX 보안 어플라이언스 업그레이드
PIX에서 모니터 모드를 시작하려면 다음 단계를 완료하십시오.
-
다음 통신 설정을 사용하여 PIX의 콘솔 포트에 콘솔 케이블을 연결합니다.
-
초당 9600비트
-
8 데이터 비트
-
패리티 없음
-
1 스톱 비트
-
흐름 제어 없음
-
-
PIX를 껐다가 다시 로드합니다. 부팅하는 동안 플래시 부팅을 중단하기 위해 BREAK 또는 ESC를 사용하라는 메시지가 표시됩니다. 10초 안에 정상적인 부팅 프로세스를 중단할 수 있습니다.
-
모니터 모드로 전환하려면 Esc 키를 누르거나 BREAK 문자를 보냅니다.
-
Windows Hyper Terminal을 사용하는 경우 Esc 키를 누르거나 Ctrl+Break를 눌러 BREAK 문자를 보낼 수 있습니다.
-
PIX의 콘솔 포트에 액세스하기 위해 터미널 서버를 통해 텔넷하는 경우 Telnet 명령 프롬프트에 도달하려면 Ctrl+] (Control + 오른쪽 대괄호)를 눌러야 합니다. 그런 다음 send break 명령을 실행합니다.
-
-
monitor>프롬프트가 표시됩니다.
-
Upgrade the PIX from Monitor Mode(모니터 모드에서 PIX 업그레이드) 섹션으로 진행합니다.
모니터 모드에서 PIX 업그레이드
모니터 모드에서 PIX를 업그레이드하려면 다음 단계를 완료하십시오.
-
PIX 어플라이언스 이진 이미지(예: pix701.bin)를 TFTP 서버의 루트 디렉토리에 복사합니다.
-
PIX에서 모니터 모드를 시작합니다. 이 작업을 수행하는 방법을 모르는 경우 모니터 모드 입력을 참조하십시오.
참고: 모니터 모드에서는 "?" 키를 사용하여 사용 가능한 옵션 목록을 볼 수 있습니다.
-
TFTP 서버가 연결된 인터페이스 번호 또는 TFTP 서버에 가장 가까운 인터페이스를 입력합니다. 기본값은 interface 1(Inside)입니다.
monitor>interface참고: 모니터 모드에서는 인터페이스가 항상 속도와 양방향을 자동으로 협상합니다. 인터페이스 설정을 하드 코딩할 수 없습니다. 따라서 PIX 인터페이스가 속도/듀플렉스를 위해 하드 코딩된 스위치에 연결된 경우 모니터 모드에 있는 동안 자동 협상하도록 재구성합니다. 또한 PIX 어플라이언스는 모니터 모드에서 기가비트 이더넷 인터페이스를 초기화할 수 없습니다. 대신 고속 이더넷 인터페이스를 사용해야 합니다.
-
3단계에서 정의한 인터페이스의 IP 주소를 입력합니다.
monitor>address -
TFTP 서버의 IP 주소를 입력합니다.
monitor>server -
(선택 사항) 게이트웨이의 IP 주소를 입력합니다. PIX의 인터페이스가 TFTP 서버와 동일한 네트워크에 있지 않은 경우 게이트웨이 주소가 필요합니다.
monitor>gateway -
로드할 TFTP 서버에 있는 파일의 이름을 입력합니다. PIX 이진 이미지 파일 이름입니다.
monitor>file -
IP 연결을 확인하기 위해 PIX에서 TFTP 서버로 ping합니다.
ping이 실패할 경우 케이블, PIX 인터페이스 및 TFTP 서버의 IP 주소, 게이트웨이의 IP 주소(필요한 경우)를 다시 확인합니다. 계속하려면 ping이 성공해야 합니다.
monitor>ping -
TFTP 다운로드를 시작하려면 tftp를 입력합니다.
monitor>tftp
-
PIX는 이미지를 RAM으로 다운로드하고 자동으로 부팅합니다.
부팅 프로세스 중에 파일 시스템이 현재 컨피그레이션과 함께 변환됩니다. 하지만 아직 다 안되셨네요 부팅하고 11단계로 넘어가면 다음 경고 메시지가 표시됩니다.
****************************************************************** ** ** ** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** ** ** ** ** ----> Current image running from RAM only! <---- ** ** ** ** When the PIX was upgraded in Monitor mode the boot image was not ** ** written to Flash. Please issue "copy tftp: flash:" to load and ** ** save a bootable image to Flash. Failure to do so will result in ** ** a boot loop the next time the PIX is reloaded. ** ** ** ************************************************************************
-
부팅되면 enable 모드로 들어가서 동일한 이미지를 PIX에 다시 복사합니다. 이번에는 copy tftp flash 명령을 실행합니다.
그러면 이미지가 플래시 파일 시스템에 저장됩니다. 이 단계를 완료하지 못하면 다음에 PIX가 다시 로드될 때 부팅 루프가 발생합니다.
pixfirewall>enable pixfirewall#copy tftp flash
참고: copy tftp flash 명령을 사용하여 이미지를 복사하는 방법에 대한 자세한 지침은 copy tftp flash 명령으로 PIX Security Appliance 업그레이드 섹션을 참조하십시오.
-
copy tftp flash 명령을 사용하여 이미지를 복사하면 업그레이드 프로세스가 완료됩니다.
컨피그레이션 예 - 모니터 모드에서 PIX Security Appliance 업그레이드
monitor>interface 1 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) 2: i8255X @ PCI(bus:1 dev:0 irq:11) 3: i8255X @ PCI(bus:1 dev:1 irq:11) 4: i8255X @ PCI(bus:1 dev:2 irq:11) 5: i8255X @ PCI(bus:1 dev:3 irq:11) Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81 monitor>address 10.1.1.2 address 10.1.1.2 monitor>server 172.18.173.123 server 172.18.173.123 monitor>gateway 10.1.1.1 gateway 10.1.1.1 monitor>file pix701.bin file pix701.bin monitor>ping 172.18.173.123 Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds: !!!!! Success rate is 100 percent (5/5) monitor>tftp tftp pix701.bin@172.18.173.123.......................................... Received 5124096 bytes Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar 7 17:39:03 PST 2005 ####################################################################### 128MB RAM Total NICs found: 6 mcwa i82559 Ethernet at irq 10 MAC: 0050.54ff.4d80 mcwa i82559 Ethernet at irq 7 MAC: 0050.54ff.4d81 mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2014 mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2015 mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2016 mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2017 BIOS Flash=AT29C257 @ 0xfffd8000 Old file system detected. Attempting to save data in flash !--- This output indicates that the Flash file
!--- system is formatted. The messages are normal. Initializing flashfs... flashfs[7]: Checking block 0...block number was (-10627) flashfs[7]: erasing block 0...done. flashfs[7]: Checking block 1...block number was (-14252) flashfs[7]: erasing block 1...done. flashfs[7]: Checking block 2...block number was (-15586) flashfs[7]: erasing block 2...done. flashfs[7]: Checking block 3...block number was (5589) flashfs[7]: erasing block 3...done. flashfs[7]: Checking block 4...block number was (4680) flashfs[7]: erasing block 4...done. flashfs[7]: Checking block 5...block number was (-21657) flashfs[7]: erasing block 5...done. flashfs[7]: Checking block 6...block number was (-28397) flashfs[7]: erasing block 6...done. flashfs[7]: Checking block 7...block number was (2198) flashfs[7]: erasing block 7...done. flashfs[7]: Checking block 8...block number was (-26577) flashfs[7]: erasing block 8...done. flashfs[7]: Checking block 9...block number was (30139) flashfs[7]: erasing block 9...done. flashfs[7]: Checking block 10...block number was (-17027) flashfs[7]: erasing block 10...done. flashfs[7]: Checking block 11...block number was (-2608) flashfs[7]: erasing block 11...done. flashfs[7]: Checking block 12...block number was (18180) flashfs[7]: erasing block 12...done. flashfs[7]: Checking block 13...block number was (0) flashfs[7]: erasing block 13...done. flashfs[7]: Checking block 14...block number was (29271) flashfs[7]: erasing block 14...done. flashfs[7]: Checking block 15...block number was (0) flashfs[7]: erasing block 15...done. flashfs[7]: Checking block 61...block number was (0) flashfs[7]: erasing block 61...done. flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0 flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0 flashfs[7]: 9 files, 3 directories flashfs[7]: 0 orphaned files, 0 orphaned directories flashfs[7]: Total bytes: 15998976 flashfs[7]: Bytes used: 10240 flashfs[7]: Bytes available: 15988736 flashfs[7]: flashfs fsck took 58 seconds. flashfs[7]: Initialization complete. Saving the datafile ! Saving a copy of old datafile for downgrade ! Saving the configuration ! Saving a copy of old configuration as downgrade.cfg ! Saved the activation key from the flash image Saved the default firewall mode (single) to flash The version of image file in flash is not bootable in the current version of software. Use the downgrade command first to boot older version of software. The file is being saved as image_old.bin anyway. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Upgrade process complete Need to burn loader.... Erasing sector 0...[OK] Burning sector 0...[OK] Erasing sector 64...[OK] Burning sector 64...[OK] Licensed features for this platform: Maximum Physical Interfaces : 6 Maximum VLANs : 25 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Cut-through Proxy : Enabled Guards : Enabled URL Filtering : Enabled Security Contexts : 2 GTP/GPRS : Disabled VPN Peers : Unlimited This platform has an Unrestricted (UR) license. Encryption hardware device : VAC+ (Crypto5823 revision 0x1) -------------------------------------------------------------------------- . . | | ||| ||| .|| ||. .|| ||. .:||| | |||:..:||| | |||:. C i s c o S y s t e m s -------------------------------------------------------------------------- Cisco PIX Security Appliance Software Version 7.0(1) ****************************** Warning ******************************* This product contains cryptographic features and is subject to United States and local country laws governing, import, export, transfer, and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute, or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return the enclosed items immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. ******************************* Warning ******************************* Copyright (c) 1996-2005 by Cisco Systems, Inc. Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. Cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 !--- These messages are printed for any deprecated commands. .ERROR: This command is no longer needed. The LOCAL user database is always enabled. *** Output from config line 71, "aaa-server LOCAL protoco..." ERROR: This command is no longer needed. The 'floodguard' feature is always enabled. *** Output from config line 76, "floodguard enable" Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303 !--- All current fixups are converted to the
!--- new Modular Policy Framework. INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands INFO: converting 'fixup protocol ftp 21' to MPF commands INFO: converting 'fixup protocol h323_h225 1720' to MPF commands INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands INFO: converting 'fixup protocol http 80' to MPF commands INFO: converting 'fixup protocol ils 389' to MPF commands INFO: converting 'fixup protocol netbios 137-138' to MPF commands INFO: converting 'fixup protocol rsh 514' to MPF commands INFO: converting 'fixup protocol rtsp 554' to MPF commands INFO: converting 'fixup protocol sip 5060' to MPF commands INFO: converting 'fixup protocol skinny 2000' to MPF commands INFO: converting 'fixup protocol smtp 25' to MPF commands INFO: converting 'fixup protocol sqlnet 1521' to MPF commands INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands INFO: converting 'fixup protocol tftp 69' to MPF commands INFO: converting 'fixup protocol sip udp 5060' to MPF commands INFO: converting 'fixup protocol xdmcp 177' to MPF commands ************************************************************************ ** ** ** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** ** ** ** ** ----> Current image running from RAM only! <---- ** ** ** ** When the PIX was upgraded in Monitor mode the boot image was not ** ** written to Flash. Please issue "copy tftp: flash:" to load and ** ** save a bootable image to Flash. Failure to do so will result in ** ** a boot loop the next time the PIX is reloaded. ** ** ** ************************************************************************ Type help or '?' for a list of available commands. pixfirewall> pixfirewall>enable Password:pixfirewall# pixfirewall#copy tftp flash Address or name of remote host []? 172.18.173.123 Source filename []? pix701.bin Destination filename [pix701.bin]? Accessing tftp://172.18.173.123/pix701.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Writing file flash:/pix701.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 5124096 bytes copied in 139.790 secs (36864 bytes/sec) pixfirewall#
Cisco PIX Software 7.0에서 Cisco ASA 형식으로 인터페이스 이름 변환
프로세스의 다음 단계는 새로 변환된 Cisco PIX Software 7.0 기반 컨피그레이션을 오프라인으로 수정하는 것입니다.
Cisco ASA 인터페이스 명명 규칙은 Cisco PIX Security Appliance와 다르므로 Cisco ASA 5500 Series Security Appliance에 복사/업로드하기 전에 Cisco PIX 컨피그레이션을 변경해야 합니다.
PIX 컨피그레이션에서 인터페이스 이름을 변경하려면 다음 단계를 완료합니다.
-
새 Cisco PIX Software 7.0 기반 컨피그레이션을 오프라인으로 복사합니다. 이렇게 하려면 컨피그레이션을 TFTP/FTP 서버에 업로드하거나 콘솔 세션에서 텍스트 편집기로 복사합니다.
PIX 컨피그레이션을 TFTP/FTP 서버에 업로드하려면 콘솔에서 다음 명령을 실행합니다.
copy startup−config tftp://n.n.n.n/PIX7cfg.txt or copy startup−config ftp://n.n.n.n/PIX7cfg.txt -
Cisco PIX Software 7.0 기반 컨피그레이션 파일이 TFTP/FTP 서버에 성공적으로 업로드되거나 텍스트 편집기에 붙여넣기되거나 복사되면 Notepad/WordPad 또는 즐겨찾기 텍스트 편집기를 열어 PIX 컨피그레이션의 인터페이스 이름을 변경합니다.
Cisco PIX Security Appliance는 0부터 n 사이의 인터페이스 번호를 제공합니다. Cisco ASA 5500 Series Security Appliance는 위치/슬롯에 따라 인터페이스 번호를 지정합니다. 내장 인터페이스는 0/0에서 0/3 사이의 번호가 매겨지며, 관리 인터페이스는 Management 0/0입니다. 4GE SSM 모듈의 인터페이스는 1/0~1/3의 번호가 지정됩니다.
7.0을 실행하는 기본 라이센스가 포함된 Cisco ASA 5510에는 3개의 고속 이더넷 포트(0/0~0/2)와 Management 0/0 인터페이스가 제공됩니다. Security Plus 라이센스가 포함된 Cisco ASA 5510은 5개의 고속 이더넷 인터페이스를 모두 사용할 수 있습니다. Cisco ASA 5520 및 5540에는 4개의 기가비트 이더넷 포트 및 1개의 고속 이더넷 관리 포트가 있습니다. Cisco ASA 5550에는 8개의 기가비트 이더넷 포트와 1개의 고속 이더넷 포트가 있습니다.
PIX 컨피그레이션의 인터페이스 이름을 ASA 인터페이스 형식으로 변경합니다.
예를 들면 다음과 같습니다.
Ethernet0 ==> Ethernet0/0 Ethernet1 ==> Ethernet0/1 GigabitEthernet0 ==> GigabitEthernet0/0
자세한 내용은 Cisco Security Appliance Command Line Configuration Guide, 버전 7.0의 "Configuring Interface Parameters" 섹션을 참조하십시오.
PIX에서 ASA로 컨피그레이션 복사
이 시점에서는 Cisco ASA 5500 Series에 복사 또는 업로드할 수 있도록 인터페이스 이름이 수정된 Cisco PIX Software 7.0 기반 컨피그레이션이 제공됩니다. 두 가지 방법으로 Cisco PIX Software 7.0 기반 컨피그레이션을 Cisco ASA 5500 Series Appliance에 로드할 수 있습니다.
방법 1: 수동 복사/붙여넣기 또는 방법 2: TFTP/FTP에서 다운로드의 단계를 완료합니다.
방법 1: 수동 복사/붙여넣기
PIX 콘솔에서 복사/붙여넣기 방법을 통해 컨피그레이션을 복사합니다.
-
콘솔을 통해 Cisco ASA 5500 Series에 로그인하고 clear config all 명령을 실행하여 컨피그레이션을 지운 다음 수정된 Cisco PIX Software 7.0 컨피그레이션을 붙여넣습니다.
ASA#config t ASA(config)#clear config all
-
구성을 복사하여 ASA 콘솔에 붙여넣고, 구성을 저장합니다.
참고: 테스트를 시작하기 전에 모든 인터페이스가 no shutdown 상태인지 확인하십시오.
방법 2: TFTP/FTP에서 다운로드
두 번째 방법은 TFTP/FTP 서버에서 Cisco PIX Software 7.0 기반 컨피그레이션을 다운로드하는 것입니다. 이 단계에서는 TFTP/FTP 다운로드를 위해 Cisco ASA 5500 Series Appliance에서 관리 인터페이스를 구성해야 합니다.
-
ASA 콘솔에서 다음 명령을 실행합니다.
ASA#config t ASA(config)#interface management 0 ASA(config)#nameif management ASA(config)#ip addASA(config)#no shut 참고: (선택 사항) 경로 관리 <ip> <mask> <next-hop>
-
관리 인터페이스가 설정되면 ASA에 PIX 컨피그레이션을 다운로드할 수 있습니다.
ASA(Config)#copy tftp:///PIX7cfg.txt running-config -
설정 저장.
ASA 소프트웨어 버전 7.x에 PIX 소프트웨어 버전 6.x 컨피그레이션 적용
PIX 6.2 또는 6.3 컨피그레이션을 새로운 ASA Security Appliance로 변환하는 작업은 수동 프로세스입니다. ASA/PIX 관리자는 ASA 구문과 일치하도록 PIX 6.x 구문을 변환하고 명령을 ASA 컨피그레이션으로 입력해야 합니다. access-list 명령과 같은 일부 명령을 잘라내어 붙여넣을 수 있습니다. 변환에서 실수가 발생하지 않도록 PIX 6.2 또는 6.3 컨피그레이션을 새 ASA 컨피그레이션과 자세히 비교해야 합니다.
참고: Cisco CLI Analyzer(등록된 고객만 해당)를 사용하여 apply, outbound 또는 conduit와 같은 이전의 지원되지 않는 일부 명령을 적절한 액세스 목록으로 변환할 수 있습니다. 전환된 진술은 면밀한 검토가 필요하다. 변환이 보안 정책과 일치하는지 확인해야 합니다.
참고: 새 ASA 어플라이언스로 업그레이드하는 프로세스는 새 PIX 어플라이언스로 업그레이드하는 프로세스와 다릅니다. PIX 프로세스를 사용하여 ASA로 업그레이드하려고 하면 ASA에서 여러 컨피그레이션 오류가 발생합니다.
문제 해결 - 수동 컨피그레이션 변환
리부팅 루프에서 디바이스 고착
-
PIX를 업그레이드하기 위해 copy tftp flash 메서드를 사용하고 재부팅하면 이 재부팅 루프에서 중단됩니다.
Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 5063168 bytes of image from flash.
BIOS 버전이 4.2 이전인 PIX 어플라이언스는 copy tftp flash 명령을 사용하여 업그레이드할 수 없습니다. 모니터 모드 방법으로 업그레이드해야 합니다.
-
PIX가 7.x를 실행하고 재부팅되면 이 재부팅 루프에서 중단됩니다.
Rebooting.... Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 115200 bytes of image from flash. PIX Flash Load Helper Initializing flashfs... flashfs[0]: 10 files, 4 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 15998976 flashfs[0]: Bytes used: 1975808 flashfs[0]: Bytes available: 14023168 flashfs[0]: Initialization complete. Unable to locate boot image configuration Booting first image in flash No bootable image in flash. Please download an image from a network server in the monitor mode Failed to find an image to boot
PIX가 모니터 모드에서 7.0으로 업그레이드되지만 7.0의 첫 번째 부팅 후 7.0 이미지가 플래시로 재복사되지 않으면 PIX가 다시 로드될 때 재부팅 루프에 머물게 됩니다.
해상도는 모니터 모드에서 이미지를 다시 로드하는 것입니다. 부팅한 후에는 copy tftp flash 메서드를 사용하여 이미지를 한 번 더 복사해야 합니다.
오류 메시지
copy tftp flash 방법으로 업그레이드할 경우 다음 오류 메시지가 표시됩니다.
pixfirewall#copy tftp flash Address or name of remote host [0.0.0.0]? 172.18.173.123 Source file name [cdisk]? pix701.bin copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]? y !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Insufficient flash space available for this request: Size info: request:5066808 current:1966136 delta:3100672 free:2752512 Image not installed pixfirewall#
이 메시지는 일반적으로 PDM이 이미 설치된 PIX 515 또는 PIX 535가 copy tftp flash 방법으로 업그레이드될 때 나타납니다.
이 문제를 해결하려면 모니터 모드 방법으로 업그레이드하십시오.
구성이 잘못된 것 같습니다.
PIX를 6.x에서 7.x로 업그레이드하면 일부 컨피그레이션이 제대로 마이그레이션되지 않습니다.
show startup-config errors 명령의 출력에는 컨피그레이션을 마이그레이션하는 동안 발생한 모든 오류가 표시됩니다. PIX를 처음 부팅하면 이 출력에 오류가 나타납니다. 이러한 오류를 검사하고 해결을 시도합니다.
FTP와 같은 일부 서비스가 작동하지 않음
업그레이드 후 FTP와 같은 일부 서비스가 작동하지 않는 경우가 있습니다.
이러한 서비스에 대한 검사는 업그레이드 후에 활성화되지 않습니다. 적절한 서비스에 대한 검사를 활성화합니다. 이를 위해 기본/글로벌 검사 정책에 추가하거나 원하는 서비스에 대한 별도의 검사 정책을 생성합니다.
검사 정책에 대한 자세한 내용은 Cisco Security Appliance Command Line Configuration Guide, Version 7.0의 "Apply Application Layer Protocol Inspection" 섹션을 참조하십시오.
Cisco PIX Security Appliance가 Cisco ASA(Adaptive Security Appliance)로 교체된 경우 인터넷에 액세스할 수 없음
Cisco PIX Security Appliance를 Cisco ASA(Adaptive Security Appliance)로 교체한 후 인터넷에 액세스할 수 없는 경우 이 섹션을 사용합니다.
네트워크에서 PIX의 플러그를 뽑고 PIX의 외부 인터페이스와 동일한 외부 인터페이스 IP 주소를 사용하여 네트워크의 ASA를 연결하면, 업스트림 라우터에는 외부 인터페이스 IP 주소에 해당하는 PIX의 mac 주소가 여전히 있습니다. 따라서 응답 패킷을 ASA로 다시 전송할 수 없습니다. ASA가 작동하려면 업스트림 라우터에서 ARP 항목을 지워야 새로운/정확한 mac 주소 항목을 알 수 있습니다. PIX를 ASA로 교체하려는 경우 ARP 항목을 플러시하면 인터넷 연결 문제가 해결됩니다. ARP 엔트리 플러시는 ISP가 마지막에 수행해야 합니다.
관련 정보
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
30-May-2007 |
최초 릴리스 |
피드백