ASA/PIX: Hoe de CLI te gebruiken om de softwareafbeelding op een failover-paar te upgraden

Downloadopties

  • PDF     (267.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (90.0 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (77.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:16 maart 2010
Document-id:111867

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u de CLI moet gebruiken om de softwareafbeelding te upgraden op een Cisco ASA 5500 Series adaptieve security applicaties bij een failover-paar.

Opmerking: Adaptive Security Device Manager (ASDM) werkt niet als u de software van het security apparaat rechtstreeks van 7.0 naar 7.2 upgradt (of downgradt) of de ASDM-software rechtstreeks van 5.0 naar 5.2 upgradt (of downgradt). U moet de upgrade (of downgrade) in stapsgewijze volgorde uitvoeren.

Raadpleeg PIX/ASA: Upgrade een softwareafbeelding met ASDM of CLI Configuration Voorbeeld voor meer informatie over het upgraden van de ASDM of de softwareafbeelding bij ASA

Opmerking: in de multicontextmodus kunt u de opdracht flitser kopiëren niet gebruiken om de PIX/ASA-afbeelding in alle contexten te upgraden of te downgraden; het wordt alleen ondersteund in de modus System Exec.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • Cisco adaptieve security applicatie (ASA) met versie 7.0 en hoger

  • Cisco ASDM versie 5.0 en hoger

Opmerking: zie Toestaan van HTTPS-toegang voor ASDM voor informatie over hoe de ASA kan worden geconfigureerd door de ASDM.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Verwante producten

Deze configuratie kan ook worden gebruikt met de Software voor Cisco PIX 500 Series security applicatie versie 7.0 en hoger.

Conventies

Raadpleeg de Cisco Technical Tips Conventions voor informatie over documentconventies.

Configuratie

Upgrades zonder downtime voor failover-paren uitvoeren

De twee eenheden in een failover-configuratie moeten dezelfde grote (eerste nummer) en kleinere (tweede nummer) softwareversie hebben. Tijdens het upgradeproces hoeft u echter geen versiepariteit op de eenheden te handhaven. U kunt verschillende versies op de software op elke eenheid draaien en toch failover-ondersteuning behouden. Om compatibiliteit en stabiliteit op lange termijn te garanderen, raadt Cisco u aan beide eenheden zo snel mogelijk naar dezelfde versie te upgraden.

Er zijn 3 soorten upgrades beschikbaar. Het gaat om de volgende maatregelen:

  1. Onderhoudsrelease - U kunt upgraden van een onderhoudsrelease naar een andere onderhoudsrelease binnen een minder belangrijke release. U kunt bijvoorbeeld van 7.0(1) naar 7.0(4) upgraden zonder eerst de onderhoudsreleases tussen te installeren.

  2. Kleinere release—U kunt upgraden van een minder belangrijke release naar de volgende minder belangrijke release. U kunt een minder belangrijke release niet overslaan. U kunt bijvoorbeeld van 7.0 naar 7.1 upgraden. Upgraden van 7.0 naar 7.2 wordt niet ondersteund voor upgrades zonder downtime; u moet eerst upgraden naar 7.1

  3. Major release—U kunt upgraden van de laatste kleine release van de vorige versie naar de volgende grote release. U kunt bijvoorbeeld van 7.9 naar 8.0 upgraden, ervan uitgaande dat 7.9 de laatste kleinere versie van de 7.x-release is.

Configuratie van een upgrade van een Active/Standby failover

Voltooi deze stappen om twee eenheden in een Active/Standby failover-configuratie te upgraden:

  1. Download de nieuwe software naar beide eenheden, en specificeer de nieuwe afbeelding te laden met de opstartsysteemopdracht.

    Raadpleeg voor meer informatie een upgrade van een softwareafbeelding en een ASDM-image met CLI.

  2. Laad de standby-unit opnieuw om het nieuwe beeld op te starten door de failover Reload-standby-opdracht op de actieve unit in te voeren, zoals hieronder wordt getoond:

    active#failover reload-standby

  3. Wanneer de standby-eenheid klaar is met herladen en zich in de stand-by-stand bevindt, moet de actieve eenheid worden gedwongen over te schakelen naar de stand-by-eenheid door de no failover active-opdracht op de actieve eenheid in te voeren.

    active#no failover active

    Opmerking: Gebruik de show failover-opdracht om te controleren of de stand-by-eenheid zich in de stand-by Ready-staat bevindt.

  4. Herlaad de vorige actieve eenheid (nu de nieuwe standby-eenheid) door de herladenopdracht in te voeren:

    newstandby#reload

  5. Wanneer de nieuwe standby-eenheid klaar is met herladen en zich in de stand-by-stand bevindt, geeft u de oorspronkelijke actieve eenheid terug naar de actieve status door de failover active-opdracht in te voeren:

    newstandby#failover active

Hiermee is het proces voor het upgraden van een Active/Standby failover-paar voltooid.

Configuratie van upgrade op een actief/actief failover

Voltooi deze stappen om twee eenheden in een Active/Active failover-configuratie te upgraden:

  1. Download de nieuwe software naar beide eenheden, en specificeer de nieuwe afbeelding te laden met de opstartsysteemopdracht.

    Raadpleeg voor meer informatie een upgrade van een softwareafbeelding en een ASDM-image met CLI.

  2. Maak beide failovergroepen actief op de primaire eenheid door de failover active-opdracht in te voeren in de systeemuitvoeringsruimte van de primaire eenheid:

    primary#failover active

  3. Herlaad de secundaire eenheid om het nieuwe beeld op te starten door de failover reload-standby-opdracht in te voeren in de systeemuitvoeringsruimte van de primaire eenheid:

    primary#failover reload-standby

  4. Wanneer de secundaire eenheid klaar is met herladen, en beide failovergroepen zich in de stand-by-gereed-stand op die eenheid bevinden, maak beide failovergroepen actief op de secundaire eenheid met de opdracht no failover active in de systeemuitvoeringsruimte van de primaire eenheid:

    primary#no failover active

    Opmerking: Gebruik de show failover opdracht om te controleren of beide failover groepen zich in de stand-by Ready-status op de secundaire eenheid bevinden.

  5. Zorg ervoor dat beide failover-groepen zich in de stand-by Ready-status op de primaire eenheid bevinden en laad de primaire eenheid opnieuw met de herladenopdracht:

    primary#reload

  6. Als de failover-groepen zijn geconfigureerd met de preempt-opdracht, worden ze automatisch actief op hun aangewezen eenheid nadat de pre-empt-vertraging is verstreken. Als de failover-groepen niet zijn geconfigureerd met de preempt-opdracht, kunt u ze op hun aangewezen eenheden terugzetten naar de actieve status met de opdracht failover actieve groep.

Problemen oplossen

%ASA-5-720012: (VPN-Secundair) Kan IPSec failover runtime data op de standby unit (of) %ASA-6-720012 niet bijwerken: (VPN-unit) Kan IPsec failover runtime data op de standby unit niet bijwerken

Probleem

Een van de volgende foutmeldingen wanneer u de Cisco adaptieve security applicatie (ASA) probeert te upgraden:

%ASA-5-720012: (VPN-Secondary) Kan IPSec failover-runtime gegevens op de standby-unit niet bijwerken.

%ASA-6-720012: (VPN-unit) Kan IPsec failover-runtime gegevens op de standby-unit niet bijwerken.

Oplossing

Deze foutmeldingen zijn informatief. De berichten hebben geen invloed op de functionaliteit van de ASA of het VPN.

Deze berichten worden weergegeven wanneer het VPN-failover-subsysteem IPsec-gerelateerde runtime-data niet kan updaten omdat de corresponderende IPsec-tunnel is verwijderd in de stand-by unit. Om deze problemen op te lossen, voert u de wr standby-opdracht uit op de actieve eenheid.

Er zijn twee bugs gedeponeerd om dit gedrag aan te pakken; u kunt upgraden naar een softwareversie van ASA waar deze bugs zijn gefixeerd. Raadpleeg Cisco bug-ID’s CSCtj58420 (alleen voor geregistreerde klanten) en CSCtn56517 (alleen voor geregistreerde klanten) voor meer informatie.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
16-Mar-2010
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten