Atualizar software para PIX 500 Security Appliance 6.x para 7.x
Contents
Introduction
Este documento explica como atualizar o PIX Appliance da versão 6.2 ou 6.3 para a versão 7.x. Também abrange a instalação do Adaptive Security Device Manager (ASDM) versão 5.0.
Prerequisites
Requirements
Antes de iniciar este procedimento de atualização, conclua estas tarefas.
-
Use o comando show running-config ou write net para salvar a configuração atual do PIX em um arquivo de texto ou em um servidor TFTP.
-
Use o comando show version para exibir o número de série e a chave de ativação. Salve esta saída em um arquivo de texto. Se precisar reverter para uma versão mais antiga do código, talvez você precise da chave de ativação original. Para obter informações adicionais sobre chaves de ativação, consulte Perguntas frequentes sobre o PIX Firewall.
-
Certifique-se de que não há nenhum conduit ou outbound command na sua configuração atual. Esses comandos não são mais suportados no 7.x e o processo de atualização os remove. Use a ferramenta Output Interpreter (somente clientes registrados) para converter esses comandos em listas de acesso antes de tentar a atualização.
-
Certifique-se de que o PIX não encerre conexões PPTP (Point to Point Tunneling Protocol). O PIX 7.1 e posterior não suporta terminação PPTP no momento.
-
Se você usar failover, verifique se a LAN ou a interface stateful não é compartilhada com nenhum dado que passa pelas interfaces. Por exemplo, se você usar sua interface Inside para transmitir tráfego de dados e para sua interface de failover stateful (link de failover interno), você deverá mover a interface de failover stateful para uma interface diferente antes de atualizar. Se isso não for feito, todas as configurações vinculadas à interface interna serão removidas. Além disso, o tráfego de dados não passa pela interface após a atualização.
-
Certifique-se de que o PIX execute a versão 6.2 ou 6.3 antes de continuar.
-
Leia as Notas de versão da versão para a qual você planeja atualizar para que esteja ciente de todos os comandos novos, alterados e obsoletos.
-
Consulte o Guia de Atualização para ver as alterações de comando adicionais entre as versões 6.x e 7.x.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
-
PIX Security Appliance 515, 515E, 525 e 535
-
Software PIX versões 6.3(4), 7.0(1)
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Requisitos mínimos do sistema
Antes de iniciar o processo de atualização para a versão 7.x, a Cisco recomenda que o PIX execute a versão 6.2 ou posterior. Isso garante que a configuração atual converta corretamente. Além disso, esses requisitos de hardware devem ser atendidos para os requisitos mínimos de RAM e Flash:
| Modelo de PIX | Requisitos de RAM | Requisitos de Flash | |
|---|---|---|---|
| Restrito (R) | Não Restrito (UR) / Somente failover (FO) | ||
| PIX-515 | 64 MB* | 128 MB* | 16 MB |
| PIX-515 E | 64 MB* | 128 MB* | 16 MB |
| PIX-525 | 128 MB | 256 MB | 16 MB |
| PIX-535 | 512 MB | 1 GB | 16 MB |
* Todos os dispositivos PIX-515 e PIX-515E exigem uma atualização de memória.
Execute o comando show version para determinar a quantidade de RAM e Flash atualmente instalados no PIX. Não são necessárias atualizações de Flash, pois todos os PIX Appliances nesta tabela têm 16 MB instalados por padrão.
Observação: somente os PIX Security Appliances nesta tabela são suportados na versão 7.x. Os dispositivos de segurança PIX mais antigos, como PIX-520, 510, 10000 e Classic, foram descontinuados e não executam a versão 7.0 ou posterior. Se você tiver um desses dispositivos e quiser executar o 7.x ou posterior, entre em contato com a equipe de contas ou revendedor local da Cisco para adquirir um dispositivo de segurança mais novo. Além disso, os PIX Firewalls com menos de 64 MB de RAM (PIX-501, PIX-506 e PIX-506E) não conseguem executar a versão 7.0 inicial.
Informações de atualização de memória para dispositivos PIX 515/515E
Atualizações de memória são necessárias apenas para os dispositivos PIX-515 e PIX-515E. Consulte esta tabela para obter os números de peça necessários para atualizar a memória nesses dispositivos.
Observação: o número da peça depende da licença instalada no PIX.
| Configuração do aplicativo atual | Atualizar solução | ||
|---|---|---|---|
| Licença de plataforma | Memória total (antes da atualização) | Número da peça | Memória total (após a atualização) |
| Restrito (R) | 32 MB | PIX-515-MEM-32= | 64 MB |
| Sem restrições (UR) | 32 MB | PIX-515-MEM-128= | 128 MB |
| Somente failover (FO) | 64 MB | PIX-515-MEM-128= | 128 MB |
Consulte o Boletim de Atualização de Memória do Cisco PIX 515/515E Security Appliance para PIX Software v7.0 Product para obter informações adicionais.
Conventions
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Atualizar o PIX Security Appliance
Downloads de software
Visite o Cisco Software Center (somente clientes registrados) para fazer o download do software PIX 7.x. O software do servidor TFTP não está mais disponível no Cisco.com. No entanto, você pode encontrar muitos servidores TFTP ao procurar por "servidor tftp" em seu mecanismo de pesquisa de Internet favorito. Cisco não recomenda especificamente nenhuma implementação específica de TFTP. Para obter mais informações, consulte a página do servidor TFTP (somente clientes registrados).
Procedimento de atualização
Esteja ciente de que a atualização do PIX Security Appliance para a versão 7.x é uma grande mudança. Grande parte da CLI é modificada e, portanto, sua configuração após a atualização aparecerá muito diferente. Somente atualizar durante uma janela de manutenção, pois o processo de atualização requer algum tempo de inatividade. Se precisar reverter para uma imagem 6.x, siga os procedimentos de downgrade. Se isso não for feito, o PIX entrará em um loop de reinicialização contínuo. Para continuar, localize o modelo do PIX Appliance nesta tabela e selecione o link para ver instruções sobre como atualizar.
| Modelo de PIX | Método de atualização |
|---|---|
| PIX-515 | Monitor |
| PIX-515E | copy tftp flash |
| PIX-525 | copy tftp flash |
| PIX-535 (Nenhum PDM instalado) | copy tftp flash |
| PIX-535 (PDM instalado) | Monitor |
Atualizar o PIX Security Appliance a partir do modo de monitor
Entre no modo de monitor
Conclua estes passos para entrar no Modo de monitor no PIX.
-
Conecte um cabo de console à porta de console no PIX com o uso destas configurações de comunicação:
-
9600 bits por segundo
-
8 bits de dados
-
sem paridade
-
1 bit de parada
-
nenhum controle de fluxo
-
-
Ligue e desligue ou recarregue o PIX. Durante a inicialização, você é solicitado a usar BREAK ou ESC para interromper a inicialização do Flash. Você tem dez segundos para interromper o processo normal de inicialização.
-
Pressione a tecla ESC ou envie um caractere BREAK para entrar no modo de monitor.
-
Se você usa o Windows Hyper Terminal, pode pressionar a tecla ESC ou pressionar Ctrl+Break para enviar um caractere BREAK.
-
Se você usar o Telnet através de um servidor terminal para acessar a porta de console do PIX, precisará pressionar Ctrl+] (Control + sinal direito) para chegar ao prompt de comando do Telnet. Em seguida, digite o comando send break.
-
-
O prompt monitor> é exibido.
-
Vá para a seção Upgrade the PIX from Monitor Mode.
Atualizar o PIX a partir do modo de monitor
Conclua estes passos para atualizar seu PIX a partir do modo de monitor.
Observação: as placas Fast Ethernet em slots de 64 bits não são visíveis no modo de monitor. Esse problema significa que o servidor TFTP não pode residir em uma dessas interfaces. O usuário deve usar o comando copy tftp flash para fazer o download do arquivo de imagem do PIX Firewall através do TFTP.
-
Copie a imagem binária do PIX Appliance (por exemplo, pix701.bin) para o diretório raiz do servidor TFTP.
-
Entre no modo de monitor no PIX. Se você não tiver certeza de como fazer isso, consulte as instruções sobre como entrar no Modo de monitor neste documento.
Observação: uma vez no modo de monitor, você pode usar o "?" para ver uma lista de opções disponíveis.
-
Digite o número da interface à qual o servidor TFTP está conectado ou a interface mais próxima do servidor TFTP. O padrão é interface 1 (interno).
monitor>interfaceObservação: no modo de monitor, a interface sempre negocia automaticamente a velocidade e o duplex. As configurações da interface não podem ser codificadas. Portanto, se a interface PIX estiver conectada a um switch codificado para velocidade/duplex, reconfigure-o para negociar automaticamente enquanto estiver no modo de monitor. Lembre-se também de que o PIX Appliance não pode inicializar uma interface Gigabit Ethernet no modo de monitor. Em vez disso, você deve usar uma interface Fast Ethernet.
-
Insira o endereço IP da interface definida na etapa 3.
monitor>address -
Insira o endereço IP do servidor TFTP.
monitor>server -
(Opcional) Insira o endereço IP do gateway. Um endereço de gateway é necessário se a interface do PIX não estiver na mesma rede do servidor TFTP.
monitor>gateway -
Insira o nome do arquivo no servidor TFTP que deseja carregar. Este é o nome do arquivo de imagem binária PIX.
monitor>file -
Faça ping do PIX para o servidor TFTP para verificar a conectividade IP.
Se os pings falharem, verifique os cabos, o endereço IP da interface PIX e do servidor TFTP e o endereço IP do gateway (se necessário). Os pings devem ser bem-sucedidos antes de você continuar.
monitor>ping -
Digite tftp para iniciar o download do TFTP.
monitor>tftp
-
O PIX faz o download da imagem na RAM e a inicializa automaticamente.
Durante o processo de inicialização, o sistema de arquivos é convertido junto com sua configuração atual. No entanto, você ainda não terminou. Observe esta mensagem de aviso depois de inicializar e continue na etapa 11:
****************************************************************** ** ** ** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** ** ** ** ** ----> Current image running from RAM only! <---- ** ** ** ** When the PIX was upgraded in Monitor mode the boot image was not ** ** written to Flash. Please issue "copy tftp: flash:" to load and ** ** save a bootable image to Flash. Failure to do so will result in ** ** a boot loop the next time the PIX is reloaded. ** ** ** ************************************************************************
-
Depois de inicializado, entre no modo de ativação e copie a mesma imagem no PIX novamente. Desta vez, use o comando copy tftp flash.
Isso salva a imagem no sistema de arquivos Flash. A falha ao executar esta etapa resulta em um loop de inicialização na próxima vez que o PIX for recarregado.
pixfirewall>enable pixfirewall#copy tftp flash
Observação: para obter instruções detalhadas sobre como copiar a imagem com o uso do comando copy tftp flash, consulte a seção Atualizar o PIX Security Appliance com o comando copy tftp flash.
-
Quando a imagem for copiada usando o comando copy tftp flash, o processo de atualização será concluído.
Exemplo de configuração - Atualizar o PIX Security Appliance a partir do modo de monitor
monitor>interface 1
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
2: i8255X @ PCI(bus:1 dev:0 irq:11)
3: i8255X @ PCI(bus:1 dev:1 irq:11)
4: i8255X @ PCI(bus:1 dev:2 irq:11)
5: i8255X @ PCI(bus:1 dev:3 irq:11)
Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81
monitor>address 10.1.1.2
address 10.1.1.2
monitor>server 172.18.173.123
server 172.18.173.123
monitor>gateway 10.1.1.1
gateway 10.1.1.1
monitor>file pix701.bin
file pix701.bin
monitor>ping 172.18.173.123
Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor>tftp
tftp pix701.bin@172.18.173.123..........................................
Received 5124096 bytes
Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar 7 17:39:03 PST 2005
#######################################################################
128MB RAM
Total NICs found: 6
mcwa i82559 Ethernet at irq 10 MAC: 0050.54ff.4d80
mcwa i82559 Ethernet at irq 7 MAC: 0050.54ff.4d81
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2014
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2015
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2016
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2017
BIOS Flash=AT29C257 @ 0xfffd8000
Old file system detected. Attempting to save data in flash
!--- This output indicates that the Flash file !--- system is formatted. The messages are normal.
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-10627)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-14252)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-15586)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (5589)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (4680)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-21657)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-28397)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (2198)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-26577)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (30139)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (-17027)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (-2608)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (18180)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (0)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (29271)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (0)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 61...block number was (0)
flashfs[7]: erasing block 61...done.
flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0
flashfs[7]: 9 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 15998976
flashfs[7]: Bytes used: 10240
flashfs[7]: Bytes available: 15988736
flashfs[7]: flashfs fsck took 58 seconds.
flashfs[7]: Initialization complete.
Saving the datafile
!
Saving a copy of old datafile for downgrade
!
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
The version of image file in flash is not bootable in the current version of
software.
Use the downgrade command first to boot older version of software.
The file is being saved as image_old.bin anyway.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
Erasing sector 64...[OK]
Burning sector 64...[OK]
Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs : 25
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited
This platform has an Unrestricted (UR) license.
Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
--------------------------------------------------------------------------
. .
| |
||| |||
.|| ||. .|| ||.
.:||| | |||:..:||| | |||:.
C i s c o S y s t e m s
--------------------------------------------------------------------------
Cisco PIX Security Appliance Software Version 7.0(1)
****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.
A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************
Copyright (c) 1996-2005 by Cisco Systems, Inc.
Restricted Rights Legend
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
!--- These messages are printed for any deprecated commands.
.ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 71, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 76, "floodguard enable"
Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303
!--- All current fixups are converted to the !--- new Modular Policy Framework.
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
************************************************************************
** **
** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** **
** **
** ----> Current image running from RAM only! <---- **
** **
** When the PIX was upgraded in Monitor mode the boot image was not **
** written to Flash. Please issue "copy tftp: flash:" to load and **
** save a bootable image to Flash. Failure to do so will result in **
** a boot loop the next time the PIX is reloaded. **
** **
************************************************************************
Type help or '?' for a list of available commands.
pixfirewall>
pixfirewall>enable
Password:
Atualize o PIX Security Appliance com o comando copy tftp flash
Conclua estes passos para atualizar o PIX com o uso do comando copy tftp flash.
-
Copie a imagem binária do PIX Appliance (por exemplo, pix701.bin) para o diretório raiz do servidor TFTP.
-
No prompt de ativação, execute o comando copy tftp flash.
pixfirewall>enable Password:pixfirewall#copy tftp flash -
Insira o endereço IP do servidor TFTP.
Address or name of remote host [0.0.0.0]? -
Insira o nome do arquivo no servidor TFTP que deseja carregar. Este é o nome do arquivo de imagem binária PIX.
Source file name [cdisk]? -
Quando solicitado a iniciar a cópia TFTP, digite yes.
copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]?yes
-
A imagem agora é copiada do servidor TFTP para Flash.
Essa mensagem é exibida e indica que a transferência é um sucesso, a imagem binária antiga em Flash é apagada e a nova imagem é gravada e instalada.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Writing 5066808 bytes of image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Image installed pixfirewall#
-
Recarregue o PIX Appliance para inicializar a nova imagem.
pixfirewall#reload Proceed with reload? [confirm]Rebooting.... -
O PIX agora inicializa a imagem 7.0 e isso conclui o processo de atualização.
Exemplo de configuração - Atualize o PIX Appliance com o comando copy tftp flash
pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall#
pixfirewall#reload
Proceed with reload? [confirm]
Observação: com a licença irrestrita, o PIX 515 E pode ter até oito VLANs e o PIX 535 pode ter até vinte e cinco VLANs.
Fazer o download do PIX 7.x para 6.x
Os PIX Security Appliances versões 7.0 e posteriores usam um formato de arquivo Flash diferente das versões anteriores do PIX. Portanto, não é possível fazer o downgrade de uma imagem 7.0 para uma imagem 6.x com o uso do comando copy tftp flash. Em vez disso, você deve usar o comando downgrade. Se isso não for feito, o PIX ficará preso em um loop de inicialização.
Quando o PIX foi atualizado originalmente, a configuração de inicialização 6.x foi salva no Flash como downgrade.cfg. Quando você segue esse procedimento de downgrade, essa configuração é restaurada ao dispositivo quando é baixada. Essa configuração pode ser revisada antes de você fazer o downgrade ao emitir o comando more flash:downgrade.cfg a partir de um prompt enable> em 7.0. Além disso, se o PIX foi atualizado via Modo de monitor, a imagem binária 6.x anterior ainda é salva no Flash como image_old.bin. Você pode verificar se esta imagem existe quando emite o comando show flash: comando. Se a imagem existir na Flash, você poderá usar essa imagem na etapa 1 deste procedimento em vez de carregar a imagem de um servidor TFTP.
Conclua estes passos para fazer o downgrade do PIX Security Appliance.
-
Digite o comando downgrade e especifique o local da imagem para a qual deseja fazer o downgrade.
pixfirewall#downgrade tftp:/// Observação: se você atualizou seu PIX do modo de monitor, a imagem binária antiga ainda será salva na Flash. Execute este comando para fazer o downgrade de volta para essa imagem:
pixfirewall#downgrade flash:/image_old.bin
-
Uma mensagem de aviso é exibida alertando que a Flash está prestes a ser formada. Pressione enter para continuar.
This command will reformat the flash and automatically reboot the system. Do you wish to continue? [confirm] -
A imagem agora é copiada na RAM e a configuração de inicialização também é copiada na RAM.
Buffering image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Buffering startup config All items have been buffered successfully
-
Uma segunda mensagem de aviso é exibida indicando que o Flash agora começa a ser formatado. NÃO interrompa esse processo ou o Flash pode ficar corrompido. Pressione enter para continuar com o formato.
If the flash reformat is interrupted or fails, data in flash will be lost and the system might drop to monitor mode. Do you wish to continue? [confirm] -
O Flash agora está formatado e a imagem antiga está instalada, e o PIX é reinicializado.
Acquiring exclusive access to flash Installing the correct file system for the image and saving the buffered data !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Flash downgrade succeeded Rebooting....
-
O PIX agora é inicializado no prompt normal. Isso conclui o processo de downgrade.
Exemplo de configuração - Download do PIX 7.x para 6.x
pixfirewall#downgrade tftp://172.18.108.26/pix634.bin
This command will reformat the flash and automatically reboot the system.
Do you wish to continue? [confirm]
Atualizar dispositivos PIX em um conjunto de failover
Uma atualização do PIX Appliance 6.x para 7.x é uma atualização importante. Não pode ser feito sem tempo de inatividade, mesmo para PIXes em um conjunto de failover. Muitos dos comandos failover mudam com a atualização. O caminho de atualização recomendado é desligar um dos PIXes no conjunto de failover. Em seguida, siga as instruções neste documento para atualizar o PIX ligado. Quando a atualização estiver concluída, verifique se o tráfego passa e reinicialize o PIX uma vez para verificar se ele volta a funcionar sem problemas. Quando estiver certo de que tudo funciona corretamente, desligue o PIX recém-atualizado e ligue o outro PIX. Em seguida, siga as instruções neste documento para atualizar o PIX. Quando a atualização estiver concluída, verifique se o tráfego passou. Reinicialize também o PIX uma vez para verificar se ele volta a funcionar sem problemas. Quando estiver certo de que tudo funciona corretamente, ligue o outro PIX. Ambos os PIXs agora são atualizados para 7.x e ligados. Verifique se eles estabelecem corretamente as comunicações de failover com o comando show failover.
Observação: o PIX agora impõe a restrição de que qualquer interface que transmite tráfego de dados também não possa ser usada como a interface de failover da LAN ou a interface de failover stateful. Se a sua configuração atual de PIX tiver uma interface compartilhada usada para transmitir o tráfego normal de dados, bem como as informações de failover da LAN ou as informações de Stateful, e se você atualizar, o tráfego de dados não passará mais por essa interface. Todos os comandos associados a essa interface também falham.
Instalar o Adaptive Security Device Manager (ASDM)
Antes de instalar o ASDM, a Cisco recomenda que você leia as Notas de versão da versão que pretende instalar. As notas da versão incluem o mínimo de navegadores suportados e versões Java, bem como uma lista de novos recursos suportados e avisos abertos.
O processo de instalação do ASDM é ligeiramente diferente na versão 7.0 do que no passado. Além disso, uma vez que a imagem do ASDM é copiada no Flash, você deve especificá-la na configuração para que o PIX saiba que deve usá-la. Conclua estes passos para instalar a imagem do ASDM na Flash.
-
Baixe a imagem ASDM (somente clientes registrados) do Cisco.com e coloque-a no diretório raiz do seu servidor TFTP.
-
Verifique se o PIX tem conectividade IP com o servidor TFTP. Para fazer isso, faça ping no servidor TFTP a partir do PIX.
-
No prompt de ativação, execute o comando copy tftp flash.
pixfirewall>enable Password:pixfirewall#copy tftp flash -
Insira o endereço IP do servidor TFTP.
Address or name of remote host [0.0.0.0]? -
Insira o nome do arquivo ASDM no servidor TFTP que deseja carregar.
Source file name [cdisk]? -
Digite o nome do arquivo ASDM que você pretende salvar em Flash. Pressione enter para manter o mesmo nome de arquivo.
Destination filename [asdm-501.bin]? -
A imagem agora é copiada do servidor TFTP para Flash. Essas mensagens são exibidas e indicam que a transferência foi bem-sucedida.
Accessing tftp://172.18.173.123/asdm-501.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!! Writing file flash:/asdm-501.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!! 5880016 bytes copied in 140.710 secs (42000 bytes/sec)
-
Depois que a imagem ASDM for copiada, execute o flash de imagem asdm: para especificar a imagem ASDM a ser usada.
pixfirewall(config)#asdm image flash:asdm-501.bin
-
Salve a configuração no Flash com o comando write memory.
pixfirewall(config)#write memory
-
Isso conclui o processo de instalação do ASDM.
Troubleshoot
| Sintoma | Resolução |
|---|---|
Depois de usar o método copy tftp flash para atualizar o PIX e reinicializar, ele fica preso neste loop de reinicialização: Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 5063168 bytes of image from flash. |
Os dispositivos PIX com versões do BIOS anteriores à versão 4.2 não podem ser atualizados com o uso do comando copy tftp flash. Você deve atualizá-los com o método Monitor Mode. |
Depois que o PIX executa 7.0 e é reinicializado, ele fica preso neste loop de reinicialização: Rebooting.... Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 115200 bytes of image from flash. PIX Flash Load Helper Initializing flashfs... flashfs[0]: 10 files, 4 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 15998976 flashfs[0]: Bytes used: 1975808 flashfs[0]: Bytes available: 14023168 flashfs[0]: Initialization complete. Unable to locate boot image configuration Booting first image in flash No bootable image in flash. Please download an image from a network server in the monitor mode Failed to find an image to boot |
Se o PIX foi atualizado do modo de monitor para 7.0, mas a imagem 7.0 não foi recopiada para o Flash após a primeira inicialização do 7.0, quando o PIX é recarregado, ele fica preso em um loop de reinicialização. A resolução é carregar a imagem novamente a partir do modo de monitor. Depois de inicializar, você deve copiar a imagem mais uma vez com o uso do método copy tftp flash. |
Ao atualizar com o método copy tftp flash, você verá esta mensagem de erro: pixfirewall#copy tftp flash Address or name of remote host [0.0.0.0]? 172.18.173.123 Source file name [cdisk]? pix701.bin copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]? y !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Insufficient flash space available for this request: Size info: request:5066808 current:1966136 delta:3100672 free:2752512 Image not installed pixfirewall# |
Esta mensagem é normalmente vista quando o PIX-535 ou PIX-515 (não E) é atualizado através do método copy tftp flash, e o PDM também é carregado no Flash nesse PIX. A resolução é atualizar com o método Monitor Mode. |
| Depois de atualizar o PIX de 6.x para 7.0, parte da configuração não migra corretamente. | A saída do comando show startup-config errors mostra todos os erros que ocorreram durante a migração da configuração. Os erros aparecem nessa saída depois que você inicializa o PIX pela primeira vez. Examine esses erros e tente resolvê-los. |
| O PIX executa a versão 7.x e uma versão mais recente é instalada. Quando o PIX é reinicializado, a versão antiga continua a ser carregada. | No PIX versão 7.x, você pode salvar várias imagens em Flash. O PIX primeiro procura na configuração qualquer flash do sistema de inicialização: comandos. Esses comandos especificam que imagem o PIX precisa inicializar. Se não houver flash do sistema de inicialização: são encontrados, o PIX inicializa a primeira imagem inicializável em Flash. Para inicializar uma versão diferente, especifique o arquivo com o uso do comando boot system flash:/<filename>. |
| Uma imagem ASDM é carregada no Flash, mas os usuários não podem carregar o ASDM em seu navegador. | Primeiro, certifique-se de que o arquivo ASDM carregado na Flash seja especificado pelo comando asdm image flash://<asdm_file>. Em segundo lugar, verifique se o comando http server enable está na configuração. Finalmente, verifique se o host que tenta carregar o ASDM é permitido através do comando http <address> <mask> <interface>. |
| O FTP não funciona após uma atualização. | A inspeção de FTP não foi habilitada após a atualização. Ative a inspeção de FTP de uma das duas maneiras, conforme mostrado na seção Habilitar inspeção de FTP. |
Habilitar inspeção de FTP
A inspeção de FTP pode ser habilitada com um destes dois métodos:
-
Adicione o FTP à política de inspeção padrão/global.
-
Se ele não existir, crie o inspection_default class-map.
PIX1#configure terminal PIX1(config)#class-map inspection_default PIX1(config-cmap)#match default-inspection-traffic PIX1(config-cmap)#exit
-
Crie ou edite o mapa de políticas global_policy e habilite a inspeção de FTP para a classe inspection_default.
PIX1(config)#policy-map global_policy PIX1(config-pmap)#class inspection_default PIX1(config-pmap-c)#inspect dns preset_dns_map PIX1(config-pmap-c)#inspect ftp PIX1(config-pmap-c)#inspect h323 h225 PIX1(config-pmap-c)#inspect h323 ras PIX1(config-pmap-c)#inspect rsh PIX1(config-pmap-c)#inspect rtsp PIX1(config-pmap-c)#inspect esmtp PIX1(config-pmap-c)#inspect sqlnet PIX1(config-pmap-c)#inspect skinny PIX1(config-pmap-c)#inspect sunrpc PIX1(config-pmap-c)#inspect xdmcp PIX1(config-pmap-c)#inspect sip PIX1(config-pmap-c)#inspect netbios PIX1(config-pmap-c)#inspect tftp
-
Ative global_policy globalmente.
PIX1(config)#service-policy global_policy global
-
-
Ative o FTP criando uma política de inspeção separada.
PIX1#configure terminal PIX1(config)#class-map ftp-traffic !--- Matches the FTP data traffic. PIX1(config-cmap)#match port tcp eq ftp PIX1(config-cmap)#exit PIX1(config)#policy-map ftp-policy PIX1(config-pmap)#class ftp-traffic !--- Inspection for the FTP traffic is enabled. PIX1(config-pmap-c)#inspect ftp PIX1(config-pmap)#exit PIX1(config)#exit !--- Applies the FTP inspection globally. PIX1(config)#service-policy ftp-policy global
Obtenha um contrato de serviço válido
Você deve ter um contrato de serviço válido para baixar o software PIX. Para obter um contrato de serviço, execute estas etapas:
-
Entre em contato com sua Equipe de Conta da Cisco se possuir um contrato de compra direta.
-
Entre em contato com um parceiro ou revendedor da Cisco para adquirir um contato de serviço.
-
Use o Profile Manager para atualizar seu perfil do Cisco.com e solicitar associação a um contrato de serviço.
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
16-Oct-2008 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)