Migração de dispositivos de segurança PIX 500 Series para dispositivos de segurança adaptáveis ASA 5500 Series

Opções de download

  • PDF     (318.4 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (101.8 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (107.1 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:28 de junho de 2016
ID do documento:91976

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento explica como migrar de PIX 500 Series Security Appliances para ASA 5500 Series Adaptive Security Appliances.

Observação: o PIX 501, PIX 506 e PIX 506E não suportam a versão de software 7.

Há duas maneiras de converter uma configuração PIX em uma configuração ASA:

  • Conversão Assistida por Ferramenta

  • Conversão Manual

Conversão automática baseada em ferramentas/assistida por ferramentas

A Cisco recomenda que você use a conversão assistida por ferramentas para converter configurações PIX em configurações ASA.

O método de conversão assistida por ferramentas é mais rápido e mais escalável se você fizer várias conversões. No entanto, a saída do processo em uma configuração intermediária contém tanto a sintaxe antiga quanto a nova sintaxe. Este método depende da instalação da configuração intermediária no aplicativo de segurança adaptável de destino para concluir a conversão. Até que ele seja instalado no dispositivo de destino, você não poderá exibir a configuração final.

Observação: a Cisco lançou a ferramenta de migração de PIX para ASA para ajudar a automatizar o processo de migração para os novos dispositivos ASA. Essa ferramenta pode ser baixada do site de download do PIX Software. Consulte Migração da Configuração do PIX 500 Series Security Appliance para os ASA 5500 Series Adaptive Security Appliances para obter mais informações.

Pré-requisitos

Requisitos de hardware e software

Você pode atualizar o PIX 515, 515E, 525, 535 para a versão 7.0.

Antes de iniciar o processo de atualização para a versão 7.x, a Cisco recomenda que o PIX execute a versão 6.2 ou posterior. Isso garante que a configuração atual seja convertida corretamente. Além disso, esses requisitos de hardware devem ser atendidos para os requisitos mínimos de RAM:

Modelo de PIX Requisitos de RAM
  Restrito (R) Sem Restrição (UR) / Somente Failover (FO)
PIX-515 64 MB* 128 MB*
PIX-515 E 64 MB* 128 MB*
PIX-525 128 MB 256 MB
PIX-535 512 MB 1 GB

Execute o comando show version para determinar a quantidade de RAM atualmente instalada no PIX.

Observação: as atualizações de software do PIX 515 e 515E também podem exigir uma atualização de memória:

  • Aqueles com licenças restritas e 32 MB de memória devem ser atualizados para 64 MB de memória.

  • Aqueles com licenças irrestritas e 64 MB de memória devem ser atualizados para 128 MB de memória.

Consulte esta tabela para obter os números de peça necessários para atualizar a memória nesses dispositivos.

Configuração atual do equipamento Atualizar solução
Licença da plataforma Memória Total (antes da atualização) Número da peça Memória total (após a atualização)
Restrito (R) 32 MB PIX-515-MEM-32= 64 MB
Irrestrito (UR) 32 MB PIX-515-MEM-128= 128 MB
Somente Failover (FO) 64 MB PIX-515-MEM-128= 128 MB

Observação: o número da peça depende da licença instalada no PIX.

A atualização do software versão 6.x para 7.x é perfeita e requer algum trabalho manual, mas estas etapas devem ser concluídas antes de você começar:

  1. Certifique-se de que você não tenha comandos conduit ou outbound/apply em sua configuração atual. Esses comandos não são mais suportados no 7.x e o processo de atualização os remove. Use a ferramenta Conduit Converter para converter esses comandos em listas de acesso antes de tentar a atualização.

  2. Certifique-se de que o PIX não encerre conexões PPTP (Point to Point Tunneling Protocol). A versão 7.x do software atualmente não suporta terminação PPTP.

  3. Copie todos os certificados digitais para conexões VPN no PIX antes de iniciar o processo de atualização.

  4. Leia estes documentos para garantir que você esteja ciente dos comandos novos, alterados e obsoletos:

  5. Planeje a execução da migração durante o tempo de inatividade. Embora a migração seja um processo simples de duas etapas, a atualização do PIX Security Appliance para 7.x é uma grande alteração e requer algum tempo de inatividade.

  6. Faça o download do software 7.x em Cisco Downloads (somente clientes registrados) .

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Dispositivos de segurança ASA 5500 Series

  • PIX Security Appliance 515, 515E, 525 e 535

  • Software PIX versões 6.3, 7.0

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Conversão de configuração manual

Com o processo de conversão manual, você usa um editor de texto para percorrer sua configuração linha por linha e converter comandos específicos do PIX em comandos do ASA.

A conversão manual da configuração do PIX para uma configuração do ASA proporciona a você o maior controle sobre o processo de conversão. No entanto, o processo é demorado e não é escalável se for necessário fazer mais de uma conversão.

Estas três etapas devem ser concluídas para migrar do PIX para o ASA:

  1. Atualize a versão do software PIX para 7.x.

  2. Converta os nomes de interface do software Cisco PIX 7.0 para o formato Cisco ASA.

  3. Copie a configuração do software PIX 7.0 para o Cisco ASA 5500.

Atualize a versão do software PIX para 7.x

Antes de iniciar o processo de atualização real, siga estas etapas:

  1. Execute o comando show running-config ou write net para salvar a configuração atual do PIX em um arquivo de texto ou em um servidor TFTP.

  2. Execute o comando show version para verificar os requisitos, como a RAM. Salve também a saída desse comando em um arquivo de texto. Se precisar reverter para uma versão mais antiga do código, você pode precisar da chave de ativação original.

Se o PIX tiver uma versão do BIOS (Basic Input Output System) anterior à 4.2 ou se você planeja atualizar um PIX 515 ou um PIX 535 com um PDM já instalado, então você deve concluir o procedimento de atualização no modo de monitor em vez de com o método copy tftp flash. Para ver a versão do BIOS, reinicialize o PIX e, com um cabo de console conectado, leia as mensagens na inicialização.

A versão do BIOS é listada em uma mensagem, como:

Rebooting....


CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
64 MB RAM

Observação: os comandos 6.x são convertidos automaticamente em comandos 7.x durante a atualização. A conversão automática de comandos resulta em uma alteração na sua configuração. Você precisa revisar as alterações de configuração após a inicialização do software 7.x para verificar se as alterações automáticas são satisfatórias. Em seguida, salve a configuração na memória flash para garantir que o sistema não converta a configuração novamente na próxima vez que o Security Appliance for inicializado.

Observação: depois que o sistema for atualizado para 7.x, é importante que você não use o utilitário de disco np versão 6.x, como a recuperação de senha, pois ele corrompe a imagem do software 7.x e exige que você reinicie o sistema no modo de monitor. Isso também pode fazer com que você perca sua configuração anterior, o kernel de segurança e as informações principais.

Atualize o PIX Security Appliance com o Comando copy tftp flash

Conclua estes passos para fazer o upgrade do PIX com o uso do comando copy tftp flash.

  1. Copie a imagem binária do dispositivo PIX, por exemplo, pix701.bin, para o diretório raiz do servidor TFTP.

  2. No prompt de ativação, emita o comando copy tftp flash.

    pixfirewall>enable
Password:
 
           

pixfirewall#copy tftp flash

  3. Digite o endereço IP do servidor TFTP.

    Address or name of remote host [0.0.0.0]?

  4. Digite o nome do arquivo no servidor TFTP que você deseja carregar. Este é o nome do arquivo de imagem binário PIX.

    Source file name [cdisk]?

  5. Quando solicitado a iniciar a cópia TFTP, digite yes.

    copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]?yes

  6. A imagem agora é copiada do servidor TFTP para a Flash.

    Essa mensagem é exibida e indica que a transferência foi bem-sucedida, que a imagem binária antiga na Flash foi apagada e que a nova imagem foi gravada e instalada.

    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall#

  7. Recarregue o dispositivo PIX para inicializar a nova imagem.

    pixfirewall#reload
Proceed with reload? [confirm] 
 
           



Rebooting....

  8. O PIX agora inicializa a imagem 7.0 e isso conclui o processo de atualização.

Exemplo de configuração - Atualizar o dispositivo PIX com o comando copy tftp flash

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall# 
pixfirewall#reload
Proceed with reload? [confirm] 
 
         




Rebooting...

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
128 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 7192 Host Bridge 
00 07 00 8086 7110 ISA Bridge 
00 07 01 8086 7111 IDE Controller 
00 07 02 8086 7112 Serial Bus 9
00 07 03 8086 7113 PCI Bridge 
00 0D 00 8086 1209 Ethernet 11
00 0E 00 8086 1209 Ethernet 10
00 13 00 11D4 2F44 Unknown Device 5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash. 
######################################################################
######################################################################
128MB RAM

Total NICs found: 2
mcwa i82559 Ethernet at irq 11 MAC: 0009.4360.ed44
mcwa i82559 Ethernet at irq 10 MAC: 0009.4360.ed43
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


!--- This output indicates that the Flash file 
!--- system is formatted. The messages are normal.

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-27642)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-30053)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-1220)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-22934)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (2502)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (29877)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-13768)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (9350)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-18268)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (7921)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (22821)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (7787)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (15515)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (20019)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-25094)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-7515)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (-10699)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (6652)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (-23640)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (23698)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (-28882)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (2533)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-966)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-22888)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (-9762)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (9747)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (-22855)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-32551)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-13355)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (-29894)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-18595)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (22095)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (1486)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (13559)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (24215)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (21670)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (-24316)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 7, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 12, parent_fileid 0
flashfs[7]: 5 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 5128192
flashfs[7]: Bytes available: 10999808
flashfs[7]: flashfs fsck took 59 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6 
Maximum VLANs : 25 
Inside Hosts : Unlimited 
Failover : Active/Active
VPN-DES : Enabled 
VPN-3DES-AES : Enabled 
Cut-through Proxy : Enabled 
Guards : Enabled 
URL Filtering : Enabled 
Security Contexts : 2 
GTP/GPRS : Disabled 
VPN Peers : Unlimited 

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC (IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5)
--------------------------------------------------------------------------
. . 
| | 
||| ||| 
.|| ||. .|| ||. 
.:||| | |||:..:||| | |||:. 
C i s c o S y s t e m s 
--------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1) 

****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.

A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

!--- These messages are printed for any deprecated commands.

ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 50, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 55, "floodguard enable"

Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 

!--- All current fixups are converted to the new Modular Policy Framework.

INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
pixfirewall>

Observação: execute o comando show version para verificar se o PIX agora está executando a versão de software 7.x.

Observação: para examinar todos os erros ocorridos durante a migração da configuração, execute o comando show startup-config errors. Os erros aparecem nesta saída após você inicializar o PIX pela primeira vez.

Atualizar o PIX Security Appliance a partir do Modo de Monitor

Entre no modo de monitor

Conclua estes passos para entrar no modo de monitor no PIX.

  1. Conecte um cabo de console à porta de console no PIX com o uso destas configurações de comunicação:

    • 9600 bits por segundo

    • 8 bits de dados

    • sem paridade

    • 1 bit de parada

    • nenhum controle de fluxo

  2. Ligue e desligue ou recarregue o PIX. Durante a inicialização, você é solicitado a usar BREAK ou ESC para interromper a inicialização do Flash. Você tem dez segundos para interromper o processo normal de inicialização.

  3. Pressione a tecla ESC ou envie um caractere BREAK para entrar no modo de monitor.

    • Se você usa o Windows Hyper Terminal, pode pressionar a tecla Esc ou pressionar Ctrl+Break para enviar um caractere BREAK.

    • Se você executar telnet através de um servidor de terminal para acessar a porta de console do PIX, será necessário pressionar Ctrl+] (Control + colchete direito) para chegar ao prompt de comando do Telnet. Em seguida, emita o comando send break.

  4. O prompt monitor> é exibido.

  5. Prossiga para a seção Atualização do PIX do Modo de Monitor.

Atualizar o PIX a partir do modo de monitor

Conclua estes passos para atualizar seu PIX do modo de monitor.

  1. Copie a imagem binária do dispositivo PIX, por exemplo, pix701.bin, para o diretório raiz do servidor TFTP.

  2. Entre no modo de monitor no PIX. Se você não souber como fazer isso, consulte Entrar no modo de monitor.

    Observação: no modo de monitor, você pode usar a tecla "?" para ver uma lista de opções disponíveis.

  3. Insira o número da interface à qual o servidor TFTP está conectado ou a interface mais próxima do servidor TFTP. O padrão é interface 1 (interno).

    monitor>interface

    Observação: no modo de monitor, a interface sempre negocia automaticamente a velocidade e o duplex. As configurações da interface não podem ser codificadas. Portanto, se a interface do PIX estiver conectada a um switch que está codificado para velocidade/duplex, reconfigure-o para negociar automaticamente enquanto estiver no modo de monitor. Além disso, lembre-se de que o dispositivo PIX não pode inicializar uma interface Gigabit Ethernet a partir do modo de monitor. Em vez disso, você deve usar uma interface Fast Ethernet.

  4. Insira o endereço IP da interface definida na etapa três.

    monitor>address

  5. Digite o endereço IP do servidor TFTP.

    monitor>server

  6. (Opcional) Digite o endereço IP do gateway. Um endereço de gateway será necessário se a interface do PIX não estiver na mesma rede que o servidor TFTP.

    monitor>gateway

  7. Digite o nome do arquivo no servidor TFTP que você deseja carregar. Este é o nome do arquivo de imagem binário PIX.

    monitor>file

  8. Faça um ping do PIX para o servidor TFTP para verificar a conectividade IP.

    Se os pings falharem, verifique novamente os cabos, o endereço IP da interface do PIX e do servidor TFTP e o endereço IP do gateway (se necessário). Os pings devem ser bem-sucedidos antes de você continuar.

    monitor>ping

  9. Digite tftp para iniciar o download do TFTP.

    monitor>tftp

  10. O PIX baixa a imagem na RAM e a inicializa automaticamente.

    Durante o processo de inicialização, o sistema de arquivos é convertido junto com sua configuração atual. No entanto, você ainda não terminou. Observe esta mensagem de aviso após a inicialização e continue na etapa 11:

    ******************************************************************
  **                                                                    **
  **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
  **                                                                    **
  **          ----> Current image running from RAM only! <----          **
  **                                                                    **
  **  When the PIX was upgraded in Monitor mode the boot image was not  **
  **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
  **  save a bootable image to Flash.  Failure to do so will result in  **
  **  a boot loop the next time the PIX is reloaded.                    **
  **                                                                    **
  ************************************************************************

  11. Uma vez inicializado, entre no modo enable e copie a mesma imagem para o PIX novamente. Desta vez, execute o comando copy tftp flash.

    Isso salva a imagem no sistema de arquivos Flash. Se essa etapa não for concluída, ocorrerá um loop de inicialização na próxima vez que o PIX for recarregado.

    pixfirewall>enable
pixfirewall#copy tftp flash

    Observação: Para obter instruções detalhadas sobre como copiar a imagem com o uso do comando copy tftp flash, consulte a seção Upgrade do PIX Security Appliance com o Comando copy tftp flash.

  12. Depois que a imagem é copiada com o comando copy tftp flash, o processo de atualização é concluído.

    Exemplo de Configuração - Atualização do PIX Security Appliance do Modo de Monitor

    monitor>interface 1 
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
2: i8255X @ PCI(bus:1 dev:0  irq:11)
3: i8255X @ PCI(bus:1 dev:1  irq:11)
4: i8255X @ PCI(bus:1 dev:2  irq:11)
5: i8255X @ PCI(bus:1 dev:3  irq:11)

Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81
monitor>address 10.1.1.2 
address 10.1.1.2 
monitor>server 172.18.173.123 
server 172.18.173.123 
monitor>gateway 10.1.1.1
gateway 10.1.1.1
monitor>file pix701.bin 
file pix701.bin 
monitor>ping 172.18.173.123 
Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds: 
!!!!! 
Success rate is 100 percent (5/5) 
monitor>tftp 
tftp pix701.bin@172.18.173.123.......................................... 
Received 5124096 bytes 

Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar  7 17:39:03 PST 2005
#######################################################################
128MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 10  MAC: 0050.54ff.4d80
mcwa i82559 Ethernet at irq  7  MAC: 0050.54ff.4d81
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2014
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2015
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2016
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2017
BIOS Flash=AT29C257 @ 0xfffd8000
Old file system detected. Attempting to save data in flash
 

!--- This output indicates that the Flash file 
    !--- system is formatted. The messages are normal.    
    
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-10627)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-14252)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-15586)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (5589)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (4680)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-21657)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-28397)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (2198)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-26577)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (30139)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (-17027)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (-2608)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (18180)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (0)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (29271)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (0)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 61...block number was (0)
flashfs[7]: erasing block 61...done.
flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0
flashfs[7]: 9 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 15998976
flashfs[7]: Bytes used: 10240
flashfs[7]: Bytes available: 15988736
flashfs[7]: flashfs fsck took 58 seconds.
flashfs[7]: Initialization complete.

Saving the datafile
!
Saving a copy of old datafile for downgrade
!
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
The version of image file in flash is not bootable in the current version of
software.
Use the downgrade command first to boot older version of software.
The file is being saved as image_old.bin anyway.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
Erasing sector 64...[OK]
Burning sector 64...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6         
Maximum VLANs               : 25        
Inside Hosts                : Unlimited 
Failover                    : Active/Active
VPN-DES                     : Enabled   
VPN-3DES-AES                : Enabled   
Cut-through Proxy           : Enabled   
Guards                      : Enabled   
URL Filtering               : Enabled   
Security Contexts           : 2         
GTP/GPRS                    : Disabled  
VPN Peers                   : Unlimited 

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .                             
                                 |            |                             
                                |||          |||                            
                              .|| ||.      .|| ||.                          
                           .:||| | |||:..:||| | |||:.                       
                            C i s c o  S y s t e m s                        
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1) 

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706


!--- These messages are printed for any deprecated commands.

.ERROR: This command is no longer needed. The LOCAL user database is always enabled.
 *** Output from config line 71, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
 *** Output from config line 76, "floodguard enable"

Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303 

!--- All current fixups are converted to the 
    !--- new Modular Policy Framework.    
    
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
  ************************************************************************
  **                                                                    **
  **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
  **                                                                    **
  **          ----> Current image running from RAM only! <----          **
  **                                                                    **
  **  When the PIX was upgraded in Monitor mode the boot image was not  **
  **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
  **  save a bootable image to Flash.  Failure to do so will result in  **
  **  a boot loop the next time the PIX is reloaded.                    **
  **                                                                    **
  ************************************************************************
Type help or '?' for a list of available commands.
pixfirewall>
pixfirewall>enable
Password:
 
           

pixfirewall# 
pixfirewall#copy tftp flash

Address or name of remote host []? 172.18.173.123

Source filename []? pix701.bin

Destination filename [pix701.bin]? 
 
           


Accessing tftp://172.18.173.123/pix701.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file flash:/pix701.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
5124096 bytes copied in 139.790 secs (36864 bytes/sec)
pixfirewall#

Converter Nomes de Interface do Cisco PIX Software 7.0 para o Formato Cisco ASA

A próxima etapa no processo é editar a configuração recém-convertida com base no Cisco PIX Software 7.0 offline.

Como a convenção de nomenclatura da interface do Cisco ASA é diferente dos Cisco PIX Security Appliances, você precisa fazer alterações na configuração do Cisco PIX antes de copiá-la/carregá-la no Cisco ASA 5500 Series Security Appliance.

Conclua estes passos para fazer as alterações no nome da interface na configuração do PIX:

  1. Copie offline a nova configuração baseada no Cisco PIX Software 7.0. Para fazer isso, carregue a configuração em um servidor TFTP/FTP ou copie a configuração de uma sessão de console em um editor de texto.

    Para carregar a configuração do PIX para um servidor TFTP/FTP, a partir do console, execute este comando:

    copy startup−config tftp://n.n.n.n/PIX7cfg.txt
    or
copy startup−config ftp://n.n.n.n/PIX7cfg.txt

  2. Quando o arquivo de configuração baseado no Cisco PIX Software 7.0 for carregado com êxito no servidor TFTP/FTP (ou for colado/copiado em um editor de texto), abra o Notepad/WordPad ou qualquer editor de texto favorito para alterar os nomes das interfaces na configuração do PIX.

    Os Cisco PIX Security Appliances numeram as interfaces de 0 a n. Os Cisco ASA 5500 Series Security Appliances numeram as interfaces com base no local/slot. As interfaces incorporadas são numeradas de 0/0 a 0/3, e a interface de gerenciamento é Gerenciamento 0/0. As interfaces no módulo SSM 4GE são numeradas de 1/0 a 1/3.

    O Cisco ASA 5510 com uma licença básica que executa o 7.0 tem três portas Fast Ethernet (0/0 a 0/2) mais a interface 0/0 de gerenciamento disponível. O Cisco ASA 5510 com uma licença Security Plus tem todas as cinco interfaces Fast Ethernet disponíveis. O Cisco ASA 5520 e 5540 têm quatro portas Gigabit Ethernet e uma porta de gerenciamento Fast Ethernet. O Cisco ASA 5550 tem oito portas Gigabit Ethernet e uma porta Fast Ethernet.

    Altere os nomes das interfaces na configuração do PIX para o formato de interface ASA.

    Por exemplo:

       
   Ethernet0 ==> Ethernet0/0
   Ethernet1 ==> Ethernet0/1
   GigabitEthernet0 ==> GigabitEthernet0/0

    Consulte a seção "Configuração de Parâmetros de Interface" do Guia de Configuração de Linha de Comando do Cisco Security Appliance Versão 7.0 para obter mais informações.

Copie a configuração do PIX para o ASA

Neste ponto, você tem uma configuração baseada no Cisco PIX Software 7.0 com os nomes de interface modificados prontos para serem copiados ou carregados no Cisco ASA 5500 Series. Há duas maneiras de carregar a configuração baseada no Cisco PIX Software 7.0 no dispositivo Cisco ASA 5500 Series.

Conclua as etapas em Método 1: Cópia/Colagem Manual ou Método 2: Download de TFTP/FTP.

Método 1: Copiar/colar manualmente

Copie a configuração através do método copy/paste do console PIX:

  1. Faça login no Cisco ASA 5500 Series através do console e execute o comando clear config all para limpar a configuração antes de colar a configuração modificada do Cisco PIX Software 7.0.

    ASA#config t
ASA(config)#clear config all

  2. Copie e cole a configuração no console ASA e salve a configuração.

    Observação: certifique-se de que todas as interfaces estejam no estado no shutdown antes de iniciar o teste.

Método 2: Download de TFTP/FTP

O segundo método é fazer o download da configuração baseada no Cisco PIX Software 7.0 de um servidor TFTP/FTP. Para esta etapa, você precisa configurar a interface de gerenciamento no dispositivo Cisco ASA 5500 Series para download de TFTP/FTP:

  1. No console do ASA, emita o seguinte:

    ASA#config t
ASA(config)#interface management 0
ASA(config)#nameif management
ASA(config)#ip add 
          
           
           
             ASA(config)#no shut

    Observação: gerenciamento de rotas (opcional) <ip> <mask> <next-hop>

  2. Uma vez que a interface de gerenciamento esteja configurada, você pode fazer o download da configuração do PIX para o ASA:

    ASA(Config)#copy tftp://
          
          
            /PIX7cfg.txt running-config

  3. Salve a configuração.

Aplicar uma configuração do software PIX versão 6.x ao software ASA versão 7.x

A conversão de uma configuração PIX 6.2 ou 6.3 para um novo ASA Security Appliance é um processo manual. O administrador do ASA/PIX deve converter a sintaxe do PIX 6.x para corresponder à sintaxe do ASA e digitar os comandos na configuração do ASA. Você pode recortar e colar alguns comandos, como o comando access-list. Certifique-se de comparar a configuração do PIX 6.2 ou 6.3 com a nova configuração do ASA para garantir que nenhum erro seja cometido na conversão.

Observação: o Cisco CLI Analyzer (somente clientes registrados) pode ser usado para converter alguns dos comandos mais antigos e não suportados, como apply, outbound ou conduit para a lista de acesso apropriada. As instruções convertidas precisam ser revisadas completamente. É necessário verificar se a conversão corresponde às políticas de segurança.

Observação: o processo de atualização para um novo dispositivo ASA é diferente de uma atualização para um novo dispositivo PIX. Uma tentativa de atualizar para um ASA com o processo PIX gera uma série de erros de configuração no ASA.

Solução de problemas - Conversão manual da configuração

Dispositivo travado em loop de reinicialização

  • Depois de usar o método copy tftp flash para atualizar o PIX e reinicializar, ele fica preso neste loop de reinicialização:

    Cisco Secure PIX Firewall BIOS (4.0) #0: 
Thu Mar  2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash.

    Os dispositivos PIX com versões do BIOS anteriores à 4.2 não podem ser atualizados com o uso do comando copy tftp flash. Você deve atualizá-los com o método Monitor Mode.

  • Depois que o PIX executa o 7.x e reinicializa, ele fica preso neste loop de reinicialização:

    Rebooting....

Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 115200 bytes of image from flash. 

PIX Flash Load Helper

Initializing flashfs...
flashfs[0]: 10 files, 4 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 15998976
flashfs[0]: Bytes used: 1975808
flashfs[0]: Bytes available: 14023168
flashfs[0]: Initialization complete.

Unable to locate boot image configuration

Booting first image in flash

No bootable image in flash. Please download 
an image from a network server in the monitor mode

Failed to find an image to boot

    Se o PIX for atualizado do modo de monitor para 7.0, mas a imagem 7.0 não for recopiada para a Flash após a primeira inicialização do 7.0, quando o PIX for recarregado, ele ficará preso em um loop de reinicialização.

    A resolução é carregar a imagem novamente a partir do modo de monitor. Após a inicialização, você deve copiar a imagem mais uma vez com o uso do método copy tftp flash.

Mensagem de erro

Quando você atualiza com o método copy tftp flash, você vê esta mensagem de erro:

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? y
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Insufficient flash space available for this request:
Size info: request:5066808 current:1966136 delta:3100672 free:2752512
Image not installed
pixfirewall#

Esta mensagem normalmente aparece quando o PIX 515 ou um PIX 535 com PDM já instalado é atualizado com o método copy tftp flash.

Atualize com o método do modo de monitor para resolver isso.

A configuração não parece correta

Depois de atualizar o PIX de 6.x para 7.x, parte da configuração não é migrada corretamente.

A saída do comando show startup-config errors mostra todos os erros ocorridos durante a migração da configuração. Os erros aparecem nesta saída após você inicializar o PIX pela primeira vez. Examine esses erros e tente resolvê-los.

Alguns serviços, como o FTP, não funcionam

Ocasionalmente, alguns serviços, como o FTP, não funcionam após uma atualização.

A inspeção desses serviços não é habilitada após a atualização. Ative a inspeção para os serviços apropriados. Para fazer isso, adicione-os à política de inspeção padrão/global ou crie uma política de inspeção separada para o serviço desejado.

Consulte a seção "Aplicação da Inspeção de Protocolo de Camada de Aplicação" do Guia de Configuração de Linha de Comando do Cisco Security Appliance Versão 7.0 para obter mais informações sobre políticas de inspeção.

Não é possível acessar a Internet quando o Cisco PIX Security Appliance é substituído pelo Cisco Adaptive Security Appliance (ASA)

Use esta seção se não conseguir acessar a Internet após substituir o Cisco PIX Security Appliance pelo Cisco Adaptive Security Appliance (ASA).

Quando você desconecta o PIX da rede e conecta o ASA na rede com um endereço IP de interface externa que é o mesmo que a interface externa do PIX, o roteador upstream ainda tem o mac-address para o PIX correspondente ao Endereço IP de interface externa. Como resultado, ele não pode enviar os pacotes de resposta de volta para o ASA. Para que o ASA funcione, você deve limpar a entrada ARP no roteador upstream para que ele aprenda a entrada do endereço MAC novo/correto. Se você eliminar as entradas ARP quando planeja substituir o PIX pelo ASA, isso resolve o problema de conectividade da Internet. A liberação da entrada ARP deve ser feita pelo ISP no final.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
30-May-2007
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos