ASA/PIX：如何使用CLI升级故障切换对上的软件映像

简介

本文档介绍如何使用CLI升级Cisco ASA 5500系列自适应安全设备故障转移对上的软件映像。

注意：如果直接将安全设备软件从7.0升级（或降级）到7.2，或者直接将ASDM软件从5.0升级（或降级）到5.2，自适应安全设备管理器(ASDM)将无法工作。您必须按增量顺序升级（或降级）。

有关如何在ASA上升级ASDM和软件映像的详细信息，请参阅PIX/ASA：使用ASDM或CLI升级软件映像配置示例

注意：在多情景模式下，无法在所有情景中使用copy tftp flash命令升级或降级PIX/ASA映像；只有系统Exec模式才支持该映像。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 7.0及更高版本的思科自适应安全设备(ASA)

• Cisco ASDM 5.0版及更高版本

注意：有关如何允许ASDM配置ASA的信息，请参阅允许ASDM进行HTTPS访问。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

相关产品

此配置还可与 Cisco PIX 500 系列安全设备软件版本 7.0 及更高版本配合使用。

规则

关于文件规则的信息，请参见Cisco技术提示规则。

配置

对故障切换对执行零停机时间升级

故障转移配置中的两台设备应具有相同的主要（第一个数字）和次要（第二个数字）软件版本。但是，在升级过程中，您不需要在设备上维护版本奇偶校验；您可以在每台设备上运行的软件上使用不同的版本，同时仍保持故障切换支持。为确保长期兼容性和稳定性，Cisco建议您尽快将两台设备升级到同一版本。

有3种升级类型可供选择。这些关键字如下：

1. 维护版本 -您可以从任何维护版本升级到次要版本中的任何其他维护版本。例如，您可以从7.0(1)升级到7.0(4)，而无需首先在二者之间安装维护版本。

2. 次要版本- 您可以从次要版本升级到下一个次要版本。您无法跳过次要版本。例如，您可以从7.0升级到7.1。零停机时间升级不支持从7.0直接升级到7.2；您必须首先升级到7.1

3. Major Release— 您可以将上一个版本的最后一个次要版本升级到下一个主要版本。例如，您可以从7.9升级到8.0，假设7.9是7.x版本中的最后一个次要版本。

升级主用/备用故障切换配置

要升级主用/备用故障切换配置中的两个设备，请完成以下步骤：

1. 将新软件下载到两台设备，并使用boot system命令指定要加载的新映像。

   有关详细信息，请参阅使用CLI升级软件映像和ASDM映像。

2. 通过在活动单元上输入failover reload-standby命令，重新加载备用单元以引导新映像，如下所示：

   active#failover reload-standby
   

3. 当备用单元完成重新加载并且处于Standby Ready状态时，在活动单元上输入no failover active命令，强制活动单元故障切换至备用单元。

   active#no failover active
   

   注意：使用show failover命令验证备用设备是否处于Standby Ready状态。

4. 通过输入reload命令重新加载以前的主用设备（现在是新的备用设备）：

   newstandby#reload
   

5. 当新的备用单元完成重新加载并且处于Standby Ready状态时，请输入failover active命令，将原始主用单元返回到主用状态：

   newstandby#failover active
   

这将完成升级主用/备用故障切换对的过程。

升级主用/主用故障切换配置

要升级主用/主用故障切换配置中的两个设备，请完成以下步骤：

1. 将新软件下载到两台设备，并使用boot system命令指定要加载的新映像。

   有关详细信息，请参阅使用CLI升级软件映像和ASDM映像。

2. 通过在主设备的系统执行空间中输入failover active命令，使两个故障切换组在主设备上都处于活动状态：

   primary#failover active
   

3. 通过在主设备的系统执行空间中输入failover reload-standby命令，重新加载辅助设备以引导新映像：

   primary#failover reload-standby
   

4. 当辅助单元完成重新加载，并且两个故障转移组在该单元上均处于Standby Ready状态时，请在主单元的系统执行空间中使用no failover active命令使辅助单元上的两个故障转移组都处于活动状态：

   primary#no failover active
   

   注意：使用show failover命令验证辅助单元上的两个故障切换组是否均处于Standby Ready状态。

5. 确保主设备上的两个故障转移组均处于Standby Ready状态，然后使用reload 命令重新加载主设备：

   primary#reload
   

6. 如果使用preempt命令配置故障切换组，在抢占延迟过后，它们将自动在指定单元上变为活动状态。如果未使用preempt命令配置故障切换组，则可以使用failover active group命令将它们的指定单元返回到活动状态。

故障排除

%ASA-5-720012： (VPN-Secondary)无法更新备用设备上的IPSec故障转移运行时数据（或） %ASA-6-720012： (VPN-unit)无法更新备用设备上的IPsec故障转移运行时数据

问题

当您尝试升级思科自适应安全设备 (ASA) 时，会显示以下错误消息之一：

%ASA-5-720012： (VPN-Secondary)无法更新备用设备上的IPSec故障转移运行时数据。

%ASA-6-720012： (VPN-unit)无法更新备用设备上的IPsec故障转移运行时数据。

解决方案

这些错误消息是告知性错误。这些消息不影响 ASA 或 VPN 的功能。

当由于备用装置上的对应 IPsec 隧道已删除，而导致 VPN 故障切换子系统无法更新与 IPsec 相关的运行时数据时，会显示这些消息。为了解决这些问题，请在活动单元上运行wr standby命令。

已归档两个Bug以解决此行为；您可以升级到修复这些Bug的ASA软件版本。有关详细信息，请参阅 Cisco Bug ID CSCtj58420 （仅限注册用户）和 CSCtn56517 （仅限注册用户）。

相关信息

• Cisco ASA 5500 系列自适应安全设备
• Cisco 自适应安全设备管理器
• 请求注解 (RFC)
• 技术支持和文档 - Cisco Systems