PIX/ASA — 使用ASDM或CLI升级软件映像

简介

本文档介绍如何使用 Cisco 自适应安全设备管理器 (ASDM) 升级 Cisco ASA 5500 系列自适应安全设备上的软件映像。

如果将安全设备软件从 7.0 直接升级到 7.2（或反向降级）或将 ASDM 软件从 5.0 直接升级到 5.2（或反向降级），则 ASDM 不起作用。升级需要按递增顺序进行。

示例：要执行从5.0到5.2的ASDM软件升级，首先从5.0升级到5.1，然后从5.1升级到5.2。同样，对于安全设备，首先从7.0升级到7.1，然后从7.1升级到7.2。

注：如果要从版本7.1.(x)升级或降级到版本7.2(x)，反之亦然，则必须执行此步骤，因为旧版本的安全设备映像无法识别新的ASDM映像，而新的安全设备映像无法识别旧的ASDM映像。要详细了解升级过程，请参阅 Cisco PIX 安全设备发行版本注释 7.2(2) 版的升级到新软件版本部分。

注意：您不能将ASA 5550降级到早于7.1(2)的软件版本。 同样，您不能将ASA 5505降级到低于7.2的软件版本。有关详细信息，请参阅Cisco ASA 5500系列和PIX 500系列安全设备硬件和软件兼容性。

注意：在多情景模式下，不能使用copy tftp flash命令升级或降级所有情景中的PIX/ASA映像；仅在 System Exec 模式下支持此操作。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Cisco ASA 5500 7.0 及更高版本

• Cisco ASDM 5.0 及更高版本

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

相关产品

此配置还可与 Cisco PIX 500 系列安全设备软件版本 7.0 及更高版本配合使用。

规则

有关文档约定的更多信息，请参考 Cisco 技术提示约定。

下载软件

您可以使用以下链接下载所需的ASA软件映像和ASDM软件映像版本：

• Cisco ASA软件版本下载(仅限注册客户)

• Cisco ASDM软件版本下载(仅限注册客户)

注意：要从Cisco.com下载此软件，您需要有有效的思科用户凭证。

使用 ASDM 5.x 升级软件映像

完成以下这些步骤，以使用 ASDM 升级 ASA 5500 上的软件映像。

1. 从 ASDM 的主窗口中选择 Tools > Upgrade Software...。

   

2. 从下拉菜单中选择要上载的映像类型。

   

3. 单击 Browse Local Files... 或在 Local File Path 字段中键入路径，以指定该软件映像在计算机上的位置。

4. 单击Browse Flash...。

   随后将出现 Browse Flash Dialog 窗口，其中自动输入了相应的文件名。如果不显示文件名，请在 File Name 字段中手动输入该文件名。完成后单击 OK。

   

5. 指定本地和远程文件名后，单击 Upload Image。

   

   ASDM 向闪存写入映像的同时将显示 Status 窗口。

   

   完成后将显示 Information 窗口，指示上载成功。

   

6. 在 Information 窗口中单击 OK，然后单击 Upload Image from Local PC 窗口中的 Close。

7. 选择 Configuration > Properties > Device Administration > Boot Image/Configuration > Edit 以更改引导映像位置。

   

   单击 Browse Flash 以选择或指定 ASA 映像文件。然后单击 OK。

   

8. 选择 File > Save Running Configuration to Flash，以便向闪存存储配置。

   

9. 从主窗口选择 Tools > System Reload，以重新加载设备。

   

10. 此时显示一个新窗口，要求验证重新加载的详细信息。选择 Save the running configuration at the time of reload，然后选择重新加载的时间。

    • Now — 立即重新启动设备。

    • Delay By — 指定从现在起多少分钟或小时后重新加载设备。

    • Schedule at — 指定重新加载设备的时间和日期。

    还可以指定如果计划的重新加载失败，设备是否应立即强制重新加载。选择 On Reload failure, force an immediate reload after，然后指定最大保持时间。这是安全设备在关闭或重新启动之前等待通知其他子系统的时间。经过此时间后，将进行快速（强制）关闭/重新启动。单击 Schedule Reload。

    

11. 重新加载期间，将显示 Reload Status 窗口，表明正在执行重新加载。还提供退出 ASDM 的选项。

    注意：在ASA重新加载后再次启动ASDM。

    

使用 ASDM 5.x 升级 ASDM 映像

完成以下这些步骤，以使用 ASDM 升级 ASA 5500 上的 ASDM 映像。

1. 从 ASDM 的主窗口中选择 Tools > Upgrade Software...。

   

2. 从下拉菜单中选择要上载的映像类型。

   

3. 单击 Browse Local... 或在 Local File Path 字段中键入路径，以指定 ASDM 映像在计算机上的位置。

4. 单击Browse Flash...。

   随后将出现 Browse Flash Dialog 窗口，其中自动输入了相应的文件名。如果不显示文件名，请在 File Name 字段中手动输入该文件名。完成后单击 OK。

   

5. 指定本地和远程文件名后，单击 Upload Image。

   

   ASDM 向闪存写入映像的同时将显示 Status 窗口。

   

   完成后将显示 Information 窗口，指示上载成功。

   

6. 在 Information 窗口中单击 OK，然后单击 Upload Image from Local PC 窗口中的 Close。

7. 选择 Configuration > Properties > Device Administration > Boot Image/Configuration，以更改配置中的 ASDM 映像文件名。

   

   单击 Browse Flash 以选择或指定 ASDM 映像文件。然后单击 OK。

   

8. 选择 File > Save Running Configuration to Flash，以便向闪存存储配置。

   

9. 从主窗口选择 Tools > System Reload，以重新加载设备。

   

10. 此时显示一个新窗口，要求验证重新加载的详细信息。单击 Save the running configuration at the time of reload，然后选择重新加载的时间。

    • Now — 立即重新启动设备。

    • Delay By — 指定从现在起多少分钟或小时后重新加载设备。

    • Schedule at — 指定重新加载设备的时间和日期。

    还可以指定如果计划的重新加载失败，设备是否应立即强制重新加载。选择 On Reload failure, force an immediate reload after，然后指定最大保持时间。这是安全设备在关闭或重新启动之前等待通知其他子系统的时间。经过此时间后，将进行快速（强制）关闭/重新启动。单击 Schedule Reload。

    

11. 重新加载期间，将显示 Reload Status 窗口，表明正在执行重新加载。还提供退出 ASDM 的选项。

    注意：在ASA重新加载后再次启动ASDM。

    

使用 ASDM 6.x 升级软件映像

注意：ASDM 6.x仅在ASA软件映像8.x及更高版本上受支持。

完成以下这些步骤，以使用 ASDM 升级 ASA 5500 上的软件映像：

1. 从 ASDM 的主窗口中选择 Tools > Upgrade Software from Local Computer...。

   

2. 从下拉菜单中选择要上载的映像类型。

   

3. 单击 Browse Local Files... 或在 Local File Path 字段中键入路径，以指定该软件映像在计算机上的位置。此时将自动确定和显示 Flash File System 中的文件路径。如果未显示 Flash File System 中的文件路径，可以手动键入路径，或单击 Browse Flash，然后选择路径。

   

4. 同时指定两个文件路径后，单击 Upload Image。ASDM 向闪存写入映像的同时将显示 Status 窗口。

   

5. 完成后，将出现 Information 窗口，指示上载成功，并要求将此映像设置为引导映像。如果要将新映像设置为引导映像，则单击 Yes；否则，单击 No。

   

6. 如果单击 Yes，则将新映像设置为引导映像，并会显示 Information 框。Click OK.

   

7. 从主窗口选择 Tools > System Reload，以重新加载设备。

   

8. 此时显示一个新窗口，要求验证重新加载的详细信息。选择 Save the running configuration at the time of reload，然后选择重新加载的时间。

   • Now — 立即重新启动设备。

   • Delay By — 指定从现在起多少分钟或小时后重新加载设备。

   • Schedule at — 指定重新加载设备的时间和日期。

   还可以指定如果计划的重新加载失败，设备是否必须立即强制重新加载。选择 On Reload failure, force an immediate reload after，然后指定最大保持时间。这是安全设备在关闭或重新启动之前等待通知其他子系统的时间。经过此时间后，将进行快速（强制）关闭/重新启动。单击 Schedule Reload。

   

9. 重新加载期间，将显示 Reload Status 窗口，表明正在执行重新加载。还提供退出 ASDM 的选项。单击 Exit ASDM，然后在重新加载设备后重新启动 ASDM。

   

使用 ASDM 6.x 升级 ASDM 映像

注意：ASDM 6.x仅在ASA软件映像8.x及更高版本上受支持。

完成以下这些步骤，以使用 ASDM 升级 ASA 5500 上的 ASDM 映像：

1. 从 ASDM 的主窗口中选择 Tools > Upgrade Software from Local Computer...。

   

2. 从下拉菜单中选择要上载的映像类型。

   

3. 单击 Browse Local Files... 或在 Local File Path 字段中键入路径，以指定 ASDM 映像在计算机上的位置。此时将自动确定和显示 Flash File System 中的文件路径。如果未显示 Flash File System 中的文件路径，可以手动键入路径，或单击 Browse Flash，然后选择路径。

   

4. 同时指定两个文件路径后，单击 Upload Image。ASDM 向闪存写入映像的同时将显示 Status 窗口。

   

5. 完成后，将出现 Information 窗口，指示上载成功，并要求将此映像设置为默认的 ASDM 映像。如果要将新映像设置为 ASDM 映像，则单击 Yes；否则，单击 No。

   

6. 如果选择 Yes 以使用新映像作为 ASDM 映像，则会出现 Information 框。Click OK.

   

7. 单击窗口顶部的 Save，以便将运行中的配置保存到闪存。

   

8. 此时将出现一个对话框，要求您进行确认。单击 Apply。

   

9. 单击窗口顶部的 File，然后选择 Exit 关闭 ASDM。

   

10. 此时将出现一个对话框，请求您进行确认。单击 Yes。

    

11. 再次运行 ASDM 以加载新的 ASDM 映像。

    有关详细信息，请参阅此视频：如何使用思科自适应安全设备管理器(ASDM)升级思科自适应安全设备(ASA)上的软件映像

此视频发布到思科支持社区 ，介绍如何使用ASDM升级Cisco ASA上的软件映像：如何使用思科自适应安全设备管理器(ASDM)升级思科自适应安全设备(ASA)上的软件映像

使用 CLI 升级软件映像和 ASDM 映像

升级或降级软件映像以及 PIX/ASA 的 ASDM 映像需要使用 TFTP 服务器。要详细了解 TFTP 服务器的选择，请参阅 TFTP 服务器的选择和使用。

使用 copy tftp flash 命令，可以通过 TFTP 将软件映像下载到防火墙的闪存中。对任何安全设备型号都可以使用 copy tftp flash 命令。所下载的映像将在下次重新加载（重新启动）时提供给安全设备。

以下是 copy tftp flash 命令产生的输出：

copy tftp[:[[//location] [/tftp_pathname]]] [[flash/disk0][:[image | asdm]]]

注意：对于ASA，关键字disk0将替换copy命令中的flash。

如果使用该命令时未指定位置或路径名可选参数，则会通过一系列问题（类似于 Cisco IOS® 软件提出的问题）以交互方式从用户那里获得位置和文件名。如果只输入冒号，则从 tftp-server 命令设置中获取参数。如果提供了其他可选参数，则使用这些值代替相应的 tftp-server 命令设置。如果提供了任一可选参数（如冒号和其后的任何内容），则命令在运行时不提示用户输入。

位置是 IP 地址或通过安全设备命名解析机制解析为 IP 地址的名称，当前该机制是通过 name 和 names 命令进行静态映射。安全设备必须了解如何通过其路由表信息到达此位置。此信息由 IP address、route 或 RIP 命令确定。具体使用哪个命令取决于您的配置。

除了服务器上文件的路径的最后一部分之外，路径名可以包括任何目录名称。路径名不能包含空格。如果目录名称有在 TFTP 服务器而非 copy tftp flash 命令中设置为目录的空格，并且如果将 TFTP 服务器配置为指向从中下载映像的系统上的目录，则只需要使用该系统的 IP 地址和映像文件名。TFTP 服务器接收命令，并根据其根目录信息确定文件的实际位置。然后，服务器将 TFTP 映像下载到安全设备。

升级软件映像以及 ASDM 映像需要使用这些命令，下次重新加载时，这些命令还将此映像作为引导映像。

ASA#copy tftp [[flash:/disk0:][software image name/asdm image name]]

!--- Command to set an image as bootup or specify the !--- ASDM image file. 

ASA(config)#boot system [flash:/disk0:]/[software image name]

!--- Save active configuration to the Flash.

ASA#write memory

!--- Reboot the security appliance and load !--- with the new boot image as per the configuration file.

ASA#reload

示例：

ASA5510#copy tftp disk0:

Address or name of remote host []? 172.16.31.1
Source filename []? asa722-k8.bin
Destination filename [asa722-k8.bin]?
Accessing tftp://172.16.31.1/asa722-k8.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asa722-k8.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
8312832 bytes copied in 163.350 secs (50998 bytes/sec)

ASA5510#show disk0:
-#- --length-- -----date/time------ path
  6 5124096    Jan 01 2003 00:06:22 asa702-k8.bin
  7 5623108    Feb 12 2007 00:23:48 asdm-522.bin
 10 5539756    Feb 12 2007 00:14:18 asdm-521.bin
 11 8294400    Dec 07 2006 05:47:20 asa721-24-k8.bin
 12 6002680    Dec 21 2006 03:58:30 asdm-52034.bin
 13 8312832    Feb 12 2007 22:46:30 asa722-k8.bin

23949312 bytes available (38932480 bytes used)

!--- Command to set "asa722-k8.bin" as the boot image.

ASA5510(config)# boot system disk0:/asa722-k8.bin

!--- Command to set "asdm-522.bin" as the ASDM image.

ASA5510(config)# asdm image disk0:/asdm-522.bin
ASA5510# write memory
ASA5510# reload

注意：当您尝试从FTP服务器升级ASA上的映像时，可以使用copy ftp flash命令进行升级。此命令允许您指定参数，如远程IP地址和源文件名。此过程类似于TFTP。但是，其中一个限制是您无法修改远程IP/源接口（与TFTP一样）。 在TFTP模式下，可以提取并执行使用tftp-server命令指定的选项。但是，使用FTP时，没有这种选择。默认情况下，源接口应始终为outside，该接口无法修改。即，FTP服务器应可从外部接口访问。

验证

使用本部分确认软件升级是否成功。

命令输出解释程序（仅限注册用户）(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

ASA 重新加载，并且您已成功再次登录到 ASDM 后，可以验证设备上运行的映像的版本。有关此信息，请参阅主窗口上的 General 选项卡。

以下CLI命令用于验证升级：

1. Show version — 显示ASA启动的当前映像。

2. Show bootvar — 显示重新加载后要使用的映像的优先级。

3. Show asdm image — 显示ASA使用的当前asdm映像。

故障排除

目前没有针对此配置的故障排除信息。

相关信息

• 将软件或配置文件下载到闪存，Cisco 安全设备命令行配置指南
• Cisco ASA 5500 系列自适应安全设备产品支持
• Cisco 自适应安全设备管理器产品支持
• Cisco PIX 防火墙软件
• Cisco Secure PIX 防火墙命令参考
• 安全产品 Field Notices（包括 PIX）
• TFTP 服务器的选择和使用
• 备份和还原 PIX 配置文件
• 请求注解 (RFC)
• ASA 8.3升级 — 您需要了解的内容
• 技术支持和文档 - Cisco Systems