Cisco Secure Firewall ASA 升级指南

升级 Firepower 1000、2100、Cisco Secure Firewall 3100

本文档介绍如何在 Firepower 1000、2100、Cisco Secure Firewall 3100 上为单机或故障转移计划和实施 ASA、FXOS 和 ASDM 升级。

对于 9.12 及更低版本中的 Firepower 2100，仅平台模式可用。在 9.13 及更高版本中，设备模式为默认模式。在 ASA CLI 中使用 show fxos mode 命令检查模式。

在 Cisco Secure Firewall 3100 的设备模式下升级 Firepower 1000、2100

本文档介绍如何在 Cisco Secure Firewall 3100 的设备模式下为 Firepower 1000、2100 的单机或故障转移部署计划和实施 ASA、FXOS 和 ASDM 升级。在版本9.13之前，Firepower 2100仅支持平台模式。在9.14及更高版本中，设备模式为默认模式。在9.14及更高版本中，使用ASA上的命令确定当前模式。show fxos mode 有关平台模式的程序，请参阅。在平台模式下升级 Firepower 2100

升级独立设备

使用 CLI 或 ASDM 升级独立设备。

使用 CLI 升级独立设备

本节介绍如何在 Cisco Secure Firewall 3100 的设备模式下为 Firepower 1000、Firepower 2100 上安装 ASDM 和 ASA 映像。

开始之前

此程序使用 FTP。对于 TFTP、HTTP 或其他服务器类型，请参阅 ASA 命令参考中的 copy 命令。

过程

步骤 1	在特权 EXEC 模式下，将 ASA 软件复制到闪存。 copy ftp://[[`用户`[:`密码`]@]`服务器`[/`路径`]/`asa_image_name` disk`n`:/[`路径`/]`asa_image_name` 示例: `ciscoasa# copy ftp://jcrichton:aeryn@10.1.1.1/cisco-asa-fp1k.9.14.1.SPA disk0:/cisco-asa-fp1k.9.14.1.SPA`
步骤 2	将 ASDM 映像复制到闪存中。 copy ftp://[[`用户`[:`密码`]@]`服务器`[/`路径`]/`asdm_image_name` disk`n`:/[`路径`/]`asdm_image_name` 示例: `ciscoasa# copy ftp://jcrichton:aeryn@10.1.1.1/asdm-7141.bin disk0:/asdm-7141.bin`
步骤 3	访问全局配置模式。 configure terminal 示例: `ciscoasa# configure terminal ciscoasa(config)#`
步骤 4	显示当前配置的引导映像（如存在）。 show running-config boot system 请注意，您的配置中不能有 boot system 命令；例如，如果您从 ROMMON 安装了映像、有新设备，或者手动删除了该命令。示例: `ciscoasa(config)# show running-config boot system boot system disk0:/cisco-asa-fp1k.9.13.1.SPA`
步骤 5	如果boot system 已配置命令，请将其删除，以便您可以输入新的引导映像。 no boot system disk`n`:/[`path`/]`asa_image_name` 如果未配置 boot system 命令，请跳过此步骤。示例: `ciscoasa(config)# no boot system disk0:/cisco-asa-fp1k.9.13.1.SPA`
步骤 6	将 ASA 映像设置为引导映像（您刚上传的映像）。 boot system disk`n`:/[`path`/]`asa_image_name` 只能输入 boot system 命令。此 boot system 命令会在您输入时执行操作：系统验证并解压缩映像，并将其复制到引导位置（FXOS 管理的 disk0 上的内部位置）。重新加载 ASA 时，系统将加载新图像。如果在重新加载之前改变主意，可以输入无引导系统命令从引导位置删除新映像，以便当前映像将继续运行。示例: ciscoasa(config)# boot system disk0:/cisco-asa-fp1k.9.14.1.SPA The system is currently installed with security software package 9.13.1, which has: - The platform version: 2.7.1 - The CSP (asa) version: 9.13.1 Preparing new image for install... !!!!!!!!!!!!! Image download complete (Successful unpack the image). Installation of version 9.14.1 will do the following: - upgrade to the new platform version 2.8.1 - upgrade to the CSP ASA version 9.14.1 After the installation is complete, reload to apply the new image. Finalizing image install process... Install_status: ready........... Install_status: validating-images..... Install_status: update-software-pack-completed ciscoasa(config)#
步骤 7	设置要使用的 ASDM 映像（您刚上传的映像）。 asdm image disk`n`:/[`path`/]`asdm_image_name` 您只能配置一个要使用的 ASDM 映像，在这种情况下您不需要先删除现有配置。示例: `ciscoasa(config)# asdm image disk0:/asdm-7141.bin`
步骤 8	将新设置保存至启动配置： write memory
步骤 9	重新加载 ASA： reload

使用 ASDM 从本地计算机升级独立设备

使用本地计算机中的升级软件工具，可将映像文件从计算机上传到闪存文件系统以便在 Cisco Secure Firewall 3100 的设备模式下升级 Firepower 1000、Firepower 2100。

过程

步骤 1	在主 ASDM 应用窗口中，依次选择工具 > 从本地计算机升级软件。系统将显示升级软件对话框。
步骤 2	从要上传的映像下拉列表中选择 ASDM。
步骤 3	在本地文件路径字段中，点击浏览本地文件以查找您的 PC 上的文件。
步骤 4	在闪存文件系统路径字段中，点击浏览闪存以在闪存文件系统中查找目录或文件。
步骤 5	点击上传映像。上传过程可能需要数分钟。
步骤 6	系统会提示您将此映像设置为 ASDM 映像。点击是。
步骤 7	系统会提示您退出 ASDM 并保存配置。点击确定。您会退出 Upgrade 工具。注意：在升级 ASA 软件之后，您将保存配置并重新连接到 ASDM。
步骤 8	重复上述步骤，从要上传的映像下拉列表中选择 ASA。您也可以使用此程序上传其他文件类型。
步骤 9	依次选择工具 > 重新加载系统以重新加载 ASA。系统将显示新窗口，要求您确认重新加载的详细信息。点击重新加载时保存运行配置单选按钮（默认）。选择重新加载的时间（例如，默认值 Now）。点击计划重新加载。重新加载开始后，系统将显示重新加载状态窗口，指示正在执行重新加载。系统还提供了退出 ASDM 的选项。
步骤 10	在 ASA 重新加载后，重启 ASDM。您可以从控制台端口检查重新加载状态，也可以等待几分钟，并尝试使用 ASDM 进行连接，直到成功。

使用 ASDM Cisco.com 向导升级独立设备

Cisco.com 向导中的升级软件工具允许您在 Cisco Secure Firewall 3100 的设备模式下为 Firepower 1000、Firepower 2100 将 ASDM 和 ASA 升级为更新的版本。

在此向导中，您可以执行以下操作：

选择 ASA 映像文件和/或 ASDM 映像文件以执行升级。

注	ASDM 会下载最新的映像版本，其版本号包括内部版本号。例如，如果要下载 9.9(1)，则下载可能是 9.9(1.2)。这是预期行为，因此您可以继续执行计划的升级。

查看您所做的升级更改。
下载一个或多个映像，并进行安装。
查看安装的状态。
如果安装成功完成，请重新加载 ASA 以保存配置并完成升级。

开始之前

由于内部更改，此向导仅支持使用 ASDM 7.10(1) 及更高版本；此外，由于映像命名更改，您必须使用 ASDM 7.12(1) 或更高版本以升级到 ASA 9.10(1) 及更高版本。由于 ASDM 向后兼容较早的 ASA 版本，因此您可以升级 ASDM，无论您运行的是哪个 ASA 版本。

过程

步骤 1

依次选择工具 > 检查 ASA/ASDM 更新。

在多情景模式中，从“系统”访问此菜单。

系统将显示 Cisco.com 身份验证对话框。

步骤 2

输入 Cisco.com 用户名和密码，然后点击 Login。

系统将显示 Cisco.com 升级向导。

注	如果无可用升级，系统将显示对话框。点击确定退出向导。

步骤 3

点击下一步显示选择软件屏幕。

系统将显示当前的 ASA 版本和 ASDM 版本。

步骤 4

如要升级 ASA 版本和 ASDM 版本，请执行以下步骤：

在 ASA 区域，选中升级到复选框，然后从下拉列表中选择要升级的目标 ASA 版本。
在 ASDM 区域，选中升级到复选框，然后从下拉列表中选择要升级的目标 ASDM 版本。

步骤 5

点击下一步，显示检查更改屏幕。

步骤 6

请验证以下项目：

已下载的文件是正确的 ASA 映像文件和/或 ASDM 映像文件。
希望上传的文件是正确的 ASA 映像文件和/或 ASDM 映像文件。
已选择正确的 ASA 启动映像。

步骤 7

点击下一步，开始升级安装。

然后，您可以在升级安装过程中查看其状态。

系统将显示结果屏幕，其中提供详细信息，如升级安装状态（成功或失败）。

步骤 8

如果升级安装成功，为了使升级版本生效，请选中 Save configuration and reload device now 复选框来重新启动 ASA，然后重新启动 ASDM。

步骤 9

点击完成，退出向导，保存对配置的更改。

注	如要升级到下一个较高版本（如可用），您必须重新启动向导。

步骤 10

在 ASA 重新加载后，重启 ASDM。

您可以从控制台端口检查重新加载状态，也可以等待几分钟，并尝试使用 ASDM 进行连接，直到成功。

升级主用/备用故障转移对

使用 CLI 或 ASDM 升级主用/备用故障转移对，以实现零停机升级。

使用 CLI 升级主用/备用故障转移对

要在 Cisco Secure Firewall 3100 的设备模式下为 Firepower 1000、Firepower 2100 升级主用/备用故障转移对，请执行以下步骤。

开始之前

在主用设备上执行以下步骤。对于 SSH 访问，请连接到主用 IP 地址；主用设备始终拥有此 IP 地址。当连接到 CLI 时，通过查看 ASA 提示符确定故障转移状态；您可以配置 ASA 提示符以显示故障转移状态和优先级（主设备或辅助设备），这可用于确定连接到的设备。请参阅 prompt 命令。或者，输入 show failover 命令，以查看此设备的状态和优先级（主设备或辅助设备）。
此程序使用 FTP。对于 TFTP、HTTP 或其他服务器类型，请参阅 ASA 命令参考中的 copy 命令。

过程

步骤 1

在主用设备的特权 EXEC 模式下，将 ASA 软件复制到主用设备闪存：

copy ftp://[[用户[:密码]@]服务器[/路径]/asa_image_name diskn:/[路径/]asa_image_name

示例:


asa/act# copy ftp://jcrichton:aeryn@10.1.1.1/cisco-asa-fp1k.9.14.1.SPA disk0:/cisco-asa-fp1k.9.14.1.SPA

步骤 2

将软件复制到备用设备；请确保指定与主用设备相同的路径：

failover exec mate copy /noconfirm ftp://[[用户[:密码]@]服务器[/路径]/asa_image_name diskn:/[路径/]asa_image_name

示例:


asa/act# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/cisco-asa-fp1k.9.14.1.SPA disk0:/cisco-asa-fp1k.9.14.1.SPA

步骤 3

将 ASDM 映像复制至主用设备闪存：

copy ftp://[[用户[:密码]@]服务器[/路径]/asdm_image_name diskn:/[路径/]asdm_image_name

示例:


asa/act# copy ftp://jcrichton:aeryn@10.1.1.1/asdm-7141.bin disk0:/asdm-7141.bin

步骤 4

将 ASDM 映像复制至备用设备；请确保指定与主用设备相同的路径：

failover exec mate copy /noconfirm ftp://[[用户[:密码]@]服务器[/路径]/asdm_image_name diskn:/[路径/]asdm_image_name

示例:


asa/act# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asdm-7141.bin disk0:/asdm-7141.bin.bin

步骤 5

如果您当前未处于全局配置模式，请访问全局配置模式：

configure terminal

步骤 6

显示当前配置的引导映像（如存在）。

show running-config boot system

请注意，您的配置中不能有 boot system 命令；例如，如果您从 ROMMON 安装了映像、有新设备，或者手动删除了该命令。

示例:


ciscoasa(config)# show running-config boot system
boot system disk0:/cisco-asa-fp1k.9.13.1.SPA

步骤 7

如果boot system 已配置命令，请将其删除，以便您可以输入新的引导映像。

no boot system diskn:/[path/]asa_image_name

如果未配置 boot system 命令，请跳过此步骤。

示例:


ciscoasa(config)# no boot system disk0:/cisco-asa-fp1k.9.13.1.SPA

步骤 8

将 ASA 映像设置为引导映像（您刚上传的映像）。

boot system diskn:/[path/]asa_image_name

只能输入 boot system 命令。此 boot system 命令会在您输入时执行操作：系统验证并解压缩映像，并将其复制到引导位置（FXOS 管理的 disk0 上的内部位置）。重新加载 ASA 时，系统将加载新图像。如果在重新加载之前改变主意，可以输入无引导系统命令从引导位置删除新映像，以便当前映像将继续运行。

示例:


ciscoasa(config)# boot system disk0:/cisco-asa-fp1k.9.14.1.SPA

The system is currently installed with security software package 9.13.1, which has:
   - The platform version:  2.7.1
   - The CSP (asa) version: 9.13.1
Preparing new image for install...
!!!!!!!!!!!!!
Image download complete (Successful unpack the image).
Installation of version 9.14.1 will do the following:
   - upgrade to the new platform version 2.8.1
   - upgrade to the CSP ASA version 9.14.1
After the installation is complete, reload to apply the new image.
Finalizing image install process...
 
Install_status: ready...........
Install_status: validating-images.....
Install_status: update-software-pack-completed
ciscoasa(config)#

步骤 9

设置要使用的 ASDM 映像（您刚上传的映像）：

asdm image diskn:/[路径/]asdm_image_name

示例:


asa/act(config)# asdm image disk0:/asdm-7141.bin

您只能配置一个要使用的 ASDM 映像，在这种情况下您不需要先删除现有配置。

步骤 10

将新设置保存至启动配置：

write memory

这些配置更改会自动保存到备用设备上。

步骤 11

重新加载备用设备，以便启动新映像：

failover reload-standby

等待备用设备完成加载。使用 show failover 命令确认备用设备处于备用就绪状态。

步骤 12

强行要求主用设备故障转移至备用设备。

no failover active

如果您从 SSH 会话中断开连接，请重新连接到主 IP 地址（现位于新的主用/以前的备用设备上）。

步骤 13

在新的主用设备上，重新加载以前的主用设备（现为新的备用设备）。

failover reload-standby

示例:


asa/act# failover reload-standby

注	如果连接到以前的主用设备控制台端口，应改为输入 reload 命令来重新加载以前的主用设备。

使用 ASDM 升级主用/备用故障转移对

要升级主用/备用故障转移对，请在 Cisco Secure Firewall 3100 的设备模式下对 Firepower 1000、Firepower 2100 执行以下步骤。

开始之前

将 ASA 和 ASDM 映像放置在本地管理计算机上。

过程

步骤 1	通过连接到备用 IP 地址，在备用设备上启动 ASDM。
步骤 2	在主 ASDM 应用窗口中，依次选择工具 > 从本地计算机升级软件。系统将显示升级软件对话框。
步骤 3	从要上传的映像下拉列表中选择 ASDM。
步骤 4	在本地文件路径 (Local File Path) 字段中，输入指向计算机中文件的本地路径，或者点击浏览本地文件 (Browse Local Files) 在计算机中查找该文件。
步骤 5	在 Flash 文件系统路径 (Flash File System Path) 字段中，输入闪存文件系统的路径，或者点击浏览 Flash (Browse Flash) 在 Flash 文件系统中查找目录或文件。
步骤 6	点击上传映像。上传过程可能需要数分钟。系统提示您将此映像设置为 ASDM 映像时，点击否 (No)。您会退出 Upgrade 工具。
步骤 7	重复这些步骤，从要上传的映像下拉列表中选择 ASA。当系统提示您将此映像设置为 ASA 映像时，点击否 (No)。您会退出 Upgrade 工具。
步骤 8	通过连接到主 IP 地址，将 ASDM 连接到主用设备，然后使用与您用于备用设备相同的文件位置上传 ASDM 软件。
步骤 9	当系统提示您将该映像设置为 ASDM 映像时，点击是 (Yes)。系统会提示您退出 ASDM 并保存配置。点击确定。您会退出 Upgrade 工具。注意：在升级 ASA 软件之后，您将保存配置并重新加载 ASDM。
步骤 10	使用与备用设备相同的文件位置上传 ASA 软件。
步骤 11	当系统提示您将该映像设置为 ASA 映像时，点击是 (Yes)。系统将提示您重新加载 ASA 以使用新映像。点击确定。您会退出 Upgrade 工具。
步骤 12	点击工具栏上的保存图标，保存配置更改。这些配置更改将自动保存在备用设备上。
步骤 13	通过依次选择监控 > 属性 > 故障转移 > 状态，然后点击重新加载备用，重新加载备用设备。留在系统窗格中，以监控备用设备何时重新加载。
步骤 14	重新加载备用设备后，强制主用设备执行故障转移到备用设备，方法为：选择监控 > 属性 > 故障转移 > 状态，然后点击设为备用。 ASDM 将自动重新连接到新主用设备。
步骤 15	重新加载（新）备用设备，方法为：选择监控 > 属性 > 故障转移 > 状态，然后点击重新加载备用。

升级主用/主用故障转移对

使用 CLI 或 ASDM 升级主用/主用故障转移对，以实现零停机升级。

使用 CLI 升级主用/主用故障转移对

要在主用/主用故障转移配置中升级两台设备，请在 Cisco Secure Firewall 3100 的设备模式下对 Firepower 1000、Firepower 2100 执行以下步骤。

开始之前

在主设备上执行这些步骤。
在系统执行空间中执行以下步骤。
此程序使用 FTP。对于 TFTP、HTTP 或其他服务器类型，请参阅 ASA 命令参考中的 copy 命令。

过程

步骤 1

在主设备的特权 EXEC 模式下，将 ASA 软件复制到闪存：

copy ftp://[[用户[:密码]@]服务器[/路径]/asa_image_name diskn:/[路径/]asa_image_name

示例:


asa/act/pri# copy ftp://jcrichton:aeryn@10.1.1.1/cisco-asa-fp1k.9.14.1.SPA disk0:/cisco-asa-fp1k.9.14.1.SPA

步骤 2

将软件复制至辅助设备；请确保指定与主设备相同的路径：

failover exec mate copy /noconfirm ftp://[[用户[:密码]@]服务器[/路径]/asa_image_name diskn:/[路径/]asa_image_name

示例:


asa/act/pri# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/cisco-asa-fp1k.9.14.1.SPA disk0:/cisco-asa-fp1k.9.14.1.SPA

步骤 3

将 ASDM 映像复制至主设备闪存：

copy ftp://[[用户[:密码]@]服务器[/路径]/asdm_image_name diskn:/[路径/]asdm_image_name

示例:


asa/act/pri# ciscoasa# copy ftp://jcrichton:aeryn@10.1.1.1/asdm-7141.bin disk0:/asdm-7141.bin

步骤 4

将 ASDM 映像复制到辅助设备中；务必指定与主设备相同的路径：

failover exec mate copy /noconfirm ftp://[[用户[:密码]@]服务器[/路径]/asdm_image_name diskn:/[路径/]asdm_image_name

示例:


asa/act/pri# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asdm-7141.bin disk0:/asdm-7141.bin

步骤 5

如果您当前未处于全局配置模式，请访问全局配置模式：

configure terminal

步骤 6

显示当前配置的引导映像（如存在）。

show running-config boot system

请注意，您的配置中不能有 boot system 命令；例如，如果您从 ROMMON 安装了映像、有新设备，或者手动删除了该命令。

示例:


ciscoasa(config)# show running-config boot system
boot system disk0:/cisco-asa-fp1k.9.13.1.SPA

步骤 7

如果boot system 已配置命令，请将其删除，以便您可以输入新的引导映像。

no boot system diskn:/[path/]asa_image_name

如果未配置 boot system 命令，请跳过此步骤。

示例:


ciscoasa(config)# no boot system disk0:/cisco-asa-fp1k.9.13.1.SPA

步骤 8

将 ASA 映像设置为引导映像（您刚上传的映像）。

boot system diskn:/[path/]asa_image_name

示例:


ciscoasa(config)# boot system disk0:/cisco-asa-fp1k.9.14.1.SPA

The system is currently installed with security software package 9.13.1, which has:
   - The platform version:  2.7.1
   - The CSP (asa) version: 9.13.1
Preparing new image for install...
!!!!!!!!!!!!!
Image download complete (Successful unpack the image).
Installation of version 9.14.1 will do the following:
   - upgrade to the new platform version 2.8.1
   - upgrade to the CSP ASA version 9.14.1
After the installation is complete, reload to apply the new image.
Finalizing image install process...
 
Install_status: ready...........
Install_status: validating-images.....
Install_status: update-software-pack-completed
ciscoasa(config)#

步骤 9

设置要使用的 ASDM 映像（您刚上传的映像）。

asdm image diskn:/[path/]asdm_image_name

示例:


asa/act/pri(config)# asdm image disk0:/asdm-7141.bin

您只能配置一个要使用的 ASDM 映像，在这种情况下您不需要先删除现有配置。

步骤 10

将新设置保存至启动配置。

write memory

这些配置更改会自动保存到辅助设备上。

步骤 11

使两个故障转移组在主设备上均处于活动状态。

failover active group 1

failover active group 2

示例:


asa/act/pri(config)# failover active group 1
asa/act/pri(config)# failover active group 2

步骤 12

重新加载辅助设备，以便启动新映像：

failover reload-standby

等待辅助设备完成加载。使用 show failover 命令确认两个故障转移组均处于备用就绪状态。

步骤 13

强行要求两个故障转移组在辅助设备上变为活动状态：

no failover active group 1

no failover active group 2

示例:


asa/act/pri(config)# no failover active group 1
asa/act/pri(config)# no failover active group 2
asa/stby/pri(config)#

如果您从 SSH 会话中断开连接，请重新连接到故障转移组 1 IP 地址（现位于辅助设备上）。

步骤 14

重新加载主设备：

failover reload-standby

示例:


asa/act/sec# failover reload-standby

注	如果已连接到主设备控制台端口，应改为输入 reload 命令来重新加载主设备。

您可能从 SSH 会话中断开连接。

步骤 15

如果故障转移组配置了 preempt 命令，则抢占延迟过后，它们将在其指定设备上自动变为主用状态。

使用 ASDM 升级主用/主用故障转移对

要在主用/主用故障转移配置中升级两台设备，请在 Cisco Secure Firewall 3100 的设备模式下对 Firepower 1000、Firepower 2100 执行以下步骤。

开始之前

在系统执行空间中执行以下步骤。
将 ASA 和 ASDM 映像放置在本地管理计算机上。

过程

步骤 1	通过连接到故障转移组 2 中的管理地址，在辅助设备上启动 ASDM。
步骤 2	在主 ASDM 应用窗口中，依次选择工具 > 从本地计算机升级软件。系统将显示升级软件对话框。
步骤 3	从要上传的映像下拉列表中选择 ASDM。
步骤 4	在本地文件路径 (Local File Path) 字段中，输入指向计算机中文件的本地路径，或者点击浏览本地文件 (Browse Local Files) 在 PC 中查找文件。
步骤 5	在 Flash 文件系统路径 (Flash File System Path) 字段中，输入闪存文件系统的路径，或者点击浏览 Flash (Browse Flash) 在闪存文件系统中查找目录或文件。
步骤 6	点击上传映像。上传过程可能需要数分钟。系统提示您将此映像设置为 ASDM 映像时，点击否 (No)。您会退出 Upgrade 工具。
步骤 7	重复上述步骤，从要上传的映像下拉列表中选择 ASA。当系统提示您将此映像设置为 ASA 映像时，点击否 (No)。您会退出 Upgrade 工具。
步骤 8	通过连接至故障转移组 1 中的管理 IP 地址，将 ASDM 连接至主设备，并使用辅助设备上所用的相同文件位置上传 ASDM 软件。
步骤 9	当系统提示您将该映像设置为 ASDM 映像时，点击是 (Yes)。系统会提示您退出 ASDM 并保存配置。点击确定。您会退出 Upgrade 工具。注意：在升级 ASA 软件之后，您将保存配置并重新加载 ASDM。
步骤 10	使用与辅助设备相同的文件位置上传 ASA 软件。
步骤 11	当系统提示您将该映像设置为 ASA 映像时，点击是 (Yes)。系统将提示您重新加载 ASA 以使用新映像。点击确定。您会退出 Upgrade 工具。
步骤 12	点击工具栏上的保存图标，保存配置更改。这些配置更改在辅助设备上会自动保存。
步骤 13	通过选择监控 > 故障转移 > 故障转移组号（其中编号是您要移动至主设备的故障转移组的编号）并点击设为主用，使两个故障转移组在主设备上均处于活动状态。
步骤 14	重新加载辅助设备，方法为：选择监控 > 故障转移 > 系统，然后点击重新加载备用。保持在系统窗格上，以监控辅助设备何时加载。
步骤 15	辅助设备启动后，通过选择监控 > 故障转移 > 故障转移组号（其中号是您要移动至辅助设备的故障转移组的编号）并点击设为备用，使两个故障转移组在辅助设备上均处于活动状态。 ASDM 将自动重新连接到辅助设备上的故障转移组 1 IP 地址。
步骤 16	重新加载主设备，方法为：选择监控 > 故障转移 > 系统，然后点击重新加载备用。
步骤 17	如果故障转移组被配置为“启用抢占”，在抢占延迟过后，它们会在其指定设备上自动变为活动状态。ASDM 将自动重新连接到主设备上的故障转移组 1 IP 地址。

在平台模式下升级 Firepower 2100

本文档介绍如何处于平台模式下的 Firepower 2100 的单机或故障转移部署计划和实施 ASA、FXOS 和 ASDM 升级。在版本9.13之前，Firepower 2100仅支持平台模式。在9.14及更高版本中，设备模式为默认模式。在9.14及更高版本中，使用ASA上的命令确定当前模式。show fxos mode 有关设备模式的程序，请参阅。在 Cisco Secure Firewall 3100 的设备模式下升级 Firepower 1000、2100

升级独立设备

使用 FXOS CLI 或 Firepower 机箱管理器升级独立设备。

使用 Firepower 机箱管理器升级独立设备

本部分介绍如何升级独立设备的 ASA 捆绑包。您将从管理计算机上传软件包。

过程

步骤 1	连接 Firepower 机箱管理器。
步骤 2	依次选择系统 > 更新。可用更新部分显示机箱上的可用软件包列表。
步骤 3	点击上传映像，从管理计算机上传新软件包。
步骤 4	点击选择文件，导航到并选择要上传的软件包。
步骤 5	点击上传。所选软件包将上传到机箱。上传映像对话框显示上传状态。等待出现成功对话框，然后点击确定。完成上传后，系统会自动验证映像的完整性。
步骤 6	点击新软件包右侧的升级图标。
步骤 7	点击是以确认要继续安装。没有指示正在加载新软件包的指标。在升级过程开始时，仍会看到 Firepower 机箱管理器。系统重新引导时，会将您注销。您必须等待系统恢复，然后才能登录 Firepower 机箱管理器。重新引导过程大约需要 20 分钟。重新引导后，您将看到登录屏幕。

使用 FXOS CLI 升级独立设备

本部分介绍如何升级独立设备的 ASA 捆绑包。可以使用 FTP、SCP、SFTP 或 TFTP 将软件包复制到 Firepower 2100 机箱。

过程

步骤 1	通过控制台端口（首选）或使用 SSH 连接到 FXOS CLI。
步骤 2	将软件包下载到机箱。进入固件模式。 scope firmware 示例: `firepower-2110# scope firmware firepower-2110 /firmware#` 下载软件包。 download image `url` 使用以下各项之一，为正在导入的文件指定 URL： ftp://`username`@`server`/[`path`/]`image_name` scp://`username`@`server`/[`path`/]`image_name` sftp://`username`@`server`/[`path`/]`image_name` tftp://`server`[:`port`]/[`path`/]`image_name` 示例: `firepower-2110 /firmware# download image tftp://10.88.29.181/cisco-asa-fp2k.9.8.2.2.SPA Please use the command 'show download-task' or 'show download-task detail' to check download progress.` 监控下载过程。 show download-task 示例: `firepower-2110 /firmware # show download Download task: File Name Protocol Server Port Userid State --------- -------- --------------- ---------- --------------- ----- cisco-asa-fp2k.9.8.2.SPA Tftp 10.88.29.181 0 Downloaded cisco-asa-fp2k.9.8.2.2.SPA Tftp 10.88.29.181 0 Downloading firepower-2110 /firmware #`
步骤 3	当新软件包完成下载（已下载状态）时，启动软件包。查看新软件包的版本号。 show package 示例: `firepower-2110 /firmware # show package Name Package-Vers --------------------------------------------- ------------ cisco-asa-fp2k.9.8.2.SPA 9.8.2 cisco-asa-fp2k.9.8.2.2.SPA 9.8.2.2 firepower-2110 /firmware #` 安装软件包。 scope auto-install install security-pack version `version` 在 show package 输出中，复制与 security-pack version 号对应的 Package-Vers 值。机箱会安装 ASA 映像并重新启动。示例: firepower-2110 /firmware # scope auto-install firepower-2110 /firmware/auto-install # install security-pack version 9.8.3 The system is currently installed with security software package 9.8.2, which has: - The platform version: 2.2.2.52 - The CSP (asa) version: 9.8.2 If you proceed with the upgrade 9.8.3, it will do the following: - upgrade to the new platform version 2.2.2.97 - upgrade to the CSP asa version 9.8.3 During the upgrade, the system will be reboot Do you want to proceed ? (yes/no):yes This operation upgrades firmware and software on Security Platform Components Here is the checklist of things that are recommended before starting Auto-Install (1) Review current critical/major faults (2) Initiate a configuration backup Do you want to proceed? (yes/no):yes Triggered the install of software package version 9.8.3 Install started. This will take several minutes. For monitoring the upgrade progress, please enter 'show' or 'show detail' command. firepower-2110 /firmware/auto-install #
步骤 4	等待机箱完成重新启动（5 - 10 分钟）。虽然 FXOS 已经启动，但您仍然需要等待 ASA 启动（5 分钟）。请等待，直至显示以下消息： `firepower-2110# Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG='' Verifying signature for cisco-asa.9.8.2.2 ... Verifying signature for cisco-asa.9.8.2.2 ... success Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG='' Cisco ASA starting ... Registering to process manager ... Cisco ASA started successfully. […]`

升级主用/备用故障转移对

使用 FXOS CLI 或 Firepower 机箱管理器升级主用/备用故障转移对，以实现零停机升级。

使用 Firepower 机箱管理器升级主用/备用故障转移对

本节介绍如何升级主用/备用故障转移对的 ASA 捆绑包。您将从管理计算机上传软件包。

开始之前

您需要确定哪一个设备是主用设备，哪一个是备用设备：将 ASDM 连接到活动 ASA IP 地址。主用设备始终拥有活动 IP 地址。然后，选择监控 > 属性 > 故障转移 > 状态以查看此设备的优先级（主设备或辅助设备），以便知道您连接到哪一个设备。

过程

步骤 1

升级备用设备。

连接到备用设备上的 Firepower 机箱管理器。
选择系统 > 更新。

可用更新部分显示机箱上的可用软件包列表。
点击上传映像，从管理计算机上传新软件包。
点击选择文件，导航到并选择要上传的软件包。
点击上传。

所选软件包将上传到机箱。上传映像对话框显示上传状态。等待出现成功对话框，然后点击确定。完成上传后，系统会自动验证映像的完整性。
点击新软件包右侧的升级图标。
点击是以确认要继续安装。

没有指示正在加载新软件包的指标。在升级过程开始时，仍会看到 Firepower 机箱管理器。系统重新引导时，会将您注销。您必须等待系统恢复，然后才能登录 Firepower 机箱管理器。重新引导过程大约需要 20 分钟。重新引导后，您将看到登录屏幕。

步骤 2

将刚才升级的设备设为主用设备，以使流量流向已升级的设备。

通过连接到备用 ASA IP 地址，在备用设备上启动 ASDM。
通过选择监控 > 属性 > 故障转移 > 状态，然后点击设为主用，强制备用设备变为主用。

步骤 3

升级以前的主用设备。

连接到之前主用设备上的 Firepower 机箱管理器。
选择系统 > 更新。

可用更新部分显示机箱上的可用软件包列表。
点击上传映像，从管理计算机上传新软件包。
点击选择文件，导航到并选择要上传的软件包。
点击上传。

所选软件包将上传到机箱。上传映像对话框显示上传状态。等待出现成功对话框，然后点击确定。完成上传后，系统会自动验证映像的完整性。
点击新软件包右侧的升级图标。
点击是以确认要继续安装。

没有指示正在加载新软件包的指标。在升级过程开始时，仍会看到 Firepower 机箱管理器。系统重新引导时，会将您注销。您必须等待系统恢复，然后才能登录 Firepower 机箱管理器。重新引导过程大约需要 20 分钟。重新引导后，您将看到登录屏幕。

使用 FXOS CLI 升级主用/备用故障转移对

本节介绍如何升级主用/备用故障转移对的 ASA 捆绑包。可以使用 FTP、SCP、SFTP 或 TFTP 将软件包复制到 Firepower 2100 机箱。

开始之前

您需要确定哪一个设备是主用设备，哪一个是备用设备。要确定故障转移状态，请查看 ASA 提示符；您可以配置 ASA 提示符以显示故障转移状态和优先级（主设备或辅助设备），这可用于确定连接到的设备。请参阅 prompt 命令。但是，FXOS 提示符并不知道 ASA 故障转移。或者，输入 show failover 命令，以查看此设备的状态和优先级（主设备或辅助设备）。

过程

步骤 1

升级备用设备。

通过控制台端口（首选）或使用 SSH，连接到备用设备上的 FXOS CLI。

进入固件模式。

scope firmware

示例:


2110-sec# scope firmware
2110-sec /firmware#

下载软件包。
download image url

使用以下各项之一，为正在导入的文件指定 URL：
- ftp://username@server/[path/]image_name
- scp://username@server/[path/]image_name
- sftp://username@server/[path/]image_name
- tftp://server[:port]/[path/]image_name
示例:
```
2110-sec /firmware# download image tftp://10.88.29.181/cisco-asa-fp2k.9.8.2.2.SPA
Please use the command 'show download-task' or 'show download-task detail' to check download progress.
```

监控下载过程。

show download-task

示例:


2110-sec /firmware # show download

Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    cisco-asa-fp2k.9.8.2.SPA
              Tftp     10.88.29.181             0                 Downloaded
    cisco-asa-fp2k.9.8.2.2.SPA
              Tftp     10.88.29.181             0                 Downloading
2110-sec /firmware #

当新软件包完成下载（已下载状态）时，启动软件包。查看新软件包的版本号。

show package

示例:


2110-sec /firmware # show package
Name                                          Package-Vers
--------------------------------------------- ------------
cisco-asa-fp2k.9.8.2.SPA                      9.8.2
cisco-asa-fp2k.9.8.2.2.SPA                    9.8.2.2
2110-sec /firmware #

安装软件包。

scope auto-install

install security-pack version version

在 show package 输出中，复制与 security-pack version 号对应的 Package-Vers 值。机箱会安装 ASA 映像并重新启动。

示例:


2110-sec /firmware # scope auto-install
2110-sec /firmware/auto-install # install security-pack version 9.8.3
 
The system is currently installed with security software package 9.8.2, which has:
   - The platform version: 2.2.2.52
   - The CSP (asa) version: 9.8.2
If you proceed with the upgrade 9.8.3, it will do the following:
   - upgrade to the new platform version 2.2.2.97
   - upgrade to the CSP asa version 9.8.3
During the upgrade, the system will be reboot
 
Do you want to proceed ? (yes/no):yes
 
This operation upgrades firmware and software on Security Platform Components
Here is the checklist of things that are recommended before starting Auto-Install
(1) Review current critical/major faults
(2) Initiate a configuration backup
 
Do you want to proceed? (yes/no):yes
 
Triggered the install of software package version 9.8.3
Install started. This will take several minutes.
For monitoring the upgrade progress, please enter 'show' or 'show detail' command.
2110-sec /firmware/auto-install #

等待机箱完成重新启动（5 - 10 分钟）。

虽然 FXOS 已经启动，但您仍然需要等待 ASA 启动（5 分钟）。请等待，直至显示以下消息：


2110-sec# 
Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Verifying signature for cisco-asa.9.8.2.2 ...
Verifying signature for cisco-asa.9.8.2.2 ... success

Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Cisco ASA starting ...
Registering to process manager ...
Cisco ASA started successfully. 
[…]

步骤 2

将刚才升级的设备设为主用设备，以使流量流向已升级的设备。

从 FXOS 连接到备用 ASA CLI。

connect asa

enable

默认情况下，启用密码为空。

示例:


2110-sec# connect asa
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
asa/stby/sec> enable
Password: <blank>
asa/stby/sec#

强制进入备用设备以使其变为主用状态。

failover active
示例:
```
asa/stby/sec> failover active
asa/act/sec#
```
要返回到 FXOS 控制台，请输入 Ctrl+a，d。

步骤 3

升级以前的主用设备。

通过控制台端口（首选）或使用 SSH，连接到主用设备上的 FXOS CLI。

进入固件模式。

scope firmware

示例:


2110-pri# scope firmware
2110-pri /firmware#

下载软件包。
download image url

使用以下各项之一，为正在导入的文件指定 URL：
- ftp://username@server/[path/]image_name
- scp://username@server/[path/]image_name
- sftp://username@server/[path/]image_name
- tftp://server[:port]/[path/]image_name
示例:
```
2110-pri /firmware# download image tftp://10.88.29.181/cisco-asa-fp2k.9.8.2.2.SPA
Please use the command 'show download-task' or 'show download-task detail' to check download progress.
```

监控下载过程。

show download-task

示例:


2110-pri /firmware # show download

Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    cisco-asa-fp2k.9.8.2.SPA
              Tftp     10.88.29.181             0                 Downloaded
    cisco-asa-fp2k.9.8.2.2.SPA
              Tftp     10.88.29.181             0                 Downloading
2110-pri /firmware #

当新软件包完成下载（已下载状态）时，启动软件包。查看新软件包的版本号。

show package

示例:


2110-pri /firmware # show package
Name                                          Package-Vers
--------------------------------------------- ------------
cisco-asa-fp2k.9.8.2.SPA                      9.8.2
cisco-asa-fp2k.9.8.2.2.SPA                    9.8.2.2
2110-pri /firmware #

安装软件包。

scope auto-install

install security-pack version version

在 show package 输出中，复制与 security-pack version 号对应的 Package-Vers 值。机箱会安装 ASA 映像并重新启动。

示例:


2110-pri /firmware # scope auto-install
2110-pri /firmware/auto-install # install security-pack version 9.8.3
 
The system is currently installed with security software package 9.8.2, which has:
   - The platform version: 2.2.2.52
   - The CSP (asa) version: 9.8.2
If you proceed with the upgrade 9.8.3, it will do the following:
   - upgrade to the new platform version 2.2.2.97
   - upgrade to the CSP asa version 9.8.3
During the upgrade, the system will be reboot
 
Do you want to proceed ? (yes/no):yes
 
This operation upgrades firmware and software on Security Platform Components
Here is the checklist of things that are recommended before starting Auto-Install
(1) Review current critical/major faults
(2) Initiate a configuration backup
 
Do you want to proceed? (yes/no):yes
 
Triggered the install of software package version 9.8.3
Install started. This will take several minutes.
For monitoring the upgrade progress, please enter 'show' or 'show detail' command.
2110-pri /firmware/auto-install #

等待机箱完成重新启动（5 - 10 分钟）。

虽然 FXOS 已经启动，但您仍然需要等待 ASA 启动（5 分钟）。请等待，直至显示以下消息：


2110-pri# 
Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Verifying signature for cisco-asa.9.8.2.2 ...
Verifying signature for cisco-asa.9.8.2.2 ... success

Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Cisco ASA starting ...
Registering to process manager ...
Cisco ASA started successfully. 
[…]

升级主用/主用故障转移对

使用 FXOS CLI 或 Firepower 机箱管理器升级主用/主用故障转移对，以实现零停机升级。

使用 Firepower 机箱管理器升级主用/主用故障转移对

本节介绍如何升级主用/主用故障转移对的 ASA 捆绑包。您将从管理计算机上传软件包。

过程

步骤 1	使两个故障转移组在主设备上均处于活动状态。通过连接故障转移组 1 中的管理地址，在主设备（或故障转移组 1 处于活动状态的设备）上启动 ASDM。选择监控 > 故障转移 > 故障转移组 2，然后点击设为主用。在后续步骤中，与此设备上的 ASDM 保持连接。
步骤 2	升级辅助设备。连接到辅助设备上的 Firepower 机箱管理器。依次选择系统 > 更新。可用更新部分显示机箱上的可用软件包列表。点击上传映像，从管理计算机上传新软件包。点击选择文件，导航到并选择要上传的软件包。点击上传。所选软件包将上传到机箱。上传映像对话框显示上传状态。等待出现成功对话框，然后点击确定。完成上传后，系统会自动验证映像的完整性。点击新软件包右侧的升级图标。点击是以确认要继续安装。没有指示正在加载新软件包的指标。在升级过程开始时，仍会看到 Firepower 机箱管理器。系统重新引导时，会将您注销。您必须等待系统恢复，然后才能登录 Firepower 机箱管理器。重新引导过程大约需要 20 分钟。重新引导后，您将看到登录屏幕。
步骤 3	使两个故障转移组在辅助设备上均处于活动状态。在主设备上的 ASDM 中，依次选择监控 > 故障转移 > 故障转移组 1，然后点击设为备用。 ASDM 将自动重新连接到辅助设备上的故障转移组 1 IP 地址。
步骤 4	升级主设备。连接到主设备上的 Firepower 机箱管理器。依次选择系统 > 更新。可用更新部分显示机箱上的可用软件包列表。点击上传映像，从管理计算机上传新软件包。点击选择文件，导航到并选择要上传的软件包。点击上传。所选软件包将上传到机箱。上传映像对话框显示上传状态。等待出现成功对话框，然后点击确定。完成上传后，系统会自动验证映像的完整性。点击新软件包右侧的升级图标。点击是以确认要继续安装。没有指示正在加载新软件包的指标。在升级过程开始时，仍会看到 Firepower 机箱管理器。系统重新引导时，会将您注销。您必须等待系统恢复，然后才能登录 Firepower 机箱管理器。重新引导过程大约需要 20 分钟。重新引导后，您将看到登录屏幕。
步骤 5	如果故障转移组被配置为“启用抢占”，在抢占延迟过后，它们会在其指定设备上自动变为活动状态。如果故障转移组未被配置为启用抢占，则可以使用监控 > 故障转移 > 故障转移组号窗格使其在指定设备上恢复为活动状态。

使用 FXOS CLI 升级主用/主用故障转移对

本节介绍如何升级主用/主用故障转移对的 ASA 捆绑包。可以使用 FTP、SCP、SFTP 或 TFTP 将软件包复制到 Firepower 2100 机箱。

过程

步骤 1	通过控制台端口（首选）或使用 SSH，连接到辅助设备上的 FXOS CLI。
步骤 2	使两个故障转移组在主设备上均处于活动状态。从 FXOS 连接到 ASA CLI。 connect asa enable 默认情况下，启用密码为空。示例: `2110-sec# connect asa Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach. Type help or '?' for a list of available commands. asa/act/sec> enable Password: <blank> asa/act/sec#` 使两个故障转移组在主设备上均处于活动状态。 no failover active group 1 no failover active group 2 示例: `asa/act/sec# no failover active group 1 asa/act/sec# no failover active group 2` 输入 Ctrl+a, d 以返回 FXOS 控制台。
步骤 3	升级辅助设备。在 FXOS 中，进入固件模式。 scope firmware 示例: `2110-sec# scope firmware 2110-sec /firmware#` 下载软件包。 download image `url` 使用以下各项之一，为正在导入的文件指定 URL： ftp://`username`@`server`/[`path`/]`image_name` scp://`username`@`server`/[`path`/]`image_name` sftp://`username`@`server`/[`path`/]`image_name` tftp://`server`[:`port`]/[`path`/]`image_name` 示例: `2110-sec /firmware# download image tftp://10.88.29.181/cisco-asa-fp2k.9.8.2.2.SPA Please use the command 'show download-task' or 'show download-task detail' to check download progress.` 监控下载过程。 show download-task 示例: `2110-sec /firmware # show download Download task: File Name Protocol Server Port Userid State --------- -------- --------------- ---------- --------------- ----- cisco-asa-fp2k.9.8.2.SPA Tftp 10.88.29.181 0 Downloaded cisco-asa-fp2k.9.8.2.2.SPA Tftp 10.88.29.181 0 Downloading 2110-sec /firmware #` 当新软件包完成下载（已下载状态）时，启动软件包。查看新软件包的版本号。 show package 示例: `2110-sec /firmware # show package Name Package-Vers --------------------------------------------- ------------ cisco-asa-fp2k.9.8.2.SPA 9.8.2 cisco-asa-fp2k.9.8.2.2.SPA 9.8.2.2 2110-sec /firmware #` 安装软件包。 scope auto-install install security-pack version `version` 在 show package 输出中，复制与 security-pack version 号对应的 Package-Vers 值。机箱会安装 ASA 映像并重新启动。示例: 2110-sec /firmware # scope auto-install 2110-sec /firmware/auto-install # install security-pack version 9.8.3 The system is currently installed with security software package 9.8.2, which has: - The platform version: 2.2.2.52 - The CSP (asa) version: 9.8.2 If you proceed with the upgrade 9.8.3, it will do the following: - upgrade to the new platform version 2.2.2.97 - upgrade to the CSP asa version 9.8.3 During the upgrade, the system will be reboot Do you want to proceed ? (yes/no):yes This operation upgrades firmware and software on Security Platform Components Here is the checklist of things that are recommended before starting Auto-Install (1) Review current critical/major faults (2) Initiate a configuration backup Do you want to proceed? (yes/no):yes Triggered the install of software package version 9.8.3 Install started. This will take several minutes. For monitoring the upgrade progress, please enter 'show' or 'show detail' command. 2110-sec /firmware/auto-install # 等待机箱完成重新启动（5 - 10 分钟）。虽然 FXOS 已经启动，但您仍然需要等待 ASA 启动（5 分钟）。请等待，直至显示以下消息： `2110-sec# Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG='' Verifying signature for cisco-asa.9.8.2.2 ... Verifying signature for cisco-asa.9.8.2.2 ... success Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG='' Cisco ASA starting ... Registering to process manager ... Cisco ASA started successfully. […]`
步骤 4	使两个故障转移组在辅助设备上均处于活动状态。从 FXOS 连接到 ASA CLI。 connect asa enable 默认情况下，启用密码为空。示例: `2110-sec# connect asa Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach. Type help or '?' for a list of available commands. asa/stby/sec> enable Password: <blank> asa/stby/sec#` 使两个故障转移组在辅助设备上均处于活动状态。 failover active group 1 failover active group 2 示例: `asa/stby/sec# failover active group 1 asa/act/sec# failover active group 2` 输入 Ctrl+a, d 以返回 FXOS 控制台。
步骤 5	升级主设备。通过控制台端口（首选）或使用 SSH，连接到主设备上的 FXOS CLI。进入固件模式。 scope firmware 示例: `2110-pri# scope firmware 2110-pri /firmware#` 下载软件包。 download image `url` 使用以下各项之一，为正在导入的文件指定 URL： ftp://`username`@`server`/[`path`/]`image_name` scp://`username`@`server`/[`path`/]`image_name` sftp://`username`@`server`/[`path`/]`image_name` tftp://`server`[:`port`]/[`path`/]`image_name` 示例: `2110-pri /firmware# download image tftp://10.88.29.181/cisco-asa-fp2k.9.8.2.2.SPA Please use the command 'show download-task' or 'show download-task detail' to check download progress.` 监控下载过程。 show download-task 示例: `2110-pri /firmware # show download Download task: File Name Protocol Server Port Userid State --------- -------- --------------- ---------- --------------- ----- cisco-asa-fp2k.9.8.2.SPA Tftp 10.88.29.181 0 Downloaded cisco-asa-fp2k.9.8.2.2.SPA Tftp 10.88.29.181 0 Downloading 2110-pri /firmware #` 当新软件包完成下载（已下载状态）时，启动软件包。查看新软件包的版本号。 show package 示例: `2110-pri /firmware # show package Name Package-Vers --------------------------------------------- ------------ cisco-asa-fp2k.9.8.2.SPA 9.8.2 cisco-asa-fp2k.9.8.2.2.SPA 9.8.2.2 2110-pri /firmware #` 安装软件包。 scope auto-install install security-pack version `version` 在 show package 输出中，复制与 security-pack version 号对应的 Package-Vers 值。机箱会安装 ASA 映像并重新启动。示例: 2110-pri /firmware # scope auto-install 2110-pri /firmware/auto-install # install security-pack version 9.8.3 The system is currently installed with security software package 9.8.2, which has: - The platform version: 2.2.2.52 - The CSP (asa) version: 9.8.2 If you proceed with the upgrade 9.8.3, it will do the following: - upgrade to the new platform version 2.2.2.97 - upgrade to the CSP asa version 9.8.3 During the upgrade, the system will be reboot Do you want to proceed ? (yes/no):yes This operation upgrades firmware and software on Security Platform Components Here is the checklist of things that are recommended before starting Auto-Install (1) Review current critical/major faults (2) Initiate a configuration backup Do you want to proceed? (yes/no):yes Triggered the install of software package version 9.8.3 Install started. This will take several minutes. For monitoring the upgrade progress, please enter 'show' or 'show detail' command. 2110-pri /firmware/auto-install # 等待机箱完成重新启动（5 - 10 分钟）。虽然 FXOS 已经启动，但您仍然需要等待 ASA 启动（5 分钟）。请等待，直至显示以下消息： `2110-pri# Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG='' Verifying signature for cisco-asa.9.8.2.2 ... Verifying signature for cisco-asa.9.8.2.2 ... success Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG='' Cisco ASA starting ... Registering to process manager ... Cisco ASA started successfully. […]`
步骤 6	如果故障转移组配置了 ASA preempt 命令，则抢占延迟过后，它们将在其指定设备上自动变为主用状态。如果故障转移组未配置 preempt 命令，您可以连接 ASA CLI 并使用 failover active group 命令，使之在指定设备上恢复为活动状态。

升级 ASA 5500-X、ASA 虚拟、ASASM 或 ISA 3000

本文档介绍如何为单机、故障转移或集群部署计划和实施 ASA 5500-X、ASA 虚拟、ASASM 或 ISA 3000 的 ASA 和 ASDM 升级。

升级独立设备

使用 CLI 或 ASDM 升级独立设备。

使用 CLI 升级独立设备

本部分介绍如何安装 ASDM 和 ASA 映像，以及何时升级 ASA FirePOWER 模块。

开始之前

此程序使用 FTP。对于 TFTP、HTTP 或其他服务器类型，请参阅 ASA 命令参考中的 copy 命令。

过程

步骤 1

在特权 EXEC 模式下，将 ASA 软件复制到闪存。

copy ftp://[[用户[:密码]@]服务器[/路径]/asa_image_name diskn:/[路径/]asa_image_name

示例:


ciscoasa# copy ftp://jcrichton:aeryn@10.1.1.1/asa-9-12-1-smp-k8.bin disk0:/asa-9-12-1-smp-k8.bin

步骤 2

将 ASDM 映像复制到闪存中。

copy ftp://[[用户[:密码]@]服务器[/路径]/asdm_image_name diskn:/[路径/]asdm_image_name

示例:


ciscoasa# copy ftp://jcrichton:aeryn@10.1.1.1/asdm-7121.bin disk0:/asdm-7121.bin

步骤 3

访问全局配置模式。

configure terminal

示例:


ciscoasa# configure terminal
ciscoasa(config)#

步骤 4

显示当前配置的启动映像（最多 4 个）：

show running-config boot system

ASA 按列示顺序使用映像；如果第一个映像不可用，则使用下一个映像，以此类推。不能在列表顶部插入新映像 URL；要将新的映像指定为第一个映像，必须删除所有现有条目，再根据后续步骤按所需顺序输入映像 URL。

示例:


ciscoasa(config)# show running-config boot system
boot system disk0:/cdisk.bin
boot system disk0:/asa931-smp-k8.bin

步骤 5

删除所有现有的引导映像配置，以便将新的引导映像作为首选输入：

no boot system diskn:/[路径/]asa_image_name

示例:


ciscoasa(config)# no boot system disk0:/cdisk.bin
ciscoasa(config)# no boot system disk0:/asa931-smp-k8.bin

步骤 6

将 ASA 映像设置为引导映像（您刚上传的映像）：

boot system diskn:/[路径/]asa_image_name

如果此映像不可用，请对要使用的任何备份映像重复执行此命令。例如，您可以重新输入以前删除的映像。

示例:


ciscoasa(config)# boot system disk0:/asa-9-12-1-smp-k8.bin

步骤 7

设置要使用的 ASDM 映像（您刚上传的映像）：

asdm image diskn:/[路径/]asdm_image_name

您只能配置一个要使用的 ASDM 映像，因此您不需要先删除现有配置。

示例:


ciscoasa(config)# asdm image disk0:/asdm-7121.bin

步骤 8

将新设置保存至启动配置：

write memory

步骤 9

重新加载 ASA：

reload

步骤 10

如果您要升级 ASA FirePOWER 模块，请禁用 ASA REST API，否则升级将失败。

no rest-api agent

您可以在升级后重新启用它：

rest-api agent

注	如果您运行的是 FirePOWER 模块 6.0 或更高版本，则 ASA 5506-X 系列不支持 ASA REST API。

步骤 11

升级 ASA FirePOWER 模块。

使用 ASDM 从本地计算机升级独立设备

使用本地计算机中的升级软件工具，可将映像文件从计算机上传到闪存文件系统来升级 ASA。

过程

步骤 1

在主 ASDM 应用窗口中，依次选择工具 > 从本地计算机升级软件。

系统将显示升级软件对话框。

步骤 2

从要上传的映像下拉列表中选择 ASDM。

步骤 3

在本地文件路径字段中，点击浏览本地文件以查找您的 PC 上的文件。

步骤 4

在闪存文件系统路径字段中，点击浏览闪存以在闪存文件系统中查找目录或文件。

步骤 5

点击上传映像。

上传过程可能需要数分钟。

步骤 6

系统会提示您将此映像设置为 ASDM 映像。点击是。

步骤 7

系统会提示您退出 ASDM 并保存配置。点击确定。

您会退出 Upgrade 工具。注意：在升级 ASA 软件之后，您将保存配置并重新连接到 ASDM。

步骤 8

重复上述步骤，从要上传的映像下拉列表中选择 ASA。您也可以使用此程序上传其他文件类型。

步骤 9

依次选择工具 > 重新加载系统以重新加载 ASA。

系统将显示新窗口，要求您确认重新加载的详细信息。

点击重新加载时保存运行配置单选按钮（默认）。
选择重新加载的时间（例如，默认值 Now）。
点击计划重新加载。

重新加载开始后，系统将显示重新加载状态窗口，指示正在执行重新加载。系统还提供了退出 ASDM 的选项。

步骤 10

在 ASA 重新加载后，重启 ASDM。

您可以从控制台端口检查重新加载状态，也可以等待几分钟，并尝试使用 ASDM 进行连接，直到成功。

步骤 11

如果要升级 ASA FirePOWER 模块，请通过选择工具 > 命令行界面，然后输入 no rest-api agent 以禁用 ASA REST API。

如果不禁用 REST API，ASA FirePOWER 模块升级将会失败。您可以在升级后重新启用它：

rest-api agent

注	如果您运行的是 FirePOWER 模块 6.0 或更高版本，则 ASA 5506-X 系列不支持 ASA REST API。

步骤 12

升级 ASA FirePOWER 模块。

使用 ASDM Cisco.com 向导升级独立设备

Cisco.com 向导中的升级软件工具允许您将 ASDM 和 ASA 自动升级至更加新的版本。

在此向导中，您可以执行以下操作：

选择 ASA 映像文件和/或 ASDM 映像文件以执行升级。

注	ASDM 会下载最新的映像版本，其版本号包括内部版本号。例如，如果要下载 9.9(1)，则下载可能是 9.9(1.2)。这是预期行为，因此您可以继续执行计划的升级。

查看您所做的升级更改。
下载一个或多个映像，并进行安装。
查看安装的状态。
如果安装成功完成，请重新加载 ASA 以保存配置并完成升级。

开始之前

过程

步骤 1

依次选择工具 > 检查 ASA/ASDM 更新。

在多情景模式中，从“系统”访问此菜单。

系统将显示 Cisco.com 身份验证对话框。

步骤 2

输入 Cisco.com 用户名和密码，然后点击 Login。

系统将显示 Cisco.com 升级向导。

注	如果无可用升级，系统将显示对话框。点击确定退出向导。

步骤 3

点击下一步显示选择软件屏幕。

系统将显示当前的 ASA 版本和 ASDM 版本。

步骤 4

如要升级 ASA 版本和 ASDM 版本，请执行以下步骤：

在 ASA 区域，选中升级到复选框，然后从下拉列表中选择要升级的目标 ASA 版本。
在 ASDM 区域，选中升级到复选框，然后从下拉列表中选择要升级的目标 ASDM 版本。

步骤 5

点击下一步，显示检查更改屏幕。

步骤 6

请验证以下项目：

已下载的文件是正确的 ASA 映像文件和/或 ASDM 映像文件。
希望上传的文件是正确的 ASA 映像文件和/或 ASDM 映像文件。
已选择正确的 ASA 启动映像。

步骤 7

点击下一步，开始升级安装。

然后，您可以在升级安装过程中查看其状态。

系统将显示结果屏幕，其中提供详细信息，如升级安装状态（成功或失败）。

步骤 8

如果升级安装成功，为了使升级版本生效，请选中 Save configuration and reload device now 复选框来重新启动 ASA，然后重新启动 ASDM。

步骤 9

点击完成，退出向导，保存对配置的更改。

注	如要升级到下一个较高版本（如可用），您必须重新启动向导。

步骤 10

在 ASA 重新加载后，重启 ASDM。

您可以从控制台端口检查重新加载状态，也可以等待几分钟，并尝试使用 ASDM 进行连接，直到成功。

步骤 11

如果要升级 ASA FirePOWER 模块，请通过选择工具 > 命令行界面，然后输入 no rest-api agent 以禁用 ASA REST API。

如果不禁用 REST API，ASA FirePOWER 模块升级将会失败。您可以在升级后重新启用它：

rest-api agent

注	如果您运行的是 FirePOWER 模块 6.0 或更高版本，则 ASA 5506-X 系列不支持 ASA REST API。

步骤 12

升级 ASA FirePOWER 模块。

升级主用/备用故障转移对

使用 CLI 或 ASDM 升级主用/备用故障转移对，以实现零停机升级。

使用 CLI 升级主用/备用故障转移对

要升级主用/备用故障转移对，请执行以下步骤。

开始之前

在主用设备上执行以下步骤。对于 SSH 访问，请连接到主用 IP 地址；主用设备始终拥有此 IP 地址。当连接到 CLI 时，通过查看 ASA 提示符确定故障转移状态；您可以配置 ASA 提示符以显示故障转移状态和优先级（主设备或辅助设备），这可用于确定连接到的设备。请参阅 prompt 命令。或者，输入 show failover 命令，以查看此设备的状态和优先级（主设备或辅助设备）。
此程序使用 FTP。对于 TFTP、HTTP 或其他服务器类型，请参阅 ASA 命令参考中的 copy 命令。

过程

步骤 1

在主用设备的特权 EXEC 模式下，将 ASA 软件复制到主用设备闪存：

copy ftp://[[用户[:密码]@]服务器[/路径]/asa_image_name diskn:/[路径/]asa_image_name

示例:


asa/act# copy ftp://jcrichton:aeryn@10.1.1.1/asa9-15-1-smp-k8.bin disk0:/asa9-15-1-smp-k8.bin

步骤 2

将软件复制到备用设备；请确保指定与主用设备相同的路径：

failover exec mate copy /noconfirm ftp://[[用户[:密码]@]服务器[/路径]/asa_image_name diskn:/[路径/]asa_image_name

示例:


asa/act# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asa9-15-1-smp-k8.bin disk0:/asa9-15-1-smp-k8.bin

步骤 3

将 ASDM 映像复制至主用设备闪存：

copy ftp://[[用户[:密码]@]服务器[/路径]/asdm_image_name diskn:/[路径/]asdm_image_name

示例:


asa/act# copy ftp://jcrichton:aeryn@10.1.1.1/asdm-77171417151.bin disk0:/asdm-77171417151.bin

步骤 4

将 ASDM 映像复制至备用设备；请确保指定与主用设备相同的路径：

failover exec mate copy /noconfirm ftp://[[用户[:密码]@]服务器[/路径]/asdm_image_name diskn:/[路径/]asdm_image_name

示例:


asa/act# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asdm-77171417151.bin disk0:/asdm-77171417151.bin

步骤 5

如果您当前未处于全局配置模式，请访问全局配置模式：

configure terminal

步骤 6

显示当前配置的启动映像（最多 4 个）：

show running-config boot system

示例:


asa/act(config)# show running-config boot system
boot system disk0:/cdisk.bin
boot system disk0:/asa931-smp-k8.bin

步骤 7

删除所有现有的引导映像配置，以便将新的引导映像作为首选输入：

no boot system diskn:/[路径/]asa_image_name

示例:


asa/act(config)# no boot system disk0:/cdisk.bin
asa/act(config)# no boot system disk0:/asa931-smp-k8.bin

步骤 8

将 ASA 映像设置为引导映像（您刚上传的映像）：

boot system diskn:/[路径/]asa_image_name

示例:


asa/act(config)# boot system disk0://asa9-15-1-smp-k8.bin

如果此映像不可用，请对要使用的任何备份映像重复执行此命令。例如，您可以重新输入以前删除的映像。

步骤 9

设置要使用的 ASDM 映像（您刚上传的映像）：

asdm image diskn:/[路径/]asdm_image_name

示例:


asa/act(config)# asdm image disk0:/asdm-77171417151.bin

您只能配置一个要使用的 ASDM 映像，因此您不需要先删除现有配置。

步骤 10

将新设置保存至启动配置：

write memory

这些配置更改会自动保存到备用设备上。

步骤 11

如果您要升级 ASA FirePOWER 模块，请禁用 ASA REST API，否则升级将失败。

no rest-api agent

步骤 12

升级备用设备上的 ASA FirePOWER 模块。

对于 ASDM 管理的 ASA FirePOWER 模块，请将 ASDM 连接到备用管理 IP 地址。等待升级完成。

步骤 13

重新加载备用设备，以便启动新映像：

failover reload-standby

等待备用设备完成加载。使用 show failover 命令确认备用设备处于备用就绪状态。

步骤 14

强行要求主用设备故障转移至备用设备。

no failover active

如果您从 SSH 会话中断开连接，请重新连接到主 IP 地址（现位于新的主用/以前的备用设备上）。

步骤 15

升级以前主用设备上的 ASA FirePOWER 模块。

对于 ASDM 管理的 ASA FirePOWER 模块，请将 ASDM 连接到备用管理 IP 地址。等待升级完成。

步骤 16

在新的主用设备上，重新加载以前的主用设备（现为新的备用设备）。

failover reload-standby

示例:


asa/act# failover reload-standby

注	如果连接到以前的主用设备控制台端口，应改为输入 reload 命令来重新加载以前的主用设备。

使用 ASDM 升级主用/备用故障转移对

要升级主用/备用故障转移对，请执行以下步骤。

开始之前

将 ASA 和 ASDM 映像放置在本地管理计算机上。

过程

步骤 1	通过连接到备用 IP 地址，在备用设备上启动 ASDM。
步骤 2	在主 ASDM 应用窗口中，依次选择工具 > 从本地计算机升级软件。系统将显示升级软件对话框。
步骤 3	从要上传的映像下拉列表中选择 ASDM。
步骤 4	在本地文件路径 (Local File Path) 字段中，输入指向计算机中文件的本地路径，或者点击浏览本地文件 (Browse Local Files) 在计算机中查找该文件。
步骤 5	在 Flash 文件系统路径 (Flash File System Path) 字段中，输入闪存文件系统的路径，或者点击浏览 Flash (Browse Flash) 在 Flash 文件系统中查找目录或文件。
步骤 6	点击上传映像。上传过程可能需要数分钟。系统提示您将此映像设置为 ASDM 映像时，点击否 (No)。您会退出 Upgrade 工具。
步骤 7	重复这些步骤，从要上传的映像下拉列表中选择 ASA。当系统提示您将此映像设置为 ASA 映像时，点击否 (No)。您会退出 Upgrade 工具。
步骤 8	通过连接到主 IP 地址，将 ASDM 连接到主用设备，然后使用与您用于备用设备相同的文件位置上传 ASDM 软件。
步骤 9	当系统提示您将该映像设置为 ASDM 映像时，点击是 (Yes)。系统会提示您退出 ASDM 并保存配置。点击确定。您会退出 Upgrade 工具。注意：在升级 ASA 软件之后，您将保存配置并重新加载 ASDM。
步骤 10	使用与备用设备相同的文件位置上传 ASA 软件。
步骤 11	当系统提示您将该映像设置为 ASA 映像时，点击是 (Yes)。系统将提示您重新加载 ASA 以使用新映像。点击确定。您会退出 Upgrade 工具。
步骤 12	点击工具栏上的保存图标，保存配置更改。这些配置更改将自动保存在备用设备上。
步骤 13	如果要升级 ASA FirePOWER 模块，请选择工具 > 命令行界面，然后输入 no rest-api enable 以禁用 ASA REST API。如果不禁用 REST API，ASA FirePOWER 模块升级将会失败。
步骤 14	升级备用设备上的 ASA FirePOWER 模块。对于 ASDM 管理的 ASA FirePOWER 模块，请将 ASDM 连接到备用管理 IP 地址。等待升级完成后，将 ASDM 连接回主用设备。
步骤 15	通过依次选择监控 (Monitoring) > 属性 (Properties) > 故障转移 (Failover) > 状态 (Status)，然后点击重新加载备用 (Reload Standby)，重新加载备用设备。留在系统窗格中，以监控备用设备何时重新加载。
步骤 16	重新加载备用设备后，强制主用设备执行故障转移到备用设备，方法为：选择监控 (Monitoring) > 属性 (Properties) > 故障转移 (Failover) > 状态 (Status)，然后点击设为备用 (Make Standby)。 ASDM 将自动重新连接到新主用设备。
步骤 17	升级以前主用设备上的 ASA FirePOWER 模块。对于 ASDM 管理的 ASA FirePOWER 模块，请将 ASDM 连接到备用管理 IP 地址。等待升级完成后，将 ASDM 连接回主用设备。
步骤 18	重新加载（新）备用设备，方法为：选择监控 (Monitoring) > 属性 (Properties) > 故障转移 (Failover) > 状态 (Status)，然后点击重新加载备用 (Reload Standby)。

升级主用/主用故障转移对

使用 CLI 或 ASDM 升级主用/主用故障转移对，以实现零停机升级。

使用 CLI 升级主用/主用故障转移对

要升级主用/主用故障转移配置中的两台设备，请执行以下步骤。

开始之前

在主设备上执行这些步骤。
在系统执行空间中执行以下步骤。
此程序使用 FTP。对于 TFTP、HTTP 或其他服务器类型，请参阅 ASA 命令参考中的 copy 命令。

过程

步骤 1

在主设备的特权 EXEC 模式下，将 ASA 软件复制到闪存：

copy ftp://[[用户[:密码]@]服务器[/路径]/asa_image_name diskn:/[路径/]asa_image_name

示例:


asa/act/pri# copy ftp://jcrichton:aeryn@10.1.1.1/asa9-15-1-smp-k8.bin disk0:/asa9-15-1-smp-k8.bin

步骤 2

将软件复制至辅助设备；请确保指定与主设备相同的路径：

failover exec mate copy /noconfirm ftp://[[用户[:密码]@]服务器[/路径]/asa_image_name diskn:/[路径/]asa_image_name

示例:


asa/act/pri# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asa9-15-1-smp-k8.bin disk0:/asa9-15-1-smp-k8.bin

步骤 3

将 ASDM 映像复制至主设备闪存：

copy ftp://[[用户[:密码]@]服务器[/路径]/asdm_image_name diskn:/[路径/]asdm_image_name

示例:


asa/act/pri# ciscoasa# copy ftp://jcrichton:aeryn@10.1.1.1/asdm-77171417151.bin disk0:/asdm-77171417151.bin

步骤 4

将 ASDM 映像复制到辅助设备中；务必指定与主设备相同的路径：

failover exec mate copy /noconfirm ftp://[[用户[:密码]@]服务器[/路径]/asdm_image_name diskn:/[路径/]asdm_image_name

示例:


asa/act/pri# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asdm-77171417151.bin disk0:/asdm-77171417151.bin

步骤 5

如果您当前未处于全局配置模式，请访问全局配置模式：

configure terminal

步骤 6

显示当前配置的启动映像（最多 4 个）：

show running-config boot system

示例:


asa/act/pri(config)# show running-config boot system
boot system disk0:/cdisk.bin
boot system disk0:/asa931-smp-k8.bin

步骤 7

删除所有现有的引导映像配置，以便将新的引导映像作为首选输入：

no boot system diskn:/[路径/]asa_image_name

示例:


asa/act/pri(config)# no boot system disk0:/cdisk.bin
asa/act/pri(config)# no boot system disk0:/asa931-smp-k8.bin

步骤 8

将 ASA 映像设置为引导映像（您刚上传的映像）：

boot system diskn:/[路径/]asa_image_name

示例:


asa/act/pri(config)# boot system disk0://asa9-15-1-smp-k8.bin

如果此映像不可用，请对要使用的任何备份映像重复执行此命令。例如，您可以重新输入以前删除的映像。

步骤 9

设置要使用的 ASDM 映像（您刚上传的映像）：

asdm image diskn:/[路径/]asdm_image_name

示例:


asa/act/pri(config)# asdm image disk0:/asdm-77171417151.bin

您只能配置一个要使用的 ASDM 映像，因此您不需要先删除现有配置。

步骤 10

将新设置保存至启动配置：

write memory

这些配置更改会自动保存到辅助设备上。

步骤 11

如果您要升级 ASA FirePOWER 模块，请禁用 ASA REST API，否则升级将失败。

no rest-api agent

步骤 12

使两个故障转移组在主设备上均处于活动状态：

failover active group 1

failover active group 2

示例:


asa/act/pri(config)# failover active group 1
asa/act/pri(config)# failover active group 2

步骤 13

升级辅助设备上的 ASA FirePOWER 模块。

对于 ASDM 管理的 ASA FirePOWER 模块，请将 ASDM 连接到故障转移组 1 或 2 的备用管理 IP 地址。等待升级完成。

步骤 14

重新加载辅助设备，以便启动新映像：

failover reload-standby

等待辅助设备完成加载。使用 show failover 命令确认两个故障转移组均处于备用就绪状态。

步骤 15

强行要求两个故障转移组在辅助设备上变为活动状态：

no failover active group 1

no failover active group 2

示例:


asa/act/pri(config)# no failover active group 1
asa/act/pri(config)# no failover active group 2
asa/stby/pri(config)#

如果您从 SSH 会话中断开连接，请重新连接到故障转移组 1 IP 地址（现位于辅助设备上）。

步骤 16

升级主设备上的 ASA FirePOWER 模块。

对于 ASDM 管理的 ASA FirePOWER 模块，请将 ASDM 连接到故障转移组 1 或 2 的备用管理 IP 地址。等待升级完成。

步骤 17

重新加载主设备：

failover reload-standby

示例:


asa/act/sec# failover reload-standby

注	如果已连接到主设备控制台端口，应改为输入 reload 命令来重新加载主设备。

您可能从 SSH 会话中断开连接。

步骤 18

如果故障转移组配置了 preempt 命令，则抢占延迟过后，它们将在其指定设备上自动变为主用状态。

使用 ASDM 升级主用/主用故障转移对

要升级主用/主用故障转移配置中的两台设备，请执行以下步骤。

开始之前

在系统执行空间中执行以下步骤。
将 ASA 和 ASDM 映像放置在本地管理计算机上。

过程

步骤 1	通过连接到故障转移组 2 中的管理地址，在辅助设备上启动 ASDM。
步骤 2	在主 ASDM 应用窗口中，依次选择工具 > 从本地计算机升级软件。系统将显示升级软件对话框。
步骤 3	从要上传的映像下拉列表中选择 ASDM。
步骤 4	在本地文件路径 (Local File Path) 字段中，输入指向计算机中文件的本地路径，或者点击浏览本地文件 (Browse Local Files) 在 PC 中查找文件。
步骤 5	在 Flash 文件系统路径 (Flash File System Path) 字段中，输入闪存文件系统的路径，或者点击浏览 Flash (Browse Flash) 在闪存文件系统中查找目录或文件。
步骤 6	点击上传映像。上传过程可能需要数分钟。系统提示您将此映像设置为 ASDM 映像时，点击否 (No)。您会退出 Upgrade 工具。
步骤 7	重复上述步骤，从要上传的映像下拉列表中选择 ASA。当系统提示您将此映像设置为 ASA 映像时，点击否 (No)。您会退出 Upgrade 工具。
步骤 8	通过连接至故障转移组 1 中的管理 IP 地址，将 ASDM 连接至主设备，并使用辅助设备上所用的相同文件位置上传 ASDM 软件。
步骤 9	当系统提示您将该映像设置为 ASDM 映像时，点击是 (Yes)。系统会提示您退出 ASDM 并保存配置。点击确定。您会退出 Upgrade 工具。注意：在升级 ASA 软件之后，您将保存配置并重新加载 ASDM。
步骤 10	使用与辅助设备相同的文件位置上传 ASA 软件。
步骤 11	当系统提示您将该映像设置为 ASA 映像时，点击是 (Yes)。系统将提示您重新加载 ASA 以使用新映像。点击确定。您会退出 Upgrade 工具。
步骤 12	点击工具栏上的保存图标，保存配置更改。这些配置更改在辅助设备上会自动保存。
步骤 13	如果要升级 ASA FirePOWER 模块，请选择工具 > 命令行界面，然后输入 no rest-api enable 以禁用 ASA REST API。如果不禁用 REST API，ASA FirePOWER 模块升级将会失败。
步骤 14	通过选择监控 (Monitoring) > 故障转移 (Failover) > 故障转移组号 (Failover Group #)（其中组号是您要移动至主设备的故障转移组的编号）并点击设为主用 (Make Active)，使两个故障转移组在主设备上均处于活动状态。
步骤 15	升级辅助设备上的 ASA FirePOWER 模块。对于 ASDM 管理的 ASA FirePOWER 模块，请将 ASDM 连接到故障转移组 1 或 2 的备用管理 IP 地址。等待升级完成后，将 ASDM 连接回主设备。
步骤 16	重新加载辅助设备，方法为：选择监控 (Monitoring) > 故障转移 (Failover) > 系统 (System)，然后点击重新加载备用 (Reload Standby)。保持在系统窗格上，以监控辅助设备何时加载。
步骤 17	辅助设备启动后，通过选择监控 (Monitoring) > 故障转移 (Failover) > 故障转移组号 (Failover Group #)（其中组号是您要移动至辅助设备的故障转移组的编号）并点击设为备用 (Make Standby)，使两个故障转移组在辅助设备上均处于活动状态。 ASDM 将自动重新连接到辅助设备上的故障转移组 1 IP 地址。
步骤 18	升级主设备上的 ASA FirePOWER 模块。对于 ASDM 管理的 ASA FirePOWER 模块，请将 ASDM 连接到故障转移组 1 或 2 的备用管理 IP 地址。等待升级完成后，将 ASDM 连接回辅助设备。
步骤 19	重新加载主设备，方法为：选择监控 (Monitoring) > 故障转移 (Failover) > 系统 (System)，然后点击重新加载备用 (Reload Standby)。
步骤 20	如果故障转移组被配置为“启用抢占”，在抢占延迟过后，它们会在其指定设备上自动变为活动状态。ASDM 将自动重新连接到主设备上的故障转移组 1 IP 地址。

升级 ASA 集群

使用 CLI 或 ASDM 升级 ASA 集群，以实现零停机升级。

使用 CLI 升级 ASA 集群

要升级 ASA 集群中的所有设备，请执行以下步骤。此程序使用 FTP。对于 TFTP、HTTP 或其他服务器类型，请参阅 ASA 命令参考中的 copy 命令。

开始之前

在控制单元上执行这些步骤。如果您还要升级 ASA FirePOWER 模块，则需要在每台数据单元上访问控制台或 ASDM。您可以将 ASA 提示符配置为显示集群设备和状态（控制或数据），这些信息有助于确定您连接的目标设备。请参阅 prompt 命令。或者，输入 show cluster info 命令以查看每台设备的角色。
您必须使用控制台端口；不能通过远程 CLI 连接启用或禁用集群。
对于多情景模式，在系统执行空间中执行以下步骤。

过程

步骤 1

在特权 EXEC 模式下，将控制单元的上的 ASA 软件复制到集群中的所有设备。

cluster exec copy /noconfirm ftp://[[用户[:密码]@]服务器[/路径]/asa_image_name diskn:/[路径/]asa_image_name

示例:


asa/unit1/master# cluster exec copy /noconfirm 
ftp://jcrichton:aeryn@10.1.1.1/asa9-15-1-smp-k8.bin disk0:/asa9-15-1-smp-k8.bin

步骤 2

将 ASDM 映像复制至集群中的所有设备：

cluster exec copy /noconfirm ftp://[[用户[:密码]@]服务器[/路径]/asdm_image_name diskn:/[路径/]asdm_image_name

示例:


asa/unit1/master# cluster exec copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asdm-77171417151.bin disk0:/asdm-77171417151.bin

步骤 3

如果您当前未处于全局配置模式，请立即访问该模式。

configure terminal

示例:


asa/unit1/master# configure terminal
asa/unit1/master(config)#

步骤 4

显示当前配置的引导映像（最多 4 个）。

show running-config boot system

示例:


asa/unit1/master(config)# show running-config boot system
boot system disk0:/cdisk.bin
boot system disk0:/asa931-smp-k8.bin

步骤 5

删除所有现有的引导映像配置，以便将新的引导映像作为首选输入：

no boot system diskn:/[路径/]asa_image_name

示例:


asa/unit1/master(config)# no boot system disk0:/cdisk.bin
asa/unit1/master(config)# no boot system disk0:/asa931-smp-k8.bin

步骤 6

将 ASA 映像设置为引导映像（您刚上传的映像）：

boot system diskn:/[路径/]asa_image_name

示例:


asa/unit1/master(config)# boot system disk0://asa9-15-1-smp-k8.bin

如果此映像不可用，请对要使用的任何备份映像重复执行此命令。例如，您可以重新输入以前删除的映像。

步骤 7

设置要使用的 ASDM 映像（您刚上传的映像）：

asdm image diskn:/[路径/]asdm_image_name

示例:


asa/unit1/master(config)# asdm image disk0:/asdm-77171417151.bin

您只能配置一个要使用的 ASDM 映像，因此您不需要先删除现有配置。

步骤 8

将新设置保存至启动配置：

write memory

这些配置更改会自动保存到数据单元。

步骤 9

如果您要升级 ASA FirePOWER 模块，请禁用 ASA REST API，否则 ASA FirePOWER 模块升级将失败。

no rest-api agent

步骤 10

如果您要升级由 ASDM 管理的 ASA FirePOWER 模块，就需要将 ASDM 连接到单个管理 IP 地址，因此您需要记下每台设备的 IP 地址。

show running-config interface management_interface_id

记下使用的 cluster-pool 池名称。

show ip[v6] local pool 池名称

记下集群设备的 IP 地址。

示例:


asa/unit2/slave# show running-config interface gigabitethernet0/0
!
interface GigabitEthernet0/0
 management-only
 nameif inside
 security-level 100
 ip address 10.86.118.1 255.255.252.0 cluster-pool inside-pool
asa/unit2/slave# show ip local pool inside-pool
Begin           End             Mask            Free     Held     In use
10.86.118.16    10.86.118.17    255.255.252.0       0        0        2

Cluster Unit                    IP Address Allocated
unit2                           10.86.118.16
unit1                           10.86.118.17
asa1/unit2/slave#

步骤 11

升级数据单元。

选择下面的程序，具体取决于您是否还要升级 ASA FirePOWER 模块。如果也需要升级 ASA FirePOWER 模块，ASA FirePOWER 程序可以最大限度地减少 ASA 重新加载的次数。您可以在执行这些程序时选用数据单元控制台或 ASDM。如果您还无权访问所有控制台端口，但可以通过网络访问 ASDM，则可能需要使用 ASDM 而不是控制台。

注	在升级过程中，切勿使用 cluster master unit 命令强制将某个数据单元变为控制单元；否则可能导致网络连接和集群稳定相关的问题。您必须先升级并重新加载所有数据单元，然后继续此过程以确保从当前控制单元顺利地过渡到新的控制单元。

如果不进行 ASA FirePOWER 模块升级：

在控制单元上，要查看成员名称，请输入 cluster exec unit ? ，或输入 show cluster info 命令。
重新加载数据单元。

cluster exec unit data-unit reload noconfirm
示例:
```
asa/unit1/master# cluster exec unit unit2 reload noconfirm
```
对每个从属数据单元上述操作。

为避免失去连接并使流量稳定下来，请等待每个设备恢复运行并重新加入集群（大约需要 5 分钟），然后再对下一个设备重复执行上述步骤。要查看设备何时重新加入集群，请输入 show cluster info 。

如果还要进行 ASA FirePOWER 模块升级（使用数据控制台）：

连接到数据单元的控制台端口，然后进入全局配置模式。

enable

configure terminal
示例:
```
asa/unit2/slave> enable
Password: 
asa/unit2/slave# configure terminal
asa/unit2/slave(config)# 
```

禁用集群。

cluster group name

no enable

不保存此配置；您希望在重新加载时启用集群。您需要禁用集群，以避免在升级过程中出现多次失败和重新加入；此设备应仅在所有升级和重新加载过程完成后才进行重新加入。

示例:


asa/unit2/slave(config)# cluster group cluster1
asa/unit2/slave(cfg-cluster)# no enable
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either enable clustering or remove cluster group configuration.

Cluster unit unit2 transitioned from SLAVE to DISABLED
asa/unit2/ClusterDisabled(cfg-cluster)#

在此数据单元上升级 ASA FirePOWER 模块。

对于 ASDM 管理的 ASA FirePOWER 模块，请将 ASDM 连接到您之前记下的单个管理 IP 地址。等待升级完成。
重新加载数据单元。

reload noconfirm
对每个从属数据单元上述操作。

为避免失去连接并使流量稳定下来，请等待每个设备恢复运行并重新加入集群（大约需要 5 分钟），然后再对下一个设备重复执行上述步骤。要查看设备何时重新加入集群，请输入 show cluster info 。

如果还要进行 ASA FirePOWER 模块升级（使用 ASDM）：

将 ASDM 连接到您之前记下的此数据单元的单个管理 IP 地址。
依次选择配置 > 设备管理高可用性和可扩展性 > ASA 集群 > 集群配置 > 。

取消选中加入 ASA 集群复选框。

您需要禁用集群，以避免在升级过程中出现多次失败和重新加入；此设备应仅在所有升级和重新加载过程完成后才进行重新加入。

请勿取消选中配置 ASA 集群设置复选框，此操作会清除所有集群配置并关闭所有接口，包括 ASDM 连接到的管理接口。在此情况下，要恢复连接，您需要在控制台端口上访问 CLI。

注	某些旧版本的 ASDM 不支持在此屏幕上禁用集群；在此情况下，请使用工具 > 命令行界面工具，点击多行单选按钮，然后输入 cluster group `名称` 和 no enable 。您可以在主页 > 设置控制面板 > 设备信息 > ASA 集群区域中查看集群组名称。

点击应用。
系统会提示您退出 ASDM。将 ASDM 重新连接到相同的 IP 地址。
升级 ASA FirePOWER 模块。

等待升级完成。
在 ASDM 中，选择工具 > 系统重新加载。
点击重新加载而不保存运行配置单选按钮。

请勿保存配置；在主设备重新加载后，您需要在其上启用集群。
点击计划重新加载。
请点击是继续重新加载。
对每个从属数据单元上述操作。

为避免失去连接并使流量稳定下来，请等待每个设备恢复运行并重新加入集群（大约需要 5 分钟），然后再对下一个设备重复执行上述步骤。要查看设备重新加入集群的时间，请查看控制单元上的监控 > ASA 集群 > 集群摘要窗格。

步骤 12

升级控制单元。

禁用集群。

cluster group name

no enable

最多等待 5 分钟，以便选择新的控制单元且流量稳定下来。

不保存此配置；您希望在重新加载时启用集群。

我们建议在控制单元上手动禁用集群（如果可能），以便尽可能快速顺畅地选择新的控制单元。

示例:


asa/unit1/master(config)# cluster group cluster1
asa/unit1/master(cfg-cluster)# no enable
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either enable clustering or remove cluster group configuration.

Cluster unit unit1 transitioned from MASTER to DISABLED
asa/unit1/ClusterDisabled(cfg-cluster)#

在此设备上升级 ASA FirePOWER 模块。

对于 ASDM 管理的 ASA FirePOWER 模块，请将 ASDM 连接到您之前记下的单个管理 IP 地址。主集群 IP 地址现在属于新的控制单元；此以前的控制单元仍可通过其单独的管理 IP 地址进行访问。

等待升级完成。
重新加载此设备。

reload noconfirm

当以前的控制单元重新加入集群时，它将成为数据单元。

使用 ASDM 升级 ASA 集群

要升级 ASA 集群中的所有设备，请执行以下步骤。

开始之前

在控制单元上执行这些步骤。如果您还要升级 ASA FirePOWER 模块，则需要 ASDM 访问每台数据单元。
对于多情景模式，在系统执行空间中执行以下步骤。
将 ASA 和 ASDM 映像放置在本地管理计算机上。

过程

步骤 1

通过连接到主集群 IP 地址，在控制单元上启动 ASDM。

此 IP 地址始终属于控制单元。

步骤 2

在主 ASDM 应用窗口中，依次选择工具 > 从本地计算机升级软件。

系统将显示从本地计算机升级软件对话框。

步骤 3

点击集群中的所有设备 (All devices in the cluster) 单选按钮。

系统将显示升级软件对话框。

步骤 4

从要上传的映像下拉列表中选择 ASDM。

步骤 5

在本地文件路径 (Local File Path) 字段中，点击浏览本地文件 (Browse Local Files) 以查找您计算机上的文件。

步骤 6

(可选) 在 Flash 文件系统路径 (Flash File System Path) 字段中，输入闪存文件系统的路径，或者点击浏览 Flash (Browse Flash) 在闪存文件系统中查找目录或文件。

默认情况下，此字段预先填充有以下路径：disk0:/filename。

步骤 7

点击上传映像。上传过程可能需要数分钟。

步骤 8

系统会提示您将此映像设置为 ASDM 映像。点击是。

步骤 9

系统会提示您退出 ASDM 并保存配置。点击确定。

您会退出 Upgrade 工具。注意：在升级 ASA 软件之后，您将保存配置并重新加载 ASDM。

步骤 10

重复上述步骤，从要上传的映像下拉列表中选择 ASA。

步骤 11

点击工具栏上的保存图标，保存配置更改。

这些配置更改会自动保存到数据单元。

步骤 12

请记下配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 集群成员上每个设备的单独管理 IP 地址，以便您以后可以将 ASDM 直接连接到数据单元。

步骤 13

如果要升级 ASA FirePOWER 模块，请选择工具 > 命令行界面，然后输入 no rest-api enable 以禁用 ASA REST API。

如果不禁用 REST API，ASA FirePOWER 模块升级将会失败。

步骤 14

升级数据单元。

选择下面的程序，具体取决于您是否还要升级 ASA FirePOWER 模块。ASA FirePOWER 程序最大程度减少了升级 ASA FirePOWER 模块时的 ASA 重新加载次数。

注	在升级过程中，请勿使用监控 > ASA 集群 > 集群摘要将控制单元更改为页面强制数据单元成为控制单元；否则会导致网络连接性和集群稳定性相关的问题。您必须先重新加载所有数据单元，然后继续此过程以确保从当前控制单元顺利地过渡到新的控制单元。

如果不进行 ASA FirePOWER 模块升级：

在控制单元上，选择工具 > 系统重新加载。
从设备下拉列表中，选择数据单元名称。
点击计划重新加载。
请点击是继续重新加载。
对每个从属数据单元上述操作。

为避免失去连接并使流量稳定下来，请等待每个设备恢复运行并重新加入集群（大约需要 5 分钟），然后再对下一个设备重复执行上述步骤。要查看设备重新加入集群的时间，请查看监控 > ASA 集群 > 集群摘要窗格。

如果还要进行 ASA FirePOWER 模块升级：

在控制单元上，选择配置 > 设备管理 > 高可用性和稳定性 > ASA 集群 > 集群成员。
选择要升级的数据单元，然后点击删除 (Delete)。
点击应用 (Apply)。
退出 ASDM，然后通过连接到您之前记下的单个管理 IP 地址，将 ASDM 连接到数据单元。
升级 ASA FirePOWER 模块。

等待升级完成。
在 ASDM 中，选择工具 > 系统重新加载。
点击重新加载而不保存运行配置单选按钮。

请勿保存配置；在主设备重新加载后，您需要在其上启用集群。
点击计划重新加载。
请点击是继续重新加载。
对每个从属数据单元上述操作。

为避免失去连接并使流量稳定下来，请等待每个设备恢复运行并重新加入集群（大约需要 5 分钟），然后再对下一个设备重复执行上述步骤。要查看设备重新加入集群的时间，请查看监控 > ASA 集群 > 集群摘要窗格。

步骤 15

升级控制单元。

在控制单元上的 ASDM 中，选择配置 > 设备管理 > 高可用性和可扩展性 > ASA 集群 > 集群配置窗格。
取消选中加入 ASA 集群 (Participate in ASA cluster) 复选框，然后点击应用 (Apply)。

系统会提示您退出 ASDM。
最多等待 5 分钟，以便选择新的控制单元且流量稳定下来。

当以前的控制单元重新加入集群时，它将成为数据单元。
通过连接到您之前记下的单个管理 IP 地址，将 ASDM 重新连接到之前的控制单元。

主集群 IP 地址现在属于新的控制单元；此以前的控制单元仍可通过其单独的管理 IP 地址进行访问。
升级 ASA FirePOWER 模块。

等待升级完成。
依次选择工具 > 重新加载系统。
点击重新加载而不保存运行配置单选按钮。

请勿保存配置；在主设备重新加载后，您需要在其上启用集群。
点击计划重新加载。
请点击是继续重新加载。

系统会提示您退出 ASDM。在主集群 IP 地址上重启 ASDM；您将重新连接到新的控制单元。

非歧视性语言

当地语言翻译版本说明

Results

Chapter: 升级 ASA 设备或 ASA 虚拟

升级 ASA 设备或 ASA 虚拟

升级 Firepower 1000、2100、Cisco Secure Firewall 3100

在 Cisco Secure Firewall 3100 的设备模式下升级 Firepower 1000、2100

升级独立设备

使用 CLI 升级独立设备

开始之前

过程

示例:

示例:

示例:

示例:

示例:

示例:

示例:

使用 ASDM 从本地计算机升级独立设备

过程

使用 ASDM Cisco.com 向导升级独立设备

开始之前

过程

升级主用/备用故障转移对

使用 CLI 升级主用/备用故障转移对

开始之前

过程

示例:

示例:

示例:

示例:

示例:

示例:

示例:

示例:

示例:

使用 ASDM 升级主用/备用故障转移对

开始之前

过程

升级主用/主用故障转移对

使用 CLI 升级主用/主用故障转移对

开始之前

过程

示例:

示例:

示例:

示例:

示例:

示例:

示例:

示例:

示例:

示例:

示例:

使用 ASDM 升级主用/主用故障转移对

开始之前

过程

在平台模式下升级 Firepower 2100

升级独立设备

使用 Firepower 机箱管理器升级独立设备

过程

使用 FXOS CLI 升级独立设备

过程

示例:

示例:

示例:

示例:

示例:

升级主用/备用故障转移对

使用 Firepower 机箱管理器升级主用/备用故障转移对

开始之前

过程

使用 FXOS CLI 升级主用/备用故障转移对

开始之前

过程

示例:

示例:

示例:

示例: