升级前的重要准则
检查升级准则和限制,以及每个操作系统的配置迁移。
ASA 升级准则
在升级之前,请检查迁移和所有其他准则。
版本特定的准则和迁移
根据当前的版本,您可能会遇到一次或多次配置迁移,并且在升级时必须考虑适用于起始版本与结束版本之间所有版本的配置准则。
9.19 准则
-
ASDM 7.19(1) 需要 Oracle Java 版本 8u261 或更高版本 - 在升级到 ASDM 7.19 之前,请务必将 Oracle Java(如已使用)更新到 8u261 或更高版本。此版本支持 TLSv1.3,这是升级 ASDM 启动程序所必需的。OpenJRE 不受影响。
9.18 准则
-
9.18(2)/7.18(1.152) 及更高版本中的 ASDM 签名映像支持 - ASA 现在会验证 ASDM 映像是否为思科数字签名映像。如果您尝试使用具有此修复程序的 ASA 版本来运行较早的 ASDM 映像,则系统将阻止 ASDM 并在 ASA CLI 上显示消息“%错误:签名对文件 disk0:/<filename> 无效 (%ERROR: Signature not valid for file disk0:/<filename>)”。ASDM 版本 7.18(1.152) 及更高版本向后兼容所有 ASA 版本,即使是没有安装此修补程序的版本。(CSCwb05291, CSCwb05264)
-
在同一个接口上启用了 HTTPS/ASDM(通过 HTTPS 身份验证)和 SSL 并使用相同的端口时的 9.18(1) 升级问题 - 如果在同一接口上同时启用 SSL(webvpn > 启用 (enable) 接口 (interface))和 HTTPS/ASDM (http ) 访问,则可以从 https://ip_address 访问 AnyConnect 并从 https://ip_address/admin 访问 ASDM(均通过端口 443)。但是,如果还启用了 HTTPS 身份验证(aaa 身份验证 http 控制台),则从 9.18(1) 开始必须为 ASDM 访问指定其他端口。请确保在使用 http 命令升级之前更改端口。(CSCvz92016)
-
ASDM 升级向导 - 由于 ASD API 迁移,您必须使用 ASDM 7.18 或更高版本升级到 ASA 9.18 或更高版本。由于 ASDM 向后兼容较早的 ASA 版本,因此您可以将任何 ASA 版本的 ASDM 升级到 7.18 或更高版本。
9.17 准则
-
9.17(1.13)/7.18(1.152) 及更高版本中的 ASDM 签名映像支持 - ASA 现在会验证 ASDM 映像是否为思科数字签名映像。如果您尝试使用具有此修复程序的 ASA 版本来运行较早的 ASDM 映像,则系统将阻止 ASDM 并在 ASA CLI 上显示消息“%错误:签名对文件 disk0:/<filename> 无效 (%ERROR: Signature not valid for file disk0:/<filename>)”。ASDM 版本 7.18(1.152) 及更高版本向后兼容所有 ASA 版本,即使是没有安装此修补程序的版本。(CSCwb05291, CSCwb05264)
-
在 9.17(1) 及更高版本中不支持无客户端 SSL VPN - 不再支持无客户端 SSL VPN。
-
webvpn - 删除了以下子命令:
-
apcf
-
java-trustpoint
-
onscreen-keyboard
-
port-forward
-
portal-access-rule
-
rewrite
-
smart-tunnel
-
-
group-policy webvpn - 删除了以下子命令:
-
port-forward
-
smart-tunnel
-
ssl-clientless
-
-
-
ASDM 升级向导 - 由于内部更改,从 2022 年 3 月起,升级向导将不再适用于 ASDM 7.17(1.152) 之前的版本。您必须手动升级到 7.17(1.152) 才能使用向导。
9.16 准则
-
9.16(3.19)/7.18(1.152) 及更高版本中的 ASDM 签名映像支持 - ASA 现在会验证 ASDM 映像是否为思科数字签名映像。如果您尝试使用具有此修复程序的 ASA 版本来运行较早的 ASDM 映像,则系统将阻止 ASDM 并在 ASA CLI 上显示消息“%错误:签名对文件 disk0:/<filename> 无效 (%ERROR: Signature not valid for file disk0:/<filename>)”。ASDM 版本 7.18(1.152) 及更高版本向后兼容所有 ASA 版本,即使是没有安装此修补程序的版本。(CSCwb05291, CSCwb05264)
-
不再支持使用 MD5 散列和 DES 加密的 SNMPv3 用户,并且在升级到 9.16(1) 时将删除用户 - 请确保在升级之前使用 snmp-server user 命令将任何用户配置更改为更高安全性的算法。
-
9.16(1) 中要求的 SSH 主机密钥操作 - 除了 RSA,我们还增加了对 SSH 的 EDDSA 和 ECDSA 主机密钥的支持。ASA 尝试按以下顺序使用密钥(如存在):EDDSA、ECDSA,然后是 RSA。当您升级到 9.16(1) 时,ASA 将回退到使用现有 RSA 密钥。但是,我们建议您使用 crypto key generate {eddsa | ecdsa} 命令生成安全性更高的密钥。此外,如果使用 ssh key-exchange hostkey rsa 命令将 ASA 明确配置为使用 RSA 密钥,则必须生成 2048 位或更高的密钥。为了实现升级兼容性,仅当使用默认主机密钥设置时,ASA才会使用较小的RSA主机密钥。RSA支持将在更高版本中删除。
-
在 9.16 及更高版本中,具有 RSA 密钥的证书与 ECDSA 密码不兼容 - 在使用 ECDHE_ECDSA 密码组时,请使用包含支持 ECDSA 的密钥的证书配置信任点。
-
ssh version 命令已在 9.16(1) 中删除 - 已删除此命令。仅支持 SSH 版本 2。
-
SAMLv1 功能已在 9.16(1) 中删除 - 已删除对 SAMLv1 的支持。
-
不支持 9.16(1) 中的 DH 组 2、5 和 24 - 已删除对 SSL DH 组配置中的 DH 组 2、5 和 24 的支持。ssl dh-group 命令已更新,以删除命令选项 group2、group5 和 group24。
9.15 准则
-
ASA 9.15(1) 及更高版本中不支持 ASA 5525-X、ASA 5545-X 和ASA 5555-X - ASA 9.14(x) 是最后支持的版本。对于 ASA FirePOWER 模块,最后支持的版本为 6.6。
-
思科宣布从 ASA 9.17(1) 版本起取消无客户端 SSL VPN 的功能 - 9.17(1) 之前的版本将继续提供有限的支持。
-
对于 Firepower 1010,无效的 VLAN ID 可能会导致问题 - 在升级到 9.15(1) 之前,请确保未将 VLAN 用于 3968 到 4047 范围内的交换机端口。这些 ID 仅用于内部使用,并且 9.15(1) 包含一项检查,以确保您未使用这些 ID。例如,如果这些 ID 在升级故障转移对后仍在使用,则故障转移对将进入暂停状态。有关详细信息,请参阅 CSCvw33057。
-
SAMLv1 功能弃用 - 已弃用 SAMLv1 支持。
-
ASA 9.15(1) 中的低安全性密码删除 - 已删除对 IKE 和 IPsec 使用的以下不太安全的密码的支持:
-
Diffie-Hellman 组:2 和 24
-
加密算法:DES、3DES、AES-GMAC、AES-GMAC-192、AES-GMAC-256、NULL、ESP-3DES、ESP-DES、ESP-MD5-HMAC
-
散列算法:MD5
注
尚未删除低安全性 SSH 和 SSL 密码。
在从早期版本的 ASA 升级到版本 9.15(1) 之前,必须更新 VPN 配置以使用 9.15(1) 中支持的密码,否则旧配置将被拒绝。当配置被拒绝时,将根据命令执行以下操作之一:
-
该命令将使用默认密码。
-
将会删除此命令。
在升级之前修复配置对于集群或故障转移部署尤其重要。例如,如果辅助设备升级到 9.15(1) ,并且删除的密码从主设备同步到此设备,则辅助设备将拒绝配置。此拒绝可能会导致意外行为,例如无法加入集群。
IKEv1:删除了以下子命令:
-
crypto ikev1 policy priority:
-
hash md5
-
encryption 3des
-
encryption des
-
group 2
-
IKEv2:删除了以下子命令:
-
crypto ikev2 policy priority:
-
prf md5
-
integrity md5
-
group 2
-
group 24
-
encryption 3des
-
encryption des
-
encryption null
-
IPsec:删除了以下子命令:
-
crypto ipsec ikev1 transform-set name esp-3des esp-des esp-md5-hmac
-
crypto ipsec ikev2 ipsec-proposal name
-
protocol esp integrity md5
-
protocol esp encryption 3des aes-gmac aes-gmac- 192 aes-gmac -256 des
-
-
crypto ipsec profile name
-
set pfs group2 group24
-
加密映射:已删除以下子命令:
-
crypto map name sequence set pfs group2
-
crypto map name sequence set pfs group24
-
crypto map name sequence set ikev1 phase1-mode aggressive group2
-
-
重新引入 CRL 分发点配置 - 在 match-certificate 命令中重新引入了在 9.13(1) 中删除的静态 CDP URL 配置选项。
-
恢复绕过证书有效性检查选项 - 恢复由于 CRL 或 OCSP 服务器的连接问题而绕过撤销检查的选项。
恢复了以下子命令:
-
revocation-check crl none
-
revocation-check ocsp none
-
revocation-check crl ocsp none
-
revocation-check ocsp crl none
-
9.14 准则
-
9.14(4.14)/7.18(1.152) 及更高版本中的 ASDM 签名映像支持 - ASA 现在会验证 ASDM 映像是否为思科数字签名映像。如果您尝试使用具有此修复程序的 ASA 版本来运行较早的 ASDM 映像,则系统将阻止 ASDM 并在 ASA CLI 上显示消息“%错误:签名对文件 disk0:/<filename> 无效 (%ERROR: Signature not valid for file disk0:/<filename>)”。ASDM 版本 7.18(1.152) 及更高版本向后兼容所有 ASA 版本,即使是没有安装此修补程序的版本。(CSCwb05291, CSCwb05264)
-
在设备模式下,ASDM Cisco.com 升级向导在 Firepower 1000 和 2100 上失败,ASDM Cisco.com 升级向导无法升级到 9.14(“工具”(Tools)>“检查 ASA/ASDM 更新”(Check for ASA / ASDM Updates))。该向导可以将 ASDM 从 7.13 升级到 7.14,但 ASA 映像升级显示为灰色。(CSCvt72183) 作为解决方法,请使用以下方法之一:
-
使用 ASA 和 ASDM 上的 Tools > Upgrade Software from Local Computer。请注意,9.14(1) 捆绑包中的 ASDM 映像 (7.14(1)) 也存在漏洞 CSCvt72183;您应下载较新的 7.14(1.46) 映像以启用向导的正确功能。
-
使用“工具”(Tools)>“检查 ASA/ASDM 更新”(Check for ASA / ASDM Updates)升级到 ASDM 7.14(版本为 7.14(1.46));然后使用新的 ASDM 升级 ASA 映像。请注意,您可能会看到严重安装错误;在这种情况下,请点击确定。然后,您必须在 上手动设置启动映像。保存配置并重新加载 ASA。
-
-
对于 9.14(1)+ 中的故障转移对,ASA 不再与其对等体共享 SNMP 客户端引擎数据。
-
ASA 9.14(1)+中不支持 cnatAddrBindNumberOfEntries 和 cnatAddrBindSessionCount OIDs (CSCvy22526)。
-
在平台模式下将 Firepower 2100 的降级问题从 9.13/9.14 降级到 9.12 或更早版本 - 对于全新安装的 9.13 或 9.14 转换为平台模式的 Firepower 2100:如果降级到 9.12 或更早版本,您将无法配置新接口或编辑 FXOS 中的现有接口(请注意,9.12 及更早版本仅支持平台模式)。您需要将版本恢复到9.13或更高版本,或者需要使用FXOS擦除配置命令清除配置。如果您最初从较早版本升级到9.13或9.14,则不会发生此问题;仅新安装的设备会受到影响,例如新设备或重新映像的设备。(CSCvr19755)
-
已从 inspect skinny 命令中删除了 tls-proxy 关键字,以及对 SCCP/Skinny 加密检测的支持。
-
ASDM U 升级导航 - 由于内部更改,此向导仅支持使用 ASDM 7.10(1) 及更高版本;此外,由于映像命名更改,您必须使用 ASDM 7.12(1) 或更高版本以升级到 ASA 9.10(1) 及更高版本。由于 ASDM 向后兼容较早的 ASA 版本,因此您可以升级 ASDM,无论您运行的是哪个 ASA 版本。请注意,ASDM 7.13 和 7.14 不支持 ASA 5512-X、5515-X、5585-X 或 ASASM;您必须升级到 ASDM 7.13(1.101) 或 7.14(1.48) 才能恢复 ASDM 支持。
9.13 准则
-
9.13(1) 及更高版本中 ASAv 需要 2GB 内存 - 从 9.13(1) 开始,ASAv 的最低内存要求为 2GB。如果当前 ASAv 的内存少于 2GB,您将无法在不增加 ASAv VM 内存的情况下,从早期版本升级到 9.13(1)。在升级之前,您必须调整内存大小。有关 9.13(1) 版本中支持的资源分配(vCPU 和内存)的信息,请参阅 ASAv 入门指南 。
-
在平台模式下将 Firepower 2100 从 9.13 降级到 9.12 或更早版本的降级问题 - 对于已转换为平台模式的新安装 9.13 的 Firepower 2100:如果降级到 9.12 或更早版本,您将无法配置新接口或编辑 FXOS 中的现有接口(请注意,9.12 及更早版本仅支持平台模式)。您需要将版本恢复为 9.13,或者需要使用 FXOS 擦除配置命令清除配置。如果您最初从早期版本升级到 9.13,则不会发生此问题;仅新安装的设备会受到影响,例如新设备或重新映像的设备。(CSCvr19755)
-
9.13(1) 中的集群控制链路 MTU 更改 - 从 9.13(1) 开始,许多集群控制数据包都比以前的版本大。集群控制链路的推荐 MTU 始终为 1600 或更高,并且此值合适。但是,如果将 MTU 设置为 1600,但未能在连接的交换机上匹配 MTU(例如,您在交换机上将 MTU 保留为 1500),则您将开始看到此不匹配对丢弃的集群控制数据包的影响。请务必将集群控制链路上的所有设备设置为同一 MTU,尤其是 1600 或更高。
-
从 9.13(1) 开始,仅当满足以下任一认证条件时,ASA 才会建立 LDAP/SSL 连接:
-
LDAP 服务器证书受信任(存在于信任点或 ASA 信任池中)且有效。
-
来自服务器颁发链的 CA 证书是受信任的(存在于信任点或 ASA 信任池)中,链中的所有从属 CA 证书都已完成且有效。
-
-
9.13(1) 中已删除本地 CA 服务器 - 当 ASA 配置为本地 CA 服务器时,系统会启用该服务器以颁发数字证书、发布证书吊销列表 (CRL),并安全地撤销已颁发的证书。此功能已过时,因此已删除 crypto ca server 命令。
-
删除 CRL 分发点命令 - 静态 CDP URL 配置命令,即 crypto-ca-trustpoint crl 和 crl url 已通过其他相关逻辑删除。CDP URL 已移动到 match certificate 命令。
注
CDP URL 配置得到增强,允许多个 CDP 实例覆盖单个映射(请参阅 CSCvu05216)。
-
删除绕过证书有效性检查选项 - 删除由于 CRL 或 OCSP 服务器的连接问题而绕过撤销检查的选项。
删除了以下子命令:
-
revocation-check crl none
-
revocation-check ocsp none
-
revocation-check crl ocsp none
-
revocation-check ocsp crl none
因此,在升级后,不再受支持的任何 revocation-check 命令将通过忽略尾随的 none 而过渡到新行为。
注
这些命令稍后已恢复(请参阅 CSCtb41710)。
-
-
低安全性密码弃用 - ASA IKE、IPsec 和 SSH 模块使用的多个加密密码被视为不安全,已被弃用。它们将在以后的版本中删除。
IKEv1:已弃用以下子命令:
-
crypto ikev1 policy priority:
-
hash md5
-
encryption 3des
-
encryption des
-
group 2
-
group 5
-
IKEv2:已弃用以下子命令:
-
crypto ikev2 policy priority
-
integrity md5
-
prf md5
-
group 2
-
group 5
-
group 24
-
encryption 3des
-
encryption des(仅当您拥有 DES 加密许可证时,此命令仍然可用)
-
encryption null
-
IPsec:以下命令已弃用:
-
crypto ipsec ikev1 transform-set name esp-3des esp-des esp-md5-hmac
-
crypto ipsec ikev2 ipsec-proposal name
-
protocol esp integrity md5
-
protocol esp encryption 3des aes-gmac aes-gmac- 192 aes-gmac -256 des
-
-
crypto ipsec profile name
-
set pfs group2 group5 group24
-
SSH:已弃用以下命令:
-
ssh cipher integrity custom hmac-sha1-96:hmac-md5: hmac-md5-96
-
ssh key-exchange group dh-group1-sha1
SSL:以下命令已弃用:
-
ssl dh-group group2
-
ssl dh-group group5
-
ssl dh-group group24
加密映射:以下命令已弃用:
-
crypto map name sequence set pfs group2
-
crypto map name sequence set pfs group5
-
crypto map name sequence set pfs group24
-
crypto map name sequence set ikev1 phase1-mode aggressive group2
-
crypto map name sequence set ikev1 phase1-mode aggressive group5
-
-
在 9.13(1) 中,Diffie-Hellman 组 14 现在是使用 crypto map set pfs 、crypto ipsec profile 、crypto dynamic-map set pfs 和 crypto map set ikev1 phase1-mode 的 IPsec PFS 的 crypto ikev1 policy 、ssl dh-group 和 crypto ikev2 policy 下的 group 命令的默认设置。以前的默认 Diffie-Hellman 组是组 2。
当您从 9.13(1) 之前的版本升级时,如果您需要使用旧的默认值(Diffie-Hellman 组 2),则必须手动将 DH 组配置为组 2,否则隧道将默认为组 14。由于组 2 将在未来版本中删除,因此您应将隧道尽快移至组 14。
9.12 准则
-
9.12(4.50)/7.18(1.152) 及更高版本中的 ASDM 签名映像支持 - ASA 现在会验证 ASDM 映像是否为思科数字签名映像。如果您尝试使用具有此修复程序的 ASA 版本来运行较早的 ASDM 映像,则系统将阻止 ASDM 并在 ASA CLI 上显示消息“%错误:签名对文件 disk0:/<filename> 无效 (%ERROR: Signature not valid for file disk0:/<filename>)”。ASDM 版本 7.18(1.152) 及更高版本向后兼容所有 ASA 版本,即使是没有安装此修补程序的版本。(CSCwb05291, CSCwb05264)
-
ASDM U升级导航 - 由于内部更改,此向导仅支持使用 ASDM 7.10(1) 及更高版本;此外,由于映像命名更改,您必须使用 ASDM 7.12(1) 或更高版本以升级到 ASA 9.10(1) 及更高版本。由于 ASDM 向后兼容较早的 ASA 版本,因此您可以升级 ASDM,无论您运行的是哪个 ASA 版本。
-
9.12(1) 中的 SSH 安全改进和新默认值 - 请参阅以下 SSH 安全改进:
-
不再支持 SSH 版本 1;仅支持版本 2。ssh version 1 命令将迁移到 ssh version 2 。
-
支持 Diffie-Hellman 组 14 SHA256 密钥交换。此设置现在为默认值(ssh key-exchange group dh-group14-sha256 )。先前默认值为组 1 SHA1。请确保 SSH 客户端支持 Diffie-hellman 组 14 SHA256。否则,您可能会看到一个错误,例如“不同意密钥交换算法”。例如,OpenSSH 支持 Diffie-hellman 组 14 SHA256。
-
支持 HMAC-SHA256 完整性加密。默认值现在是高安全性的密码集(hmac-sha1 和 hmac-sha2-256,如 ssh cipher integrity high 命令所定义)。先前默认值为介质集。
-
-
NULL-SHA TLSv1 密码已弃用并已从 9.12(1) 中删除 - 因为 NULL-SHA 不提供加密,不再是针对现代威胁的安全保护,所以在 tls-proxy 模式命令/选项和 show ssl ciphers all 输出中列出 TLSv1 支持的密码时,系统将会删除该密码。ssl cipher tlsv1 all 和 ssl cipher tlsv1 custom NULL-SHA 命令也将被弃用并删除。
-
9.12(1) 中删除了默认信任池 - 为符合 PSB 要求,SEC-AUT-DEFROOT,将从 ASA 映像中删除“默认”受信任 CA 捆绑包。因此, crypto ca trustpool import default 和 crypto ca trustpool import clean default 命令也会随其他相关逻辑一起删除。但是,在现有部署中的以前使用这些命令导入的证书将保留在原来的位置。
-
9.12(1) 中删除了 ssl encryption 命令 - 在 9.3(2) 中,已宣布弃用该命令并将其替换为 ssl cipher 。在 9.12(1) 中,ssl encryption 已删除,不再受支持。
9.10 准则
-
由于内部更改,ASDM 升级向导仅支持使用 ASDM 7.10(1) 及更高版本;此外,由于映像命名更改,您必须使用 ASDM 7.12(1) 或更高版本以升级到 ASA 9.10(1) 及更高版本。由于 ASDM 向后兼容较早的 ASA 版本,因此您可以升级 ASDM,无论您运行的是哪个 ASA 版本。
9.9 准则
-
9.9(2) 及更高版本上大型配置的 ASA 5506-X 内存问题 - 如果升级到 9.9(2) 或更高版本,则由于内存不足,可能会拒绝超大型配置的某些部分,并出现以下消息:“错误:内存不足,无法安装规则”。一种选择是输入 object-group-search access-control 命令来提高 ACL 的内存使用率;但是,性能可能会受到影响。或者,您可以降级到 9.9(1)。
9.8 准则
-
9.8(4.45)/7.18(1.152) 及更高版本中的 ASDM 签名映像支持 - ASA 现在会验证 ASDM 映像是否为思科数字签名映像。如果您尝试使用具有此修复程序的 ASA 版本来运行较早的 ASDM 映像,则系统将阻止 ASDM 并在 ASA CLI 上显示消息“%错误:签名对文件 disk0:/<filename> 无效 (%ERROR: Signature not valid for file disk0:/<filename>)”。ASDM 版本 7.18(1.152) 及更高版本向后兼容所有 ASA 版本,即使是没有安装此修补程序的版本。(CSCwb05291, CSCwb05264)
-
在升级到 9.8(2) 或更高版本之前,FIPS 模式要求故障转移密钥至少为 14 个字符 - 在 FIPS 模式下升级到 9.8(2) 或更高版本之前,必须将 failover key 或 failover ipsec pre-shared-key 更改为至少 14 个字符长。如果故障转移密钥太短,则在升级第一台设备时,系统会拒绝故障转移密钥,并且两台设备都将变为主用状态,直到您将故障转移密钥设置为有效值。
-
请勿将 Amazon Web 服务上的 ASAv 升级到 9.8(1) - 由于存在 CSCve56153,因此不应升级到 9.8(1)。升级后,ASAv 将无法连接。改为升级到 9.8(1.5) 或更高版本。
9.7 准则
-
VTI 和 VXLAN VNI 9.7(1) 至 9.7(1.x) 及更高版本的升级问题 - 如果您同时配置虚拟隧道接口 (VTI) 和 VXLAN 虚拟网络标识符 (VNI) 接口,则您无法执行零停机时间升级以进行故障转移;在两台设备的版本相同之前,这些接口类型上的连接将不会复制到备用设备。(CSCvc83062)
9.6 准则
-
(ASA 9.6(2) 到 9.7(x))使用 SSH 公钥身份验证时的升级影响 - 由于对 SSH 身份验证的更新,需要其他配置来启用 SSH 公钥身份验证;因此,使用公钥身份验证的现有 SSH 配置在升级后不再有效。公钥身份验证是 Amazon Web 服务 (AWS) 上的 ASAv 的默认设置,因此 AWS 用户会遇到此问题。为避免断开 SSH 连接,您可以在升级之前 更新您的配置。或者,您可以在升级之后使用 ASDM(如果您启用了 ASDM 访问)修复配置。
注
在 9.8(1) 中恢复了原始行为。
用户名“admin”原始配置示例:
username admin nopassword privilege 15 username admin attributes ssh authentication publickey 55:06:47:eb:13:75:fc:5c:a8:c1:2c:bb: 07:80:3a:fc:d9:08:a9:1f:34:76:31:ed:ab:bd:3a:9e:03:14:1e:1b hashed
要在升级之前使用 ssh authentication 命令,请输入以下命令:
aaa authentication ssh console LOCAL username admin password <password> privilege 15
我们建议为该用户名设置一个密码,而不是保留 nopassword 关键字(如果存在)。nopassword 关键字表示可以输入任何 密码,而不是不能 输入任何密码。在 9.6(2) 之前,SSH 公钥身份验证不需要 aaa 命令,因此未触发 nopassword 关键字。现在,由于需要 aaa 命令,因此如果已经有 password (或 nopassword )关键字,则它会自动允许对 username 进行常规密码身份验证。
在升级之后,username 命令不再需要 password 或 nopassword 关键字;您可以要求用户不能输入密码。因此,要仅强制实施公钥身份验证,请重新输入 username 命令:
username admin privilege 15
-
在 Firepower 9300 上升级 ASA 时的升级影响 - 由于后端的许可证授权命名更改,当您升级到 ASA 9.6(1)/FXOS 1.1(4) 时,启动配置在初始重新加载期间可能无法正确解析;与附加设备授权对应的配置会被拒绝。
对于独立 ASA,在设备重新加载新版本后,等待至所有授权均得到处理且处于“已授权”状态(show license all 或监控 > 属性 > 智能许可证),然后只需再次重新加载(reload 或工具 > 系统重新加载),无需 保存配置。在重新加载后,将正确解析启动配置。
对于故障转移对,如果您有任何附加设备授权,请按照 FXOS 发行说明中的升级程序进行操作,但在重新加载每台设备后重置故障转移(failover reset 或 监听 > 属性 > 故障转移 > 状态,监听 > 故障转移 > 系统,或监听 > 故障转移 > 故障转移组,然后点击重置故障转移)。
对于集群,请按照 FXOS 版本说明中的升级程序进行操作;无需执行其他操作。
9.5 准则和迁移
-
9.5(2) 新运营商许可证 - 新运营商许可证取代现有的 GTP/GPRS 许可证,还包括对 SCTP 和 Diameter 检测的支持。对于 Firepower 9300 ASA 安全模块,feature mobile-sp 命令将自动迁移至 feature carrier 命令。
-
9.5(2) 弃用电子邮件代理命令 - 在 ASA 版本 9.5(2) 中,不再支持电子邮件代理命令(imap4s 、pop3s 、smtps )及子命令。
-
9.5(2) 弃用或迁移 CSD 命令 - 在 ASA 版本 9.5(2) 中,不再支持 CSD 命令(csd image 、show webvpn csd image 、show webvpn csd 、show webvpn csd hostscan 、show webvpn csd hostscan image )。
以下 CSD 命令将迁移:csd enable 迁移至 hostscan enable ;csd hostscan image 迁移至 hostscan image 。
-
9.5(2) 弃用选择 AAA 命令 - 在 ASA 版本 9.5(2) 中,不再支持以下 AAA 命令及子命令(override-account-disable 、authentication crack )。
-
9.5(1) 弃用了以下命令: timeout gsn
-
升级至 9.5(x) 或更高版本时的 ASA 5508-X 和 5516-X 升级问题 - 在升级到 ASA 9.5(x) 或更高版本之前,如果您从未启用巨帧预留,则必须检查最大内存空间。由于制造缺陷,可能应用了错误的软件内存限制。如果在执行以下修复之前升级到 9.5 (x) 或更高版本,则您的设备将在启动时崩溃;在这种情况下,您必须使用 ROMMON 降级到 9.4(使用 ROMMON 加载 ASA 5500-X 系列的映像),执行下面的程序,然后再次升级。
-
输入以下命令以检查故障条件:
ciscoasa# show memory detail | include Max memory footprint Max memory footprint = 456384512 Max memory footprint = 0 Max memory footprint = 456384512
如果对于“Max memory footprint”返回小于 456,384,512 的值,则表示存在故障条件,您必须在升级之前完成余下的步骤。如果显示的内存为 456,384,512 或更大值,则可以跳过此程序的剩余步骤,升级会正常进行。
-
进入全局配置模式:
ciscoasa# configure terminal ciscoasa(config)#
-
暂时启用巨帧预留:
ciscoasa(config)# jumbo-frame reservation WARNING: This command will take effect after the running-config is saved and the system has been rebooted. Command accepted. INFO: Interface MTU should be increased to avoid fragmenting jumbo frames during transmit
注
不要重新加载 ASA。
-
保存配置:
ciscoasa(config)# write memory Building configuration... Cryptochecksum: b511ec95 6c90cadb aaf6b306 41579572 14437 bytes copied in 1.320 secs (14437 bytes/sec) [OK]
-
禁用巨帧预留:
ciscoasa(config)# no jumbo-frame reservation WARNING: This command will take effect after the running-config is saved and the system has been rebooted. Command accepted.
注
不要重新加载 ASA。
-
再次保存配置:
ciscoasa(config)# write memory Building configuration... Cryptochecksum: b511ec95 6c90cadb aaf6b306 41579572 14437 bytes copied in 1.320 secs (14437 bytes/sec) [OK]
-
现在,您可以升级到 9.5(x) 或更高版本。
-
9.4 准则和迁移
-
9.4(1) 统一通信电话代理和公司间媒体引擎代理已弃用 - ASA 9.4 版本不再支持电话代理和 IME 代理。
9.3 准则和迁移
-
9.3(2) 传输层安全 (TLS) 版本 1.2 支持 - 我们现在支持使用 TLS 版本 1.2 面向 ASDM、Clientless SSVPN 和 AnyConnect VPN 进行安全的消息传输。引入或修改了以下命令:ssl client-version、ssl server-version、ssl cipher、ssl trust-point、ssl dh-group。弃用了以下命令:ssl encryption
-
9.3(1) 删除了 AAA Windows NT 域身份验证 - 我们删除了远程 VPN 用户的 NTLM 支持。弃用了以下命令:aaa-server protocol nt
9.2 准则和迁移
自动更新服务器证书验证
默认情况下会启用 9.2(1) 自动更新服务器证书验证。现在,默认情况下会启用自动更新服务器证书验证;对于新的配置,必须明确禁用证书验证。如果您是从较早版本升级且未启用证书验证,则不会启用证书验证,并会显示以下警告:
WARNING: The certificate provided by the auto-update servers will not be verified. In order to verify this certificate please
use the verify-certificate option.
配置将迁移为明确不配置验证:
auto-update server no-verification
升级对 ASDM 登录的影响
在从 9.2(2.4) 以前的版本升级到 9.2(2.4) 或更高版本时,升级对 ASDM 登录的影响。如果您从 9.2(2.4) 以前的版本升级到 ASA 版本 9.2(2.4) 或更高版本,并且使用命令授权和 ASDM 定义的用户角色,则具有只读权限的用户将无法登录到 ASDM。必须在升级到权限级别 5 之前或之后更改 more 命令;只有管理员级别的用户才能进行此项更改。请注意,对于已定义的用户角色,ASDM 版本 7.3(2) 和更高版本在级别 5 包括 more 命令,但预先存在的配置需要手动修复。
ASDM:
-
依次选择配置 > 设备管理 > 用户/AAA > AAA 访问 > 授权,然后点击配置命令权限。
-
选择 more,然后点击编辑。
-
将权限级别更改为 5,然后点击确定。
-
点击确定,然后点击应用。
CLI:
ciscoasa(config)# privilege cmd level 5 mode exec command more
9.1 准则和迁移
-
最大 MTU 现在为 9198 字节 - 如果您的 MTU 设置为高于 9198 的值,则当您升级时,MTU 会自动降级。有时,此 MTU 更改可能导致 MTU 不匹配;请务必将所有连接的设备设置为使用新的 MTU 值。ASA 可使用的最大 MTU 为 9198 字节(通过 CLI 帮助可检查型号的确切限制)。此值不包括第 2 层报头。以前,ASA 允许您将最大 MTU 指定为 65535 字节,这不准确,并可能引发问题。
9.0 准则和迁移
-
IPv6 ACL 迁移 - IPv6 ACL (ipv6 access-list ) 将迁移至扩展后的 ACL (access-list extended );IPv6 ACL 不再受支持。
如果在接口的同一方向上应用 IPv4 和 IPv6 ACL(access-group 命令),则这些 ACL 将会合并:
-
如果在任何非访问组中的位置都未同时使用 IPv4 和 IPv6 ACL,则使用 IPv4 ACL 的名称作为合并的 ACL;IPv6 访问列表将被删除。
-
如果在其他功能中使用了其中至少一个 ACL,将会创建一个名为 IPv4-ACL-name_IPv6-ACL-name 的新 ACL;正在使用的 ACL 继续用于其他功能。未在使用的 ACL 将被删除。如果 IPv6 ACL 正在为其他功能所用,它将迁移至同名的扩展 ACL。
-
-
ACL 任意关键字迁移 - 由于 ACL 同时支持 IPv4 和 IPv6,any 关键字现在代表“所有 IPv4 和 IPv6 流量”。任何使用 any 关键字的现有 ACL 将全部改为使用 any4 关键字,表示“所有 IPv4 流量”。
此外,还引入了一个单独的关键字来指示“所有 IPv6 流量”:any6 。
any4 和 any6 关键字不能用于使用 any 关键字的所有命令。例如,NAT 功能仅使用 any 关键字;any 可表示 IPv4 流量或 IPv6 流量,具体取决于特定 NAT 命令中的上下文。
-
支持端口转换的静态 NAT 升级前要求 - 在版本 9.0 及更高版本中,支持端口转换的静态 NAT 规则仅限访问指定端口的目标 IP 地址。如果您尝试访问其他端口上 NAT 规则未涵盖的的目标 IP 地址,连接将被阻止。两次 NAT 的这一行为也是如此。此外,如果流量与两次 NAT 规则的源 IP 地址不匹配,但与目标 IP 地址匹配,流量将被丢弃,不管目标端口为何。因此,在升级前,必须为允许发送到目标 IP 地址的所有其他流量添加额外规则。
例如,您具有以下对象 NAT 规则,用于在端口 80 和端口 8080 之间转换传输至内部服务器的 HTTP 流量:
object network my-http-server host 10.10.10.1 nat (inside,outside) static 192.168.1.1 80 8080
如果您希望任何其他服务到达服务器(如 FTP),则必须明确允许它们:
object network my-ftp-server host 10.10.10.1 nat (inside,outside) static 192.168.1.1 ftp ftp
或者,要允许流量传输到服务器的其他端口,您可以添加将与所有其他端口匹配的一般静态 NAT 规则:
object network my-server-1 host 10.10.10.1 nat (inside,outside) static 192.168.1.1
对于两次 NAT,您具有以下规则,允许从 192.168.1.0/24 到内部服务器的 HTTP 流量,并在端口 80 和端口 8080 之间进行转换:
object network my-real-server host 10.10.10.1 object network my-mapped-server host 192.168.1.1 object network outside-real-hosts subnet 192.168.1.0 255.255.255.0 object network outside-mapped-hosts subnet 10.10.11.0 255.255.255.0 object service http-real service tcp destination eq 80 object service http-mapped service tcp destination eq 8080 object service ftp-real service tcp destination eq 21 nat (outside,inside) source static outside-real-hosts outside-mapped-hosts destination static my-mapped-server my-real-server service http-mapped http-real
如果希望外部主机访问内部服务器上的其他服务,请为该服务添加另一个 NAT 规则,例如 FTP:
nat (outside,inside) source static outside-real-hosts outside-mapped-hosts destination static my-mapped-server my-real-server ftp-real ftp-real
如果希望其他源地址到达任何其他端口上的内部服务器,则可以为该特定 IP 地址或任何源 IP 地址添加另一个 NAT 规则。确保一般规则的顺序位于特定规则之后。
nat (outside,inside) source static any any destination static my-mapped-server my-real-server
8.4 准则和迁移
-
透明模式的配置迁移 - 在 8.4 中,所有透明模式接口现在都属于网桥组。升级到 8.4 后,现有的两个接口归入网桥组 1 中,管理 IP 地址指定给网桥组虚拟接口 (BVI)。当使用一个网桥组时,功能保持不变。现在,可以利用网桥组功能为每个网桥组配置多达四个接口,并且在单模式下或每个情景中,可以创建多达八个网桥组。
注
请注意,在 8.3 及更早的版本中,作为一项不受支持的配置,您无需 IP 地址即可配置管理接口,并且可以使用设备管理地址访问接口。在 8.4 中,设备管理地址分配至 BVI,管理接口无法再使用该 IP 地址进行访问;管理接口需要其自己的 IP 地址。
-
从 8.3(1)、8.3(2) 和 8.4(1) 升级至 8.4(2) 时,所有身份 NAT 配置此时都将包含 no-proxy-arp 和 route-lookup 关键字,以便维持现有功能。unidirectional 关键字将被删除。
8.3 准则和迁移
请参阅以下指南,它介绍了从 8.3 以前版本的思科 ASA 5500 操作系统 (OS) 升级到版本 8.3 时的配置迁移过程:
集群准则
除以下例外情况,对 ASA 集群的零停机升级没有特殊要求。
注 |
未正式支持集群的零停机降级。 |
-
数据流分流的 Firepower 4100/9300 故障转移和集群无中断升级要求 - 由于数据流分流功能中的漏洞修复,FXOS 和 ASA 的某些组合不支持数据流分流(请参阅兼容性表)。默认情况下会为 ASA 禁用数据流分流。要在使用数据流分流时执行故障转移或集群无中断升级,您需要遵循以下升级路径,以确保在升级到 FXOS 2.3.1.130 或更高版本时始终运行兼容的组合:
-
将 ASA 升级到 9.8(3) 或更高版本
-
将 FXOS 升级到 2.3.1.130 或更高版本
-
将 ASA 升级到您的最终版本
例如,您运行 FXOS 2.2.2.26/ASA 9.8(1),希望升级到 FXOS 2.6.1/ASA 9.12(1),则可以:
-
将 ASA 升级到 9.8(4)
-
将 FXOS 升级到 2.6.1
-
将 ASA 升级到 9.12(1)
-
-
Firepower 4100/9300 集群升级到 FXOS 2.3/ASA 9.9(2) - 运行 ASA 9.8 及更低版本的数据单元无法重新加入控制单元运行 FXOS 2.3/ASA 9.9(2) 或更高版本的集群;在您将 ASA 版本升级到 9.9(2)+ [CSCvi54844] 后,它们将会加入。
-
分布式站点间 VPN - 发生故障的设备上的分布式站点间 VPN 会话最多需要 30 分钟才能在其他设备上稳定。在这段时间内,其他设备故障可能会导致会话丢失。因此,在集群升级期间,要避免流量丢失,请执行以下步骤。请参阅 FXOS/ASA 集群升级过程,以便您可以将这些步骤集成到升级任务中。
注
从 9.9(1) 升级到 9.9(2) 或更高版本时,分布式站点间 VPN 不支持零停机升级。在 9.9(2) 中,由于主用会话重新分发增强,您不能运行 9.9(2) 上的部分设备和 9.9(1) 上的其他设备。
-
在没有控制单元的机箱上,使用 ASA 控制台禁用一个模块上的集群。
cluster group name
no enable
如果要在机箱及 ASA 上升级 FXOS,请保存配置,以便在机箱重新引导后将禁用集群:
write memory
-
等待集群稳定;验证是否已创建所有备份会话。
show cluster vpn-sessiondb summary
-
对此机箱上的每个模块重复第 1 步和第 2 步。
-
使用 FXOS CLI 或 Firepower 机箱管理器在机箱上升级 FXOS。
-
在机箱联机后,使用 FXOS CLI 或 Firepower 机箱管理器更新每个模块上的 ASA 映像。
-
在模块联机后,在 ASA 控制台重新启用每个模块上的集群。
cluster group name
enable
write memory
-
在第二个机箱上重复第 1 步至第 6 步,确保先在数据单元上禁用集群,最后是控制单元。
系统将从升级的机箱中选择一个新的控制单元。
-
在集群稳定之后,使用主设备上的 ASA 控制台在集群中的所有模块之间重新分发活动会话。
cluster redistribute vpn-sessiondb
-
-
具有集群功能的 9.9(1) 及更高版本的升级问题 - 9.9(1) 及更高版本包含备份分发方面的改进。您应按照如下所述执行升级到 9.9(1) 或更高版本,以利用新的备份分发方法;否则,升级的设备将继续使用旧方法。
-
从集群中删除所有辅助设备(使得集群仅包含主设备)。
-
升级 1 个辅助设备,然后重新加入集群。
-
禁用主设备上的集群功能;将其升级,然后重新加入集群。
-
一次一个,升级剩余的辅助设备,然后重新加入集群。
-
-
Firepower 4100/9300 集群升级到 ASA 9.8(1) 及更低版本 - 作为升级过程的一部分,当您在数据设备 (no enable ) 上禁用集群时,定向到该设备的流量在重定向到新的所有者 [CSCvc85008] 之前,最长可能丢包三秒。
-
升级到具有 CSCvb24585 修复程序的以下版本时,可能不支持零停机升级。此修复将 3DES 从默认(中) SSL 密码移动到低密码集。如果设置仅包含 3DES 的自定义密码,则当连接的另一端使用不再包含 3DES 的默认(中)密码时,可能会出现不匹配情况。
-
9.1(7.12)
-
9.2(4.18)
-
9.4(3.12)
-
9.4(4)
-
9.5(3.2)
-
9.6(2.4)
-
9.6(3)
-
9.7(1)
-
9.8(1)
-
-
完全限定域名 (FQDN) ACL 的升级问题 - 由于 CSCuv92371,包含 FQDN 的 ACL 可能会导致将 ACL 复制到集群或故障转移对中的到辅助设备时不完整。此漏洞存在于 9.1(7)、9.5(2)、9.6(1) 以及某些临时版本中。我们建议您升级到包括 CSCuy34265 修复的版本:9.1(7.6) 或更高版本、9.5(3) 或更高版本、9.6(2) 或更高版本。不过,由于配置复制的性质,零停机时间升级将不可用。有关不同升级方法的详细信息,请参阅 CSCuy34265。
-
Firepower 威胁防御版本 6.1.0 集群不支持站点间集群功能(从 6.2.0 开始,您可以使用 FlexConfig 配置站点间功能)。如果在 FXOS 2.1.1 中部署或重新部署了 6.1.0 集群,并且输入了(不受支持的)站点 ID 值,请删除 FXOS 中每个设备上的站点 ID(设置为 0),然后升级到 6.2.3。否则,升级后设备将无法重新加入集群。如果已升级,请在每台设备上将站点 ID 更改为 0 ,以解决问题。请参阅 FXOS 配置指南以查看或更改站点 ID
-
升级至 9.5(2) 或更高版本 (CSCuv82933) - 如果您在升级控制单元之前输入 show cluster info ,则升级后的数据单元会显示“DEPUTY_BULK_SYNC”;其他不匹配的状态也会显示。您可以忽略此显示;当您升级完所有设备后,状态将正确显示。
-
从 9.0(1) 升级至 9.1(1)(CSCue72961) - 不支持零停机时间升级。
故障转移准则
除以下例外情况,对故障转移的零停机时间升级没有特殊要求:
-
对于 Firepower 1010,无效的 VLAN ID 可能会导致问题 - 在升级到 9.15(1) 之前,请确保未将 VLAN 用于 3968 到 4047 范围内的交换机端口。这些 ID 仅用于内部使用,并且 9.15(1) 包含一项检查,以确保您未使用这些 ID。例如,如果这些 ID 在升级故障转移对后仍在使用,则故障转移对将进入暂停状态。有关详细信息,请参阅 CSCvw33057。
-
数据流分流的 Firepower 4100/9300 故障转移和集群无中断升级要求 - 由于数据流分流功能中的漏洞修复,FXOS 和 ASA 的某些组合不支持数据流分流(请参阅兼容性表)。默认情况下会为 ASA 禁用数据流分流。要在使用数据流分流时执行故障转移或集群无中断升级,您需要遵循以下升级路径,以确保在升级到 FXOS 2.3.1.130 或更高版本时始终运行兼容的组合:
-
将 ASA 升级到 9.8(3) 或更高版本
-
将 FXOS 升级到 2.3.1.130 或更高版本
-
将 ASA 升级到您的最终版本
例如,您运行 FXOS 2.2.2.26/ASA 9.8(1),希望升级到 FXOS 2.6.1/ASA 9.12(1),则可以:
-
将 ASA 升级到 9.8(4)
-
将 FXOS 升级到 2.6.1
-
将 ASA 升级到 9.12(1)
-
-
8.4(6)、9.0(2) 和 9.1(2) 的升级问题 - 由于 CSCug88962,您不能对 8.4(6)、9.0(2) 或 9.1(3) 执行零停机时间升级。您应代之以升级到 8.4(5) 或 9.0(3)。要升级 9.1(1),由于 CSCuh25271,不能直接升级到 9.1(3) 版本,因此对于零停机时间升级没有解决方法;在升级到 9.1(3) 或更高版本之前,必须先升级到 9.1(2)。
-
完全限定域名 (FQDN) ACL 的升级问题 - 由于 CSCuv92371,包含 FQDN 的 ACL 可能会导致将 ACL 复制到集群或故障转移对中的到辅助设备时不完整。此漏洞存在于 9.1(7)、9.5(2)、9.6(1) 以及某些临时版本中。我们建议您升级到包括 CSCuy34265 修复的版本:9.1(7.6) 或更高版本、9.5(3) 或更高版本、9.6(2) 或更高版本。不过,由于配置复制的性质,零停机时间升级将不可用。有关不同升级方法的详细信息,请参阅 CSCuy34265。
-
VTI 和 VXLAN VNI 9.7(1) 至 9.7(1.x) 及更高版本的升级问题 - 如果您同时配置虚拟隧道接口 (VTI) 和 VXLAN 虚拟网络标识符 (VNI) 接口,则您无法执行零停机时间升级以进行故障转移;在两台设备的版本相同之前,这些接口类型上的连接将不会复制到备用设备。(CSCvc83062)
-
在升级到 9.8(2) 或更高版本之前,FIPS 模式要求故障转移密钥至少为 14 个字符 - 在 FIPS 模式下升级到 9.8(2) 或更高版本之前,必须将 failover key 或 failover ipsec pre-shared-key 更改为至少 14 个字符长。如果故障转移密钥太短,则在升级第一台设备时,系统会拒绝故障转移密钥,并且两台设备都将变为主用状态,直到您将故障转移密钥设置为有效值。
-
GTP 检测的升级问题 - 在升级过程中可能会有一些停机时间,因为 GTP 数据结构不会复制到新节点。
其他准则
-
思科 ASA 无客户端 SSL VPN 门户自定义完整性漏洞 - 为 ASA 软件中的无客户端 SSL VPN 修复了多个漏洞,因此您应将软件升级到已修复的版本。有关漏洞的详细信息和已修复 ASA 版本的列表,请参阅http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141008-asa。此外,如果您运行的是具有易受攻击配置的更早 ASA 版本,则无论当前运行什么版本,都应确认门户自定义未受到危害。如果攻击者之前已经危害到自定义对象,则受到危害的对象在您将 ASA 升级到已修复版本后仍保持不变。升级 ASA 可防止此漏洞受到进一步利用,但是它不会修改任何已遭受危害的任何自定义对象,这些对象仍存在于系统上。
Firepower 管理中心升级准则
在升级之前,请检查《FMC 升级指南》中的 Firepower 管理中心准则。
FXOS 升级准则
在升级之前,请阅读所选升级路径中每个 FXOS 版本的发行说明。发行说明包含有关每个 FXOS 版本的重要信息,包括新功能和更改的功能。
升级可能需要必须解决的配置更改。例如,FXOS 版本中支持的新硬件可能还需要您更新 FXOS 固件。
FXOS 发行说明在此处提供: https://www.cisco.com/c/en/us/support/security/firepower-9000-series/products-release-notes-list.html。