ASA/PIX：如何使用CLI升級故障切換對上的軟體映像

簡介

本文檔介紹如何使用CLI升級Cisco ASA 5500系列自適應安全裝置故障切換對上的軟體映像。

注意：如果直接將安全裝置軟體從7.0升級到7.2（或降級），或者直接將ASDM軟體從5.0升級到5.2（或降級），則Adaptive Security Device Manager (ASDM)不起作用。您必須以遞增順序升級（或降級）。

有關如何在ASA上升級ASDM和軟體映像的詳細資訊，請參閱PIX/ASA：使用ASDM或CLI升級軟體映像配置示例

注意：在多上下文模式下，無法在所有上下文中都使用copy tftp flash命令升級或降級PIX/ASA映像；只有在System Exec模式下才支援該命令。

必要條件

需求

本文件沒有特定需求。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco自適應安全裝置(ASA)（7.0及更高版本）

• Cisco ASDM 5.0版及更高版本

注意：有關如何允許ASDM配置ASA的資訊，請參閱允許ASDM進行HTTPS訪問。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

相關產品

此配置還可用於Cisco PIX 500系列安全裝置軟體版本7.0及更高版本。

慣例

有關文檔規則的資訊，請參閱Cisco技術提示規則。

組態

針對故障切換對執行零停機時間升級

故障切換配置中的兩個單元應具有相同的主軟體版本（第一個編號）和次軟體版本（第二個編號）。但是，在升級過程中，您不需要維護裝置上的版本奇偶校驗；您可以在每個裝置上運行的軟體上使用不同的版本，同時仍保留故障切換支援。為確保長期相容性和穩定性，思科建議您儘快將兩台裝置升級到相同版本。

有3種升級型別可用。它們如下：

1. 維護版本 -您可以從任何維護版本升級到次要版本中的任何其他維護版本。例如，您可以從7.0(1)升級到7.0(4)，而無需先在中間安裝維護版本。

2. 次要版本— 您可以從次要版本升級到下一個次要版本。您不能跳過次要版本。例如，您可以從7.0升級到7.1。零停機時間升級不支援從7.0直接升級到7.2；必須先升級到7.1

3. 主版本 -您可以從上一個版本的最後一個次版本升級到下一個主版本。例如，您可以從7.9升級到8.0，假設7.9是7.x版本中的最後一個次要版本。

升級主用/備用故障切換配置

完成以下步驟以升級活動/備用故障切換配置中的兩個裝置：

1. 將新軟體下載至兩台裝置，並使用boot system指令指定要載入的新影像。

   有關詳細資訊，請參閱使用CLI升級軟體映像和ASDM映像。

2. 透過在活動單元上輸入failover reload-standby命令（如下所示），重新載入備用單元以引導新映像：

   active#failover reload-standby
   

3. 當備用單元完成重新載入並且處於Standby Ready狀態時，請透過輸入活動單元上的no failover active命令強制活動單元故障切換至備用單元。

   active#no failover active
   

   注意：使用show failover命令驗證備用裝置是否處於Standby Ready狀態。

4. 透過輸入reload命令重新載入以前的活動單元（現在是新的備用單元）：

   newstandby#reload
   

5. 當新備用單元完成重新載入並且處於Standby Ready狀態時，請輸入failover active命令，將原始主用單元恢復為active狀態：

   newstandby#failover active
   

這將完成升級主用/備用故障切換對的過程。

升級主用/主用故障切換配置

完成以下步驟以升級主用/主用故障切換配置中的兩個裝置：

1. 將新軟體下載至兩台裝置，並使用boot system指令指定要載入的新影像。

   有關詳細資訊，請參閱使用CLI升級軟體映像和ASDM映像。

2. 在主要單元的系統執行空間中輸入failover active命令，使兩個故障切換組在主單元上同時處於活動狀態：

   primary#failover active
   

3. 透過在主單元的系統執行空間中輸入failover reload-standby命令，重新載入輔助單元以引導新映像：

   primary#failover reload-standby
   

4. 當輔助單元完成重新載入，並且兩個故障切換組在該單元上均處於「備用就緒」狀態時，在主要單元的系統執行空間中使用no failover active命令使輔助單元上的兩個故障切換組都處於活動狀態：

   primary#no failover active
   

   注意：使用show failover命令驗證在輔助單元上的兩個故障切換組是否均處於Standby Ready狀態。

5. 確保兩個故障切換組在主要單元上均處於Standby Ready狀態，然後使用reload命令重新載入主要單元：

   primary#reload
   

6. 如果使用preempt命令配置了故障切換組，則在preempt延遲過後，這些故障切換組在其指定單元上將自動變為活動狀態。如果未使用preempt命令配置故障切換組，則您可以使用failover active group命令，在指定單元上將故障切換組恢復到活動狀態。

疑難排解

%ASA-5-720012： (VPN-Secondary)無法更新備用裝置上的IPSec故障轉移運行時資料（或） %ASA-6-720012： (VPN-unit)無法更新備用裝置上的IPsec故障轉移運行時資料

問題

當您嘗試升級思科自適應安全裝置(ASA)時，會顯示以下錯誤消息之一：

%ASA-5-720012： (VPN-Secondary)無法更新備用裝置上的IPSec故障轉移運行時資料。

%ASA-6-720012： (VPN-unit)無法更新備用裝置上的IPSec故障轉移運行時資料。

解決方案

這些錯誤訊息是資訊性錯誤。這些消息不會影響ASA或VPN的功能。

當VPN故障切換子系統無法更新與IPsec相關的運行時資料時，這些消息會出現，因為備用裝置上的相應IPsec隧道已被刪除。為了解決這些問題，請在活動單元上運行wr standby命令。

已存檔兩個錯誤以解決此行為；您可以升級到已修復這些Bug的ASA軟體版本。如需詳細資訊，請參閱Cisco錯誤ID CSCtj58420(僅限註冊客戶)和CSCtn56517(僅限註冊客戶)。

相關資訊

• Cisco ASA 5500系列調適型安全裝置
• 思科調適型資安裝置管理員
• 要求建議 (RFC)
• 技術支援與文件 - Cisco Systems