PIX/ASA — 使用ASDM或CLI升級軟體映像
目錄
簡介
本文說明如何使用Cisco Adaptive Security Device Manager(ASDM)升級Cisco ASA 5500系列自適應安全裝置上的軟體映像。
如果您直接將安全裝置軟體從7.0升級(或降級)到7.2,或者直接將ASDM軟體從5.0升級(或降級)到5.2,則ASDM不起作用。您需要按增量順序執行此操作。
範例:為了執行ASDM軟體從5.0升級到5.2,請首先從5.0升級到5.1,然後從5.1升級到5.2。同樣,對於安全裝置,請首先從7.0升級到7.1,然後從7.1升級到7.2。
注意:如果您希望從7.1.(x)版升級或降級到7.2(x),反之亦然,您必須按照此過程中的步驟操作,因為舊版本的安全裝置映像無法識別新ASDM映像,而新安全裝置映像無法識別舊ASDM映像。請參閱Cisco PIX安全裝置發行說明7.2(2)版中的升級到新軟體版本部分,瞭解有關升級過程的詳細資訊。
註:您不能將ASA 5550降級為低於7.1(2)的軟體版本。 同樣,您不能將ASA 5505降級為低於7.2的軟體版本。有關詳細資訊,請參閱Cisco ASA 5500系列和PIX 500系列安全裝置硬體和軟體相容性。
注意:在多情景模式下,不能使用copy tftp flash命令在所有情景中升級或降級PIX/ASA映像;僅在系統Exec模式下支援。
必要條件
需求
本文件沒有特定需求。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
-
Cisco ASA 5500 7.0及更高版本
-
Cisco ASDM 5.0及更高版本
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
相關產品
此配置還可以與Cisco PIX 500系列安全裝置軟體版本7.0及更高版本配合使用。
慣例
下載軟體
您可以使用以下連結下載所需版本的ASA軟體映像和ASDM軟體映像:
-
Cisco ASA軟體版本下載(僅限註冊客戶)
-
Cisco ASDM軟體版本下載(僅限註冊客戶)
注意:您需要具有有效的思科使用者憑證,才能從Cisco.com下載此軟體。
使用ASDM 5.x升級軟體映像
完成以下步驟,使用ASDM升級ASA 5500上的軟體映像。
-
從ASDM的Home視窗中選擇Tools > Upgrade Software...。
-
從下拉選單中選擇要上傳的映像型別。
-
按一下Browse Local Files...或在Local File Path欄位中鍵入路徑,以指定軟體映像在PC上的位置。
-
按一下「Browse Flash...」。.
出現「Browse Flash Dialog(瀏覽快閃記憶體對話方塊)」視窗,並自動輸入檔名。如果未顯示檔名,請在「檔名」欄位中手動輸入檔名。完成後按一下OK。
-
指定本地和遠端檔名後,按一下Upload Image。
ASDM將映像寫入快閃記憶體時,出現「Status(狀態)」視窗。
完成後,將出現一個指示上載成功的資訊視窗。
-
在Information(資訊)視窗中按一下OK,然後在Upload Image from Local PC視窗中按一下Close。
-
依序選擇「Configuration > Properties > Device Administration > Boot Image/Configuration > Edit」,以變更開機映像的位置。
按一下Browse Flash以選擇或指定ASA映像檔案。然後按一下OK。
-
選擇File > Save Running Configuration to Flash,將配置儲存到快閃記憶體。
-
從主視窗選擇Tools > System Reload以重新載入裝置。
-
此時會出現一個新視窗,要求您驗證重新載入的詳細資訊。選擇Save the running configuration at the time of reload,然後選擇重新載入的時間。
-
Now — 立即重新啟動裝置。
-
延遲時間(Delay By) — 指定從現在起重新載入裝置的分鐘數或小時數。
-
Schedule at — 指定重新載入裝置的時間和日期。
您還可以指定當計畫的重新載入失敗時,裝置是否應立即強制重新載入。選中On Reload failure,在重新載入失敗後強制立即重新載入,然後指定最大保持時間。這是安全裝置在關閉或重新啟動之前等待通知其他子系統的時間量。經過此時間後,會發生快速(強制)關機/重新啟動。按一下「Schedule Reload」。
-
-
重新載入進行後,系統會顯示一個重新載入狀態視窗,表示正在執行重新載入。還提供了退出ASDM的選項。
注意:ASA重新載入後再次啟動ASDM。
使用ASDM 5.x升級ASDM映像
完成以下步驟,使用ASDM升級ASA 5500上的ASDM映像。
-
從ASDM的Home視窗中選擇Tools > Upgrade Software...。
-
從下拉選單中選擇要上傳的映像型別。
-
按一下Browse Local...或在Local File Path欄位中鍵入路徑,以指定PC上ASDM映像的位置。
-
按一下「Browse Flash...」。.
出現「Browse Flash Dialog(瀏覽快閃記憶體對話方塊)」視窗,並自動輸入檔名。如果未顯示檔名,請在「檔名」欄位中手動輸入檔名。完成後按一下OK。
-
指定本地和遠端檔名後,按一下Upload Image。
ASDM將映像寫入快閃記憶體時,出現「Status(狀態)」視窗。
完成後,將出現一個指示上載成功的資訊視窗。
-
在Information(資訊)視窗中按一下OK,然後在Upload Image from Local PC視窗中按一下Close。
-
選擇Configuration > Properties > Device Administration > Boot Image/Configuration,以在配置中更改ASDM映像檔名。
按一下Browse Flash以選擇或指定ASDM映像檔案。然後按一下OK。
-
選擇File > Save Running Configuration to Flash,將配置儲存到快閃記憶體。
-
從主視窗選擇Tools > System Reload以重新載入裝置。
-
此時會出現一個新視窗,要求您驗證重新載入的詳細資訊。按一下「Save the running configuration at the time of reload」,然後選擇要重新載入的時間。
-
Now — 立即重新啟動裝置。
-
延遲時間(Delay By) — 指定從現在起重新載入裝置的分鐘數或小時數。
-
Schedule at — 指定重新載入裝置的時間和日期。
您還可以指定當計畫的重新載入失敗時,裝置是否應立即強制重新載入。選中On Reload failure,在重新載入失敗後強制立即重新載入,然後指定最大保持時間。這是安全裝置在關閉或重新啟動之前等待通知其他子系統的時間量。經過此時間後,會發生快速(強制)關機/重新啟動。按一下「Schedule Reload」。
-
-
重新載入進行後,系統會顯示一個重新載入狀態視窗,表示正在執行重新載入。還提供了退出ASDM的選項。
注意:ASA重新載入後再次啟動ASDM。
使用ASDM 6.x升級軟體映像
注意:僅在ASA軟體映像8.x及更高版本上支援ASDM 6.x。
完成以下步驟,升級帶有ASDM的ASA 5500上的軟體映像:
-
從ASDM的Home視窗中選擇Tools > Upgrade Software from Local computer...。
-
從下拉選單中選擇要上傳的映像型別。
-
按一下Browse Local Files...或在Local File Path欄位中鍵入路徑,以指定軟體映像在PC上的位置。自動確定和顯示Flash File System中的檔案路徑。如果未顯示Flash File System中的檔案路徑,可以手動鍵入它,或按一下Browse Flash並選擇路徑。
-
指定兩個檔案路徑後,按一下Upload Image。ASDM將映像寫入快閃記憶體時,出現「Status(狀態)」視窗。
-
完成後,出現一個資訊視窗,指示上載成功,並要求將此映像設定為啟動映像。如果要將新映像設定為啟動映像,請按一下Yes;否則按一下「No」。
-
如果按一下Yes,則會將新映像設定為引導映像,並顯示「Information(資訊)」框。按一下「OK」(確定)。
-
從主視窗選擇Tools > System Reload以重新載入裝置。
-
此時會出現一個新視窗,要求您驗證重新載入的詳細資訊。選擇Save the running configuration at the time of reload,然後選擇重新載入的時間。
-
Now — 立即重新啟動裝置。
-
延遲時間(Delay By) — 指定從現在起重新載入裝置的分鐘數或小時數。
-
Schedule at — 指定重新載入裝置的時間和日期。
您還可以指定當計畫的重新載入失敗時,裝置是否必須立即強制重新載入。選中On Reload failure(重新載入失敗時),強制在之後立即重新載入,然後指定最大保持時間。這是安全裝置在關閉或重新啟動之前等待通知其他子系統的時間量。經過此時間後,會發生快速(強制)關機/重新啟動。按一下「Schedule Reload」。
-
-
重新載入進行後,系統會顯示一個重新載入狀態視窗,表示正在執行重新載入。還提供了退出ASDM的選項。按一下Exit ASDM,並在裝置重新載入後重新啟動ASDM。
使用ASDM 6.x升級ASDM映像
注意:僅在ASA軟體映像8.x及更高版本上支援ASDM 6.x。
完成以下步驟,升級帶有ASDM的ASA 5500上的ASDM映像:
-
從ASDM的Home視窗中選擇Tools > Upgrade Software from Local Computer...。
-
從下拉選單中選擇要上傳的映像型別。
-
按一下Browse Local Files...或在Local File Path欄位中鍵入路徑,以指定ASDM映像在PC上的位置。自動確定和顯示Flash File System中的檔案路徑。如果未顯示Flash File System中的檔案路徑,可以手動鍵入它,或按一下Browse Flash並選擇路徑。
-
指定兩個檔案路徑後,按一下Upload Image。ASDM將映像寫入快閃記憶體時,出現「Status(狀態)」視窗。
-
完成後,將出現一個資訊視窗,指示上載成功,並要求將此映像設定為預設的ASDM映像。如果要將新映像設定為ASDM映像,請按一下Yes;否則按一下「No」。
-
如果選擇Yes將新映像用作ASDM映像,則會出現「Information(資訊)」框。按一下「OK」(確定)。
-
按一下視窗頂部的Save,將運行配置儲存到快閃記憶體。
-
此時將顯示一個對話方塊,供您確認。按一下「Apply」。
-
按一下視窗頂部的File,然後選擇Exit關閉ASDM。
-
此時可能會出現要求您確認的對話方塊。按一下「Yes」。
-
再次運行ASDM以載入新的ASDM映像。
如需詳細資訊,請參閱以下影片:如何使用思科自適應安全裝置管理器(ASDM)升級思科自適應安全裝置(ASA)上的軟體映像
發佈到思科支援社群 
的以下影片介紹了如何使用ASDM在Cisco ASA上升級軟體映像:如何使用思科自適應安全裝置管理器(ASDM)升級思科自適應安全裝置(ASA)上的軟體映像
使用CLI升級軟體映像和ASDM映像
升級或降級PIX/ASA的軟體映像以及ASDM映像需要TFTP伺服器。請參閱TFTP伺服器選擇和使用以瞭解有關TFTP伺服器選擇的詳細資訊。
copy tftp flash命令可讓您通過TFTP將軟體映像下載到防火牆的快閃記憶體中。您可以在任何安全裝置型號中使用copy tftp flash命令。下次重新載入(重新引導)時,安全裝置可以使用您下載的映像。
以下是copy tftp flash命令的輸出:
copy tftp[:[[//location] [/tftp_pathname]]] [[flash/disk0][:[image | asdm]]]
注意:對於ASA,關鍵字disk0替換copy命令中的flash。
如果使用命令時沒有位置或路徑名可選引數,則位置及檔名將通過與Cisco IOS®軟體所顯示問題類似的一系列問題以互動方式從使用者獲取。如果只輸入冒號,引數將取自tftp-server命令設定。如果提供了其他可選引數,則會使用這些值來替代相應的tftp-server命令設定。如果提供了任何可選引數(如冒號及其後的任何內容),該命令將在不提示使用者輸入的情況下運行。
該位置是IP地址或通過安全裝置命名解析機制解析為IP地址的名稱,該機制當前是通過name和names命令的靜態對映。安全裝置必須知道如何通過其路由表資訊到達此位置。此資訊由IP地址、route或RIP命令確定。視您的組態而定。
路徑名可以包含伺服器上檔案路徑的實際最後一個元件以外的任何目錄名。路徑名不能包含空格。如果目錄名在TFTP伺服器中而不是copy tftp flash命令中將空格設定為目錄,並且如果您的TFTP伺服器配置為指向您下載映像的系統上的目錄,則只需使用系統的IP地址和映像檔名。TFTP伺服器收到命令並從其根目錄資訊確定實際檔案位置。然後伺服器將TFTP映像下載到安全裝置。
升級軟體映像和ASDM映像,並在下次重新載入時將其作為引導映像需要使用這些命令。
ASA#copy tftp [[flash:/disk0:][software image name/asdm image name]] !--- Command to set an image as bootup or specify the !--- ASDM image file. ASA(config)#boot system [flash:/disk0:]/[software image name] !--- Save active configuration to the Flash. ASA#write memory !--- Reboot the security appliance and load !--- with the new boot image as per the configuration file. ASA#reload
範例:
ASA5510#copy tftp disk0: Address or name of remote host []? 172.16.31.1 Source filename []? asa722-k8.bin Destination filename [asa722-k8.bin]? Accessing tftp://172.16.31.1/asa722-k8.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Writing file disk0:/asa722-k8.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 8312832 bytes copied in 163.350 secs (50998 bytes/sec) ASA5510#show disk0: -#- --length-- -----date/time------ path 6 5124096 Jan 01 2003 00:06:22 asa702-k8.bin 7 5623108 Feb 12 2007 00:23:48 asdm-522.bin 10 5539756 Feb 12 2007 00:14:18 asdm-521.bin 11 8294400 Dec 07 2006 05:47:20 asa721-24-k8.bin 12 6002680 Dec 21 2006 03:58:30 asdm-52034.bin 13 8312832 Feb 12 2007 22:46:30 asa722-k8.bin 23949312 bytes available (38932480 bytes used) !--- Command to set "asa722-k8.bin" as the boot image. ASA5510(config)# boot system disk0:/asa722-k8.bin !--- Command to set "asdm-522.bin" as the ASDM image. ASA5510(config)# asdm image disk0:/asdm-522.bin ASA5510# write memory ASA5510# reload
注意:嘗試從FTP伺服器升級ASA上的映像時,可以使用copy ftp flash命令。此命令允許您指定引數,如遠端IP地址和源檔名。此程式與TFTP類似。但是,有一個限制是您不能修改遠端IP/源介面(就像使用TFTP一樣)。 在TFTP模式下,可以提取並執行使用tftp-server命令指定的選項。但若使用FTP,則沒有此類選項。預設情況下,源介面應始終為outside,不能修改。也就是說,應該可從外部介面訪問FTP伺服器。
驗證
使用本節內容,確認您的軟體升級是否成功。
輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。
在ASA重新載入並再次成功登入到ASDM後,您可以驗證裝置上運行的映像的版本。請參閱「首頁」視窗中的「常規」頁籤以獲取此資訊。
以下CLI命令用於驗證升級:
-
Show version — 顯示啟動ASA的當前映像。
-
Show bootvar — 這顯示重新載入後要使用的映像的優先順序。
-
Show asdm image — 這顯示ASA使用的當前asdm映像。
疑難排解
目前尚無適用於此組態的具體疑難排解資訊。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
21-Aug-2007 |
初始版本 |
意見