PIX 500安全裝置6.x到7.x的升級軟體
目錄
簡介
本文檔說明如何將PIX裝置從6.2或6.3版升級到7.x版。還包括自適應安全裝置管理器(ASDM)版本5.0的安裝。
必要條件
需求
開始此升級過程之前,請完成以下任務。
-
使用show running-config或write net命令將當前PIX配置儲存到文本檔案或TFTP伺服器。
-
使用show version命令顯示序列號和啟用金鑰。將此輸出儲存到文本檔案。如果需要恢復為舊版本的代碼,可能需要原始啟用金鑰。有關啟用金鑰的其他資訊,請參閱PIX防火牆常見問題。
-
確保在當前配置中沒有conduit或outbound命令。7.x不再支援這些命令,升級過程會刪除它們。使用Output Interpreter(僅供註冊客戶使用)工具可在嘗試升級之前將這些命令轉換為存取清單。
-
確保PIX不終止點對點隧道協定(PPTP)連線。PIX 7.1及更高版本當前不支援PPTP終止。
-
如果使用Failover,請確保LAN或有狀態介面未與任何經過介面的資料共用。例如,如果您使用內部介面傳遞資料流量以及狀態故障切換介面(內部故障切換鏈路),則必須在升級之前將狀態故障切換介面移動到另一個介面。否則將導致刪除與內部介面關聯的所有配置。此外,升級後資料流量不會通過介面。
-
在繼續之前,請確保PIX運行版本6.2或6.3。
-
閱讀計畫升級到的版本的發行說明,以便瞭解所有新命令、已更改命令和未推薦使用的命令。
-
有關版本6.x和7.x之間的任何其他命令更改,請參閱升級指南。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
-
PIX安全裝置515、515E、525和535
-
PIX軟體版本6.3(4)、7.0(1)
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
最低系統要求
在開始升級到版本7.x之前,Cisco建議PIX運行版本6.2或更高版本。這可確保正確轉換當前配置。此外,必須滿足以下硬體要求才能達到最低RAM和快閃記憶體要求:
| PIX型號 | RAM要求 | 快閃記憶體要求 | |
|---|---|---|---|
| 受限(R) | 非受限(UR)/僅故障轉移(FO) | ||
| PIX-515 | 64 MB* | 128 MB* | 16 MB |
| PIX-515 E | 64 MB* | 128 MB* | 16 MB |
| PIX-525 | 128 MB | 256 MB | 16 MB |
| PIX-535 | 512 MB | 1 GB | 16 MB |
*所有PIX-515和PIX-515E裝置都需要升級記憶體。
發出show version命令,以確定當前在PIX上安裝的RAM和快閃記憶體的大小。不需要快閃記憶體升級,因為下表中的所有PIX裝置預設安裝有16 MB。
注意:7.x版僅支援此表格中的PIX安全裝置。舊版PIX安全裝置(如PIX-520、510、10000和Classic)已停用,並且未運行7.0版或更高版本。如果您擁有其中一台裝置並希望運行7.x或更高版本,請與您當地的思科客戶團隊或經銷商聯絡以購買更新的安全裝置。此外,RAM小於64 MB的PIX防火牆(PIX-501、PIX-506和PIX-506E)無法運行初始7.0版本。
PIX 515/515E裝置的記憶體升級資訊
只有PIX-515和PIX-515E裝置才需要升級記憶體。請參閱下表,瞭解升級這些裝置上的記憶體所需的部件號。
注意:部件號取決於PIX上安裝的許可證。
| 當前裝置配置 | 升級解決方案 | ||
|---|---|---|---|
| 平台許可證 | 總記憶體(升級前) | 部件號 | 總記憶體(升級後) |
| 受限(R) | 32 MB | PIX-515-MEM-32= | 64 MB |
| 非受限(UR) | 32 MB | PIX-515-MEM-128= | 128 MB |
| 僅故障轉移(FO) | 64 MB | PIX-515-MEM-128= | 128 MB |
請參閱《Cisco PIX 515/515E Security Appliance Memory Upgrade for PIX Software v7.0 Product Bulletin》以瞭解其他資訊。
慣例
升級PIX安全裝置
軟體下載
要下載PIX 7.x軟體,請訪問Cisco Software Center(僅供註冊客戶使用)。Cisco.com上不再提供TFTP伺服器軟體。但是,當您在常用的Internet搜尋引擎上搜尋「tftp server」時,您可以找到許多TFTP伺服器。思科並未特別建議任何特定的TFTP實作。如需詳細資訊,請參閱TFTP伺服器頁面(僅限註冊客戶)。
升級程式
請注意,將PIX安全裝置升級到版本7.x是一項重大更改。許多CLI都進行了修改,因此升級後的配置看起來將非常不同。只在維護時段進行升級,因為升級過程需要一些停機時間。如果需要恢復到6.x映像,必須執行降級過程。否則會導致PIX進入連續重新啟動循環。若要繼續,請在此表中找到您的PIX裝置型號,然後選擇連結以檢視如何升級的說明。
| PIX型號 | 升級方法 |
|---|---|
| PIX-515 | 監視 |
| PIX-515E | copy tftp flash |
| PIX-525 | copy tftp flash |
| PIX-535(未安裝PDM) | copy tftp flash |
| PIX-535(已安裝PDM) | 監視 |
從監控模式升級PIX安全裝置
進入監控模式
完成以下步驟,進入PIX上的監控模式。
-
使用以下通訊設定將控制檯電纜連線到PIX上的控制檯埠:
-
9600位元/秒
-
8個資料位
-
無奇偶校驗
-
1停止位
-
無流量控制
-
-
重新通電或重新載入PIX。啟動期間,系統將提示您使用BREAK或ESC以中斷快閃記憶體啟動。您有10秒的時間來中斷正常的引導過程。
-
按ESC鍵或傳送BREAK字元以進入監控模式。
-
如果使用Windows超級終端,可以按ESC鍵或按Ctrl+Break以傳送BREAK字元。
-
如果通過終端伺服器Telnet訪問PIX的控制檯埠,則需要按Ctrl+](Control +右括弧)才能進入Telnet命令提示符。然後輸入send break指令。
-
-
將顯示monitor>提示。
-
繼續進入從監控模式升級PIX部分。
從監控模式升級PIX
完成以下步驟,以便從監控模式升級PIX。
注意:在監控模式下,64位插槽中的快速乙太網卡不可見。此問題表示TFTP伺服器不能位於這些介面中的其中一個。使用者應使用copy tftp flash命令通過TFTP下載PIX防火牆映像檔案。
-
將PIX裝置二進位制映像(例如pix701.bin)複製到TFTP伺服器的根目錄。
-
進入PIX上的監控模式。如果您不確定如何執行此操作,請參閱本文檔中有關如何進入監控模式的說明。
注意:一旦進入監控模式,您可以使用「?」 鍵檢視可用選項的清單。
-
輸入TFTP伺服器所連線的介面編號,或最接近TFTP伺服器的介面。預設值為interface 1(Inside)。
monitor>interface附註: 在監控模式下,介面總是自動交涉速度和雙工。介面設定不能採用硬編碼。因此,如果PIX介面插入了硬編碼為速度/雙工的交換機,則在您處於監控模式時將它重新配置為自動協商。另請注意,PIX裝置無法從監控模式初始化Gigabit乙太網介面。您必須改用快速乙太網路介面。
-
輸入步驟3中定義的介面的IP地址。
monitor>address -
輸入TFTP伺服器的IP地址。
monitor>server -
(可選)輸入網關的IP地址。如果PIX的介面與TFTP伺服器不在同一網路上,則需要網關地址。
monitor>gateway -
輸入要載入的TFTP伺服器上的檔案的名稱。這是PIX二進製影象檔名。
monitor>file -
從PIX ping TFTP伺服器以檢驗IP連通性。
如果ping失敗,請仔細檢查電纜、PIX介面和TFTP伺服器的IP地址以及網關的IP地址(如果需要)。 ping必須成功才能繼續。
monitor>ping -
輸入tftp以開始TFTP下載。
monitor>tftp
-
PIX將映像下載到RAM中並自動啟動它。
在引導過程中,檔案系統將隨當前配置一起轉換。但是,您尚未完成。請注意引導後的警告消息並繼續步驟11:
****************************************************************** ** ** ** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** ** ** ** ** ----> Current image running from RAM only! <---- ** ** ** ** When the PIX was upgraded in Monitor mode the boot image was not ** ** written to Flash. Please issue "copy tftp: flash:" to load and ** ** save a bootable image to Flash. Failure to do so will result in ** ** a boot loop the next time the PIX is reloaded. ** ** ** ************************************************************************
-
引導後,進入啟用模式並再次將同一映像複製到PIX。這一次使用copy tftp flash命令。
這會將映像儲存到快閃記憶體檔案系統。如果未能執行此步驟,則下次重新載入PIX時會出現引導回圈。
pixfirewall>enable pixfirewall#copy tftp flash
註:有關如何使用copy tftp flash命令複製映像的詳細說明,請參閱使用copy tftp flash命令升級PIX安全裝置部分。
-
使用copy tftp flash命令複製映像後,升級過程完成。
示例配置 — 從監控模式升級PIX安全裝置
monitor>interface 1
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
2: i8255X @ PCI(bus:1 dev:0 irq:11)
3: i8255X @ PCI(bus:1 dev:1 irq:11)
4: i8255X @ PCI(bus:1 dev:2 irq:11)
5: i8255X @ PCI(bus:1 dev:3 irq:11)
Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81
monitor>address 10.1.1.2
address 10.1.1.2
monitor>server 172.18.173.123
server 172.18.173.123
monitor>gateway 10.1.1.1
gateway 10.1.1.1
monitor>file pix701.bin
file pix701.bin
monitor>ping 172.18.173.123
Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor>tftp
tftp pix701.bin@172.18.173.123..........................................
Received 5124096 bytes
Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar 7 17:39:03 PST 2005
#######################################################################
128MB RAM
Total NICs found: 6
mcwa i82559 Ethernet at irq 10 MAC: 0050.54ff.4d80
mcwa i82559 Ethernet at irq 7 MAC: 0050.54ff.4d81
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2014
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2015
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2016
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2017
BIOS Flash=AT29C257 @ 0xfffd8000
Old file system detected. Attempting to save data in flash
!--- This output indicates that the Flash file !--- system is formatted. The messages are normal.
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-10627)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-14252)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-15586)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (5589)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (4680)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-21657)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-28397)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (2198)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-26577)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (30139)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (-17027)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (-2608)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (18180)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (0)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (29271)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (0)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 61...block number was (0)
flashfs[7]: erasing block 61...done.
flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0
flashfs[7]: 9 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 15998976
flashfs[7]: Bytes used: 10240
flashfs[7]: Bytes available: 15988736
flashfs[7]: flashfs fsck took 58 seconds.
flashfs[7]: Initialization complete.
Saving the datafile
!
Saving a copy of old datafile for downgrade
!
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
The version of image file in flash is not bootable in the current version of
software.
Use the downgrade command first to boot older version of software.
The file is being saved as image_old.bin anyway.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
Erasing sector 64...[OK]
Burning sector 64...[OK]
Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs : 25
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited
This platform has an Unrestricted (UR) license.
Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
--------------------------------------------------------------------------
. .
| |
||| |||
.|| ||. .|| ||.
.:||| | |||:..:||| | |||:.
C i s c o S y s t e m s
--------------------------------------------------------------------------
Cisco PIX Security Appliance Software Version 7.0(1)
****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.
A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************
Copyright (c) 1996-2005 by Cisco Systems, Inc.
Restricted Rights Legend
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
!--- These messages are printed for any deprecated commands.
.ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 71, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 76, "floodguard enable"
Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303
!--- All current fixups are converted to the !--- new Modular Policy Framework.
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
************************************************************************
** **
** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** **
** **
** ----> Current image running from RAM only! <---- **
** **
** When the PIX was upgraded in Monitor mode the boot image was not **
** written to Flash. Please issue "copy tftp: flash:" to load and **
** save a bootable image to Flash. Failure to do so will result in **
** a boot loop the next time the PIX is reloaded. **
** **
************************************************************************
Type help or '?' for a list of available commands.
pixfirewall>
pixfirewall>enable
Password:
使用copy tftp flash命令升級PIX安全裝置
完成這些步驟,以便使用copy tftp flash命令升級PIX。
-
將PIX裝置二進位制映像(例如pix701.bin)複製到TFTP伺服器的根目錄。
-
在啟用提示符下,發出copy tftp flash命令。
pixfirewall>enable Password:pixfirewall#copy tftp flash -
輸入TFTP伺服器的IP地址。
Address or name of remote host [0.0.0.0]? -
輸入要載入的TFTP伺服器上的檔案的名稱。這是PIX二進製影象檔名。
Source file name [cdisk]? -
系統提示啟動TFTP複製時,鍵入yes。
copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]?yes
-
現在,映像已從TFTP伺服器複製到快閃記憶體。
系統將顯示此消息,指示傳輸成功,擦除快閃記憶體中的舊二進位制映像,並寫入和安裝新映像。
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Writing 5066808 bytes of image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Image installed pixfirewall#
-
重新載入PIX裝置以啟動新映像。
pixfirewall#reload Proceed with reload? [confirm]Rebooting.... -
PIX現在啟動7.0映像,從而完成升級過程。
示例配置 — 使用copy tftp flash命令升級PIX裝置
pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall#
pixfirewall#reload
Proceed with reload? [confirm]
注意:使用無限制的許可證,PIX 515 E最多可以有八個VLAN,PIX 535最多可以有二十五個的VLAN。
從PIX 7.x降級到6.x
PIX安全裝置7.0版及更高版本使用與早期PIX版本不同的快閃記憶體檔案格式。因此,不能使用copy tftp flash指令從7.0映像降級到6.x映像。您必須改為使用downgrade指令。否則會導致PIX卡在引導環路中。
最初升級PIX時,6.x啟動配置被儲存在快閃記憶體中作為downgrade.cfg。當您執行此降級過程時,此配置會在降級後還原到裝置。當您在7.0中從enable>提示符下發出more flash:downgrade.cfg命令時,可以在降級之前檢查此配置。此外,如果PIX是通過監控模式升級的,則以前的6.x二進位制映像仍作為image_old.bin儲存在快閃記憶體中。發出show flash: 時,您可以驗證此映像是否存在。指令。如果映像存在於快閃記憶體中,您就可以在此程式的步驟1中使用此映像,而不是從TFTP伺服器載入映像。
完成以下步驟即可降級PIX安全裝置。
-
輸入downgrade指令,並指定要降級的映像的位置。
pixfirewall#downgrade tftp:/// 注意:如果從監控模式升級PIX,則舊的二進位制映像仍儲存在快閃記憶體中。核發此命令,以便降級回該映像:
pixfirewall#downgrade flash:/image_old.bin
-
系統將顯示警告消息,警告您快要格式化快閃記憶體了。按enter鍵繼續。
This command will reformat the flash and automatically reboot the system. Do you wish to continue? [confirm] -
映像現在會複製到RAM中,啟動組態也會複製到RAM中。
Buffering image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Buffering startup config All items have been buffered successfully
-
顯示另一條警告消息,表示快閃記憶體現在開始格式化。請勿中斷此進程,否則快閃記憶體可能會損壞。按下enter可繼續該格式。
If the flash reformat is interrupted or fails, data in flash will be lost and the system might drop to monitor mode. Do you wish to continue? [confirm] -
快閃記憶體現在已格式化,並且安裝了舊映像,PIX將重新啟動。
Acquiring exclusive access to flash Installing the correct file system for the image and saving the buffered data !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Flash downgrade succeeded Rebooting....
-
PIX現在啟動到正常提示。這將完成降級過程。
配置示例 — 從PIX 7.x降級到6.x
pixfirewall#downgrade tftp://172.18.108.26/pix634.bin
This command will reformat the flash and automatically reboot the system.
Do you wish to continue? [confirm]
升級故障切換集中的PIX裝置
從PIX裝置6.x升級到7.x是一項主要升級。如果沒有停機,則無法完成此操作,即使對於故障切換集中的PIX也是如此。許多failover命令會隨升級而更改。建議的升級路徑是關閉故障切換集中的一個PIX的電源。然後按照本文檔中的說明進行操作,以升級已開啟電源的PIX。升級完成後,驗證流量是否通過,並重新啟動PIX一次,以驗證它是否正常恢復。一旦您確信一切正常,請關閉新升級的PIX的電源並開啟另一個PIX的電源。然後按照本文檔中的說明升級PIX。升級完成後,確認流量通過。另外,重新啟動PIX一次,以驗證它是否正常恢復。一旦您確信一切正常,請開啟另一個PIX。兩個PIX現在均升級至7.x並通電。使用show failover命令驗證它們是否正確建立了故障切換通訊。
注意:PIX現在強制實施限制,即任何通過資料流量的介面不能同時用作LAN故障切換介面或狀態故障切換介面。如果當前的PIX配置有一個共用介面,該介面用於傳遞正常資料流量以及LAN故障切換資訊或有狀態資訊,並且如果升級,資料流量將不再通過該介面。與該介面關聯的所有命令也會失敗。
安裝自適應安全裝置管理器(ASDM)
在安裝ASDM之前,思科建議您閱讀計畫安裝的版本的發行說明。發行說明包括支援的最低瀏覽器和Java版本,以及支援的新功能和開放警告清單。
在7.0版本中,安裝ASDM的過程與過去略有不同。此外,一旦將ASDM映像複製到快閃記憶體,您必須在配置中指定它,以便PIX知道使用它。完成以下步驟,將ASDM映像安裝到快閃記憶體中。
-
驗證您的PIX與TFTP伺服器之間是否具有IP連線。為此,請從PIX ping TFTP伺服器。
-
在啟用提示符下,發出copy tftp flash命令。
pixfirewall>enable Password:pixfirewall#copy tftp flash -
輸入TFTP伺服器的IP地址。
Address or name of remote host [0.0.0.0]? -
輸入要載入的TFTP伺服器上的ASDM檔案的名稱。
Source file name [cdisk]? -
輸入您計畫儲存在快閃記憶體中的ASDM檔案的名稱。按enter鍵保留相同的檔名。
Destination filename [asdm-501.bin]? -
現在,映像已從TFTP伺服器複製到快閃記憶體。將顯示這些消息並指示傳輸成功。
Accessing tftp://172.18.173.123/asdm-501.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!! Writing file flash:/asdm-501.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!! 5880016 bytes copied in 140.710 secs (42000 bytes/sec)
-
複製ASDM映像後,發出asdm image flash:命令,以指定要使用的ASDM映像。
pixfirewall(config)#asdm image flash:asdm-501.bin
-
使用write memory指令將組態儲存到快閃記憶體。
pixfirewall(config)#write memory
-
這樣就完成了ASDM安裝過程。
疑難排解
| 症狀 | 解析 |
|---|---|
使用copy tftp flash方法升級PIX並重新啟動後,它將停滯在此重新啟動環路中: Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 5063168 bytes of image from flash. |
使用copy tftp flash命令無法升級版本低於4.2的BIOS版本的PIX裝置。您必須使用Monitor Mode方法升級這些模式。 |
在PIX運行7.0並重新啟動後,它將停滯在此重新啟動環路中: Rebooting.... Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 115200 bytes of image from flash. PIX Flash Load Helper Initializing flashfs... flashfs[0]: 10 files, 4 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 15998976 flashfs[0]: Bytes used: 1975808 flashfs[0]: Bytes available: 14023168 flashfs[0]: Initialization complete. Unable to locate boot image configuration Booting first image in flash No bootable image in flash. Please download an image from a network server in the monitor mode Failed to find an image to boot |
如果PIX從監控模式升級到7.0,但7.0映像在第一次引導7.0後沒有重新複製到快閃記憶體中,則當PIX重新載入時,它會停滯在重新啟動環路中。解析度是從監控模式重新載入影象。啟動後,您必須使用copy tftp flash方法再次複製映像。 |
使用copy tftp flash方法進行升級時,您會看到以下錯誤消息: pixfirewall#copy tftp flash Address or name of remote host [0.0.0.0]? 172.18.173.123 Source file name [cdisk]? pix701.bin copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]? y !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Insufficient flash space available for this request: Size info: request:5066808 current:1966136 delta:3100672 free:2752512 Image not installed pixfirewall# |
通過copy tftp flash方法升級PIX-535或PIX-515(非E)時,通常會出現此消息,並且PDM也載入到該PIX上的快閃記憶體中。解決方法是使用Monitor Mode方法升級。 |
| 將PIX從6.x升級到7.0後,某些配置不能正確遷移。 | show startup-config errors命令的輸出顯示了遷移配置期間出現的任何錯誤。首次啟動PIX後,輸出中會顯示錯誤。檢查這些錯誤並嘗試解決它們。 |
| PIX運行版本7.x,並且安裝了更新的版本。當PIX重新啟動時,舊版本繼續載入。 | 在PIX版本7.x中,您可以將多個映像儲存在快閃記憶體中。PIX首先在配置中查詢任何引導系統快閃記憶體:指令。這些命令指定PIX需要引導的映像。如果沒有boot system flash:找到命令,PIX引導快閃記憶體中的第一個可引導映像。若要開機另一個版本,請使用boot system flash:/<filename>指令指定檔案。 |
| ASDM映像載入到快閃記憶體中,但使用者無法在瀏覽器中載入ASDM。 | 首先,確保通過asdm image flash://<asdm_file>命令指定快閃記憶體中載入的ASDM檔案。其次,驗證http server enable命令是否位於配置中。最後,通過http <address> <mask> <interface>命令驗證主機是否允許嘗試載入ASDM。 |
| 升級後,FTP無法使用。 | 升級後未啟用FTP檢測。通過啟用FTP檢測部分所示的兩種方法之一啟用FTP檢測。 |
啟用FTP檢測
可以使用以下兩種方法之一啟用FTP檢測:
-
將FTP新增到預設/全域性檢查策略。
-
如果不存在,請建立inspection_default類對映。
PIX1#configure terminal PIX1(config)#class-map inspection_default PIX1(config-cmap)#match default-inspection-traffic PIX1(config-cmap)#exit
-
建立或編輯global_policy策略對映並為類inspection_default啟用FTP檢測。
PIX1(config)#policy-map global_policy PIX1(config-pmap)#class inspection_default PIX1(config-pmap-c)#inspect dns preset_dns_map PIX1(config-pmap-c)#inspect ftp PIX1(config-pmap-c)#inspect h323 h225 PIX1(config-pmap-c)#inspect h323 ras PIX1(config-pmap-c)#inspect rsh PIX1(config-pmap-c)#inspect rtsp PIX1(config-pmap-c)#inspect esmtp PIX1(config-pmap-c)#inspect sqlnet PIX1(config-pmap-c)#inspect skinny PIX1(config-pmap-c)#inspect sunrpc PIX1(config-pmap-c)#inspect xdmcp PIX1(config-pmap-c)#inspect sip PIX1(config-pmap-c)#inspect netbios PIX1(config-pmap-c)#inspect tftp
-
全域性啟用global_policy。
PIX1(config)#service-policy global_policy global
-
-
通過建立單獨的檢查策略啟用FTP。
PIX1#configure terminal PIX1(config)#class-map ftp-traffic !--- Matches the FTP data traffic. PIX1(config-cmap)#match port tcp eq ftp PIX1(config-cmap)#exit PIX1(config)#policy-map ftp-policy PIX1(config-pmap)#class ftp-traffic !--- Inspection for the FTP traffic is enabled. PIX1(config-pmap-c)#inspect ftp PIX1(config-pmap)#exit PIX1(config)#exit !--- Applies the FTP inspection globally. PIX1(config)#service-policy ftp-policy global
取得有效的服務合約
您必須擁有有效的服務合約才能下載PIX軟體。若要取得服務合約,請執行以下步驟:
-
如果您有直接購買協定,請聯絡您的思科客戶團隊。
-
要購買服務協定,請聯絡思科合作夥伴或經銷商。
-
使用Profile Manager以更新Cisco.com配置檔案並請求與服務協定的關聯。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
16-Oct-2008 |
初始版本 |
意見