使用 Cisco Defense Orchestrator 管理 ASA

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

当地语言翻译版本说明

思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。

Book Contents
Find Matches in This Book

Results

已更新:
2024年4月18日

Chapter: 载入设备和服务

载入设备和服务

您可以将实时设备和模型设备载入 CDO。模型设备是您可以使用 CDO 查看和编辑的已上传配置文件。

大多数实时设备和服务都需要开放的 HTTPS 连接,以便安全设备连接器可以将 CDO 连接到设备或服务。

有关 SDC 及其状态的详细信息,请参阅安全设备连接器

本章涵盖以下部分:

将 ASA 设备载入 CDO

使用此程序将单个实时 ASA 设备(而不是 ASA 型号)载入 CDO。如果要一次载入多个 ASA,请参阅批量载入 ASA

Before you begin

设备必备条件

  • 查看 将 思科防御协调器 连接到托管设备

  • 设备必须至少运行版本 8.4+。


    Note

    在版本 9.3(2) 之前,TLS 1.2 不可用于 ASA 管理平面。在版本 9.3(2) 中,需要本地 SDC 才能加入 CDO。

  • ASA 的运行配置文件必须小于 4.5 MB。要确认运行配置文件的大小,请参阅确认 ASA 运行配置大小

  • IP 寻址:每个 ASA、ASAv 或 ASA 安全情景必须具有唯一的 IP 地址,并且 SDC 必须在配置为接收管理流量的接口上与其连接。

证书必备条件

如果您的 ASA 设备没有兼容的证书,则载入设备可能会失败。确保满足以下要求:

  • 设备使用 TLS 版本 1.0 或更高版本。

  • 设备提供的证书未过期,并且其颁发日期是过去的日期(即,它已经有效,未计划在以后生效)。

  • 证书必须是 SHA-256 证书。不接受 SHA1 证书。

  • 以下条件之一成立:

    • 设备使用自签名证书,并且与授权用户信任的最新证书相同。

    • 设备使用受信任证书颁发机构 (CA) 签名的证书,并提供将所提供的枝叶证书链接到相关 CA 的证书链。

如果在载入过程中遇到证书错误,请参阅由于证书错误而无法载入 ASA以了解详细信息。

开放式 SSL 密码必备条件

如果设备没有兼容的 SSL 密码套件,则设备无法成功与安全设备连接器 (SDC) 通信。使用以下任何密码套件:

  • ECDHE-RSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES256-GCM-SHA384

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • DHE-RSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-SHA256

  • DHE-RSA-AES128-SHA256

  • ECDHE-RSA-AES256-SHA384

  • DHE-RSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA256

  • DHE-RSA-AES256-SHA256

如果您在 ASA 上使用的密码套件不在此列表中,则 SDC 不支持该密码套件,您需要更新 ASA 上的密码套件

Procedure

Step 1

在导航栏中,点击清单 (Inventory)

Step 2

点击蓝色加号按钮 以载入 ASA。

Step 3

点击 ASA 磁贴。

Step 4

查找设备步骤中,执行以下操作:

  1. 点击安全设备连接器 (Secure Device Connector) 按钮,然后选择网络中安装的安全设备连接器。如果您不想使用 SDC,CDO 可以使用云连接器连接到您的 ASA。您的选择取决于您如何 将 CDO 连接到托管设备

  2. 为设备命名。

  3. 输入设备或服务的位置(IP 地址、FQDN 或 URL)。默认端口为 443。

  4. 点击下一步

Step 5

凭证 (Credentials) 步骤中,输入 CDO 将用于连接到设备的 ASA 管理员或类似的最高权限 ASA 用户的用户名和密码,然后点击 下一步 (Next)

Step 6

(可选)在完成步骤中,输入设备的标签。您将能够按此标签过滤设备列表。有关详细信息,请参阅标签和标签组

Step 7

标记设备或服务后,您可以在清单 (Inventory) 列表中查看它。

Note

 

根据配置的大小和其他设备或服务的数量,可能需要一些时间来分析配置。

将 ASA 设备的高可用性对载入 CDO

载入属于高可用性对的 ASA 时,请使用 将 ASA 设备载入 CDO 仅载入该对的主设备。

在多情景模式下载入 ASA

关于多情景模式

您可以将安装在物理设备上的单个 ASA 划分为多个逻辑设备(也被称为情景)。在多情景模式下配置的 ASA 中会使用三种配置:

  • 安全情景 (Security Context)

  • 管理情景

  • 系统配置

关于安全情景

每个安全情景都可以作为独立设备,拥有自己的安全策略、接口和管理员。多安全情景类似于拥有多台独立设备。安全情景并非安装在私有云基础设施中的虚拟机映像意义上的虚拟 ASA。在硬件设备上安装的 ASA 上配置安全情景。每个情景都会在该设备的物理接口上进行配置。

有关多情景模式的详细信息,请参阅《ASA CLI 和 ASDM 配置指南》。

CDO 会将每个安全情景作为单独的 ASA 来载入,并将其作为单独的 ASA 来管理。

关于管理情景

管理情景就像一个安全情景,而不同之处在于,当用户登录到管理情景时,该用户将具有系统管理员权限并可访问系统和所有其他情景。管理情景在任何情况下都不受限制,可用作常规情景。但是,由于登录到管理情景会授予用户针对所有情景的管理员权限,因此可能需要将对管理情景的访问限定于适当的用户。

CDO 会将每个管理情景作为单独的 ASA 来载入,并将其作为单独的 ASA 来管理。在设备上升级 ASA 和 ASDM 软件时,CDO 也会使用管理员情景。

关于系统配置

系统管理员通过在系统配置(与单模式配置类似的启动配置)中配置每个情景配置位置、分配的接口以及其他情景运行参数,从而添加并管理情景。系统配置可标识 ASA 的基本设置。系统配置本身并不包含任何网络接口或网络设置;相反,当系统需要访问网络资源(例如,从服务器下载情景)时,它使用指定为管理情景的某个情景。

CDO 不会载入系统配置。

安全和管理情景的载入必备条件

载入安全和管理员情景的必备条件与载入任何其他 ASA 的必备条件相同。有关必备条件的列表,请参阅将 ASA 设备载入 CDO

要了解哪些思科设备在多情景模式下支持 ASA,请参阅《CLI 手册 1:思科 ASA 系列常规操作 CLI 配置指南》中适用于您所运行的任何 ASA 软件版本的“多情景模式”一章。

对于作为单情景防火墙运行的 ASA 和多情景防火墙的管理情景,很多不同的端口号都可以用于 ASDM 和 CDO 访问。但对于安全情景,ASDM 和 CDO 访问端口会固定为端口 443。这是 ASA 的一项限制。

载入 ASA 安全和管理情景

载入安全情景或管理情景的方法与载入任何其他 ASA 的方法相同。有关载入说明,请参阅将 ASA 设备载入 CDO批量载入 ASA

升级安全情景

CDO 将多情景 ASA 的每个安全和管理情景均视为单独的 ASA,并且每个情景都会单独载入。但是,多情景 ASA 的所有安全和管理情景都会运行设备上安装的相同版本的 ASA 软件。

要升级 ASA 安全情景使用的 ASA 和 ASDM 版本,请载入管理情景并在该情景上执行升级。有关详细信息,请参阅在单个 ASA 上升级 ASA 和 ASDM 映像批量 ASA 和 ASDM 升级 批量 ASA 和 ASDM 升级

批量载入 ASA

Cisco Defense Orchestrator (CDO) 让您能够通过在 .csv 文件中提供所有 ASA 的必要信息来批量载入 ASA。在载入 ASA 时,您可以使用过滤器窗格来显示哪些载入尝试已加入队列、正在加载、已完成或已失败。

Before you begin

  • 查看 将 思科防御协调器 连接到托管设备

  • 准备一个 .csv 文件,其中包含要载入的 ASA 的连接信息。在自己的行中添加有关一个 ASA 的信息。可以在行首使用 # 表示注释。

    • ASA 位置(IP 地址或 FQDN)

    • ASA 管理员用户名

    • ASA 管理员密码

    • (可选)CDO 的设备名称

    • 在 SDCName 字段中,指定网络中要用于将 CDO 连接到 ASA 的安全设备连接器 (SDC) 的名称。如果您不打算使用 SDC 将 ASA 连接到 CDO,也可以输入“无”。在载入设备时,如果在 SDCName 字段中指定“none”,则会使用云连接器来载入 ASA。云连接器允许您将设备连接到 CDO,而无需安装 SDC。您的选择取决于您如何将 CDO 连接到托管设备

    • (可选)CDO 的设备标签

    • 要添加一个标签,请将标签名称添加到最后一个 CSV 字段。

    • 要向设备添加多个标签,请用引号将值引起来。例如,alpha、beta、Gamma

    • 要添加类别和选项标签,请使用冒号 (:) 分隔两个值。例如,Rack:50

配置文件示例:


#Location,Username,Password,DeviceName,SDCName,DeviceLabel 
192.168.3.2,admin,CDO123!,ASA3,sdc1,"HA-1,Rack:50" 
192.168.4.2,admin,CDO123!,ASA4,sdc1,"HA-1,Rack:50" 
ASA2.example.com,admin,CDO123!,ASA2,none,Rack:51 
asav.virtual.io,admin,CDO123!,ASA-virtual,sdc3,Test

Caution

CDO 不会验证 .csv 文件中的任何数据。您需要确保条目的准确性。

Procedure

Step 1

在导航栏中,点击清单 (Inventory)

Step 2

点击蓝色加号按钮 以载入 ASA。

Step 3

在“载入”(Onboarding) 页面上,点击多个 ASA (Multiple ASAs) 磁贴。

Step 4

点击浏览 (Browse) 以找到包含 ASA 条目的 .csv 文件。您指定的设备现在已在 ASA 批量载入表中排队准备载入。

Caution

 

在载入过程完成之前,请勿离开“ASA 批量载入”(ASA Bulk Onboarding) 页面。离开会停止载入过程。

Step 5

点击开始。您将在“ASA 批量载入”(ASA Bulk Onboarding) 表的状态列中看到载入过程的进度。设备成功载入后,您会看到其状态更改为“完成”(Complete)。

What to do next

如果您需要暂停批量载入并稍后恢复,请参阅暂停和恢复批量载入

暂停和恢复批量载入

如果您需要暂停载入过程,请点击暂停 (Pause)。CDO 完成其已开始载入的任何设备的载入。要恢复批量载入过程,请点击开始 (Start)。CDO 将开始载入下一个排队的设备。

如果您点击暂停 (Pause) 并离开此页面,则需要返回到该页面并从头开始再次执行批量载入程序。但是,CDO 会识别其已载入的设备,将此次新的载入尝试中的设备标记为重复设备,并快速浏览列表以载入排队的设备。

创建和导入 ASA 模型

Procedure

Step 1

在导航栏中,点击 设备和服务

Step 2

点击设备选项卡。

Step 3

点击 ASA 选项卡。

Step 4

选择 ASA 设备,然后在左侧窗格的管理中,点击配置

Step 5

点击下载,将设备配置下载到本地计算机。

导入 ASA 配置

注意:载入的 ASA 运行配置文件必须小于 4.5 MB。在载入之前,请确认配置文件的大小。

Procedure

Step 1

在导航栏中,点击 设备和服务

Step 2

点击蓝色加号 () 按钮以导入配置。

Step 3

点击导入配置以进行离线管理 (Import configuration for offline management)

Step 4

选择 ASA 作为设备类型 (Device Type)

Step 5

点击浏览 (Browse) 并选择要上传的配置文件(文本格式)。

Step 6

验证配置后,系统会提示您为设备或服务添加标签。有关详细信息,请参阅标签和标签组

Step 7

标记型号设备后,您可以在设备和服务 (Devices & Services) 列表中查看它。

Note

 

根据配置的大小和其他设备或服务的数量,可能需要一些时间来分析配置。

CDO删除设备

使用以下程序可从 中删除设备:CDO

过程

步骤 1

登录至 CDO

步骤 2

导航至清单 (Inventory) 页面。

步骤 3

找到要删除的设备,然后选中设备行中的设备以将其选中。

步骤 4

在右侧的“设备操作”(Device Actions) 面板中,选择删除 (Remove)

步骤 5

出现提示时,选择确定 (OK) 以确认删除所选设备。选择取消 (Cancel) 以使设备保持已载入状态。

导入设备的配置以进行离线管理

通过导入设备的配置以进行离线管理,您可以查看和优化设备的配置,而无需在网络中的实时设备上进行操作。CDO 还将这些上传的配置文件称为“模型”。

您可以将这些设备的配置导入到 CDO:

  • 自适应安全设备 (ASA)。请参阅创建和导入 ASA 模型。

  • Firepower 威胁防御 (FTD)。

  • 像汇聚服务路由器 (ASR) 和集成服务路由器 (ISR) 的 Cisco IOS 设备。

ASA 和 ASDM 升级必备条件

Cisco Defense Orchestrator (CDO) 提供的向导可帮助您升级单个 ASA、多个 ASA、主用-备用配置中的 ASA 以及在单情景或多情景模式下运行的 ASA 上安装的 ASA 和 ASDM 映像。

CDO 维护您可以升级到的 ASA 和 ASDM 映像存储库。当您从 CDO 的映像存储库中选择升级映像时,CDO 会在后台执行所有必要的升级步骤。该向导将指导您选择兼容的 ASA 软件和 ASDM 映像,安装这些映像并重新启动设备以完成升级。我们会验证您在 CDO 上选择的映像是否是复制到并安装在 ASA 上的映像,从而确保升级过程的安全。CDO 会定期查看其 ASA 二进制文件清单,并在最新的 ASA 和 ASDM 映像可用时将其添加到其存储库中。对于 ASA 具有互联网出站访问权限的客户,这是最佳选择。

CDO 的映像存储库仅包含正式发布 (GA) 映像。如果您在列表中没有看到特定的 GA 映像,请联系思科 TAC 或从联系支持人员 (Contact Support) 页面发送邮件支持。我们将使用已建立的支持请求 SLA 处理请求,并上传缺少的 GA 映像。

如果您的 ASA 没有互联网出站访问权限,您可以从 Cisco.com 下载所需的 ASA 和 ASDM 映像,将其存储在您自己的存储库中,为升级向导提供这些映像的自定义 URL,然后 CDO 执行升级使用这些图像。但是,在这种情况下,您需要确定要升级到的映像。CDO 不执行映像完整性检查或磁盘空间检查。您可以使用以下任何协议从存储库检索映像:FTP、TFTP、HTTP、HTTPS、SCP 和 SMB。

所有 ASA 的配置前提条件

  • 需要在 ASA 上启用 DNS。

  • 如果您使用 CDO 的映像存储库中的升级映像,ASA 应该能够访问互联网。

  • 确保 ASA 和存储库 FQDN 之间是 HTTPS 连接。

  • ASA 已成功载入 CDO。

  • ASA 已同步到 CDO。

  • ASA 在线。

  • 对于自定义 URL 升级:

Firepower 1000Firepower 2100 系列设备的配置前提条件

运行 ASA 的 Firepower 4100Firepower 9300 系列设备

CDO 不支持 Firepower 4100Firepower 9300 系列设备的升级。您必须在 CDO 之外升级这些设备。

升级指南

  • CDO 可以升级配置为主用/备用“故障转移”对的 ASA。CDO 无法升级主用/主用“集群”对中配置的 ASA。

软件和硬件必备条件

可从中升级的最低 ASA 和 ASDM 版本:

  • ASA:ASA 9.1.2

  • ASDM:没有最低版本要求。

支持的硬件版本

批量 ASA 和 ASDM 升级

Procedure

Step 1

查看 ASA 和 ASDM 升级必备条件 ,了解升级要求以及有关升级 ASA 和 ASDM 映像的重要信息。

Note

 

如果要升级 ASA 1000 或 2000 系列设备,请务必阅读 1000 和 2000 系列的配置前提条件

Step 2

(可选)在导航栏中,点击设备和服务 (Devices & Services),创建更改请求标签以在更改日志中标识通过此操作升级的设备。

Step 3

点击设备选项卡。

Step 4

使用过滤器缩小可能要包含在批量升级中的设备列表。

Step 5

从过滤后的设备列表中,选择要升级的设备。

Step 6

设备操作 (Device Actions) 窗格中,点击升级 (Upgrade)

Step 7

在“批量设备升级”(Bulk Device Upgrade) 页面上,您会看到可升级的设备。如果您选择的任何设备不可升级,CDO 会为您提供一个链接,供您查看不可升级的设备。

Step 8

在步骤 1 中,点击使用 CDO 映像存储库 (Use CDO Image Repository) 以选择要升级到的 ASA 软件映像,然后点击继续 (Continue)

该列表指示您选择的多少个 ASA 可以升级到您选择的软件版本。在下面的示例中,所有设备都可以升级到版本 9.9(1.2),两台设备可以升级到 9.8(2),其中一台设备可以升级到 9.6(1)。

如果您选择的任何软件版本与您选择的任何设备不兼容,CDO 会向您发出警报。在下面的示例中,CDO 无法将 10.82.109.176 设备升级到其运行之前的版本。

Step 9

在步骤 2 中,选择要升级到的 ASDM 映像。系统只会显示与您可以升级的 ASA 兼容的 ASDM 选项。

Step 10

在步骤 3 中,确认您的选择,并决定是仅将映像下载到 ASA,还是复制映像、安装并重新启动设备。

Step 11

准备就绪后,点击执行升级 (Perform Upgrade)

Note

 

如果升级失败,CDO 会显示一条消息。升级失败的原因通常是阻止 ASA 和 ASDM 映像传输到 ASA 的网络问题。

Step 12

或者,如果您希望 CDO 稍后执行升级,请选中计划升级复选框。点击该字段可选择未来的日期和时间。完成后,点击“计划升级”(Schedule Upgrade) 按钮。

Step 13

(对于多情景模式)在管理情景和安全情景启动后,您可能会看到安全情景显示消息“检测到新证书”(New certificate detected)。如果您看到该消息,请接受所有安全情景的证书。接受升级导致的任何其他更改。

Step 14

查看通知选项卡,了解批量升级操作的进度。如果您想了解有关批量升级作业中操作成功与否的详细信息,请点击蓝色查看链接,系统会将您定向到作业页面

Step 15

如果您创建并激活了更改请求标签,请记住将其清除,以免无意中将其他配置更改与此事件关联。

使用您自己的存储库中的映像升级多个 ASA

Procedure

Step 1

查看 ASA 和 ASDM 升级必备条件 ,了解升级要求以及有关升级 ASA 和 ASDM 映像的重要信息。

Step 2

(可选)在设备和服务 (Devices & Services) 页面中,创建一个更改请求标签以在更改日志中标识通过此操作升级的设备。

Step 3

点击设备选项卡。

Step 4

使用 过滤器 来缩小可能要包含在批量升级中的设备列表。

Step 5

从过滤后的设备列表中,选择要升级的设备。

Step 6

设备操作 (Device Actions) 窗格中,点击升级 (Upgrade)

Step 7

在步骤 1 中,点击指定映像 URL (Specify Image URL),在软件映像 URL (Software Image URL) 字段中输入要升级到的 ASA 映像的 URL, 然后点击继续 (Continue)。有关 URL 语法信息,请参阅自定义 URL 升级

Note

 

下图显示了软件映像 URL 字段中的 HTTPS URL。您可以使用以下任何协议从存储库检索映像:FTP、TFTP、HTTP、HTTPS、SCP 和 SMB。有关 URL 语法信息,请参阅自定义 URL 升级

Step 8

在步骤 2 中,点击指定映像 URL (Specify Image URL),在软件映像 URL (Software Image URL) 字段中输入要升级到的 ASDM 映像的 URL, 然后点击继续 (Continue)

Step 9

在步骤 3 中,确认您的选择,并决定是仅将映像下载到 ASA,还是复制映像、安装并重新启动设备。

Step 10

准备就绪后,点击执行升级 (Perform Upgrade)

Note

 

如果升级失败,CDO 会显示一条消息。升级失败的原因通常是阻止 ASA 和 ASDM 映像传输到 ASA 的网络问题。

Step 11

或者,如果您希望 CDO 稍后执行升级,请选中计划升级复选框。点击该字段可选择未来的日期和时间。完成后,点击“计划升级”(Schedule Upgrade) 按钮。

Step 12

(对于多情景模式)在管理情景和安全情景启动后,您可能会看到安全情景显示消息“检测到新证书”(New certificate detected)。如果您看到该消息,请接受所有安全情景的证书。接受升级导致的任何其他更改。

Step 13

查看通知选项卡,了解批量升级操作的进度。如果您想了解有关批量升级作业中操作成功与否的详细信息,请点击蓝色查看链接,系统会将您定向到作业页面

Step 14

如果您创建并激活了更改请求标签,请记住将其清除,以免无意中将其他配置更改与此事件关联。

What to do next

升级说明

  • 您还可以通过打开设备和服务页面并查看表中的配置状态列来监控批量升级的进度。

  • 您可以通过在设备和服务页面上选择该设备并点击升级按钮来查看批量升级中包含的单个设备的进度。CDO 会将您引导至该设备的“设备升级”页面。

在单个 ASA 上升级 ASA 和 ASDM 映像

按照此程序在单个 ASA 上升级 ASA 和 ASDM 映像。

Procedure

Step 1

查看 ASA 和 ASDM 升级必备条件 ,了解升级要求以及有关升级 ASA 和 ASDM 映像的重要信息。

Note

 

如果要升级 ASA 1000 或 2000 系列设备,请务必阅读 1000 和 2000 系列的配置前提条件

Step 2

在导航栏中,点击 设备和服务

Step 3

点击设备选项卡。

Step 4

(可选)创建更改请求标签,以便在更改日志中标识通过此操作升级的设备。

Step 5

选择想要升级的设备。

Step 6

设备操作 窗格中,点击 升级

Step 7

在设备升级页面上,按照向导提供的说明进行操作。

  1. 在步骤 1 中,点击 使用 CDO 映像存储库 以选择要升级到的 ASA 软件映像,然后点击 继续

    Note

     

    将 ASA 和 ASDM 升级到您自己的存储库中存储的映像时,请选择指定映像 URL (Specify Image URL) ,然后在软件映像 URL 字段中输入 ASA 或 ASDM 映像的 URL。您可以使用以下任何协议从存储库检索映像:FTP、TFTP、HTTP、HTTPS、SCP 和 SMB。有关 URL 语法信息,请参阅自定义 URL 升级

    (可选)如果您希望 CDO 稍后执行升级,请选中计划升级复选框。点击该字段可选择未来的日期和时间。完成后,点击计划升级 (Schedule Upgrade)

  2. 在步骤 2 中,选择要升级到的 ASDM 映像。系统只会显示与您可以升级的 ASA 兼容的 ASDM 选项。

  3. 在步骤 3 中,确认您的选择,并决定是仅将映像下载到 ASA,还是复制映像、安装并重新启动设备。

Step 8

准备就绪后,点击执行升级 (Perform Upgrade)

Step 9

(对于多情景模式)在管理情景和安全情景启动后,您可能会看到安全情景显示消息“检测到新证书”(New certificate detected)。如果您看到该消息,请接受所有安全情景的证书。接受升级导致的任何其他更改。 想要观看演示?观看此程序的截屏视频

What to do next

升级说明

  • 如果您选择了要升级到的映像,并且您改变了主意,请选中与该软件映像关联的跳过升级 (Skip Upgrade) 复选框。映像不会复制到设备,也不会使用映像升级设备。

  • 执行升级步骤中,如果您选择仅将映像复制到 ASA,则可以稍后返回到“设备升级”(Device Upgrade) 页面,然后点击“立即升级”(Upgrade Now) 以执行升级。复制任务完成后,您将在“设备和服务”(Devices & Services) 页面上看到该设备的消息“准备升级”(Ready to Upgrade)。

  • 在复制映像、安装映像和重新启动设备的过程中,您无法对设备执行操作。正在安装映像然后重新启动的设备在“设备和服务”(Devices & Services) 页面中显示为“正在升级”(Upgrading)。

  • 在升级过程中,您无法对设备执行操作;也就是说,安装映像并重新启动设备。

  • 如果您选择仅将映像复制到设备,则可以在设备上执行操作。正在复制映像的设备在“设备和服务”页面中显示为“正在复制映像”。

  • 升级具有自签名证书的设备可能会遇到问题;有关详细信息,请参阅检测到新证书

升级高可用性对中的 ASA 和 ASDM 映像

在主用/备用故障切换模式下升级 ASA 对之前,请查看以下前提条件。如果您需要有关如何配置 ASA 以及如何在故障切换模式下工作的详细信息,请参阅 ASA 文档中的故障切换以实现高可用性

想要观看演示?观看此程序的截屏视频

前提条件

  • 查看 ASA 和 ASDM 升级必备条件 ,了解要求以及有关升级 ASA 和 ASDM 映像的重要信息。

  • 在主用/备用故障切换模式下配置主(主用)和辅助(备用)ASA。

  • 主 ASA 是主用/备用对中的主用设备。如果主 ASA 处于非活动状态,CDO 将不会执行升级。

  • 主要和辅助 ASA 软件版本相同。

工作流程

CDO 升级主用/备用 ASA 对的过程如下:

Procedure

Step 1

CDO 将 ASA 和 ASDM 映像下载到两个 ASA。

Note

 

用户可以选择下载 ASA 和 ASDM 映像,但不能立即升级。如果之前已下载 ASA 和 ASDM 映像,则 CDO 不会再次下载; CDO 继续执行下一步的升级工作流程。

Step 2

CDO 首先升级辅助 ASA。

Step 3

升级完成且辅助 ASA 恢复为“备用就绪”状态后,CDO 将启动故障切换,以便辅助 ASA 成为主用 ASA。

Step 4

CDO 升级主 ASA,即当前的备用 ASA。

Step 5

一旦主 ASA 恢复为“备用就绪”状态,CDO 将启动故障切换,以便主 ASA 成为主用 ASA。

Warning

 

升级具有自签名证书的设备可能会遇到问题;有关详细信息,请参阅检测到新证书

升级主用/备用对中的 ASA 和 ASDM 映像

Procedure

Step 1

登录 CDO。

Step 2

点击清单 (Inventory)

Step 3

点击设备选项卡。

Step 4

选择想要升级的设备。

Step 5

设备操作 窗格中,点击 升级

请注意,设备的故障切换模式为“主用/备用”:

Step 6

在设备升级页面上,按照向导提供的说明进行操作。

Note

 

将 ASA 和 ASDM 升级到您自己的存储库中存储的映像时,请选择指定映像 URL (Specify Image URL) ,然后在软件映像 URL 字段中输入 ASA 或 ASDM 映像的 URL。您可以使用以下任何协议从存储库检索映像:FTP、TFTP、HTTP、HTTPS、SCP 和 SMB。有关 URL 语法信息,请参阅自定义 URL 升级

使用您自己的映像升级 ASA 或 ASDM

使用新的 ASA 软件和 ASDM 映像升级 ASA 时,可以使用 Cisco Defense Orchestrator (CDO) 存储在其映像存储库中的映像,也可以使用存储在自己的映像存储库中的映像。如果您的 ASA 没有互联网出站访问权限,维护您自己的映像存储库是使用 CDO 升级 ASA 的最佳选择。

CDO 使用 ASA 的复制命令检索映像并将其复制到 ASA 的闪存驱动器 (disk0:/)。在指定映像 URL 字段中,您需要提供复制命令的 URL 部分。例如,如果整个复制命令是:

 ciscoasa# copy ftp://admin:adminpass@10.10.10.10/asa991-smp-k8.bin disk:/0

您将提供: 

ftp://admin:adminpass@10.10.10.10/asa991-smp-k8.bin

在指定映像 URL 字段中。

CDO 支持检索升级映像的 http、https、ftp、tftp、smb 和 scp 方法。

URL 语法示例

以下是 ASA 复制命令的 URL 语法示例。对于这些 URL 示例,假设如下:

  • 映像存储库地址:10.10.10.10

  • 访问映像存储库的用户名:admin

  • 密码:adminpass

  • 路径:images/asa

  • 映像文件名:asa991-smp-k8.bin

http[s]:// [[ user [ : password ] @ ] server [ : port ] / [ path / ] filename ]

https://admin:adminpass@10.10.10.10:8080/images/asa/asa991-smp-k8.bin 
HTTP[s] example without a username and password: 
https://10.10.10.10:8080/images/asa/asa991-smp-k8.bin

ftp://[[user[:password]@]server[:port]/[path/]filename[;type=xx]] - type可以是这些关键字的其中一个:ap(ASCII 被动模式)、an(ASCII 正常模式)、ip(默认 - 二进制被动模式)、in进制正常模式)。 

ftp://admin:adminpass@10.10.10.10:20/images/asa/asa991-smp-k8.bin 
FTP example without a username and password: 
ftp://10.10.10.10:20/images/asa/asa991-smp-k8.bin

tftp:// [[ user [ : password ] @ ] server [ : port ] / [ path / ] filename [ ;int= interface_name ]]

tftp://admin:adminpass@10.10.10.10/images/asa/asa991-smp-k8.bin outside 
TFTP example without a username and password: 
tftp://10.10.10.10/images/asa/asa991-smp-k8.bin outside

Note

路径名不能包含空格。如果路径名有空格,则在 tftp-server 命令而不是 复制 tftp 命令中设置路径。;int= interface 选项会绕过路由查找并始终使用指定接口来访问 TFTP 服务器。

smb:/[[path/]filename] - 指示 UNIX 服务器本地文件系统。 

smb:/images/asa/asa991-smp-k8.bin

[[user[:password]@] server[/path]/filename[;int=interface_name]]- ;int=interface选项会绕过找并始终使用指定接口来访问安全复制 (SCP) 服务器。 

 scp://admin:adminpass@10.10.10.10:8080/images/asa/asa991-smp-k8.bin outside 
SCP example without a username and password: 
scp://10.10.10.10:8080/images/asa/asa991-smp-k8.bin outside

思科 ASA 系列命令参考,A-H 命令指南中包含了 URL 语法的完整 copy 命令。

有关使用自定义 URL 升级 ASA 和 ASDM 映像的详细信息,请参阅 ASA 和 ASDM 升级必备条件

此文档是否有帮助?

Feedback反馈

联系我们