Este documento describe cómo utilizar la CLI para actualizar la imagen de software en un par de failover de Cisco ASA 5500 Series Adaptive Security Appliances.
Nota: Adaptive Security Device Manager (ASDM) no funciona si actualiza (o rebaja) el software del dispositivo de seguridad de 7.0 a 7.2 directamente o actualiza (o rebaja) el software ASDM de 5.0 a 5.2 directamente. Debe actualizar (o rebajar) en orden incremental.
Para obtener más información sobre cómo actualizar el ASDM y la imagen de software en ASA, consulte Ejemplo de Configuración de PIX/ASA: Upgrade a Software Image using ASDM or CLI
Nota: En el modo multicontexto, no puede utilizar el comando copy tftp flash para actualizar o degradar la imagen PIX/ASA en todos los contextos; sólo se soporta en el modo System Exec.
No hay requisitos específicos para este documento.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Cisco Adaptive Security Appliance (ASA) con versión 7.0 y posteriores
Cisco ASDM versión 5.0 y posterior
Nota: Refiérase a Cómo Permitir el Acceso HTTPS para ASDM para obtener información sobre cómo permitir que el ASA sea configurado por el ASDM.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Esta configuración también se puede utilizar con la Cisco PIX 500 Series Security Appliance Software Version 7.0 y posterior.
Consulte Convenciones de Consejos Técnicos de Cisco para obtener información sobre las convenciones del documento.
Las dos unidades en una configuración de failover deben tener la misma versión de software principal (primer número) y secundaria (segundo número). Sin embargo, no es necesario mantener la paridad de versión en las unidades durante el proceso de actualización; puede tener diferentes versiones en el software que se ejecutan en cada unidad y seguir manteniendo el soporte de failover. Para garantizar la compatibilidad y estabilidad a largo plazo, Cisco recomienda actualizar ambas unidades a la misma versión lo antes posible.
Hay 3 tipos de actualizaciones disponibles. Éstas son:
Versión de mantenimiento: puede actualizar desde cualquier versión de mantenimiento a cualquier otra versión de mantenimiento dentro de una versión secundaria. Por ejemplo, puede actualizar de 7.0(1) a 7.0(4) sin instalar primero las versiones de mantenimiento intermedias.
Versión secundaria: puede actualizar de una versión secundaria a la siguiente versión secundaria. No puede omitir una versión secundaria. Por ejemplo, puede actualizar de 7.0 a 7.1. La actualización de 7.0 directamente a 7.2 no es compatible con las actualizaciones sin tiempo de inactividad; primero debe actualizar a 7.1
Versión principal: puede actualizar desde la última versión secundaria de la versión anterior a la siguiente versión principal. Por ejemplo, puede actualizar de 7.9 a 8.0, suponiendo que 7.9 es la última versión secundaria de la versión 7.x.
Complete estos pasos para actualizar dos unidades en una configuración de failover activo/en espera:
Descargue el nuevo software en ambas unidades y especifique la nueva imagen para cargar con el comando boot system.
Consulte Actualización de una Imagen de Software e Imagen ASDM con CLI para obtener más información.
Recargue la unidad standby para iniciar la nueva imagen ingresando el comando failover reload-standby en la unidad activa como se muestra a continuación:
active#failover reload-standby
Cuando la unidad standby ha terminado de recargarse y está en el estado Standby Ready , haga que la unidad activa conmute por error a la unidad standby ingresando el comando no failover active en la unidad activa.
active#no failover active
Nota: Utilice el comando show failover para verificar que la unidad en espera esté en el estado Preparado en Espera.
Recargue la unidad activa anterior (ahora la nueva unidad en espera) ingresando el comando reload:
newstandby#reload
Cuando la nueva unidad en espera haya terminado de recargarse y esté en el estado Preparado en Espera, devuelva la unidad activa original al estado activo ingresando el comando failover active:
newstandby#failover active
Esto completa el proceso de actualización de un par Active/Standby Failover.
Complete estos pasos para actualizar dos unidades en una configuración de failover Activo/Activo:
Descargue el nuevo software en ambas unidades y especifique la nueva imagen para cargar con el comando boot system.
Consulte Actualización de una Imagen de Software e Imagen ASDM con CLI para obtener más información.
Haga que ambos grupos de failover estén activos en la unidad primaria ingresando el comando failover active en el espacio de ejecución del sistema de la unidad primaria:
primary#failover active
Recargue la unidad secundaria para iniciar la nueva imagen ingresando el comando failover reload-standby en el espacio de ejecución del sistema de la unidad primaria:
primary#failover reload-standby
Cuando la unidad secundaria haya terminado de recargarse, y ambos grupos de failover estén en el estado Preparado en Espera en esa unidad, haga que ambos grupos de failover estén activos en la unidad secundaria usando el comando no failover active en el espacio de ejecución del sistema de la unidad primaria:
primary#no failover active
Nota: Utilice el comando show failover para verificar que ambos grupos de failover estén en el estado Preparado en Espera en la unidad secundaria.
Asegúrese de que ambos grupos de failover estén en el estado Standby Ready en la unidad primaria, y luego recargue la unidad primaria usando el comando reload:
primary#reload
Si los grupos de failover se configuran con el comando preempt, se activarán automáticamente en su unidad designada después de que haya pasado el retraso de preempt. Si los grupos de failover no se configuran con el comando preempt, puede devolverlos al estado activo en sus unidades designadas mediante el comando failover active group.
Problema
Uno de estos mensajes de error aparece cuando usted intenta actualizar el dispositivo de seguridad adaptante de Cisco (ASA):
%ASA-5-720012: (VPN-Secondary) Error al actualizar los datos de tiempo de ejecución de conmutación por error de IPSec en la unidad en espera.
%ASA-6-720012: (unidad VPN) Error al actualizar los datos de tiempo de ejecución de conmutación por error de IPsec en la unidad en espera.
Solución
Estos mensajes de error son errores informativos. Los mensajes no afectan las funciones del ASA o del VPN.
Estos mensajes aparecen cuando el subsistema de failover VPN no puede poner al día los datos IPSec-relacionados del tiempo de ejecución porque el túnel IPsec correspondiente se ha borrado en la unidad standby. Para resolver estos problemas, ejecute el comando wr standby en la unidad activa.
Se han archivado dos bugs para abordar este comportamiento; puede actualizar a una versión de software de ASA donde se corrigen estos bugs. Consulte los ID de bug de Cisco CSCtj58420 (clientes registrados solamente) y CSCtn56517 (clientes registrados solamente) para obtener más información.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
16-Mar-2010 |
Versión inicial |