ASA/PIX: Cómo Utilizar la CLI para Actualizar la Imagen de Software en un Par de Failover

Opciones de descarga

  • PDF     (264.5 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (89.3 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (77.4 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:16 de marzo de 2010
ID del documento:111867

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento describe cómo utilizar la CLI para actualizar la imagen de software en un par de failover de Cisco ASA 5500 Series Adaptive Security Appliances.

Nota: Adaptive Security Device Manager (ASDM) no funciona si actualiza (o rebaja) el software del dispositivo de seguridad de 7.0 a 7.2 directamente o actualiza (o rebaja) el software ASDM de 5.0 a 5.2 directamente. Debe actualizar (o rebajar) en orden incremental.

Para obtener más información sobre cómo actualizar el ASDM y la imagen de software en ASA, consulte Ejemplo de Configuración de PIX/ASA: Upgrade a Software Image using ASDM or CLI

Nota: En el modo multicontexto, no puede utilizar el comando copy tftp flash para actualizar o degradar la imagen PIX/ASA en todos los contextos; sólo se soporta en el modo System Exec.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco Adaptive Security Appliance (ASA) con versión 7.0 y posteriores

  • Cisco ASDM versión 5.0 y posterior

Nota: Refiérase a Cómo Permitir el Acceso HTTPS para ASDM para obtener información sobre cómo permitir que el ASA sea configurado por el ASDM.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Productos Relacionados

Esta configuración también se puede utilizar con la Cisco PIX 500 Series Security Appliance Software Version 7.0 y posterior.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener información sobre las convenciones del documento.

Configuración

Realizar Actualizaciones de Tiempo de Inactividad Cero para Pares de Failover

Las dos unidades en una configuración de failover deben tener la misma versión de software principal (primer número) y secundaria (segundo número). Sin embargo, no es necesario mantener la paridad de versión en las unidades durante el proceso de actualización; puede tener diferentes versiones en el software que se ejecutan en cada unidad y seguir manteniendo el soporte de failover. Para garantizar la compatibilidad y estabilidad a largo plazo, Cisco recomienda actualizar ambas unidades a la misma versión lo antes posible.

Hay 3 tipos de actualizaciones disponibles. Éstas son:

  1. Versión de mantenimiento: puede actualizar desde cualquier versión de mantenimiento a cualquier otra versión de mantenimiento dentro de una versión secundaria. Por ejemplo, puede actualizar de 7.0(1) a 7.0(4) sin instalar primero las versiones de mantenimiento intermedias.

  2. Versión secundaria: puede actualizar de una versión secundaria a la siguiente versión secundaria. No puede omitir una versión secundaria. Por ejemplo, puede actualizar de 7.0 a 7.1. La actualización de 7.0 directamente a 7.2 no es compatible con las actualizaciones sin tiempo de inactividad; primero debe actualizar a 7.1

  3. Versión principal: puede actualizar desde la última versión secundaria de la versión anterior a la siguiente versión principal. Por ejemplo, puede actualizar de 7.9 a 8.0, suponiendo que 7.9 es la última versión secundaria de la versión 7.x.

Actualización de una Configuración de Failover Activo/En Espera

Complete estos pasos para actualizar dos unidades en una configuración de failover activo/en espera:

  1. Descargue el nuevo software en ambas unidades y especifique la nueva imagen para cargar con el comando boot system.

    Consulte Actualización de una Imagen de Software e Imagen ASDM con CLI para obtener más información.

  2. Recargue la unidad standby para iniciar la nueva imagen ingresando el comando failover reload-standby en la unidad activa como se muestra a continuación:

    active#failover reload-standby

  3. Cuando la unidad standby ha terminado de recargarse y está en el estado Standby Ready , haga que la unidad activa conmute por error a la unidad standby ingresando el comando no failover active en la unidad activa.

    active#no failover active

    Nota: Utilice el comando show failover para verificar que la unidad en espera esté en el estado Preparado en Espera.

  4. Recargue la unidad activa anterior (ahora la nueva unidad en espera) ingresando el comando reload:

    newstandby#reload

  5. Cuando la nueva unidad en espera haya terminado de recargarse y esté en el estado Preparado en Espera, devuelva la unidad activa original al estado activo ingresando el comando failover active:

    newstandby#failover active

Esto completa el proceso de actualización de un par Active/Standby Failover.

Actualización de una Configuración de Failover Activo/Activo

Complete estos pasos para actualizar dos unidades en una configuración de failover Activo/Activo:

  1. Descargue el nuevo software en ambas unidades y especifique la nueva imagen para cargar con el comando boot system.

    Consulte Actualización de una Imagen de Software e Imagen ASDM con CLI para obtener más información.

  2. Haga que ambos grupos de failover estén activos en la unidad primaria ingresando el comando failover active en el espacio de ejecución del sistema de la unidad primaria:

    primary#failover active

  3. Recargue la unidad secundaria para iniciar la nueva imagen ingresando el comando failover reload-standby en el espacio de ejecución del sistema de la unidad primaria:

    primary#failover reload-standby

  4. Cuando la unidad secundaria haya terminado de recargarse, y ambos grupos de failover estén en el estado Preparado en Espera en esa unidad, haga que ambos grupos de failover estén activos en la unidad secundaria usando el comando no failover active en el espacio de ejecución del sistema de la unidad primaria:

    primary#no failover active

    Nota: Utilice el comando show failover para verificar que ambos grupos de failover estén en el estado Preparado en Espera en la unidad secundaria.

  5. Asegúrese de que ambos grupos de failover estén en el estado Standby Ready en la unidad primaria, y luego recargue la unidad primaria usando el comando reload:

    primary#reload

  6. Si los grupos de failover se configuran con el comando preempt, se activarán automáticamente en su unidad designada después de que haya pasado el retraso de preempt. Si los grupos de failover no se configuran con el comando preempt, puede devolverlos al estado activo en sus unidades designadas mediante el comando failover active group.

Troubleshoot

%ASA-5-720012: (VPN-Secondary) Error al actualizar los datos de tiempo de ejecución de conmutación por error de IPSec en la unidad en espera (o) %ASA-6-720012: (VPN-unit) Error al actualizar los datos de tiempo de ejecución de conmutación por error de IPsec en la unidad en espera

Problema

Uno de estos mensajes de error aparece cuando usted intenta actualizar el dispositivo de seguridad adaptante de Cisco (ASA):

%ASA-5-720012: (VPN-Secondary) Error al actualizar los datos de tiempo de ejecución de conmutación por error de IPSec en la unidad en espera.

%ASA-6-720012: (unidad VPN) Error al actualizar los datos de tiempo de ejecución de conmutación por error de IPsec en la unidad en espera.

Solución

Estos mensajes de error son errores informativos. Los mensajes no afectan las funciones del ASA o del VPN.

Estos mensajes aparecen cuando el subsistema de failover VPN no puede poner al día los datos IPSec-relacionados del tiempo de ejecución porque el túnel IPsec correspondiente se ha borrado en la unidad standby. Para resolver estos problemas, ejecute el comando wr standby en la unidad activa.

Se han archivado dos bugs para abordar este comportamiento; puede actualizar a una versión de software de ASA donde se corrigen estos bugs. Consulte los ID de bug de Cisco CSCtj58420 (clientes registrados solamente) y CSCtn56517 (clientes registrados solamente) para obtener más información.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
16-Mar-2010
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos