Este documento explica cómo actualizar el dispositivo PIX de la versión 6.2 o 6.3 a la versión 7.x. También cubre la instalación de Adaptive Security Device Manager (ASDM) versión 5.0.
Antes de iniciar este procedimiento de actualización, complete estas tareas.
Utilice el comando show running-config o write net para guardar la configuración PIX actual en un archivo de texto o un servidor TFTP.
Utilice el comando show version para mostrar el número de serie y la clave de activación. Guarde este resultado en un archivo de texto. Si necesita volver a una versión anterior del código, es posible que necesite la clave de activación original. Para obtener información adicional sobre las claves de activación, consulte Preguntas Frecuentes sobre PIX Firewall.
Asegúrese de que no tenga ningún comando conduit o outbound en su configuración actual. Estos comandos ya no se soportan en 7.x y el proceso de upgrade los elimina. Utilice la herramienta Output Interpreter (sólo clientes registrados) para convertir estos comandos en listas de acceso antes de intentar la actualización.
Asegúrese de que el PIX no termine las conexiones PPTP (Point-to-Point Tunneling Protocol). PIX 7.1 y posteriores no soportan actualmente la terminación PPTP.
Si utiliza Failover, asegúrese de que la interfaz LAN o Stateful no se comparta con ningún dato que pase interfaces. Por ejemplo, si utiliza su interfaz interna para pasar el tráfico de datos así como para su interfaz de stateful failover (link de failover dentro), debe mover la interfaz stateful failover a una interfaz diferente antes de actualizar. Si no lo hace, se quitarán todas las configuraciones vinculadas a la interfaz interna. Además, el tráfico de datos no pasa a través de la interfaz después de la actualización.
Asegúrese de que el PIX ejecute la versión 6.2 ó 6.3 antes de continuar.
Lea las notas de la versión de la versión a la que planea actualizar para conocer todos los comandos nuevos, modificados y obsoletos.
Consulte la Guía de actualización para ver si hay cambios de comandos adicionales entre las versiones 6.x y 7.x.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
PIX Security Appliance 515, 515E, 525 y 535
Software PIX versiones 6.3(4), 7.0(1)
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Antes de iniciar el proceso de actualización a la versión 7.x, Cisco recomienda que el PIX ejecute la versión 6.2 o posterior. Esto asegura que la configuración actual se convierta correctamente. Además, estos requisitos de hardware deben cumplirse para cumplir los requisitos mínimos de RAM y Flash:
Modelo de PIX | Requisitos de RAM | Requisitos de Flash | |
---|---|---|---|
Limitada (R) | Sin restricciones (UR)/Sólo conmutación por fallas (FO) | ||
PIX-515 | 64 MB* | 128 MB* | 16 MB |
PIX-515 E | 64 MB* | 128 MB* | 16 MB |
PIX-525 | 128 MB | 256 MB | 16 MB |
PIX-535 | 512 MB | 1 GB | 16 MB |
* Todos los dispositivos PIX-515 y PIX-515E requieren una actualización de la memoria.
Ejecute el comando show version para determinar la cantidad de RAM y Flash actualmente instaladas en el PIX. No se necesitan actualizaciones de Flash, ya que todos los dispositivos PIX de esta tabla tienen 16 MB instalados de forma predeterminada.
Nota: Solamente los Dispositivos de Seguridad PIX en esta tabla son soportados en la versión 7.x. Los dispositivos de seguridad PIX más antiguos, como PIX-520, 510, 10000 y Classic, han sido interrumpidos y no ejecutan la versión 7.0 o posterior. Si tiene uno de estos dispositivos y desea ejecutar 7.x o una versión posterior, póngase en contacto con su distribuidor o equipo de cuentas de Cisco local para adquirir un dispositivo de seguridad más reciente. Además, los firewalls PIX con menos de 64 MB de RAM (PIX-501, PIX-506 y PIX-506E) no pueden ejecutar la versión inicial 7.0.
Las actualizaciones de memoria sólo son necesarias para los dispositivos PIX-515 y PIX-515E. Consulte esta tabla para ver los números de pieza que necesita para actualizar la memoria en estos dispositivos.
Nota: El número de pieza depende de la licencia instalada en el PIX.
Configuración del dispositivo actual | Solución de actualización | ||
---|---|---|---|
Licencia de Plataforma | Memoria Total (antes de la actualización) | Número de Pieza | Memoria Total (después de la actualización) |
Limitada (R) | 32 MB | PIX-515-MEM-32= | 64 MB |
Ilimitada (UR) | 32 MB | PIX-515-MEM-128= | 128 MB |
Sólo conmutación por fallas (FO) | 64 MB | PIX-515-MEM-128= | 128 MB |
Refiérase al Boletín de Producto de PIX 515/515E Security Appliance Memory Upgrade para PIX Software v7.0 para obtener información adicional.
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
Visite el Centro de Software de Cisco (sólo clientes registrados) para descargar el software PIX 7.x. El software del servidor TFTP ya no está disponible en Cisco.com. Sin embargo, puede encontrar muchos servidores TFTP cuando busca "tftp server" en su motor de búsqueda de Internet favorito. Cisco no recomienda específicamente ninguna implementación de TFTP en particular. Para obtener más información, consulte la página del servidor TFTP (sólo clientes registrados) .
Tenga en cuenta que la actualización de su PIX Security Appliance a la versión 7.x es un cambio importante. Gran parte de la CLI se modifica y, por lo tanto, su configuración después de la actualización será muy diferente. Sólo se debe actualizar durante una ventana Mantenimiento, ya que el proceso de actualización requiere cierto tiempo de inactividad. Si necesita volver a una imagen de 6.x, debe seguir los procedimientos Downgrade. Si no lo hace, el PIX entra en un loop de reinicio continuo. Para continuar, localice su modelo de dispositivo PIX en esta tabla y luego seleccione el link para ver las instrucciones sobre cómo actualizar.
Modelo de PIX | Método de actualización |
---|---|
PIX-515 | Monitor |
PIX-515E | copy tftp flash |
PIX-525 | copy tftp flash |
PIX-535 (sin PDM instalado) | copy tftp flash |
PIX-535 (PDM instalado) | Monitor |
Complete estos pasos para ingresar al Modo Monitor en el PIX.
Conecte un cable de consola al puerto de consola en el PIX con estos ajustes de comunicación:
9600 bits por segundo
8 bits de datos
sin paridad
1 bit de parada
sin control de flujo
Inicie el ciclo o recargue el PIX. Durante el arranque, se le solicita que utilice BREAK o ESC para interrumpir el arranque Flash. Tiene diez segundos para interrumpir el proceso normal de arranque.
Presione la tecla ESC o envíe un carácter BREAK para acceder al Modo Monitor.
Si utiliza Hyper Terminal de Windows, puede presionar la tecla Esc o Ctrl+Break para enviar un carácter BREAK.
Si utiliza Telnet a través de un servidor terminal para acceder al puerto de consola del PIX, debe presionar Ctrl+] (Control + soporte derecho) para acceder al símbolo del sistema Telnet. A continuación, ingrese el comando send break.
Se visualizará el mensaje monitor>.
Continúe con la sección Actualización de PIX desde el Modo Monitor.
Complete estos pasos para actualizar su PIX desde el Modo Monitor.
Nota: Las tarjetas Fast Ethernet en las ranuras de 64 bits no están visibles en el modo monitor. Este problema significa que el servidor TFTP no puede residir en una de estas interfaces. El usuario debe utilizar el comando copy tftp flash para descargar el archivo de imagen del Firewall PIX a través del TFTP.
Copie la imagen binaria del dispositivo PIX (por ejemplo, pix701.bin) en el directorio raíz del servidor TFTP.
Ingrese Modo Monitor en el PIX. Si no está seguro de cómo hacerlo, vea las instrucciones para ingresar al Modo Monitor en este documento.
Nota: Una vez en Modo Monitor, puede utilizar el "?" para ver una lista de opciones disponibles.
Introduzca el número de interfaz al que está conectado el servidor TFTP o la interfaz más cercana al servidor TFTP. La interfaz predeterminada es la 1 (interna).
monitor>interface
Nota: En el Modo Monitor, la interfaz siempre negocia la velocidad y el dúplex automáticamente. La configuración de la interfaz no se puede codificar correctamente. Por lo tanto, si la interfaz PIX está conectada a un switch que está codificado para velocidad/dúplex, entonces reconfigúrelo para negociar automáticamente mientras está en Modo Monitor. Tenga en cuenta también que el dispositivo PIX no puede inicializar una interfaz Gigabit Ethernet desde el Modo Monitor. En su lugar, debe utilizar una interfaz Fast Ethernet.
Introduzca la dirección IP de la interfaz definida en el paso 3.
monitor>address
Introduzca la dirección IP del servidor TFTP.
monitor>server
(Opcional) Introduzca la dirección IP de la puerta de enlace. Se requiere una dirección de gateway si la interfaz del PIX no está en la misma red que el servidor TFTP.
monitor>gateway
Introduzca el nombre del archivo en el servidor TFTP que desea cargar. Este es el nombre del archivo de imagen binaria PIX.
monitor>file
Haga ping desde el PIX al servidor TFTP para verificar la conectividad IP.
Si los pings fallan, verifique dos veces los cables, la dirección IP de la interfaz PIX y el servidor TFTP, y la dirección IP del gateway (si es necesario). Los pings deben tener éxito antes de continuar.
monitor>ping
Escriba tftp para iniciar la descarga del TFTP.
monitor>tftp
El PIX descarga la imagen en la RAM y la inicia automáticamente.
Durante el proceso de inicio, el sistema de archivos se convierte junto con la configuración actual. Sin embargo, aún no ha terminado. Observe este mensaje de advertencia después de iniciar y continuar con el paso 11:
****************************************************************** ** ** ** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** ** ** ** ** ----> Current image running from RAM only! <---- ** ** ** ** When the PIX was upgraded in Monitor mode the boot image was not ** ** written to Flash. Please issue "copy tftp: flash:" to load and ** ** save a bootable image to Flash. Failure to do so will result in ** ** a boot loop the next time the PIX is reloaded. ** ** ** ************************************************************************
Una vez reiniciado, ingrese enable mode y copie la misma imagen nuevamente al PIX. Esta vez use el comando copy tftp flash.
Esto guarda la imagen en el sistema de archivos Flash. Si no se realiza este paso, se produce un loop de inicio la próxima vez que el PIX se recarga.
pixfirewall>enable pixfirewall#copy tftp flash
Nota: Para obtener instrucciones detalladas sobre cómo copiar la imagen otra vez con el comando copy tftp flash, consulte la sección Actualización del PIX Security Appliance con el Comando copy tftp flash.
Una vez que la imagen se copia con el comando copy tftp flash, el proceso de actualización se completa.
Ejemplo de Configuración: Actualización del PIX Security Appliance desde el Modo Monitor
monitor>interface 1 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) 2: i8255X @ PCI(bus:1 dev:0 irq:11) 3: i8255X @ PCI(bus:1 dev:1 irq:11) 4: i8255X @ PCI(bus:1 dev:2 irq:11) 5: i8255X @ PCI(bus:1 dev:3 irq:11) Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81 monitor>address 10.1.1.2 address 10.1.1.2 monitor>server 172.18.173.123 server 172.18.173.123 monitor>gateway 10.1.1.1 gateway 10.1.1.1 monitor>file pix701.bin file pix701.bin monitor>ping 172.18.173.123 Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds: !!!!! Success rate is 100 percent (5/5) monitor>tftp tftp pix701.bin@172.18.173.123.......................................... Received 5124096 bytes Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar 7 17:39:03 PST 2005 ####################################################################### 128MB RAM Total NICs found: 6 mcwa i82559 Ethernet at irq 10 MAC: 0050.54ff.4d80 mcwa i82559 Ethernet at irq 7 MAC: 0050.54ff.4d81 mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2014 mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2015 mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2016 mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2017 BIOS Flash=AT29C257 @ 0xfffd8000 Old file system detected. Attempting to save data in flash !--- This output indicates that the Flash file !--- system is formatted. The messages are normal. Initializing flashfs... flashfs[7]: Checking block 0...block number was (-10627) flashfs[7]: erasing block 0...done. flashfs[7]: Checking block 1...block number was (-14252) flashfs[7]: erasing block 1...done. flashfs[7]: Checking block 2...block number was (-15586) flashfs[7]: erasing block 2...done. flashfs[7]: Checking block 3...block number was (5589) flashfs[7]: erasing block 3...done. flashfs[7]: Checking block 4...block number was (4680) flashfs[7]: erasing block 4...done. flashfs[7]: Checking block 5...block number was (-21657) flashfs[7]: erasing block 5...done. flashfs[7]: Checking block 6...block number was (-28397) flashfs[7]: erasing block 6...done. flashfs[7]: Checking block 7...block number was (2198) flashfs[7]: erasing block 7...done. flashfs[7]: Checking block 8...block number was (-26577) flashfs[7]: erasing block 8...done. flashfs[7]: Checking block 9...block number was (30139) flashfs[7]: erasing block 9...done. flashfs[7]: Checking block 10...block number was (-17027) flashfs[7]: erasing block 10...done. flashfs[7]: Checking block 11...block number was (-2608) flashfs[7]: erasing block 11...done. flashfs[7]: Checking block 12...block number was (18180) flashfs[7]: erasing block 12...done. flashfs[7]: Checking block 13...block number was (0) flashfs[7]: erasing block 13...done. flashfs[7]: Checking block 14...block number was (29271) flashfs[7]: erasing block 14...done. flashfs[7]: Checking block 15...block number was (0) flashfs[7]: erasing block 15...done. flashfs[7]: Checking block 61...block number was (0) flashfs[7]: erasing block 61...done. flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0 flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0 flashfs[7]: 9 files, 3 directories flashfs[7]: 0 orphaned files, 0 orphaned directories flashfs[7]: Total bytes: 15998976 flashfs[7]: Bytes used: 10240 flashfs[7]: Bytes available: 15988736 flashfs[7]: flashfs fsck took 58 seconds. flashfs[7]: Initialization complete. Saving the datafile ! Saving a copy of old datafile for downgrade ! Saving the configuration ! Saving a copy of old configuration as downgrade.cfg ! Saved the activation key from the flash image Saved the default firewall mode (single) to flash The version of image file in flash is not bootable in the current version of software. Use the downgrade command first to boot older version of software. The file is being saved as image_old.bin anyway. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Upgrade process complete Need to burn loader.... Erasing sector 0...[OK] Burning sector 0...[OK] Erasing sector 64...[OK] Burning sector 64...[OK] Licensed features for this platform: Maximum Physical Interfaces : 6 Maximum VLANs : 25 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Cut-through Proxy : Enabled Guards : Enabled URL Filtering : Enabled Security Contexts : 2 GTP/GPRS : Disabled VPN Peers : Unlimited This platform has an Unrestricted (UR) license. Encryption hardware device : VAC+ (Crypto5823 revision 0x1) -------------------------------------------------------------------------- . . | | ||| ||| .|| ||. .|| ||. .:||| | |||:..:||| | |||:. C i s c o S y s t e m s -------------------------------------------------------------------------- Cisco PIX Security Appliance Software Version 7.0(1) ****************************** Warning ******************************* This product contains cryptographic features and is subject to United States and local country laws governing, import, export, transfer, and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute, or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return the enclosed items immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. ******************************* Warning ******************************* Copyright (c) 1996-2005 by Cisco Systems, Inc. Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. Cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 !--- These messages are printed for any deprecated commands. .ERROR: This command is no longer needed. The LOCAL user database is always enabled. *** Output from config line 71, "aaa-server LOCAL protoco..." ERROR: This command is no longer needed. The 'floodguard' feature is always enabled. *** Output from config line 76, "floodguard enable" Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303 !--- All current fixups are converted to the !--- new Modular Policy Framework. INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands INFO: converting 'fixup protocol ftp 21' to MPF commands INFO: converting 'fixup protocol h323_h225 1720' to MPF commands INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands INFO: converting 'fixup protocol http 80' to MPF commands INFO: converting 'fixup protocol ils 389' to MPF commands INFO: converting 'fixup protocol netbios 137-138' to MPF commands INFO: converting 'fixup protocol rsh 514' to MPF commands INFO: converting 'fixup protocol rtsp 554' to MPF commands INFO: converting 'fixup protocol sip 5060' to MPF commands INFO: converting 'fixup protocol skinny 2000' to MPF commands INFO: converting 'fixup protocol smtp 25' to MPF commands INFO: converting 'fixup protocol sqlnet 1521' to MPF commands INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands INFO: converting 'fixup protocol tftp 69' to MPF commands INFO: converting 'fixup protocol sip udp 5060' to MPF commands INFO: converting 'fixup protocol xdmcp 177' to MPF commands ************************************************************************ ** ** ** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** ** ** ** ** ----> Current image running from RAM only! <---- ** ** ** ** When the PIX was upgraded in Monitor mode the boot image was not ** ** written to Flash. Please issue "copy tftp: flash:" to load and ** ** save a bootable image to Flash. Failure to do so will result in ** ** a boot loop the next time the PIX is reloaded. ** ** ** ************************************************************************ Type help or '?' for a list of available commands. pixfirewall> pixfirewall>enable Password:pixfirewall# pixfirewall#copy tftp flash Address or name of remote host []? 172.18.173.123 Source filename []? pix701.bin Destination filename [pix701.bin]? Accessing tftp://172.18.173.123/pix701.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Writing file flash:/pix701.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 5124096 bytes copied in 139.790 secs (36864 bytes/sec) pixfirewall#
Siga estos pasos para actualizar el software PIX con el comando copy tftp flash.
Copie la imagen binaria del dispositivo PIX (por ejemplo, pix701.bin) en el directorio raíz del servidor TFTP.
Desde el mensaje de activación, ejecute el comando copy tftp flash.
pixfirewall>enable Password:pixfirewall#copy tftp flash
Introduzca la dirección IP del servidor TFTP.
Address or name of remote host [0.0.0.0]?
Introduzca el nombre del archivo en el servidor TFTP que desea cargar. Este es el nombre del archivo de imagen binaria PIX.
Source file name [cdisk]?
Cuando se le solicite iniciar la copia de TFTP, escriba yes.
copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]?yes
La imagen se copia nuevamente desde el servidor TFTP a la memoria Flash.
Este mensaje aparece e indica que la transferencia es un éxito, la imagen binaria antigua en Flash se borra y la nueva imagen se escribe e instala.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Writing 5066808 bytes of image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Image installed pixfirewall#
Recargue el dispositivo PIX para iniciar la nueva imagen.
pixfirewall#reload Proceed with reload? [confirm]Rebooting....
El PIX ahora inicia la imagen 7.0 y esto completa el proceso de actualización.
Ejemplo de Configuración: Actualización del PIX Appliance con el comando copy tftp flash
pixfirewall#copy tftp flash Address or name of remote host [0.0.0.0]? 172.18.173.123 Source file name [cdisk]? pix701.bin copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]? yes !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Writing 5066808 bytes of image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Image installed pixfirewall# pixfirewall#reload Proceed with reload? [confirm]Rebooting..ÿ CISCO SYSTEMS PIX FIREWALL Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73 Compiled by morlee 128 MB RAM PCI Device Table. Bus Dev Func VendID DevID Class Irq 00 00 00 8086 7192 Host Bridge 00 07 00 8086 7110 ISA Bridge 00 07 01 8086 7111 IDE Controller 00 07 02 8086 7112 Serial Bus 9 00 07 03 8086 7113 PCI Bridge 00 0D 00 8086 1209 Ethernet 11 00 0E 00 8086 1209 Ethernet 10 00 13 00 11D4 2F44 Unknown Device 5 Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001 Platform PIX-515E System Flash=E28F128J3 @ 0xfff00000 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 5063168 bytes of image from flash. ###################################################################### ###################################################################### 128MB RAM Total NICs found: 2 mcwa i82559 Ethernet at irq 11 MAC: 0009.4360.ed44 mcwa i82559 Ethernet at irq 10 MAC: 0009.4360.ed43 BIOS Flash=am29f400b @ 0xd8000 Old file system detected. Attempting to save data in flash !--- This output indicates that the Flash file !--- system is formatted. The messages are normal. Initializing flashfs... flashfs[7]: Checking block 0...block number was (-27642) flashfs[7]: erasing block 0...done. flashfs[7]: Checking block 1...block number was (-30053) flashfs[7]: erasing block 1...done. flashfs[7]: Checking block 2...block number was (-1220) flashfs[7]: erasing block 2...done. flashfs[7]: Checking block 3...block number was (-22934) flashfs[7]: erasing block 3...done. flashfs[7]: Checking block 4...block number was (2502) flashfs[7]: erasing block 4...done. flashfs[7]: Checking block 5...block number was (29877) flashfs[7]: erasing block 5...done. flashfs[7]: Checking block 6...block number was (-13768) flashfs[7]: erasing block 6...done. flashfs[7]: Checking block 7...block number was (9350) flashfs[7]: erasing block 7...done. flashfs[7]: Checking block 8...block number was (-18268) flashfs[7]: erasing block 8...done. flashfs[7]: Checking block 9...block number was (7921) flashfs[7]: erasing block 9...done. flashfs[7]: Checking block 10...block number was (22821) flashfs[7]: erasing block 10...done. flashfs[7]: Checking block 11...block number was (7787) flashfs[7]: erasing block 11...done. flashfs[7]: Checking block 12...block number was (15515) flashfs[7]: erasing block 12...done. flashfs[7]: Checking block 13...block number was (20019) flashfs[7]: erasing block 13...done. flashfs[7]: Checking block 14...block number was (-25094) flashfs[7]: erasing block 14...done. flashfs[7]: Checking block 15...block number was (-7515) flashfs[7]: erasing block 15...done. flashfs[7]: Checking block 16...block number was (-10699) flashfs[7]: erasing block 16...done. flashfs[7]: Checking block 17...block number was (6652) flashfs[7]: erasing block 17...done. flashfs[7]: Checking block 18...block number was (-23640) flashfs[7]: erasing block 18...done. flashfs[7]: Checking block 19...block number was (23698) flashfs[7]: erasing block 19...done. flashfs[7]: Checking block 20...block number was (-28882) flashfs[7]: erasing block 20...done. flashfs[7]: Checking block 21...block number was (2533) flashfs[7]: erasing block 21...done. flashfs[7]: Checking block 22...block number was (-966) flashfs[7]: erasing block 22...done. flashfs[7]: Checking block 23...block number was (-22888) flashfs[7]: erasing block 23...done. flashfs[7]: Checking block 24...block number was (-9762) flashfs[7]: erasing block 24...done. flashfs[7]: Checking block 25...block number was (9747) flashfs[7]: erasing block 25...done. flashfs[7]: Checking block 26...block number was (-22855) flashfs[7]: erasing block 26...done. flashfs[7]: Checking block 27...block number was (-32551) flashfs[7]: erasing block 27...done. flashfs[7]: Checking block 28...block number was (-13355) flashfs[7]: erasing block 28...done. flashfs[7]: Checking block 29...block number was (-29894) flashfs[7]: erasing block 29...done. flashfs[7]: Checking block 30...block number was (-18595) flashfs[7]: erasing block 30...done. flashfs[7]: Checking block 31...block number was (22095) flashfs[7]: erasing block 31...done. flashfs[7]: Checking block 32...block number was (1486) flashfs[7]: erasing block 32...done. flashfs[7]: Checking block 33...block number was (13559) flashfs[7]: erasing block 33...done. flashfs[7]: Checking block 34...block number was (24215) flashfs[7]: erasing block 34...done. flashfs[7]: Checking block 35...block number was (21670) flashfs[7]: erasing block 35...done. flashfs[7]: Checking block 36...block number was (-24316) flashfs[7]: erasing block 36...done. flashfs[7]: Checking block 37...block number was (29271) flashfs[7]: erasing block 37...done. flashfs[7]: Checking block 125...block number was (0) flashfs[7]: erasing block 125...done. flashfs[7]: inconsistent sector list, fileid 7, parent_fileid 0 flashfs[7]: inconsistent sector list, fileid 12, parent_fileid 0 flashfs[7]: 5 files, 3 directories flashfs[7]: 0 orphaned files, 0 orphaned directories flashfs[7]: Total bytes: 16128000 flashfs[7]: Bytes used: 5128192 flashfs[7]: Bytes available: 10999808 flashfs[7]: flashfs fsck took 59 seconds. flashfs[7]: Initialization complete. Saving the configuration ! Saving a copy of old configuration as downgrade.cfg ! Saved the activation key from the flash image Saved the default firewall mode (single) to flash Saving image file as image.bin !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Upgrade process complete Need to burn loader.... Erasing sector 0...[OK] Burning sector 0...[OK] Licensed features for this platform: Maximum Physical Interfaces : 6 Maximum VLANs : 25 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Cut-through Proxy : Enabled Guards : Enabled URL Filtering : Enabled Security Contexts : 2 GTP/GPRS : Disabled VPN Peers : Unlimited This platform has an Unrestricted (UR) license. Encryption hardware device : VAC (IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5) -------------------------------------------------------------------------- . . | | ||| ||| .|| ||. .|| ||. .:||| | |||:..:||| | |||:. C i s c o S y s t e m s -------------------------------------------------------------------------- Cisco PIX Security Appliance Software Version 7.0(1) ****************************** Warning ******************************* This product contains cryptographic features and is subject to United States and local country laws governing, import, export, transfer, and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute, or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return the enclosed items immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. ******************************* Warning ******************************* Copyright (c) 1996-2005 by Cisco Systems, Inc. Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. Cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 !--- These messages are printed for any deprecated commands. ERROR: This command is no longer needed. The LOCAL user database is always enabled. *** Output from config line 50, "aaa-server LOCAL protoco..." ERROR: This command is no longer needed. The 'floodguard' feature is always enabled. *** Output from config line 55, "floodguard enable" Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 !--- All current fixups are converted to the new Modular Policy Framework. INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands INFO: converting 'fixup protocol ftp 21' to MPF commands INFO: converting 'fixup protocol h323_h225 1720' to MPF commands INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands INFO: converting 'fixup protocol http 80' to MPF commands INFO: converting 'fixup protocol netbios 137-138' to MPF commands INFO: converting 'fixup protocol rsh 514' to MPF commands INFO: converting 'fixup protocol rtsp 554' to MPF commands INFO: converting 'fixup protocol sip 5060' to MPF commands INFO: converting 'fixup protocol skinny 2000' to MPF commands INFO: converting 'fixup protocol smtp 25' to MPF commands INFO: converting 'fixup protocol sqlnet 1521' to MPF commands INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands INFO: converting 'fixup protocol tftp 69' to MPF commands INFO: converting 'fixup protocol sip udp 5060' to MPF commands INFO: converting 'fixup protocol xdmcp 177' to MPF commands Type help or '?' for a list of available commands. pixfirewall>
Nota: Con la licencia sin restricciones, PIX 515 E puede tener hasta ocho VLAN y PIX 535 puede tener hasta veinticinco VLAN.
Las versiones 7.0 y posteriores de PIX Security Appliances utilizan un formato de archivo Flash diferente que las versiones anteriores de PIX. Por lo tanto, no puede degradar de una imagen 7.0 a una imagen 6.x con el uso del comando copy tftp flash. En su lugar, debe utilizar el comando downgrade. Si no lo hace, el PIX se atasca en un loop de inicio.
Cuando el PIX se actualizó originalmente, la configuración de inicio 6.x se guardó en Flash como downgrade.cfg. Cuando sigue este procedimiento de actualización, esta configuración se restaura en el dispositivo cuando se rebaja la calificación. Esta configuración se puede revisar antes de que se realice una actualización anterior cuando ejecute el comando more flash:downgrade.cfg desde un mensaje enable> en 7.0. Además, si el PIX se actualizó a través del Modo Monitor, la imagen binaria 6.x anterior todavía se guarda en Flash como image_old.bin. Puede verificar que esta imagen exista cuando ejecute el comando show flash: comando. Si la imagen existe en Flash, puede utilizar esta imagen en el paso 1 de este procedimiento en lugar de cargar la imagen desde un servidor TFTP.
Complete estos pasos para degradar su PIX Security Appliance.
Ingrese el comando downgrade y especifique la ubicación de la imagen a la que desea degradar.
pixfirewall#downgrade tftp:///
Nota: Si actualizó su PIX desde el Modo Monitor, la imagen binaria antigua todavía se guarda en Flash. Ejecute este comando para volver a la versión anterior a esa imagen:
pixfirewall#downgrade flash:/image_old.bin
Aparece un mensaje de advertencia que le alerta de que la memoria flash está a punto de formarse. Presione enter para continuar.
This command will reformat the flash and automatically reboot the system. Do you wish to continue? [confirm]
La imagen ahora se copia en RAM y la configuración de inicio también se copia en RAM.
Buffering image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Buffering startup config All items have been buffered successfully
Aparece un segundo mensaje de advertencia que indica que la memoria flash comienza a formatear. NO interrumpa este proceso o la memoria flash puede dañarse. Presione enter para continuar con el formato.
If the flash reformat is interrupted or fails, data in flash will be lost and the system might drop to monitor mode. Do you wish to continue? [confirm]
Ahora se formatea la memoria Flash y se instala la imagen antigua y se reinicia el PIX.
Acquiring exclusive access to flash Installing the correct file system for the image and saving the buffered data !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Flash downgrade succeeded Rebooting....
El PIX ahora se inicia hasta el mensaje normal. Esto completa el proceso de reversión.
Ejemplo de configuración: actualización de PIX 7.x a 6.x
pixfirewall#downgrade tftp://172.18.108.26/pix634.bin This command will reformat the flash and automatically reboot the system. Do you wish to continue? [confirm]Buffering image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Buffering startup config All items have been buffered successfully. If the flash reformat is interrupted or fails, data in flash will be lost and the system might drop to monitor mode. Do you wish to continue? [confirm] Acquiring exclusive access to flash Installing the correct file system for the image and saving the buffered data !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Flash downgrade succeeded Rebooting.... CISCO SYSTEMS PIX FIREWALL Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73 Compiled by morlee 128 MB RAM PCI Device Table. Bus Dev Func VendID DevID Class Irq 00 00 00 8086 7192 Host Bridge 00 07 00 8086 7110 ISA Bridge 00 07 01 8086 7111 IDE Controller 00 07 02 8086 7112 Serial Bus 9 00 07 03 8086 7113 PCI Bridge 00 0D 00 8086 1209 Ethernet 11 00 0E 00 8086 1209 Ethernet 10 00 13 00 11D4 2F44 Unknown Device 5 Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001 Platform PIX-515E System Flash=E28F128J3 @ 0xfff00000 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 1962496 bytes of image from flash. ################################################################################# ############################## 128MB RAM mcwa i82559 Ethernet at irq 11 MAC: 0009.4360.ed44 mcwa i82559 Ethernet at irq 10 MAC: 0009.4360.ed43 System Flash=E28F128J3 @ 0xfff00000 BIOS Flash=am29f400b @ 0xd8000 IRE2141 with 2048KB ----------------------------------------------------------------------- || || || || |||| |||| ..:||||||:..:||||||:.. c i s c o S y s t e m s Private Internet eXchange ----------------------------------------------------------------------- Cisco PIX Firewall Cisco PIX Firewall Version 6.3(4) Licensed Features: Failover: Enabled VPN-DES: Enabled VPN-3DES-AES: Enabled Maximum Physical Interfaces: 6 Maximum Interfaces: 10 Cut-through Proxy: Enabled Guards: Enabled URL-filtering: Enabled Inside Hosts: Unlimited Throughput: Unlimited IKE peers: Unlimited This PIX has an Unrestricted (UR) license. ****************************** Warning ******************************* Compliance with U.S. Export Laws and Regulations - Encryption. This product performs encryption and is regulated for export by the U.S. Government. This product is not authorized for use by persons located outside the United States and Canada that do not have prior approval from Cisco Systems, Inc. or the U.S. Government. This product may not be exported outside the U.S. and Canada either by physical or electronic means without PRIOR approval of Cisco Systems, Inc. or the U.S. Government. Persons outside the U.S. and Canada may not re-export, resell or transfer this product by either physical or electronic means without prior approval of Cisco Systems, Inc. or the U.S. Government. ******************************* Warning ******************************* Copyright (c) 1996-2003 by Cisco Systems, Inc. Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. Cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 Type help or '?' for a list of available commands. pixfirewall>
Una actualización de PIX Appliance 6.x a 7.x es una actualización importante. No se puede hacer sin tiempo de inactividad, ni siquiera para PIX en un conjunto de failover. Muchos de los comandos failover cambian con la actualización. El trayecto de actualización recomendado es apagar uno de los PIX en el conjunto de failover. Luego siga las instrucciones en este documento para actualizar el PIX encendido. Una vez que se complete la actualización, verifique que el tráfico pase y también reinicie el PIX una vez para verificar que vuelva a funcionar sin problemas. Una vez que esté satisfecho con que todo funciona correctamente, apague el PIX recién actualizado y encienda el otro PIX. Luego siga las instrucciones en este documento para actualizar el PIX. Una vez completada la actualización, verifique que el tráfico pase. También reinicie el PIX una vez para verificar que vuelva a funcionar sin problemas. Una vez que esté satisfecho de que todo funciona correctamente, encienda el otro PIX. Ambos PIX se actualizan ahora a 7.x y se encienden. Verifique que establezcan las comunicaciones de failover correctamente con el comando show failover.
Nota: El PIX ahora aplica la restricción de que cualquier interfaz que pasa tráfico de datos no puede utilizarse también como interfaz de conmutación por fallas LAN, o interfaz de conmutación por fallas stateful. Si su configuración PIX actual tiene una interfaz compartida que se utiliza para pasar el tráfico de datos normal así como la información de conmutación por fallas de LAN o la información de estado, y si usted actualiza, el tráfico de datos ya no pasa a través de esta interfaz. Todos los comandos asociados a esa interfaz también fallan.
Antes de instalar ASDM, Cisco recomienda leer las notas de la versión de la versión que tiene previsto instalar. Las notas de la versión incluyen los navegadores admitidos mínimos y las versiones de Java, así como una lista de las nuevas funciones admitidas y advertencias abiertas.
El proceso de instalación de ASDM es ligeramente diferente en la versión 7.0 que en el pasado. Además, una vez que la imagen ASDM se copia en la memoria Flash, debe especificarla en la configuración para que el PIX sepa utilizarla. Complete estos pasos para instalar la imagen ASDM en Flash.
Descargue la imagen ASDM (sólo clientes registrados) de Cisco.com y colóquela en el directorio raíz de su servidor TFTP.
Verifique que su PIX tenga conectividad IP con su servidor TFTP. Para hacer esto, haga ping al servidor TFTP desde el PIX.
Desde el mensaje de activación, ejecute el comando copy tftp flash.
pixfirewall>enable Password:pixfirewall#copy tftp flash
Introduzca la dirección IP del servidor TFTP.
Address or name of remote host [0.0.0.0]?
Introduzca el nombre del archivo ASDM en el servidor TFTP que desea cargar.
Source file name [cdisk]?
Introduzca el nombre del archivo ASDM que tiene previsto guardar en Flash. Presione enter para mantener el mismo nombre de archivo.
Destination filename [asdm-501.bin]?
La imagen se copia nuevamente desde el servidor TFTP a la memoria Flash. Estos mensajes aparecen e indican que la transferencia se ha realizado correctamente.
Accessing tftp://172.18.173.123/asdm-501.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!! Writing file flash:/asdm-501.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!! 5880016 bytes copied in 140.710 secs (42000 bytes/sec)
Después de copiar la imagen ASDM, ejecute el comando asdm image flash: para especificar la imagen ASDM que se utilizará.
pixfirewall(config)#asdm image flash:asdm-501.bin
Guarde la configuración en Flash con el comando write memory.
pixfirewall(config)#write memory
Esto completa el proceso de instalación de ASDM.
Síntoma | Resolución |
---|---|
Después de utilizar el método copy tftp flash para actualizar el PIX y reiniciarlo, se atasca en este bucle de reinicio: Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 5063168 bytes of image from flash. |
Los dispositivos PIX con versiones de BIOS anteriores a 4.2 no se pueden actualizar con el uso del comando copy tftp flash. Debe actualizarlos con el método Modo Monitor. |
Después de que el PIX se ejecute 7.0 y se reinicie, se atasca en este loop de reinicio: Rebooting.... Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 115200 bytes of image from flash. PIX Flash Load Helper Initializing flashfs... flashfs[0]: 10 files, 4 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 15998976 flashfs[0]: Bytes used: 1975808 flashfs[0]: Bytes available: 14023168 flashfs[0]: Initialization complete. Unable to locate boot image configuration Booting first image in flash No bootable image in flash. Please download an image from a network server in the monitor mode Failed to find an image to boot |
Si el PIX se actualizó del Modo Monitor a 7.0, pero la imagen 7.0 no se recopió en Flash después del primer inicio de 7.0, entonces cuando el PIX se recarga, se atasca en un loop de reinicio. La solución es cargar la imagen nuevamente desde el Modo Monitor. Después de arrancar, debe copiar la imagen una vez más con el uso del método copy tftp flash. |
Cuando actualiza con el método copy tftp flash, observa este mensaje de error: pixfirewall#copy tftp flash Address or name of remote host [0.0.0.0]? 172.18.173.123 Source file name [cdisk]? pix701.bin copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]? y !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Insufficient flash space available for this request: Size info: request:5066808 current:1966136 delta:3100672 free:2752512 Image not installed pixfirewall# |
Este mensaje suele verse cuando el PIX-535 o PIX-515 (no E) se actualiza a través del método copy tftp flash y PDM también se carga en Flash en ese PIX. La resolución es actualizar con el método Modo Monitor. |
Después de actualizar el PIX de 6.x a 7.0, parte de la configuración no migra correctamente. | La salida del comando show startup-config errors muestra cualquier error que se haya producido durante la migración de la configuración. Los errores aparecen en este resultado después de que inicie el PIX por primera vez. Examine estos errores e intente resolverlos. |
El PIX ejecuta la versión 7.x y se instala una versión más reciente. Cuando el PIX se reinicia, la versión anterior continúa cargándose. | En la versión 7.x de PIX, puede guardar varias imágenes en Flash. El PIX primero busca en la configuración cualquier flash del sistema de arranque: comandos. Estos comandos especifican qué imagen necesita el PIX para arrancar. Si no hay flash del sistema de arranque: se encuentran los comandos, el PIX inicia la primera imagen de arranque en Flash. Para iniciar una versión diferente, especifique el archivo con el uso del comando boot system flash:/<filename>. |
Una imagen ASDM se carga en Flash, pero los usuarios no pueden cargar ASDM en su navegador. | Primero, asegúrese de que el archivo ASDM cargado en Flash sea especificado por el comando asdm image flash://<asdm_file>. Segundo, verifique que el comando http server enable esté en la configuración. Finalmente, verifique el host que intenta cargar ASDM mediante el comando http <address> <mask> <interface>. |
FTP no funciona después de una actualización. | La inspección FTP no se habilitó después de la actualización. Habilite la inspección de FTP de una de las dos maneras que se muestran en la sección Habilitar inspección de FTP. |
La inspección FTP se puede habilitar con cualquiera de estos dos métodos:
Agregue FTP a la política de inspección predeterminada/global.
Si no existe, cree el mapa de clase inspection_default.
PIX1#configure terminal PIX1(config)#class-map inspection_default PIX1(config-cmap)#match default-inspection-traffic PIX1(config-cmap)#exit
Cree o edite el mapa de política global_policy y habilite la inspección FTP para la clase inspection_default.
PIX1(config)#policy-map global_policy PIX1(config-pmap)#class inspection_default PIX1(config-pmap-c)#inspect dns preset_dns_map PIX1(config-pmap-c)#inspect ftp PIX1(config-pmap-c)#inspect h323 h225 PIX1(config-pmap-c)#inspect h323 ras PIX1(config-pmap-c)#inspect rsh PIX1(config-pmap-c)#inspect rtsp PIX1(config-pmap-c)#inspect esmtp PIX1(config-pmap-c)#inspect sqlnet PIX1(config-pmap-c)#inspect skinny PIX1(config-pmap-c)#inspect sunrpc PIX1(config-pmap-c)#inspect xdmcp PIX1(config-pmap-c)#inspect sip PIX1(config-pmap-c)#inspect netbios PIX1(config-pmap-c)#inspect tftp
Habilite global_policy globalmente.
PIX1(config)#service-policy global_policy global
Habilite FTP mediante la creación de una política de inspección independiente.
PIX1#configure terminal PIX1(config)#class-map ftp-traffic !--- Matches the FTP data traffic. PIX1(config-cmap)#match port tcp eq ftp PIX1(config-cmap)#exit PIX1(config)#policy-map ftp-policy PIX1(config-pmap)#class ftp-traffic !--- Inspection for the FTP traffic is enabled. PIX1(config-pmap-c)#inspect ftp PIX1(config-pmap)#exit PIX1(config)#exit !--- Applies the FTP inspection globally. PIX1(config)#service-policy ftp-policy global
Debe tener un contrato de servicio válido para descargar el software PIX. Para obtener un contrato de servicio, realice estos pasos:
Póngase en contacto con su equipo de Cuenta de Cisco si tiene un acuerdo de compra directo.
Póngase en contacto con un Socio o Revendedor de Cisco para adquirir un acuerdo de servicio.
Utilice el Profile Manager para actualizar su perfil de Cisco.com y solicitar asociación a un acuerdo de servicio.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
16-Oct-2008 |
Versión inicial |