Actualización del Software para PIX 500 Security Appliance 6.x a 7.x
Contenido
Introducción
Este documento explica cómo actualizar el dispositivo PIX de la versión 6.2 o 6.3 a la versión 7.x. También cubre la instalación de Adaptive Security Device Manager (ASDM) versión 5.0.
Prerequisites
Requirements
Antes de iniciar este procedimiento de actualización, complete estas tareas.
-
Utilice el comando show running-config o write net para guardar la configuración PIX actual en un archivo de texto o un servidor TFTP.
-
Utilice el comando show version para mostrar el número de serie y la clave de activación. Guarde este resultado en un archivo de texto. Si necesita volver a una versión anterior del código, es posible que necesite la clave de activación original. Para obtener información adicional sobre las claves de activación, consulte Preguntas Frecuentes sobre PIX Firewall.
-
Asegúrese de que no tenga ningún comando conduit o outbound en su configuración actual. Estos comandos ya no se soportan en 7.x y el proceso de upgrade los elimina. Utilice la herramienta Output Interpreter (sólo clientes registrados) para convertir estos comandos en listas de acceso antes de intentar la actualización.
-
Asegúrese de que el PIX no termine las conexiones PPTP (Point-to-Point Tunneling Protocol). PIX 7.1 y posteriores no soportan actualmente la terminación PPTP.
-
Si utiliza Failover, asegúrese de que la interfaz LAN o Stateful no se comparta con ningún dato que pase interfaces. Por ejemplo, si utiliza su interfaz interna para pasar el tráfico de datos así como para su interfaz de stateful failover (link de failover dentro), debe mover la interfaz stateful failover a una interfaz diferente antes de actualizar. Si no lo hace, se quitarán todas las configuraciones vinculadas a la interfaz interna. Además, el tráfico de datos no pasa a través de la interfaz después de la actualización.
-
Asegúrese de que el PIX ejecute la versión 6.2 ó 6.3 antes de continuar.
-
Lea las notas de la versión de la versión a la que planea actualizar para conocer todos los comandos nuevos, modificados y obsoletos.
-
Consulte la Guía de actualización para ver si hay cambios de comandos adicionales entre las versiones 6.x y 7.x.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
-
PIX Security Appliance 515, 515E, 525 y 535
-
Software PIX versiones 6.3(4), 7.0(1)
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Requisitos mínimos del sistema
Antes de iniciar el proceso de actualización a la versión 7.x, Cisco recomienda que el PIX ejecute la versión 6.2 o posterior. Esto asegura que la configuración actual se convierta correctamente. Además, estos requisitos de hardware deben cumplirse para cumplir los requisitos mínimos de RAM y Flash:
| Modelo de PIX | Requisitos de RAM | Requisitos de Flash | |
|---|---|---|---|
| Limitada (R) | Sin restricciones (UR)/Sólo conmutación por fallas (FO) | ||
| PIX-515 | 64 MB* | 128 MB* | 16 MB |
| PIX-515 E | 64 MB* | 128 MB* | 16 MB |
| PIX-525 | 128 MB | 256 MB | 16 MB |
| PIX-535 | 512 MB | 1 GB | 16 MB |
* Todos los dispositivos PIX-515 y PIX-515E requieren una actualización de la memoria.
Ejecute el comando show version para determinar la cantidad de RAM y Flash actualmente instaladas en el PIX. No se necesitan actualizaciones de Flash, ya que todos los dispositivos PIX de esta tabla tienen 16 MB instalados de forma predeterminada.
Nota: Solamente los Dispositivos de Seguridad PIX en esta tabla son soportados en la versión 7.x. Los dispositivos de seguridad PIX más antiguos, como PIX-520, 510, 10000 y Classic, han sido interrumpidos y no ejecutan la versión 7.0 o posterior. Si tiene uno de estos dispositivos y desea ejecutar 7.x o una versión posterior, póngase en contacto con su distribuidor o equipo de cuentas de Cisco local para adquirir un dispositivo de seguridad más reciente. Además, los firewalls PIX con menos de 64 MB de RAM (PIX-501, PIX-506 y PIX-506E) no pueden ejecutar la versión inicial 7.0.
Información de actualización de memoria para dispositivos PIX 515/515E
Las actualizaciones de memoria sólo son necesarias para los dispositivos PIX-515 y PIX-515E. Consulte esta tabla para ver los números de pieza que necesita para actualizar la memoria en estos dispositivos.
Nota: El número de pieza depende de la licencia instalada en el PIX.
| Configuración del dispositivo actual | Solución de actualización | ||
|---|---|---|---|
| Licencia de Plataforma | Memoria Total (antes de la actualización) | Número de Pieza | Memoria Total (después de la actualización) |
| Limitada (R) | 32 MB | PIX-515-MEM-32= | 64 MB |
| Ilimitada (UR) | 32 MB | PIX-515-MEM-128= | 128 MB |
| Sólo conmutación por fallas (FO) | 64 MB | PIX-515-MEM-128= | 128 MB |
Refiérase al Boletín de Producto de PIX 515/515E Security Appliance Memory Upgrade para PIX Software v7.0 para obtener información adicional.
Convenciones
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
Actualización del Dispositivo de Seguridad PIX
Descargas de software
Visite el Centro de Software de Cisco (sólo clientes registrados) para descargar el software PIX 7.x. El software del servidor TFTP ya no está disponible en Cisco.com. Sin embargo, puede encontrar muchos servidores TFTP cuando busca "tftp server" en su motor de búsqueda de Internet favorito. Cisco no recomienda específicamente ninguna implementación de TFTP en particular. Para obtener más información, consulte la página del servidor TFTP (sólo clientes registrados) .
Procedimiento de actualización
Tenga en cuenta que la actualización de su PIX Security Appliance a la versión 7.x es un cambio importante. Gran parte de la CLI se modifica y, por lo tanto, su configuración después de la actualización será muy diferente. Sólo se debe actualizar durante una ventana Mantenimiento, ya que el proceso de actualización requiere cierto tiempo de inactividad. Si necesita volver a una imagen de 6.x, debe seguir los procedimientos Downgrade. Si no lo hace, el PIX entra en un loop de reinicio continuo. Para continuar, localice su modelo de dispositivo PIX en esta tabla y luego seleccione el link para ver las instrucciones sobre cómo actualizar.
| Modelo de PIX | Método de actualización |
|---|---|
| PIX-515 | Monitor |
| PIX-515E | copy tftp flash |
| PIX-525 | copy tftp flash |
| PIX-535 (sin PDM instalado) | copy tftp flash |
| PIX-535 (PDM instalado) | Monitor |
Actualización del Dispositivo de Seguridad PIX desde el Modo Monitor
Introducir modo monitor
Complete estos pasos para ingresar al Modo Monitor en el PIX.
-
Conecte un cable de consola al puerto de consola en el PIX con estos ajustes de comunicación:
-
9600 bits por segundo
-
8 bits de datos
-
sin paridad
-
1 bit de parada
-
sin control de flujo
-
-
Inicie el ciclo o recargue el PIX. Durante el arranque, se le solicita que utilice BREAK o ESC para interrumpir el arranque Flash. Tiene diez segundos para interrumpir el proceso normal de arranque.
-
Presione la tecla ESC o envíe un carácter BREAK para acceder al Modo Monitor.
-
Si utiliza Hyper Terminal de Windows, puede presionar la tecla Esc o Ctrl+Break para enviar un carácter BREAK.
-
Si utiliza Telnet a través de un servidor terminal para acceder al puerto de consola del PIX, debe presionar Ctrl+] (Control + soporte derecho) para acceder al símbolo del sistema Telnet. A continuación, ingrese el comando send break.
-
-
Se visualizará el mensaje monitor>.
-
Continúe con la sección Actualización de PIX desde el Modo Monitor.
Actualización del PIX desde el Modo Monitor
Complete estos pasos para actualizar su PIX desde el Modo Monitor.
Nota: Las tarjetas Fast Ethernet en las ranuras de 64 bits no están visibles en el modo monitor. Este problema significa que el servidor TFTP no puede residir en una de estas interfaces. El usuario debe utilizar el comando copy tftp flash para descargar el archivo de imagen del Firewall PIX a través del TFTP.
-
Copie la imagen binaria del dispositivo PIX (por ejemplo, pix701.bin) en el directorio raíz del servidor TFTP.
-
Ingrese Modo Monitor en el PIX. Si no está seguro de cómo hacerlo, vea las instrucciones para ingresar al Modo Monitor en este documento.
Nota: Una vez en Modo Monitor, puede utilizar el "?" para ver una lista de opciones disponibles.
-
Introduzca el número de interfaz al que está conectado el servidor TFTP o la interfaz más cercana al servidor TFTP. La interfaz predeterminada es la 1 (interna).
monitor>interfaceNota: En el Modo Monitor, la interfaz siempre negocia la velocidad y el dúplex automáticamente. La configuración de la interfaz no se puede codificar correctamente. Por lo tanto, si la interfaz PIX está conectada a un switch que está codificado para velocidad/dúplex, entonces reconfigúrelo para negociar automáticamente mientras está en Modo Monitor. Tenga en cuenta también que el dispositivo PIX no puede inicializar una interfaz Gigabit Ethernet desde el Modo Monitor. En su lugar, debe utilizar una interfaz Fast Ethernet.
-
Introduzca la dirección IP de la interfaz definida en el paso 3.
monitor>address -
Introduzca la dirección IP del servidor TFTP.
monitor>server -
(Opcional) Introduzca la dirección IP de la puerta de enlace. Se requiere una dirección de gateway si la interfaz del PIX no está en la misma red que el servidor TFTP.
monitor>gateway -
Introduzca el nombre del archivo en el servidor TFTP que desea cargar. Este es el nombre del archivo de imagen binaria PIX.
monitor>file -
Haga ping desde el PIX al servidor TFTP para verificar la conectividad IP.
Si los pings fallan, verifique dos veces los cables, la dirección IP de la interfaz PIX y el servidor TFTP, y la dirección IP del gateway (si es necesario). Los pings deben tener éxito antes de continuar.
monitor>ping -
Escriba tftp para iniciar la descarga del TFTP.
monitor>tftp
-
El PIX descarga la imagen en la RAM y la inicia automáticamente.
Durante el proceso de inicio, el sistema de archivos se convierte junto con la configuración actual. Sin embargo, aún no ha terminado. Observe este mensaje de advertencia después de iniciar y continuar con el paso 11:
****************************************************************** ** ** ** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** ** ** ** ** ----> Current image running from RAM only! <---- ** ** ** ** When the PIX was upgraded in Monitor mode the boot image was not ** ** written to Flash. Please issue "copy tftp: flash:" to load and ** ** save a bootable image to Flash. Failure to do so will result in ** ** a boot loop the next time the PIX is reloaded. ** ** ** ************************************************************************
-
Una vez reiniciado, ingrese enable mode y copie la misma imagen nuevamente al PIX. Esta vez use el comando copy tftp flash.
Esto guarda la imagen en el sistema de archivos Flash. Si no se realiza este paso, se produce un loop de inicio la próxima vez que el PIX se recarga.
pixfirewall>enable pixfirewall#copy tftp flash
Nota: Para obtener instrucciones detalladas sobre cómo copiar la imagen otra vez con el comando copy tftp flash, consulte la sección Actualización del PIX Security Appliance con el Comando copy tftp flash.
-
Una vez que la imagen se copia con el comando copy tftp flash, el proceso de actualización se completa.
Ejemplo de Configuración: Actualización del PIX Security Appliance desde el Modo Monitor
monitor>interface 1
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
2: i8255X @ PCI(bus:1 dev:0 irq:11)
3: i8255X @ PCI(bus:1 dev:1 irq:11)
4: i8255X @ PCI(bus:1 dev:2 irq:11)
5: i8255X @ PCI(bus:1 dev:3 irq:11)
Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81
monitor>address 10.1.1.2
address 10.1.1.2
monitor>server 172.18.173.123
server 172.18.173.123
monitor>gateway 10.1.1.1
gateway 10.1.1.1
monitor>file pix701.bin
file pix701.bin
monitor>ping 172.18.173.123
Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor>tftp
tftp pix701.bin@172.18.173.123..........................................
Received 5124096 bytes
Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar 7 17:39:03 PST 2005
#######################################################################
128MB RAM
Total NICs found: 6
mcwa i82559 Ethernet at irq 10 MAC: 0050.54ff.4d80
mcwa i82559 Ethernet at irq 7 MAC: 0050.54ff.4d81
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2014
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2015
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2016
mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2017
BIOS Flash=AT29C257 @ 0xfffd8000
Old file system detected. Attempting to save data in flash
!--- This output indicates that the Flash file !--- system is formatted. The messages are normal.
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-10627)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-14252)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-15586)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (5589)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (4680)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-21657)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-28397)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (2198)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-26577)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (30139)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (-17027)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (-2608)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (18180)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (0)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (29271)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (0)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 61...block number was (0)
flashfs[7]: erasing block 61...done.
flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0
flashfs[7]: 9 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 15998976
flashfs[7]: Bytes used: 10240
flashfs[7]: Bytes available: 15988736
flashfs[7]: flashfs fsck took 58 seconds.
flashfs[7]: Initialization complete.
Saving the datafile
!
Saving a copy of old datafile for downgrade
!
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
The version of image file in flash is not bootable in the current version of
software.
Use the downgrade command first to boot older version of software.
The file is being saved as image_old.bin anyway.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
Erasing sector 64...[OK]
Burning sector 64...[OK]
Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs : 25
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited
This platform has an Unrestricted (UR) license.
Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
--------------------------------------------------------------------------
. .
| |
||| |||
.|| ||. .|| ||.
.:||| | |||:..:||| | |||:.
C i s c o S y s t e m s
--------------------------------------------------------------------------
Cisco PIX Security Appliance Software Version 7.0(1)
****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.
A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************
Copyright (c) 1996-2005 by Cisco Systems, Inc.
Restricted Rights Legend
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
!--- These messages are printed for any deprecated commands.
.ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 71, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 76, "floodguard enable"
Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303
!--- All current fixups are converted to the !--- new Modular Policy Framework.
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
************************************************************************
** **
** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** **
** **
** ----> Current image running from RAM only! <---- **
** **
** When the PIX was upgraded in Monitor mode the boot image was not **
** written to Flash. Please issue "copy tftp: flash:" to load and **
** save a bootable image to Flash. Failure to do so will result in **
** a boot loop the next time the PIX is reloaded. **
** **
************************************************************************
Type help or '?' for a list of available commands.
pixfirewall>
pixfirewall>enable
Password:
Actualización del PIX Security Appliance con el comando copy tftp flash
Siga estos pasos para actualizar el software PIX con el comando copy tftp flash.
-
Copie la imagen binaria del dispositivo PIX (por ejemplo, pix701.bin) en el directorio raíz del servidor TFTP.
-
Desde el mensaje de activación, ejecute el comando copy tftp flash.
pixfirewall>enable Password:pixfirewall#copy tftp flash -
Introduzca la dirección IP del servidor TFTP.
Address or name of remote host [0.0.0.0]? -
Introduzca el nombre del archivo en el servidor TFTP que desea cargar. Este es el nombre del archivo de imagen binaria PIX.
Source file name [cdisk]? -
Cuando se le solicite iniciar la copia de TFTP, escriba yes.
copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]?yes
-
La imagen se copia nuevamente desde el servidor TFTP a la memoria Flash.
Este mensaje aparece e indica que la transferencia es un éxito, la imagen binaria antigua en Flash se borra y la nueva imagen se escribe e instala.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Writing 5066808 bytes of image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Image installed pixfirewall#
-
Recargue el dispositivo PIX para iniciar la nueva imagen.
pixfirewall#reload Proceed with reload? [confirm]Rebooting.... -
El PIX ahora inicia la imagen 7.0 y esto completa el proceso de actualización.
Ejemplo de Configuración: Actualización del PIX Appliance con el comando copy tftp flash
pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall#
pixfirewall#reload
Proceed with reload? [confirm]
Nota: Con la licencia sin restricciones, PIX 515 E puede tener hasta ocho VLAN y PIX 535 puede tener hasta veinticinco VLAN.
Reversión de PIX 7.x a 6.x
Las versiones 7.0 y posteriores de PIX Security Appliances utilizan un formato de archivo Flash diferente que las versiones anteriores de PIX. Por lo tanto, no puede degradar de una imagen 7.0 a una imagen 6.x con el uso del comando copy tftp flash. En su lugar, debe utilizar el comando downgrade. Si no lo hace, el PIX se atasca en un loop de inicio.
Cuando el PIX se actualizó originalmente, la configuración de inicio 6.x se guardó en Flash como downgrade.cfg. Cuando sigue este procedimiento de actualización, esta configuración se restaura en el dispositivo cuando se rebaja la calificación. Esta configuración se puede revisar antes de que se realice una actualización anterior cuando ejecute el comando more flash:downgrade.cfg desde un mensaje enable> en 7.0. Además, si el PIX se actualizó a través del Modo Monitor, la imagen binaria 6.x anterior todavía se guarda en Flash como image_old.bin. Puede verificar que esta imagen exista cuando ejecute el comando show flash: comando. Si la imagen existe en Flash, puede utilizar esta imagen en el paso 1 de este procedimiento en lugar de cargar la imagen desde un servidor TFTP.
Complete estos pasos para degradar su PIX Security Appliance.
-
Ingrese el comando downgrade y especifique la ubicación de la imagen a la que desea degradar.
pixfirewall#downgrade tftp:/// Nota: Si actualizó su PIX desde el Modo Monitor, la imagen binaria antigua todavía se guarda en Flash. Ejecute este comando para volver a la versión anterior a esa imagen:
pixfirewall#downgrade flash:/image_old.bin
-
Aparece un mensaje de advertencia que le alerta de que la memoria flash está a punto de formarse. Presione enter para continuar.
This command will reformat the flash and automatically reboot the system. Do you wish to continue? [confirm] -
La imagen ahora se copia en RAM y la configuración de inicio también se copia en RAM.
Buffering image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Buffering startup config All items have been buffered successfully
-
Aparece un segundo mensaje de advertencia que indica que la memoria flash comienza a formatear. NO interrumpa este proceso o la memoria flash puede dañarse. Presione enter para continuar con el formato.
If the flash reformat is interrupted or fails, data in flash will be lost and the system might drop to monitor mode. Do you wish to continue? [confirm] -
Ahora se formatea la memoria Flash y se instala la imagen antigua y se reinicia el PIX.
Acquiring exclusive access to flash Installing the correct file system for the image and saving the buffered data !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Flash downgrade succeeded Rebooting....
-
El PIX ahora se inicia hasta el mensaje normal. Esto completa el proceso de reversión.
Ejemplo de configuración: actualización de PIX 7.x a 6.x
pixfirewall#downgrade tftp://172.18.108.26/pix634.bin
This command will reformat the flash and automatically reboot the system.
Do you wish to continue? [confirm]
Actualización de Dispositivos PIX en un Conjunto de Failover
Una actualización de PIX Appliance 6.x a 7.x es una actualización importante. No se puede hacer sin tiempo de inactividad, ni siquiera para PIX en un conjunto de failover. Muchos de los comandos failover cambian con la actualización. El trayecto de actualización recomendado es apagar uno de los PIX en el conjunto de failover. Luego siga las instrucciones en este documento para actualizar el PIX encendido. Una vez que se complete la actualización, verifique que el tráfico pase y también reinicie el PIX una vez para verificar que vuelva a funcionar sin problemas. Una vez que esté satisfecho con que todo funciona correctamente, apague el PIX recién actualizado y encienda el otro PIX. Luego siga las instrucciones en este documento para actualizar el PIX. Una vez completada la actualización, verifique que el tráfico pase. También reinicie el PIX una vez para verificar que vuelva a funcionar sin problemas. Una vez que esté satisfecho de que todo funciona correctamente, encienda el otro PIX. Ambos PIX se actualizan ahora a 7.x y se encienden. Verifique que establezcan las comunicaciones de failover correctamente con el comando show failover.
Nota: El PIX ahora aplica la restricción de que cualquier interfaz que pasa tráfico de datos no puede utilizarse también como interfaz de conmutación por fallas LAN, o interfaz de conmutación por fallas stateful. Si su configuración PIX actual tiene una interfaz compartida que se utiliza para pasar el tráfico de datos normal así como la información de conmutación por fallas de LAN o la información de estado, y si usted actualiza, el tráfico de datos ya no pasa a través de esta interfaz. Todos los comandos asociados a esa interfaz también fallan.
Instalación de Adaptive Security Device Manager (ASDM)
Antes de instalar ASDM, Cisco recomienda leer las notas de la versión de la versión que tiene previsto instalar. Las notas de la versión incluyen los navegadores admitidos mínimos y las versiones de Java, así como una lista de las nuevas funciones admitidas y advertencias abiertas.
El proceso de instalación de ASDM es ligeramente diferente en la versión 7.0 que en el pasado. Además, una vez que la imagen ASDM se copia en la memoria Flash, debe especificarla en la configuración para que el PIX sepa utilizarla. Complete estos pasos para instalar la imagen ASDM en Flash.
-
Descargue la imagen ASDM (sólo clientes registrados) de Cisco.com y colóquela en el directorio raíz de su servidor TFTP.
-
Verifique que su PIX tenga conectividad IP con su servidor TFTP. Para hacer esto, haga ping al servidor TFTP desde el PIX.
-
Desde el mensaje de activación, ejecute el comando copy tftp flash.
pixfirewall>enable Password:pixfirewall#copy tftp flash -
Introduzca la dirección IP del servidor TFTP.
Address or name of remote host [0.0.0.0]? -
Introduzca el nombre del archivo ASDM en el servidor TFTP que desea cargar.
Source file name [cdisk]? -
Introduzca el nombre del archivo ASDM que tiene previsto guardar en Flash. Presione enter para mantener el mismo nombre de archivo.
Destination filename [asdm-501.bin]? -
La imagen se copia nuevamente desde el servidor TFTP a la memoria Flash. Estos mensajes aparecen e indican que la transferencia se ha realizado correctamente.
Accessing tftp://172.18.173.123/asdm-501.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!! Writing file flash:/asdm-501.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!! 5880016 bytes copied in 140.710 secs (42000 bytes/sec)
-
Después de copiar la imagen ASDM, ejecute el comando asdm image flash: para especificar la imagen ASDM que se utilizará.
pixfirewall(config)#asdm image flash:asdm-501.bin
-
Guarde la configuración en Flash con el comando write memory.
pixfirewall(config)#write memory
-
Esto completa el proceso de instalación de ASDM.
Troubleshoot
| Síntoma | Resolución |
|---|---|
Después de utilizar el método copy tftp flash para actualizar el PIX y reiniciarlo, se atasca en este bucle de reinicio: Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 5063168 bytes of image from flash. |
Los dispositivos PIX con versiones de BIOS anteriores a 4.2 no se pueden actualizar con el uso del comando copy tftp flash. Debe actualizarlos con el método Modo Monitor. |
Después de que el PIX se ejecute 7.0 y se reinicie, se atasca en este loop de reinicio: Rebooting.... Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 115200 bytes of image from flash. PIX Flash Load Helper Initializing flashfs... flashfs[0]: 10 files, 4 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 15998976 flashfs[0]: Bytes used: 1975808 flashfs[0]: Bytes available: 14023168 flashfs[0]: Initialization complete. Unable to locate boot image configuration Booting first image in flash No bootable image in flash. Please download an image from a network server in the monitor mode Failed to find an image to boot |
Si el PIX se actualizó del Modo Monitor a 7.0, pero la imagen 7.0 no se recopió en Flash después del primer inicio de 7.0, entonces cuando el PIX se recarga, se atasca en un loop de reinicio. La solución es cargar la imagen nuevamente desde el Modo Monitor. Después de arrancar, debe copiar la imagen una vez más con el uso del método copy tftp flash. |
Cuando actualiza con el método copy tftp flash, observa este mensaje de error: pixfirewall#copy tftp flash Address or name of remote host [0.0.0.0]? 172.18.173.123 Source file name [cdisk]? pix701.bin copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]? y !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Insufficient flash space available for this request: Size info: request:5066808 current:1966136 delta:3100672 free:2752512 Image not installed pixfirewall# |
Este mensaje suele verse cuando el PIX-535 o PIX-515 (no E) se actualiza a través del método copy tftp flash y PDM también se carga en Flash en ese PIX. La resolución es actualizar con el método Modo Monitor. |
| Después de actualizar el PIX de 6.x a 7.0, parte de la configuración no migra correctamente. | La salida del comando show startup-config errors muestra cualquier error que se haya producido durante la migración de la configuración. Los errores aparecen en este resultado después de que inicie el PIX por primera vez. Examine estos errores e intente resolverlos. |
| El PIX ejecuta la versión 7.x y se instala una versión más reciente. Cuando el PIX se reinicia, la versión anterior continúa cargándose. | En la versión 7.x de PIX, puede guardar varias imágenes en Flash. El PIX primero busca en la configuración cualquier flash del sistema de arranque: comandos. Estos comandos especifican qué imagen necesita el PIX para arrancar. Si no hay flash del sistema de arranque: se encuentran los comandos, el PIX inicia la primera imagen de arranque en Flash. Para iniciar una versión diferente, especifique el archivo con el uso del comando boot system flash:/<filename>. |
| Una imagen ASDM se carga en Flash, pero los usuarios no pueden cargar ASDM en su navegador. | Primero, asegúrese de que el archivo ASDM cargado en Flash sea especificado por el comando asdm image flash://<asdm_file>. Segundo, verifique que el comando http server enable esté en la configuración. Finalmente, verifique el host que intenta cargar ASDM mediante el comando http <address> <mask> <interface>. |
| FTP no funciona después de una actualización. | La inspección FTP no se habilitó después de la actualización. Habilite la inspección de FTP de una de las dos maneras que se muestran en la sección Habilitar inspección de FTP. |
Activar inspección FTP
La inspección FTP se puede habilitar con cualquiera de estos dos métodos:
-
Agregue FTP a la política de inspección predeterminada/global.
-
Si no existe, cree el mapa de clase inspection_default.
PIX1#configure terminal PIX1(config)#class-map inspection_default PIX1(config-cmap)#match default-inspection-traffic PIX1(config-cmap)#exit
-
Cree o edite el mapa de política global_policy y habilite la inspección FTP para la clase inspection_default.
PIX1(config)#policy-map global_policy PIX1(config-pmap)#class inspection_default PIX1(config-pmap-c)#inspect dns preset_dns_map PIX1(config-pmap-c)#inspect ftp PIX1(config-pmap-c)#inspect h323 h225 PIX1(config-pmap-c)#inspect h323 ras PIX1(config-pmap-c)#inspect rsh PIX1(config-pmap-c)#inspect rtsp PIX1(config-pmap-c)#inspect esmtp PIX1(config-pmap-c)#inspect sqlnet PIX1(config-pmap-c)#inspect skinny PIX1(config-pmap-c)#inspect sunrpc PIX1(config-pmap-c)#inspect xdmcp PIX1(config-pmap-c)#inspect sip PIX1(config-pmap-c)#inspect netbios PIX1(config-pmap-c)#inspect tftp
-
Habilite global_policy globalmente.
PIX1(config)#service-policy global_policy global
-
-
Habilite FTP mediante la creación de una política de inspección independiente.
PIX1#configure terminal PIX1(config)#class-map ftp-traffic !--- Matches the FTP data traffic. PIX1(config-cmap)#match port tcp eq ftp PIX1(config-cmap)#exit PIX1(config)#policy-map ftp-policy PIX1(config-pmap)#class ftp-traffic !--- Inspection for the FTP traffic is enabled. PIX1(config-pmap-c)#inspect ftp PIX1(config-pmap)#exit PIX1(config)#exit !--- Applies the FTP inspection globally. PIX1(config)#service-policy ftp-policy global
Obtener un contrato de servicio válido
Debe tener un contrato de servicio válido para descargar el software PIX. Para obtener un contrato de servicio, realice estos pasos:
-
Póngase en contacto con su equipo de Cuenta de Cisco si tiene un acuerdo de compra directo.
-
Póngase en contacto con un Socio o Revendedor de Cisco para adquirir un acuerdo de servicio.
-
Utilice el Profile Manager para actualizar su perfil de Cisco.com y solicitar asociación a un acuerdo de servicio.
Información Relacionada
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
16-Oct-2008 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)