Ce document décrit comment utiliser l'interface de ligne de commande afin de mettre à niveau l'image logicielle sur une paire de basculement d'appareils de sécurité adaptatifs de la gamme Cisco ASA 5500.
Remarque : Adaptive Security Device Manager (ASDM) ne fonctionne pas si vous mettez à niveau (ou rétrogradez) le logiciel de l'appliance de sécurité de 7.0 à 7.2 directement ou mettez à niveau (ou rétrogradez) le logiciel ASDM de 5.0 à 5.2 directement. Vous devez mettre à niveau (ou rétrograder) par incréments.
Pour plus d'informations sur la façon de mettre à niveau l'ASDM et l'image logicielle sur ASA, référez-vous à PIX/ASA : Mise à niveau d'une image logicielle en utilisant l'ASDM ou l'exemple de configuration CLI
Remarque : en mode multicontexte, vous ne pouvez pas utiliser la commande copy tftp flash pour mettre à niveau ou rétrograder l'image PIX/ASA dans tous les contextes ; elle est prise en charge uniquement en mode d'exécution système.
Aucune exigence spécifique n'est associée à ce document.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
Appareil de sécurité adaptatif Cisco (ASA) avec version 7.0 et ultérieure
Cisco ASDM versions 5.0 et ultérieures
Remarque : référez-vous à Autoriser l'accès HTTPS pour ASDM pour des informations sur la façon d'autoriser l'ASA à être configuré par l'ASDM.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Cette configuration peut également être utilisée avec le logiciel du dispositif de sécurité de la gamme Cisco PIX 500 version 7.0 et ultérieures.
Reportez-vous aux Conventions relatives aux conseils techniques Cisco pour obtenir des informations sur les conventions relatives aux documents.
Les deux unités d'une configuration de basculement doivent avoir la même version logicielle majeure (premier numéro) et mineure (deuxième numéro). Cependant, vous n'avez pas besoin de maintenir la parité de version sur les unités pendant le processus de mise à niveau ; vous pouvez avoir différentes versions du logiciel en cours d'exécution sur chaque unité tout en conservant la prise en charge du basculement. Afin d'assurer la compatibilité et la stabilité à long terme, Cisco vous recommande de mettre à niveau les deux unités vers la même version dès que possible.
Trois types de mises à niveau sont disponibles. Ces mots clés sont les suivants :
Maintenance Release : vous pouvez effectuer une mise à niveau de n'importe quelle version de maintenance vers n'importe quelle autre version de maintenance d'une version mineure. Par exemple, vous pouvez effectuer une mise à niveau de 7.0(1) vers 7.0(4) sans installer au préalable les versions de maintenance intermédiaires.
Version mineure : vous pouvez effectuer une mise à niveau d'une version mineure vers la version mineure suivante. Vous ne pouvez pas ignorer une version mineure. Par exemple, vous pouvez mettre à niveau de 7.0 vers 7.1. La mise à niveau de 7.0 directement vers 7.2 n'est pas prise en charge pour les mises à niveau sans interruption ; vous devez d'abord effectuer la mise à niveau vers 7.1
Version majeure : vous pouvez effectuer une mise à niveau de la dernière version mineure de la version précédente vers la version majeure suivante. Par exemple, vous pouvez effectuer une mise à niveau de 7.9 vers 8.0, en supposant que 7.9 est la dernière version mineure de la version 7.x.
Complétez ces étapes afin de mettre à niveau deux unités dans une configuration de basculement actif/veille :
Téléchargez le nouveau logiciel sur les deux unités et spécifiez la nouvelle image à charger à l'aide de la commande boot system.
Référez-vous à Mise à niveau d'une image logicielle et d'une image ASDM en utilisant CLI pour plus d'informations.
Rechargez l'unité en veille pour démarrer la nouvelle image en entrant la commande failover reload-standby sur l'unité active comme indiqué ci-dessous :
active#failover reload-standby
Lorsque l'unité en veille a terminé son rechargement et est à l'état Standby Ready, forcez l'unité active à basculer vers l'unité en veille en entrant la commande no failover active sur l'unité active.
active#no failover active
Remarque : utilisez la commande show failover afin de vérifier que l'unité en veille est à l'état Standby Ready.
Rechargez l'ancienne unité active (maintenant la nouvelle unité en veille) en entrant la commande reload :
newstandby#reload
Lorsque la nouvelle unité en veille a terminé son rechargement et est à l'état Standby Ready, retournez l'unité active d'origine à l'état active en entrant la commande failover active :
newstandby#failover active
Le processus de mise à niveau d'une paire de basculement actif/veille est ainsi terminé.
Complétez ces étapes afin de mettre à niveau deux unités dans une configuration de basculement actif/actif :
Téléchargez le nouveau logiciel sur les deux unités et spécifiez la nouvelle image à charger à l'aide de la commande boot system.
Référez-vous à Mise à niveau d'une image logicielle et d'une image ASDM en utilisant CLI pour plus d'informations.
Activez les deux groupes de basculement sur l'unité principale en entrant la commande failover active dans l'espace d'exécution système de l'unité principale :
primary#failover active
Rechargez l'unité secondaire pour démarrer la nouvelle image en entrant la commande failover reload-standby dans l'espace d'exécution du système de l'unité principale :
primary#failover reload-standby
Lorsque le rechargement de l'unité secondaire est terminé et que les deux groupes de basculement sont à l'état Standby Ready sur cette unité, activez les deux groupes de basculement sur l'unité secondaire à l'aide de la commande no failover active dans l'espace d'exécution système de l'unité principale :
primary#no failover active
Remarque : utilisez la commande show failover afin de vérifier que les deux groupes de basculement sont à l'état Standby Ready sur l'unité secondaire.
Assurez-vous que les deux groupes de basculement sont à l'état Standby Ready sur l'unité principale, puis rechargez l'unité principale à l'aide de la commande reload :
primary#reload
Si les groupes de basculement sont configurés avec la commande preempt, ils deviennent automatiquement actifs sur leur unité désignée après que le délai de préemption a passé. Si les groupes de basculement ne sont pas configurés avec la commande preempt, vous pouvez les ramener à l'état actif sur leurs unités désignées en utilisant la commande failover active group.
Problème
Un de ces messages d'erreur apparaît quand vous essayez d'améliorer le dispositif de sécurité adaptable Cisco (ASA) :
%ASA-5-720012 : (VPN secondaire) échec de la mise à jour des données d'exécution du basculement IPSec sur l'unité en veille.
%ASA-6-720012 : (unité VPN) échec de la mise à jour des données d'exécution du basculement IPsec sur l'unité en veille.
Solution
Ces messages d'erreur sont des erreurs à titre informatif. Les messages n'affectent pas la fonctionnalité de l'ASA ou du VPN .
Ces messages apparaissent quand le sous-système de basculement du VPN ne peut pas mettre à jour des données d'exécution liées à IPsec parce que le tunnel correspondant d'IPsec a été supprimé sur l'équipement de réserve. Afin de résoudre ces problèmes, exécutez la commande wr standby sur l'unité active.
Deux bogues ont été classés pour corriger ce comportement ; vous pouvez effectuer une mise à niveau vers une version logicielle d'ASA où ces bogues sont corrigés. Référez-vous aux tj et tn CSC d'ID de bogues Cisco (clients enregistrés seulement) pour de plus amples renseignements.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
16-Mar-2010 |
Première publication |