Migratie van PIX 500 Series security applicaties naar ASA 5500 Series adaptieve security applicaties
Downloadopties
Inclusief taalgebruik
De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Over deze vertaling
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Inhoud
Inleiding
Dit document legt uit hoe u van PIX 500 Series security applicaties kunt migreren naar ASA 5500 Series adaptieve security applicaties.
Opmerking: PIX 501, PIX 506 en PIX 506E ondersteunen softwareversie 7 niet.
Er zijn twee manieren om een PIX-configuratie om te zetten in een ASA-configuratie:
-
Conversie met Tool ondersteuning
-
Handmatige conversie
Automatisch gereedschap gebaseerd / Tool-Assisted Conversion
Cisco raadt u aan de tool-ondersteunde conversie te gebruiken om PIX-configuraties naar ASA-configuraties te converteren.
De tool-ondersteunde conversiemethode is sneller en schaalbaarder als je meerdere conversies maakt. De output van het proces in een tussenconfiguratie bevat echter zowel de oude als de nieuwe syntaxis. Deze methode berust op de installatie van de tussenliggende configuratie op het beoogde adaptieve security applicatie om de conversie te voltooien. Zolang het niet op het doelapparaat is geïnstalleerd, kunt u de definitieve configuratie niet bekijken.
Opmerking: Cisco heeft de PIX-naar-ASA-migratietool uitgebracht om het migratieproces naar de nieuwe ASA-apparaten te helpen automatiseren. Deze tool kan worden gedownload van de downloadsite van de PIX Software. Raadpleeg Migratie van de configuratie van PIX 500 Series security applicatie naar ASA 5500 Series adaptieve security applicaties voor meer informatie.
Voorwaarden
Hardware- en softwarevereisten
U kunt PIX 515, 515E, 525, 535 upgraden naar versie 7.0.
Alvorens u het upgradeproces naar versie 7.x start, raadt Cisco u aan om PIX versie 6.2 of hoger uit te voeren. Dit waarborgt dat de huidige configuratie behoorlijk converteert. Bovendien moet aan deze hardwarevereisten worden voldaan voor minimum RAM-vereisten:
| PIX-model | RAM-vereisten | |
|---|---|---|
| Beperkt (R) | Niet-beperkt (UR)/alleen failover (FO) | |
| PIX-515 router | 64 MB* | 128 MB* |
| PIX-515 E1. | 64 MB* | 128 MB* |
| PIX-525 router | 128 MB | 256 MB |
| PIX-535 router | 512 MB | 1 GB |
Geef de opdracht show version uit om de hoeveelheid RAM te bepalen die momenteel op de PIX geïnstalleerd is.
Opmerking: voor software-upgrades van PIX 515 en 515E kan ook een geheugenupgrade nodig zijn:
-
Degenen met beperkte licenties en 32 MB geheugen moeten worden opgewaardeerd naar 64 MB geheugen.
-
Degenen met onbeperkte licenties en 64 MB geheugen moeten worden opgewaardeerd naar 128 MB geheugen.
Raadpleeg deze tabel voor de artikelnummers die u nodig hebt om het geheugen van deze apparaten te upgraden.
| Configuratie van huidige applicatie | Upgradeoplossing | ||
|---|---|---|---|
| Licentie voor platform | Totaal geheugen (voor de upgrade) | Onderdeelnummer | Totaal geheugen (na upgrade) |
| Beperkt (R) | 32 MB | PIX-515-MEM-32= | 64 MB |
| Onbeperkt (UR) | 32 MB | PIX-515-MEM-128= | 128 MB |
| Alleen failover (FO) | 64 MB | PIX-515-MEM-128= | 128 MB |
Opmerking: het onderdeelnummer is afhankelijk van de licentie die op de PIX is geïnstalleerd.
De upgrade van softwareversie 6.x naar 7.x verloopt naadloos en vereist handmatig werk, maar deze stappen moeten worden voltooid voordat u begint:
-
Zorg ervoor dat u geen geleider of uitgaand/pas opdrachten toe in uw huidige configuratie. Deze opdrachten worden niet langer ondersteund in 7.x en worden tijdens het upgradeproces verwijderd. Gebruik het Conduit Converter tool om deze opdrachten naar toegangslijsten te converteren voordat u de upgrade probeert.
-
Zorg ervoor dat PIX de verbindingen Point-to-Point Tunneling Protocol (PPTP) niet beëindigt. Software versie 7.x ondersteunt momenteel geen PPTP-beëindiging.
-
Kopieer alle digitale certificaten voor VPN-verbindingen op de PIX voordat u het upgradeproces start.
-
Lees deze documenten om er zeker van te zijn dat u op de hoogte bent van nieuwe, gewijzigde en afgekeurde opdrachten:
-
Releaseopmerkingen voor de softwareversie waarvoor u een upgrade wilt uitvoeren, die u kunt vinden onder "Releaseopmerkingen van Cisco PIX security applicatie".
-
Handleiding voor gebruikers van Cisco PIX 6.2 en 6.3 naar Cisco PIX-softwareversie 7.0
-
-
Plan de migratie tijdens downtime uit te voeren. Hoewel de migratie een eenvoudig proces in twee stappen is, is de upgrade van de PIX security applicatie naar 7.x een belangrijke wijziging en vereist enige downtime.
-
Download de 7.x-software van Cisco Downloads (alleen geregistreerde klanten).
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
-
ASA 5500 Series security applicaties
-
PIX security applicatie 515, 515E, 525 en 535
-
PIX-softwareversies 6.3, 7.0
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Conventies
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Handmatige configuratie en conversie
Met het handmatige conversieproces gebruikt u een teksteditor om de configuratie regel voor regel te doorlopen en PIX-specifieke opdrachten om te zetten in ASA-opdrachten.
Handmatige conversie van de PIX-configuratie naar een ASA-configuratie geeft u de meeste controle over het conversieproces. Het proces neemt echter veel tijd in beslag en wordt niet goed geschaald als u meer dan één conversie moet uitvoeren.
Deze drie stappen moeten worden voltooid om van PIX naar ASA te kunnen migreren:
-
Upgrade de PIX softwareversie naar 7.x.
-
Converteer interfacenamen van Cisco PIX-software 7.0 naar Cisco ASA Format.
-
Kopieer de configuratie van PIX-software 7.0 naar Cisco ASA 5500.
Upgrade de PIX softwareversie naar 7.x
Voltooi de volgende stappen voordat u het eigenlijke upgradeproces start:
-
Geef de show in werking stelt -in werking stellen-stellen uit of schrijf netto bevel om de huidige configuratie van PIX aan een tekstdossier of een server van TFTP op te slaan.
-
Geef het bevel van de showversie uit om de vereisten, zoals RAM te verifiëren. Sla ook de uitvoer van deze opdracht op in een tekstbestand. Als u wilt terugkeren naar een oudere versie van de code, hebt u mogelijk de oorspronkelijke activeringssleutel nodig.
Als de PIX eerder een BIOS-versie (Basic Input Output System) heeft dan 4.2 of als u een PIX 515 of een PIX 535 wilt upgraden terwijl er al een PDM is geïnstalleerd, moet u de upgradeprocedure in de Monitor Mode voltooien in plaats van met de copy tftp flash-methode. Om de BIOS versie te bekijken, herstart de PIX, en met een console kabel aangesloten, lees de berichten bij opstarten.
De BIOS-versie wordt in een bericht weergegeven, zoals:
Rebooting.... CISCO SYSTEMS PIX FIREWALL Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73 Compiled by morlee 64 MB RAM
Opmerking: de 6.x-opdrachten worden tijdens de upgrade automatisch geconverteerd naar 7.x-opdrachten. De automatische conversie van opdrachten resulteert in een wijziging in de configuratie. U moet de configuratiewijzigingen na de 7.x-softwarereleases bekijken om te controleren of de automatische wijzigingen voldoende zijn. Sla vervolgens de configuratie op in een flitsgeheugen om er zeker van te zijn dat het systeem de configuratie niet opnieuw converteert wanneer het security apparaat opnieuw wordt opgestart.
Opmerking: nadat het systeem is opgewaardeerd naar 7.x, is het belangrijk dat u de software versie 6.x np disk utility, zoals wachtwoordherstel, niet gebruikt, omdat het de 7.x software-afbeelding beschadigt en u vereist om uw systeem opnieuw te starten vanuit de Monitor Mode. Het kan er ook toe leiden dat u uw vorige configuratie, veiligheidskernel en sleutelinformatie kwijtraakt.
Upgradeer de PIX security applicatie met de kopie ftp flash Command
Voltooi deze stappen om de PIX te upgraden met behulp van de kopie tftp flash opdracht.
-
Kopieer de binaire afbeelding van het PIX-apparaat, bijvoorbeeld pix701.bin, naar de rootmap van de TFTP-server.
-
Van de Enable prompt, geef het exemplaar tftp flitsbevel uit.
pixfirewall>enable Password:pixfirewall#copy tftp flash -
Voer het IP-adres van de TFTP-server in.
Address or name of remote host [0.0.0.0]? -
Voer de naam in van het bestand op de TFTP-server die u wilt laden. Dit is de naam van het PIX-binaire beeldbestand.
Source file name [cdisk]? -
Wanneer u wordt gevraagd om de TFTP-kopie te starten, typt u ja.
copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]?yes
-
De afbeelding wordt nu van de TFTP-server naar Flash gekopieerd.
Dit bericht verschijnt en geeft aan dat de overdracht een succes is, de oude binaire afbeelding in Flash wordt gewist en de nieuwe afbeelding wordt geschreven en geïnstalleerd.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Writing 5066808 bytes of image !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Image installed pixfirewall#
-
Herlaad het PIX-apparaat om het nieuwe beeld te starten.
pixfirewall#reload Proceed with reload? [confirm]Rebooting.... -
De PIX start nu de 7.0 afbeelding op en hiermee is het upgradeproces voltooid.
Voorbeeld configuratie - Upgrade de PIX applicatie met de copy tftp flash Command
pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall#
pixfirewall#reload
Proceed with reload? [confirm]
!--- system is formatted. The messages are normal.
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-27642)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-30053)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-1220)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-22934)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (2502)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (29877)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-13768)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (9350)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-18268)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (7921)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (22821)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (7787)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (15515)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (20019)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-25094)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-7515)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (-10699)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (6652)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (-23640)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (23698)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (-28882)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (2533)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-966)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-22888)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (-9762)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (9747)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (-22855)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-32551)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-13355)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (-29894)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-18595)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (22095)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (1486)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (13559)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (24215)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (21670)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (-24316)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 7, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 12, parent_fileid 0
flashfs[7]: 5 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 5128192
flashfs[7]: Bytes available: 10999808
flashfs[7]: flashfs fsck took 59 seconds.
flashfs[7]: Initialization complete.
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs : 25
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited
This platform has an Unrestricted (UR) license.
Encryption hardware device : VAC (IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5)
--------------------------------------------------------------------------
. .
| |
||| |||
.|| ||. .|| ||.
.:||| | |||:..:||| | |||:.
C i s c o S y s t e m s
--------------------------------------------------------------------------
Cisco PIX Security Appliance Software Version 7.0(1)
****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.
A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************
Copyright (c) 1996-2005 by Cisco Systems, Inc.
Restricted Rights Legend
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.
Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706
!--- These messages are printed for any deprecated commands.
ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 50, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 55, "floodguard enable"
Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255
!--- All current fixups are converted to the new Modular Policy Framework.
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
pixfirewall>
Opmerking: Geef de opdracht show versie uit om te controleren of de PIX nu de 7.x softwareversie uitvoert.
Opmerking: Om eventuele fouten te onderzoeken die tijdens de migratie van de configuratie zijn opgetreden, moet u de opdracht fouten bij het opstarten van de configuratie uitgeven. De fouten verschijnen in deze uitvoer nadat u PIX voor het eerst opstart.
Upgrade de PIX security applicatie van de monitormodus
Voltooi deze stappen om de Monitormodus op de PIX in te voeren.
-
Sluit een consolekabel aan op de consolepoort op de PIX met behulp van deze communicatie-instellingen:
-
960 bits per seconde
-
8 gegevensbits
-
geen pariteit
-
1 stopbit
-
debietregeling
-
-
Het programma aan/uit of herladen van de PIX. Tijdens het opstarten wordt u gevraagd om BREAK of ESC te gebruiken om de Flash-boot te onderbreken. U hebt tien seconden om het normale opstartproces te onderbreken.
-
Druk op de ESC-toets of verstuur een BREAK-teken om in de Monitormodus te komen.
-
Als u Windows Hyper Terminal gebruikt, kunt u op de Esc-toets drukken of op Ctrl+Break drukken om een BREAK-teken te verzenden.
-
Als u Telnet via een terminalserver hebt om toegang te krijgen tot de consolepoort van de PIX, moet u op Ctrl+] drukken (Control + rechterhaak) om naar de Telnet-opdrachtprompt te gaan. Geef vervolgens de opdracht break te verzenden uit.
-
-
De monitor>prompt wordt weergegeven.
-
Ga verder naar het gedeelte Upgrade de PIX vanuit monitormodus.
Upgrade de PIX vanuit de monitormodus
Voltooi deze stappen om uw PIX te upgraden van Monitor Mode.
-
Kopieer de binaire afbeelding van het PIX-apparaat, bijvoorbeeld pix701.bin, naar de rootmap van de TFTP-server.
-
Voer de monitormodus in op de PIX. Als u niet zeker weet hoe u dit moet doen, raadpleegt u Monitormodus invoeren.
Opmerking: Eenmaal in de monitormodus kunt u de toets "?" gebruiken om een lijst met beschikbare opties te zien.
-
Voer het interfacenummer in waarmee de TFTP-server is verbonden of de interface die het dichtst bij de TFTP-server staat. De standaardinstelling is interface 1 (binnenin).
monitor>interfaceOpmerking: in de monitormodus onderhandelt de interface altijd automatisch over de snelheid en duplex. De interface-instellingen kunnen niet hard worden gecodeerd. Als de PIX-interface daarom is aangesloten op een switch die hard is gecodeerd voor speed/duplex, configureer deze dan opnieuw om automatisch te onderhandelen terwijl u in de monitormodus bent. Let er ook op dat het PIX-apparaat geen Gigabit Ethernet-interface kan initialiseren vanuit de monitormodus. In plaats daarvan moet u een Fast Ethernet-interface gebruiken.
-
Voer het IP-adres van de interface in die in stap drie is gedefinieerd.
monitor>address -
Voer het IP-adres van de TFTP-server in.
monitor>server -
(Optioneel) Voer het IP-adres van uw gateway in. Een gatewayadres wordt vereist als de interface van PIX niet op het zelfde netwerk zoals de server van TFTP is.
monitor>gateway -
Voer de naam in van het bestand op de TFTP-server die u wilt laden. Dit is de naam van het PIX-binaire beeldbestand.
monitor>file -
Ping van de PIX naar de TFTP-server om de IP-verbinding te verifiëren.
Als pings ontbreken, controleer de kabels, het IP adres van de interface PIX en de server van TFTP, en het IP adres van de gateway (indien nodig). Pings moeten slagen alvorens u verdergaat.
monitor>ping -
Typ tftp om de TFTP-download te starten.
monitor>tftp
-
De PIX downloadt de afbeelding naar RAM en start deze automatisch op.
Tijdens het bootproces wordt het bestandssysteem geconverteerd, samen met uw huidige configuratie. U bent echter nog niet klaar. Let op dit waarschuwingsbericht nadat u bent opgestart en ga verder met stap 11:
****************************************************************** ** ** ** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** ** ** ** ** ----> Current image running from RAM only! <---- ** ** ** ** When the PIX was upgraded in Monitor mode the boot image was not ** ** written to Flash. Please issue "copy tftp: flash:" to load and ** ** save a bootable image to Flash. Failure to do so will result in ** ** a boot loop the next time the PIX is reloaded. ** ** ** ************************************************************************
-
Nadat u opgestart bent, schakelt u de modus in en kopieert u dezelfde afbeelding opnieuw naar de PIX. Geef deze keer de kopie tftp flash opdracht.
De afbeelding wordt nu opgeslagen in het Flash-bestandssysteem. Het onvermogen om deze stap te voltooien resulteert in een laarslus de volgende keer dat de PIX herlaadt.
pixfirewall>enable pixfirewall#copy tftp flash
Opmerking: Zie Upgrade de PIX security applicatie met de sectie copy tftp flash Command voor uitgebreide instructies hoe u de afbeelding kunt kopiëren met behulp van de kopie tftp flash opdracht.
-
Zodra de afbeelding is gekopieerd met de opdracht flash tftp kopiëren, is het upgradeproces voltooid.
Voorbeeld configuratie - upgrade van de PIX security applicatie van de monitormodus
monitor>interface 1 0: i8255X @ PCI(bus:0 dev:13 irq:10) 1: i8255X @ PCI(bus:0 dev:14 irq:7 ) 2: i8255X @ PCI(bus:1 dev:0 irq:11) 3: i8255X @ PCI(bus:1 dev:1 irq:11) 4: i8255X @ PCI(bus:1 dev:2 irq:11) 5: i8255X @ PCI(bus:1 dev:3 irq:11) Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81 monitor>address 10.1.1.2 address 10.1.1.2 monitor>server 172.18.173.123 server 172.18.173.123 monitor>gateway 10.1.1.1 gateway 10.1.1.1 monitor>file pix701.bin file pix701.bin monitor>ping 172.18.173.123 Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds: !!!!! Success rate is 100 percent (5/5) monitor>tftp tftp pix701.bin@172.18.173.123.......................................... Received 5124096 bytes Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar 7 17:39:03 PST 2005 ####################################################################### 128MB RAM Total NICs found: 6 mcwa i82559 Ethernet at irq 10 MAC: 0050.54ff.4d80 mcwa i82559 Ethernet at irq 7 MAC: 0050.54ff.4d81 mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2014 mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2015 mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2016 mcwa i82558 Ethernet at irq 11 MAC: 00e0.b600.2017 BIOS Flash=AT29C257 @ 0xfffd8000 Old file system detected. Attempting to save data in flash !--- This output indicates that the Flash file
!--- system is formatted. The messages are normal. Initializing flashfs... flashfs[7]: Checking block 0...block number was (-10627) flashfs[7]: erasing block 0...done. flashfs[7]: Checking block 1...block number was (-14252) flashfs[7]: erasing block 1...done. flashfs[7]: Checking block 2...block number was (-15586) flashfs[7]: erasing block 2...done. flashfs[7]: Checking block 3...block number was (5589) flashfs[7]: erasing block 3...done. flashfs[7]: Checking block 4...block number was (4680) flashfs[7]: erasing block 4...done. flashfs[7]: Checking block 5...block number was (-21657) flashfs[7]: erasing block 5...done. flashfs[7]: Checking block 6...block number was (-28397) flashfs[7]: erasing block 6...done. flashfs[7]: Checking block 7...block number was (2198) flashfs[7]: erasing block 7...done. flashfs[7]: Checking block 8...block number was (-26577) flashfs[7]: erasing block 8...done. flashfs[7]: Checking block 9...block number was (30139) flashfs[7]: erasing block 9...done. flashfs[7]: Checking block 10...block number was (-17027) flashfs[7]: erasing block 10...done. flashfs[7]: Checking block 11...block number was (-2608) flashfs[7]: erasing block 11...done. flashfs[7]: Checking block 12...block number was (18180) flashfs[7]: erasing block 12...done. flashfs[7]: Checking block 13...block number was (0) flashfs[7]: erasing block 13...done. flashfs[7]: Checking block 14...block number was (29271) flashfs[7]: erasing block 14...done. flashfs[7]: Checking block 15...block number was (0) flashfs[7]: erasing block 15...done. flashfs[7]: Checking block 61...block number was (0) flashfs[7]: erasing block 61...done. flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0 flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0 flashfs[7]: 9 files, 3 directories flashfs[7]: 0 orphaned files, 0 orphaned directories flashfs[7]: Total bytes: 15998976 flashfs[7]: Bytes used: 10240 flashfs[7]: Bytes available: 15988736 flashfs[7]: flashfs fsck took 58 seconds. flashfs[7]: Initialization complete. Saving the datafile ! Saving a copy of old datafile for downgrade ! Saving the configuration ! Saving a copy of old configuration as downgrade.cfg ! Saved the activation key from the flash image Saved the default firewall mode (single) to flash The version of image file in flash is not bootable in the current version of software. Use the downgrade command first to boot older version of software. The file is being saved as image_old.bin anyway. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Upgrade process complete Need to burn loader.... Erasing sector 0...[OK] Burning sector 0...[OK] Erasing sector 64...[OK] Burning sector 64...[OK] Licensed features for this platform: Maximum Physical Interfaces : 6 Maximum VLANs : 25 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Cut-through Proxy : Enabled Guards : Enabled URL Filtering : Enabled Security Contexts : 2 GTP/GPRS : Disabled VPN Peers : Unlimited This platform has an Unrestricted (UR) license. Encryption hardware device : VAC+ (Crypto5823 revision 0x1) -------------------------------------------------------------------------- . . | | ||| ||| .|| ||. .|| ||. .:||| | |||:..:||| | |||:. C i s c o S y s t e m s -------------------------------------------------------------------------- Cisco PIX Security Appliance Software Version 7.0(1) ****************************** Warning ******************************* This product contains cryptographic features and is subject to United States and local country laws governing, import, export, transfer, and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute, or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return the enclosed items immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. ******************************* Warning ******************************* Copyright (c) 1996-2005 by Cisco Systems, Inc. Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. Cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 !--- These messages are printed for any deprecated commands. .ERROR: This command is no longer needed. The LOCAL user database is always enabled. *** Output from config line 71, "aaa-server LOCAL protoco..." ERROR: This command is no longer needed. The 'floodguard' feature is always enabled. *** Output from config line 76, "floodguard enable" Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303 !--- All current fixups are converted to the
!--- new Modular Policy Framework. INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands INFO: converting 'fixup protocol ftp 21' to MPF commands INFO: converting 'fixup protocol h323_h225 1720' to MPF commands INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands INFO: converting 'fixup protocol http 80' to MPF commands INFO: converting 'fixup protocol ils 389' to MPF commands INFO: converting 'fixup protocol netbios 137-138' to MPF commands INFO: converting 'fixup protocol rsh 514' to MPF commands INFO: converting 'fixup protocol rtsp 554' to MPF commands INFO: converting 'fixup protocol sip 5060' to MPF commands INFO: converting 'fixup protocol skinny 2000' to MPF commands INFO: converting 'fixup protocol smtp 25' to MPF commands INFO: converting 'fixup protocol sqlnet 1521' to MPF commands INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands INFO: converting 'fixup protocol tftp 69' to MPF commands INFO: converting 'fixup protocol sip udp 5060' to MPF commands INFO: converting 'fixup protocol xdmcp 177' to MPF commands ************************************************************************ ** ** ** *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING *** ** ** ** ** ----> Current image running from RAM only! <---- ** ** ** ** When the PIX was upgraded in Monitor mode the boot image was not ** ** written to Flash. Please issue "copy tftp: flash:" to load and ** ** save a bootable image to Flash. Failure to do so will result in ** ** a boot loop the next time the PIX is reloaded. ** ** ** ************************************************************************ Type help or '?' for a list of available commands. pixfirewall> pixfirewall>enable Password:pixfirewall# pixfirewall#copy tftp flash Address or name of remote host []? 172.18.173.123 Source filename []? pix701.bin Destination filename [pix701.bin]? Accessing tftp://172.18.173.123/pix701.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Writing file flash:/pix701.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 5124096 bytes copied in 139.790 secs (36864 bytes/sec) pixfirewall#
Interfacenamen van Cisco PIX-software 7.0 converteren naar Cisco ASA-indeling
De volgende stap in het proces is de zojuist geconverteerde offline configuratie van Cisco PIX Software 7.0 te bewerken.
Aangezien de Cisco ASA interface naming conventie verschilt van Cisco PIX security applicaties, moet u wijzigingen aanbrengen in de Cisco PIX configuratie voordat u het kopieert/uploadt naar uw Cisco ASA 5500 Series security applicatie.
Voltooi deze stappen om de veranderingen van de interfacenaam op de configuratie van PIX aan te brengen:
-
Kopieer de nieuwe offline configuratie van Cisco PIX Software 7.0. Om dit te doen, upload de configuratie naar een TFTP/FTP server of kopieer de configuratie van een consolesessie naar een teksteditor.
Om de PIX-configuratie vanaf de console naar een TFTP/FTP-server te uploaden, geeft u deze opdracht:
copy startup−config tftp://n.n.n.n/PIX7cfg.txt or copy startup−config ftp://n.n.n.n/PIX7cfg.txt -
Zodra het op Cisco PIX Software 7.0 gebaseerde configuratiebestand is geüpload naar de TFTP/FTP-server (of is geplakt/gekopieerd naar een teksteditor), opent u Kladblok/WordPad of een favoriete teksteditor om de interfacenamen in de PIX-configuratie te wijzigen.
Cisco PIX security applicaties nummerinterfaces van 0 tot en met n. Cisco ASA 5500 Series security applicaties nummerinterfaces op basis van hun locatie/sleuf. Ingesloten interfaces zijn genummerd van 0/0 tot 0/3 en de beheerinterface is Beheer 0/0. Interfaces op de 4GE SSM module zijn genummerd van 1/0 tot 1/3.
Cisco ASA 5510 met een basislicentie die 7.0 uitvoert, heeft drie Fast Ethernet-poorten (0/0 tot en met 0/2) plus de beschikbare Management 0/0-interface. Cisco ASA 5510 met een Security Plus-licentie heeft alle vijf Fast Ethernet-interfaces beschikbaar. Cisco ASA 5520 en 5540 hebben vier Gigabit Ethernet-poorten en één Fast Ethernet-beheerpoort. Cisco ASA 5550 heeft acht Gigabit Ethernet-poorten en één Fast Ethernet-poort.
Wijzig de interfacenamen in de PIX-configuratie in ASA-interfaceformaat.
Voorbeeld:
Ethernet0 ==> Ethernet0/0 Ethernet1 ==> Ethernet0/1 GigabitEthernet0 ==> GigabitEthernet0/0
Raadpleeg de sectie "Config Interface Parameters" van de configuratiehandleiding voor de Cisco Security Appliance Command Line, versie 7.0 voor meer informatie.
Kopieert de configuratie van PIX naar ASA
Op dit punt hebt u een op Cisco PIX Software 7.0 gebaseerde configuratie met de aangepaste interfacenamen, klaar om te worden gekopieerd of geüpload naar uw Cisco ASA 5500 Series. Er zijn twee manieren om de op Cisco PIX Software 7.0 gebaseerde configuratie te laden naar het Cisco ASA 5500 Series apparaat.
Voltooi de stappen in Methode 1: Handmatig kopiëren/plakken of Methode 2: Downloaden van TFTP/FTP.
Methode 1: Handmatig kopiëren/plakken
Kopieert de configuratie via de methode kopiëren/plakken vanaf de PIX-console:
-
Log in de Cisco ASA 5500 reeks via de console en geef de opdracht clear config all uit om de configuratie te wissen voordat u de aangepaste Cisco PIX Software 7.0-configuratie plakt.
ASA#config t ASA(config)#clear config all
-
Kopieer en plak de configuratie naar de ASA-console en sla de configuratie op.
Opmerking: Zorg ervoor dat alle interfaces in de status no shutdown staan voordat u start met testen.
Methode 2: Download van TFTP/FTP
De tweede methode is om de op Cisco PIX Software 7.0 gebaseerde configuratie te downloaden van een TFTP/FTP-server. Voor deze stap moet u de beheerinterface op het Cisco ASA 5500 Series-apparaat configureren voor TFTP/FTP downloaden:
-
Geef dit vanuit de ASA-console op:
ASA#config t ASA(config)#interface management 0 ASA(config)#nameif management ASA(config)#ip addASA(config)#no shut Opmerking: (optioneel) routebeheer <ip> <masker> <volgende hop>
-
Zodra de beheerinterface is ingesteld, kunt u de PIX-configuratie downloaden naar de ASA:
ASA(Config)#copy tftp:///PIX7cfg.txt running-config -
Sla de configuratie op.
Een PIX-softwareversie 6.x-configuratie toepassen op ASA-softwareversie 7.x
De conversie van een PIX 6.2- of 6.3-configuratie naar een nieuwe ASA security applicatie is een handmatig proces. De ASA/PIX-beheerder moet PIX 6.x-syntaxis converteren om de ASA-syntaxis aan te passen en de opdrachten in de ASA-configuratie typen. U kunt bepaalde opdrachten zoals de opdracht toegangslijst knippen en plakken. Verzeker u ervan dat u de PIX 6.2- of 6.3-configuratie nauwkeurig vergelijkt met de nieuwe ASA-configuratie om er zeker van te zijn dat er geen fouten worden gemaakt in de conversie.
Opmerking: de Cisco CLI Analyzer (alleen geregistreerde klanten) kan worden gebruikt om een aantal van de oudere, niet-ondersteunde opdrachten, zoals Apply, outbound of conduit, naar de juiste toegangslijst te converteren. De omgezette verklaringen moeten grondig worden herzien. Het is noodzakelijk om te verifiëren dat de conversie overeenkomt met het beveiligingsbeleid.
Opmerking: het proces voor de upgrade naar een nieuw ASA-apparaat verschilt van een upgrade naar een nieuw PIX-apparaat. Een poging om met het PIX-proces naar een ASA te upgraden genereert een aantal configuratiefouten op de ASA.
Probleemoplossing - Handmatige configuratie en conversie
Apparaat zit vast in reboot loop
-
Nadat u de kopie tftp flash methode gebruikt om de PIX te upgraden, en reboot, wordt het vastgezet in deze reboot loop:
Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 5063168 bytes of image from flash.
PIX-applicaties met BIOS-versies eerder dan 4.2 kunnen niet geüpgraded worden met het gebruik van de copy tftp flash commando. U moet deze upgraden met de methode Monitor Mode.
-
Nadat de PIX 7.x draait en opnieuw opstart, komt het vast te zitten in deze reboot loop:
Rebooting.... Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000 Platform PIX-515 Flash=i28F640J5 @ 0x300 Use BREAK or ESC to interrupt flash boot. Use SPACE to begin flash boot immediately. Reading 115200 bytes of image from flash. PIX Flash Load Helper Initializing flashfs... flashfs[0]: 10 files, 4 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 15998976 flashfs[0]: Bytes used: 1975808 flashfs[0]: Bytes available: 14023168 flashfs[0]: Initialization complete. Unable to locate boot image configuration Booting first image in flash No bootable image in flash. Please download an image from a network server in the monitor mode Failed to find an image to boot
Als de PIX wordt opgewaardeerd van Monitor Mode naar 7.0, maar de 7.0 afbeelding niet opnieuw wordt gekopieerd naar Flash na de eerste boot van 7.0, dan wanneer de PIX wordt herladen, wordt het vastgezet in een reboot loop.
De resolutie is bedoeld om het beeld in de monitormodus opnieuw te laden. Nadat het opstart, moet u de afbeelding nog een keer kopiëren met het gebruik van de kopie tftp flitsmethode.
Fout
Wanneer u met de kopie tftp flitsmethode upgradt, ziet u deze foutmelding:
pixfirewall#copy tftp flash Address or name of remote host [0.0.0.0]? 172.18.173.123 Source file name [cdisk]? pix701.bin copying tftp://172.18.173.123/pix701.bin to flash:image [yes|no|again]? y !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 5124096 bytes Erasing current image Insufficient flash space available for this request: Size info: request:5066808 current:1966136 delta:3100672 free:2752512 Image not installed pixfirewall#
Dit bericht verschijnt typisch wanneer PIX 515 of PIX 535 met reeds geïnstalleerde PDM met de flitsmethode van het exemplaar tftp wordt bevorderd.
Upgrade met de monitormodus om dit probleem op te lossen.
De configuratie lijkt niet correct
Nadat u de PIX van 6.x naar 7.x hebt geüpgraded, wordt een deel van de configuratie niet goed gemigreerd.
De output van het bevel van show startup-config fouten toont om het even welke fouten die tijdens de migratie van de configuratie voorkwamen. De fouten verschijnen in deze uitvoer nadat u PIX voor het eerst opstart. Onderzoek deze fouten en probeer ze op te lossen.
Sommige services zoals FTP werken niet
Sommige diensten, zoals FTP, werken niet na een upgrade.
De inspectie voor deze diensten wordt niet toegelaten na de verbetering. Laat de inspectie voor de aangewezen diensten toe. Om dit te doen, voeg ze toe aan standaard/globale inspectie beleid of maak een apart inspectie beleid voor de gewenste dienst.
Raadpleeg de sectie "Application Layer Protocol Inspection" van de Cisco Security Appliance Command Line Configuration Guide, versie 7.0 voor meer informatie over inspectiebeleid.
Kan geen toegang tot internet krijgen wanneer de Cisco PIX security applicatie wordt vervangen door de Cisco adaptieve security applicatie (ASA)
Gebruik deze sectie als u geen toegang tot internet hebt nadat u de Cisco PIX security applicatie hebt vervangen door de Cisco adaptieve security applicatie (ASA).
Wanneer u de PIX loskoppelt van het netwerk en de ASA op het netwerk koppelt met een IP-adres van de buiteninterface dat gelijk is aan de buiteninterface van de PIX, heeft de upstream router nog steeds het MAC-adres voor de PIX dat overeenkomt met het IP-adres van de buiteninterface. Dientengevolge kan het de antwoordpakketten niet terugsturen naar de ASA. Opdat ASA werkt, moet u de ARP ingang op de stroomopwaartse router ontruimen zodat het de nieuwe/correcte mac-adresingang leert. Als u de ARP-vermeldingen uitspoelt wanneer u van plan bent de PIX door ASA te vervangen, lost dit het probleem van de internetconnectiviteit op. De ARP entry flush moet worden gedaan door de ISP aan hun einde.
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
30-May-2007 |
Eerste vrijgave |
Bijgedragen door Cisco-engineers
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)