Inleiding
In dit document wordt beschreven hoe u ASA kunt upgraden voor failover-implementaties voor Secure Firewall 1000, 2100 in de applicatiemodus en Secure Firewall 3100/4200.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Cisco Secure Firewall-bescherming tegen bedreigingen.
- Configuratie van Cisco adaptieve security applicatie (ASA).
Gebruikte componenten
De informatie in dit document is gebaseerd op de softwareversies:
- Software voor Cisco adaptieve security applicatie versie 9.14(4)
- Software voor Cisco adaptieve security applicatie versie 9.16(4)
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
Controleer de vereisten
Stap 1. Voer de opdracht show fxos mode uit om te controleren of uw apparaat in apparaat modus is
Opmerking: voor Secure Firewall 21XX in versie 9.13 en eerder ondersteunt alleen de platformmodus. In versie 9.14 en hoger is de modus voor het apparaat de standaardmodus.
ciscoasa# show fxos mode
Mode is currently set to appliance
Stap 2. Controleer de compatibiliteit.
Raadpleeg het compatibiliteitsdocument voor Cisco Secure Firewall ASA om de compatibiliteit tussen het FTD-hardwareplatform en de software voor Secure Firewall ASA te verifiëren. Raadpleeg
Compatibiliteit met Cisco Secure Firewall ASA
Stap 3. Download het upgradepakket van Cisco Software Central.
Opmerking: voor de Secure Firewall 1000/2100 en Secure Firewall 3100/4200 kunt u ASA of FXOS niet afzonderlijk installeren; beide afbeeldingen maken deel uit van een bundel.
Raadpleeg de gekoppelde titel om de versie van ASA en FXOS te kennen die deel uitmaken van de bundel. Zie de versies van Secure Firewall 1000/2100 en 3100/4200 ASA en FXOS-bundel.
Upgrade met de CLI
Stap 1. Stel het ASDM-beeld opnieuw in.
Sluit de primaire eenheid aan in de globale configuratiemodus en voer de opdrachten uit:
ciscoasa(config)# asdm image disk0:/asdm.bin
ciscoasa(config)# exit
ciscoasa# copy running-config startup-config
Source filename [running-config]?
Cryptochecksum: 6beb01d1 b7a3c30f 5e8eb557 a8ebb8ca
12067 bytes copied in 3.780 secs (4022 bytes/sec)
Stap 2. Upload de software-image naar de primaire unit.
Opmerking: in dit document gebruikt u een FTP-server, maar u kunt TFTP, HTTP of andere servertypen gebruiken.
ciscoasa# copy ftp://calo:calo@10.88.7.12/cisco-asa-fp2k.9.16.4.SPA disk0:/cisco-asa-fp2k.9.16.4.SPA
Address or name of remote host [10.88.7.12]?
Source username [calo]?
Source password []? ****
Source filename [cisco-asa-fp2k.9.16.4.SPA]?
Destination filename [cisco-asa-fp2k.9.16.4.SPA]?
Accessing ftp:/calo:<password>@10.88.7.12/cisco-asa-fp2k.9.16.4.SPA...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/cisco-asa-fp2k.9.16.4.SPA...
Writing file disk0:/cisco-asa-fp2k.9.16.4.SPA...
474475840 bytes copied in 843.230 secs (562842 bytes/sec)
Stap 3. Upload de installatiekopie naar de tweede eenheid.
Voer de opdracht uit op de primaire eenheid.
ciscoasa# failover exec mate copy /noconfirm ftp://calo:calo@10.88.7.12/cisco-asa-fp2k.9.16.4.SPA disk0:/cisco-asa-fp2k.9.16.4.SPA
Accessing ftp://calo :<password>@10.88.7.12/cisco-asa-fp2k.9.16.4.SPA...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/cisco-asa-fp2k.9.16.4.SPA...
Writing file disk0:/cisco-asa-fp2k.9.16.4.SPA...
474475840 bytes copied in 843.230 secs (562842 bytes/sec)
Stap 4. Controleer of u een huidig opstartbeeld hebt ingesteld dat met de show running-config boot system opdracht is geconfigureerd.
Opmerking: u hebt mogelijk geen opstartsysteem geconfigureerd.
ciscoasa(config)# show running-config boot system
boot system disk0:/cisco-asa-fp2k.9.14.4.SPA
Stap 5 (facultatief). Als u een opstartbeeld hebt geconfigureerd, moet u dit verwijderen.
No boot system schijf:/asa_image_name
Voorbeeld:
ciscoasa(config)# no boot system disk0:/cisco-asa-fp2k.9.14.4.SPA
Stap 6. Selecteer de afbeelding om op te starten.
ciscoasa(config)# boot system disk0:/cisco-asa-fp2k.9.16.4.SPA
The system is currently installed with security software package 9.14.4, which has:
- The platform version: 2.8.1.172
- The CSP (asa) version: 9.14.4
Preparing new image for install...
!!!!!!!!!!!!
Image download complete (Successful unpack the image).
Installation of version 9.16.4 will do the following:
- upgrade to the new platform version 2.10.1.217
- upgrade to the CSP ASA version 9.16.4
After installation is complete, ensure to do write memory and reload to save this config and apply the new image.
Finalizing image install process...
Install_status: ready............................
Install_status: validating-images....
Install_status: upgrading-npu
Install_status: upgrading-system.
Install_status: update-software-pack-completed
Stap 7. Sla de configuratie op met de opdracht copy running-config startup-config.
Stap 8. Laad de secundaire eenheid opnieuw om de nieuwe versie te installeren.
ciscoasa(config)# failover reload-standby
Wacht tot de secundaire eenheid is geladen.
Stap 9. Zodra de standby-eenheid opnieuw is geladen, wijzigt u de primaire eenheid van de actieve toestand in de stand-by-toestand.
ciscoasa# no failover active
Stap 10. Laad de nieuwe standby-eenheid opnieuw om de nieuwe versie te installeren. U moet verbinding maken met de nieuwe actieve eenheid.
ciscoasa(config)# failover reload-standby
Zodra de nieuwe standby-eenheid is geladen, is de upgrade voltooid.
Upgrade met ASDM
Stap 1. Sluit de secundaire eenheid aan op ASDM.
Stap 2. Ga naar .
Stap 3. Selecteer ASA in de vervolgkeuzelijst.
Stap 4. Klik in het venster Upgradesoftware op Bladeren door lokale bestanden om de softwareafbeelding naar de secundaire eenheid te uploaden.
Opmerking: standaard is de Flash File System Path disk0; om deze te wijzigen, klik op Bladeren Flash en selecteer het nieuwe pad.
Klik op Afbeelding uploaden.
Klik op Nee als het uploaden van de afbeelding is voltooid.
Stap 5. Reset het ASDM-beeld.
Sluit de primaire eenheid aan op de ASDM en ga naar.
Voer in het ASDM Image File Path de waarde disk0:/asdm.bin in en pas deze toe.
Stap 6. Upload de software. Afbeelding naar de primaire unit.
Klik op Bladeren door lokale bestanden en selecteer het upgradepakket op uw apparaat.
Klik op Afbeelding uploaden.
Klik op Ja als het uploaden van de afbeelding is voltooid.
Klik in de voorbeeldvensters op de knop Verzenden om de configuratie op te slaan.
Stap 7. Klik op Opslaan om de configuratie op te slaan.
Stap 8. Laad de secundaire eenheid opnieuw om de nieuwe versie te installeren.
Ga naar Bewaking en klik op Opnieuw laden Standby.
Wacht tot de standby-eenheid is geladen.
Stap 9. Zodra de standby-eenheid opnieuw is geladen, wijzigt u de primaire eenheid van de actieve toestand in de stand-by-toestand.
Ga naar Bewaking en klik op Standby maken.
Opmerking: ASMD maakt automatisch verbinding met de nieuwe actieve eenheid.
Stap 10. Laad de nieuwe standby-eenheid opnieuw om de nieuwe versie te installeren.
Ga naar Bewaking en klik op Opnieuw laden Standby.
Zodra de nieuwe standby-eenheid is geladen, is de upgrade voltooid.
Verifiëren
Controleer de upgrade via CLI en ASDM om te controleren of de upgrade op beide eenheden is voltooid.
Via CLI
ciscoasa# show failover
Failover On
Failover unit Primary
Failover LAN Interface: folink Ethernet1/1 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1292 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.16(4), Mate 9.16(4)
Serial Number: Ours JAD25430R73, Mate JAD25430RCG
Last Failover at: 22:45:48 UTC Jan 31 2024
This host: Primary - Active
Active time: 45 (sec)
slot 0: FPR-2120 hw/sw rev (1.5/9.16(4)) status (Up Sys)
Interface management (10.88.15.58): Normal (Monitored)
Other host: Secondary - Standby Ready
Active time: 909 (sec)
slot 0: FPR-2120 hw/sw rev (1.5/9.16(4)) status (Up Sys)
Interface management (10.88.15.59): Normal (Monitored)
Stateful Failover Logical Update Statistics
Link : folink Ethernet1/1 (up)
Stateful Obj xmit xerr rcv rerr
General 27 0 29 0
sys cmd 27 0 27 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 0 0
UDP conn 0 0 0 0
ARP tbl 0 0 1 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 0 0 0 0
VPN IKEv1 SA 0 0 0 0
VPN IKEv1 P2 0 0 0 0
VPN IKEv2 SA 0 0 0 0
VPN IKEv2 P2 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
SIP Tx 0 0 0 0
SIP Pinhole 0 0 0 0
Route Session 0 0 0 0
Router ID 0 0 0 0
User-Identity 0 0 1 0
CTS SGTNAME 0 0 0 0
CTS PAC 0 0 0 0
TrustSec-SXP 0 0 0 0
IPv6 Route 0 0 0 0
STS Table 0 0 0 0
Umbrella Device-ID 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 10 160
Xmit Q: 0 1 53
Via ASDM
Ga naar , kunt u de ASA versie voor beide apparaten zien.
Gerelateerde informatie