使用ASDM或CLI配置ASA 9.X软件映像升级

简介

本文档介绍如何使用Cisco自适应安全设备管理器升级Cisco ASA 5500设备上的软件映像。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Cisco ASA 5500和ASA 5500-X 9.1(2)及更高版本

• Cisco ASDM 7.1 及更高版本

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

相关产品

此配置也可用于Cisco ASA 5500-X系列安全设备软件版本9.x。

规则

有关文档约定的更多信息，请参考 Cisco 技术提示约定。

下载软件

要下载所需版本的ASA软件映像和ASDM软件映像，请使用以下链接：

• Cisco ASA软件版本下载（仅限注册客户）

• Cisco ASDM软件版本下载（仅限注册客户）

注意：从Cisco.com下载此软件需要有效的思科用户凭证。

ASA和ASDM之间的兼容性

显示的链接会根据每个版本的ASA的兼容性和思科建议的ASDM版本进行更新。

ASA和ASDM兼容性

ASA升级路径

所示链接提供了ASA的升级路径。某些版本需要临时升级，然后才能升级到最新版本。

ASA升级路径

使用ASDM 7.x升级ASA软件映像

完成以下步骤，以使用ASDM升级ASA 5500上的软件映像。

1.当ASA处于单情景模式时，选择 Tools > Upgrade Software from Local Computer.. 从ASDM的Home窗口。

当ASA在多情景模式下运行时， Upgrade Software from Local Computer 选项 Tools 菜单选项卡仅可从系统情景中获得。

2.从下拉列表中选择ASA作为要上传的图像类型。

3.单击 Browse Local Files... 或键入路径 Local File Path 此字段用于指定PC上的软件映像位置。

4.单击Browse Flash...(浏览闪存……)

5.系统随即会显示“浏览闪存”对话框，并自动输入文件名。如果文件名未显示，请在 File Name 字段。点击 完成后确定。



6.指定本地和远程文件名后，单击 Upload Image.

7.当ASDM将映像写入闪存时，系统会显示状态窗口。完成后，将显示“信息”窗口，指示上载成功，并询问是否将映像设置为引导映像。选择 Yes.

点击 OK 在“信息”对话框中，然后单击 Close 在Upload Image from Local PC对话框中。 

8.选择 Tools > System Reload 从Home窗口重新加载设备。

系统将显示一个新窗口，用于验证重新加载的详细信息。选择 Save the running configuration at the time of reload 然后选择重新加载的时间。时间选择包括：

• Now — 立即重新启动设备。
• Delay By — 指定从现在起多少分钟或小时后重新加载设备。
• Schedule at — 指定重新加载设备的时间和日期。

此外，指定当计划的重新加载失败时，设备是否立即强制重新加载。检查 On Reload failure, force an immediate reload after 然后指定最大保持时间。这是安全设备在关闭或重新启动之前等待通知其他子系统的时间。经过此时间后，将进行快速（强制）关闭/重新启动。点击 Schedule Reload.

一旦重新加载正在进行中， Reload Status 窗口显示，指示正在重新加载。还提供退出 ASDM 的选项。

注意：在ASA重新加载后再次启动ASDM。

使用ASDM 7.x升级ASDM映像。

完成以下步骤，使用ASDM之一升级ASA 5500上的软件映像。

1.选择 Tools > Upgrade Software from Local Computer... 从 Home 窗口。

2.选择 ASDM 作为要从下拉列表中上传的图像类型。

3.单击 Browse Local Files...  或键入路径 Local File Path 此字段用于指定PC上的软件映像位置。

点击 Browse Flash....

A Browse Flash 对话框窗口中显示自动输入的文件名。如果文件名未显示，请在 File Name 字段。点击 OK 完成时。

4.单击 OK 当使用新图像更新图像时。

5.选择 File > Save Running Configuration to Flash 从 Home 窗口。

退出ASDM并再次登录以管理具有升级的ASDM映像的ASA。

通过映像升级ASA和ASDM 下载 直接从CCO

完成以下步骤，直接从CCO升级ASA和ASDM映像。

1.选择 Tools > Check for ASA/ASDM Updates... 从 Home 窗口。

2.显示用户名和密码提示符时，提供Cisco.com凭证并单击 Login.

3. Cisco.com Upgrade Wizard 对话框。如果 Overview 部分，单击 Next.



4.在 Select Software 部分，检查需要升级的软件。如果需要升级ASA和ASDM，请选中这两个选项。


5.在ASA版本下拉列表中，选择必须执行ASA升级的版本。

6.在ASDM版本下拉列表中，选择必须执行ASDM升级的版本。点击 Next 选择适当的版本时。

7.在 Review Changes 部分，查看更改并单击 Next.

8.开始安装映像，总体进度如图所示。完成后，点击 Finish.
如果 Results 部分，请检查 Save configuration and reload device now 选项.点击 Finish.

9. Reload Status 设备重新加载时会显示对话框。

10.单击 Exit ASDM 并在重新加载后设备恢复正常后再次登录。

使用CLI升级软件映像和ASDM映像

升级或降级软件映像以及ASA的ASDM映像需要TFTP服务器。有关TFTP服务器选择的详细信息，请参阅TFTP服务器选择和使用。

此 copy tftp flash 命令允许通过TFTP将软件映像下载到防火墙的闪存中。请使用  copy tftp flash 命令。现在可以通过更改boot system变量以指向此映像，在下次重新启动时使用下载的映像。

这是 copy tftp flash 指令：

copy tftp[:[[//location] [/tftp_pathname]]] [[flash/disk0][:[image | asdm]]]

对于多情景模式，请在系统执行空间中执行这些步骤。

注意：对于ASA，关键字disk0替换中的flash copy 命令。

如果使用命令时没有位置或pathname可选参数，则可以通过与Cisco IOS®软件类似的一系列问题以交互方式从用户处获得位置和文件名。如果只输入冒号，则参数取自 tftp-server 命令设置。如果提供其他可选参数，则使用这些值代替关联的 tftp-server 命令设置。如果提供了任一可选参数（如冒号和其后的任何内容），则命令在运行时不提示用户输入。

位置是IP地址或由安全设备名称解析机制解析为IP地址的名称，安全设备名称解析机制当前由静态映射 name 和 names 命令。安全设备必须知道如何通过其路由表信息到达此位置。此信息由 IP address,此 route,或 RIP 命令。具体使用哪个命令取决于您的配置。

除了服务器上文件的路径的最后一部分之外，路径名可以包括任何目录名称。路径名不能包含空格。如果目录名称包含空格，则在TFTP服务器中而不是在 copy tftp flash 命令。如果TFTP服务器配置为指向系统上的某个目录，从中下载映像，则仅使用系统的IP地址和映像文件名。TFTP 服务器接收命令，并根据其根目录信息确定文件的实际位置。然后，服务器将 TFTP 映像下载到安全设备。

升级软件映像和ASDM映像以及在下次重新加载时将其作为引导映像需要这些命令。

ASA#copy tftp [[flash:/disk0:][software image name/asdm image name]]

!--- Command to set an image as bootup or specify the 
!--- ASDM image file. 

ASA(config)#boot system [flash:/disk0:]/[software image name]

!--- Save active configuration to the Flash.

ASA#write memory

!--- Reboot the security appliance and load 
!--- with the new boot image as per the configuration file.

ASA#reload

示例：

ASA-5512# copy tftp: disk0:

Address or name of remote host []? 172.16.31.1
Source filename []? asa916-smp-k8.bin
Destination filename [asa916-smp-k8.bin]?
Accessing tftp://172.16.31.1/asa916-smp-k8.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asa916-smp-k8.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
38043648 bytes copied in 32.290 secs (1188864 bytes/sec)

ASA-5512# sh disk0
--#--  --length--  -----date/time------  path
  191  38191104    Nov 21 2014 21:07:48  asa912-smp-k8.bin
  192  17906032    Apr 08 2015 22:33:44  asdm-713.bin
  193  26350916    Apr 09 2015 06:28:20  asdm-741.bin
  194  38043648    May 10 2015 02:14:06  asa916-smp-k8.bin

4118732800 bytes total (3556712448 bytes free)


!--- Command to set "asa916-smp-k8.bin" as the boot image.

ASA-5512(config)# boot system disk0:/asa916-smp-k8.bin

!--- Command to set "asdm-741.bin" as the ASDM image.

ASA-5512(config)# asdm image disk0:/asdm-741.bin
ASA-5512# write memory
ASA-5512# reload

注：当您尝试从FTP服务器升级ASA上的映像时，请使用 copy ftp flash 命令。此命令允许指定参数，如远程IP地址和源文件名。此过程与TFTP类似。但是，一个限制是您不能修改远程IP/源接口（就像使用TFTP时一样）。在TFTP模式下，使用 tftp-server 命令可以调用并执行。但使用FTP时，没有这样的选项。默认情况下，源接口始终为外部，不能修改。也就是说，可以从外部接口访问FTP服务器。

验证

使用此部分来确认软件升级成功。

Cisco CLI Analyzer(仅限注册客户)支持 show 命令。使用Cisco CLI分析器查看分析 show 命令输出.

在ASA重新加载并再次成功登录ASDM后，验证设备上运行的映像的版本。请参阅 General 选项卡上的 Home 窗口。

以下CLI命令用于验证升级：

1. Show version — 显示用于启动ASA的当前映像。
2. Show bootvar — 这显示重新加载后要使用的映像的优先级。
3. Show asdmimage — 这显示ASA使用的当前ASDM映像。

故障排除

当前没有故障排除此配置的特定可用资料。

相关信息

• 版本说明
• Cisco ASA新功能（按版本）
• Cisco ASA兼容性
• 规划升级
• 升级主用/备用故障切换配置