Segurança : Dispositivos de segurança Cisco PIX 500 Series

Software em upgrade para o firewall PIX segura Cisco e o gerenciador de dispositivo pix

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (23 Março 2008) | Inglês (22 Agosto 2015) | Feedback


Nota: Este capas de documento como promover o software em uma ferramenta de segurança da série PIX 500. A fim transferir o software de PIX, refira o centro de software (clientes registrados somente). Você deve entrar e possuir um contrato de serviço válido a fim acesar o software PIX.


Índice


Introdução

Este documento explica como atualizar o software PIX Firewall e o PIX Device Manager (PDM). Este documento é relevante para todas as versões das liberações das PIX Firewall Software Releases 4.x a 6.3.x.

Nota: Este documento não cobre elevações à versão 7.x. Para obter mais informações sobre disto, refira a ferramenta de segurança 7.x do PIX seguro Cisco e o procedimento de upgrade do software ASDM para a versão 7.x e o Security Device Manager adaptável (ASDM).

Antes de Começar

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Estabelecer um servidor TFTP

    Na maioria dos casos, o uso de um servidor TFTP é exigido para um upgrade de software da ferramenta de segurança PIX. Cisco recomenda fortemente que você suporta a configuração de PIX a um servidor TFTP antes da elevação. Emita o comando write net a fim suportar sua configuração.

    Por exemplo:

    pixfirewall# write net 10.1.1.10:pixconfig
    

    Cisco já não fornece um servidor TFTP para a transferência, mas você pode encontrar muitas opções fáceis de usar, livres através de um Engine de busca.

  • Informação necessária do recolhimento

    A fim determinar que upgrade de software trabalha para sua ferramenta de segurança PIX, recolha as especificações de dispositivo. Às vezes, é necessário ter a chave de ativação do PIX disponível durante o procedimento de upgrade. Emita o comando show version a fim obter a informação do dispositivo necessária.

    Por exemplo:

    pixfirewall# show version
    
    Cisco PIX Firewall Version 6.3(4)
    Cisco PIX Device Manager Version 3.0(2)
    
    Compiled on Fri 02-Jul-04 00:07 by morlee
    
    pixfirewall up 29 mins 18 secs
    
    Hardware:   PIX-501, 16 MB RAM, CPU Am5x86 133 MHz
    Flash E28F640J3 @ 0x3000000, 8MB
    BIOS Flash E28F640J3 @ 0xfffd8000, 128KB
    
    0: ethernet0: address is 0015.2b95.f95c, irq 9
    1: ethernet1: address is 0015.2b95.f95e, irq 10
    Licensed Features:
    Failover:                    Disabled
    VPN-DES:                     Enabled
    VPN-3DES-AES:                Enabled
    Maximum Physical Interfaces: 2
    Maximum Interfaces:          2
    Cut-through Proxy:           Enabled
    Guards:                      Enabled
    URL-filtering:               Enabled
    Inside Hosts:                Unlimited
    Throughput:                  Unlimited
    IKE peers:                   10
    
    This PIX has a Restricted (R) license.
    
    Serial Number: 809324870 (0x303d5146)
    Running Activation Key: 0x96cb328a 0x15e9aeaf 0xddb832cf 0xb906199e 
    Configuration last modified by enable_15 at 07:52:05.707 UTC Tue Jul 11 2006

    Também, seja certo ler os Release Note relevante para a versão de software de PIX na documentação da ferramenta de segurança da série do Cisco PIX 500.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão de software de PIX 4.4(x) - Flash do 2 MB, 16 MB RAM

  • Versão de software de PIX 5.0(x) - Flash do 2 MB, 32 MB RAM

  • Versão de software de PIX 5.1(x) - Flash do 2 MB, 32 MB RAM

  • Software PIX versão 5.2(x) - 8 MB de Flash, 32 MB de RAM

  • Versão de software de PIX 5.3(x) - Flash do 8 MB, 32 MB RAM

  • Versão de software de PIX 6.0(x) - Flash do 8 MB, 32 MB RAM

  • Versão de software de PIX 6.1(x) - Flash do 8 MB, 32 MB RAM

  • PIX Software version 6.2(x) - 8 MB Flash, 32 MB RAM

  • Versão de software de PIX 6.3(x) - 32 MB RAM (exceto a Aplicação de segurança Cisco PIX 501, que exige o 16 MB RAM), flash do 16 MB (exceto o Cisco PIX 501, os 506, e os modelos da ferramenta de segurança 506E, que exigem o flash do 8 MB)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Determine seu procedimento de upgrade

Encontre seus modelo de firewall de PIX e versão de software atual nesta tabela. Então, selecione o link a fim ver as instruções para que como promova o PIX Firewall.

  Versão Atual do Software PIX
Modelo de PIX 4.4(x) e mais adiantado, 5.0(x) 5.1(x) 5.2(x) 5.3(x) 6.0(x) 6.1(x), 6.2(x), 6.3(x)
PIX Classic auxiliar de inicialização copy tftp flash copy tftp flash copy tftp flash interrompido interrompido
PIX 10000 auxiliar de inicialização copy tftp flash copy tftp flash copy tftp flash interrompido interrompido
PIX 501 Não aplicável Não aplicável Não aplicável Não aplicável Não aplicável copy tftp flash
PIX 506 Não aplicável copy tftp flash copy tftp flash copy tftp flash copy tftp flash copy tftp flash
PIX 510 auxiliar de inicialização copy tftp flash copy tftp flash copy tftp flash Interrompido Interrompido
PIX 515 monitor copy tftp flash copy tftp flash copy tftp flash copy tftp flash copy tftp flash
PIX 520 auxiliar de inicialização copy tftp flash copy tftp flash copy tftp flash copy tftp flash copy tftp flash
PIX 525 Não aplicável Não aplicável copy tftp flash copy tftp flash copy tftp flash copy tftp flash
PIX 535 Não aplicável Não aplicável Não aplicável copy tftp flash copy tftp flash copy tftp flash

Nota: O firewall clássico de PIX, os 10000, e os 510 são interrompidos e não podem executar a versão 6.0 ou mais recente do software de firewall de PIX. Se você tem um clássico de PIX, 10000, ou 510, e você querem executar o software de firewall de PIX 6.0 ou mais atrasado, contacte seu equipe de conta da Cisco local ou revendedor a fim comprar um PIX Firewall mais novo.

Software da transferência

O software da ferramenta de segurança PIX está somente disponível aos usuários com uma conta CCO e um contrato de serviço associado. Refira o centro de software (clientes registrados somente) a fim transferir o software de PIX. Você deve entrar para alcançar o software de PIX.

Promova o PIX Firewall das versões 4.x.x ou 5.0.x

Dispositivos com um drive flexível

Estas etapas aplicam-se somente aos dispositivos de PIX que têm um drive flexível. Especificamente, este grupo é limitado ao clássico de PIX, aos 10000, aos 510 e aos 520.

Termine estas etapas a fim criar um dico inicializável em Windows:

  1. Vá à página da transferência de software de PIX (clientes registrados somente) e transfira a utilidade rawrite.exe. Use este de serviço público a fim escrever a imagem binária PIX em uma disquete flexível.

  2. Transfira a imagem binária PIX (arquivo do .bin) que corresponde à versão de software a que você quer promover. Os nomes de arquivo da imagem de PIX estão no formato pixnnx.bin, onde os nnis o número de versão e o x são o número de versão.

    Exemplo: O arquivo pix611.bin é para o software PIX versão 6.1.1.

  3. Se você promove a versão de software de PIX a 5.2 ou a mais atrasado, você igualmente precisa de transferir o arquivo binário correspondente do boothelper.

    Exemplo: Se você promove a versão de software de PIX 4.4(8) 6.1(1), você deve transferir estes três arquivos:

    • rawrite.exe

    • pix611.bin

    • bh61.bin

  4. Localize um disquete de alta densidade formatado pela IBM e que não contenha arquivos.

    Nota: Não use o disco de inicialização do PIX Firewall que veio com a compra original do PIX Firewall. Você precisa esta disquete para a recuperação de sistema se você escolhe reinstalar a versão original. O programa rawrite.exe apaga todos os arquivos do disquete.

    Se você formata a disquete de Windows, escolha a versão longa, não o formato rápido. O formato rápido não prepara o disquete adequadamente para rawrite. O melhor modo de formatar o disquete é a partir do prompt de comando do MS-DOS. Emita o formato a: comande, onde a é a letra do drive flexível onde a disquete é encontrada.

  5. Coloque a disquete vazia no drive flexível de seu computador e traga acima um prompt do DOS. Mude ao diretório onde você salvar a utilidade rawrite.exe e os arquivos PIX.

  6. Execute o programa rawrite.exe. A fim fazer isto, emita o rawritecommand no prompt do DOS. Quando solicitado, digite o nome do arquivo que deseja gravar no disquete.

    Nota: Se você promove à versão de software de PIX 5.1 ou mais adiantado, especifique o arquivo para a imagem de PIX próprio. Está no formato de pixnnx.bin. Se você promove as versões de PIX a 5.2 ou a mais atrasado, especifique o arquivo de suporte de boot PIX, no formato de bhnn.bin.

    Exemplo: Crie um dico inicializável de Windows

    C:\>rawrite
    RaWrite 1.2 - Write disk file to raw floppy diskette  
    Enter source file name: bh61.bin
    Enter destination drive: a: 
    Please insert a formatted diskette into drive A: and press -ENTER- : 
    Number of sectors per track for this disk is 18. 
    Writing image to drive A:. Press ^C to abort. 
    Track: 11 Head: 1 Sector: 16 
    Done.
    C:\>0
  7. Uma vez que os revestimentos do processo do rawrite, ejetam a disquete e a introduzem na unidade de disquete do PIX Firewall. Execute uma destas ações a fim fazer a bota PIX da imagem na disquete.

    • Desligue e religue o PIX.

      ou

    • Use o switch de reinicialização do PIX.

      ou

    • Emita o comando reload do console de PIX.

  8. Quando o PIX termina a repartição, execute a etapa apropriada alistada:

    • Se você promove à versão de software de PIX 5.1 ou mais adiantado, remova a disquete flexível da movimentação, e você é terminado.

    • Se você promove a versão de software de PIX a 5.2 ou a mais atrasado, a seguir quando você carrega o programa do boothelper no disco flexível, o PIX vem acima no modo boothelper. Continua à elevação o PIX Firewall de Boothelper ou de seção de modo do monitor deste documento a fim terminar a elevação.

Dispositivos sem um drive flexível (modo de monitor)

Dispositivos de PIX que não mandam um drive flexível interno vir com um programa de monitor da inicialização de rom que seja usado para a elevação da imagem do PIX Firewall. Termine estas etapas a fim incorporar o modo de monitor em dispositivos sem um drive flexível:

  1. Ligue e desligue ou recarregue o PIX. Durante a inicialização, você é alertado usar a RUPTURA ou o ESC para interromper a bota instantânea. Você tem dez segundos para interromper o processo de boot normal.

  2. Pressione a tecla ESC ou envie um caráter de ruptura a fim incorporar o modo de monitor.

    • Se você usa o HyperTerminal de Windows, você pode pressionar a tecla ESC ou enviar um caráter de ruptura com pela introdução por teclado do Ctrl+Break.

    • Se você telnet através de um servidor terminal a fim alcançar a porta de Console do PIX, você deve pressionar o CTRL] a fim obter à alerta de comando telnet. Inscreva então o comando send break.

  3. Os indicadores da alerta do monitor>.

  4. Continua à elevação o PIX Firewall de Boothelper ou de seção de modo do monitor deste documento.

Promova o PIX Firewall de Boothelper ou de modo de monitor

Nota: Seja certo que você seguiu as instruções para a seção apresentada, ferramentas de segurança com um drive flexível ou ferramentas de segurança sem um drive flexível, antes que você continue com estas etapas.

Se você promove o PIX das versões 5.0.x ou anterior às versões 5.1.x ou mais recente, você deve usar o boothelper ou o método de modo do monitor para a elevação. Isto é porque antes da versão 5.1, o software de firewall de PIX não fornece uma maneira ao TFTP uma imagem diretamente no flash. Siga estas etapas para promover ferramentas de segurança PIX com ou sem um drive flexível:

  1. Copie a imagem binária do PIX Firewall (pixnnn.bin) para o diretório de raiz do servidor TFTP.

  2. Para o clássico de PIX, 10000, 510 e 520s sejam certos que você tem usado já o procedimento criando um dico inicializável. Use o arquivo de suporte de boot que corresponde o mais proximamente à imagem de PIX a que você promove. Inicialize o PIX com o disquete do boothelper para entrar no modo boothelper.

    Todos dispositivos de PIX restantes (501, 506, 515, 525 e 535) não contêm um drive flexível. Em lugar de, têm um modo de monitor interno da bota. Veja as instruções neste documento para que como incorpore o modo de monitor em um PIX 501, em 506, em 515, em 525 ou em 535.

    Uma vez no monitor ou no modo boothelper, você pode usar? chave para ver uma lista de opções disponíveis.

  3. Emita o comando interface number. O comando interface especifica que interface de PIX o servidor TFTP é conectado fora. O padrão é interface 1 (interno).

    Nota: O PIX não pode inicializar uma interface Gigabit Ethernet do monitor ou do modo boothelper. Em vez disso, use uma interface Fast Ethernet ou Token Ring.

  4. Emita o comando address pix_interface_ip_address. O comando address especifica o endereço IP de Um ou Mais Servidores Cisco ICM NT da relação da unidade PIX.

  5. Emita o comando server tftp_server_ip_address. O comando server especifica o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor TFTP.

  6. Emita o comando file filename. O comando file especifica o nome de arquivo da imagem do PIX Firewall.

  7. Emita o comando ping tftp_server_ip_address. Sibile o server a fim verificar a acessibilidade. Se este comando falha, verifique novamente seus cabos, endereço IP de Um ou Mais Servidores Cisco ICM NT do server e do PIX, e endereço IP de Um ou Mais Servidores Cisco ICM NT do gateway (se necessário). Os pings devem ser bem sucedidos antes de você continuar.

    Nota: Emita o comando gateway a fim especificar o endereço IP de Um ou Mais Servidores Cisco ICM NT de um gateway de roteador através de que o server é acessível:

    gateway ip_address of the gateway interface
    
    
  8. Emita o comando tftp a fim começar a transferência da imagem do servidor TFTP.

  9. Após o download da imagem, você recebe uma solicitação para instalar a nova imagem. Incorpore y a fim instalar a imagem para piscar.

  10. Quando alertado para incorporar uma chave de ativação nova, incorpore y se você deseja incorporar uma chave de ativação nova, ou n para manter a chave de ativação existente. Veja a elevação a seção da chave de ativação deste documento para obter mais informações sobre da chave de ativação e como obter um novo.

  11. Se você usa o modo boothelper, você está alertado remover a disquete auxiliar de inicialização. Você tem trinta segundos para remover a disquete antes que as repartições PIX automaticamente. Remova a disquete agora. Uma vez que as repartições PIX, ele carregam a imagem nova do flash.

    Isso conclui o processo de atualização.

    Uma vez que o PIX é promovido a 5.1 ou mais atrasado, é já não necessário usar uma disquete flexível para carregar imagens novas no PIX. Na versão de software de PIX 5.1 e mais atrasado, o comando copy tftp flash permite-lhe ao TFTP sua imagem de PIX nova diretamente ao PIX de um servidor TFTP. Refira a referência de comando PIX para uns detalhes mais adicionais.

Exemplo - Promova o PIX Firewall de Boothelper ou de modo de monitor

monitor>interface 1 
0: i8255X @ PCI(bus:0 dev:14 irq:10) 
1: i8255X @ PCI(bus:0 dev:13 irq:11) 

Using 1: i82557 @ PCI(bus:0 dev:13 irq:11), MAC: 0002.b945.a23c 
monitor>address 172.18.124.154 
address 172.18.124.154 
monitor>server 172.18.125.3 
server 172.18.125.3 
monitor>file pix611.bin 
file pix611.bin 
monitor>ping 172.18.125.3 
Sending 5, 100-byte 0xcde2 ICMP Echoes to 172.18.125.3, timeout is 4 seconds: 
!!!!! 
Success rate is 100 percent (5/5) 
monitor>tftp 
tftp pix611.bin@172.18.125.3.......................................... 
Received 2562048 bytes 

Cisco Secure PIX Firewall admin loader (3.0) #0: Tue Dec  517:35:46 PST 2000 
System Flash=E28F128J3 @ 0xfff00000 
BIOS Flash=am29f400b @ 0xd8000 
Flash version 6.1.1, Install version 6.1.1 
Do you wish to copy the install image into flash? [n] y 

Installing to flash 

Serial Number: 480380761 (0x1ca20759) 
Activation Key: 760754d0 39f62229 a4a0245f b5b87e80 

Do you want to enter a new activation key? [n] n 
Writing 2469944 bytes image into flash... 

Promova o PIX Firewall das versões 5.1.1 ou mais recente

Se a ferramenta de segurança PIX está executando os PIX Software Release 5.1.1 ou mais atrasado, você pode usar o comando copy tftp flash a fim transferir uma imagem do software com TFTP. O comando copy tftp flash pode ser usado com todo o modelo de firewall de PIX que executar as versões de software de PIX 5.1.1 ou mais atrasado. A imagem que você transfere é feita disponível ao PIX no reload seguinte (repartição). Refira a referência de comando PIX para obter mais informações sobre deste comando.

Use o comando copy tftp flash promover o PIX

Termine estas etapas a fim promover o PIX com o uso do comando copy tftp flash.

  1. Copie a imagem binária do PIX Firewall (pixnnn.bin) para o diretório de raiz do servidor TFTP.

  2. Emita o comando copy tftp flash da alerta PIX.

  3. Inserir o endereço IP do host remoto.

  4. Insira o nome de arquivo binário de PIX (tem o formato de nome pixnnn.bin).

  5. Datilografe sim.

Exemplo - Promova o PIX Firewall com o comando copy tftp flash

pixfirewall#copy tftp flash 
Address or name of remote host [127.0.0.1]? 172.18.125.3 
Source file name [cdisk]?pix611.bin 
copying tftp://172.18.125.3/pix611.bin to flash
[yes|no|again]?yes 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
Received 2562048 bytes. 
Erasing current image. 
Writing 2469944 bytes of image. 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
Image installed. 
pixfirewall# 

Promova dispositivos de PIX em um conjunto de comutação com tempo ocioso mínimo

A fim usar este procedimento, os dispositivos de PIX devem ser a versão de software de PIX running 5.1.x ou mais tarde. Estas instruções são válidas para todos os dispositivos PIX que podem ser executados em um conjunto de failover. Refira como o Failover trabalha no firewall PIX segura Cisco para obter mais informações sobre do Failover.

Duas opções diferentes são alistadas para ajudá-lo a promover o PIX com tempo ocioso mínimo. A primeira opção é a maneira a mais segura de promover seu conjunto de comutação. Se qualquer coisa vai mal com o processo de upgrade, você tem sempre um PIX operacional para passar seu tráfego de rede. A segunda opção é mais simples mas envolve mais risco. O risco reside na possibilidade essa a imagem nova que as cargas nos dispositivos de PIX são corrompidas de uma certa maneira. As duas opções são apresentadas, assim você pode escolher o melhor método para a sua rede específica.

Nota: Se você quer promover o conjunto de comutação de 6.x a 7.x, refira as ferramentas de PIX da elevação em uma seção de conjunto de comutação da ferramenta de segurança 7.x do PIX seguro Cisco e do procedimento de upgrade do software ASDM.

Opção 1

Esta é a maneira mais segura de promover o conjunto de comutação:

  1. Copie a imagem binária do PIX Firewall (pixnnn.bin) para o diretório de raiz do servidor TFTP.

  2. Desligue o Principal (isso faz com que o Secundário fique ativo).

  3. Desligue todos os cabos do preliminar (incluindo o cabo de comutação).

  4. A potência no preliminar e anexa um PC com um servidor TFTP nela.

  5. Emita o comando copy tftp flash a fim promover o preliminar.

  6. Recarregue o preliminar e verifique a nova versão e a configuração.

  7. Desligue o PIX principal.

  8. Reconecte todos os cabos de volta ao Principal.

  9. Desligue rapidamente o secundário e ligue imediatamente o primário.

    Nota: Um período de tempo ocioso da máquina ocorrer quando as inicializações principal acima.

    Uma vez o preliminar está acima, é ativo e passa o tráfego.

  10. Repita etapas 2 com 7 para o PIX secundário.

  11. Potência no secundário. ele aparece como Standby (Em Standby).

  12. Ambos os dispositivos de PIX agora executam a versão atualizada e são de volta à operação normal.

Opção 2

Esta é a maneira mais rápida de promover o conjunto de comutação:

  1. Copie a imagem binária do PIX Firewall (pixnnn.bin) para o diretório de raiz do servidor TFTP.

  2. Emita o comando copy tftp flash a fim copiar a imagem de PIX nova ao PIX principal.

  3. Emita o comando copy tftp flash a fim copiar a imagem de PIX nova ao PIX secundário.

  4. Desligue os dois dispositivos de PIX.

  5. Ligue o PIX principal.

  6. Espera dez segundos. Isto assegura-se de que o PIX principal se transforme o PIX ativo.

  7. Ligue o PIX secundário. Vem acima no apoio.

  8. Ambos os dispositivos de PIX agora executam a versão atualizada e são de volta à operação normal.

Recupere de uma elevação defeituosa

Termine estas etapas a fim recuperar o PIX quando há uma elevação da versão de software de PIX 6.x a 6.x, e você termina acima com uma elevação defeituosa:

  1. Como notável mais cedo, seja certo copiar abaixo de sua chave de ativação antes que você tente este procedimento.

  2. Siga as etapas para carreg o PIX no modo de monitor.

  3. Siga as etapas para promover o PIX do modo de monitor para carregar o arquivo erasedisk.bin usando o TFTP. Você precisa de obter este arquivo do Suporte técnico de Cisco.

  4. Quando os reinícios de sistema, carreg o PIX no modo de monitor outra vez.

  5. Siga as etapas para que como promova o PIX do modo de monitor a fim carregar o arquivo novo da versão 6.x no PIX usando o TFTP.

Promova a chave de ativação

Há diversas razões que você poderia precisar de promover a chave de ativação no PIX:

  • O PIX não tem atualmente a criptografia VPN-DES ou de VPN-3DES permitida.

    Nota: A criptografia VPN-DES deve ser permitida para que você controle o PIX com o PDM. Os usuários registrados podem obter uma chave de ativação livre 56-bit VPN-DES quando terminam o formulário da chave de upgrade de licença PIX 56-bit. Termine o registro de licença de Cisco ASA 3DES/AES para obter uma chave 3DES/AES.

  • O PIX atualmente não tem o Failover ativado.

  • A elevação de uma licença conexão-baseada a uma licença baseada em recurso.

Se você cai em uma destas categorias e obteve uma chave de ativação nova para seu PIX, a próxima etapa é conectar ao PIX, emite o comando show version, e salvar a saída a um arquivo de texto. A saída do comando show version contém a versão existente, o número de série e a chave de ativação. Você precisa esta informação se há algum problema com a elevação da chave de ativação.

A chave de ativação PIX é baseada no número de série do PIX e é consequentemente original para cada PIX. A chave de ativação indica ao PIX para quais recursos ele está licenciado. O número de série de seu PIX salvar no flash. Se você substitui a placa Flash em seu PIX, a seguir seu PIX contém um número de série novo (diferente do número mostrado na etiqueta na parte externa da caixa). Use sempre o número de série indicado na saída do comando show version.

Nota: Você deve manualmente incorporar chaves de ativação. Não use a cópia e a pasta, como isto pode causar os erros que podem fazer com que a chave de ativação falhe.

Nota:  Adicionar números adicionais aos números de série 9-digit que começam com ou o número 4 ou 8 a fim lhes fazer os números 11-digit. Por exemplo, o número 4xxxxxxxx aparece como 444xxxxxxxx na chave de ativação. Igualmente, os números que começam com uns 8 exigem que você adiciona dois 8s adicionais.

Dispositivos de PIX executando versões 6.1 e anteriores

Siga as instruções promovem dentro o PIX Firewall de Boothelper ou de modo de monitor se o PIX executa atualmente versões 6.1 ou anterior. No passo 10, você é solicitado a inserir uma nova chave de ativação.

Dispositivos de PIX que executam versões 6.2 e 6.3

Emita o comando activation-key a fim mudar sua chave de ativação se o PIX executa atualmente versões 6.2 ou 6.3. Refira a referência de comando PIX para mais informação.

Exemplo: Promova a chave de ativação em um PIX que execute versões 6.2 ou 6.3

pixfirewall(config)#activation-key 54bf4b80 b7237e20 05022c63 f09e3302 
Updating flash...Done. 
Serial Number: 480490644 (0x1ca3b494) 

Flash Activation Key: 0x54bf4b80 0xb7237e20 0x05022c63 0xf09e3302 
Licensed Features: 
Failover:           Enabled 
VPN-DES:            Enabled 
VPN-3DES:           Enabled 
Maximum Interfaces: 10 
Cut-through Proxy:  Enabled 
Guards:             Enabled 
URL-filtering:      Enabled 
Inside Hosts:       Unlimited 
Throughput:         Unlimited 
IKE peers:          Unlimited 

The flash activation key has been modified. 
The flash activation key is now DIFFERENT from the running key. 
The flash activation key will be used when the unit is reloaded. 
pixfirewall(config)# 
pixfirewall(config)#reload

Promova o gerenciador de dispositivo pix

O procedimento de upgrade PDM é o mesmo que aquele usado para uma instalação nova. Para instruções detalhadas, refira o Guia de Instalação na documentação do produto PDM para a versão apropriada.

Obtenha um contrato de serviço válido

Você deve ter um contrato de serviço válido a fim transferir o software de PIX. A fim obter um contrato de serviço, execute estas etapas:

  • Entre em contato com sua Equipe de Conta da Cisco se possuir um contrato de compra direta.

  • Entre em contato com um parceiro ou revendedor da Cisco para adquirir um contato de serviço.

  • Use o gerente do perfil a fim atualizar seu perfil do cisco.com e pedir a associação a um contrato de prestação de serviços.

Troubleshooting

Problema: Depois que uma elevação, o usuário receber não pode selecionar o erro da chave privada quando as repartições PIX.

Workaround/solução: Regenere a chave dos rsa para o SSH:

ca zero rsa
ca generate rsa key 1024
ca save all

write mem
reload

Para obter mais informações sobre da geração chave SSH, refira PIX/ASA 7.x: SSH no exemplo de configuração da interface interna e externa

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 4801