Cisco Interfaces and Modules : Dispositivos de segurança Cisco PIX 500 Series

PIX 500 ferramenta de segurança 6.x ao procedimento de upgrade de software 7.x

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (2 Abril 2008) | Inglês (22 Agosto 2015) | Feedback


Nota: Este capas de documento como promover o software em uma ferramenta de segurança da série PIX 500. A fim transferir o software de PIX, refira o centro de software (clientes registrados somente). Você deve entrar e possuir um contrato de serviço válido a fim acesar o software PIX.


Índice


Introdução

Este documento explica como promover a ferramenta de PIX da versão 6.2 ou 6.3 à versão 7.x. Igualmente cobre a instalação da versão 5.0 adaptável do Security Device Manager (ASDM).

Pré-requisitos

Requisitos

Antes que você comece este procedimento de upgrade, termine estas tarefas.

  • Use o comando show running-config ou write net a fim salvar a configuração atual de PIX a um arquivo de texto ou a um servidor TFTP.

  • Use o comando show version a fim indicar o número de série e a chave de ativação. Salvar esta saída a um arquivo de texto. Se você precisa de reverter de volta a uma versão de código mais antiga, você pôde precisar a chave de ativação original. Para obter informações adicionais sobre das chaves de ativação, refira perguntas mais frequentes do PIX Firewall.

  • Assegure-se de que você não tenha nenhum comando conduit ou outbound em sua configuração atual. Estes comandos são apoiados já não em 7.x e o processo de upgrade remove-o. Use a ferramenta do Output Interpreter (clientes registrados somente) a fim converter estes comandos às listas de acesso antes que você tente a elevação.

  • Assegure-se de que o PIX não termine conexões pontos a ponto do protocolo de tunelamento (PPTP). O PIX 7.1 e mais atrasado não apoia atualmente a terminação de PPTP.

  • Se você usa o Failover, assegure-se de que a relação LAN ou de stateful não esteja compartilhada com nenhuns dados que passam relações. Por exemplo, se você usa sua interface interna a fim passar o tráfego de dados assim como para sua relação da comutação classificada (link failover para dentro), você deve mover a relação da comutação classificada para uma relação diferente antes que você promova. A falha fazer causa assim todas as configurações amarradas à interface interna a ser removida. Também, o tráfego de dados não passa através da relação após a elevação.

  • Assegure-se de que o PIX executa versão 6.2 ou 6.3 antes que você continue.

  • Leia os Release Note para a versão que você planeia promover a de modo que você esteja ciente de toda novo, mudou, e suplique comandos.

  • Proveja o guia da elevação para todas as mudanças do comando adicional entre versões 6.x e 7.x.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Ferramenta de segurança 515 PIX, 515E, 525, e 535

  • Versões de software de PIX 6.3(4), 7.0(1)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Requisitos mínimos do sistema

Antes que você comece o processo de upgrade à versão 7.x, Cisco recomenda que o PIX executa a versão 6.2 ou mais recente. Isto assegura-se de que a configuração atual converta corretamente. Além, estes requisitos de hardware devem ser cumpridos para RAM mínimo e requisitos flash:

Modelo de PIX Exigências de RAM Requisitos flash
  Restringido (R) Ilimitado) (do UR/Failover somente (FO)  
PIX-515 64 MB* 128 MB* 16 MB
PIX-515 E 64 MB* 128 MB* 16 MB
PIX-525 128 MB 256 MB 16 MB
PIX-535 512 MB 1 GB 16 MB

* Todos os dispositivos do PIX-515 e do PIX-515E exigem uma upgrade de memória.

Emita o comando show version a fim determinar a quantidade de RAM e piscar instalado atualmente no PIX. Nenhuma upgrade flash é precisada, porque todas as ferramentas de PIX nesta tabela têm o 16 MB instalada à revelia.

Nota: Somente as ferramentas de segurança PIX nesta tabela são apoiadas na versão 7.x. Umas ferramentas de segurança mais velhas PIX, tais como o PIX-520, 510, 10000, e clássico foram interrompidas e não executam a versão 7.0 ou mais recente. Se você tem um destes dispositivos e o deseja executar 7.x ou mais tarde, contacte seu equipe de conta da Cisco local ou revendedor a fim comprar uma ferramenta de segurança mais nova. Além, o 64 MB dos Firewall PIX com menos do que de RAM (PIX-501, PIX-506, e PIX-506E) é incapaz de executar a liberação 7.0 inicial.

Informação da upgrade de memória para dispositivos PIX 515/515E

As upgrades de memória são exigidas somente para os dispositivos do PIX-515 e do PIX-515E. Veja esta tabela para os part numbers que você precisa a fim promover a memória nestes dispositivos.

Nota: O part number é dependente da licença instalada no PIX.

Configuração de ferramenta atual Solução da elevação
Licença da plataforma Memória total (antes da elevação) Número da peça Memória total (após a elevação)
Restringido (R) 32 MB PIX-515-MEM-32= 64 MB
Ilimitado (UR) 32 MB PIX-515-MEM-128= 128 MB
Failover-Somente (FO) 64 MB PIX-515-MEM-128= 128 MB

Refira a upgrade de memória da ferramenta de segurança de Cisco PIX 515/515E para o boletim de produto do software de PIX v7.0 para a informação adicional.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Promova a ferramenta de segurança PIX

Downloads de software

Visite o Centro de Software da Cisco (clientes registrados somente) a fim transferir o software PIX 7.x. O software do servidor de TFTP está já não disponível do cisco.com. Contudo, você pode encontrar muitos servidores TFTP quando você procura de “pelo server tftp” em seu Engine de busca dos internet favorita. Cisco não recomenda especificamente nenhuma implementação específica de TFTP. Para mais informação, refira a página do servidor TFTP (clientes registrados somente).

Procedimento de atualização

Esteja ciente que a elevação de sua ferramenta de segurança PIX à versão 7.x é uma alteração principal. Muito do CLI é alterado e consequentemente sua configuração depois que a elevação parecerá muito diferente. Somente a elevação durante uma janela de manutenção como o processo de upgrade exige algum tempo ocioso da máquina. Se você precisa de reverter de volta a uma imagem 6.x, você deve seguir os procedimentos do Downgrade. A falha fazer faz com assim que o PIX entre em um laço da reinicialização contínua. A fim continuar, encontre seu modelo da ferramenta de PIX nesta tabela e selecione então o link para ver instruções para que como promova.

Modelo de PIX Método de upgrade
PIX-515 Monitor
PIX-515E copy tftp flash
PIX-525 copy tftp flash
PIX-535 (nenhum PDM instalado) copy tftp flash
PIX-535 (PDM instalado) Monitor

Promova a ferramenta de segurança PIX do modo de monitor

Incorpore o modo de monitor

Termine estas etapas a fim incorporar o modo de monitor no PIX.

  1. Conecte um cabo do console à porta de Console no PIX com o uso destes ajustes de uma comunicação:

    • 9600 bits por segundo

    • 8 bits de dados

    • sem paridade

    • 1 bit de parada

    • nenhum controle de fluxo

  2. Ligue e desligue ou recarregue o PIX. Durante a inicialização você é alertado usar a RUPTURA ou o ESC a fim interromper a bota instantânea. Você tem dez segundos para interromper o processo de boot normal.

  3. Pressione a tecla ESC ou envie um caráter de ruptura a fim incorporar o modo de monitor.

    • Se você usa o Windows HyperTerminal, você pode pressionar a tecla ESC ou o Ctrl+Break da imprensa a fim enviar um caráter de ruptura.

    • Se você telnet através de um servidor terminal para alcançar a porta de Console do PIX, você precisa de pressionar Ctrl+] (controle + suporte direito) a fim obter à alerta de comando telnet. Inscreva então o comando send break.

  4. Os indicadores da alerta do monitor>.

  5. Continua à elevação o PIX da seção de modo do monitor.

Promova o PIX do modo de monitor

Termine estas etapas a fim promover seu PIX do modo de monitor.

Nota: Os cartões do Fast Ethernet em entalhes 64-bit não são visíveis no modo de monitor. Este problema significa que o servidor TFTP não pode residir em uma destas relações. O usuário deve usar o comando copy tftp flash a fim transferir o arquivo de imagem do PIX Firewall com o TFTP.

  1. Copie a imagem binária da ferramenta de PIX (por exemplo, pix701.bin) ao diretório raiz do servidor TFTP.

  2. Incorpore o modo de monitor no PIX. Se você é incerto como fazer isto, vê as instruções para que como incorpore o modo de monitor neste documento.

    Nota: Uma vez no modo de monitor, você pode usar “?” chave para ver uma lista de opções disponíveis.

  3. Incorpore o número de interface que o servidor TFTP está conectado a, ou a relação que é a mais próxima ao servidor TFTP. O padrão é interface 1 (interno).

    monitor>interface <num>
    

    Nota:  No modo de monitor, a relação sempre auto negocia a velocidade e duplexação. Os ajustes da relação não podem duramente ser codificados. Consequentemente, se a interface de PIX é obstruída em um interruptor que esteja codificado duramente para a velocidade/duplex, a seguir reconfigure-o ao automóvel negociam quando você reagir do modo de monitor. Igualmente esteja ciente que a ferramenta de PIX não pode inicializar uma interface Gigabit Ethernet do modo de monitor. Você deve usar uma interface rápida de Ethernet pelo contrário.

  4. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT da relação definida a etapa 3.

    monitor>address <PIX_ip_address>
    
  5. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor TFTP.

    monitor>server <tftp_server_ip_address>
    
  6. (Opcional) incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT de seu gateway. Um endereço de gateway é exigido se a relação do PIX não está na mesma rede que o servidor TFTP.

    monitor>gateway <gateway_ip_address>
    
  7. Dê entrada com o nome do arquivo no servidor TFTP que você deseja carregar. Este é o nome de arquivo da imagem binária PIX.

    monitor>file <filename>
    
  8. Sibile do PIX ao servidor TFTP a fim verificar a conectividade IP.

    Se os sibilos falham, verifique novamente os cabos, o endereço IP de Um ou Mais Servidores Cisco ICM NT da interface de PIX e do servidor TFTP, e o endereço IP de Um ou Mais Servidores Cisco ICM NT do gateway (se necessário). Os sibilos devem suceder antes que você continue.

    monitor>ping <tftp_server_ip_address>
    
  9. Datilografe tftp a fim começar a transferência TFTP.

    monitor>tftp
    
  10. O PIX transfere a imagem em RAM e carreg automaticamente a.

    Durante o processo de boot, o sistema de arquivos é convertido junto com sua configuração atual. Contudo, você não é feito ainda. Note este mensagem de advertência depois que você carreg e continua sobre a etapa 11:

    ******************************************************************
      **                                                                    **
      **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
      **                                                                    **
      **          ----> Current image running from RAM only! <----          **
      **                                                                    **
      **  When the PIX was upgraded in Monitor mode the boot image was not  **
      **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
      **  save a bootable image to Flash.  Failure to do so will result in  **
      **  a boot loop the next time the PIX is reloaded.                    **
      **                                                                    **
      ************************************************************************
  11. Uma vez que carreg, incorpore o modo enable e copie a mesma imagem sobre ao PIX outra vez. Este uso do tempo o comando copy tftp flash.

    Isto salvar a imagem no sistema de arquivo flash. A falha executar esta etapa conduz a um laço da bota a próxima vez que os reloads PIX.

    pixfirewall>enable
    pixfirewall#copy tftp flash
    

    Nota: Para instruções detalhadas em como copiar sobre a imagem com o uso do comando copy tftp flash, veja a elevação a ferramenta de segurança PIX com a seção de comando copy tftp flash.

  12. Uma vez que a imagem é copiada sobre a utilização do comando copy tftp flash, o processo de upgrade está completo.

Exemplo de configuração - Promova a ferramenta de segurança PIX do modo de monitor

monitor>interface 1 
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
2: i8255X @ PCI(bus:1 dev:0  irq:11)
3: i8255X @ PCI(bus:1 dev:1  irq:11)
4: i8255X @ PCI(bus:1 dev:2  irq:11)
5: i8255X @ PCI(bus:1 dev:3  irq:11)

Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81
monitor>address 10.1.1.2 
address 10.1.1.2 
monitor>server 172.18.173.123 
server 172.18.173.123 
monitor>gateway 10.1.1.1
gateway 10.1.1.1
monitor>file pix701.bin 
file pix701.bin 
monitor>ping 172.18.173.123 
Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds: 
!!!!! 
Success rate is 100 percent (5/5) 
monitor>tftp 
tftp pix701.bin@172.18.173.123.......................................... 
Received 5124096 bytes 

Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar  7 17:39:03 PST 2005
#######################################################################
128MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 10  MAC: 0050.54ff.4d80
mcwa i82559 Ethernet at irq  7  MAC: 0050.54ff.4d81
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2014
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2015
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2016
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2017
BIOS Flash=AT29C257 @ 0xfffd8000
Old file system detected. Attempting to save data in flash
 

!--- This output indicates that the Flash file
!--- system is formatted. The messages are normal.

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-10627)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-14252)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-15586)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (5589)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (4680)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-21657)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-28397)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (2198)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-26577)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (30139)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (-17027)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (-2608)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (18180)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (0)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (29271)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (0)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 61...block number was (0)
flashfs[7]: erasing block 61...done.
flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0
flashfs[7]: 9 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 15998976
flashfs[7]: Bytes used: 10240
flashfs[7]: Bytes available: 15988736
flashfs[7]: flashfs fsck took 58 seconds.
flashfs[7]: Initialization complete.

Saving the datafile
!
Saving a copy of old datafile for downgrade
!
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
The version of image file in flash is not bootable in the current version of
software.
Use the downgrade command first to boot older version of software.
The file is being saved as image_old.bin anyway.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
Erasing sector 64...[OK]
Burning sector 64...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6         
Maximum VLANs               : 25        
Inside Hosts                : Unlimited 
Failover                    : Active/Active
VPN-DES                     : Enabled   
VPN-3DES-AES                : Enabled   
Cut-through Proxy           : Enabled   
Guards                      : Enabled   
URL Filtering               : Enabled   
Security Contexts           : 2         
GTP/GPRS                    : Disabled  
VPN Peers                   : Unlimited 

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .                             
                                 |            |                             
                                |||          |||                            
                              .|| ||.      .|| ||.                          
                           .:||| | |||:..:||| | |||:.                       
                            C i s c o  S y s t e m s                        
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1) 

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706


!--- These messages are printed for any deprecated commands.

.ERROR: This command is no longer needed. The LOCAL user database is always enabled.
 *** Output from config line 71, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
 *** Output from config line 76, "floodguard enable"

Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303 

!--- All current fixups are converted to the 
!--- new Modular Policy Framework.

INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
  ************************************************************************
  **                                                                    **
  **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
  **                                                                    **
  **          ----> Current image running from RAM only! <----          **
  **                                                                    **
  **  When the PIX was upgraded in Monitor mode the boot image was not  **
  **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
  **  save a bootable image to Flash.  Failure to do so will result in  **
  **  a boot loop the next time the PIX is reloaded.                    **
  **                                                                    **
  ************************************************************************
Type help or '?' for a list of available commands.
pixfirewall>
pixfirewall>enable
Password:
<password>

pixfirewall# 
pixfirewall#copy tftp flash

Address or name of remote host []? 172.18.173.123

Source filename []? pix701.bin

Destination filename [pix701.bin]? 
<enter>


Accessing tftp://172.18.173.123/pix701.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file flash:/pix701.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
5124096 bytes copied in 139.790 secs (36864 bytes/sec)
pixfirewall# 

Promova a ferramenta de segurança PIX com o comando copy tftp flash

Termine estas etapas a fim promover o PIX com o uso do comando copy tftp flash.

  1. Copie a imagem binária da ferramenta de PIX (por exemplo, pix701.bin) ao diretório raiz do servidor TFTP.

  2. Da alerta da possibilidade, emita o comando copy tftp flash.

    pixfirewall>enable
    Password:
    <password>
    
    pixfirewall#copy tftp flash
    
  3. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor TFTP.

    Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
    
  4. Dê entrada com o nome do arquivo no servidor TFTP que você deseja carregar. Este é o nome de arquivo da imagem binária PIX.

    Source file name [cdisk]?
    <filename>
    
    
  5. Quando alertado para começar sim a cópia TFTP, tipo.

    copying tftp://172.18.173.123/pix701.bin to flash:image
    [yes|no|again]?yes
    
  6. A imagem é copiada agora sobre do servidor TFTP para piscar.

    Esta mensagem aparece e indica que transferência é um sucesso, a imagem binária velha no flash é apagada, e a imagem nova é escrita e instalada.

    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Received 5124096 bytes
    Erasing current image
    Writing 5066808 bytes of image
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Image installed
    pixfirewall#
  7. Recarregue a ferramenta de PIX a fim carreg a imagem nova.

    pixfirewall#reload
    Proceed with reload? [confirm] 
    <enter>
    
    
    
    Rebooting....
  8. O PIX carreg agora a imagem 7.0, e este termina o processo de upgrade.

Exemplo de configuração - Promova a ferramenta de PIX com o comando copy tftp flash

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall# 
pixfirewall#reload
Proceed with reload? [confirm] 
<enter>




Rebooting..�

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
128 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class�Irq
00�00�00�8086�7192�Host Bridge�
00�07�00�8086�7110�ISA Bridge�
00�07�01�8086�7111�IDE Controller�
00�07�02�8086�7112�Serial Bus�9
00�07�03�8086�7113�PCI Bridge�
00�0D�00�8086�1209�Ethernet�11
00�0E�00�8086�1209�Ethernet�10
00�13�00�11D4�2F44�Unknown Device�5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash.�
######################################################################
######################################################################
128MB RAM

Total NICs found: 2
mcwa i82559 Ethernet at irq 11�MAC: 0009.4360.ed44
mcwa i82559 Ethernet at irq 10�MAC: 0009.4360.ed43
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


!--- This output indicates that the Flash file
!--- system is formatted. The messages are normal.

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-27642)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-30053)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-1220)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-22934)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (2502)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (29877)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-13768)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (9350)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-18268)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (7921)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (22821)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (7787)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (15515)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (20019)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-25094)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-7515)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (-10699)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (6652)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (-23640)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (23698)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (-28882)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (2533)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-966)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-22888)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (-9762)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (9747)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (-22855)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-32551)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-13355)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (-29894)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-18595)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (22095)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (1486)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (13559)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (24215)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (21670)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (-24316)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 7, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 12, parent_fileid 0
flashfs[7]: 5 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 5128192
flashfs[7]: Bytes available: 10999808
flashfs[7]: flashfs fsck took 59 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6�
Maximum VLANs�: 25�
Inside Hosts�: Unlimited 
Failover�: Active/Active
VPN-DES�: Enabled�
VPN-3DES-AES�: Enabled�
Cut-through Proxy�: Enabled�
Guards�: Enabled�
URL Filtering�: Enabled�
Security Contexts�: 2�
GTP/GPRS�: Disabled�
VPN Peers�: Unlimited 

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC (IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5)
--------------------------------------------------------------------------
.�.�
|�|�
|||�|||�
.|| ||.�.|| ||.�
.:||| | |||:..:||| | |||:.�
C i s c o�S y s t e m s�
--------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1) 

****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.

A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

!--- These messages are printed for any deprecated commands.

ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 50, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 55, "floodguard enable"

Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 

!--- All current fixups are converted to the new Modular Policy Framework.

INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
pixfirewall>

Nota: Com a licença ilimitada, o PIX 515 E pode ter até oito VLAN e PIX 535 pode ter até twenty-five VLAN.

Downgrade de PIX 7.x a 6.x

As versões 7.0 e mais recente das ferramentas de segurança PIX usam um formato de arquivo flash diferente que versões de PIX mais adiantadas. Consequentemente, você não pode degradar de uma imagem 7.0 a uma imagem 6.x com o uso do comando copy tftp flash. Em lugar de, você deve usar o comando downgrade. A falha fazer faz com assim que o PIX obtenha colado em um laço da bota.

Quando o PIX foi promovido originalmente, a configuração de inicialização 6.x salvar no flash como downgrade.cfg. Quando você segue este procedimento do downgrade, esta configuração está restaurada ao dispositivo quando é degradada. Esta configuração pode ser revista antes que você degrade quando você emite o moreflash do comando: downgrade.cfg de uma possibilidade > da alerta em 7.0. Adicionalmente, se o PIX foi promovido através do modo de monitor, a seguir a imagem binária 6.x precedente ainda salvar no flash como image_old.bin. Você pode verificar que esta imagem existe quando você emite o flash da mostra: comando. Se a imagem existe no flash, você pode usar esta imagem em etapa 1 deste procedimento em vez de carregar a imagem de um servidor TFTP.

Termine estas etapas a fim degradar sua ferramenta de segurança PIX.

  1. Inscreva o comando downgrade e especifique o lugar da imagem a que você quer degradar.

    pixfirewall#downgrade tftp://<tftp_server_ip_address>/<filename>
    

    Nota: Se você promoveu seu PIX do modo de monitor, a seguir a imagem binária velha ainda salvar no flash. Emita este comando a fim degradar de volta a essa imagem:

    pixfirewall#downgrade flash:/image_old.bin
    
  2. Um mensagem de advertência parece que o alerta que o flash está a ponto de ser formated. A imprensa entra a fim continuar.

    This command will reformat the flash and automatically reboot the system.
    Do you wish to continue? [confirm]  
    <enter>
    
    
  3. A imagem é copiada agora sobre em RAM, e a configuração de inicialização é copiada igualmente em RAM.

    Buffering image
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    
    Buffering startup config
    
    All items have been buffered successfully
  4. Um segundo mensagem de advertência aparece que indique que o flash começa agora a formatar. Não interrompa este processo ou o flash pode tornar-se corrompido. A imprensa entra a fim continuar com o formato.

    If the flash reformat is interrupted or fails, 
    data in flash will be lost
    and the system might drop to monitor mode.
    Do you wish to continue? [confirm] 
    <enter>
    
    
  5. O flash é formatado agora e a imagem antiga instalado, e as repartições PIX.

    Acquiring exclusive access to flash
    Installing the correct file system for the image and 
    saving the buffered data
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Flash downgrade succeeded
    
    
    Rebooting....
  6. O PIX carreg agora até a alerta normal. Isto termina o processo do downgrade.

Exemplo de configuração - Downgrade de PIX 7.x a 6.x

pixfirewall#downgrade tftp://172.18.108.26/pix634.bin
This command will reformat the flash and automatically reboot the system.
Do you wish to continue? [confirm] 
<enter>

Buffering image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Buffering startup config

All items have been buffered successfully.
If the flash reformat is interrupted or fails, data in flash will be lost
and the system might drop to monitor mode.
Do you wish to continue? [confirm] 
Acquiring exclusive access to flash
Installing the correct file system for the image and saving the buffered data
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Flash downgrade succeeded



Rebooting....


CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
128 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class�Irq
00�00�00�8086�7192�Host Bridge�
00�07�00�8086�7110�ISA Bridge�
00�07�01�8086�7111�IDE Controller�
00�07�02�8086�7112�Serial Bus�9
00�07�03�8086�7113�PCI Bridge�
00�0D�00�8086�1209�Ethernet�11
00�0E�00�8086�1209�Ethernet�10
00�13�00�11D4�2F44�Unknown Device�5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 1962496 bytes of image from flash.�
#################################################################################
##############################
128MB RAM
mcwa i82559 Ethernet at irq 11�MAC: 0009.4360.ed44
mcwa i82559 Ethernet at irq 10�MAC: 0009.4360.ed43
System Flash=E28F128J3 @ 0xfff00000
BIOS Flash=am29f400b @ 0xd8000
IRE2141 with 2048KB

-----------------------------------------------------------------------
||�||
||�||
||||�||||
..:||||||:..:||||||:..
c i s c o S y s t e m s 
Private Internet eXchange
-----------------------------------------------------------------------
Cisco PIX Firewall

Cisco PIX Firewall Version 6.3(4)
Licensed Features:
Failover:�Enabled
VPN-DES:�Enabled
VPN-3DES-AES:�Enabled
Maximum Physical Interfaces: 6
Maximum Interfaces:�10
Cut-through Proxy:�Enabled
Guards:�Enabled
URL-filtering:�Enabled
Inside Hosts:�Unlimited
Throughput:�Unlimited
IKE peers:�Unlimited

This PIX has an Unrestricted (UR) license.


****************************** Warning *******************************
Compliance with U.S. Export Laws and Regulations - Encryption.

This product performs encryption and is regulated for export
by the U.S. Government.

This product is not authorized for use by persons located
outside the United States and Canada that do not have prior
approval from Cisco Systems, Inc. or the U.S. Government.

This product may not be exported outside the U.S. and Canada
either by physical or electronic means without PRIOR approval
of Cisco Systems, Inc. or the U.S. Government.

Persons outside the U.S. and Canada may not re-export, resell
or transfer this product by either physical or electronic means
without prior approval of Cisco Systems, Inc. or the U.S.
Government.
******************************* Warning *******************************

Copyright (c) 1996-2003 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706


Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 
Type help or '?' for a list of available commands.
pixfirewall>

Ferramentas de PIX da elevação em um conjunto de comutação

Uma elevação da ferramenta de PIX 6.x a 7.x é uma elevação principal. Não pode ser feita sem tempo ocioso da máquina, mesmo para PIXes em um conjunto de comutação. Muitos dos comandos failover mudam com a elevação. O caminho de upgrade da recomendação é pôr para baixo uma das PIXes no conjunto de comutação. Siga então as instruções neste documento a fim promover posto no PIX. Uma vez a elevação está completa, verifica que passagens do tráfego, e igualmente recarrega o PIX uma vez para verificar que vem apoio sem edição. Uma vez que você é satisfeito que tudo trabalha corretamente, sem energia o PIX e a potência recentemente promovidos no outro PIX. Siga então as instruções neste documento a fim promover o PIX. Uma vez a elevação está completa, verifica que o tráfego passa. Igualmente recarregue o PIX uma vez a fim verificar que vem apoio sem edição. Uma vez que você é satisfeito que tudo trabalha corretamente, põe sobre o outro PIX. Ambas as PIXes agora são promovidas a 7.x e postas sobre. Verifique que estabelecem comunicações de failover corretamente com o comando show failover.

Nota: O PIX reforça agora a limitação que nenhuma relação que passar o tráfego de dados não pode igualmente ser usada como a relação do failover de LAN, ou a relação da comutação classificada. Se sua configuração atual de PIX tem uma relação compartilhada que esteja usada para passar o tráfego de dados normal assim como a informação do failover de LAN ou a Informação stateful, e se você elevação, o tráfego de dados já não passa através desta relação. Os comandos all associados a essa relação igualmente falham.

Instale o Security Device Manager adaptável (o ASDM)

Antes que você instale o ASDM, Cisco recomenda que você lê os Release Note para a versão que você planeia instalar. Os Release Note incluem os navegadores suportados e as versões mínimas das Javas assim como uma lista de novos recursos apoiados e de interrupções de processo aberto.

O processo de instalar o ASDM é levemente diferente na versão 7.0 do que se realizou no passado. Também, uma vez que a imagem ASDM é copiada no flash, você deve especificá-lo na configuração assim que o PIX sabe para usá-la. Termine estas etapas a fim instalar a imagem ASDM no flash.

  1. Transfira a imagem ASDM (clientes registrados somente) do cisco.com e coloque-a no diretório raiz de seu servidor TFTP.

  2. Verifique que seu PIX tem a conectividade IP a seu servidor TFTP. A fim fazer isto, sibile o servidor TFTP do PIX.

  3. Da alerta da possibilidade, emita o comando copy tftp flash.

    pixfirewall>enable
    Password: 
    <password>
    
    pixfirewall#copy tftp flash
    
  4. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor TFTP.

    Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
    
  5. Dê entrada com o nome do arquivo ASDM no servidor TFTP que você deseja carregar.

    Source file name [cdisk]? <filename>
    
  6. Dê entrada com o nome para o arquivo ASDM que você planeia salvar no flash. A imprensa entra para manter o mesmo nome de arquivo.

    Destination filename [asdm-501.bin]? <enter>
    
  7. A imagem é copiada agora sobre do servidor TFTP para piscar. Estas mensagens parecem e indicam que transferência é um sucesso.

    Accessing tftp://172.18.173.123/asdm-501.bin...
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!
    Writing file flash:/asdm-501.bin...
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!
    5880016 bytes copied in 140.710 secs (42000 bytes/sec)
  8. Depois que a imagem ASDM é copiada sobre, emita o flash da imagem do asdm: comando a fim especificar a imagem ASDM para usar-se.

    pixfirewall(config)#asdm image flash:asdm-501.bin
    
  9. Salvar a configuração para piscar com o comando write memory.

    pixfirewall(config)#write memory
    
  10. Isto termina o processo de instalação ASDM.

Troubleshooting

Sintoma Resolução
Depois que você usa o método do flash de tftp da cópia a fim promover o PIX, e a repartição, obtém colada neste laço da repartição:
 
Cisco Secure PIX Firewall BIOS (4.0) #0: 
Thu Mar  2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash.   
Ferramentas de PIX com versões da BIOS antes que 4.2 não puderem ser promovidos com o uso do comando copy tftp flash. Você deve promovê-los com o método de modo do monitor.
Depois que o PIX executa 7.0, e repartições, obtém colado neste laço da repartição:
Rebooting....

Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar�2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 115200 bytes of image from flash.�

PIX Flash Load Helper

Initializing flashfs...
flashfs[0]: 10 files, 4 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 15998976
flashfs[0]: Bytes used: 1975808
flashfs[0]: Bytes available: 14023168
flashfs[0]: Initialization complete.

Unable to locate boot image configuration

Booting first image in flash

No bootable image in flash. Please download 
an image from a network server in the monitor mode

Failed to find an image to boot
Se o PIX foi promovido do modo de monitor a 7.0, mas a imagem 7.0 não foi reproduzida no flash após a primeira bota de 7.0, a seguir quando o PIX é recarregado, torna-se colada em um laço da repartição. A definição é carregar outra vez a imagem do modo de monitor. Depois que carreg acima, você deve copiar a imagem mais uma vez com o uso do método do flash de tftp da cópia.
Quando você promove com o método do flash de tftp da cópia, você vê este Mensagem de Erro:
pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? y
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Insufficient flash space available for this request:
Size info: request:5066808 current:1966136 delta:3100672 free:2752512
Image not installed
pixfirewall# 
Esta mensagem é considerada tipicamente quando o PIX-535 ou o PIX-515 (E) é promovido não através do método do flash de tftp da cópia, e o PDM é carregado igualmente no flash nesse PIX. A definição é promover com o método de modo do monitor.
Depois que você promove o PIX de 6.x a 7.0, alguma da configuração não migra corretamente. A saída do comando show startup-config errors mostra todos os erros que ocorram durante a migração da configuração. Os erros aparecem nesta saída depois que você carreg o PIX pela primeira vez. Examine estes erros e tente resolvê-los.
O PIX executa versão 7.x, e uma versão mais nova são instalados. Quando as repartições PIX, a versão velha continuarem a carregar. Na versão de PIX 7.x, você pode salvar imagens múltiplas no flash. O PIX olha primeiramente na configuração para todo o flash do sistema da bota: comandos. Estes comandos especificam que imagem o PIX precisa de carreg. Se nenhum flash do sistema da bota: os comandos são encontrados, a bota PIX a primeira imagem inicializável no flash. A fim carreg uma versão diferente, especifique o arquivo com o uso do flash do sistema da bota: comando/<filename>.
Uma imagem ASDM é carregada no flash, mas os usuários são incapazes de carregar o ASDM em seu navegador. Primeiramente, assegure-se de que o arquivo ASDM carregado no flash esteja especificado pelo comando do <asdm_file> de flash:// da imagem do asdm. Em segundo, verifique que o comando http server enable está na configuração. Finalmente, verifique o host que as tentativas de carregar o ASDM são permitidas através do comando http <address> <mask> <interface>.
O FTP não trabalha após uma elevação. A inspeção FTP não foi permitida após a elevação. Permita a inspeção FTP em uma de duas maneiras segundo as indicações da seção da inspeção da possibilidade FTP.

Permita a inspeção FTP

A inspeção FTP pode ser permitida com o qualquer um destes dois métodos:

  • Adicionar o FTP ao padrão/política global da inspeção.

    1. Se não existe, crie o mapa de classe do inspection_default.

      PIX1#configure terminal
      PIX1(config)#class-map inspection_default
      PIX1(config-cmap)#match default-inspection-traffic
      PIX1(config-cmap)#exit
      
    2. Crie ou edite o mapa de política do global_policy e permita a inspeção FTP para o inspection_default da classe.

      PIX1(config)#policy-map global_policy
      PIX1(config-pmap)#class inspection_default
      PIX1(config-pmap-c)#inspect dns preset_dns_map 
      PIX1(config-pmap-c)#inspect ftp 
      PIX1(config-pmap-c)#inspect h323 h225 
      PIX1(config-pmap-c)#inspect h323 ras 
      PIX1(config-pmap-c)#inspect rsh 
      PIX1(config-pmap-c)#inspect rtsp 
      PIX1(config-pmap-c)#inspect esmtp 
      PIX1(config-pmap-c)#inspect sqlnet 
      PIX1(config-pmap-c)#inspect skinny 
      PIX1(config-pmap-c)#inspect sunrpc 
      PIX1(config-pmap-c)#inspect xdmcp 
      PIX1(config-pmap-c)#inspect sip 
      PIX1(config-pmap-c)#inspect netbios 
      PIX1(config-pmap-c)#inspect tftp 
      
    3. Permita o global_policy globalmente.

      PIX1(config)#service-policy global_policy global
      
  • Permita o FTP criando uma política separada da inspeção.

    PIX1#configure terminal
    PIX1(config)#class-map ftp-traffic
    
    !--- Matches the FTP data traffic.
    
    PIX1(config-cmap)#match port tcp eq ftp
    PIX1(config-cmap)#exit
    
    PIX1(config)#policy-map ftp-policy
    PIX1(config-pmap)#class ftp-traffic
    
    
    !--- Inspection for the FTP traffic is enabled.
    
    PIX1(config-pmap-c)#inspect ftp
    PIX1(config-pmap)#exit
    PIX1(config)#exit
    
    
    !--- Applies the FTP inspection globally.
    
    PIX1(config)#service-policy ftp-policy global
    

Obtenha um contrato de serviço válido

Você deve ter um contrato de serviço válido a fim transferir o software de PIX. A fim obter um contrato de serviço, execute estas etapas:

  • Entre em contato com sua Equipe de Conta da Cisco se possuir um contrato de compra direta.

  • Entre em contato com um parceiro ou revendedor da Cisco para adquirir um contato de serviço.

  • Use o gerente do perfil a fim atualizar seu perfil do cisco.com e pedir a associação a um contrato de prestação de serviços.


Informações Relacionadas


Document ID: 63879