Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA: Elevação da chave de licença em um par de failover

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Ao promover a licença para unidades de failover, não é possível evitar o tempo ocioso de rede. Contudo, o tempo ocioso da máquina pode ser minimizado. Este documento focaliza em como minimizar o tempo ocioso da máquina durante a elevação da licença no par de failover.

As ferramentas de segurança do PIX 515 Cisco, 515E, 525, e 535 apoiam o conceito de uma licença da plataforma. Licencie níveis variam de � restrito), ilimitado (UR), de Failover (FO), e de Failover-ativo/Active (FO-AA).

A ferramenta de segurança apoia duas configurações de failover: Failover ativo/ativo e Failover ativo/à espera.

Para uma configuração de exemplo que inclui uma breve introdução Failover ativo/à espera PIX/ASA, refira o PIX/ASA: Exemplo ativo/à espera da configuração de failover.

Para uma configuração de exemplo que inclui uma breve introdução Failover ativo/ativo PIX/ASA, refira o PIX/ASA: Exemplo ativo/ativo da configuração de failover.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Ferramentas de segurança do PIX 515 Cisco, 515E, 525, e 535 com 7.x e versão mais atrasada

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico.

Produtos Relacionados

Você também pode usar esta configuração com o Cisco ASA Security Appliance versão 7.x ou posterior.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Procedimento para promover a licença

As seguintes etapas são usadas para promover a licença nos pares de failover:

Chave de ativação nova

À revelia, a licença no PIX será “restrita” (�). Uma chave de ativação nova é exigida a fim promover de um pacote “restrito” do software a um pacote que apoie recursos adicionais tais como mais número de conexões, de Failover, de IPsec ou de interfaces adicionais. Também, uma chave de ativação nova é às vezes necessária após uma upgrade flash em um PIX.

A fim pedir uma chave de ativação, envie um email a licensing@cisco.com que fornece o número de série do PIX (ou se você está promovendo o flash, forneça o número de série da placa Flash) e a saída do comando show version. Vá à página do registro de licença de Cisco ASA 3DES/AES (clientes registrados somente) pedir uma chave de ativação AES/3DES.

Nota: Se você recebe o ERRO: Não atualizam o erro instantâneo da chave de ativação, que é devido a um problema na chave de ativação, peça uma chave de ativação nova para resolver este erro.

A seguinte amostra do comando show version mostra o número de série e a chave de ativação para a ferramenta de segurança.

pix# show version

Cisco PIX Security Appliance Software Version 7.1(1)
Device Manager Version 5.1(1)

Compiled on Thu 19-Jan-06 15:02 by builders
System image file is "flash:/pix711.bin"
Config file at boot was "startup-config"

pix up 7 days 20 hours

Hardware:   PIX-515E, 128 MB RAM, CPU Pentium II 433 MHz
Flash E28F128J3 @ 0xfff00000, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
 0: Ext: Ethernet0           : address is 000f.908f.2d45, irq 10
 1: Ext: Ethernet1           : address is 000f.908f.2d46, irq 11
 2: Ext: Ethernet2           : address is 0005.5d19.7ad0, irq 11
 3: Ext: Ethernet3           : address is 0005.5d19.7ad1, irq 10
 4: Ext: Ethernet4           : address is 0005.5d19.7ad2, irq 9
 5: Ext: Ethernet5           : address is 0005.5d19.7ad3, irq 5

Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs               : 25
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.

Serial Number: 808150103
Running Activation Key: 0x8f5bdba6 0x0963cc7f 0xfeffd300 0x9b00f19d
Configuration last modified by enable_15 at 01:42:55.492 UTC Wed May 31 2006

Promovendo a licença

Uma vez que você recebe a chave de ativação nova de Cisco, registre em cada PIX e incorpore a chave manualmente ao modo terminal da configuração.

Nota: Algumas licenças exigem-no recarregar a ferramenta de segurança depois que você as ativa. Para a lista das licenças que exigem o recarregamento, refira exigências de recarregamento da licença.

Os tipos do apoio dois da versão 7.0 e mais recente da ferramenta de segurança PIX das chaves de licença:

  • Chave de licença 4-tuple existente para a versão de PIX 6.3 ou mais adiantado

  • Uma chave de licença 5-tuple nova para a versão 7.0 e mais recente da ferramenta de segurança PIX somente

Sintaxe: ativação-chave [ativação-chave-quatro-tupla | ativação-chave-cinco-tupla]

Exemplo:

pix(config)# activation-key 0xe02888da
	 0x4ba7bed6 0xf1c123ae 0xffd8624e

Promovendo a licença para um Failover usando CLI (nenhum Reload exigido)

Use o seguinte procedimento se sua licença nova não o exige recarregar. Este procedimento assegura-se de que não haja nenhum tempo ocioso da máquina.

  1. Desabilite o Failover na unidade ativa usando o comando no failover na unidade ativa. A unidade em standby permanece em um estado pseudo--à espera. Desativar o Failover na unidade ativa impede que a unidade em standby tente tornar-se ativa durante o período em que as licenças não combinam.

  2. Instale a licença nova na unidade ativa usando o comando key da ativação-chave na unidade ativa. Certifique-se que esta licença é para o número de série da unidade ativa.

  3. Instale a licença nova na unidade em standby usando o comando key da ativação-chave na unidade em standby. Certifique-se que esta licença é para o número de série da unidade em standby.

  4. Gire o Failover para trás sobre na unidade ativa usando o comando failover. Isto termina o procedimento.

    Nota: Antes que você promova a licença, certifique-se que ambas as unidades se estão operando corretamente, a interface de LAN do Failover está acima, e não há um evento iminente do Failover; por exemplo, as relações monitoradas estão operando-se normalmente. Em cada unidade, inscreva o comando show failover. Ou, no ASDM vão à monitoração > as propriedades > o Failover > o estado para ver o status de comutação e o status da interface monitorado.

Promovendo a licença para um Failover usando ASDM (nenhum Reload exigido)

Use o seguinte procedimento usando o ASDM se sua licença nova não o exige recarregar. Este procedimento assegura-se de que não haja nenhum tempo ocioso da máquina.

  1. Na unidade ativa, escolha a configuração > o Gerenciamento de dispositivos > a Alta disponibilidade > o Failover > Setup, e desmarcar a caixa de verificação do Failover da possibilidade. Agora o clique aplica-se. A unidade em standby permanece em um estado pseudo--à espera. Desativar o Failover na unidade ativa impede que a unidade em standby tente tornar-se ativa durante o período em que as licenças não combinam.

  2. Escolha a configuração > o Gerenciamento de dispositivos > licenciando > chave de ativação, e incorpore a chave de ativação nova que você obteve com o número de série da unidade ativa. Clique agora a chave de ativação da atualização.

  3. Log na unidade em standby fazendo duplo clique seu endereço na lista de dispositivos. Se o dispositivo não está na lista de dispositivos, o clique adiciona para adicionar o dispositivo. Você pôde ser alertado para que as credenciais entrem.

  4. Escolha a configuração > o Gerenciamento de dispositivos > licenciando > chave de ativação, e incorpore a chave de ativação nova que você obteve com o número de série da unidade em standby. Clique agora a chave de ativação da atualização.

  5. Log na unidade ativa outra vez fazendo duplo clique seu endereço na lista de dispositivos. Escolha a configuração > o Gerenciamento de dispositivos > a Alta disponibilidade > o Failover > Setup, e verifique novamente a caixa de verificação do Failover da possibilidade.

  6. Clique em Apply. Isto termina o procedimento.

Promovendo a licença para um Failover usando CLI (Reload exigido)

Use o seguinte procedimento se sua licença nova o exige recarregar. Recarregar o par de failover causa uma perda de conectividade durante o reload.

  1. Desabilite o Failover na unidade ativa usando o comando no failover na unidade ativa. A unidade em standby permanece em um estado pseudo--à espera. Desativar o Failover na unidade ativa impede que a unidade em standby tente tornar-se ativa durante o período em que as licenças não combinam.

  2. Instale a licença nova na unidade ativa usando o comando key da ativação-chave na unidade ativa. Certifique-se que esta licença é para o número de série da unidade ativa.

    Nota: Se você precisa de recarregar, você verá esta mensagem: AVISO: A chave de ativação running não foi atualizada com a chave pedida. A chave de ativação instantânea foi atualizada com a chave pedida, e tornar-se-á ativa após o reload seguinte.

  3. Instale a licença nova na unidade em standby usando o comando key da ativação-chave na unidade em standby. Certifique-se que esta licença é para o número de série da unidade em standby.

  4. Recarregue a unidade em standby usando o comando reload.

  5. Recarrega a unidade ativa. Quando você é alertado salvar a configuração antes de recarregar, responda não. Isto significa que quando a unidade ativa vem apoio, o Failover estará permitido ainda. Isto termina o procedimento.

    Nota: Antes que você promova a licença, seja certo que ambas as unidades se estão operando corretamente, a interface de LAN do Failover está acima, e não há um evento iminente do Failover; por exemplo, as relações monitoradas estão operando-se normalmente. Em cada unidade, inscreva o comando show failover. Ou, no ASDM, vão à monitoração > as propriedades > o Failover > o estado para ver o status de comutação e o status da interface monitorado.

Promovendo a licença para um Failover usando ASDM (Reload exigido)

Use o seguinte procedimento usando o ASDM se sua licença nova o exige recarregar. Recarregar o par de failover causa uma perda de conectividade durante o reload.

  1. Na unidade ativa, escolha a configuração > o Gerenciamento de dispositivos > a Alta disponibilidade > o Failover > Setup, e desmarcar a caixa de verificação do Failover da possibilidade. Agora o clique aplica-se. A unidade em standby permanece em um estado pseudo--à espera. Desativar o Failover na unidade ativa impede que a unidade em standby tente tornar-se ativa durante o período em que as licenças não combinam.

  2. Escolha a configuração > o Gerenciamento de dispositivos > licenciando > chave de ativação, e incorpore a chave de ativação nova que você obteve com o número de série da unidade ativa. Clique agora a chave de ativação da atualização.

  3. Log na unidade em standby fazendo duplo clique seu endereço na lista de dispositivos. Se você o dispositivo não está na lista de dispositivos, o clique adiciona para adicionar o dispositivo. Você pôde ser alertado para que as credenciais entrem.

  4. Escolha a configuração > o Gerenciamento de dispositivos > licenciando > chave de ativação, e incorpore a chave de ativação nova que você obteve com o número de série da unidade em standby. Clique agora a chave de ativação da atualização.

  5. Log na unidade ativa outra vez fazendo duplo clique seu endereço na lista de dispositivos. Escolha a configuração > o Gerenciamento de dispositivos > a Alta disponibilidade > o Failover > Setup, e verifique novamente a caixa de verificação do Failover da possibilidade. Agora o clique aplica-se.

  6. Programe um reload do dispositivo da segurança ativa escolhendo utiliza ferramentas > recarregamento do sistema.

  7. Escolha as opções do reload recarregar a ferramenta de segurança em um momento onde você deseja, e clique o Reload da programação. Escolha uma época em que a perda de serviço tiver menos impacto.

  8. Log na unidade em standby outra vez fazendo duplo clique seu endereço na lista de dispositivos.

  9. Programe um reload da ferramenta de segurança à espera escolhendo utiliza ferramentas > recarregamento do sistema.

  10. Escolha as opções do reload recarregar a ferramenta de segurança ao mesmo tempo que você escolhe para a unidade ativa, a seguir clique o Reload da programação.

  11. Ambas as unidades recarregarão ao mesmo tempo, e as licenças novas serão de fato. Isto termina o procedimento.

Nota: Se a unidade primária está no apoio, inverta o seguinte procedimento. Isso é no lugar do PIX secundário posto PIX principal, e no lugar do PIX principal posto secundário.

Verifique a chave

Você pode verificar a licença actualizado emitindo a versão da mostra ou mostrar o comando activation-key em ambas as unidades principais e secundárias.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 70390