Segurança : Dispositivos de segurança Cisco PIX 500 Series

Migração das ferramentas de segurança da série PIX 500 às ferramentas de segurança adaptáveis do 5500 Series ASA

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (17 Julho 2008) | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento explica como migrar das ferramentas de segurança da série PIX 500 às ferramentas de segurança adaptáveis do 5500 Series ASA.

Nota: O PIX 501, o PIX 506 e o PIX 506E não fazem versão 7 do software de suporte.

Há duas maneiras de converter uma configuração de PIX a uma configuração ASA

  • Conversão Ferramenta-ajudada

  • Conversão manual

A ferramenta automática baseada/Ferramenta-ajudou à conversão

Cisco recomenda que você usa a conversão ferramenta-ajudada a fim converter configurações de PIX às configurações ASA.

O método de conversão ferramenta-ajudado é mais rápido e mais escalável se você faz conversões múltiplas. Contudo, a saída do processo em uma configuração intermediária contém a sintaxe antiga e a sintaxe nova. Este método confia na instalação da configuração intermediária na ferramenta de segurança adaptável do alvo para terminar a conversão. Até que esteja instalado no dispositivo de destino, você não pode ver a configuração final.

Nota: Cisco liberou o PIX à ferramenta da migração ASA a fim ajudar a automatizar o processo de migração aos dispositivos novos ASA. Esta ferramenta pode ser transferida do local da transferência de software de PIX. Refira a migração da configuração da ferramenta de segurança da série PIX 500 às ferramentas de segurança adaptáveis do 5500 Series ASA para mais informação.

Pré-requisitos

Requisitos de hardware e software

Você pode promover o PIX 515, 515E, 525, 535 à versão 7.0.

Antes que você comece o processo de upgrade à versão 7.x, Cisco recomenda que o PIX executa a versão 6.2 ou mais recente. Isto assegura-se de que a configuração atual converta corretamente. Além, estes requisitos de hardware devem ser cumpridos para exigências mínimas de RAM:

Modelo de PIX Exigências de RAM
  Restringido (R) Ilimitado) (do UR/Failover somente (FO)
PIX-515 64 MB* 128 MB*
PIX-515 E 64 MB* 128 MB*
PIX-525 128 MB 256 MB
PIX-535 512 MB 1 GB

Emita o comando show version a fim determinar a quantidade de RAM instalada atualmente no PIX.

Nota: O PIX 515 e as elevações de software 515E podem exigir uma upgrade de memória também:

  • Aqueles com licenças restritas e 32 MB da memória devem ser promovidos ao 64 MB da memória.

  • Aqueles com licenças ilimitadas e 64 MB da memória devem ser promovidos ao 128 MB da memória.

Veja esta tabela para os part numbers que você precisa a fim promover a memória nestes dispositivos.

Configuração de ferramenta atual Solução da elevação
Licença da plataforma Memória total (antes da elevação) Número da peça Memória total (após a elevação)
Restringido (R) 32 MB PIX-515-MEM-32= 64 MB
Ilimitado (UR) 32 MB PIX-515-MEM-128= 128 MB
Failover-Somente (FO) 64 MB PIX-515-MEM-128= 128 MB

Nota: O part number depende em cima da licença instalada no PIX.

A elevação da versão de software 6.x a 7.x é sem emenda e exige algum trabalho manual, mas estas etapas devem ser terminadas antes que você comece:

  1. Assegure-se de que você não tenha nenhuma conduíte ou de partida/comandos apply em sua configuração atual. Estes comandos são apoiados já não em 7.x e o processo de upgrade remove-o. Use a ferramenta do conversor da conduíte a fim converter estes comandos às listas de acesso antes que você tente a elevação.

  2. Assegure-se de que o PIX não termine conexões pontos a ponto do protocolo de tunelamento (PPTP). A versão de software 7.x atualmente não apoia a terminação de PPTP.

  3. Copie todos os Certificados digitais para conexões de VPN no PIX antes que você comece o processo de upgrade.

  4. Leia estes documentos a fim assegurar-se de que você esteja ciente de novo, mudou e suplicou comandos:

  5. Planeie executar a migração durante o tempo ocioso da máquina. Embora a migração seja um processo em duas etapas simples, a elevação da ferramenta de segurança PIX a 7.x é uma alteração principal e exige algum tempo ocioso da máquina.

  6. Transfira o software 7.x das transferências de Cisco (clientes registrados somente).

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Ferramentas de segurança do 5500 Series ASA

  • Ferramenta de segurança 515 PIX, 515E, 525, e 535

  • Versões de software de PIX 6.3, 7.0

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Conversão da configuração manual

Com o processo de conversão manual, você usa um editor de texto para atravessar sua linha-por-linha da configuração e para converter comandos PIX-específicos aos comandos ASA.

A conversão manual da configuração de PIX a uma configuração ASA dá-lhe a maioria de controle sobre o processo de conversão. Contudo, o processo é demorado e não escala bem se você deve fazer mais de uma conversão.

Estas três etapas devem ser terminadas a fim migrar do PIX ao ASA:

  1. Promova a versão de software de PIX a 7.x.

  2. Converta nomes da relação do software de PIX 7.0 de Cisco ao formato de Cisco ASA.

  3. Copie a configuração do software de PIX 7.0 a Cisco ASA 5500.

Promova a versão de software de PIX a 7.x

Antes que você comece o processo de upgrade real, termine estas etapas:

  1. Emita o comando show running-config ou write net a fim salvar a configuração atual PIX a um arquivo de texto ou a um servidor TFTP.

  2. Emita o comando show version a fim verificar as exigências, tais como RAM. Também, salvar a saída deste comando a um arquivo de texto. Se você precisa de reverter de volta a uma versão mais velha do código, você pode potencialmente precisar a chave de ativação original.

Se o PIX tem uma versão básica do sistema de entrada/saída (BIOS) mais cedo de 4.2 ou se você planeia promover um PIX 515 ou um PIX 535 com um PDM já instalado, a seguir você deve terminar o procedimento de upgrade no modo de monitor em vez com do método do flash de tftp da cópia. A fim ver a versão da BIOS, recarregue o PIX, e com um cabo do console anexado, leem as mensagens na bota.

A versão da BIOS é alistada em uma mensagem, como:

Rebooting....


CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
64 MB RAM

Nota: Os comandos 6.x são convertidos automaticamente aos comandos 7.x durante a elevação. A conversão automática dos comandos conduz a uma mudança a sua configuração. Você precisa de rever as alterações de configuração depois que o software 7.x carreg a fim verificar que as mudanças automáticas são satisfatórias. Então, salvar a configuração à memória Flash a fim assegurar-se de que o sistema não converta a configuração outra vez a próxima vez as botas da ferramenta de segurança.

Nota: Depois que o sistema é promovido a 7.x, é importante que você não usa o utilitário de disco da versão de software 6.x NP, tal como a recuperação de senha, porque corrompe a imagem do software 7.x e o exige reiniciar seu sistema do modo de monitor. Pode igualmente fazer com que você perca seus configuração precedente, núcleo de Segurança, e informação chave.

Promova a ferramenta de segurança PIX com o comando copy tftp flash

Termine estas etapas a fim promover o PIX com o uso do comando copy tftp flash.

  1. Copie a imagem binária da ferramenta de PIX, por exemplo, pix701.bin, ao diretório raiz do servidor TFTP.

  2. Da alerta da possibilidade, emita o comando copy tftp flash.

    pixfirewall>enable
    Password:
    <password>
    
    pixfirewall#copy tftp flash
    
  3. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor TFTP.

    Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
    
  4. Dê entrada com o nome do arquivo no servidor TFTP que você quer carregar. Este é o nome de arquivo da imagem binária PIX.

    Source file name [cdisk]?
    <filename>
    
    
  5. Quando alertado para começar sim a cópia TFTP, tipo.

    copying tftp://172.18.173.123/pix701.bin to flash:image
    [yes|no|again]?yes
    
  6. A imagem é copiada agora sobre do servidor TFTP para piscar.

    Esta mensagem aparece e indica que transferência é um sucesso, a imagem binária velha no flash é apagada, e a imagem nova é escrita e instalada.

    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Received 5124096 bytes
    Erasing current image
    Writing 5066808 bytes of image
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Image installed
    pixfirewall#
  7. Recarregue a ferramenta de PIX a fim carreg a imagem nova.

    pixfirewall#reload
    Proceed with reload? [confirm] 
    <enter>
    
    
    
    Rebooting....
  8. O PIX carreg agora a imagem 7.0, e este termina o processo de upgrade.

Exemplo de configuração - Promova a ferramenta de PIX com o comando copy tftp flash

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall# 
pixfirewall#reload
Proceed with reload? [confirm] 
<enter>




Rebooting..�

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
128 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class�Irq
00�00�00�8086�7192�Host Bridge�
00�07�00�8086�7110�ISA Bridge�
00�07�01�8086�7111�IDE Controller�
00�07�02�8086�7112�Serial Bus�9
00�07�03�8086�7113�PCI Bridge�
00�0D�00�8086�1209�Ethernet�11
00�0E�00�8086�1209�Ethernet�10
00�13�00�11D4�2F44�Unknown Device�5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash.�
######################################################################
######################################################################
128MB RAM

Total NICs found: 2
mcwa i82559 Ethernet at irq 11�MAC: 0009.4360.ed44
mcwa i82559 Ethernet at irq 10�MAC: 0009.4360.ed43
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


!--- This output indicates that the Flash file
!--- system is formatted. The messages are normal.

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-27642)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-30053)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-1220)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-22934)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (2502)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (29877)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-13768)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (9350)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-18268)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (7921)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (22821)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (7787)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (15515)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (20019)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-25094)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-7515)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (-10699)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (6652)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (-23640)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (23698)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (-28882)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (2533)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-966)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-22888)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (-9762)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (9747)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (-22855)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-32551)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-13355)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (-29894)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-18595)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (22095)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (1486)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (13559)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (24215)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (21670)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (-24316)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 7, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 12, parent_fileid 0
flashfs[7]: 5 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 5128192
flashfs[7]: Bytes available: 10999808
flashfs[7]: flashfs fsck took 59 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6�
Maximum VLANs�: 25�
Inside Hosts�: Unlimited 
Failover�: Active/Active
VPN-DES�: Enabled�
VPN-3DES-AES�: Enabled�
Cut-through Proxy�: Enabled�
Guards�: Enabled�
URL Filtering�: Enabled�
Security Contexts�: 2�
GTP/GPRS�: Disabled�
VPN Peers�: Unlimited 

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC (IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5)
--------------------------------------------------------------------------
.�.�
|�|�
|||�|||�
.|| ||.�.|| ||.�
.:||| | |||:..:||| | |||:.�
C i s c o�S y s t e m s�
--------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1) 

****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.

A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

!--- These messages are printed for any deprecated commands.

ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 50, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 55, "floodguard enable"

Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 

!--- All current fixups are converted to the new Modular Policy Framework.

INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
pixfirewall>

Nota: Emita o comando show version a fim verificar que o PIX executa agora a versão de software 7.x.

Nota: A fim examinar todos os erros que ocorram durante a migração da configuração, emita o comando show startup-config errors. Os erros aparecem nesta saída depois que você carreg o PIX pela primeira vez.

Promova a ferramenta de segurança PIX do modo de monitor

Incorpore o modo de monitor

Termine estas etapas a fim incorporar o modo de monitor no PIX.

  1. Conecte um cabo do console à porta de Console no PIX com o uso destes ajustes de uma comunicação:

    • 9600 bits por segundo

    • 8 bits de dados

    • sem paridade

    • 1 bit de parada

    • nenhum controle de fluxo

  2. Ligue e desligue ou recarregue o PIX. Durante a inicialização você é alertado usar a RUPTURA ou o ESC a fim interromper a bota instantânea. Você tem dez segundos para interromper o processo de boot normal.

  3. Pressione a tecla ESC ou envie um caráter de ruptura a fim incorporar o modo de monitor.

    • Se você usa o Windows HyperTerminal, você pode pressionar a tecla ESC ou o Ctrl+Break da imprensa a fim enviar um caráter de ruptura.

    • Se você telnet através de um servidor terminal a fim alcançar a porta de Console do PIX, você precisa de pressionar Ctrl+] (controle + suporte direito) a fim obter à alerta de comando telnet. Então, emita o comando send break.

  4. Os indicadores da alerta do monitor>.

  5. Continua à elevação o PIX da seção de modo do monitor.

Promova o PIX do modo de monitor

Termine estas etapas a fim promover seu PIX do modo de monitor.

  1. Copie a imagem binária da ferramenta de PIX, por exemplo, pix701.bin, ao diretório raiz do servidor TFTP.

  2. Incorpore o modo de monitor no PIX. Se você é incerto como fazer isto, vê para incorporar o modo de monitor.

    Nota: Uma vez no modo de monitor, você pode usar “?” chave a fim ver uma lista de opções disponíveis.

  3. Incorpore o número de interface que o servidor TFTP está conectado a, ou a relação que é a mais próxima ao servidor TFTP. O padrão é interface 1 (interno).

    monitor>interface <num>
    

    Nota: No modo de monitor, a relação sempre auto negocia a velocidade e duplexação. Os ajustes da relação não podem duramente ser codificados. Consequentemente, se a interface de PIX é obstruída em um interruptor que esteja codificado duramente para a velocidade/duplex, reconfigure-o ao automóvel negociam quando você reagir do modo de monitor. Também, esteja ciente que a ferramenta de PIX não pode inicializar uma interface Gigabit Ethernet do modo de monitor. Você deve usar uma interface rápida de Ethernet pelo contrário.

  4. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT da relação definida a etapa três.

    monitor>address <PIX_ip_address>
    
  5. Incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT do servidor TFTP.

    monitor>server <tftp_server_ip_address>
    
  6. (Opcional) incorpore o endereço IP de Um ou Mais Servidores Cisco ICM NT de seu gateway. Um endereço de gateway é exigido se a relação do PIX não está na mesma rede que o servidor TFTP.

    monitor>gateway <gateway_ip_address>
    
  7. Dê entrada com o nome do arquivo no servidor TFTP que você quer carregar. Este é o nome de arquivo da imagem binária PIX.

    monitor>file <filename>
    
  8. Sibile do PIX ao servidor TFTP a fim verificar a conectividade IP.

    Se os sibilos falham, verifique novamente os cabos, o endereço IP de Um ou Mais Servidores Cisco ICM NT da interface de PIX e do servidor TFTP, e o endereço IP de Um ou Mais Servidores Cisco ICM NT do gateway (se necessário). Os sibilos devem suceder antes que você continue.

    monitor>ping <tftp_server_ip_address>
    
  9. Datilografe tftp a fim começar a transferência TFTP.

    monitor>tftp
    
  10. O PIX transfere a imagem em RAM e carreg automaticamente a.

    Durante o processo de boot, o sistema de arquivos é convertido junto com sua configuração atual. Contudo, você não é feito ainda. Note este mensagem de advertência depois que você carreg e continua a etapa 11:

    ******************************************************************
      **                                                                    **
      **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
      **                                                                    **
      **          ----> Current image running from RAM only! <----          **
      **                                                                    **
      **  When the PIX was upgraded in Monitor mode the boot image was not  **
      **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
      **  save a bootable image to Flash.  Failure to do so will result in  **
      **  a boot loop the next time the PIX is reloaded.                    **
      **                                                                    **
      ************************************************************************
  11. Uma vez que carreg, incorpore o modo enable e copie a mesma imagem sobre ao PIX outra vez. Esta vez, emite o comando copy tftp flash.

    Isto salvar a imagem ao sistema de arquivo flash. A falha terminar esta etapa conduz a um laço da bota a próxima vez que os reloads PIX.

    pixfirewall>enable
    pixfirewall#copy tftp flash
    

    Nota: Para instruções detalhadas em como copiar sobre a imagem com o uso do comando copy tftp flash, veja a elevação a ferramenta de segurança PIX com a seção de comando copy tftp flash.

  12. Uma vez que a imagem é copiada sobre com o comando copy tftp flash, o processo de upgrade está completo.

    Exemplo de configuração - Promova a ferramenta de segurança PIX do modo de monitor

    monitor>interface 1 
    0: i8255X @ PCI(bus:0 dev:13 irq:10)
    1: i8255X @ PCI(bus:0 dev:14 irq:7 )
    2: i8255X @ PCI(bus:1 dev:0  irq:11)
    3: i8255X @ PCI(bus:1 dev:1  irq:11)
    4: i8255X @ PCI(bus:1 dev:2  irq:11)
    5: i8255X @ PCI(bus:1 dev:3  irq:11)
    
    Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81
    monitor>address 10.1.1.2 
    address 10.1.1.2 
    monitor>server 172.18.173.123 
    server 172.18.173.123 
    monitor>gateway 10.1.1.1
    gateway 10.1.1.1
    monitor>file pix701.bin 
    file pix701.bin 
    monitor>ping 172.18.173.123 
    Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds: 
    !!!!! 
    Success rate is 100 percent (5/5) 
    monitor>tftp 
    tftp pix701.bin@172.18.173.123.......................................... 
    Received 5124096 bytes 
    
    Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar  7 17:39:03 PST 2005
    #######################################################################
    128MB RAM
    
    Total NICs found: 6
    mcwa i82559 Ethernet at irq 10  MAC: 0050.54ff.4d80
    mcwa i82559 Ethernet at irq  7  MAC: 0050.54ff.4d81
    mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2014
    mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2015
    mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2016
    mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2017
    BIOS Flash=AT29C257 @ 0xfffd8000
    Old file system detected. Attempting to save data in flash
     
    
    !--- This output indicates that the Flash file
    !--- system is formatted. The messages are normal.
    
    Initializing flashfs...
    flashfs[7]: Checking block 0...block number was (-10627)
    flashfs[7]: erasing block 0...done.
    flashfs[7]: Checking block 1...block number was (-14252)
    flashfs[7]: erasing block 1...done.
    flashfs[7]: Checking block 2...block number was (-15586)
    flashfs[7]: erasing block 2...done.
    flashfs[7]: Checking block 3...block number was (5589)
    flashfs[7]: erasing block 3...done.
    flashfs[7]: Checking block 4...block number was (4680)
    flashfs[7]: erasing block 4...done.
    flashfs[7]: Checking block 5...block number was (-21657)
    flashfs[7]: erasing block 5...done.
    flashfs[7]: Checking block 6...block number was (-28397)
    flashfs[7]: erasing block 6...done.
    flashfs[7]: Checking block 7...block number was (2198)
    flashfs[7]: erasing block 7...done.
    flashfs[7]: Checking block 8...block number was (-26577)
    flashfs[7]: erasing block 8...done.
    flashfs[7]: Checking block 9...block number was (30139)
    flashfs[7]: erasing block 9...done.
    flashfs[7]: Checking block 10...block number was (-17027)
    flashfs[7]: erasing block 10...done.
    flashfs[7]: Checking block 11...block number was (-2608)
    flashfs[7]: erasing block 11...done.
    flashfs[7]: Checking block 12...block number was (18180)
    flashfs[7]: erasing block 12...done.
    flashfs[7]: Checking block 13...block number was (0)
    flashfs[7]: erasing block 13...done.
    flashfs[7]: Checking block 14...block number was (29271)
    flashfs[7]: erasing block 14...done.
    flashfs[7]: Checking block 15...block number was (0)
    flashfs[7]: erasing block 15...done.
    flashfs[7]: Checking block 61...block number was (0)
    flashfs[7]: erasing block 61...done.
    flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0
    flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0
    flashfs[7]: 9 files, 3 directories
    flashfs[7]: 0 orphaned files, 0 orphaned directories
    flashfs[7]: Total bytes: 15998976
    flashfs[7]: Bytes used: 10240
    flashfs[7]: Bytes available: 15988736
    flashfs[7]: flashfs fsck took 58 seconds.
    flashfs[7]: Initialization complete.
    
    Saving the datafile
    !
    Saving a copy of old datafile for downgrade
    !
    Saving the configuration
    !
    Saving a copy of old configuration as downgrade.cfg
    !
    Saved the activation key from the flash image
    Saved the default firewall mode (single) to flash
    The version of image file in flash is not bootable in the current version of
    software.
    Use the downgrade command first to boot older version of software.
    The file is being saved as image_old.bin anyway.
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Upgrade process complete
    Need to burn loader....
    Erasing sector 0...[OK]
    Burning sector 0...[OK]
    Erasing sector 64...[OK]
    Burning sector 64...[OK]
    
    Licensed features for this platform:
    Maximum Physical Interfaces : 6         
    Maximum VLANs               : 25        
    Inside Hosts                : Unlimited 
    Failover                    : Active/Active
    VPN-DES                     : Enabled   
    VPN-3DES-AES                : Enabled   
    Cut-through Proxy           : Enabled   
    Guards                      : Enabled   
    URL Filtering               : Enabled   
    Security Contexts           : 2         
    GTP/GPRS                    : Disabled  
    VPN Peers                   : Unlimited 
    
    This platform has an Unrestricted (UR) license.
    
    Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
      --------------------------------------------------------------------------
                                     .            .                             
                                     |            |                             
                                    |||          |||                            
                                  .|| ||.      .|| ||.                          
                               .:||| | |||:..:||| | |||:.                       
                                C i s c o  S y s t e m s                        
      --------------------------------------------------------------------------
    
    Cisco PIX Security Appliance Software Version 7.0(1) 
    
      ****************************** Warning *******************************
      This product contains cryptographic features and is
      subject to United States and local country laws
      governing, import, export, transfer, and use.
      Delivery of Cisco cryptographic products does not
      imply third-party authority to import, export,
      distribute, or use encryption. Importers, exporters,
      distributors and users are responsible for compliance
      with U.S. and local country laws. By using this
      product you agree to comply with applicable laws and
      regulations. If you are unable to comply with U.S.
      and local laws, return the enclosed items immediately.
    
      A summary of U.S. laws governing Cisco cryptographic
      products may be found at:
      http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
    
      If you require further assistance please contact us by
      sending email to export@cisco.com.
      ******************************* Warning *******************************
    
    Copyright (c) 1996-2005 by Cisco Systems, Inc.
    
                    Restricted Rights Legend
    
    Use, duplication, or disclosure by the Government is
    subject to restrictions as set forth in subparagraph
    (c) of the Commercial Computer Software - Restricted
    Rights clause at FAR sec. 52.227-19 and subparagraph
    (c) (1) (ii) of the Rights in Technical Data and Computer
    Software clause at DFARS sec. 252.227-7013.
    
                    Cisco Systems, Inc.
                    170 West Tasman Drive
                    San Jose, California 95134-1706
    
    
    !--- These messages are printed for any deprecated commands.
    
    .ERROR: This command is no longer needed. The LOCAL user database is always enabled.
     *** Output from config line 71, "aaa-server LOCAL protoco..."
    ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
     *** Output from config line 76, "floodguard enable"
    
    Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303 
    
    !--- All current fixups are converted to the 
    !--- new Modular Policy Framework.
    
    INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
    INFO: converting 'fixup protocol ftp 21' to MPF commands
    INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
    INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
    INFO: converting 'fixup protocol http 80' to MPF commands
    INFO: converting 'fixup protocol ils 389' to MPF commands
    INFO: converting 'fixup protocol netbios 137-138' to MPF commands
    INFO: converting 'fixup protocol rsh 514' to MPF commands
    INFO: converting 'fixup protocol rtsp 554' to MPF commands
    INFO: converting 'fixup protocol sip 5060' to MPF commands
    INFO: converting 'fixup protocol skinny 2000' to MPF commands
    INFO: converting 'fixup protocol smtp 25' to MPF commands
    INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
    INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
    INFO: converting 'fixup protocol tftp 69' to MPF commands
    INFO: converting 'fixup protocol sip udp 5060' to MPF commands
    INFO: converting 'fixup protocol xdmcp 177' to MPF commands
      ************************************************************************
      **                                                                    **
      **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
      **                                                                    **
      **          ----> Current image running from RAM only! <----          **
      **                                                                    **
      **  When the PIX was upgraded in Monitor mode the boot image was not  **
      **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
      **  save a bootable image to Flash.  Failure to do so will result in  **
      **  a boot loop the next time the PIX is reloaded.                    **
      **                                                                    **
      ************************************************************************
    Type help or '?' for a list of available commands.
    pixfirewall>
    pixfirewall>enable
    Password:
    <password>
    
    pixfirewall# 
    pixfirewall#copy tftp flash
    
    Address or name of remote host []? 172.18.173.123
    
    Source filename []? pix701.bin
    
    Destination filename [pix701.bin]? 
    <enter>
    
    
    Accessing tftp://172.18.173.123/pix701.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Writing file flash:/pix701.bin...
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    5124096 bytes copied in 139.790 secs (36864 bytes/sec)
    pixfirewall#

Converta nomes da relação do software de PIX 7.0 de Cisco ao formato de Cisco ASA

A próxima etapa no processo é editar a configuração off line recentemente convertida do software de PIX 7.0-based de Cisco.

Desde que a convenção de nomeação da relação de Cisco ASA é diferente das ferramentas de segurança de Cisco PIX, você precisa de fazer mudanças na configuração de PIX de Cisco antes que você copie/transferência de arquivo pela rede ele a sua ferramenta de segurança do 5500 Series de Cisco ASA.

Termine estas etapas a fim fazer as alterações de nome da relação na configuração de PIX:

  1. Copie a configuração nova do software de PIX 7.0-based de Cisco off line. A fim fazer isto, transfira arquivos pela rede a configuração a um servidor FTP TFTP/ou copie a configuração de uma sessão de console a um editor de texto.

    A fim transferir arquivos pela rede a configuração de PIX a um servidor FTP TFTP/, do console, emite este comando:

    copy startup−config tftp://n.n.n.n/PIX7cfg.txt
        or
    copy startup−config ftp://n.n.n.n/PIX7cfg.txt
    
  2. Uma vez o arquivo de configuração do software de PIX 7.0-based de Cisco transfere arquivos pela rede com sucesso ao servidor FTP TFTP/(ou é colado/copiado a um editor de texto), ao bloco de notas/WordPad aberto ou a todo o editor de texto favorito a fim mudar os nomes da relação na configuração de PIX.

    Interfaces numeradas das ferramentas de segurança de Cisco PIX de 0 às interfaces numeradas das ferramentas de segurança do 5500 Series N. Cisco ASA baseadas em seus lugar/entalhe. As relações encaixadas são numeradas de 0/0 a 0/3, e a interface de gerenciamento é o Gerenciamento 0/0. As relações no módulo 4GE SS são numeradas de 1/0 a 1/3.

    Cisco ASA 5510 com uma licença baixa que execute 7.0 tem três portas de Ethernet rápidas (0/0 a 0/2) mais a relação do Gerenciamento 0/0 disponível. Cisco ASA 5510 com uma Segurança mais a licença tem todas as cinco interfaces rápidas de Ethernet disponíveis. Cisco ASA 5520 e 5540 tem quatro portas de Ethernet Gigabit e uma porta de gerenciamento do Fast Ethernet. Cisco ASA 5550 tem oito portas de Ethernet Gigabit e uma porta de Ethernet rápida.

    Mude os nomes da relação na configuração de PIX ao formato da relação ASA.

    por exemplo:

       
       Ethernet0 ==> Ethernet0/0
       Ethernet1 ==> Ethernet0/1
       GigabitEthernet0 ==> GigabitEthernet0/0
    

    Refira a seção configurando dos parâmetros da relação do guia do comando line configuration do dispositivo do Cisco Security, versão 7.0 para mais informação.

Copie a configuração do PIX ao ASA

Neste momento, você tem uma configuração do software de PIX 7.0-based de Cisco com os nomes da relação alterou pronto para ser copiado ou transferido arquivos pela rede a seu Cisco ASA o 5500 Series. Há duas maneiras de carregar a configuração do software de PIX 7.0-based de Cisco ao dispositivo do 5500 Series de Cisco ASA.

Termine as etapas no método 1: Cópia/pasta ou método manual 2: Transferência do TFTP/FTP.

Método 1: Cópia/pasta manuais

Copie a configuração com a cópia/método da pasta do console de PIX:

  1. Registre em Cisco ASA o 5500 Series através do console e emita o comando clear config all a fim cancelar a configuração antes que você cole a configuração alterada do software de PIX 7.0 de Cisco.

    ASA#config t
    ASA(config)#clear config all
    
  2. A cópia e cola a configuração ao console ASA, e salvar a configuração.

    Nota: Certifique-se de que todas as relações estão em nenhum estado de fechamento antes que você comece testar.

Método 2: Transferência do TFTP/FTP

O segundo método é transferir a configuração do software de PIX 7.0-based de Cisco de um servidor FTP TFTP/. Para esta etapa, você precisa de configurar a interface de gerenciamento no dispositivo do 5500 Series de Cisco ASA para a transferência TFTP/FTP:

  1. Do console ASA, emita isto:

    ASA#config t
    ASA(config)#interface management 0
    ASA(config)#nameif management
    ASA(config)#ip add <n.n.n.n> <netmask>
    ASA(config)#no shut
    

    Nota: <next-hop> (opcional) do <mask> do <ip> do Gerenciamento da rota

  2. Uma vez que a interface de gerenciamento se estabelece, você pode transferir a configuração de PIX ao ASA:

    ASA(Config)#copy tftp://<n.n.n.n>/PIX7cfg.txt running-config
    
  3. Salve a configuração.

Aplique uma configuração da versão de software de PIX 6.x à versão de software 7.x ASA

A conversão de um PIX 6.2 ou a configuração 6.3 a uma ferramenta de segurança nova ASA é um processo manual. O administrador ASA/PIX é exigido converter a sintaxe PIX 6.x para combinar a sintaxe ASA e para datilografar os comandos na configuração ASA. Você pode recortar e colar alguns comandos, como o comando access-list. Seja certo comparar proximamente o PIX 6.2 ou a configuração 6.3 à configuração nova ASA a fim assegurar-se de que nenhum erro esteja feito na conversão.

Nota: A ferramenta Output Interpreter (clientes registrados somente) (OIT) pode ser usada a fim converter alguma do mais velho, unsupported, comandos como aplica-se, de partida ou conduíte à lista de acesso apropriada. As indicações convertidas precisam de ser revistas completamente. É necessário verificar que a conversão combina as políticas de segurança.

Nota: O processo para a elevação a um dispositivo novo ASA é diferente de uma elevação a uma ferramenta de PIX nova. Uma tentativa de promover a um ASA com o processo PIX gera um número de erros de configuração no ASA.

Pesquise defeitos - Conversão da configuração manual

Dispositivo colado no laço da repartição

  • Depois que você usa o método do flash de tftp da cópia a fim promover o PIX, e a repartição, obtém colada neste laço da repartição:

    Cisco Secure PIX Firewall BIOS (4.0) #0: 
    Thu Mar  2 22:59:20 PST 2000
    Platform PIX-515
    Flash=i28F640J5 @ 0x300
    
    Use BREAK or ESC to interrupt flash boot.
    Use SPACE to begin flash boot immediately.
    Reading 5063168 bytes of image from flash.   

    As ferramentas de PIX com versões da BIOS mais cedo de 4.2 não podem ser promovidas com o uso do comando copy tftp flash. Você deve promovê-los com o método de modo do monitor.

  • Depois que o PIX executa 7.x, e repartições, obtém colado neste laço da repartição:

    Rebooting....
    
    Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar�2 22:59:20 PST 2000
    Platform PIX-515
    Flash=i28F640J5 @ 0x300
    
    Use BREAK or ESC to interrupt flash boot.
    Use SPACE to begin flash boot immediately.
    Reading 115200 bytes of image from flash.�
    
    PIX Flash Load Helper
    
    Initializing flashfs...
    flashfs[0]: 10 files, 4 directories
    flashfs[0]: 0 orphaned files, 0 orphaned directories
    flashfs[0]: Total bytes: 15998976
    flashfs[0]: Bytes used: 1975808
    flashfs[0]: Bytes available: 14023168
    flashfs[0]: Initialization complete.
    
    Unable to locate boot image configuration
    
    Booting first image in flash
    
    No bootable image in flash. Please download 
    an image from a network server in the monitor mode
    
    Failed to find an image to boot
    

    Se o PIX está promovido do modo de monitor a 7.0, mas a imagem 7.0 não está reproduzida no flash após a primeira bota de 7.0, a seguir quando o PIX é recarregado, torna-se colada em um laço da repartição.

    A definição é carregar outra vez a imagem do modo de monitor. Depois que carreg, você deve copiar a imagem mais uma vez com o uso do método do flash de tftp da cópia.

Mensagem de erro

Quando você promove com o método do flash de tftp da cópia, você vê este Mensagem de Erro:

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? y
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Insufficient flash space available for this request:
Size info: request:5066808 current:1966136 delta:3100672 free:2752512
Image not installed
pixfirewall# 

Esta mensagem aparece tipicamente quando o PIX 515 ou um PIX 535 com o PDM já instalado são promovidos com o método do flash de tftp da cópia.

Elevação com o método de modo do monitor a fim resolver isto.

A configuração não parece correta

Depois que você promove o PIX de 6.x a 7.x, alguma da configuração não migra corretamente.

A saída do comando show startup-config errors mostra todos os erros que ocorram durante a migração da configuração. Os erros aparecem nesta saída depois que você carreg o PIX pela primeira vez. Examine estes erros e tente resolvê-los.

Alguns serviços tais como o FTP não funcionam

Ocasionalmente, alguns serviços tais como o FTP não funcionam após uma elevação.

A inspeção para estes serviços não é permitida após a elevação. Permita a inspeção para os serviços apropriados. A fim fazer isto, adicionar-los para optar/política global da inspeção ou criar uma política separada da inspeção para o serviço desejado.

Refira a seção de aplicação da inspeção do protocolo de camada do aplicativo do guia do comando line configuration do dispositivo do Cisco Security, versão 7.0 para obter mais informações sobre das políticas da inspeção.

Incapaz de alcançar o Internet quando a ferramenta de segurança de Cisco PIX for substituída com a ferramenta de segurança adaptável de Cisco (o ASA)

Use esta seção se você é incapaz de alcançar o Internet depois que você substitui a ferramenta de segurança de Cisco PIX com a ferramenta de segurança adaptável de Cisco (ASA).

Quando você desconecta o PIX da rede e anexa o ASA na rede com um endereço IP de Um ou Mais Servidores Cisco ICM NT da interface externa que seja o mesmo que a interface externa do PIX, o roteador fluxo acima ainda tem o endereço MAC para o PIX que corresponde ao endereço IP de Um ou Mais Servidores Cisco ICM NT da interface externa. Em consequência, não pode enviar os pacotes de resposta de volta ao ASA. Para que o ASA trabalhe, você deve cancelar a entrada de ARP no roteador fluxo acima de modo que aprenda entrada de endereço MAC nova/correta. Se você lava as entradas de ARP quando você planeia substituir o PIX com o ASA, resolve a edição da conectividade de Internet. O resplendor da entrada de ARP deve ser feito pelo ISP em sua extremidade.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 91976