Segurança : Dispositivos de segurança Cisco PIX 500 Series

Atualizando Software para o Cisco Secure PIX Firewall e PIX Device Manager

23 Março 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (26 Setembro 2008) | Feedback


Observação: Este documento explica como fazer a atualização do software em um PIX 500 Series Security Appliance. Para o download do software do PIX, consulte o Centro de Software (clientes registrados somente) . É necessário fazer o logon e ter em vigor um contrato de serviço válido para ter acesso ao software do PIX.


Índice

Introdução
Antes de Iniciar
     Requisitos
     Componentes Usados
     Convenções
     Determine o Procedimento de Atualização
     Fazer download do software
Atualize as Versões 4.x.x ou 5.0.x.x do PIX Firewall.
     Ferramenta com Unidade de Disquete
     Ferramentas sem Unidade de Disquete (Modo de Monitor)
     Atualização do PIX Firewall a partir do Boothelper ou do Modo de Monitor
Faça a atualização da versão 5.1.1 do PIX Firewall (ou mais recente).
     Use o comando copy tftp Flash para fazer a Atualização do PIX.
     Faça a atualização dos PIX Devices no conjunto de failover com tempo ocioso mínimo.
Recuperação de Falha na Atualização.
Faça a atualização da Chave de Ativação
     Dispositivos de PIX para versões 6.1 e anteriores.
     Dispositivos do PIX executando versões 6.2 e 6.3.
Faça a atualização do PIX Device Manager
Obtenha um Contrato Válido de Serviços
Solução de Problemas

Introdução

Este documento explica como fazer a atualização do software do PIX Firewall e como fazer a atualização do PIX Device Manager (PDM). Este documento é relevante para todas versões do PIX Firewall Software versões 4.x a 6.3.x.

Observação: Este documento não abrange atualizações para a versão 7.x. Para mais informações sobre isso, consulte o Cisco Secure PIX Security Appliance 7.x e o ASDM Software Upgrade Procedure para a versão 7.x, e o Adaptive Security Device Manager (ASDM).

Antes de Iniciar

Requisitos

Verifique se estes requisitos são atendidos antes de tentar esta configuração:

  • Configure o servidor TFTP

    Na maioria dos casos é necessário usar um servidor TFTP para fazer a atualização do software do PIX Security Appliance. A Cisco recomenda fazer o back up da configuração do PIX para um servidor TFTP antes da atualização. Execute o comando write net para fazer o backup de sua configuração.

    Por exemplo:

    pixfirewall# write net 10.1.1.10:pixconfig
                   

    A Cisco não fornece mais um servidor TFTP para download, mas existem muitas opções gratuitas e de uso simples que podem ser encontradas com um engine de pesquisa.

  • Obtena as Informações Necessárias

    Para determinar qual atualização de software funciona com seu PIX Security Appliance, reúna as especificações do dispositivo. Algumas vezes é necessário ter a chave de ativação do PIX à mão durante o procedimento de atualização. Execute o comando show version para obter a informação necessária sobre o dispositivo.

    Por exemplo:

    pixfirewall# show version
    
    Cisco PIX Firewall Version 6.3(4)
    Cisco PIX Device Manager Version 3.0(2)
    
    Compiled on Fri 02-Jul-04 00:07 by morlee
    
    pixfirewall up 29 mins 18 secs
    
    Hardware:   PIX-501, 16 MB RAM, CPU Am5x86 133 MHz
    Flash E28F640J3 @ 0x3000000, 8MB
    BIOS Flash E28F640J3 @ 0xfffd8000, 128KB
    
    0: ethernet0: address is 0015.2b95.f95c, irq 9
    1: ethernet1: address is 0015.2b95.f95e, irq 10
    Licensed Features:
    Failover:                    Disabled
    VPN-DES:                     Enabled
    VPN-3DES-AES:                Enabled
    Maximum Physical Interfaces: 2
    Maximum Interfaces:          2
    Cut-through Proxy:           Enabled
    Guards:                      Enabled
    URL-filtering:               Enabled
    Inside Hosts:                Unlimited
    Throughput:                  Unlimited
    IKE peers:                   10
    
    This PIX has a Restricted (R) license.
    
    Serial Number: 809324870 (0x303d5146)
    Running Activation Key: 0x96cb328a 0x15e9aeaf 0xddb832cf 0xb906199e
    Configuration last modified by enable_15 at 07:52:05.707 UTC Tue Jul 11 2006

    Além disso, leia as release notes que forem relevantes para a versão do software do PIX documentação do Cisco PIX 500 Series Security Appliance.

Componentes Usados

As informações neste documento são baseadas nestas versões de hardware e software:

  • PIX Software versão 4.4(x) - 2 MB de Flash, 16 MB de RAM

  • PIX Software versão 5.0(x) - 2 MB de Flash, 32 MB de RAM

  • PIX Software versão 5.1(x) - 2 MB de Flash, 32 MB de RAM

  • PIX Software versão 5.2(x) - 8 MB de Flash, 32 MB de RAM

  • PIX Software versão 5.3(x) - 8 MB de Flash, 32 MB de RAM

  • PIX Software versão 6.0(x) - 8 MB de Flash, 32 MB de RAM

  • PIX Software versão 6.1(x) - 8 MB de Flash, 32 MB de RAM

  • PIX Software versão 6.2(x) - 8 MB de Flash, 32 MB de RAM

  • O PIX Software versão 6.3(x) - 32 MB RAM (exceto o Cisco PIX 501 Security Appliance, que requer 16 MB RAM) e o 16 MB Flash (exceto os modelos Cisco PIX 501, 506 e 506E Security Appliance, que requerem 8 MB Flash).

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento foram iniciados com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto potencial de todos os comandos.

Convenções

Para obter mais informações sobre convenções de documentos, consulte Convenções e Dicas Técnicas da Cisco.

Determine o Procedimento de Atualização

Encontre o modelo do PIX Firewall e a versão atual do software nesta tabela. Selecione então o link para ver as instruções de como fazer a atualização do PIX Firewall.

 

Versão Atual do PIX Software

Modelo de PIX

4.4(x), anteriores e 5.0(x)

5.1(x)

5.2(x)

5.3(x)

6.0(x)

6.1(x), 6.2(x) e 6.3(x)

Clássico de PIX

boothelper

copy tftp flash

copy tftp flash

copy tftp flash

descontinuado

descontinuado

PIX 10000

boothelper

copy tftp flash

copy tftp flash

copy tftp flash

descontinuado

descontinuado

PIX 501

Não aplicável

Não aplicável

Não aplicável

Não aplicável

Não aplicável

copy tftp flash

PIX 506

Não aplicável

copy tftp flash

copy tftp flash

copy tftp flash

copy tftp flash

copy tftp flash

PIX 510

boothelper

copy tftp flash

copy tftp flash

copy tftp flash

Descontinuado

Descontinuado

PIX 515

monitor

copy tftp flash

copy tftp flash

copy tftp flash

copy tftp flash

copy tftp flash

PIX 520

boothelper

copy tftp flash

copy tftp flash

copy tftp flash

copy tftp flash

copy tftp flash

PIX 525

Não aplicável

Não aplicável

copy tftp flash

copy tftp flash

copy tftp flash

copy tftp flash

PIX 535

Não aplicável

Não aplicável

Não aplicável

copy tftp flash

copy tftp flash

copy tftp flash

Observação: O PIX Firewall Classic, 10000 e 510 foram descontinuados e não podem executar a versão 6.0 do PIX Firewall Software version 6.0 ou mais recente. Se você tiver um PIX Classic 10000 ou 510, e quiser executar o software PIX Firewall 6.0 ou mais recente, entre em contato com a Equipe de Conta da Cisco local ou com o Revendedor para adquirir um PIX Firewall mais novo.

Fazer download do software

O PIX Security Appliance Software somente está disponível para usuários com uma conta CCO e contrato de serviços associados. Consulte o comando Software Center (clientes registrados somente) para fazer o download do software de PIX. Você precisa fazer o logon para ter acesso ao software do PIX

Atualize as Versões 4.x.x ou 5.0.x.x do PIX Firewall.

Ferramenta com Unidade de Disquete

As etapas são aplicáveis apenas aos dispositivos PIX que têm uma unidade de disquete. Especificamente, esse grupo limita-se ao PIX Classic, ao 10000, ao 510 e ao 520.

Complete essas etapas para criar um disquete inicializável no Windows.

  1. Vá para a página do PIX Software Download (clientes registrados somente) e faça o download do utilitário rawrite.exe. Use este utilitário para escrever um imagem binária do PIX em um disquete flexível.

  2. Faça o download da imagem binária do PIX (.bin file) correspondente à versão do software para a qual você pretende fazer a atualização. Os nomes dos arquivos de imagem PIX estão no formato pixnnx.bin, sendo que nn é o número da versão e x é o número do aviso da versão.

    Exemplo: O arquivo pix611.bin serve para o PIX Software versão 6.1.1.

  3. Faça o download do arquivo binário do boothelper correspondente à versão 5.2 do PIX Software, ou mais recente, se este tiver sido seu atualização.

    Exemplo: Se tiver feito a atualização do PIX Software versão 4.4(8) a 6.1(1), faça o download dos três arquivos seguintes:

    • rawrite.exe

    • pix611.bin

    • bh61.bin

  4. Localize um disquete de alta densidade formatado pela IBM e que não contenha arquivos.

    Observação: Não use o disquete de inicialização do PIX Firewall que veio com sua cópia original do PIX Firewall. Essse disquete será necessário para recuperação do sistema na reinstalação da versão original. O programa rawrite.exe apaga todos os arquivos do disquete.

    Para formatar o disquete usando Windows escolha a formatação completa em vez da rápida. O formato rápido não prepara o disquete adequadamente para rawrite. O melhor modo de formatar o disquete é a partir do prompt de comando do MS-DOS. Execute o comando format a:, em que a é a letra da unidade de disquete onde o disquete está colocado.

  5. Coloque um disquete vazio na unaidade de disquete de seu computador e gere um prompt do DOS. Mude para o diretório onde foi salvo o utilitário rawrite.exe e os arquivos do PIX.

  6. Execute o programa rawrite.exe. Para fazer isso, execute o comando rawrite no prompt do DOS. Quando solicitado, digite o nome do arquivo que deseja gravar no disquete.

    Observação: Se seu atualização foi para o PIX Software versão 5.2 ou anterior, especifique o arquivo para a imagem do PIX propriamente dito. Está no formato pixnnx.bin. Se seu atualização foi para o PIX Software versão 5.2 ou mais recente, especifique o arquivo boothelper do PIX no formato bhnn.bin.

    Exemplo: Crie um disco inicializável no Windows.

    C:\>rawrite
    RaWrite 1.2 - Write disk file to raw floppy diskette
    Enter source file name: bh61.bin
    Enter destination drive: a:
    Please insert a formatted diskette into drive A: and press -ENTER- :
    Number of sectors per track for this disk is 18.
    Writing image to drive A:. Press ^C to abort.
    Track: 11 Head: 1 Sector: 16
    Feito.
    C:\>0
  7. Quando rawrite processo terminar, ejete o disquete e insira-o na unidade de disquete do PIX Farewall. Execute uma dessas ações para fazer o boot do PIX da imagem do disquete.

    • Ciclo de reinicialização do PIX.

      ou

    • Use o comutador de reinicialização do PIX.

      ou

    • Execute o comandoreload do console do PIX.

  8. Quando o PIX completar o reboot, execute a etapa apropriada listada:

    • Se seu atualização foi para o PIX Software versão 5.1 ou anterior, remova o disquete da unidade de disquete.

    • Se seu atualização foi para o PIX Sofware versão 5.2 ou mais recente, então quando você carregar o programa auxiliar de inicialização no disquete, o PIX será ativado no modo boothelper. Prossiga para a seção Atualização do PIX Firewall a partir do Boothelper ou do Modo de Monitor deste documento para completar a atualização.

Ferramentas sem Unidade de Disquete (Modo de Monitor)

Os dispositivos de PIX que não têm uma unidade de disco interna vêm com um programa monitor de inicialização de ROM que é usado para fazer a atualização da imagem do PIX Firewall. Complete esses passos para entrar no modo de monitor em dispositivos sem unidade de disquete.

  1. Faça o ciclo de reinicialização ou recarregue o PIX. Durante a inicialização você será solicitado a usar BREAK ou ESC para interromper a inicialização do Flash. Você tem 10 segundos para interromper o processo normal de inicialização.

  2. Pressione a chave ESC ou envie um caractere BREAK para entrar no modo de monitor.

    • Se você estiver usando o Windows HyperTerminal, pressione a tecla ESC ou envie um caractere BREAK, pressionando Ctrl+Break.

    • Se fizer a conexão por um Terminal Telnet para acessar a porta do console do PIX, pressione Ctrl ] para obter o prompt de comando do servidor Telnet. Entre com o comando send break .

  3. O monitor> exibe o alerta

  4. Prossiga para a seção Atualização do PIX Firewall a partir do Boothelper ou do Modo de Monitor deste documento.

Atualização do PIX Firewall a partir do Boothelper ou do Modo de Monitor

Observação: Certifique-se de ter seguido as instruções da seção Security Appliances com uma unidade de disquete ou Security Appliances sem uma unidade de disquete antes de prosseguir com as etapas a seguir.

Se seu atualização para o PIX foi da versão 5.0.x ou anterior para a versão 5.1.x ou mais recente, será necessário usar o método no modo boothelper ou no de monitor para a atualização. Isto porque antes da versão 5.1, o software PIX Firewall não oferecia um caminho para o TFTP de uma imagem diretamente no Flash. Complete essas etapas para fazer a atualização do PIX Security Appliances com ou sem uma unidade de disquete.

  1. Copie a imagem binária do PIX Firewall (pixnnn.bin) para o diretório raiz do servidor TFTP.

  2. Certifique-se, para o PIX Classic, 10000, 510 e 520, de ter seguido o procedimento para Criar um Disco Inicializável. Use o arquivo do boothelper que apresente a correspondência mais próxima da imagem PIX para a qual você está fazendo a atualização. Inicialize o PIX com o disquete de ajudante de inicialização para entrar no modo boothelper.

    Todos outros dispositivos do PIX (501, 506, 515, 525 e 535) não possuem uma unidade de disquete. Ao invés disso, eles têm um modo de monitor de inicialização interno. Consulte as instruções neste documento sobre como Entrar no modo Monitor no PIX 501, 506, 515, 525 e no 535.

    Uma vez no monitor, ou no modo boothelper, você pode usar ? para consultar a lista de opções disponíveis.

  3. Execute o comando interface number . O comando interface especifica em qual interface PIX o servidor TFTP está conectado. O padrão é interface 1 (interno).

    Observação: O PIX não pode inicializar uma interface Gigabit Ethernet do monitor nem no modo boothelper. Por isso use uma interface Fast Ethernet ou Token Ring.

  4. Execute o comando address pix_interface_ip_address . O comando address especifica o endereço IP da interface da unidade PIX.

  5. Execute o comando server tftp_server_ip_address . O comando server especifica o endereço IP do servidor TFTP.

  6. Execute o comando file filename . O comando file especifica o arquivo da imagem do PIX Firewall.

  7. Execute o comando ping tftp_server_ip_address . Use o comando ping para verificar a acessibilidade. Se esse comando falhar, verifique seus cabos, o endereço IP do servidor e do PIX, e o endereço IP do gateway (se necessário). Os pings devem ser bem sucedidos antes de você continuar.

    Observação: Execute o comando gateway para especificar o endereço IP de um gateway de roteador pelo qual é possível acessar o servidor.

                      gateway ip_address of the gateway interface
                      
                   
  8. Execute o comando tftp para fazer upload e download dos arquivos para um servidor TFTP.

  9. Após o download da imagem, você recebe uma solicitação para instalar a nova imagem. Entre y para instalar a imagem para o Flash.

  10. Ao ser solicitado a inserir uma nova chave de ativação, insira y se você desejar inserir uma nova chave de ativação, ou n para manter sua chave de ativação existente. Para mais informações sobre a chave de ativação e como conseguir uma nova, consulte a seção Atualização da Chave de Ativação neste documento.

  11. Se você usou o modo do boothelper, será solicitado a remover o disquete do boothelper. Você tem 30 segundos para remover o disquete antes da reinicialização automática do PIX. Remova o disquete agora. Quando o PIX for reinicializado, ele carregará a nova imagem a partir do Flash.

    Isso conclui o processo de atualização.

    Depois que o PIX foi atualizado para a versão 5.1 ou mais recente, é dispensável o uso de um disquete para carregar imagens no PIX. Na versão 5.1 e mais recentes do software PIX, o comando copy tftp flash torna possível fazer o TFTP para a nova imagem do PIX do servidor TFTP. Consulte Referências a Comandos PIX para mais detalhes.

Exemplo - Atualização do PIX Firewall a partir do Boothelper ou do Modo de Monitor

monitor>interface 1
0: i8255X @ PCI(bus:0 dev:14 irq:10)
1: i8255X @ PCI(bus:0 dev:13 irq:11)

Using 1: i82557 @ PCI(bus:0 dev:13 irq:11), MAC: 0002.b945.a23c
monitor>address 172.18.124.154
address 172.18.124.154
monitor>server 172.18.125.3
server 172.18.125.3
monitor>file pix611.bin 
file pix611.bin
monitor>ping 172.18.125.3 
Sending 5, 100-byte 0xcde2 ICMP Echoes to 172.18.125.3, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor>tftp
tftp pix611.bin@172.18.125.3..........................................
Received 2562048 bytes

Cisco Secure PIX Firewall admin loader (3.0) #0: Tue Dec  517:35:46 PST 2000
System Flash=E28F128J3 @ 0xfff00000
BIOS Flash=am29f400b @ 0xd8000
Flash version 6.1.1, Install version 6.1.1
Do you wish to copy the install image into flash? [n] y

Installing to flash

Serial Number: 480380761 (0x1ca20759)
Activation Key: 760754d0 39f62229 a4a0245f b5b87e80

Do you want to enter a new activation key? [n] n
Writing 2469944 bytes image into flash... 

Faça a atualização da versão 5.1.1 do PIX Firewall (ou mais recente).

Se a ferramenta PIX Security Appliance estiver executando a versão 5.1.1 ou mais recente do PIX Software, você poderá usar o comando copy tftp flash para fazer o download de uma imagem de software com TFTP. O comando copy tftp flash pode ser usado com qualquer modelo do PIX Firewall executando a versão 5.1.1 ou mais recente do PIX Software. A imagem obtida por download é disponibilizada para o PIX na próxima recarga (reinicialização). Consulte a Referências a Comandos PIX para mais informações sobre este comando.

Use o comando copy tftp Flash para fazer a Atualização do PIX.

Conclua estas etapas para fazer a atualização do PIX usando o comando copy tftp flash.

  1. Copie a imagem binária do PIX Firewall (pixnnn.bin) para o diretório raiz do servidor TFTP.

  2. Execute o comando copy tftp flash do prompt do PIX.

  3. Inserir o endereço IP do host remoto.

  4. Insira o nome de arquivo binário de PIX (tem o formato de nome nnn).

  5. Tipo yes.

Exemplo: use o comando copy tftp Flash para fazer a Atualização do PIX.

pixfirewall#copy tftp flash
Address or name of remote host [127.0.0.1]? 172.18.125.3
Source file name [cdisk]?pix611.bin
copying tftp://172.18.125.3/pix611.bin to flash
[yes|no|again]?yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 2562048 bytes.
Erasing current image.
Writing 2469944 bytes of image.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed.
pixfirewall# 

Faça a atualização dos PIX Devices no conjunto de failover com tempo ocioso mínimo.

Para usar esse procedimento, os dispositivos do PIX devem estar executando a versão 5.1.x ou mais recente do PIX Software. Estas instruções são válidas para todos os dispositivos PIX que podem ser executados em um conjunto de failover. Consulte How Failover Works on the Cisco Secure PIX Firewall (Como Funciona o Failover no Cisco Secure PIX Firewall) para obter mais informações sobre failover.

Duas opções diferentes são listadas para auxíliar o upgrade do PIX com mínimo tempo ocioso. A primeira opção é o modo mais seguro para fazer a atualização do seu conjunto de failover. Se ocorrer algum erro durante o processo de atualização você terá sempre um PIX operacional para passar seu tráfego de rede. A segunda opção é mais simples mas implica em maior risco. O risco está na possibilidade de que a nova imagem carregada nos dispositivos de PIX esteja corrompida de alguma maneira. As duas opções são apresentadas, assim você pode escolher o melhor método para a sua rede específica.

Observação: Se desejar fazer a atualização do conjunto de comutação 6.x para o 7.x, consulte o Upgrade PIX Appliances in a Failover Set seção Cisco Secure PIX Security Appliance 7.x and ASDM Software Upgrade Procedure.

Opção 1

A primeira opção é o modo mais seguro para fazer a atualização do seu conjunto de failover.

  1. Copie a imagem binária do PIX Firewall (pixnnn.bin) para o diretório raiz do servidor TFTP.

  2. Desligue o Principal (isso faz com que o Secundário fique ativo).

  3. Desconecte todos os cabos do principal (incluindo o cabo de failover).

  4. Ligue o Principal e conecte-o a um PC com servidor TFTP.

  5. Execute o comando copy tftp flash para fazer a atualização do Principal.

  6. Recarregue o Principal e verifique a nova versão e configuração.

  7. Desligue o Principal.

  8. Reconecte todos os cabos no Principal.

  9. Desligue rapidamente o Secundário e ligue imediatamente o Principal.

    Observação: Quando o Principal faz o boot há ocorrência de um período de tempo ocioso.

    Uma vez que o Principal esteja ligado ele está ativo e transmite o tráfego.

  10. Repita os passos de 2 a 7 para o Pix Secundário.

  11. Ligue o PIX Secundário. Ele aparece em Standby.

  12. Ambos dispositivos de PIX executam agora versão atualizada e as operações normais novamente.

Opção 2

O modo mais rápido para fazer a atualização do seu conjunto de failover é:

  1. Copie a imagem binária do PIX Firewall (pixnnn.bin) para o diretório raiz do servidor TFTP.

  2. Execute o comando copy tftp flash para copiar a nova imagem PIX ao Principal PIX.

  3. Execute o comando copy tftp flash para copiar a nova imagem PIX para o PIX Secundário.

  4. Desligue os dois dispositivos de PIX.

  5. Ligue o PIX Principal.

  6. Espere dez segundos. Isto garante que o PIX Principal fique sendo PIX Ativo.

  7. Ligue o PIX Secundário. Ele aparece em Standby.

  8. Ambos dispositivos de PIX executam agora versão atualizada e as operações normais novamente.

Recuperação de Falha na Atualização.

Complete essas etapas para recuperar o PIX quando houver uma atualização do PIX Sofware versão 6.x para 6.x qu resulte falha da atualização:

  1. Como já foi observado, assegure-se de fazer uma cópia de sua chave de ativação antes de executar esse procedimento.

  2. Siga esses passos para inicializar o PIX no monitor mode.

  3. Siga essas etapas para fazer a atualização do PIX do Monitor Mode e carregar o arquivo erasedisk.bin usando o TFTP. Você precisa obter este arquivo do Suporte Técnico da Cisco.

  4. Quando o sistema reinicializar faça o boot do PIX no modo monitor novamente.

  5. Siga essas etapas para fazer a atualização do PIX do Monitor Mode e carregar a nova versão 6.x do arquivo no PIX usando o TFTP.

Faça a atualização da Chave de Ativação

Existem algumas razões que podem levar à necessidade de fazer a atualização da chave de ativação do PIX:

  • O PIX usualmente não tem as criptografias de VPN-DES ou de VPN-3DES habilitadas.

    Observação: A criptografia VPN-DES deve ser habilitada para que você consiga gerenciar o PIX com o PDM. Para solicitar uma chave de ativação de atualização de 56 bits, acesse a página PIX 56-bit License Upgrade Key (somente clientes registrados) e preencha o formulário. Preencha a Cisco ASA 3DES/AES License Registration para solicitar uma chave de ativação AES/3DES.

  • Atualmente O PIX não tem o failover ativado.

  • A atualização é de uma licença baseada em conexão para uma licença baseada em recurso.

Caso uma das categorias acima falhe e seja obtida uma nova chave de ativação para o PIX, o próximo passo é conectar ao PIX, executar o comando show version e salvar a saída como um arquivo de texto. A saída do comando show version contém a versão existente, o número de série e a chave de ativação. Essas informações serão necessárias se houver algum problema ao fazer a atualização da chave de ativação.

A chave de ativação do PIX é baseada no seu número de série e é, portanto, uma única para cada PIX. A chave de ativação indica ao PIX para quais recursos ele está licenciado. O número de série do seu PIX é salvo em Flash. Se o cartão Flash do seu PIX for substituído, seu PIX terá novo número de série (diferente do número mostrado na etiqueta do lado de fora da caixa). Sempre use o número de série exibido como resultado do comando show version.

Observação: Você deve manualmente entrar com as chaves de ativação. Não use copiar e colar porque isso pode resultar em erros e fazer com que a chave de ativação falhe.

Observação:  Coloque números adicionais aos números de série de 9 dígitos que começam com o número 4 ou 8 para que eles fiquem com 11 dígitos. Por exemplo, o número 4xxxxxxxx aparece como 444xxxxxxxx na chave de ativação. Da mesma forma, o números que começam com 8 exigem que você adicione dois 8s adicionais.

Dispositivos de PIX para versões 6.1 e anteriores.

Siga as instruções para o Atualização do PIX Firewall a paprtir do Boothelper ou do Modo de Monitor se o PIX for executado com versões 6.1 ou anteriores. No passo 10, você é solicitado a inserir uma nova chave de ativação.

Dispositivos do PIX executando versões 6.2 e 6.3.

Execute o comando activation-key para mudar sua chave de ativação se o PIX estiver executando as versões 6.2 ou 6.3. Consulte o PIX Command Reference para mais informações.

Exemplo: Fazer a atualização da chave de ativação em um PIX que executa as versões 6.2 ou 6.3

pixfirewall(config)#activation-key 54bf4b80 b7237e20 05022c63 f09e3302
Updating flash...Done.
Serial Number: 480490644 (0x1ca3b494)

Flash Activation Key: 0x54bf4b80 0xb7237e20 0x05022c63 0xf09e3302
Licensed Features:
Failover:           Enabled
VPN-DES:            Enabled
VPN-3DES:           Enabled
Maximum Interfaces: 10
Cut-through Proxy:  Enabled
Guards:             Enabled
URL-filtering:      Enabled
Inside Hosts:       Unlimited
Throughput:         Unlimited
IKE peers:          Unlimited

The flash activation key has been modified.
The flash activation key is now DIFFERENT from the running key.
The flash activation key will be used when the unit is reloaded.
pixfirewall(config)#
pixfirewall(config)#reload
         

Faça a atualização do PIX Device Manager

O procedimento para fazer a atualização do PDM é o mesmo usado para a nova instalação. Para instruções detalhadas consulte o guia de instalação na documentação do produtos PDM para a versão apropriada.

Obtenha um Contrato Válido de Serviços

É necessário ter um contrato válido de serviços para fazer o download do software do PIX. Para obter um contrato de serviço válido execute os passos seguintes:

  • Contate a equipe da Cisco se você tiver um Contrato de Compra Direto.

  • Contate um parceiro ou revendedor da Cisco para comprar o contrato de serviços.

  • Use o Profile e Manager para atualizar seu perfil Cisco.com e aderir ao contrato de serviços.

Solução de Problemas

Problema:De pois de fazer a atualização, o usuário recebe a mensagem de erro Não é possível selecionar uma chave privada quando o PIX reinicializa.

Solução para contornar o problema: Regenerar a chave rsa para o SSH:

ca zero rsa
ca generate rsa key 1024
ca save all

write mem
reload

Para mais informações sobre a geração da chave SSH, consulte o PIX/ASA 7.x: Exemplo do SSH na configuração de interface externa e interna


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 4801