Segurança : Dispositivos de segurança Cisco PIX 500 Series

Procedimento de Atualização do Software Cisco Secure PIX Security Appliance 7.x e ASDM

2 Abril 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (13 Setembro 2013) | Inglês (16 Outubro 2008) | Feedback


Observação: Este documento explica como fazer a atualização do software em um PIX 500 Series Security Appliance. Para fazer o download do software do PIX, consulte a Central de Software (clientes registrados somente) . É necessário fazer o logon e ter um contrato de serviço válido para ter acesso ao software do PIX.


Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes Usados
     Requisitos Mínimos do Sistema
     Informações sobre Atualização de Memória para Aplicativos PIX 515/515E
     Convenções
Atualizar o PIX Security Appliance
     Downloads de Software
     Procedimento de Atualização
Atualizar o PIX Security Appliance a Partir do Modo de Monitor
     Entrar no Modo de Monitor
     Atualizar o PIX a Partir do Modo de Monitor
Atualizar o PIX Security Appliance Usando o Comando copy tftp flash
Downgrade do PIX 7.x para 6.x
Atualizar Aplicativos PIX em um Conjunto de Comutação
Instalar o Adaptive Security Device Manager (ASDM)
Solução de Problemas
     Ativar a Inspeção do FTP
Obtenha um Contrato Válido de Serviços
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Este documento explica como fazer a atualização do aplicativo PIX da versão 6.2 ou 6.3 para a versão 7.x. Ele também aborda a instalação do Adaptive Security Device Manager (ASDM) versão 5.0.

Pré-requisitos

Requisitos

Antes de iniciar esse procedimento de atualização, conclua estas tarefas.

  • Use o comando show running-config ou write net para salvar a configuração atual do PIX para um arquivo de texto ou um servidor TFTP.

  • Use o comando show version para exibir o número serial e a chave de ativação. Salve essa saída em um arquivo de texto. Se precisar reverter para uma versão mais antiga de código, você pode precisar da chave de ativação original. Para obter informações sobre chaves de ativação, consulte Perguntas Freqüentes sobre o PIX Firewall.

  • Certifique-se de que não existe nenhum comando conduit ou outbound na sua configuração atual. Não há mais suporte a esses comandos no 7.x e o processo de atualização irá removê-los. Use a ferramenta Output Interpreter (clientes registrados somente) para converter esses comandos em listas de acesso antes de tentar a atualização.

  • Certifique-se de que o PIX não termine conexões de Point to Point Tunneling Protocol (PPTP). O PIX 7.1 e mais recente não oferece suporte no momento à terminação PPTP.

  • Se você usar o Failover, certifique-se de que a interface LAN ou Stateful não esteja compartilhada com nenhum dado que passe interfaces. Por exemplo, se você usar a interface interna para passar tráfego de dados bem como para sua interface de falha Stateful (link de falha interno), você precisa mover a interface de falha Stateful para uma interface diferente antes de atualizar. Se não fizer isso, todas as configurações ligadas à interface interna serão removidas. Além disso, o tráfego de dados não passará pela interface após a atualização.

  • Certifique-se de que o PIX esteja executando a versão 6.2 ou 6.3 antes de continuar.

  • Leia as Notas de Versão relativas à versão para a qual você deseja atualizar para ficar ciente de todos os comandos novos, alterados e substituídos.

  • Consulte o Guia de Atualização para obter qualquer alteração adicional de comando entre as versões 6.x e 7.x.

Componentes Usados

As informações neste documento estão baseadas nestas versões de hardware e software:

  • PIX Security Appliance 515, 515E, 525 e 535

  • Software PIX versões 6.3(4), 7.0(1)

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento foram iniciados com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de conhecer o possível impacto de todos os comandos.

Requisitos Mínimos do Sistema

Antes de iniciar o processo de atualização para a versão 7.x, a Cisco recomenda que o PIX esteja executando a versão 6.2 ou mais recente. Isso garante que a configuração atual seja convertida adequadamente. Além disso, estes requisitos de hardware precisam estar implementados para se alcançar os requisitos mínimos de RAM e Flash:

Modelo do PIX

Requisitos de RAM

Requisitos de Flash

 

Restricted (R)

UnRestricted (UR) / Failover Only (FO)

 

PIX-515

64 MB*

128 MB*

16 MB

PIX-515 E

64 MB*

128 MB*

16 MB

PIX-525

128 MB

256 MB

16 MB

PIX-535

512 MB

1 GB

16 MB

* Todos os aplicativos PIX-515 e PIX-515E exigem uma atualização de memória.

Emita o comando show version para determinar a quantidade de RAM e Flash atualmente instalada no PIX. Nenhuma atualização de Flash é necessária, pois todos os aplicativos PIX nessa tabela possuem 16 MB instalados por padrão.

Observação: A versão 7.x só oferece suporte aos PIX Security Appliances nessa tabela. Os PIX Security Appliances mais antigos, como o PIX-520, 510, 10000 e o Classic foram descontinuados e não executam a versão 7.0 ou mais recente. Se você tiver um desses aplicativos e desejar executar o 7.x ou mais recente, entre em contato com a Equipe de Conta da Cisco local ou com o revendedor para adquirir um Security Appliance mais novo. Além disso, os PIX Firewalls com menos de 64 MB de RAM (PIX-501, PIX-506 e PIX-506E) não conseguem executar a versão 7.0 inicial.

Informações sobre Atualização de Memória para Aplicativos PIX 515/515E

As atualizações de memória são apenas necessárias para os aplicativos PIX-515 e PIX-515E. Consulte esta tabela para obter os números de peça que você precisa para atualizar a memória nesses aplicativos.

Observação: O número de peça depende da licença instalada no PIX.

Configuração Atual do Aplicativo

Solução de Atualização

Licença da Plataforma

Memória Total (antes da atualização)

Número de Peça

Memória Total (depois da atualização)

Restricted (R)

32 MB

PIX-515-MEM-32=

64 MB

Unrestricted (UR)

32 MB

PIX-515-MEM-128=

128 MB

Failover-Only (FO)

64 MB

PIX-515-MEM-128=

128 MB

Consulte o Boletim de Produto de Atualização de Memória do Aplicativo de Segurança Cisco PIX 515/515E para o PIX Software v7.0 para obter informações adicionais.

Convenções

Para obter mais informações sobre convenções de documentos, consulte Convenções e Dicas Técnicas da Cisco.

Atualizar o PIX Security Appliance

Downloads de Software

Visite o Cisco Software Center (clientes registrados somente) para fazer o download do software PIX 7.x. O software de servidor TFTP não está mais disponível na Cisco.com. No entanto, você pode encontrar vários servidores TFTP ao procurar "servidor tftp" na sua página de pesquisa da Internet. A Cisco não recomenda especificamente nenhuma implementação de TFTP. Para obter mais informações, consulte a Página de Servidor TFTP (clientes registrados somente) .

Procedimento de Atualização

Esteja ciente de que atualizar o seu PIX Security Appliance para a versão 7.x é uma grande mudança. A maior parte da CLI é modificada e, portanto, sua configuração após a atualização será bem diferente. Apenas atualize durante uma janela de manutenção, pois o processo de atualização exige um pouco de tempo ocioso. Se precisar reverter de volta para uma imagem 6.x, é necessário seguir os procedimentos de downgrade. Não fazer isso fará com que o PIX entre em um circuito de reinicialização contínua. Para continuar, localize o modelo do seu aplicativo PIX nesta tabela e selecione o link para visualizar as instruções sobre como atualizar.

Modelo do PIX

Método de Atualização

PIX-515

Monitor

PIX-515E

copy tftp flash

PIX-525

copy tftp flash

PIX-535 (Nenhum PDM instalado)

copy tftp flash

PIX-535 (PDM instalado)

Monitor

Atualizar o PIX Security Appliance a Partir do Modo de Monitor

Entrar no Modo de Monitor

Conclua estas etapas para entrar no modo de monitor no PIX.

  1. Conecte um cabo de console à porta de console no PIX usando estas configurações:

    • 9600 bits por segundo

    • 8 bits de dados

    • sem paridade

    • 1 bit de parada

    • sem controle de fluxo

  2. Ligue e desligue ou recarregue o PIX. Durante a inicialização, você será solicitado a usar BREAK ou ESC para interromper a inicialização do Flash. Você tem 10 segundos para interromper o processo normal de inicialização.

  3. Pressione a tecla ESC ou envie um caractere BREAK para entrar no modo de monitor.

    • Se você estiver usando o Windows Hyper Terminal, você pode pressionar a tecla ESC ou pressionar Ctrl+Break para enviar um caractere BREAK.

    • Se você realizar um Telnet através de um servidor terminal para acessar a porta do console do PIX, você precisará pressionar Ctrl+] (Control + colchete direito) para obter o prompt de comando do Telnet. Em seguida, insira o comando send break.

  4. O prompt monitor> aparece.

  5. Passe para a seção Atualizar o PIX a Partir do Modo de Monitor.

Atualizar o PIX a Partir do Modo de Monitor

Conclua estas etapas para atualizar seu PIX a partir do modo de monitor.

  1. Copie a imagem binária do aplicativo PIX (por exemplo, pix701.bin) para o diretório raiz do servidor TFTP.

  2. Insira o modo de monitor no PIX. Se você não tem certeza de como fazer isso, consulte as instruções sobre como entrar no modo de monitor neste documento.

    Observação: Quando estiver no modo de monitor, você pode usar a tecla "?" para ver uma lista de opções disponíveis.

  3. Digite o número da interface à qual o servidor TFTP está conectado ou da interface mais próxima ao servidor TFTP. O padrão é interface 1 (interno).

    monitor>interface <num>
                   

    Observação:  No modo de monitor, a interface sempre negocia automaticamente a velocidade e o duplex. As configurações de interface não podem ser codificadas. Sendo assim, se a interface do PIX estiver conectada em um switch com codificação de velocidade/duplex, então reconfigure-a para negociar automaticamente enquanto você estiver no modo de monitor. Esteja também ciente de que o aplicativo PIX não pode iniciar uma interface Gigabit Ethernet quando estiver no modo de monitor. Você precisa usar uma interface Fast Ethernet para isso.

  4. Digite o endereço IP da interface definida na etapa 3.

    monitor>address <PIX_ip_address>
                   
  5. Insira o endereço IP do servidor TFTP.

    monitor>server <tftp_server_ip_address>
                   
  6. (Opcional) Digite o endereço IP do seu gateway. É necessário um endereço de gateway se a interface do PIX não estiver na mesma rede que o servidor TFTP.

    monitor>gateway <gateway_ip_address>
                   
  7. Digite o nome do arquivo no servidor TFTP que você deseja carregar. Esse é o nome do arquivo da imagem binária do PIX.

    monitor>file <filename>
                   
  8. Execute o ping a partir do PIX para o servidor TFTP pra verificar a conectividade IP.

    Se o ping falhar, verifique os cabos, o endereço IP da interface do PIX e do servidor TFTP, além do endereço IP do gateway (caso necessário). Os pings devem ser bem-sucedidos antes de você continuar.

    monitor>ping <tftp_server_ip_address>
                   
  9. Digite tftp para iniciar o download do TFTP.

    monitor>tftp
                   
  10. O PIX faz o download da imagem para a RAM e reinicia automaticamente.

    Durante o processo de inicialização, o sistema de arquivo é convertido junto com sua configuração atual. No entanto, você ainda não terminou. Observe esta mensagem de aviso após reiniciar e continue na etapa 11:

    ******************************************************************
      **                                                                    **
      **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
      **                                                                    **
      **          ----> Current image running from RAM only! <----          **
      **                                                                    **
      **  When the PIX was upgraded in Monitor mode the boot image was not  **
      **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
      **  save a bootable image to Flash.  Failure to do so will result in  **
      **  a boot loop the next time the PIX is reloaded.                    **
      **                                                                    **
      ************************************************************************
  11. Quanto tiver reiniciado, digite o modo ativado e copie a mesma imagem para o PIX novamente. Dessa vez, use o comando copy tftp flash.

    Isso salva a imagem no sistema de arquivo Flash. Não executar essa etapa irá gerar um circuito de reinicialização na próxima vez que o PIX for carregado.

    pixfirewall>enable
    pixfirewall#copy tftp flash
                   

    Observação: Para obter instruções detalhadas sobre como copiar a imagem usando o comando copy tftp flash, consulte a seção Atualizar o PIX Security Appliance com o Comando copy tftp flash.

  12. Quando a imagem tiver sido copiada usando o comando copy tftp flash, o processo de atualização estará concluído.

Configuração de Exemplo – Atualizar o PIX Security Appliance a Partir do Modo de Monitor

monitor>interface 1 
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
2: i8255X @ PCI(bus:1 dev:0  irq:11)
3: i8255X @ PCI(bus:1 dev:1  irq:11)
4: i8255X @ PCI(bus:1 dev:2  irq:11)
5: i8255X @ PCI(bus:1 dev:3  irq:11)

Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81
monitor>address 10.1.1.2
address 10.1.1.2
monitor>server 172.18.173.123
server 172.18.173.123
monitor>gateway 10.1.1.1
gateway 10.1.1.1
monitor>file pix701.bin
file pix701.bin
monitor>ping 172.18.173.123
Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor>tftp
tftp pix701.bin@172.18.173.123..........................................
Received 5124096 bytes

Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar  7 17:39:03 PST 2005
#######################################################################
128MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 10  MAC: 0050.54ff.4d80
mcwa i82559 Ethernet at irq  7  MAC: 0050.54ff.4d81
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2014
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2015
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2016
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2017
BIOS Flash=AT29C257 @ 0xfffd8000
Old file system detected. Attempting to save data in flash


               !--- Esta saída indica que o sistema do arquivo
!--- Flash foi formatado. As mensagens são normais.
            
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-10627)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-14252)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-15586)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (5589)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (4680)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-21657)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-28397)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (2198)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-26577)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (30139)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (-17027)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (-2608)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (18180)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (0)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (29271)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (0)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 61...block number was (0)
flashfs[7]: erasing block 61...done.
flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0
flashfs[7]: 9 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 15998976
flashfs[7]: Bytes used: 10240
flashfs[7]: Bytes available: 15988736
flashfs[7]: flashfs fsck took 58 seconds.
flashfs[7]: Initialization complete.

Saving the datafile
!
Saving a copy of old datafile for downgrade
!
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
The version of image file in flash is not bootable in the current version of
software.
Use the downgrade command first to boot older version of software.
The file is being saved as image_old.bin anyway.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Processo de atualização concluído.
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
Erasing sector 64...[OK]
Burning sector 64...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs               : 25
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .
                                 |            |
                                |||          |||
                              .|| ||.      .|| ||.
                           .:||| | |||:..:||| | |||:.
                            C i s c o  S y s t e m s
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1)

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706


               !--- Estas mensagens são criadas para todos os comandos substituídos.
            
.ERROR: This command is no longer needed. The LOCAL user database is always enabled.
 *** Output from config line 71, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
 *** Output from config line 76, "floodguard enable"

Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303

               !--- Todas as correções atuais são convertidas ao
!--- novo Modular Policy Framework.
            
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
  ************************************************************************
  **                                                                    **
  **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
  **                                                                    **
  **          ----> Current image running from RAM only! <----          **
  **                                                                    **
  **  When the PIX was upgraded in Monitor mode the boot image was not  **
  **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
  **  save a bootable image to Flash.  Failure to do so will result in  **
  **  a boot loop the next time the PIX is reloaded.                    **
  **                                                                    **
  ************************************************************************
Type help or '?' for a list of available commands.
pixfirewall>
pixfirewall>enable
Password:
               <senha>
            
pixfirewall#
pixfirewall#copy tftp flash

Address or name of remote host []? 172.18.173.123

Source filename []? pix701.bin

Destination filename [pix701.bin]? 
               <enter>
            

Accessing tftp://172.18.173.123/pix701.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file flash:/pix701.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
5124096 bytes copied in 139.790 secs (36864 bytes/sec)
pixfirewall# 

Atualizar o PIX Security Appliance Usando o Comando copy tftp flash

Conclua estas etapas para fazer a atualização do PIX usando o comando copy tftp flash.

  1. Copie a imagem binária do aplicativo PIX (por exemplo, pix701.bin) para o diretório raiz do servidor TFTP.

  2. No prompt de ativação, emita o comando copy tftp flash.

    pixfirewall>enable
    Password:
                         <senha>
                      
    pixfirewall#copy tftp flash
                   
  3. Insira o endereço IP do servidor TFTP.

    Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
                   
  4. Digite o nome do arquivo no servidor TFTP que você deseja carregar. Esse é o nome do arquivo da imagem binária do PIX.

    Source file name [cdisk]?
                         <nome do arquivo>
                      
                   
  5. Quando solicitado a iniciar a cópia do TFTP, digite yes.

    copying tftp://172.18.173.123/pix701.bin to flash:image
    [yes|no|again]?yes
                   
  6. A imagem foi copiada do servidor TFTP para o Flash.

    Esta mensagem aparece e indica que a transferência foi bem sucedida, que a imagem binária antiga no Flash foi apagada e a nova imagem foi gravada e instalada.

    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Received 5124096 bytes
    Erasing current image
    Writing 5066808 bytes of image
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Image installed
    pixfirewall#
  7. Recarregue o aplicativo do PIX para reiniciar a nova imagem.

    pixfirewall#reload
    Proceed with reload? [confirm] 
                         <enter>
                      
    
    
    Rebooting....
  8. O PIX agora reinicia a imagem do 7.0 e isso conclui o processo de atualização.

Configuração de Exemplo – Atualizar o Aplicativo PIX com o Comando copy tftp flash

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall#
pixfirewall#reload
Proceed with reload? [confirm] 
               <enter>
            



Rebooting..ÿ

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
128 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 7192 Host BridgeÂ
00 07 00 8086 7110 ISA BridgeÂ
00 07 01 8086 7111 IDE ControllerÂ
00 07 02 8086 7112 Serial Bus 9
00 07 03 8086 7113 PCI BridgeÂ
00 0D 00 8086 1209 Ethernet 11
00 0E 00 8086 1209 Ethernet 10
00 13 00 11D4 2F44 Unknown Device 5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash.Â
######################################################################
######################################################################
128MB RAM

Total NICs found: 2
mcwa i82559 Ethernet at irq 11 MAC: 0009.4360.ed44
mcwa i82559 Ethernet at irq 10 MAC: 0009.4360.ed43
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


               !--- Esta saída indica que o sistema do arquivo
!--- Flash foi formatado. As mensagens são normais.
            
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-27642)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-30053)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-1220)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-22934)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (2502)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (29877)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-13768)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (9350)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-18268)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (7921)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (22821)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (7787)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (15515)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (20019)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-25094)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-7515)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (-10699)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (6652)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (-23640)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (23698)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (-28882)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (2533)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-966)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-22888)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (-9762)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (9747)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (-22855)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-32551)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-13355)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (-29894)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-18595)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (22095)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (1486)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (13559)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (24215)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (21670)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (-24316)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 7, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 12, parent_fileid 0
flashfs[7]: 5 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 5128192
flashfs[7]: Bytes available: 10999808
flashfs[7]: flashfs fsck took 59 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6Â
Maximum VLANs : 25Â
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : EnabledÂ
VPN-3DES-AES : EnabledÂ
Cut-through Proxy : EnabledÂ
Guards : EnabledÂ
URL Filtering : EnabledÂ
Security Contexts : 2Â
GTP/GPRS : DisabledÂ
VPN Peers : Unlimited

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC (IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5)
--------------------------------------------------------------------------
. .Â
| |Â
||| |||Â
.|| ||. .|| ||.Â
.:||| | |||:..:||| | |||:.Â
C i s c o S y s t e m sÂ
--------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1)

****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.

A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

               !--- Estas mensagens são criadas para todos os comandos substituídos.
            
ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 50, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 55, "floodguard enable"

Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255

               !--- Todas as correções atuais são convertidas no novo Modular Policy Framework.
            
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
pixfirewall>

Observação: Com a licença irrestrita, o PIX 515 E pode ter até oito VLANs e o PIX 535 podem ter até vinte e cinco VLANs.

Downgrade do PIX 7.x para 6.x

Os PIX Security Appliances das versões 7.0 e mais recentes usam um formato de arquivo Flash diferente do apresentado nas versões anteriores do PIX. Portanto, você não pode fazer downgrade de uma imagem do 7.0 para uma imagem 6.x usando o comando copy tftp flash. Em vez disso, você terá que usar o comando downgrade. Se não fizer isso, o PIX ficará preso a um circuito de reinicialização.

Quando o PIX foi originalmente atualizado, a configuração de inicialização 6.x foi salva no Flash como downgrade.cfg. Ao seguir esse procedimento de downgrade, essa configuração é restaurada para o dispositivo quando ele sofre downgrade. Essa configuração pode ser revisada antes do downgrade ao emitir o comando more flash:downgrade.cfg de um prompt enable> no 7.0. Além disso, se o PIX foi atualizado através do modo de monitor, então a imagem binária 6.x anterior ainda está salva no Flash como image_old.bin. Você pode verificar se essa imagem existe ao emitir o comando show flash:. Se a imagem existir no Flash, Você pode usá-la na etapa 1 desse procedimento em vez de carregar a imagem de um servidor TFTP.

Conclua estas etapas para fazer o downgrade do seu PIX Security Appliance.

  1. Digite o comando downgrade e especifique o local da imagem para a qual você deseja fazer o downgrade.

    pixfirewall#downgrade tftp://<tftp_server_ip_address>/<filename>
                   

    Observação: Se você atualizou o seu PIX a partir do modo de monitor, então a imagem binária antiga ainda estará salva no Flash. Emita este comando para fazer o downgrade de volta para a imagem:

    pixfirewall#downgrade flash:/image_old.bin
                   
  2. Uma mensagem de aviso aparece alertando que o Flash será formatado. Pressione enter para continuar.

    This command will reformat the flash and automatically reboot the system.
    Do you wish to continue? [confirm]  
                         <enter>
                      
                   
  3. A imagem agora foi copiada para a RAM e a configuração de inicialização também.

    Buffering image
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    
    Buffering startup config
    
    All items have been buffered successfully
  4. Uma segunda mensagem de aviso aparece indicando que o Flash será formatado. NÃO interrompa esse processo, caso contrário, o Flash poderá ser danificado. Pressione enter para continuar com a formatação.

    If the flash reformat is interrupted or fails,
    data in flash will be lost
    and the system might drop to monitor mode.
    Do you wish to continue? [confirm] 
                         <enter>
                      
                   
  5. Com o Flash formatado e a imagem antiga instalada, o PIX reinicia.

    Acquiring exclusive access to flash
    Installing the correct file system for the image and
    saving the buffered data
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Flash downgrade succeeded
    
    
    Rebooting....
  6. O PIX reinicia para o prompt normal. Isso conclui o processo de downgrade.

Configuração de Exemplo - Downgrade do PIX 7.x para 6.x

pixfirewall#downgrade tftp://172.18.108.26/pix634.bin
This command will reformat the flash and automatically reboot the system.
Do you wish to continue? [confirm] 
               <enter>
            
Buffering image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Buffering startup config

All items have been buffered successfully.
If the flash reformat is interrupted or fails, data in flash will be lost
and the system might drop to monitor mode.
Do you wish to continue? [confirm]
Acquiring exclusive access to flash
Installing the correct file system for the image and saving the buffered data
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Downgrade do Flash com êxito



Rebooting....


CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
128 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 7192 Host BridgeÂ
00 07 00 8086 7110 ISA BridgeÂ
00 07 01 8086 7111 IDE ControllerÂ
00 07 02 8086 7112 Serial Bus 9
00 07 03 8086 7113 PCI BridgeÂ
00 0D 00 8086 1209 Ethernet 11
00 0E 00 8086 1209 Ethernet 10
00 13 00 11D4 2F44 Unknown Device 5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 1962496 bytes of image from flash.Â
#################################################################################
##############################
128MB RAM
mcwa i82559 Ethernet at irq 11 MAC: 0009.4360.ed44
mcwa i82559 Ethernet at irq 10 MAC: 0009.4360.ed43
System Flash=E28F128J3 @ 0xfff00000
BIOS Flash=am29f400b @ 0xd8000
IRE2141 with 2048KB

-----------------------------------------------------------------------
|| ||
|| ||
|||| ||||
..:||||||:..:||||||:..
c i s c o S y s t e m s
Private Internet eXchange
-----------------------------------------------------------------------
Cisco PIX Firewall

Cisco PIX Firewall Version 6.3(4)
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES-AES: Enabled
Maximum Physical Interfaces: 6
Maximum Interfaces: 10
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited

This PIX has an Unrestricted (UR) license.


****************************** Warning *******************************
Compliance with U.S. Export Laws and Regulations - Encryption.

This product performs encryption and is regulated for export
by the U.S. Government.

This product is not authorized for use by persons located
outside the United States and Canada that do not have prior
approval from Cisco Systems, Inc. or the U.S. Government.

This product may not be exported outside the U.S. and Canada
either by physical or electronic means without PRIOR approval
of Cisco Systems, Inc. or the U.S. Government.

Persons outside the U.S. and Canada may not re-export, resell
or transfer this product by either physical or electronic means
without prior approval of Cisco Systems, Inc. or the U.S.
Government.
******************************* Warning *******************************

Copyright (c) 1996-2003 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706


Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255
Type help or '?' for a list of available commands.
pixfirewall>

Atualizar Aplicativos PIX em um Conjunto de Comutação

Uma atualização do aplicativo PIX 6.x para 7.x é uma grande atualização. Ela não pode ser realizada sem tempo ocioso, mesmo para PIXes em um conjunto de comutação. Muitos dos comandos de comutação são alterados com a atualização. O caminho de atualização recomendado é desativar um dos PIXes no conjunto de comutação. Em seguida, siga as instruções neste documento para atualizar o PIX ativado. Quando a atualização estiver concluída, verifique se o tráfego está passando e também reinicie o PIX uma vez para verificar se ele volta sem problemas. Quando estiver satisfeito com o funcionamento total, desative o PIX recentemente atualizado e ative o outro PIX. Siga as instruções neste documento para atualizar o PIX. Quando a atualização estiver concluída, verifique se o tráfego está passando. Além disso, reinicie o PIX uma vez para verificar se ele volta sem problemas. Quando estiver satisfeito com o funcionamento total, ative o outro PIX. Ambos os PIXes estão agora atualizados para o 7.x e ativados. Verifique se eles estão estabelecendo adequadamente comunicações de comutação usando o comando show failover.

Observação: O PIX agora estabelece a restrição de que qualquer interface que passe tráfego de dados também possa ser usada como a interface de comutação LAN ou a interface de comutação Stateful. Se a sua configuração atual do PIX tiver uma interface compartilhada que seja usada para passar tráfego normal bem como informações de comutação LAN ou informações Stateful, e se você atualizar, o tráfego de dados não vai mais passar por essa interface. Todos os comandos associados a essa interface também falharão.

Instalar o Adaptive Security Device Manager (ASDM)

Antes de instalar o ASDM, a Cisco recomenda que você leia as Notas de Versão relativas à versão que você planeja instalar. As Notas de Versão incluem os navegadores mínimos e as versões Java com suporte bem como uma lista de novos recursos com suporte e advertências abertas.

O processo de instalação do ASDM é ligeiramente diferente na versão 7.0 do que foi no passado. Além disso, quando o a imagem do ASDM é copiada para o Flash, você precisa especificá-la na configuração para que o PIX saiba como usá-la. Conclua estas etapas para instalar a imagem do ASDM no Flash.

  1. Faça o download da imagem do ASDM (clientes registrados somente) da Cisco.com e coloque-a no diretório raiz do seu servidor TFTP.

  2. Verifique se o seu PIX possui conectividade IP ao seu servidor TFTP. Para fazer isso, faça o ping no servidor TFTP a partir do PIX.

  3. No prompt de ativação, emita o comando copy tftp flash.

    pixfirewall>enable
    Password: 
                         <senha>
                      
    pixfirewall#copy tftp flash
                   
  4. Insira o endereço IP do servidor TFTP.

    Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
                   
  5. Digite o nome do arquivo ASDM no servidor TFTP que você deseja carregar.

    Source file name [cdisk]? <nome do arquivo>
                   
  6. Digite o nome do arquivo ASDM que você planeja salvar no Flash. Pressione enter para manter o mesmo nome de arquivo.

    Destination filename [asdm-501.bin]? <enter>
                   
  7. A imagem foi copiada do servidor TFTP para o Flash. Estas mensagens aparecem e indicam que a transferência foi bem sucedida.

    Accessing tftp://172.18.173.123/asdm-501.bin...
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!
    Writing file flash:/asdm-501.bin...
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!
    5880016 bytes copied in 140.710 secs (42000 bytes/sec)
  8. Após a imagem do ASDM ter sido copiada, emita o comando asdm image flash: para especificar a imagem do ASDM a ser usada.

    pixfirewall(config)#asdm image flash:asdm-501.bin
                   
  9. Salve a configuração no Flash usando o comando write memory.

    pixfirewall(config)#write memory
                   
  10. Isso conclui o processo de instalação do ASDM.

Solução de Problemas

Sintoma

Resolução

Após usar o método copy tftp flash para atualizar o PIX e reiniciar, ele fica preso a este circuito de reinicialização:

                  Cisco Secure PIX Firewall BIOS (4.0) #0:
Thu Mar  2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash.   

Os aplicativos PIX com versões BIOS anteriores à 4.2 não podem ser atualizados usando o comandocopy tftp flash. Você precisa atualizá-los usando o método de modo de monitor .

Após o PIX executar o 7.0 e reiniciar, ele fica preso neste circuito de reinicialização:

Rebooting....

Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 115200 bytes of image from flash.Â

PIX Flash Load Helper

Initializing flashfs...
flashfs[0]: 10 files, 4 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 15998976
flashfs[0]: Bytes used: 1975808
flashfs[0]: Bytes available: 14023168
flashfs[0]: Initialization complete.

Unable to locate boot image configuration

Booting first image in flash

Nenhuma imagem reiniciável no flash. Faça o download
de uma imagem de um servidor de rede no modo de monitor

Falha na localização da imagem para reiniciar
               

Se o PIX foi atualizado do modo de monitor para 7.0 mas a imagem 7.0 não foi copiada novamente para o Flash após a primeira reinicialização, quando o PIX for reiniciado ele fica preso em um circuito de reinicialização.

A solução é carregar a imagem novamente a partir do modo de monitor. Após reiniciar, você precisa copiar a imagem mais uma vez usando o método copy tftp flash.

Ao atualizar com o método copy tftp flash, esta mensagem de erro aparece:

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? y
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Insufficient flash space available for this request:
Size info: request:5066808 current:1966136 delta:3100672 free:2752512
Image not installed
pixfirewall# 

Essa mensagem é normalmente vista quando o PIX-535 ou PIX-515 (não E) é atualizado através do método copy tftp flash e o PDM também é carregado no Flash desse PIX.

A solução é atualizar usando o método de modo de monitor.

Após atualizar o PIX de 6.x para 7.0, algumas configurações não migram adequadamente.

A saída do comando show startup-config errors exibe todos os erros ocorridos durante a migração da configuração. Os erros aparecem nessa saída após você reiniciar o PIX pela primeira vez. Examine esses erros e tente resolvê-los.

O PIX está executando a versão 7.x e uma nova versão foi instalada. Quando o PIX reinicia, a versão antiga continua a ser carregada.

No PIX versão 7.x, você pode salvar várias imagens no Flash. O PIX procura primeiro os comandos boot system flash: na configuração. Esses comandos especificam que imagem o PIX precisa reiniciar. Se nenhum comando boot system flash: for encontrado, o PIX reinicia a primeira imagem do Flash. Para reiniciar uma versão diferente, especifique o arquivo usando o comando boot system flash:/<filename>.

Uma imagem do ASDM é carregada no Flash, mas os usuários não podem carregar o ASDM no navegador.

Primeiro, certifique-se de que o arquivo do ASDM carregado no Flash foi especificado pelo comando asdm image flash://<asdm_file>. Segundo, verifique se o comando http server enable está na configuração. Por fim, verifique se o host que tenta carregar o ASDM está permitido através do comando http <address> <mask> <interface>.

O FTP não funciona após atualizações.

A inspeção do FTP não foi ativada após a atualização. Ative a inspeção do FTP de uma das duas maneiras exibidas na seção Ativar a Inspeção do FTP.

Ativar a Inspeção do FTP

A Inspeção do FTP pode ser ativada através de um destes dois métodos:

  • Adicione o FTP à política de inspeção padrão/global.

    1. Caso não exista, crie o mapa de classe inspection_default.

      PIX1#configure terminal
      PIX1(config)#class-map inspection_default
      PIX1(config-cmap)#match default-inspection-traffic
      PIX1(config-cmap)#exit
                           
    2. Crie ou edite o mapa de política global_policy e ative a inspeção do FTP para a classe inspection_default.

      PIX1(config)#policy-map global_policy
      PIX1(config-pmap)#class inspection_default
      PIX1(config-pmap-c)#inspect dns preset_dns_map
      PIX1(config-pmap-c)#inspect ftp
      PIX1(config-pmap-c)#inspect h323 h225
      PIX1(config-pmap-c)#inspect h323 ras
      PIX1(config-pmap-c)#inspect rsh
      PIX1(config-pmap-c)#inspect rtsp 
      PIX1(config-pmap-c)#inspect esmtp
      PIX1(config-pmap-c)#inspect sqlnet
      PIX1(config-pmap-c)#inspect skinny
      PIX1(config-pmap-c)#inspect sunrpc
      PIX1(config-pmap-c)#inspect xdmcp
      PIX1(config-pmap-c)#inspect sip
      PIX1(config-pmap-c)#inspect netbios
      PIX1(config-pmap-c)#inspect tftp 
                           
    3. Ative global_policy globalmente.

      PIX1(config)#service-policy global_policy global
                           
  • Ative o FTP criando uma política de inspeção separada.

    PIX1#configure terminal
    PIX1(config)#class-map ftp-traffic
                      
                         !--- Corresponde ao tráfego de dados do FTP.
                      
    PIX1(config-cmap)#match port tcp eq ftp
    PIX1(config-cmap)#exit
    
    PIX1(config)#policy-map ftp-policy
    PIX1(config-pmap)#class ftp-traffic
    
                      
                         !--- A inspeção do tráfego FTP foi ativada.
                      
    PIX1(config-pmap-c)#inspect ftp
    PIX1(config-pmap)#exit
    PIX1(config)#exit
    
                      
                         !--- Aplica a inspeção do FTP globalmente.
                      
    PIX1(config)#service-policy ftp-policy global
                   

Obtenha um Contrato Válido de Serviços

É necessário ter um contrato válido de serviços para fazer o download do software do PIX. Para obter um contrato de serviço válido, execute estas etapas:

  • Contate a equipe da Cisco se você tiver um Contrato de Compra Direto.

  • Contate um parceiro ou revendedor da Cisco para adquirir um contrato de serviços.

  • Use o Profile e Manager para atualizar seu perfil Cisco.com e aderir ao contrato de serviços.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 63879