Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

Guia de Melhoramento de Usuários do Cisco PIX 6.2 e 6.3 para o Software Cisco PIX Versão 7.0

29 Agosto 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Feedback

Índice

Guia de Melhoramento de Usuários do Cisco PIX 6.2 e 6.3 para o Software Cisco Security Appliance Versão 7.0

Notas importantes

Visão geral

Referência Rápida

Comandos Alterados e Substituídos

Novos recursos

Recursos e Comandos Alterados e Substituídos

Processador de Comandos da CLI

Canalizações e Saídas

Ajustes/Inspeção

Interfaces

Listas de Controle de Acesso (ACLs)

VPN

Failover

AAA

Gerenciamento

OSPF

Protocolo de controle de gateway de mídia (MGCP)

Transmissão múltipla

NAT

Public Key Infrastructure (PKI)

Diversos

Alterações em Licenças

Pré-requisitos para Melhoramento

Requisitos Mínimos do Hardware

Requisitos Mínimos do Software

Requisitos Mínimos de Memória

Requisitos do Sistema Operacional de PC Cliente e do Navegador

Requisitos Mínimos para Conectividade

Procedimento de atualização

Notas importantes

Procedimento Básico de Melhoramento

Atualizando no Modo Monitor

Exemplos de Melhoramento

Melhoramento Básico do PIX Versão 6.3 para o Security Appliance Versão 7.0

Atualizando para uma VPN Client com Acesso Remoto

Atualizando para o Security Appliance Versão 7.0 Utilizando VLAN

Atualizando para o Security Appliance Versão 7.0 Utilizando Voz sobre IP

Atualizando para o Security Appliance Versão 7.0 Utilizando Autenticação

Atualizando para o Security Appliance Versão 7.0 Utilizando Failover Ativo/Passivo

Atualizando para o Security Appliance Versão 7.0 Utilizando Canalizações

Alterações e Exclusões do Syslog (Mensagem de Registro do Sistema)

Mensagens do Syslog Alteradas

Mensagens do Syslog Excluídas

Procedimento de Downgrade

Diretrizes para Downgrade

Procedimento de Downgrade

Exemplos de configurações

Obtendo Documentação

Cisco.com

DVD da Documentação do Produto

Solicitando Documentação

Feedback da Documentação

Visão Geral Sobre Segurança de Produtos Cisco

Relatando Problemas de Segurança em Produtos Cisco

Obtendo Assistência Técnica

Website de Suporte Técnico e Documentação da Cisco

Enviando uma Requisição de Serviço

Definições de Severidade da Requisição de Serviço

Obtendo Publicações e Informações Adicionais


Guia de Melhoramento de Usuários do Cisco PIX 6.2 e 6.3 para o Software Cisco Security Appliance Versão 7.0


Este guia descreve como fazer um melhoramento do Cisco PIX Versão 6.3 ou 6.2 para a ferramenta Cisco PIX Security Versão 7.0. O melhoramento para a ferramenta PIX Security Versão 7.0 é geralmente transparente e exige pouca intervenção manual por parte do usuário. Este guia descreve os recursos e comandos alterados e substituídos com detalhes. Exemplos dessas alterações também são incluídos. Os recursos novos adicionados à ferramenta PIX Security Versão 7.0 são brevemente apresentados neste guia.

O público-alvo deste guia é um administrador de ferramentas de segurança que tenha conhecimento de comandos e recursos de CLI e experiência na configuração de PIX.

Notas importantes


Cuidado Analise as seções "Pré-requisitos para Melhoramento" e "Procedimento de Melhoramento" deste guia antes de fazer o download da ferramenta PIX Security Versão 7.0 na sua ferramenta de segurança. Se isso não for feito, poderá haver falhas na instalação.

A ferramenta PIX Security Versão 7.0 é executada no PIX 515/515E, PIX 525 e PIX 535, mas não é suportada nas plataformas PIX 501 ou PIX 506/506E ao mesmo tempo.

Sistemas PIX 515/515E embarcados antes da disponibilidade geral da ferramenta PIX Security Versão 7.0 exigem melhoramento de memória. Consulte a seção "Requisitos Mínimos de Memória" para mais informações.

O compartilhamento de uma interface Failover Stateful com uma interface de firewall regular não é uma configuração suportada na ferramenta PIX Security Versão 7.0. Essa restrição aplicava-se à Versão 6.3 do PIX e versões anteriores. No entanto, ela não foi aplicada pelo software. É aplicada à ferramenta PIX Security Versão 7.0. Se não possui uma interface dedicada para a ligação Failover Stateful, deve alterar a configuração do PIX Versão 6.3 manualmente antes de atualizar para a ferramenta PIX Security Versão 7.0. Se isso não for feito, ocorrerão erros durante o melhoramento da configuração executada pela ferramenta PIX Security Versão 7.0. Consulte a seção "Failover".

O uso do utilitário npdisk do PIX Versão 6.3, como recuperação de senha, corromperá a imagem da ferramenta PIX Security Versão 7.0 e exigirá a reinicialização do sistema no modo monitor, podendo ocasionar a perda da configuração anterior, do kernel de segurança e das principais informações. Consulte a seção "Atualizando no Modo Monitor".

A menos que especificado de outra forma, todas as referências neste guia que se aplicam ao PIX Versão 6.3 aplicam-se também ao PIX Versão 6.2.

Este guia inclui as seguintes seções:

Visão geral

Novos recursos

Recursos e Comandos Alterados e Substituídos

Canalizações e Saídas

Ajustes/Inspeção

Interfaces

Listas de Controle de Acesso (ACLs)

VPN

Failover

AAA

Gerenciamento

OSPF

Protocolo de Controle de Gateway de Mídia (MGCP)

Transmissão Múltipla

NAT

Public Key Infrastructure (PKI)

Diversos

Alterações em Licenças

Pré-requisitos para Melhoramento

Procedimento de atualização

Exemplos de Melhoramento

Alterações e Exclusões do Syslog (Mensagem de Registro do Sistema)

Obtendo Mais Informações

Obtendo Documentação

Feedback da Documentação

Visão Geral Sobre Segurança de Produto Cisco

Obtendo Assistência Técnica

Obtendo Publicações e Informações Adicionais

Visão geral

Como resultado de extensos aprimoramentos e melhorias feitos na ferramenta PIX Security Versão 7.0, vários comandos da CLI foram alterados ou substituídos (consulte a Tabela 1). A ferramenta PIX Security Versão 7.0 também inclui mais de 50 novos recursos, os quais estão listados na seção "Novos Recursos", e descritos com mais detalhes em outros documentos da ferramenta PIX Security Versão 7.0.

Em geral, os comandos substituídos são convertidos em nova sintaxe. A ferramenta PIX Security Versão 7.0 aceita apenas os novos comandos; um erro de sintaxe é retornado quando os comandos antigos são utilizados.

Referência Rápida

Os destaques das alterações feitas na ferramenta PIX Security Versão 7.0 incluem:

Novos requisitos mínimos de memória para dispositivos PIX 515/515E (consulte a seção "Procedimento de Melhoramento").

O comando fixup foi substituído pelo comando inspect. (consulte a seção "Ajustes/Inspeção").

O suporte aos comandos outbound e conduit foi removido (consulte a seção "Canalizações e Saídas").

A operação dos comandos no, clear, e show foi alterada de forma significativa (consulte a seção "Processador de Comandos da CLI").

As listas de acesso não precisam mais ser compiladas, o que afeta os comandos access-list <id> compiled, access-list compiled (consulte a seção "Listas de Controle de Acesso (ACLs)").

O comando aaa-server adicionou dois modos de configuração: key e timeout (Consulte a seção "AAA").

O comando interface e os comandos isakmp, crypto-map e vpngroup foram aprimorados de modo a se tornarem hierárquicos (consulte as seções "Interfaces" e "VPN").

O comando failover foi alterado de modo a criar maior uniformidade no comando (consulte a seção "Failover").

Alguns comandos, por exemplo, AAA, foram alterados para permitir a configuração de parâmetros mais específicos (consulte a seção "AAA").

O comando mgcp foi movido para o comando mgcp-map (consulte a seção "Protocolo de Controle de Gateway de Mídia (MGCP)").

O comando copy aplica-se ao novo sistema de arquivos Flash; a sintaxe foi alterada, com as opções de copy localizadas agora no início do comando, ao invés de ser no final. (Consulte a seção "Gerenciamento").

Modos de configuração foram introduzidos ao comando interface, com parâmetros OSPF específicos da interface agora configurados em modo de configuração interface (consulte a seção "OSPF").

Comandos de transmissão múltipla foram alterados para acomodar o modo Escasso PIM (PIM-SM) e para alinhar as implementações de transmissão múltipla da ferramenta PIX Security Versão 7.0 e do Cisco IOS Software (consulte a seção "Transmissão múltipla").

A postura NAT padrão da ferramenta PIX Security Versão 7.0 permite que os hosts em interfaces de alta segurança se comuniquem com interfaces de baixa segurança sem configurar a NAT. O comando nat-control foi alterado para manter os requisitos já existentes da NAT do PIX Version 6.3 e será implementado por padrão em sistemas que estejam sendo atualizados para a ferramenta PIX Security Versão 7.0. O uso do comando no nat-control reinstalará a postura padrão da ferramenta PIX Security Versão 7.0 (consulte a seção "NAT").

Algumas das palavras-chave do comando established foram substituídas. Além disso, foram feitas alterações no comando sysopt. Na ferramenta PIX Security Versão 7.0, os comandos flashfs não são suportados. No PIX Versão 6.3, a opção 19 do TCP utilizada pelo MD5 BGP foi permitida automaticamente, mas na ferramenta PIX Security Versão 7.0, é necessária uma configuração extra. Consulte a seção "Diversos".

A conclusão dos comandos e a navegação de modo foram alteradas.

Comandos Alterados e Substituídos

A maioria dos recursos e comandos alterados e substituídos será convertida automaticamente quando a ferramenta PIX Security Versão 7.0 é iniciada no sistema, com pouca intervenção manual ou durante o melhoramento. Consulte a seção "Recursos e Comandos Alterados e Substituídos" para obter mais detalhes.

A Tabela 1 lista os comandos para as conversões automáticas e manual.

Tabela 1 Visão Geral das Alterações de Comandos 

Comando/Descrição
Descrição Breve
Para obter mais informações

aaa-server

Alterado

AAA

aaa-server radius-authport

Alterado

AAA

aaa-server radius-acctport

Alterado

AAA

auth-prompt

Alterado

AAA

access-list compiled

Substituído

Listas de Controle de Acesso (ACLs)

access-list <id> compiled

Substituído

Listas de Controle de Acesso (ACLs)

ca

Alterado

Public Key Infrastructure (PKI)

ca generate/ca zeroize

Substituído

Public Key Infrastructure (PKI)

ca identity/ca configure

Substituído

Public Key Infrastructure (PKI)

ca authenticate

Substituído

Public Key Infrastructure (PKI)

ca enroll

Substituído

Public Key Infrastructure (PKI)

ca crl

Substituído

Public Key Infrastructure (PKI)

ca subject-name

Substituído

Public Key Infrastructure (PKI)

ca save all

Substituído

Public Key Infrastructure (PKI)

ca verifycertdn

Substituído

Public Key Infrastructure (PKI)

conduit

Substituído

Canalizações e Saídas

copy capture

Alterado

Gerenciamento

crashinfo

Alterado

Gerenciamento

crypto dynamic-map

Alterado

VPN

crypto ipsec

Alterado

VPN

crypto-map

Alterado

VPN

dhcpd auto_config

Alterado

Gerenciamento

bidirecional

Alterado para um novo comando de modo de configuração interface

Interfaces

established

Alterado

Diversos

failover

Alterado

Failover

fixup

Alterado para o comando inspect

Ajustes/Inspeção

flashfs

Não suportado

Diversos

floodguard

Substituído

AAA

interface

Utilizado para entrar no comando do modo de configuração interface

Interfaces

ipaddress

Convertido no comando de modo de configuração interface

Interfaces

igmp max-groups

Alterado

Transmissão múltipla

isakmp

Alterado

VPN

mgcp

Alterado

Protocolo de controle de gateway de mídia (MGCP)

mroute

Alterado

Transmissão múltipla

multicast interface

Substituído

Transmissão múltipla

nameif

Convertido no comando de modo de configuração interface

Interfaces

nat-control

nenhuma versão mantém a segurança NAT nas interfaces

NAT

Comandos de modo de configuração ospf

Comandos de modo de configuração sob o comando routing interface - convertidos automaticamente no modo de configuração interface

OSPF

pager

Alterado

Gerenciamento

pdm location

Alterado

Gerenciamento

pdm group

Alterado

Gerenciamento

pdm logging

Alterado

Gerenciamento

routing interface

Consulte Comando de modo de configuração ospf

OSPF

security-level

Novo comando de modo de configuração interface

Interfaces

set ip next-hop

Substituído

OSPF

set metric-type

Alterado

OSPF

show snmp-server

Alterado

Processador de Comandos da CLI

fechamento

Novo comando de modo de configuração interface

Interfaces

velocidade

Novo comando de modo de configuração interface

Interfaces

ssh

Alterado

Gerenciamento

sysopt permit pptp | permit l2tp

Substituído

Diversos

telnet

Alterado

Gerenciamento

tftp-server

Alterado

Gerenciamento

url-server

Alterado

Diversos

vlan

Novo comando de modo de configuração interface

Interfaces

vpdn

Alterado

VPN

vpngroup

Alterado

VPN


Novos recursos

O principal foco deste guia é descrever recursos e comandos alterados e substituídos na ferramenta PIX Security Versão 7.0; no entanto, esta seção inclui uma visão geral dos novos recursos. Para mais informações sobre esses recursos na ferramenta PIX Security Versão 7.0 e os respectivos comandos da CLI, consulte os seguintes documentos:

Referências a Comandos da Cisco PIX Security Appliance Versão 7.0

Guia de Configuração da Cisco Security Appliance CLI, Versão 7.0

Ajuda On-line do Gerenciador de Dispositivos de Segurança Adaptáveis (conhecido anteriormente como Gerenciador de Dispositivos PIX ou PDM)

A ferramenta PIX Security Versão 7.0 apresenta os seguintes novos recursos:

Serviços Avançados de Firewall

Cisco Modular Policy Framework

Serviços Avançados de Segurança na Web

Controle de Aplicativos de Túnel

Contextos de Segurança

Firewall Transparente da Camada 2

Filtros de Comandos de Sessão de FTP

Transporte de Correspondência Simples Estendido

Protocolo Serviços de Inspeção de E-mail (ESMTP)

Serviços 3G de Segurança de Tecnologia Sem Fio Móvel

Serviços de Inspeção Sun RPC/NIS +

Serviços de Inspeção ICMP (Internet Control Message Protocol)

Mecanismo de Segurança TCP Melhorado

Listas de Controle de Acesso (ACLs)

ACLs com base em tempo

Entradas ACL Individuais Habilitada/Desabilitada

Improved Websence URL Filtering Performance

Voz sobre IP e Serviços de Segurança Multimídia

T.38 Fax over IP (FoIP)

Gatekeeper Routed Control Signaling (GKRCS)

Inspeção de Stream Multimídia Fragmentado e Segmentado

Serviços de Conversão de Endereço MGCP

Serviços de Conversão de Endereço RTSP

Serviços VPN IPSec Robusto

VPN Client Security Posture Enforcement

Bloqueamento de Cliente VPN por Sistema Operacional e Tipo

Melhoramentos de Software Cliente VPN Automáticas

Suporte Melhorado para Tunelamento Non-Split de Ambientes VPN de Acesso Remoto

Transparência VPN NAT Melhorada

Integração Nativa com Serviço de Autenticação de Usuário Popular

OSPF Dynamic Routing over VPN Tunnels

Suporte VPN Spoke-to-Spoke Melhorado

Suporte de Certificado X.509 Melhorado

Cisco IOS Software Certificate Authority Support

Arquitetura Resiliente

Active/Active Stateful Failover

VPN Stateful Failover

Tempos de Transição Failover Melhorado

Melhoramentos de Software de Zero-Downtime

Serviços de Rede de Comunicação Inteligente

PIM Multicast Routing

Serviços QoS

Rede de Comunicação IPv6

Nível de Segurança Comum para Interfaces Múltiplas

Capacidade VLAN Melhorada

Serviços de Conversão de Endereço Opcional

Soluções de Gerenciamento Flexível

Monitoramento SNMP Melhorado

SSHv2 e Secure Copy Protocol (SCP)

Armazenamento de Configurações Múltiplas em Memória Flash

Secure Asset Recovery

Scheduled System Reloads

Interface de Gerenciamento Out-of-Band Dedicada

Serviços de Ping ICMP Melhorados

Melhoramentos de Usabilidade CLI (Command Line Interface)

SMTP Email Alerts

Administrative TACACS+ Accounting

Relatório RADIUS para Servidores Múltiplos

Recursos e Comandos Alterados e Substituídos

Esta seção descreve os recursos e comandos alterados e substituídos com detalhes.


Observação A conversão automática de comandos resulta em uma alteração da configuração. Analise as alterações de configuração feitas pela ferramenta PIX Security Versão 7.0 após a inicialização para verificar se as alterações automáticas feitas pelo software são satisfatórias. Deve também salvar a configuração na memória Flash. Salvando a nova configuração na memória Flash, evitará que o sistema converta sua configuração novamente na próxima vez que a ferramenta PIX Security Versão 7.0 for inicializada.

Muitos comandos já existentes da CLI foram estendidos com novas palavras-chaves e outras opções da linha de comando, devido à nova funcionalidade introduzida na ferramenta PIX Security Versão 7.0.


Os recursos alterados e substituídos são os seguintes:

Processador de Comandos da CLI

Canalizações e Saídas

Ajustes/Inspeção

Interfaces

Listas de Controle de Acesso (ACLs)

VPN

Failover

AAA

Gerenciamento

OSPF

Protocolo de controle de gateway de mídia (MGCP)

Transmissão múltipla

NAT

Public Key Infrastructure (PKI)

Diversos

Processador de Comandos da CLI

Assim como com o PIX Versão 6.3, a ferramenta PIX Security Versão 7.0 suporta a CLI como uma interface de usuário para configurar, monitorar e manter ferramentas de segurança. Os recursos do analisador da CLI foram aprimorados na ferramenta PIX Security Versão 7.0 a fim de incluir serviços do analisador semelhantes ao Cisco IOS Software, como, por exemplo, a conclusão da Ajuda sensível ao contexto e dos comandos, resultando em alterações menores no comportamento, se comparadas com as do Versão 6.3.

Além disso, os comandos show e clear no PIX Versão 6.3 foram aplicados de forma inconsistente. Em alguns casos, esses comandos foram utilizados para mostrar e limpar objetos de configuração; em outros casos, eles foram utilizados para mostrar e limpar dados estatísticos operacionais. Para tornar o comportamento consistente e distinguir entre operações de configuração e estatísticas, os comandos show e clear foram modificados para exigir palavras-chave opcionais.

A ferramenta PIX Security Versão 7.0 também apresenta alterações menores na navegação e na terminologia do modo a fim de se aproximar mais da CLI do Cisco IOS Software.

Esta seção inclui os seguintes tópicos:

Comandos Afetados

Requisitos de Melhoramento

Impacto da Alteração

Comandos Afetados

No melhoramento para a ferramenta PIX Security Versão 7.0, os seguintes comandos são afetados:

não

show

clear

Além dos comandos mencionados anteriormente, a conclusão dos comandos e a navegação do modo foram alterados na ferramenta PIX Security Versão 7.0.

Requisitos de Melhoramento

Utilize os novos formulários dos comandos no, show, e clear. Se não fizer isso, o sistema produzirá erros.

Impacto da Alteração

Esta seção descreve o impacto das alterações sobre os comandos da CLI na ferramenta PIX Security Versão 7.0.

Alterações Operacionais

Alterações da Ajuda Relacionada ao Contexto

Verificação da Sintaxe de Comandos

Alterações na Terminologia e Modo de Navegação

Alterações Operacionais

A operação dos comandos no, clear, e show foi alterada na ferramenta PIX Security Versão 7.0, da seguinte forma:

A variante no não remove mais várias linhas da configuração simultaneamente. Na ferramenta PIX Security Versão 7.0, a variante no remove uma única linha de configuração. Por exemplo, um único no access-list <nome-lista-acesso> remove os seguintes comandos no PIX Versão 6.3:

access-list myaccesslist extended permit tcp host 10.175.28.97 host 10.180.210.209 eq 
37000
access-list myaccesslist extended permit tcp host 10.175.28.97 host 10.180.210.68 eq 
37000
access-list myaccesslist extended permit tcp host 10.175.28.98 host 10.180.210.68 eq 
37000

Mas, na ferramenta PIX Security Versão 7.0, os comandos mencionados anteriormente são removidos utilizando-se o comando clear configure access-list <nome-lista-acesso> ou fazendo o seguinte:

no access-list myaccesslist extended permit tcp host 10.175.28.97 host 10.180.210.209 
eq 37000
no access-list myaccesslist extended permit tcp host 10.175.28.97 host 10.180.210.68 
eq 37000
no access-list myaccesslist extended permit tcp host 10.175.28.98 host 10.180.210.68 
eq 37000

Segundo exemplo: um único no fixup protocol http remove os seguintes comandos no PIX Versão 6.3:

fixup protocol http 80
fixup protocol http 8080

Mas, na ferramenta PIX Security Versão 7.0, os comandos anteriores são removidos executando-se o seguinte:

no inspect protocol http 80
no inspect protocol http 8080

A variante no remove os comandos do modo de configuração; os comandos e todos os comandos do modo de configuração correspondentes são removidos. Esse comportamento é o mesmo no PIX Versão 6.3 e na ferramenta PIX Security Versão 7.0.

Para limpar a configuração, a ferramenta PIX Security Versão 7.0 suporta apenas o uso do comando clear configure <cmd> em modo de configuração.

Os exemplos a seguir ilustram o uso do comando clear configure:

PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
clear access-list 
<access-list name>
clear configure access-list 
<access-list name>

Se usar o comando no access-list <nome-lista-acesso>, receberá uma mensagem de erro

clear ssh 
clear configure ssh 
clear crypto dynamic-map 
clear configure crypto 
dynamic-map


Observação No PIX Versão 6.3, o comando clear crypto removia todas as configurações de criptografia diferentes das configurações de autoridade de certificação (CA), como, por exemplo, trustpoints, certificados e mapas de certificados. Na ferramenta PIX Security Versão 7.0, o comando clear configure crypto remove todas as configurações de criptografia, incluindo as configurações de CA. As informações de CA também são exibidas na saída do comando show crypto.


No PIX Versão 6.3, o comando show snmp-server exibia a configuração em execução. Na ferramenta PIX Security Versão 7.0, o comando show running-config snmp-server exibe a configuração em execução, e o comando show snmp-server statistics exibe as informações em tempo de execução no SNMP.

O comando show <cmd> mostra estatísticas/buffer/contadores e outros itens. Todos os comandos show seguem o modelo mostrado no seguinte exemplo:

PIX Versão 6.3
PIX Security Appliance Versão 7.0
show crypto map 
show running-config crypto map 

Alterações da Ajuda Relacionada ao Contexto

A Tabela 2 lista as alterações da Ajuda relacionada ao contexto na ferramenta PIX Security Versão 7.0:

Tabela 2 Alterações da Ajuda Relacionada ao Contexto

Recurso
PIX Versão 6.3
PIX Security Appliance Versão 7.0

Conclusão de Comandos

Quando TAB é pressionado, é ignorado.

Quando ? é digitado, a seguinte mensagem é exibida:

Digite help ou ? para obter uma lista de comandos disponíveis.

Digite um comando parcial; em seguida, digite TAB para concluir o comando ou digite um comando parcial e, em seguida, digite ? para mostrar todos os comandos que começam com o comando parcial.

Comando ?

O texto de utilização do comando é exibido.

Pode-se digitar um comando, seguido por um espaço, e, em seguida, digite ? para mostrar as opções de entrada relevantes.

Comando <palavra-chave> ?

O texto de utilização do comando é exibido.

Lista argumentos disponíveis para a palavra-chave.


Verificação da Sintaxe de Comandos

A Tabela 3 lista as alterações que ocorrem como resultado do melhoramento para a ferramenta PIX Security Versão 7.0:

Tabela 3 Verificação da Sintaxe de Comandos

Recurso
PIX Versão 6.3
PIX Security Appliance Versão 7.0

Erro de sintaxe

Uma mensagem de erro pode ser exibida, seguida pelo texto de uso do comando.

O PIX exibe um símbolo ^ para indicar a localização de um erro de sintaxe de comando.

Comando incompleto

Uma mensagem de erro "Argumentos não suficientes." pode ser exibida, seguida pelo texto de uso do comando.

O PIX exibe uma mensagem "Comando incompleto" para indicar que são necessários argumentos adicionais.


Alterações na Terminologia e Modo de Navegação

A ferramenta PIX Security Versão 7.0 apresenta pequenas alterações na navegação e na terminologia do modo a fim de que seu comportamento seja mais parecido com a CLI do Cisco IOS Software.

A Tabela 4 descreve as alterações na navegação do modo entre o PIX Versão 6.3 e a ferramenta PIX Security Versão 7.0.

Tabela 4 Alterações na Terminologia do Modo 

Modo/Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Modo EXEC de Usuário

Terminologia

Modo sem privilégios

Modo EXEC de usuário

Modo de Saída

^Z instrui a sua saída do console.

^Z não é suportado como um método de saída; no entanto, ainda pode utilizar os comandos exit, quit ou logout como no PIX Versão 6.3.

A inserção de ^Z gera a seguinte mensagem de erro:

ERRO: % Entrada inválida detectada no marcador '^'.

Modo EXEC Privilegiado

Terminologia

Modo privilegiado

Modo EXEC privilegiado

Modo de Saída

^Z instrui a sua saída do console.

^Z não é suportado como um método de saída; no entanto, ainda pode utilizar os comandos exit, quit ou logout como no PIX Versão 6.3.

A inserção de ^Z gera a seguinte mensagem de erro:

ERRO: % Entrada inválida detectada no marcador '^'.

Modo de Configuração Global

Terminologia

Modo de configuração

Modo de configuração global

Modo de Configuração Específica do Comando

Terminologia

Modo de sub-comandos

Modo de configuração específica do comando


Canalizações e Saídas

A ferramenta PIX Security Versão 7.0 não suporta os comandos conduit e outbound; no entanto, ela suporta os comandos amplamente utilizados access list . Os comandos access list parecem mais comandos do Cisco IOS Software e substituem completamente os comandos conduit e outbound; eles introduzem mais funcionalidade. Se um comando do PIX Versão 6.3 que contém uma configuração com os comandos conduit e/ou outbound é atualizado para a ferramenta PIX Security Versão 7.0, ele gerará erros se não migrar primeiro os comandos conduit e outbound.

Esta seção inclui os seguintes tópicos:

Comandos Afetados

Requisitos de Melhoramento

Impacto da Alteração

Convertendo Comandos conduit em Comandos access-list

Convertendo Comandos outbound em Comandos access-list

Comandos Afetados

No melhoramento para a ferramenta PIX Security Versão 7.0, os seguintes comandos são afetados:

conduit

saída

Requisitos de Melhoramento

A ferramenta PIX Security Versão 7.0 exige que converta os comandos conduit e outbound da sua configuração em comandos da lista de controle de acesso (access-list) antes de executar um melhoramento para o PIX Security Appliance Version 7.0.

Impacto da Alteração

O sistema gerará erros se não migrar os comandos conduit e outbound antes de executar um melhoramento para a ferramenta PIX Security Versão 7.0. Utilize os seguintes recursos como ajuda nesse processo:

As instruções etapa a etapa para a conversão dos comandos conduit em comandos access-lists e dos comandos outbound em configurações do comando outgoing são descritos nas seções "Convertendo Comandos conduit em Comandos access-list" e "Convertendo Comandos outbound em Comandos access-list". Para obter detalhes adicionais, consulte Referências a Comandos do Cisco PIX Firewall, Versão 6.3.

The PIX Outbound Conduit Converter está disponível para usuários contratados do diretório Cisco.com Software Center PIX em http://www.cisco.com/pcgi-bin/tablebuild.pl/pix. Isso se aplica apenas a clientes registrados. Para se tornar um usuário registrado, vá para http://tools.cisco.com/RPF/register/register.do.

Essa ferramenta facilita a conversão de comandos conduit e outbound em configurações da lista de controle de acesso. No entanto, devido à natureza diferente desses métodos de controle de acesso, podem ocorrer alterações na funcionalidade e no comportamento reais; portanto, isso deve ser considerado um auxílio e apenas um ponto de partida. Todas as configurações convertidas pela ferramenta OCC (Outbound/Conduit Converter) devem ser configuradas e testadas por administradores de segurança de rede familiarizados com a rede em questão e com suas políticas de segurança antes de serem implementadas.


Observação A ferramenta OCC não suporta comandos alias e policy nat. A ferramenta OCC não converte combinações de configuração de uma exposição de todos os endereços de uma interface interna (maior segurança) e uma rota padrão para a mesma interface ou comandos que habilitam RIP/OSPF.


O Output Interpreter fornece uma interface da web que considera sua configuração já existente como entrada e produz uma configuração modificada como sua saída. Essa ferramenta está disponível em https://www.cisco.com/cgi-bin/Support/OutputInterpreter/home.pl .Isso se aplica apenas a clientes registrados. Para se tornar um usuário registrado, vá para http://tools.cisco.com/RPF/register/register.do. Para utilizar o Output Interpreter, certifique-se de que a quebra de palavras esteja desativada no cliente terminal e cole a saída capturada completa do comando write terminal ou do comando show running-config no Output Interpreter. Para utilizar o Output Interpreter, o JavaScript deve estar habilitado. Os mesmos caveats relacionados à verificação e aos testes discutidos anteriormente aplicam-se às conversões de configuração do Output Interpreter.

Com o PIX Versão 6.3, apenas hosts internos com endereços do último octeto de 0 e 255 podiam iniciar uma conexão com uma interface externa. Se um host conectado à interface externa tentasse iniciar uma conexão com um host interno .0 ou .255 no último octeto de seus endereços IP, o PIX Versão 6.3 o negaria.

Com a ferramenta PIX Security Versão 7.0, as conexões dos hosts externos não são negados, caso uma lista de acesso assim permitir.

Convertendo Comandos conduit em Comandos access-list

Para converter instruções de comandos conduit em comandos access-list, execute as seguintes etapas:


Etapa 1 Visualize o formato do comando static. Normalmente, esse comando precede os comandos conduit e access-list. A sintaxe do comando é.

static (high_interface,low_interface) global_ip local_ip netmask mask

Por exemplo:

static (inside,outside) 209.165.201.5 192.168.1.5 netmask 255.255.255.255

Esse comando mapeia o endereço IP global 209.165.201.5 na interface externa para o servidor da Web 192.168.1.5 na interface interna. O endereço 255.255.255.255 é usado para hosts.

Etapa 2 Visualize o formato do comando conduit. O comando conduit é semelhante ao comando access-list, pois restringe o acesso ao mapeamento fornecido pelo comando static. A sintaxe do comando conduit é.

conduit action protocol global_ip global_mask global_operator global_port [global_port] 
foreign_ip foreign_mask foreign_operator foreign_port [foreign_port]

Por exemplo:

conduit permit tcp host 209.165.201.5 eq www any

Esse comando permite TCP para o endereço IP global 209.165.201.5 que foi especificado na instrução do comando static e permite acesso pela porta 80 (www). A opção "any" permite que qualquer host na interface externa acesse o endereço IP global.

O comando static identifica a interface à qual o comando conduit restringe o acesso.

Etapa 3 Crie o comando access-list com base nas opções do comando conduit. O acl_name no comando access-list é um nome ou um número criado para associar instruções de comando access-list com uma instrução de comando access-group ou crypto map.

Normalmente, o formato do comando access-list é o seguinte:

access-list acl_name [deny | permit] protocol src_addr src_mask operator port dest_addr 
dest_mask operator port

No entanto, o uso da sintaxe do comando conduit no comando access-list, pode vir como foreign_ip no comando conduit é o mesmo que em src_addr no comando access-list e como a opção global_ip no comando conduit é a mesma que dest_addr no comando access-list. A sintaxe do comando access-list substituída com as opções do comando conduit é a seguinte.

access-list acl_name action protocol foreign_ip foreign_mask foreign_operator foreign_port 
[foreign_port] global_ip global_mask global_operator global_port [global_port]

Por exemplo:

access-list acl_out permit tcp any host 209.165.201.5 eq www

Este comando identifica o grupo de instruções do comando access-list com o identificador "acl_out". Pode-se usar qualquer nome ou número para seu identificador. (Nesse exemplo, o identificador "act" é da ACL, que significa lista de controle de acesso, e "out" é uma abreviação para a interface externa.) Ele torna a configuração mais limpa se usar um nome de identificador que indica a interface à qual está associando as instruções do comando access-list. O exemplo do comando access-list, como o comando conduit permite conexões TCP a partir de qualquer sistema na interface externa. O comando access-list está associado à interface externa com o comando access-group.

Etapa 4 Crie o comando access-group utilizando acl_name do comando access-list e a opção low_interface do comando static. A sintaxe do comando access-group é.

access-group acl_name in interface low_interface

Por exemplo:

access-group acl_out in interface outside

Este comando está associado ao grupo às instruções 'acl_out' de instruções do comando access-list e informa que a instrução do comando access-list restringe o acesso à interface externa.


Isso conclui o procedimento de conversão de comandos conduit em comandos access-list.

Convertendo Comandos outbound em Comandos access-list

O comando outbound cria uma lista de regras de controle de acesso que permitem especificar:

Usuários internos podem criar conexões externas;

Usuários internos podem acessar servidores externos específicos

Quais serviços os usuários internos podem utilizar para conexões de entrada e para acessar servidores externos

Consulte as regras de listas de saída em Referências a Comandos do Cisco PIX Firewall, Versão 6.3.

Convertendo Comandos outbound Aplicados a outgoing_src em Comandos access-list

Para converter instruções de comandos outbound para criar uma lista de acesso, execute as seguintes etapas:


Etapa 1 Analise o formato do comando access-list utilizando o seguinte exemplo de configuração de saída do PIX já existente:

outbound 1 deny   10.10.10.0 255.255.255.0 0
outbound 1 permit 10.10.20.20 255.255.255.255 0
outbound 1 except 192.168.10.1 255.255.255.255 0
apply (inside) 1 outgoing_src

O formato do comando access-list (versão simplificada) é:

access-list acl_name [deny | permit] protocol src_addr src_mask dest_addr dest_mask

Etapa 2 Verifique se os endereços IP listados na configuração de saída quando aplicada no comando outgoing_src correspondem ao endereço de origem (src_addr) da lista de acesso. O endereço de destino (dest_addr) é igual a `any'. Os dois primeiros comandos de configuração de saída são convertidos no seguinte:

access-list inside_acl permit ip host 10.10.20.20 any 
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any 

Quando há exceções na configuração, elas se aplicam a toda a configuração de saída da lista. O endereço IP listado na exceção quando aplicada a outgoing_src, denota o dest_addr da lista de acesso. A terceira configuração de saída com except é traduzida em:

access-list inside_acl deny ip host 10.10.20.20 host 192.168.10.1 
access-list inside_acl permit ip 10.10.10.0 255.255.255.0 host 192.168.10.1 

Etapa 3 Coloque os elementos da lista de acesso anterior na ordem em que a instrução do comando outbound é processada (consulte as regras de saída em Referências a Comandos do Cisco PIX Firewall, Versão 6.3). O PIX processa primeiro as exceções, seguido da melhor correspondência em instruções do comando outbound. A lista de acesso deve ser aplicada na seguinte seqüência:

access-list inside_acl permit ip 10.10.10.0 255.255.255.0 host 192.168.10.1
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any
access-list inside_acl permit ip 10.10.10.0 255.255.255.0 host 192.168.10.1
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any

Etapa 4 Adicione o seguinte elemento da lista de acesso para manter o comportamento padrão do PIX. Convém observar que, por padrão, o PIX permite o tráfego de saída. Quando uma lista de acesso é usada para filtrar pacotes, o tráfego não correspondente à lista de acesso é negado.

access-list inside_acl permit ip any any

Etapa 5 Adicione o seguinte comando access-list para referir-se à interface à qual a configuração de saída é aplicada. Observe que deve existir um access-group correspondente para associar a lista de acesso à interface.

access-group inside_acl in interface inside

Etapa 6 Verifique a seguinte configuração convertida dos comandos outbound aplicados a outgoing_src para comandos access-list.

access-list inside_acl permit ip 10.10.10.0 255.255.255.0 host 192.168.10.1
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any
access-list inside_acl permit ip 10.10.10.0 255.255.255.0 host 192.168.10.1
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any
access-list inside_acl permit ip any any
access-group inside_acl in interface inside

Convertendo Comandos outbound Aplicados a outgoing_dest em Comandos access-list

Para converter instruções de comandos outbound para criar uma lista de acesso, execute as seguintes etapas:


Etapa 1 Analise o formato utilizando o seguinte exemplo de configuração de saída do PIX já existente:

outbound 1 deny   192.168.10.0 255.255.255.0 0
outbound 1 permit 192.168.20.20 255.255.255.255 0
outbound 1 except 10.10.10.10 255.255.255.255 0
apply (inside) 1 outgoing_dest

O formato do comando access-list (versão simplificada) é:

access-list acl_name [deny | permit] protocol src_addr src_mask dest_addr dest_mask 

Etapa 2 Verifique se os endereços IP listados na configuração de saída quando aplicada no comando outgoing_dest correspondem ao endereço de destino (dest_addr) da lista de acesso. O endereço de origem (src_addr) é igual a `any'. Os dois primeiros comandos de configuração de saída são convertidos no seguinte:

access-list inside_acl permit ip any host 192.168.20.20 
access-list inside_acl deny ip any 192.168.10.0 255.255.255.0

Quando há exceções na configuração (como na terceira linha do nosso exemplo), elas se aplicam a toda a configuração de saída da lista. O endereço IP listado na exceção quando aplicada a outgoing_dest, denota o src_addr da lista de acesso. A terceira configuração de saída com exceções é traduzida em:

access-list inside_acl deny ip host 10.10.10.10 host 192.168.20.20
access-list inside_acl permit ip host 10.10.10.10 192.168.10.0 255.255.255.0

Etapa 3 Coloque os elementos da lista de acesso anterior na ordem em que a instrução do comando outbound é processada (consulte as regras de saída em Referências a Comandos do Cisco PIX Firewall, Versão 6.3). O PIX processa primeiro as exceções, seguido da melhor correspondência em instruções do comando outbound. A lista de acesso deve ser aplicada na seguinte seqüência:

access-list inside_acl deny ip host 10.10.10.10 host 192.168.20.20
access-list inside_acl permit ip any host 192.168.20.20
access-list inside_acl permit ip host 10.10.10.10 192.168.10.0 255.255.255.0
access-list inside_acl deny ip any 192.168.10.0 255.255.255.0

Etapa 4 Adicione o seguinte elemento da lista de acesso para manter o comportamento padrão do PIX. Convém observar que, por padrão, o PIX permite o tráfego de saída. Quando uma lista de acesso é usada para filtrar pacotes, o tráfego não correspondente à lista de acesso é negado.

access-list inside_acl permit ip any any 

Etapa 5 Adicione o seguinte comando access-group para referir-se à interface à qual a configuração de saída é aplicada. Observe que deve existir um access-group correspondente para associar a lista de acesso à interface.

access-group inside_acl in interface inside 

Etapa 6 Verifique a seguinte configuração convertida dos comandos outbound aplicados a outgoing_src para comandos access-list.

access-list inside_acl deny ip host 10.10.10.10 host 192.168.20.20
access-list inside_acl permit ip any host 192.168.20.20
access-list inside_acl permit ip host 10.10.10.10 192.168.10.0 255.255.255.0
access-list inside_acl permit ip any host 192.168.20.20
access-list inside_acl permit ip any any 
access-group inside_acl in interface inside 

Convertendo Comandos outbound Aplicados a outgoing_src e outgoing_dest em Comandos access-list

Para converter instruções de comandos outbound para criar uma lista de acesso, execute as seguintes etapas:


Etapa 1 Analise o formato do comando access-list utilizando o seguinte exemplo de configuração de saída do PIX já existente:

outbound 1 deny   10.10.10.0 255.255.255.0 0
outbound 1 permit 10.10.20.20 255.255.255.255 0
apply (inside) 1 outgoing_src

outbound 2 deny   192.168.10.0 255.255.255.0 0
outbound 2 permit 192.168.20.20 255.255.255.255 0
apply (inside) 2 outgoing_dest

O formato do comando access-list (versão simplificada) é:

access-list acl_name [deny | permit] protocol src_addr src_mask dest_addr dest_mask

Etapa 2 Verifique se os endereços IP listados na configuração de saída quando aplicada no comando outgoing_src correspondem ao endereço de origem (src_addr) da lista de acesso. O endereço de destino (dest_addr) é igual a `any'. Os dois primeiros comandos de configuração de saída são convertidos no seguinte:

access-list inside_acl permit ip host 10.10.20.20 any
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any

Etapa 3 Verifique se os endereços IP listados na configuração de saída quando aplicada no comando outgoing_dest correspondem ao endereço de destino (dest_addr) da lista de acesso. O endereço de origem (src_addr) é igual a `any'. Os quarto e quinto comandos de configuração de saída de linha são convertidos no seguinte:

access-list inside_acl permit ip any host 192.168.20.20
access-list inside_acl deny ip any 192.168.10.0 255.255.255.0

Etapa 4 Quando as duas listas de saída são aplicadas à mesma interface, a seguinte regra é aplicada: a opções outgoing_src, e as listas de saída outgoing_dest são filtradas de forma independente. Se um filtro conter a opção de negação, o pacote de saída será negado. O resultado são estes dois elementos de access-list:

access-list inside_acl deny ip 10.10.10.0 255.255.255.0 host 192.168.20.20
access-list inside_acl permit ip host 10.10.20.20 host 192.168.20.20

Etapa 5 Adicione o seguinte elemento da lista de acesso para manter o comportamento padrão do PIX. Convém observar que, por padrão, o PIX permite o tráfego de saída. Quando uma lista de acesso é usada para filtrar pacotes, o tráfego não correspondente à lista de acesso é negado.

access-list inside_acl permit ip any any 

Adicione o seguinte comando access-group para referir-se à interface à qual a configuração de saída é aplicada. Observe que deve existir um access-group correspondente para associar a lista de acesso à interface.

access-group inside_acl in interface inside 

Etapa 6 A seguir, verifique a configuração traduzida de comandos outbound aplicadas a ambos os comandos outgoing_src e outgoing_dest para access-list comandos aplicados na ordem que aparecem.

access-list inside_acl deny ip 10.10.10.0 255.255.255.0 host 192.168.20.20
access-list inside_acl permit ip host 10.10.20.20 host 192.168.20.20
access-list inside_acl permit ip any host 192.168.20.20
access-list inside_acl deny ip any 192.168.10.0 255.255.255.0
access-list inside_acl permit ip host 10.10.20.20 any
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any
access-list inside_acl permit ip any any 
access-group inside_acl in interface inside 


Ajustes/Inspeção

O PIX utiliza inspeção de aplicativos stateful, conhecida como ajustes, para garantir uso seguro de aplicativos e serviços. Na ferramenta PIX Security Versão 7.0, o comando fixup foi substituído pelo comando inspect na infra-estrutura Modular Policy Framework (MPF).

MPF é uma estrutura de CLI que permite definir classes de tráfego e aplicar ações específicas do recurso (políticas) a elas, fornecendo maior granularidade e flexibilidade na configuração de políticas de rede.

Esta seção inclui os seguintes tópicos:

Comandos Afetados

Requisitos de Melhoramento

Descrição da Alteração do Comando

Impacto da Alteração

Comandos Afetados

No melhoramento para a ferramenta PIX Security Versão 7.0, o seguinte comando é afetado:

fixup

Requisitos de Melhoramento

Os comandos fixup migram automaticamente para comandos inspect da MPF quando atualizado para a ferramenta PIX Security Versão 7.0. Nenhuma intervenção manual é necessária.

Todos os comandos fixup existentes na configuração serão convertidos automaticamente em comandos MPF.

Todos os fixups que não podem ser configurados no momento (por exemplo, NetBIOS) tornam-se também configuráveis e são convertidos em comandos MPF.

Descrição da Alteração do Comando

A Tabela 5 lista as alterações feitas no comando fixup, e a Tabela 6 lista os portais-padrão dos comandos da Tabela 5.

fixup


Observação Na coluna da ferramenta PIX Security Versão 7.0 da Tabela 5, observe que os comandos inspect não possuem números de porta, diferentemente dos comandos fixup correspondentes no PIX Versão 6.3. Os números de porta deste exemplo são implicitamente incluídos em "class inspection-default". Quando uma inspeção é configurada para um protocolo em "class inspection-default", o protocolo é automaticamente inspecionado nessa porta padrão, porque essa classe associa o "default-inspection-traffic" para cada protocolo. A Tabela 6 lista as portas-padrão de cada inspeção mostrada na Tabela 5.


Tabela 5 Alterações no Comando fixup

PIX Versão 6.3
PIX Security Appliance Versão 7.0
fixup protocol esp-ike

Não suportado

fixup protocol dns maximum-length 512
fixup protocol h323 h225 1720
fixup protocol http 80
fixup protocol rsh 514
fixup protocol sip 5060
fixup protocol smtp 25
fixup protocol ftp 21
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rtsp 554
fixup protocol skinny 2000
fixup protocol sqlnet 1521
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ils
inspect rsh
inspect rtsp
inspect smtp
inspect sqlnet
inspect sip
inspect skinny
inspect netbios
inspect ctiqbe
inspect icmp
inspect http
inspect dns
!
service-policy global_policy global


Observação O comando fixup protocol esp-ike não é suportado na ferramenta PIX Security Versão 7.0. Este recurso é adequado para as plataformas PIX 501 e 506/506E, o qual não é suportado no momento pela ferramenta PIX Security Versão 7.0. A solução exige que o cliente e o head-end sejam compatíveis com NAT-T.

O comando inspect apresentado na ferramenta PIX Security Versão 7.0 não é o mesmo que o comando ip inspect do Cisco IOS.


Tabela 6 Portas-padrão para Comandos da Tabela 5

Nome do Protocolo Inspecionado
Protocolo
Porta de origem
Porta de destino

ctiqbe

dns

ftp

gtp

h323 h225

h323 ras

http

icmp

ils

mgcp

netbios

rpc

rsh

rtsp

sip

skinny

smtp

sqlnet

tftp

xdmcp

tcp

udp

tcp

udp

tcp

udp

tcp

icmp

tcp

udp

udp

udp

tcp

tcp

tcp, udp

tcp

tcp

tcp

udp

udp

N/A

53

N/A

2123,3386

N/A

N/A

N/A

N/A

N/A

2427,2727

137-138

111

N/A

N/A

N/A

N/A

N/A

N/A

N/A

177

2748

53

21

2123,3386

1720

1718-1719

80

N/A

389

2427,2727

N/A

111

514

554

5060

2000

25

1521

69

177


Impacto da Alteração

Esta seção descreve o impacto das alterações sobre os comandos da CLI na ferramenta PIX Security Versão 7.0.

Na ferramenta PIX Security Versão 7.0, os comandos fixup ainda são aceitos na CLI; no entanto, eles são convertidos nas MPF equivalentes na configuração. Em outras palavras, pode-se inserir comandos fixup na CLI, mas a configuração mostra apenas os comandos de estilo MPF convertidos. Além disso, quando um comando fixup é inserido na CLI, uma mensagem informativo semelhante à mostrada a seguir é exibida:

pix1(config)# fixup protocol http 8080
INFO: converting 'fixup protocol http 8080' to MPF commands

Na próxima versão, o comando fixup será substituído, e apenas os comandos MPF serão aceitos para todos os mecanismos de inspeção.

A Tabela 7 descreve as alterações feitas no comportamento do comando fixup na ferramenta PIX Security Versão 7.0:

Tabela 7 Alterações no Comportamento do Comando fixup

Comando
Descrição da Alteração

fixup

Convertido em comandos MPF.

no fixup

Os comandos MPF convertidos são removidos.

clear fixup

Esse comando é convertido no comando clear configure fixup. Assim como acontece com qualquer comando clear configure, a configuração padrão (nesse caso, a configuração padrão de mecanismos de inspeção) é restaurada quando esse comando é aplicado.

write memory

Os comandos Fixup não são mais gravados na memória Flash. Apenas os comandos MPF convertidos são gravados.


Novos ajustes introduzidos na ferramenta PIX Security Versão 7.0 suportarão apenas comandos CLI de estilo MPF.

Quando um comando fixup é convertido em um comando inspect MPF, o comando inspect é criado na política global habilitada. Se nenhuma política global estiver habilitada, uma política será criada.

Para desabilitar uma inspeção, remova o comando inspect do mapa de políticas ou emita o comando fixup correspondente pelo valor da porta padrão.

Para adicionar uma inspeção que não esteja habilitada por padrão, por exemplo, MGCP, basta adicionar o comando inspect ao mapa de políticas ou emitir o comando fixup correspondente (se um for suportado antes da ferramenta PIX Security Versão 7.0) com o valor da porta padrão.

Se uma porta não padrão adicional for necessária para uma inspeção:

utilize um mapa de classes separado para incluir a nova porta e, em seguida, adicione a nova classe e o comando inspect ao mapa de políticas.

ou

emita o comando fixup correspondente.

Por exemplo, se a porta 8080 tiver que ser adicionada para HTTP inspeção, emita o seguinte comando fixup:

fixup protocol http 8080

ou digite os seguintes comandos MPF:

class-map non_default_http_inspection <==== define a new class-map
	match port tcp eq 8080 <==== match tcp port 8080 traffic

policy-map global_policy       <==== select the policy-map
	class non_default_http_inspection     <==== add the new class
		inspect http                          <==== add the action to the new class

Se a configuração anterior à emissão dos comandos MPF for:

class-map inspection_default
    match default-inspection-traffic

policy-map global_policy
   class inspection_default
     inspect ftp
     inspect http

A configuração resultante após a emissão dos comandos MPF será:

class-map inspection_default
    match default-inspection-traffic

 class-map non_default_http_inspection
    match port tcp 8080

 policy-map global_policy
   class inspection_default
     inspect ftp
     inspect http
   class non_default_http_inspection
     inspect http

Se a porta padrão tiver que ser substituída por uma nova porta para uma inspeção:

o comando inspect correspondente deve ser removido do mapa de políticas e, em seguida, siga o exemplo anterior para adicionar a nova porta para inspeção,

ou

emita um comando no fixup pela porta padrão e, em seguida, emita um comando fixup com a nova porta.

Por exemplo, se a porta 8080 tiver que substituir a porta 80 para inspeção HTTP, emita os seguintes comandos fixup:

no fixup protocol http 80
fixup protocol http 8080

ou digite os seguintes comandos MPF:

policy-map global_policy       <==== select the policy-map
 	class inspection_default              <==== select the class
 		no inspect http                       <==== remove http from the class
 	class-map non_default_http_inspection <==== define a new class-map
 		match port tcp 8080                   <==== match tcp port 8080 traffic

policy-map global_policy       <==== select the policy-map
 class non_default_http_inspection     <==== add the new class
 	inspect http                          <==== add the action to the new class

Se a configuração anterior à emissão dos comandos MPF for:

class-map inspection_default
    match default-inspection-traffic

 policy-map global_policy
   class inspection_default
     inspect ftp
     inspect http

A configuração resultante após a emissão dos comandos MPF será:

ss-map inspection_default
    match default-inspection-traffic

 class-map non_default_http_inspection
    match port tcp 8080

 policy-map global_policy
   class inspection_default
     inspect ftp
   class non_default_http_inspection
     inspect http

Interfaces

Na ferramenta PIX Security Versão 7.0, a CLI da interface e os comandos relacionados foram aprimorados para serem hierárquicos. São introduzidos os conceitos de "interface principal", por exemplo, Ethernet0, e "sub-interface", por exemplo, Ethernet0.10. Um comando de modo de configuração interface é criado com vários comandos migrados ou adicionados ao comando do modo de configuração. Os benefícios da alteração são:

A notação de principal/subinterface fornece uma maneira fácil e consistente de representar várias interfaces físicas e interfaces lógicas VLAN nas ferramentas de segurança.

Em plataformas que suportam contextos de segurança, um recurso da ferramenta PIX Security Versão 7.0, é mais fácil definir e alocar interfaces para contextos com a nova estrutura de interface.

O comando de modo de configuração interface facilita outras melhorias de recurso, como o suporte a IPv6.

A saída hierárquica melhora a capacidade de leitura de um arquivo de configuração, em relação à estrutura plana.

Esta seção inclui os seguintes tópicos:

Comandos Afetados

Descrição da Alteração do Comando

Requisitos de Melhoramento

Impacto da Alteração

Comandos Afetados

No melhoramento para a ferramenta PIX Security Versão 7.0, os seguintes comandos são afetados:

interface

nameif

ip address

Descrição da Alteração do Comando

A palavra-chave auto no PIX Versão 6.3 é convertida em duas linhas de configuração na ferramenta PIX Security Versão 7.0: speed auto e duplex auto. As duas linhas são de configuração padrão e não serão exibidas.

A Tabela 8 fornece um exemplo de melhoramento de configuração, a Tabela 9 lista as alterações feitas no comando interface, e a Tabela 10 lista as alterações do modo de configuração da interface.

Tabela 8 Exemplo de Melhoramento de Configuração

PIX Versão 6.3
PIX Security Appliance Versão 7.0
interface ethernet0 auto
interface ethernet1 auto
interface ethernet1 vlan101 logical
interface ethernet1 vlan102 physical
interface ethernet2 auto shutdown

nameif ethernet0 outside security0
nameif vlan101 dmz security50
nameif vlan102 inside security100

ip address outside 171.45.0.13
ip address dmz 10.1.32.12
ip address inside 192.168.15.12
interface Ethernet0
nameif outside
security-level 0
ip address 171.45.0.13
interface Ethernet1
no nameif
no security-level
no ip address
interface Ethernet1.101
vlan 101
nameif dmz
security-level 50
ip address 10.1.32.12
interface Ethernet1.102
vlan 102
nameif inside
security-level 100
ip address 192.168.15.12
interface Ethernet2
shutdown
no nameif
no security-level
no ip address

Tabela 9 Alterações no Comando interface 

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
interface
interface <hardware_id> 
[<hardware_speed> [shutdown]] 
interface <type><port>

<hardware_speed> é configurado pelos comandos de modo de configuração duplex e speed

[shutdown] é executado pelo comando de modo de configuração shutdown

[no] interface <hardware_id> 
<vlan_id> [logical | 
physical] [shutdown] 
[no] interface 
<type><port>.<subif_number>

<vlan_id> é configurado pelo comando do modo de configuração vlan

interface <hardware_id> 
change-vlan <old_vlan_id> 
<new_vlan_id>

Utilize o comando de modo de configuração vlan <new_vlan_id>


Tabela 10 Comandos do Modo de Configuração de Interface 

Comando do Modo de Configuração de Interface
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
duplex

Parte do comando interface, opção <hardware_speed>

duplex {auto | full | half}
no duplex [auto | full | half]

Novo comando de modo de configuração interface

ip address
[no] ip address <if_name> 
<ip_address> [<netmask>] 
[no] ip address <ip_address> 
[<netmask>] [standby 
<stdby_address>]

Convertido no comando de modo de configuração interface

[no] ip address <if_name> 
dhcp [setroute] [retry 
<retry_cnt>]
[no] ip address dhcp [setroute] 
[retry <retry_cnt>]

nameif
[no] nameif {<hardware_id> | 
<vlan_id>} <if_name> 
<security_level> 
nameif <if_name>
[no] nameif [<if_name>]

Convertido no comando de modo de configuração interface.

<security_level> é configurado pelo comando do modo de configuração security-level

security-level

Parte do comando nameif, opção <security_level>

security-level <level>
[no] security-level [<level>]

Novo comando de modo de configuração interface

shutdown

Parte do comando interface, opção shutdown

[no] shutdown

Novo comando de modo de configuração interface

speed

Parte do comando interface, opção <hardware_speed>

speed {auto | 10 | 100 | 1000}
no speed [auto | 10 | 100 | 
1000] 

Novo comando de modo de configuração interface

vlan

Parte do comando interface, opção <vlan_id>

vlan <id>
no vlan [<id>]

Novo comando de modo de configuração interface


Requisitos de Melhoramento

Os comandos interface, nameif, e ip address do arquivo de configuração do PIX Versão 6.3 são convertidos automaticamente durante o melhoramento para a ferramenta PIX Security Versão 7.0. Nenhuma intervenção manual é necessária.

Os comandos sysopt connection permit-pptp e sysopt connection permit-l2tp não são mais suportados na ferramenta PIX Security Versão 7.0.

Impacto da Alteração

Depois de inicializar o sistema com a imagem da ferramenta PIX Security Versão 7.0, o software só aceita as novas CLIs da interface. Um erro de sintaxe ocorre ao tentar utilizar o formato da CLI antiga.

Listas de Controle de Acesso (ACLs)

Na ferramenta PIX Security Versão 7.0, não é mais necessário compilar listas de acesso. O sistema agora otimiza automaticamente o processamento das listas de acesso.

Esta seção inclui os seguintes tópicos:

Comandos Afetados

Requisitos de Melhoramento

Descrição da Alteração do Comando

Impacto da Alteração

Comandos Afetados

No melhoramento para a ferramenta PIX Security Versão 7.0, os seguintes comandos são afetados:

access-list <id> compiled

access-list compiled

Requisitos de Melhoramento

Os comandos da lista de control de acesso (ACL) são convertidos automaticamente durante o melhoramento para a ferramenta PIX Security Versão 7.0. Nenhuma intervenção manual é necessária, e nenhuma funcionalidade é afetada.

Descrição da Alteração do Comando

A Tabela 11 lista as alterações feitas no comando access-list.

access-list

Tabela 11 Alterações no Comando access-list

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
access-list
[no] access-list compiled 

Não suportado

[no] access-list <id> compiled

Não suportado


Impacto da Alteração

Esta seção descreve o impacto das alterações sobre nas ACLs da ferramenta PIX Security Versão 7.0.

Todas as instruções de configuração de lista de acesso que têm a opção compiled são ignoradas pelo analisador que não tem nenhum efeito, porque as listas de acesso são sempre mantidas em um estado em que as buscas são bastante eficientes. Todas as outras instruções na configuração das listas de acesso serão aceitas e se comportam da mesma forma que no PIX Versão 6.3.

As linhas de configuração no PIX Versão 6.3 que têm a palavra-chave compiled não são mais aceitas pelo novo analisador. Uma mensagem de erro é impressa, e a instrução não é armazenada na configuração que está sendo executada, conforme o exemplo a seguir:

pix(config)# access-list compiled
ERROR:% Incomplete command

A instrução de erro anterior ocorre porque a opção compiled não é mais uma palavra-chave e é tratada como um nome de uma lista de acesso.

pix(config)# access-list 888 compiled

WARNING:% This command has been DEPRECATED. The access-lists are always maintained in 
optimized form

Como a palavra-chave compiled foi removida, a linha de configuração não é válida e não é aceita pelo analisador.

Todas as outras configurações de linha de acesso serão atualizadas de forma transparente.

VPN

Comandos VPN, como username, group-policy, e tunnel-group foram adicionados para suportar uma hierarquia de usuários/grupos que fornece flexibilidade para definir informações de política de segurança por grupos de usuários com habilidade de substituir políticas de grupo por políticas específicas ao usuário. As distinções entre grupos de túnel e políticas de grupo permitem também realizar o offload de muitas das informações de políticas para um servidor externo, em vez de configurá-las totalmente na ferramenta de segurança.

Além disso, os comandos ca e vpdn foram alterados da seguinte forma (consulte a seção "Descrição da Alteração do Comando"):

Comando ca —Os comandos de autoridade de certificação (ca) foram modificados para incorporar mais recursos PKI e deixá-los mais parecidos com os comandos do Cisco IOS Software. Consulte a seção "Public Key Infrastructure (PKI)" para mais informações sobre as alterações feitas no comando ca.

O Comando vpdn vpdn foi removido, porque o suporte para o L2TP/PPTP/PPPoE foi removido da ferramenta PIX Security Versão 7.0. A configuração dos objetos VPDN antigos no nível do grupo é realizada por meio dos comandos tunnel-group e group-policy.

Esta seção inclui os seguintes tópicos:

Comandos Afetados

Requisitos de Melhoramento

Descrição da Alteração do Comando

Impacto da Alteração

Comandos Afetados

No melhoramento para a ferramenta PIX Security Versão 7.0, os seguintes comandos são afetados:

ca (consulte a seção "Public Key Infrastructure (PKI)")

crypto dynamic-map

crypto ipsec

crypto-map

isakmp

url-server

vpdn

vpngroup

Requisitos de Melhoramento

A maioria dos comandos VPN é convertida automaticamente durante o melhoramento para a ferramenta PIX Security Versão 7.0, sem intervenção manual.

Descrição da Alteração do Comando

A Tabela 12 lista as alterações feitas no comando ca, a Tabela 13 lista as alterações feitas no comando crypto ipsec, a Tabela 14 lista as alterações no comando crypto map, a Tabela 15 lista as alterações feitas no comando isakmp, a Tabela 16 lista as alterações no comando vpdn, e a Tabela 17 lista as alterações feitas no comando vpngroup.

Tabela 12 Alterações no Comando ca 

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
ca
ca authenticate <ca_nickname> 
[<fingerprint>]
crypto ca authenticate 
<trustpoint> 
   [fingerprint <hex value>]
   [nointeractive]


[no] ca crl request 
<ca_nickname>
crypto ca crl request 
<trustpoint>


[no] ca enroll <ca_nickname> 
<challenge_password> [serial] 
[ipaddress]
crypto ca trustpoint <name>
    [no] ip-address <address>
    [no] serial-number 
    password <password>
    exit
 crypto ca enroll <name> 


ca generate rsa {key | 
specialkey} 
<key_modulus_size>
crypto key generate rsa 
[usage-keys | general-keys]
[label <key-pair-label>] 
[modulus <size>]
[noconfirm]


[no] ca identity <ca_nickname> 
[<ca_ipaddress> | <hostname> 
[:<ca_script_location>] 
[<ldap_ip address> | 
<hostname>]]
crypto ca trustpoint <name>
    enroll url 
<ip_address|hostname>[:<ca_scri
pt_location>]
    crl 
        ldap_defaults 
<ldap_ip|hostname>
        exit
    exit


[no] ca save all

Não suportado

Certificados e chaves serão salvos sempre que a configuração for salva


[no] ca subject-name 
<ca_nickname> <X.500_string>
crypto ca trustpoint <name>
    [no] subject-name <X.500 
string>


ca zeroize rsa 
[<keypair_name>]
crypto key zeroize rsa|dsa 
[label <key-pair-label>] 
[noconfirm]


ca generate rsa key <modulus>
crypto key generate rsa 
[usage-keys | general-keys]
[label <key-pair-label>] 
[modulus <size>]
[noconfirm]


ca generate rsa specialkey 
<size>
crypto key generate rsa 
usage-keys modulus <size>


[no] ca configure 
<ca_nickname> ca | ra 
<retry_period> <retry_count> 
[crloptional]
crypto ca trustpoint 
<trustpoint name>
     enrollment retry period 
<minutes>
     enrollment retry count 
<num>
     crl configure

O período e a contagem de tentativas são agora configurados por meio do modo de configuração trustpoint. A configuração crl é um modo de configuração adicional que pode ser acessado no modo de configuração trustpoint.


[no] ca verifycertdn <x.500 
string>
crypto ca verifycertdn <x.500 
string>


crypto ipsec

Tabela 13 Alterações no Comando crypto ipsec 

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
crypto ipsec
[no] crypto ipsec 
security-association lifetime 
seconds <seconds> | kilobytes 
<kilobytes>
[no] [crypto] ipsec 
security-association lifetime 
seconds <seconds> | kilobytes 
<kilobytes >

O suporte AH (Authentication Header) foi removido

Observação A versão autônoma deste comando ipsec funciona da mesma forma que a versão crypto

Os seguintes comandos foram adicionados:

[crypto] ipsec df-bit [clear-df | copy-df | set-df] <interface-name>

[crypto] ipsec fragmentation [after-encryption | before-encryption] <interface-name>

clear configure [crypto] ipsec transform-set <transform-set-name>

show [crypto] ipsec stats

show [crypto] ipsec df-bit <interface-name>

show [crypto] ipsec fragmentation <interface-name>

crypto ipsec transform-set < 
transform-set-name> 
<transform1> [<transform2> 
[<transform3>]]
[no] [crypto] ipsec 
transform-set 
<transform-set-name> transform1 
[transform3]
[no] crypto ipsec 
transform-set <trans-name> 
[ah-md5-hmac | ah-sha-hmac] 
[esp-aes | esp-aes-192 | 
esp-aes-256| esp-des | 
esp-3des| esp-null] 
[esp-md5-hmac | esp-sha-hmac | 
esp-none]
[no] [crypto] ipsec 
transform-set 
<transform-set-name> [esp-aes 
|esp-aes-192 | esp-aes-256| 
esp-des | esp-3des| esp-null] 
[esp-md5-hmac | esp-sha-hmac | 
esp-null]
crypto ipsec transform-set 
<transform-set-name> mode 
transport
[no] [crypto] ipsec 
transform-set 
<transform-set-name> mode 
transport [crypto] ipsec df-bit 
[clear-df | copy-df | set-df] 
<interface-name>

crypto map

Tabela 14 Alterações no Comando crypto map 

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
crypto map
[no] crypto map <map-name> 
interface <interface-name>
[no] crypto map <map-name> 
interface <interface-name>

O suporte aos seguintes comandos foi removido:

[no] crypto map <map-name> <seq-num> set session-key inbound | outbound ah <spi> <hex-key-string>


[no] crypto map <map-name> <seq-num> set session-key inbound | outbound esp <spi> <cipher hex-key-string> [authenticator <hex-key-string>]


Novos membros de grupos foram adicionados à especificação do grupo Diffie-Hellman (DH)

O limite de 10 pontos especificados foi adicionado. Os nove pontos adicionais são utilizados como pontos de fallback quando o dispositivo é utilizado no modo "apenas original" por meio do parâmetro do tipo de conexão.

Observação A versão autônoma do comando map funciona da mesma forma que a versão crypto.

[no] crypto map <map-name> 
client [token] authentication 
<aaa-server-name>

Substituído

[no] crypto map <map-name> 
<seq-num> ipsec-isakmp | 
ipsec-manual [dynamic 
<dynamic-map-name>]
[no] crypto map <map-name> 
<seq-num> ipsec-isakmp dynamic 
<dynamic-map-name>
[no] crypto map <map-name> 
<seq-num> set pfs [group1 | 
group2]
[no] crypto map <map-name> 
<seq-num> set pfs [group1 | 
group2 | group5 |group7] 
[no] crypto map <map-name> 
<seq-num> match address 
<acl_name>
[no] crypto map <map-name> 
<seq-num> match address 
<acl_name>
[no] crypto map <map-name> 
<seq-num> set peer 
{<ip_address> | <hostname>}
[no] crypto map <map-name> 
<seq-num> set peer {ip_address1 
| hostname1} [..ip_address10 | 
hostname10]
[no] crypto map <map-name> 
<seq-num> set 
security-association lifetime 
seconds <seconds> | kilobytes 
<kilobytes>
[no] crypto map <map-name> 
<seq-num> set 
security-association lifetime 
seconds <seconds> | kilobytes 
<kilobytes>
[no] crypto map map-name 
seq-num set transform-set 
<transform-set-name1> 
[<transform-set-name6>]
[no] crypto map <map-name> 
<seq-num> set transform-set 
<transform-set-name1>
[.. <transform-set-name6>] 
[no] crypto map <map-name> 
client configuration address 
initiate | respond

Não suportado


isakmp

Tabela 15 Alterações no Comando isakmp 

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
isakmp
isakmp keepalive <seconds> 
[<retry-seconds>] 
tunnel-group <group name> type 
ipsec-ra|ipsec-l2l
tunnel-group <group name> 
ipsec-attributes
   isakmp keepalive [threshold 
<seconds>][retry <seconds>]

isakmp key <keystring> address 
<peer-address> [netmask <mask>] 
[no-xauth] [no-config-mode] 
tunnel-group <group name> type 
ipsec-l2l
tunnel-group <group name> 
ipsec-attributes
   pre-shared-key <preshared key>

O comando isakmp era utilizado para definir uma chave pré-compartilhada para túneis de LAN para LAN. Isso é feito de forma genérica para túneis de LAN para LAN e de acesso remoto por meio do comando tunnel-group.

isakmp client configuration 
address-pool local <pool-name> 
[<interface-name>]
tunnel-group <group name> type 
ipsec-l2l
tunnel-group <group name> 
general-attributes
   address-pool [(interface 
name)] <address_pool1> 
[...<address-pool6>]

isakmp peer fqdn | ip <fqdn | 
ip-address> {no-xauth 
|no-config-mode}
tunnel-group <group name> type 
ipsec-l2l|ipsec-ra

A exclusão de Xauth e modecfg é implícita na definição do grupo de túneis. Se um grupo de túneis está definido como ipsec-l2l, ele automaticamente exclui Xauth e modecfg.


Observe que na ferramenta PIX Security Versão 7.0, a política padrão ISAKMP não está mais oculta. A política padrão ISAKMP está agora visível na configuração em execução, e poderá reter, modificar ou removê-la.

Sintaxe do PIX Versão 6.3:

Default protection suite
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Rivest-Shamir-Adleman Signature
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit

Sintaxe da ferramenta PIX Security Versão 7.0:

isakmp policy 65535 authentication rsa-sig
isakmp policy 65535 encryption des
isakmp policy 65535 hash sha
isakmp policy 65535 group 1

isakmp policy 65535 lifetime 86400

vpdn

Tabela 16 Alterações no Comando vpdn 

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
vpdn

vpdn group <group_name>

pptp echo <echo_time>

Não suportado

Não há suporte para o PPTP na ferramenta PIX Security Versão 7.0

vpdn group <group_name> accept dialin l2tp

Não suportado

Não há suporte a L2TP e L2TP no IPSec na ferramenta PIX Security Versão 7.0.

vpdn group <group_name> accept dialin pptp

Não suportado

Não há suporte para o PPTP na ferramenta PIX Security Versão 7.0

vpdn group <group_name>

[client configuration address local <address_pool_name>]

Não suportado

vpdn group <group_name> client configuration <dns dns_ip1> [<dns_ip2>]

Não suportado

vpdn group <group_name> client configuration wins <wins_ip1> [<wins_ip2>]

Não suportado

vpdn group <group_name> client authentication local | aaa <auth_aaa_group>

Não suportado

 

vpdn group <group_name> client accounting aaa <auth_aaa_group>

Não suportado

vpdn group <group_name>

l2tp tunnel hello <hello_timeout>

Não suportado

vpdn enable <if_name>

Não suportado

Desnecessário; todo o tráfego do PPP é encapsulado pelo IPSec

vpdn group <group_name> ppp authentication pap|chap|mschap

Não suportado

vpdn group <group_name> ppp encryption mppe 40 | 128| auto [obrigatório]

Não suportado

Desnecessário; todo o tráfego do PPP é encapsulado pelo IPSec

show vpdn tunnel [l2tp|pptp|pppoe]

[id <tnl_id> | packets | state

| summary | transport]

Não suportado

Funcionalidade substituída pelo comando vpn-sessiondb

show vpdn session [l2tp|pptp|pppoe]

[id <sess_id> | packets | state| window]

Não suportado

Funcionalidade substituída pelo comando vpn-sessiondb

show vpdn pppinterface [id <dev_id>]

Não suportado

Funcionalidade substituída pelo comando vpn-sessiondb

 

clear vpdn [group | interface|

tunnel <tnl_id> | username]

Não suportado

Funcionalidade substituída pelo comando vpn-sessiondb

 

vpdn group <group_name> request dialout pppoe

Não suportado

Utilizado apenas para PPOE, que não é suportado nesta versão

 

show vpngroup [<group_name>]

Não suportado


vpngroup

Tabela 17 Alterações no Comando vpngroup 

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas

vpngroup

vpngroup <group_name>

address-pool <pool_name>

tunnel-group <group name> type 
ipsec-l2l
tunnel-group <group name> 
general-attributes
   address-pool [(interface name)] 
<address_pool1> [...<address-pool6>]

Converted to tunnel-group syntax

vpngroup <group_name>

authentication-server <servers>

Não suportado

Utilizado no PIX Versão 6.3 para aprovar um endereço de servidor AAA para Autenticação de Usuário Individual (IUA), um recurso utilizado no cliente do hardware; a ferramenta PIX Security Versão 7.0 executa o proxy da requisição AAA para o cliente do hardware e, portanto, envia sempre o próprio endereço.

vpngroup <group_name> backup-server

{<{ip1> [<ip2> ... <ip10>]} | clear-client-cfg}

No modo de configuração de atributos da política de grupos:

[no] backup-servers <peer1 peer2 
.....peer10> | clear-client-config | 
keep-client-config

Convertido na sintaxe de group-policy

vpngroup <group_name>

default-domain <domain_name>

No modo de configuração de atributos da política de grupos:

[no] default-domain value <domain-name> 

Convertido na sintaxe de group-policy

 

vpngroup <group_name> device-pass-through

No modo de configuração de atributos da política de grupos:

ip-phone-bypass <enable|disable>
leap-bypass <enable|disable>

Convertido na sintaxe de group-policy.

A exceção IUA não é mais baseada no endereço MAC. O administrador pode optar por isentar Cisco IP Phones e/ou qualquer dado LEAP da Autenticação de Usuário Individual.

vpngroup <group_name>

dns-server <dns_ip_prim> [<dns_ip_sec>]

No modo de configuração de atributos da política de grupos:

[no] dns-server value <ip_address> 
[ip_address]

Convertido na sintaxe de group-policy

vpngroup <group_name>

idle-time <idle_seconds>

No modo de configuração de atributos da política de grupos:

[no] vpn-idle-timeout <minutes> | none

Convertido na sintaxe de group-policy

vpngroup <group_name>

max-time <max_seconds>

No modo de configuração de atributos da política de grupos:

[no] vpn-session-timeout <minutes> | 
none

Convertido na sintaxe de group-policy

vpngroup <group_name>

password <preshared_key>

tunnel-group <group name> type ipsec-ra
tunnel-group <group name> 
ipsec-attributes
   pre-shared-key <preshared key>

Converted to tunnel-group syntax

vpngroup <group_name> pfs

No modo de configuração de atributos da política de grupos:

pfs <enable|disable>

Convertido na sintaxe de group-policy

vpngroup <group_name>

secure-unit-authentication

No modo de configuração de atributos da política de grupos:

secure-unit-authentication 
<enable|disable>

Convertido na sintaxe de group-policy

vpngroup <group_name>

split-dns <domain_name1>

[<domain_name2> ... <domain_name8>]

No modo de configuração de atributos da política de grupos:

[no] split-dns value <domain_name1 
domain_name2 ... domain_nameN>

Convertido na sintaxe de group-policy

vpngroup <group_name> split-tunnel <access_list>

No modo de configuração de atributos da política de grupos:

[no] split-tunnel-network-list value 
<access-list name> 

Convertido na sintaxe de group-policy

 

vpngroup <group_name> user-authentication

No modo de configuração de atributos da política de grupos:

user-authentication <enable|disable>

Convertido na sintaxe de group-policy

vpngroup <group_name>

user-idle-timeout <user_idle_seconds>

No modo de configuração de atributos da política de grupos:

[no] user-authentication-idle-timeout 
<minutes> | none

Convertido na sintaxe de group-policy

vpngroup <group_name>

wins-server <wins_ip_prim> [<wins_ip_sec>]

No modo de configuração de atributos da política de grupos:

[no] wins-server value <ip_address> 
[ip_address]

Convertido na sintaxe de group-policy

show vpngroup [<group_name>]

show running-config [default] 
tunnel-group [<name> 
[general-attributes | ipsec-attributes 
| ppp-attributes]]

show running-config [default] 
group-policy [<name> [attributes]]

Convertido na sintaxe de tunnel-group e group-policy; ambos os comandos são utilizados para substituir o comando vpngroup.


Impacto da Alteração

Esta seção descreve o impacto das alterações sobre os comandos da CLI na ferramenta PIX Security Versão 7.0.

Trustpoints—O conceito e a sintaxe de um trustpoint são novos para a ferramenta PIX Security Versão 7.0. Um trustpoint consiste em um par de certificados/certificados de identidade CA e permite a configuração e o uso de vários certificados CA e, portanto, vários certificados de identidade na ferramenta PIX Security Versão 7.0. O PIX Versão 6.3 suportava apenas a configuração e o uso de um único certificado de identidade. A seguir, está um exemplo de como a CLI foi alterada:

Sintaxe do PIX Versão 6.3:

ca identity myca 10.10.10.100 10.10.10.110
ca configure myca ca 3 3 

Sintaxe da ferramenta PIX Security Versão 7.0:

crypto ca trustpoint myca
    enroll url 10.10.10.100
    enrollment mode ca
    enrollment retry period 3
    enrollment retry count 3
    crl required
    crl 
        ldap_defaults 10.10.10.110
        exit
   exit

Gerenciamento de Grupos—O comando vpngroup está sendo substituído pelos comandos tunnel-group e group-policy. A divisão de dados de configuração entre o grupo de túneis e a política de grupos tem como objetivo facilitar o compartilhamento de políticas de grupos. Geralmente, o grupo de túneis está ligado a um ponto VPN ou a um grupo de pontos. A política de grupos é, então aplicada a um único grupo de túneis ou a vários grupos de túneis. Uma vantagem adicional é que a política de grupo pode ser armazenada ou mantida em um servidor de políticas externo. Todos os usos do comando vpngroup são automaticamente convertidos em comandos tunnel-group and group-policy. Aqui está um exemplo de alguns comandos vpngroup convertidos na nova sintaxe:

Sintaxe do PIX Versão 6.3:

vpngroup group1 address-pool pool1
vpngroup group1 password mypassword

Sintaxe da ferramenta PIX Security Versão 7.0:

tunnel-group group1 type ipsec-ra
tunnel-group group1 general-attributes
address-pool pool1
tunnel-group group1 ipsec-attributes
pre-shared-key mypassword

Sintaxe do PIX Versão 6.3:

crypto map map_name client authenticate aaa_server_group_name

Sintaxe da ferramenta PIX Security Versão 7.0:

tunnel-group group1 type ipsec-ra
tunnel-group group1 general-attributes
authentication-server-group myservergroup

Configuração de Usuários PPP—A configuração de usuários PPP por meio do comando vpdn não é mais suportada, e o comando não é suportado no PIX Security Appliance Versão 7.0.

Pontos Remotos— Depois de atualizar do PIX Versão 6.3 para a ferramenta PIX Security Versão 7.0, as conexões falham no PIX, encerrando as conexões remotas dos pontos IOC no mapa de criptografia dinâmica com certificados. A solução é alterar a configuração para forçar a conexão de pontos IOS ao grupo ipsec-l2l.

O exemplo a seguir mostra a saída quando insere o comando debug crypto isakmp 50, depois que executa um melhoramento para a ferramenta PIX Security Versão 7.0:

...
[IKEv1], IP = x.x.x.x , Connection landed on tunnel_group DefaultRAGroup
[IKEv1], Group = DefaultRAGroup, IP = x.x.x.x Xauth
required but selected Proposal does not support xauth,  Check
priorities of ike xauth proposals in ike proposal list,
...

Xauth Desabilitado/Habilitado—No PIX Versão 6.3, Xauth era desabilitado por padrão para túneis de acesso dinâmico ou remoto (cliente), a menos que fosse utilizando Xauth, não haveria qualquer indicação dele na configuração. Quando atualizar para a ferramenta PIX Security Versão 7.0, Xauth está habilitado por padrão no grupo padrão de túneis de acesso remoto e tenta autenticar túneis para a base de dados local. No PIX Versão 6.3, se encerrar túneis VPN dinâmicos sem Xauth, deverá adicionar as seguintes informações à configuração depois de atualizar para interromper Xauth:

Para o grupo padrão:

tunnel-group DefaultRAGroup general-attributes
   authentication-server-group none

Se um grupo de túnel adicional foi convertido, deverá adicionar o seguinte comando a cada grupo de túneis:

tunnel-group <group_name> general-attributes
   authentication-server-group none

Failover

Várias alterações foram introduzidas nos comandos utilizados para gerenciar a alta disponibilidade na ferramenta de segurança. O principal motivo para as alterações feitas nos comandos failover na ferramenta PIX Security Versão 7.0 é para unificar a interface de comando do Cisco Service Module e da ferramenta de segurança.


Cuidado Se compartilhar a ligação de melhoramento de Failover Stateful com uma ligação para tráfego regular, como, por exemplo, a interface interna, deverá alterar a configuração antes do melhoramento uma vez que a ferramenta PIX Security Versão 7.0 não suporta esta configuração. A ferramenta PIX Security Versão 7.0 trata o failover de LAN e as interfaces de melhoramento de Failover Stateful como interfaces especiais. No PIX Versão 6.3, quando uma interface compartilha tráfego regular e melhoramentos de Failover Stateful, a configuração relativa à interface de tráfego regular será perdida após o melhoramento, caso não altere a configuração. A configuração perdida pode impedir a conexão com a ferramenta Security através da rede.

Esta seção inclui os seguintes tópicos:

Notas importantes

Comandos Afetados

Requisitos de Melhoramento

Descrição da Alteração do Comando

Notas importantes

O compartilhamento de uma interface Failover Stateful com um interface de firewall regular não é uma configuração suportada na ferramenta PIX Security Versão 7.0. A restrição não era forçada no PIX Versão 6.3 e versões anteriores. Se configurou o PIX para uso compartilhado, a configuração relativa à interface de firewall será perdida após o melhoramento para a ferramenta PIX Security Versão 7.0.

Por exemplo, se atualizar o PIX com um arquivo de configuração contendo as seguintes linhas:

nameif ethernet1 inside security100
failover link inside
static (inside,outside) 172.33.12.10 192.168.10.1 netmask 255.255.255.255 0 0

interface `interna' será utilizado para Failover Stateful e para tráfego regular. A linha com o comando static ou qualquer outro comando que utilize interface `interna' será perdida após um melhoramento.

Para evitar perda de configuração, antes de atualizar para a ferramenta PIX Security Versão 7.0, mova o Stateful Failover para uma interface física separada, ou desabilite o Stateful Failover inserindo o comando no failover link <interface> e salve a configuração em memória Flash utilizando o comando write memory.

Comandos Afetados

No melhoramento para a ferramenta PIX Security Versão 7.0, o seguinte comando é afetado:

failover

Requisitos de Melhoramento

Todos os comandos failover são convertidos automaticamente durante o Melhoramento para a ferramenta PIX Security Versão 7.0. Nenhuma intervenção manual é necessária.


Observação Na ferramenta PIX Security Versão 7.0, o cabo crossover e o cabo failover serial são suportados em configurações failover Ativo/Ativo.


Descrição da Alteração do Comando

A Tabela 18 lista as alterações feitas no comando failover.

failover

Tabela 18 Alterações no Comando failover 

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas

failover

failover poll <sec>

failover polltime [unit] [msec] <sec_and_msec> [holdtime <sec>]

no failover poll [<sec>]

no failover polltime unit| interface [<sec>]

[no] failover ip address <intf> [<ipaddr>]

Não suportado

Utilize a opção "passivo" do endereço IP do comando interface

failover lan interface <intf>

[no] failover lan interface <intf> <main_or_sub_intf>

failover link <intf>

failover link <intf> [<main_or_sub_intf>]

failover lan key <secret>

[no] failover key <key>


Impacto da Alteração

Esta seção descreve o efeito das alterações de failover sobre os comandos da CLI na ferramenta PIX Security Versão 7.0.

O comando failover ip address foi substituído pela opção passivo do comando de modo de configuração ip address do comando interface. Por exemplo:

Sintaxe do PIX Versão 6.3:

interface ethernet0 100full
nameif ethernet0 outside security0
ip address outside 10.0.1.1 255.255.0.0
failover ip address outside 10.0.1.11

Sintaxe da ferramenta PIX Security Versão 7.0:

interface e0
  nameif outside
  ip address 10.0.1.1 255.255.255.0 standby 10.0.1.11
  exit
!

A interface failover lan e o comando failover link também tiveram alterações semelhantes.

Sintaxe do PIX Versão 6.3:

interface ethernet3 auto
nameif ethernet3 stlink security0
ip address stlink 10.0.4.1 255.255.0.0
failover ip address stlink 10.0.4.11
failover link stlink
interface ethernet4 auto
nameif ethernet4 folink security0
ip address folink 10.0.5.1 255.255.0.0
failover ip address outside 10.0.5.11
failover lan int folink

Sintaxe da ferramenta PIX Security Versão 7.0:

failover lan interface folink e4
failover link stlink e3
failover interface ip folink 10.0.5.1 255.255.255.0 standby 10.0.5.11
failover interface ip stlink 10.0.4.1 255.255.255.0 standby 10.0.4.11

Na ferramenta PIX Security Versão 7.0, o comando failover lan key <key> foi alterado para o comando failover key <key>. No PIX Versão 6.3, a mensagem de criptografia de failover aplicava-se apenas ao failover de LAN. Na ferramenta PIX Security Versão 7.0, a mensagem de criptografia de failover aplica-se também a um failover de cabo serial. A palavra-chave lan foi removida, uma vez que o comando failover key <key> suporta agora failover de LAN e serial.

No PIX Versão 6.3, o comando failover poll especificava apenas a configuração unitária; a palavra-chave unit ficava omitida, porque ela estava implícita. Na ferramenta PIX Security Versão 7.0, o suporte a holdtime foi adicionado; assim, as palavras-chave unit e holdtime foram adicionadas. A sintaxe do PIX Versão 6.3 (failover poll 3, por exemplo) ainda é aceita e seria automaticamente convertida (failover polltime unit 3 holdtime 9, por exemplo) na ferramenta PIX Security Versão 7.0.

Na ferramenta PIX Security Versão 7.0, a chave de failover deve ser configurada para que o Failover de VPN seja habilitado. Se a chave não estiver configurada, o Failover de VPN será automaticamente desabilitado. Depois que a chave estiver configurada, o Failover de VPN estará funcional novamente. Essa alteração foi implementada por motivos de segurança.

AAA

A CLI AAA inclui a configuração de parâmetros para as seguintes funções, embora nem todas as função sejam diretamente afetadas pelas alterações:

Usuários de Acesso Remoto VPN (IPSec, L2TP no IPSec)

Proxies de autenticação de cut-through para FTP, Telnet, HTTP e HTTPS

Gerenciamento de dispositivos

Há várias alterações nos comandos AAA, além de uma quebra de paradigma que afetará a forma como AAA é configurado na ferramenta PIX Security Versão 7.0. A quebra do paradigma é uma alteração na forma como parâmetros específicos do servidor são definidos. No PIX Versão 6.3, os parâmetros do servidor eram configurados por grupo de servidores. Na ferramenta PIX Security Versão 7.0, os parâmetros do servidor podem ser configurados por host de AAA, com alguns parâmetros sendo configurados apenas para todo o grupo de servidores de AAA.

Há também uma quebra de paradigma na forma como os grupos de servidores de AAA são mapeados para túneis VPN. (Consulte a seção "VPN" para informações sobre essas alterações).

Esta seção divide a migração de AAA e inclui os seguintes tópicos:

Comandos Afetados

Requisitos de Melhoramento

Descrição da Alteração do Comando

Impacto da Alteração

Comandos Afetados

No melhoramento para a ferramenta PIX Security Versão 7.0, os seguintes comandos são afetados:

aaa-server

aaa-server radius-acctport

aaa-server radius-authport

auth-prompt

floodguard

Requisitos de Melhoramento

Os comandos aaa são convertidos automaticamente durante o melhoramento para a ferramenta PIX Security Versão 7.0. Nenhuma intervenção manual é necessária.


Observação Na ferramenta PIX Security Versão 7.0, a conexão do FTP é redefinida imediatamente enquanto a negação da autorização é configurada. No PIX Versão 6.3, o PIX fornecia um login de FTP antes de negar a autorização.


Descrição da Alteração do Comando

A Tabela 19 lista as alterações feitas no comando aaa-server, a Tabela 20 lista as alterações feitas no comando auth-prompt, e a Tabela 21 lista as alterações feitas no comando floodguard.

aaa-server

Tabela 19 Alterações no Comando aaa-server

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
aaa-server
[no] aaa-server radius-acctport 
[<acct_port>]
aaa-server <group tag> 
[<(if_name)>] host <server ip>
[no] accounting-port <port>

Os valores radius-acctport and radius-authport podem agora ser configurados como parte dos comandos de modo de configuração específicos do host aaa-server

Essas configurações baseiam-se agora no host; antes, elas se baseavam em grupos de servidor.

[no] aaa-server radius-authport 
[<auth_port>]
aaa-server <group tag> 
[<(if_name)>] host <server ip>
[no] authentication-port 
<port>
aaa-server <group name> 
[(if_name)] host server_ip [key] 
[timeout seconds]
aaa-server <group name> 
[(if_name)] host server_ip
    key <key>
    timeout <seconds>

O comando de modo de configuração aaa-server adicionou dois comandos de modo de configuração (key e timeout)


auth-prompt

Tabela 20 Alterações no Comando auth-prompt

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
auth-prompt
auth-prompt {<prompt> | accept | 
reject} <text>
auth-prompt {prompt | accept | 
reject} <text>

Agora, uma das seguintes palavras-chave é obrigatória:

{prompt | accept | reject}

no auth-prompt [<prompt> | 
accept | reject][<text>]
no auth-prompt {prompt | accept | 
reject} [<text>]

Agora, uma das seguintes palavras-chave é obrigatória:

{prompt | accept | reject}


floodguard

Tabela 21 Alterações no Comando floodguard

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
floodguard
[no] floodguard [enable|disable]

Não suportado

A seguinte mensagem será exibida: "Este comando não é mais necessário". O recurso floodguard está sempre habilitado."

show run floodguard
clear config floodguard

Impacto da Alteração

Esta seção descreve o impacto das alterações sobre os comandos da CLI na ferramenta PIX Security Versão 7.0.

A ferramenta PIX Security Versão 7.0 permite que a maioria dos parâmetros de configuração do servidor de AAA seja configurada por host. Isso resultou no comando aaa server com dois modos de configuração: um modo de configuração de host para configuração de parâmetros específicos do host AAA e um modo de configuração de grupo para configuração de parâmetros que só podem ser aplicados a todo o grupo de servidores AAA.

Aqui está um exemplo:

aaa-server svrgrp1 protocol radius
aaa-server svrgrp1 host 10.10.10.1
timeout 30
retry 3
exit
aaa-server svrgrp1 host 10.10.10.2
timeout 60
retry 3
exit

Na ferramenta PIX Security Versão 7.0, foram substituídas as seguintes formas de comando:

[no] aaa-server radius-authport [auth_port]

[no] aaa-server radius-acctport [acct_port]

Esses comandos, aplicados apenas a grupos de servidores que contêm servidores RADIUS, foram semanticamente alterados. Como estão sendo substituídos, eles não serão gravados no arquivo de configuração. Esses comandos podem ser utilizados para substituir as portas padrão de autenticação e contabilização RADIUS para todos os servidores (os padrões implícitos são as portas 1645 e 1646 respectivamente). Essa definição de porta global pode, então, ser substituída pelo comando de modo de configuração específico do host.

No PIX Versão 6.3, os proxies de cut-through interceptavam o tráfego que seguiam para as portas 80 ou 8080. Com a ferramenta PIX Security Versão 7.0, os proxies de cut-through verificam as portas locais no modo estático e, em seguida, interceptam e iniciam a autenticação da Web para o tráfego destinado a qualquer porta global, apenas se a porta local for a porta 80.

Exemplos:

Caso 1:

Se a port PAT externa for configurada como 666 (e as ACLs forem configuradas de forma apropriada)

static (inside, outside) tcp tcp 10.48.66.155

666 192.168.123.10 www.netmask 255.255.255.255

Quando um navegador da Web cliente tenta acessar 10.48.66.155 na porta 666, o prompt de autenticação aparece.

Caso 2:

Se a porta local não for a porta 80, em vez de um prompt de autenticação, aparecerá a seguinte mensagem de erro padrão: "deve ser autenticada antes de usar esse serviço"

static (inside,outside) tcp 10.48.66.155 666 192.168.123.10 111 netmask 255.255.255.255

Gerenciamento

Várias alterações foram introduzidas nos comandos utilizados para gerenciar o sistema PIX, juntamente com a instrução de um novo sistema de arquivos em Flash. Para mais informações sobre o novo sistema de arquivos Flash e seus comandos e recursos, consulte o guia Referências a Comandos do Cisco PIX Security Appliance, Versão 7.0 e o Guia de Configuração da CLI da Ferramenta de Segurança Cisco, Versão 7.0.

Esta seção inclui os seguintes tópicos:

Comandos Afetados

Requisitos de Melhoramento

Descrição da Alteração do Comando

Impacto da Alteração

Comandos Afetados

No melhoramento para a ferramenta PIX Security Versão 7.0, os seguintes comandos são afetados:

clear flashfs

copy capture

crashinfo

dhcpd auto_config

pager

pdm location

pdm group

pdm logging

show flashfs

ssh

telnet

tftp-server

Requisitos de Melhoramento

Os comandos de gerenciamento são convertidos automaticamente durante o melhoramento para a ferramenta PIX Security Versão 7.0. Nenhuma intervenção manual é necessária.

Descrição da Alteração do Comando

A Tabela 22 lista as alterações feitas no comando copy, a Tabela 23 lista as alterações feitas no comando dhcp , a Tabela 24 lista as alterações feitas no comando pager, a Tabela 25 lista as alterações feitas no comando ssh, a Tabela 26 lista as alterações feitas no comando telnet e a Tabela 27 lista as alterações feitas no comando tftp-server.

copy

Tabela 22 Alterações no Comando copy

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
copy
copy capture:buffer name tftp URL 
[pcap]
copy [/pcap] capture:<bufferSpec> 
<URL>

<bufferSpec>:= <buffername> in single mode

[<context name>/]<buffername> in multimode



Observação O comando copy no PIX Versão 6.3 foi estendido para o novo sistema de arquivos Flash e foi implementado utilizando o novo analisador. A sintaxe foi alterada para as opções de copy na ferramenta PIX Security Versão 7.0. No PIX Versão 6.3, as opções de copy ficavam no final do comando copy.


dhcpd

Tabela 23 Alterações no Comando dhcpd

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
dhcpd
[no] dhcpd auto_config [<intf>]
[no] dhcpd auto_config <intf>

`intf' é agora um parâmetro obrigatório


pager

Tabela 24 Alterações no Comando pager

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
pager
terminal pager lines <lines>
terminal pager [lines] <lines>

Modificação no comando de modo EXEC já existente para tornar a palavra-chave lines opcional

[no] pager lines <lines>
[no] pager [lines] <lines>

ssh

Tabela 25 Alterações no Comando ssh 

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
ssh
[no] ssh <local_ip> [<mask> 
[<if_name>]]
[no] ssh <local_ip> <mask> 
<if_name>

"mask" e "if_name" são agora parâmetros obrigatórios


telnet

Tabela 26 Alterações no Comando telnet

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
telnet
[no] telnet <local_ip> [<mask> 
[<if_name>]]
[no] telnet <local_ip> <mask> 
<if_name>

"mask" e "if_name" são agora parâmetros obrigatórios


Na ferramenta PIX Security Versão 7.0, o comando no telnet timeout [<num>] volta o intervalo Telnet para o padrão, 5. O comando clear conf telnet também retorna o intervalo de Telnet para o padrão.

Na ferramenta PIX Security Versão 7.0, a saída dos comandos help telnet e telnet timeout? o comando foi aumentado para incluir o valor padrão.

Exemplo de saída para o comando telnet timeout? comando:

sw1-535(config)# telnet timeout 1
sw1-535(config)# telnet 0 0 inside
sw1-535(config)# sho run telnet
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 1
sw1-535(config)# no telnet timeout
sw1-535(config)# sho run telnet
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 5
sw1-535(config)# telnet timeout 1
sw1-535(config)# sho run telnet
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 1
sw1-535(config)# clear conf telnet
sw1-535(config)# sho run telnet
telnet timeout 5
sw1-535(config)#

tftp-server

Tabela 27 Alterações no Comando tftp-server 

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
tftp-server
tftp-server [<if_name>] <ip> 
<dir>
[no] tftp-server <if_name> <ip> 
<dir>

`if_name' é agora um parâmetro obrigatório

clear tftp-server

Substituído

Utilize o comando no para limpar o servidor de TFTP


Impacto da Alteração

Esta seção descreve em detalhas as alterações feitas nos comandos e nos caveats do sistema de arquivos Flash.

Para todos os comandos, se um caminho completo não é fornecido, assume-se que o caminho seja relativo ao diretório de trabalho atual.

A opção /noconfirm suprime os prompts de confirmação dos comandos do sistema de arquivos.

Comandos do sistema de arquivos são replicados para a unidade passiva na ferramenta PIX Security Versão 7.0. Esses comandos são: rename, mkdir, rmdir, delete, copy running-config startup- config.

A seguir, estão recursos importantes de implementação na ferramenta PIX Security Versão 7.0:

Os comandos write memory e copy running start são replicados.

A replicação está desabilitada para o comando write memory, porque o comando copy é replicado.

Não ocorre nenhuma sincronização de configuração entre os dispositivos ativos e passivos quando um comando de sistema de arquivos falha no dispositivo passivo. Uma sincronização de configuração não ajudaria, porque os comandos do sistema de arquvios não fazem parte da configuração. Quando o comando do sistema de arquivos falha no dispositivo passivo, uma mensagem informativa é exibida, notificando que o sistema de arquivos pode estar fora de sincronização.

O comando format não é replicado.


Observação Para fins de compatibilidade com o PIX, [flash:image] associa o primeiro arquivo local, configurado com o uso do comando boot system, e [flash:pdm] associa o arquivo configurado com o uso do comando pdm image.


OSPF

Com a introdução do modo de configuração interface na ferramenta PIX Security Versão 7.0, os parâmetros OSPF específicos da interface são agora configurados no modo de configuração interface.

Esta seção inclui os seguintes tópicos:

Comandos Afetados

Requisitos de Melhoramento

Descrição da Alteração do Comando

Impacto da Alteração

Comandos Afetados

No melhoramento para a ferramenta PIX Security Versão 7.0, os seguintes comandos são afetados:

os comandos do modo de configuração ospf sob o comando routing interface

set ip next-hop

set metric-type

Requisitos de Melhoramento

Os comandos de modo de configuração ospf sob o comando routing interface são convertidos automaticamente durante o melhoramento para a ferramenta PIX Security Versão 7.0. Nenhuma intervenção manual é necessária.

Descrição da Alteração do Comando

O comando set ip next-hop era utilizado apenas para roteamento de políticas e foi removido porque a ferramenta PIX Security Versão 7.0 não suporta roteamento de políticas.

O comando set metric-type é utilizado para definir o tipo de métrica para redistribuição de rotas OSPF na ferramenta PIX Security Versão 7.0, da seguinte forma:

Pix(config-route-map)# set metric-type {type-1 | type-2}

Exemplo:

hostname(config)# route-map 1-to-2 permit
hostname(config-route-map)# match metric 1
hostname(config-route-map)# set metric 5
hostname(config-route-map)# set metric-type type-1

O exemplo a seguir ilustra a diferença na sintaxe para os comandos do modo de configuração ospf:

PIX Versão 6.3

routing interface outside
ospf ...

A ferramenta PIX Security Versão 7.0

interface ethernet0
ospf ...


Observação Observe a diferença nos nomes das interfaces; o PIX Versão 6.3 especifica o nome da interface, conforme fornecido pelo comando nameif, enquanto a ferramenta PIX Security Versão 7.0 utiliza nomes de interfaces físicas.


Impacto da Alteração

Os comandos do modo de configuração ospf sob o comando routing interface são automaticamente convertidos no modo de configuração de interface durante o melhoramento para a ferramenta PIX Security Versão 7.0. Os comandos set ip next-hop e set metric-type são automaticamente descartados.

Protocolo de controle de gateway de mídia (MGCP)

Com a introdução do Modular Policy Framework (MPF), todos os comandos fixup, incluindo o fixup mgcp, foram convertidos em comandos inspect sob MPF (consulte a seção "Ajustes/Inspeção"). Além disso, os comandos MGCP (Media Gateway Control Protocol) já existentes foram movidos sob o comando mgcp-map para se ajustarem à estrutura MPF.

Esta seção inclui os seguintes tópicos:

Comandos Afetados

Requisitos de Melhoramento

Configurando class-map, mgcp-map e policy-map para o MGCP

Comandos Afetados

No melhoramento para a ferramenta PIX Security Versão 7.0, o seguinte comando é afetado:

mgcp

Requisitos de Melhoramento

Os comandos mgcp já existentes foram substituídos pelos comandos mgcp-map na estrutura MPF. Na ferramenta PIX Security Versão 7.0, os comandos mgcp são automaticamente convertidos. Nenhuma intervenção manual é necessária.

O comando mgcp-map (mostrado no exemplo a seguir) é opcional e só precisará ser configurado se agentes de chamada/gateways/filas de comandos estiverem especificados.

mgcp-map mgcp-policy (Opcional)

[no] call-agent <ip-address> <group-id>
[no] gateway <ip-address> <group-id>
command-queue <limit>

PIX Versão 6.3
PIX Security Appliance Versão 7.0
mgcp call-agent <ip-address> <group-id>
mgcp gateway <ip-address> <group-id>
mgcp command-queue <limit>
mgcp-map mgcp-policy
call-agent <ip-address> <group-id>
gateway <ip-address> <group-d>
command-queue <limit>

O comando mgcp-policy, configurado como mostrado na tabela anterior, é , então incluído no comando inspect mgcp:

inspect mgcp mgcp-policy

Consulte o procedimento a seguir para obter as etapas completas de configuração.

Configurando class-map, mgcp-map e policy-map para o MGCP

Para fazer a configuração de class-map, mgcp-map e policy-map para MGCP, execute as seguintes etapas:


Etapa 1 Defina uma classe de tráfego a ser associada a todo o tráfego na porta 2427:

class-map f1_mgcp_class
match port 2427

ou,

crie uma ACL para classificar todo o tráfego MGCP. O tráfego MGCP utiliza as portas 2427 e 2727:

access-list f1_mgcp_class permit udp any any eq 2427
access-list f1_mgcp_class permit udp any eq 2427 any
class-map f1_mgcp_class
match access-list f1_mgcp_class
access-list f1_mgcp_class1 permit udp any any eq 2727
access-list f1_mgcp_class1 permit udp any eq 2727 any
class-map f1_mgcp_class1
match access-list f1_mgcp_class1

O comando mgcp-map a seguir é o novo CLI para os comandos mgcp já existentes:

mgcp-map mgcp-policy (optional)
call-agent <ip-address> <group-id>
gateway <ip-address> <group-id>
command-queue <limit>

Etapa 2 Faça a configuração do mapa de políticas na classe de tráfego para executar uma inspeção MGCP.

policy-map inspection_policy
class f1_mgcp_class
inspect mgcp mgcp-policy

Etapa 3 Ative a política aplicando-a globalmente.

service-policy inspection-policy global

O comando show já existente para mgcp será executado na ferramenta PIX Security Versão 7.0.

show mgcp {commands|sessions} [detail]

A mesma saída também deve aparecer no comando show service-policy inspect mgcp.


Transmissão múltipla

Para acomodar o modo Escasso PIM (PIM-SM) na ferramenta PIX Security Versão 7.0 e alinhar as implementações de difusão múltipla do PIX e do Cisco IOS Software, foram feitas algumas alterações nos comandos multicast da CLI.

Esta seção inclui os seguintes tópicos:

Background

Comandos Afetados

Requisitos de Melhoramento

Descrição da Alteração do Comando

Impacto da Alteração

Background

O PIX Versão 6.2 introduziu o Roteamento de Transmissão Múltipla de Stub (SMR) com suporte nativo a transmissão múltipla, incluindo IGMP, rotas estáticas de transmissão múltipla, melhorias de drivers, uma base de informações de encaminhamento de transmissão múltipla (MFIB) e um mecanismo de encaminhamento de transmissão múltipla (MFWD) para executar encaminhamento e decisões de políticas. Isso permitiu que os receptores conectados diretamente se juntassem dinamicamente a grupos de transmissão múltipla e recebessem dados encaminhando relatórios de host a um router de upstream executando um protocolo de roteamento de transmissão múltipla como o PIM. O router de upstream notificaria as origens do tráfego de transmissão múltipla sobre os interesses dos receptores nos dados recebidos. Os relatórios de hosts foram adicionados diretamente ao MFIB para configurar a entrega. Routers estáticos de transmissão múltipla foram fornecidos para facilitar a terceirização de dados de transmissão múltipla. Esses mecanismos apresentavam alguns desafios de escalonamento para locais que não possuíam receptores conectados diretamente. Além disso, origens de tráfego de transmissão múltipla conectadas diretamente exigiam NAT e a operação de protocolos de modo denso.

Comandos Afetados

No melhoramento para a ferramenta PIX Security Versão 7.0, os seguintes comandos são afetados:

mroute

multicast interface

igmp max-groups

Requisitos de Melhoramento

Analise sua configuração de transmissão múltipla e utilize PIM-SM, agora que ele é suportado pelo PIX. Se implementou o PIX Versão 6.2 ou PIX Versão 6.3 e recebeu um firewall para origens de tráfego de transmissão múltipla diretamente conectadas, deve migrar para uma configuração PIM-SM.

Descrição da Alteração do Comando

A Tabela 28 lista as alterações feitas no comando mroute, a Tabela 29 lista as alterações feitas no comando igmp max-groups e a Tabela 30 lista as alterações feitas no comando multicast.

mroute

Tabela 28 Alterações no Comando mroute 

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
mroute
mroute <src> <smask> 
<interface-name> <dst> <dmask> 
<interface-name>
mroute <src> <smask> 
<interlace-name> [dense 
<interface-name>] [distance]

Convertido automaticamente durante o melhoramento.


igmp max-groups

Tabela 29 Alterações no Comando igmp max-groups 

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
igmp max-groups
igmp max-groups <number>
igmp limit <number>

Convertido automaticamente durante o melhoramento.

Novo padrão de 500 grupos.


multicast

Tabela 30 Alterações no Comando multicast 

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
multicast
multicast interface 
<interface-name>

Não suportado

Convertido automaticamente durante o melhoramento.


Impacto da Alteração

As alterações feitas nos comandos mroute, igmp max-groups e multicast os deixam em linha com a CLI do Cisco IOS Software.

mroute

Durante o melhoramento para o PIX Versão 6.3, o comando mroute é automaticamente convertido para o novo formato. Utilize a sintaxe estendida de mroute para suportar origens multicast diretamente conectadas ao PIX e alterar a sintaxe para utilizar o PIM-SM evitando a inundação de modo denso e problemas relacionados de escalabilidade. Consulte a seção PIM-SM do Guia de Configuração da Linha de Comando da Ferramenta de Segurança Cisco para mais informações.

Durante a remoção da opção <dst> <dmask>, todos os grupos de transmissão múltipla com origem no endereço IP <src> são automaticamente convertido no novo formato.

As configurações a seguir são automaticamente convertidas no novo formato; no entanto, o comportamento pode ser um pouco diferente do original.

mroute 1.0.0.0 255.0.0.0 inside 224.1.1.0 255.255.255.0 outside 
mroute 1.0.0.0 255.0.0.0 inside 224.2.2.0 255.255.255.0 dmz

Assumindo-se que o encaminhamento IGMP não tenha sido configurado, a configuração convertida será a seguinte:

mroute 1.0.0.0 255.0.0.0 dmz

A opção do modo denso só é relevante durante a utilização do SMR (Roteamento de Transmissão Múltipla de Stub) da ferramenta PIX Security Versão 7.0. A palavra-chave dense é aceita para todos os comandos mroute mas só é efetiva quando o SMR está habilitado.

Se permitir o PIM-SM, a interface de saída no comando mroute será ignorada sob o ponto de vista funcional.

igmp max-groups

Durante o melhoramento para o PIX Versão 6.3, o comando igmp max-groups é automaticamente convertido para o novo comando igmp limit . O limite padrão mudou de 2.000 para 500. Se o limite de configuração não foi especificado, o padrão é 500. Se a configuração especificar um limite, o encaminhamento é executado de forma transparente.

multicast

O comando multicast e os comandos de modo de configuração relacionados multicast são automaticamente convertidos para o modo de configuração interface.

Por exemplo, se um dispositivo PIX 515E executando uma configuração do PIX Versão 6.3 inclui o seguinte segmento de configuração de transmissão múltipla:

. 
multicast interface outside 
multicast interface inside
igmp forward interface outside
. 
. 
.

então, a configuração será convertida após o melhoramento para a ferramenta PIX Security Versão 7.0:

multicast-routing
interface Ethernet0
 nameif outside
 security-level 0
 ip address 192.168.3.1 255.255.255.0 
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
 igmp forward interface outside
!

O exemplo anterior assume que possui ethernet0 como interface externa e ethernet1 como interface interna, com os níveis de segurança e os endereços IP de exemplo. O resultado da conversão pode ser um pouco diferente, dependendo da interface específica, do nível de segurança e dos endereços IP das interfaces afetadas.

NAT

No PIX Versão 6.3, faça a configuração da NAT nos hosts internos, quando hosts em uma interface de segurança maior (interna) se comunicam com hosts de uma interface de segurança menor (externa). Na ferramenta PIX Security Versão 7.0, esse controle NAT pode ser desabilitado; ainda assim, poderá fazer a configuração da NAT, mas ela não é necessária para a comunicação. Por exemplo, ao desabilitar o controle NAT, não precisará de fazer a configuração de uma instrução NAT estática para hosts externos para se conectar a um host interno.

Esta seção inclui os seguintes tópicos:

Comandos Afetados

Requisitos de Melhoramento

Descrição da Alteração do Comando

Impacto da Alteração

Comandos Afetados

O comando nat-control introduzido na ferramenta PIX Security Versão 7.0 incorpora-se a ela automaticamente a funcionalidade de controle de NAT do PIX Versão 6.3. Para desabilitar o controle NAT, emita o comando no nat-control.

Requisitos de Melhoramento

Quando atualizar para a ferramenta PIX Security Versão 7.0, o novo comando nat-control é automaticamente incorporado à configuração. Nenhuma intervenção manual é necessária.

Descrição da Alteração do Comando

Na ferramenta PIX Security Versão 7.0, um novo comando, nat-control, foi introduzido para manter a funcionalidade NAT do PIX Versão 6.3.

Na ferramenta PIX Security Versão 7.0. os argumentos tcp_max_conns e udp_max_conns dos comandos nat e static são aplicados à última entidade de configuração que inclui um host local no escopo da sua faixa de IPs reais. Como as instruções estáticas seguem as instruções nat, se há sobreposição nas faixas de IPs reais das instruções nat e estáticas, os limites estáticos têm precedência, porque são listados após as instruções nat na configuração.

Por exemplo, se tiver a seguinte configuração na ferramenta PIX Security Versão 7.0:

nat (inside) 1 10.10.12.0 255.255.255.0 50 10 
static (inside,dmz) 10.0.0.0 10.0.0.0 netmask 255.0.0.0

As variáveis tcp_max_conns, udp_max_conns e emb_limit serão aplicadas de acordo com a instrução estática (ilimitada), porque a seção estática segue a seção nat na configuração.

Para PIX Versão 6.3 e anterior, as variáveis max_conns e emb_limit (não havia udp_max_conns antes da ferramenta PIX Security Versão 7.0) foram aplicadas a um host local, dependendo de qual xlate foi criado para ele. Assim, no PIX Versão 6.3, tem a seguinte configuração:

global (outside) 1 interface
nat (inside) 1 10.10.12.0 255.255.255.0 50 10 
static (inside,dmz) 10.0.0.0 10.0.0.0 netmask 255.0.0.0

No exemplo acima, assume-se que ainda não foi criado um xlate para o endereço do host local em 10.10.12.99. Se esse host inicia uma conexão externa primeiro, serão aplicados os limites 50 e 10 max_conns e emb_limit a esse host local. Se esse host inicia primeiro uma conexão com dmz, serão aplicados os limites unlimited max_conns e emb_limit.

Impacto da Alteração

Por padrão, a funcionalidade de controle de NAT do PIX Versão 6.3 é mantida na ferramenta PIX Security Versão 7.0, com a introdução do comando nat-control. No entanto, quando inserir o comando no nat-control command, o controle NAT é desabilitado; e a NAT não é mais exigida quando hosts internos se comunicam com hosts externos.

Durante o melhoramento do PIX Versão 6.3 para a ferramenta PIX Security Versão 7.0, os argumentos tcp_max_conns e udp_max_conns para o comando nat não são aplicados se há uma instrução estática com a mesma faixa de IPs reais.

Public Key Infrastructure (PKI)

Comandos de autoridade de certificação (ca foram modificados para incorporar mais recursos PKI e deixá-los mais parecidos com os comandos do Cisco IOS Software. Para fazer isso, o conceito de trustpoints do Cisco IOS Software foi introduzido na ferramenta PIX Security Versão 7.0. Um trustpoint é a representação de um par de certificados CA (certification authority)/identidade e contém:

A identidade do CA

Parâmetros de configuração específicos do CA

Uma associação com um certificado de identidade registrado

Na ferramenta PIX Security Versão 7.0, houve duas alterações importantes:

No PIX Versão 6.3, os comandos PKI ficavam na raiz da palavra-chave ca, mas na ferramenta PIX Security Versão 7.0, os comandos agora ficam na raiz da palavra-chave crypto.

No PIX Versão 6.3, os certificados ficavam armazenados em um arquivo de dados oculto privado, mas na ferramenta PIX Security Versão 7.0, eles ficam no arquivo de configuração e ficam na raiz da árvore de comandos de crypto.

O comportamento de qualquer comando clear config <palavra-chave> é remover todas as linhas da configuração em execução que ficam na raiz em <palavra-chave>. Na ferramenta PIX Security Versão 7.0, o comando clear config crypto remove todos os certificados, os trustpoints e os mapas de certificados, porque eles estão nessa árvore de comandos.

Na ferramenta PIX Security Versão 7.0, o comando clear configure crypto foi introduzido em substituição ao comando clear crypto. Trustpoints, introduzidos na ferramenta PIX Security Versão 7.0, eram chamados de identidades de CA no PIX Versão 6.3 e eram configurados com o comando ca identity.

A Tabela 31 lista os comandos PKI substituídos e o motivo da substituição:

Tabela 31 Comandos PKI Substituídos e o Motivo da Substituição 

Comando do PIX Versão 6.3
Motivo da substituição na ferramenta PIX Security Versão 7.0
ca generate rsa key <size>

Substituído pelo comando crypto key para obter um alinhamento mais exato com a sintaxe de comandos e a funcionalidade de CLI do IOS

ca generate rsa specialkey <size>
ca zeroize rsa
ca identity <name> <ip_address|hostname> 
[:<ca_script_location>] [<ldap_ip|hostname>]

Substituído pelo comando crypto ca trustpoint para obter um alinhamento mais exato com a sintaxe de comandos e a funcionalidade de CLI do Cisco IOS

no ca identity <name>
ca configure <name> [ca|ra <retry_period> 
<retry_count> [crloptional]]
ca enroll <name> <password> [serial] 
[ipaddress]
[no] ca subject name <name><X.500 string>
ca authenticate <name> [<fingerprint>]

Substituído pelo comando crypto ca para obter um alinhamento mais exato com a sintaxe de comandos e a funcionalidade PKI da CLI do Cisco IOS

ca crl request <id_name>
ca verifycertdn <x.500 string>

Esta seção inclui os seguintes tópicos:

Comandos Afetados

Requisitos de Melhoramento

Descrição da Alteração do Comando

Impacto da Alteração

Comandos Afetados

ca generate/ca zeroize

ca identity/ca configure

ca authenticate

ca enroll

ca crl

ca subject-name

ca save all

ca verifycertdn

Requisitos de Melhoramento

Os comandos ca afetados foram substituídos, ou o suporte foi removido. Na ferramenta PIX Security Versão 7.0, os comandos ca são automaticamente convertidos. Nenhuma intervenção manual é necessária.

Descrição da Alteração do Comando

A Tabela 32 lista as alterações feitas nos comandos ca generate e ca zeroize, a Tabela 33 lista as alterações feitas nos comandos ca identity e ca configure, a Tabela 34 lista as alterações feitas no comando ca authenticate, a Tabela 35 lista as alterações feitas no comando ca enroll, a Tabela 36 lista as alterações feitas no comando ca crl, a Tabela 37 lista as alterações feitas no comando ca subject-name e a Tabela 38 lista as alterações feitas no comando ca verifycertdn.

ca generate/ca zeroize

Tabela 32 Alterações nos Comandos ca generate e ca zeroize

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
ca generate

ca generate rsa key <size>
crypto key generate rsa 
general-keys modulus <size>

Substituído

ca generate rsa specialkey 
<size>
crypto key generate rsa 
usage-keys modulus <size>
ca zeroize
ca zeroize rsa
crypto key zeroize rsa

ca identify/ ca configure

Tabela 33 Alterações nos Comandos ca identify and ca configure

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
ca identity 
ca identity <name> 
<ip_address|hostname>
[:<ca_script_location>] 
[<ldap_ip|hostname>]
crypto ca trustpoint <name>
enroll url 
<ip_address|hostname>[:<ca_sc
ript_location>]
crl
ldap_defaults 
<ldap_ip|hostname>
exit
exit

Substituído

no ca identity <name>
no crypto ca trustpoint <name>
ca configure
ca configure <name> [ca|ra 
<retry_period>
<retry_count> [crloptional]]
crypto ca trustpoint <name>
enrollment mode <ca|ra>
enrollment retry period 
<retry_period>
enrollment retry count 
<retry_count>
crl <optional|required>
exit

ca authenticate

Tabela 34 Alterações no Comando ca authenticate

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
ca authenticate
ca authenticate <name> 
[<fingerprint>]
crypto ca authenticate <name> 
[<fingerprint>]

Substituído


ca enroll

Tabela 35 Alterações no Comando ca enroll

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
ca enroll
ca enroll <name> <password> 
[serial] [ipaddress]
crypto ca trustpoint <name>
[no] ip-address <address>
[no] serial-number
password <password>
exit
crypto ca enroll <name>

Substituído


ca crl

Tabela 36 Alterações no Comando ca

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
ca crl
ca crl request <id_name>
crypto ca crl request 
<trustpoint>

Substituído


ca subject-name

Tabela 37 Alterações no Comando ca subject-name

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
ca subject-name
[no] ca subject name <name> 
<X.500 string>
crypto ca trustpoint <name>
[no] subject-name <X.500 
string>

Substituído


ca save all

Este comando foi removido e, assim como os comandos do Cisco IOS, as chaves e os dados de certificado são salvos ao mesmo tempo em que a configuração é gravada na memória.

ca verifycertdn

Tabela 38 Alterações no Comando ca verifycertdn

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
ca verifycertdn
ca verifycertdn <x.500 string>
crypto ca verifycertdn <x.500 
string>

Substituído

no ca verifycertdn
no crypto ca verifycertdn

Impacto da Alteração

Os comandos ca substituídos são convertidos automaticamente durante o melhoramento para a ferramenta PIX Security Versão 7.0. Há também novos comandos ca. Consulte a Referências a Comandos do Cisco PIX Security Appliance, Versão 7.0 para mais informações sobre os novos comandos ca.

Diversos

Alguns outros recursos e comandos na ferramenta PIX Security Version 7.0 foram alterados, conforme descrito nesta seção.

No PIX Versão 6.3, os comandos clear flashfs e flashfs downgrade x.x limpavam parte do sistema de arquivos de memória Flash na ferramenta PIX Security Version 7.0, e o comando show flashfs show flashfs exibia o tamanho em bytes de cada setor do sistema de arquivos e o estado atual do sistema de arquivos.

Na ferramenta PIX Security Versão 7.0, os comandos flashfs não são suportados; em vez disso, utilize o comando show flash. A abreviação para os comandos show flashfs e show flash é show flash.

Na ferramenta PIX Security Versão 7.0, algumas das palavras-chave do comando established foram substituídas.

Foram feitas alterações no comando sysopt da ferramenta PIX Security Versão 7.0.

Se utilizar o PIX Versão 6.3 com filtro de URL e ter aceitado o intervalo padrão de cinco segundos para o comando url-server, o comando url-server é removido durante o melhoramento para a ferramenta PIX Security Versão 7.0. O intervalo mínimo na ferramenta PIX Security Versão 7.0 é 10 segundos, enquanto o intervalo padrão no PIX Version 6.3 era cinco segundos. Como o comando url-server é rejeitado, todos os comandos filter também serão rejeitados. A solução é inserir novamente o comando url-server utilizando um valor de intervalo maior, por exemplo 30 segundos, que é o padrão na ferramenta PIX Security Versão 7.0 e, em seguida, adicionar novamente todas as instruções de filtro.

No PIX Versão 6.3, a opção 19 do TCP utilizada pelo BGP MD5 era permitida automaticamente; no entanto, na ferramenta PIX Security Versão 7.0, é necessária uma configuração adicional para essa permissão.

Esta seção inclui os seguintes tópicos:

Comandos Afetados

Requisitos de Melhoramento

Descrição da Alteração do Comando

Impacto da Alteração

Comandos Afetados

established

flashfs

sysopt permit pptp | permit l2tp

Requisitos de Melhoramento

Os comandos flashfs, clear flashfs e show flashfs no PIX Versão 6.3 são comandos do modo EXEC e não são salvos na configuração; portanto, não é necessário convertê-los durante o melhoramento para a ferramenta PIX Security Versão 7.0.

Descrição da Alteração do Comando

A Tabela 39 lista as alterações feitas no comando established, a Tabela 40 lista as alterações feitas no comando flashfs e a Tabela 41 lista as alterações feitas no comando sysopt.

established

Tabela 39 Alterações no Comando established

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
established
[to | permitto <protocol> 
<port1>[-<port2>]]
[permitto <protocol> 
<port1>[-<port2>]]

As palavras-chave to e from foram substituídas; em vez delas, utilize permitto e permitfrom

[from | permitfrom <protocol> 
<port1>[-<port2>]]}
[permitfrom <protocol> 
<port1>[-<port2>]]}

flashfs

Tabela 40 Alterações no Comando flashfs 

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
flashfs
clear flashfs

Não suportado

flashfs

Não suportado

Utilize o comando downgrade para carregar o PIX Versão 6.3

show flashfs
show flash

A abreviação para os comandos show flashfs e show flash é show flash.


sysopt

Tabela 41 Alterações no Comando sysopt 

Comando
PIX Versão 6.3
PIX Security Appliance Versão 7.0
Notas
sysopt
[no] sysopt connection 
permit-pptp | permit-l2tp

Não suportado


Impacto da Alteração

Esta seção descreve o impacto das alterações sobre a ferramenta PIX Security Versão 7.0.

As palavras-chave to e from foram removidas do comando established, porque embora to e from eram aceitas no PIX Version 6.3, elas ficavam armazenadas nos formatos permitto e permitfrom. Isso permite que a configuração antiga seja atualizada de forma transparente. No entanto, precisa ser utilizado permitto em vez de to e permitfrom em vez de from.

Não há equivalente para o comando clear flashfs na ferramenta PIX Security Versão 7.0. Em vez disso, utilize o comando downgrade para carregar uma versão do PIX Versão 6.3 (Consulte as seções "Diretrizes para Downgrade" e "Procedimento de Downgrade").

Para mais informações sobre os comandos clear e show, consulte a seção "Processador de Comandos da CLI".

As opções permit-l2tp e permit-pptp no comando sysopt foram substituídas, e a opção uauth allow-http-cache foi substituída.

Na ferramenta PIX Security Versão 7.0, a opção sysopt connection permit-ipsec é habilitada por padrão e não permite mais que o tráfego VPN ignore as ACLs de usuário/grupo; no entanto, ela permite que o tráfego VPN ignore as ACLs de interface.

Se a opção sysopt connection permit-ipsec estava definida como uma nova linha na configuração do PIX Versão 6.3, essa linha será removida automaticamente da configuração da ferramenta PIX Security Versão 7.0. Como a opção sysopt connection permit-ipsec é habilitada por padrão, não é mais necessário especificá-la explicitamente em uma linha separada. Na ferramenta PIX Security Versão 7.0, o comando show running-configuration sysopt é utilizado para exibir as configurações de sysopt definidas para o valor padrão.

Se não tiver a opção sysopt connection permit-ipsec em uma linha separada no PIX Versão  6.3, ela será adicionada automaticamente à configuração da ferramenta PIX Security Versão 7.0 [DAA] quando executada em modo de firewall único[/DAA]. A opção sysopt connection permit-ipsec permanece desabilitada (o padrão do PIX Versão 6.3), e o comportamento permanece o mesmo na ferramenta PIX Security Versão 7.0.

Para melhorar a segurança do BGP, a opção 19 do TCP é utilizada para executar um sumário MD5 digest em um segmento TCP. A opção 19 do TCP é limpa, por padrão, pela ferramenta PIX Security Versão 7.0. Para permitir essa opção TCP, utilize a seguinte configuração:

class-map BGP-MD5-CLASSMAP
     match port tcp eq 179
  tcp-map BGP-MD5
     tcp-options range 19 19 allow     
  policy-map global_policy
   class BGP-MD5-CLASSMAP
    set connection advanced-options BGP-MD5  service-policy 
 global_policy global

Para mais informações, consulte http://www.cisco.com/en/US/tech/tk365/technologies_configuration_example09186a008009487d.shtml.

Alterações em Licenças

A ferramenta PIX Security Versão 7. 0 suporta dois tipos de chaves de licença.

Chave de licença 4-tuple já existente para PIX Versão 6.3 ou anterior

Uma nova chave de licença 5-tuple apenas para a ferramenta PIX Security Versão 7.0

Durante o melhoramento do PIX Versão 6.3 para a ferramenta PIX Security Versão 7.0, a chave de licença já existente do PIX Versão 6.3 é preservada e salva em um local central do sistema de arquivos Flash.

Durante o downgrade da ferramenta PIX Security Versão 7.0 para o PIX Versão 6.2 ou 6.3, a chave de licença já existente para o PIX Versão 6.2 ou 6.3 original salva durante o procedimento de upgrade é recuperada e salva na imagem do PIX Versão 6.2 ou 6.3.

Se nem a licença do PIX Versão 6.3 nem da ferramenta PIX Security Versão 7.0 for instalada, a ferramenta PIX Security Versão 7.0 é executada na configuração padrão, que é uma licença Restrita.

Pré-requisitos para Melhoramento


Observação Antes de começar a seção Pré-requisitos para Melhoramento, leia a seção "Observações Importantes".


Se estiver atualizando de um PIX 515 ou PIX 535 com PDM já instalado, deverá atualizar no modo monitor. Consulte as instruções na seção "Atualizando no Modo Monitor”.

Se tentar atualizar utilizando as instruções da seção "Melhoramento Básico do PIX Versão 6.3 para a Ferramenta Security Versão 7.0", terá a seguinte saída:

Insufficient flash space available for this request:
Size info:request:5025848 current:1966136 delta:3059712 free:1310720
Image not installed

Vários pré-requisitos são necessários antes de atualizar para a ferramenta PIX Security Versão 7.0, dos quais são discutidos nas seguintes seções:

Requisitos Mínimos do Hardware

Requisitos Mínimos do Software

Requisitos Mínimos de Memória

Requisitos do Sistema Operacional de PC Cliente e do Navegador

Requisitos Mínimos para Conectividade

Requisitos Mínimos do Hardware

O software da ferramenta PIX Security Versão 7.0 é executado nas plataformas PIX 515/515E, PIX 525 e PIX 535. A ferramenta PIX Security Versão 7.0 não é suportada no momento no hardware PIX 501 ou PIX 506/506E.

Requisitos Mínimos do Software

A versão mínima de software exigida antes da execução de um melhoramento para a ferramenta PIX Security Versão 7.0 é o PIX Versão 6.2. Se estiver executando uma versão do PIX anterior à Versão 6.2., atualize primeiro para o PIX Versão 6.2 ou PIX Versão 6.3 antes de começar o melhoramento para a ferramenta PIX Security Versão 7.0.


Observação É recomendável fazer backup das imagens e das configurações antes de executar o melhoramento.


Para atualizar a imagem do software PIX, acesse o seguinte site:

http://www.cisco.com/pcgi-bin/tablebuild.pl/pix

Requisitos Mínimos de Memória

Se for um usuário PIX 515 ou PIX 515E com um PIX Versão 6.3, precisará atualizar a memória antes de executar um melhoramento para a ferramenta PIX Security Versão 7.0. A ferramenta PIX Security Versão 7.0 exige, pelo menos 64 MB de RAM para licenças Restritas (R) e 128 MB de RAM para licenças Irrestritas (UR) e de Failover (FO) licenses (consulte a Tabela 42).

A Tabela 43 lista os requisitos mínimos de memória para PIX 525 e PIX 535.

Tabela 42 Requisitos Mínimos de Memória para PIX 515/515E  

Licença da Plataforma PIX Versão 6.3
Memória Atual (MB)
Licença de Plataforma de Melhoramento Desejada
Número da peça
Memória Necessária (MB)

R

32

PIX-515-MEM-32=
Faça o download do software no site cisco.com ou
compre o PIX-SW-UPGRADE=

64

R

64

Faça o download do software no site cisco.com ou compra o PIX-SW-UPGRADE=

64

R

32

UR

PIX-515-SW-R-UR=
Remova o módulo de memória de 32 MB (DIMM) já existente e substitua-o pelos dois novos módulos de 64 MB para obter um total de 128 MB

128

R

64

UR

PIX-515-SW-R-UR=
Remova os dois módulos de memória de 32 MB já existente e substitua pelos dois novos módulos de 64 MB para obter um total de 128 MB

128

UR

64

PIX-515-MEM-128=
Faça o download do software no site cisco.com ou compre o PIX-SW-UPGRADE=

128

UR

128

Faça o download do software no site cisco.com ou compra o PIX-SW-UPGRADE=

128

FO

64

PIX-515-MEM-128=
Faça o download do software no site cisco.com ou compre o PIX-SW-UPGRADE=

128

FO

128

Faça o download do software no site cisco.com ou compra o PIX-SW-UPGRADE=

128

FO

64

UR

PIX-515-SW-FO-UR=

128

FO

128

UR

PIX-515-SW-FO-UR=

128

R

64

UR

PIX-515-SW-R-UR=

128

FO

128

UR

PIX-515-SW-FO-UR=

128

FO

128

U

PIX-515-SW-FO-R=

64


Os melhoramentos de memória do PIX 515 e PIX 515E não exigem um melhoramento de BIOS.


Observação O requisito mínimo de memória Flash é 16 MB.


A Tabela 43 lista os requisitos mínimos de memória para PIX 525 e PIX 535.

Tabela 43 Requisitos Mínimos de Memória do PIX 525 e PIX 535

Modelo
RAM Mínima

Aplicativo de segurança Cisco PIX 525

128 MB nos modelos Restritos

256 MB nos modelos Irrestritos, Failover e Failover Ativo/Ativo

Aplicativo de segurança Cisco PIX 535

512 MB nos modelos Restritos

1.024 MB nos modelos Irrestritos, Failover e Failover Ativo/Ativo


Requisitos do Sistema Operacional de PC Cliente e do Navegador

A Tabela 44 lista as plataformas suportadas e recomendadas do ASDM Versão 5.0.

Tabela 44 Requisitos do Sistema Operacional e do Navegador 

 
Sistema operacional
Navegador
Outros Requisitos

Windows1

Sistemas operacionais Windows 2000 (Service Pack 4) ou Windows XP

Internet Explorer 6.0 com Java Plug-in 1.4.2 ou 1.5.0

Observação HTTP 1.1—Configurações de Opções da Internet > Avançadas > HTTP 1.1 devem utilizar HTTP 1.1 para conexões com proxy e sem proxy.

Netscape 7.1/7.2 com Java Plug-in 1.4.2 ou 1.5.0

Configurações de Criptografia SSL—Todas as opções de criptografia disponíveis são habilitadas para SSL nas preferências do navegador.

Sun Solaris

Sun Solaris 8 ou 9 executando gerenciador de janelas CDE

Mozilla 1.7.3 com Java Plug-in 1.4.2 ou 1.5.0

Linux

Red Hat Linux 9.0 ou Red Hat Linux WS, Versão 3, executando GNOME ou KDE

Mozilla 1.7.3 com Java Plug-in 1.4.2 ou 1.5.0

1 ASDM não é suportado no Windows 3.1, 95, 98, ME ou Windows NT4.


Requisitos Mínimos para Conectividade

Os requisitos mínimos de conectividade para se executar um melhoramento para a ferramenta PIX Security Versão 7.0 são os seguintes:

Um PC ou servidor conectado a qualquer porta de rede do PIX e executando o software TFTP. (O PC ou o servidor pode ser conectado ao PIX utilizando um switch ou um cabo crossover.)

Um conector DB-9, e um cabo de rollover, e um programa de conectividade de console, por exemplo, HyperTerminal ou outra Emulação de Terminal para se comunicar com o PIX.

Procedimento de atualização

Esta seção inclui os seguintes tópicos:

Procedimento Básico de Melhoramento

Atualizando no Modo Monitor

Exemplos de Melhoramento

Notas importantes

Se estiver atualizando de um PIX 515 ou PIX 535 com PDM já instalado, deverá atualizar no modo monitor. Consulte as instruções na seção "Atualizando no Modo Monitor”.

A imagem do PIX Versão 6.3 em um PIX 515 ou PIX 535 acessa apenas os primeiros 8 MB de memória Flash, em vez dos 16 MB de Flash. Se a imagem da ferramenta PIX Security Versão 7.0 em combinação com o conteúdo da memória Flash excede ao limite de 8 MB, a seguinte mensagem de erro pode aparecer: Espaço em Flash insuficiente disponível para essa requisição .A solução é carregar a imagem do modo monitor. Consulte a seção "Atualizando no Modo Monitor".

A imagem PDM na memória Flash não é copiada automaticamente no novo sistema de arquivos.

Para evitar falhas na instalação, leia a seção "Pré-requisitos para melhoramento" antes de continuar.

Consulte a seção "Exemplo de Melhoramento" para obter exemplos de configurações. Será útil analisar esses exemplos antes de iniciar o procedimento de melhoramento.


Cuidado Ao compartilhar a ligação de melhoramento de Failover Stateful com uma ligação para tráfego regular, como, por exemplo, a interface interna, deverá alterar a configuração antes do melhoramento. Não atualize até que tenha corrigido a configuração, pois essa não é uma configuração suportada, e a ferramenta PIX Security Versão 7.0 trata o failover de LAN e as interfaces de melhoramento de Failover Stateful como interfaces especiais.

Se atualizar para a ferramenta PIX Security Versão 7.0 com uma configuração que compartilhe uma interface tanto para tráfego regular como para melhoramentos de Failover Stateful, a configuração relacionada à interface de tráfego regular será perdida após o melhoramento. A configuração perdida pode impedir a conexão com a ferramenta Security através da rede.

Procedimento Básico de Melhoramento


Observação A conversão automática de comandos resulta em uma alteração da configuração. Salve a configuração após o melhoramento e análise as linhas de configuração alteradas. Até que faça isso, o software converterá a configuração antiga automaticamente toda vez que a configuração for lida.


Para atualizar usando os comandos disponíveis no PIX Versão 6.3, execute as seguintes etapas:


Etapa 1 Insira o comando login para fazer o logon no console do PIX.

Exemplo:

pix> login

Etapa 2 Digite seu nome de usuário e a senha nos prompts.

Username:
Password:

Etapa 3 Digite o comando enable para entrar no modo privilegiado e iniciar o procedimento de melhoramento.

Exemplo:

pix> enable

Etapa 4 Digite sua senha no prompt.

Password:

Agora estará no modo privilegiado.

Etapa 5 Insira o comando ping <endereço ip> para confirmar o acesso ao servidor TFTP selecionado.

Exemplo:

pix> ping 192.168.2.200


Observação Substitua 192.168.2.200 pelo endereço IP do servidor TFTP.


Etapa 6 Insira o comando write net <endereço ip> <filename> para salvar a configuração de trabalho atual no servidor TFTP.

Exemplo:

pix> write net 192.168.2.200:63config.txt


Observação Substitua 63config.txt por um nome de arquivo de sua opção.


Etapa 7 Insira o comando configure terminal (config t) para passar do modo de privilégio para o modo de configuração.

pix# configure terminal

Etapa 8 Insira o comando copy tftp flash:image para copiar a imagem da ferramenta PIX Security Versão 7.0 do servidor TFTP no sistema de arquivo PIX Flash no modo de configuração.

pix(config)# copy tftp flash:image


Observação Não há: (dois pontos) após tftp.


Etapa 9 Digite o nome ou o endereço IP do servidor TFTP.

Address or name of remote host [0.0.0.0]? 192.168.2.200


Observação Substitua 192.168.2.200 pelo endereço IP do servidor TFTP.


Etapa 10 Digite o nome da imagem da ferramenta PIX Security Versão 7.0.

Source file name [cdisk]? pix704.bin

Etapa 11 Digite yes para copiar a imagem da ferramenta PIX Security Versão 7.0 do servidor TFTP na configuração em execução da ferramenta de segurança.

copying tftp://192.168.2.200/pix704.bin to flash:image
[yes|no|again]? yes

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Received 5087232 bytes

Erasing current image

Writing 4833336 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
...
!!!!!!!!!!!!!!
Image installed

Etapa 12 Digite o comando reload para reinicializar o sistema. No prompt "Proceed with reload?", pressione Enter para confirmar o comando.

pix# reload
Proceed with reload? [confirm] 

Rebooting..

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
...


Observação A ferramenta PIX Security Versão 7.0 inclui as mesmas características operacionais do PIX Versão 6.3, por exemplo: licenciamento (como descrito pela chave de ativação do PIX Versão 6.3), endereços IP, listas de acesso, grupos de acesso, configurações de VPN, senhas e chaves pré-compartilhadas.

A Etapa 13 e a Etapa 14 são necessárias apenas se a autenticação está configurada. Se a autenticação não está habilitada, pule para a Etapa 15.


Etapa 13 Insira o comando login para fazer o logon no console da ferramenta de segurança.

pix> login

Etapa 14 Digite seu nome de usuário e a senha nos prompts.

Username:
Password:

Etapa 15 Digite o comando enable para entrar no modo privilegiado e iniciar o procedimento de melhoramento.

pix> enable

Etapa 16 Digite sua senha no prompt.

Password:

Agora estará no modo privilegiado.

Etapa 17 Insira o comando show running | grep boot para exibir informações sobre a configuração.

pix# show running | grep boot
boot system flash:/<filename>


Observação O <nome de arquivo> correto é o nome da imagem em Flash.


Se a linha de comando estiver correta, insira o comando write memory para manter essa configuração.

pix# write memory
...

Se a linha de comando não estiver correta:

a. Insira o comando configure terminal para entrar no modo de configuração.

b. Insira o comando no boot system flash:<imagem>.bin.

c. Digite a linha de comando correta.

d. Insira o comando exit.

e. Insira o comando write memory para manter essa configuração.

f. Para carregar a imagem da ferramenta PIX Security Versão 7.0 de modo monitor, execute as seguintes etapas:

Recarregue a imagem da ferramenta PIX Security Versão 7.0.

No prompt "Use BREAK ou ESC para interromper a inicialização do Flash", clique em ESC para entrar no modo monitor.

Proceed with reload? [confirm] [Press the enter key]
Rebooting....
Cisco Secure PIX Firewall BIOS (4.0) #0:Thu Mar 2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300
Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Flash boot interrupted.
0:i8255X @ PCI(bus:0 dev:13 irq:10)
1:i8255X @ PCI(bus:0 dev:14 irq:7 )
2:i8255X @ PCI(bus:1 dev:0 irq:11)
3:i8255X @ PCI(bus:1 dev:1 irq:11)
4:i8255X @ PCI(bus:1 dev:2 irq:11)
5:i8255X @ PCI(bus:1 dev:3 irq:11)
Using 1:i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC:0050.54ff.efc7
Use ? for help.
monitor>

Insira o comando interface # no prompt, em que # é o número da interface.


Observação Especifique o número da interface correto no lugar de # para indicar a interface a ser usada para a conexão com o servidor TFTP.


monitor> interface 1
0:i8255X @ PCI(bus:0 dev:13 irq:10)
1:i8255X @ PCI(bus:0 dev:14 irq:7 )
2:i8255X @ PCI(bus:1 dev:0 irq:11)
3:i8255X @ PCI(bus:1 dev:1 irq:11)
4:i8255X @ PCI(bus:1 dev:2 irq:11)
5:i8255X @ PCI(bus:1 dev:3 irq:11)
Using 0:i82559 @ PCI(bus:0 dev:13 irq:10), MAC:0050.54ff.efc6

Etapa 18 Digite o comando reload para concluir o processo de melhoramento. Clique em Enter para confirmar a inicialização correta da ferramenta de segurança e a nova imagem no prompt.

pix# reload
Proceed with reload? [confirm] 

Rebooting..

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
...


Isso completa o procedimento para atualizar do PIX Versão 6.3 para a ferramenta PIX Security Versão 7.0.

Atualizando no Modo Monitor

Esta seção inclui instruções para o melhoramento para a ferramenta PIX Security Versão 7.0 no modo monitor.

Exemplos de configuração já existente do PIX Versão 6.3 podem ser encontrados na seção "Exemplos de Melhoramento". Analise-as antes de iniciar o procedimento de melhoramento.

Notas importantes

O uso do utilitário npdisk do PIX Versão 6.3, como recuperação de senha, corromperá a imagem da ferramenta PIX Security Versão 7.0 e exigirá a reinicialização do sistema no modo monitor, podendo ocasionar a perda da configuração anterior, do kernel de segurança e das principais informações.

Se estiver atualizando de um PIX 515 ou PIX 535 com PDM já instalado já existente, deverá atualizar no modo monitor.

Atualizar somente o PIX 535 no modo monitor de uma placa FE em um slot conectado a um barramento de 32 bits; caso contrário, uma mensagem de erro poderá aparecer. Efetivamente, só poderá atualizar o PIX 535 no barramento 2 utilizando interfaces dos slots de 4 a 8.

Para evitar falhas na instalação, leia a seção "Pré-requisitos para melhoramento" antes de continuar.

Procedimento

Execute as etapas a seguir para atualizar no modo monitor:


Etapa 1 Para carregar a imagem da ferramenta PIX Security Versão 7.0 de modo monitor, execute as seguintes etapas:

a. Recarregue a imagem.

b. No prompt "Use BREAK ou ESC para interromper a inicialização do Flash", clique em ESC para entrar no modo monitor.

Proceed with reload? [confirm] [Press the enter key]
Rebooting....
Cisco Secure PIX Firewall BIOS (4.0) #0:Thu Mar 2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300
Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Flash boot interrupted.
0:i8255X @ PCI(bus:0 dev:13 irq:10)
1:i8255X @ PCI(bus:0 dev:14 irq:7 )
2:i8255X @ PCI(bus:1 dev:0 irq:11)
3:i8255X @ PCI(bus:1 dev:1 irq:11)
4:i8255X @ PCI(bus:1 dev:2 irq:11)
5:i8255X @ PCI(bus:1 dev:3 irq:11)
Using 1:i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC:0050.54ff.efc7
Use ? for help.
monitor>

c. Insira o comando interface # no prompt, em que # é o número da interface.


Observação Especifique o número da interface correto no lugar de # para indicar a interface a ser usada para a conexão com o servidor TFTP.


monitor> interface 1
0:i8255X @ PCI(bus:0 dev:13 irq:10)
1:i8255X @ PCI(bus:0 dev:14 irq:7 )
2:i8255X @ PCI(bus:1 dev:0 irq:11)
3:i8255X @ PCI(bus:1 dev:1 irq:11)
4:i8255X @ PCI(bus:1 dev:2 irq:11)
5:i8255X @ PCI(bus:1 dev:3 irq:11)
Using 0:i82559 @ PCI(bus:0 dev:13 irq:10), MAC:0050.54ff.efc6

d. Insira o comando address <endereço ips> utilizando o endereço IP da interface e0.

monitor> address 20.0.0.10
address 20.0.0.10

e. Insira o comando server <endereço ips> utilizando o endereço IP do servidor TFTP.

monitor> server 20.0.0.101
server 20.0.0.101

f. Insira o comando ping <endereço ip> utilizando o endereço IP do servidor TFTP para verificar se ele pode ser acessado.

monitor> ping 20.0.0.101
Sending 5, 100-byte 0xc56 ICMP Echoes to 20.0.0.101, timeout is 4 sec
!!!!!
Success rate is 100 percent (5/5)

g. Insira o comando gateway <ip> opcional para especificar o endereço padrão do gateway, se o servidor TFTP não estiver no segmento de rede diretamente conectado.

h. Insira o comando file <nome do arquivo da imagem 7.0>, utilizando o nome do arquivo da ferramenta PIX Security Versão 7.0.

monitor> file pix704.bin
file pix704.bin
monitor> tftp
pix704.bin@20.0.0.101......................................
..............................................................

i. Depois que a imagem for copiada, aguarde o retorno do prompt normal. (Isso pode demorar três minutos em um PIX 525 e até 10 minutos em um PIX 515E.)

A etapa anterior carrega a imagem da ferramenta de segurança na RAM, inicia sua execução, salva a configuração antiga no sistema de arquvios Flash e converte a configuração em execução na estrutura da nova CLI, mas não salva a configuração convertida em Flash.

j. Verifique a configuração convertida para ver se há erros, endereços e listas de controle de acesso.

Etapa 2 Para salvar a imagem da ferramenta PIX Security Versão 7.0 no Flash do modo de configuração global, execute as seguintes etapas:

a. Copie a imagem da ferramenta PIX Security Versão 7.0 do servidor TFTP utilizando os seguintes comandos. (Isso exige a configuração de um endereço IP na interface da ferramenta de segurança que se conecte ao servidor TFTP)

PIX(config)#interface ethernet 0
PIX(config-if)# ip address 20.0.0.10 255.255.255.0
copy tftp [:[[//location] [/tftp_pathname]]] flash[:[image | pdm]]
PIX(config)# copy tftp://20.0.0.101/pix704.bin flash:

O conjunto de prompts TFTP a seguir é resultante do comando anterior:

Address or name of remote host [20.0.0.101]?
Source filename [pix704.bin]?
Destination filename [pix704.bin]?


Observação Várias linhas referentes a blocos inválidos de Flash serão impressas enquanto o Flash é reformatado, o que é normal.

A configuração do PIX Versão 6.3 será salva como downgrade.cfg na ferramenta PIX Security Versão 7.0.


b. Use o comando show flash para confirmar que a imagem foi copiada no Flash.

PIX(config)#show flash
Directory of flash:/
-rw- 2024 05:31:23 Apr 23 2004 downgrade.cfg
-rw- 4644864 06:13:53 Apr 22 2004 pix704.bin

c. Insira o novo comando boot system flash:/ para inicializar na nova imagem.

PIX(config)#boot system flash:/

Por exemplo:

boot system flash:pix704.bin

d. Insira o comando write memory para atualizar o arquivo de configuração Flash.

PIX(config)#write memory

e. Use o comando show version para confirmar que a imagem foi atualizada.

PIX(config)#show version


Observação Utilize o comando show startup-config errors para ver os erros ocorridos durante a leitura da configuração a partir da memória Flash.


Para exibir a saída do melhoramento, consulte a seção "Exemplos de Melhoramento".


Exemplos de Melhoramento

Para atualizar o software do PIX Versão 6.3 para a ferramenta PIX Security Versão 7.0, execute as etapas da seção "Procedimento de Melhoramento". Sete cenários de configuração de saída são incluídos nesta seção. Cada cenário inclui as suposições utilizadas, um exemplo de configuração de melhoramento da situação anterior, um exemplo de configuração de melhoramento e um exemplo de configuração de melhoramento da situação posterior.

Melhoramento Básico do PIX Versão 6.3 para o Security Appliance Versão 7.0

Atualizando para uma VPN Client com Acesso Remoto

Atualizando para o Security Appliance Versão 7.0 Utilizando VLAN

Atualizando para o Security Appliance Versão 7.0 Utilizando Voz sobre IP

Atualizando para o Security Appliance Versão 7.0 Utilizando Autenticação

Atualizando para o Security Appliance Versão 7.0 Utilizando Failover Ativo/Passivo

Atualizando para o Security Appliance Versão 7.0 Utilizando Canalizações


Observação Ocasionalmente, o melhoramento do PIX Versão 6.3 para a ferramenta Security Versão 7.0 produzirá mensagens de aviso e de sistema relacionadas à alteração na sintaxe do comando. Essas mensagens são normais

.O comando show run é intercambiável com o comando write terminal nos exemplos a seguir.


Melhoramento Básico do PIX Versão 6.3 para o Security Appliance Versão 7.0

Hipóteses

Durante a execução de um melhoramento básico do PIX Versão 6.3 para a ferramenta PIX Security Versão 7.0, esse exemplo de configuração assume o seguinte (consulte a Figura 1):

Todos os hosts internos têm acesso externo por meio de um pool global

O DHCP fornece informações de endereço a um pequeno número de hosts internos

O servidor HTTP pode ser acessado nas interfaces internas e externas para gerenciamento

O ICMP é permitido na ferramenta de segurança a fim de permitir os testes de conectividade de rede

O Telnet é permitido em origens externas para um host interno específico

Figura 1 Configuração de Exemplo de um Melhoramento Básico

Antes de Atualizar

A seguir, um exemplo de saída do comando show run em sua configuração atual do PIX Versão 6.3 antes de atualizar para a ferramenta PIX Security Versão 7.0:

Migration1(config)# show run
: Saved
:
PIX Version 6.3(4)

interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname Migration1
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80      
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 172.16.1.75 Linux
access-list 101 permit icmp any any 
access-list 101 permit tcp any host 172.16.1.160 eq telnet 
pager lines 24
logging on
logging trap informational
logging host inside 192.168.1.99
icmp permit any outside
icmp permit any inside
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.1.161 255.255.255.0
ip address inside 192.168.1.161 255.255.255.0
no ip address dmz
no ip address intf3
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address dmz
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
pdm location 192.168.1.99 255.255.255.255 inside
pdm history enable
arp timeout 14400
global (outside) 1 172.16.1.210-172.16.1.212
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 172.16.1.160 192.168.1.100 netmask 255.255.255.255 0 0 
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server TACACS+ max-failed-attempts 3 
aaa-server TACACS+ deadtime 10 
aaa-server RADIUS protocol radius 
aaa-server RADIUS max-failed-attempts 3 
aaa-server RADIUS deadtime 10 
aaa-server LOCAL protocol local 
http server enable
http 0.0.0.0 0.0.0.0 outside
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.100-192.168.1.102 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
terminal width 80
Cryptochecksum:513c9e266857650270411a7f884e68f7
: end

Melhoramento

Emita o comando copy tftp://<ip address>/pix704.bin.<image>flash:image para atualizar para a nova imagem.

A saída a seguir reflete o procedimento de melhoramento da configuração atual do PIX Versão 6.3 para a ferramenta PIX Security Versão 7.0:

Migration1# copy tftp://192.168.1.161/cdisk.7.0(4) flash:image
copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!

Received 5124096 bytes

Erasing current image

Writing 5062712 bytes of image

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Image installed

Migration1# reload
Proceed with reload? [confirm] 

Rebooting..

CISCO SYSTEMS PIX FIREWALL

Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
64 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class              Irq
 00  00  00   8086   7192  Host Bridge        
 00  07  00   8086   7110  ISA Bridge         
 00  07  01   8086   7111  IDE Controller     
 00  07  02   8086   7112  Serial Bus         9
 00  07  03   8086   7113  PCI Bridge         
 00  0D  00   8086   1209  Ethernet           11
 00  0E  00   8086   1209  Ethernet           10
 00  11  00   14E4   5823  Co-Processor       11
 00  13  00   8086   B154  PCI-to-PCI Bridge  
 01  04  00   8086   1229  Ethernet           11
 01  05  00   8086   1229  Ethernet           10
 01  06  00   8086   1229  Ethernet           9
 01  07  00   8086   1229  Ethernet           5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5059072 bytes of image from flash.

##########################################################################################
##########################################################################################
##########################################################################################
##########################################################################################
##########################################################################################
######
64MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 11  MAC: 0011.937e.0650
mcwa i82559 Ethernet at irq 10  MAC: 0011.937e.064f
mcwa i82559 Ethernet at irq 11  MAC: 000d.88ee.dfa0
mcwa i82559 Ethernet at irq 10  MAC: 000d.88ee.dfa1
mcwa i82559 Ethernet at irq  9  MAC: 000d.88ee.dfa2
mcwa i82559 Ethernet at irq  5  MAC: 000d.88ee.dfa3
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: relinked orphaned file into the fs as "/lost+found/00011".
flashfs[7]: relinked orphaned directory into the fs as "/lost+found/00008".
flashfs[7]: relinked orphaned directory into the fs as "/lost+found/00002".
flashfs[7]: 220 files, 8 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 7895040
flashfs[7]: Bytes available: 8232960
flashfs[7]: flashfs fsck took 53 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6         
Maximum VLANs               : 25        
Inside Hosts                : Unlimited 
Failover                    : Active/Active
VPN-DES                     : Enabled   
VPN-3DES-AES                : Enabled   
Cut-through Proxy           : Enabled   
Guards                      : Enabled   
URL Filtering               : Enabled   
Security Contexts           : 2         
GTP/GPRS                    : Disabled  
VPN Peers                   : Unlimited 

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .                             
                                 |            |                             
                                |||          |||                            
                              .|| ||.      .|| ||.                          
                           .:||| | |||:..:||| | |||:.                       
                            C i s c o  S y s t e m s                        
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(4) 

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706

Cryptochecksum(unchanged): 513c9e26 68576502 70411a7f 884e68f7 
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.

Depois de Atualizar

Após o melhoramento da ferramenta PIX Security Versão 7.0, insira o comando enable para entrar no modo de configuração, depois digite sua senha e, por último, emita o comando show run . A saída é a seguinte:

Migration1> enable
Password: 

Migration1(config)# show run
: Saved

PIX Version 7.0(4)

names
name 172.16.1.75 Linux
!
interface Ethernet0
 speed 100
 duplex full
 nameif outside
 security-level 0
 ip address 172.16.1.161 255.255.255.0 
!
interface Ethernet1
 speed 100
 duplex full
 nameif inside
 security-level 100
 ip address 192.168.1.161 255.255.255.0 
!
interface Ethernet2
 shutdown
 nameif dmz
 security-level 50
 no ip address 
!
interface Ethernet3
 shutdown
 nameif intf3
 security-level 6
 no ip address
!
interface Ethernet4
 shutdown
 nameif intf4
 security-level 8
 no ip address
!
interface Ethernet5
 shutdown
 nameif intf5
 security-level 10
 no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname Migration1
domain-name ciscopix.com
boot system flash:/image.bin
ftp mode passive
access-list 101 extended permit icmp any any 
access-list 101 extended permit tcp any host 172.16.1.160 eq telnet 
pager lines 24
logging enable
logging trap informational
logging host inside 192.168.1.99
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
no failover
monitor-interface outside
monitor-interface inside
monitor-interface dmz
monitor-interface intf3
monitor-interface intf4
monitor-interface intf5
icmp permit any outside
icmp permit any inside
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 172.16.1.210-172.16.1.212
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 172.16.1.160 192.168.1.100 netmask 255.255.255.255 
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00 h323 
0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
http server enable
http 0.0.0.0 0.0.0.0 outside
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
no sysopt connection permit-ipsec
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
ssh version 1
console timeout 0             
dhcpd address 192.168.1.100-192.168.1.102 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
  inspect dns maximum-length 512 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect http 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp 
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp        
  inspect sip 
  inspect xdmcp 
!
service-policy global_policy global
Cryptochecksum:513c9e266857650270411a7f884e68f7
: end

Migration1# 

Atualizando para uma VPN Client com Acesso Remoto

Hipóteses

Durante a execução de um melhoramento para um cliente VPN com acesso remoto, esse exemplo de configuração assume o seguinte (consulte a Figura 2):

O PIX 515E funciona como um dispositivo de fim de cabeçalho, clientes VPN remotos de chegada terminam no PIX 515E

A autenticação da conexão do cliente VPN (não o usuário) é executada por meio de chaves pré-compartilhadas

A autenticação do usuário é executada utilizando-se um nome de usuário e uma senha do Windows

Endereços de cliente ficam entre 3.3.3.0 e 3.3.3.254; utilize o comando ip pool para localizar os endereços IPs corretos

O PDM está habilitado na rede interna

Figura 2 Configuração de Exemplo do VPN Client

Antes de Atualizar

A seguir, um exemplo de saída do comando show run em sua configuração atual do PIX Versão 6.3 antes de atualizar para a ferramenta PIX Security Versão 7.0:

vpnra# show run
: Saved
:
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 100full
interface ethernet3 100full
interface ethernet4 100full
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security4
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname vpnra
domain-name migration.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list nat0 permit ip any 3.3.3.0 255.255.255.0
pager lines 24
logging on
logging buffered debugging
icmp permit any outside
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.1.164 255.255.255.0
ip address inside 192.168.1.164 255.255.255.0
no ip address intf2
no ip address intf3
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
ip local pool migratepool 3.3.3.1-3.3.3.254
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address intf2
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
pdm location 192.168.3.0 255.255.255.0 outside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nat0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.16.1.100 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map ForRA 20 ipsec-isakmp dynamic outside_dyn_map
crypto map ForRA interface outside
isakmp enable outside
isakmp policy 30 authentication pre-share
isakmp policy 30 encryption 3des
isakmp policy 30 hash md5
isakmp policy 30 group 2
isakmp policy 30 lifetime 86400
vpngroup migration address-pool migratepool
vpngroup migration idle-time 1800
vpngroup migration password ********
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:4a5e923ecb2353471603a82ee2f4df47
: end

Melhoramento

Emita o comando copy tftp://<ip address>/pix704.bin.<image>flash:image para atualizar para a nova imagem. A saída a seguir reflete o procedimento de melhoramento da configuração atual do PIX Versão 6.3 para a ferramenta PIX Security Versão 7.0:

vpnra# copy tftp://192.168.1.100/cdisk.7.0(4) flash:image
copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5062712 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed

Insira o comando reload para começar a usar a nova imagem da ferramenta PIX Security Versão 7.0, depois pressione Enter diante do prompt seguinte para confirmar o comando reload.

vpnra# reload
Proceed with reload? [confirm]


Rebooting...

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
64 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class              Irq
 00  00  00   8086   7192  Host Bridge
 00  07  00   8086   7110  ISA Bridge
 00  07  01   8086   7111  IDE Controller
 00  07  02   8086   7112  Serial Bus         9
 00  07  03   8086   7113  PCI Bridge
 00  0D  00   8086   1209  Ethernet           11
 00  0E  00   8086   1209  Ethernet           10
 00  11  00   14E4   5823  Co-Processor       11
 00  13  00   8086   B154  PCI-to-PCI Bridge
 01  04  00   8086   1229  Ethernet           11
 01  05  00   8086   1229  Ethernet           10
 01  06  00   8086   1229  Ethernet           9
 01  07  00   8086   1229  Ethernet           5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5059072 bytes of image from flash.
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
########################################################
64MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 11  MAC: 0011.937e.0650
mcwa i82559 Ethernet at irq 10  MAC: 0011.937e.064f
mcwa i82559 Ethernet at irq 11  MAC: 000d.88ee.dfa0
mcwa i82559 Ethernet at irq 10  MAC: 000d.88ee.dfa1
mcwa i82559 Ethernet at irq  9  MAC: 000d.88ee.dfa2
mcwa i82559 Ethernet at irq  5  MAC: 000d.88ee.dfa3
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: relinked orphaned file into the fs as "/lost+found/00238".
flashfs[7]: 229 files, 11 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 8273920
flashfs[7]: Bytes available: 7854080
flashfs[7]: flashfs fsck took 53 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs               : 25
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .
                                 |            |
                                |||          |||
                              .|| ||.      .|| ||.
                           .:||| | |||:..:||| | |||:.
                            C i s c o  S y s t e m s
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(4)

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706

Cryptochecksum(unchanged): 4a5e923e cb235347 1603a82e e2f4df47
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.

San Jose, California 95134-1706

Depois de Atualizar

A saída do melhoramento da imagem da ferramenta PIX Security Versão 7.0 contém as pressuposições contidas na seção "Antes de atualizar", com as seguintes alterações:

As informações da interface já estão agrupadas

O comando vpngroup foi substituído pelos comandos group-policy e tunnel-group

A política ISAKMP padrão é agora listada como número de polícia 65535, como mostrado no exemplo a seguir:

Sintaxe do PIX Versão 6.3:

#
Default protection suite
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Rivest-Shamir-Adleman Signature
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit

#

Sintaxe da ferramenta PIX Security Versão 7.0:

#
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400

Após o melhoramento da ferramenta PIX Security Versão 7.0, insira o comando enable para entrar no modo de configuração, depois digite sua senha e, por último, emita o comando show run. A saída é a seguinte:

vpnra> enable
Password:
vpnra# show run
: Saved
:
PIX Version 7.0(4)
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.164 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.164 255.255.255.0
!
interface Ethernet2
 speed 100
 duplex full
 nameif intf2
 security-level 4
 no ip address
!
interface Ethernet3
 speed 100
 duplex full
 nameif intf3
 security-level 6
 no ip address
!
interface Ethernet4
 speed 100
 duplex full
 nameif intf4
 security-level 8
 no ip address
!
interface Ethernet5
 shutdown
 nameif intf5
 security-level 10
 no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname vpnra
domain-name migration.com
boot system flash:/image.bin
ftp mode passive
access-list nat0 extended permit ip any 3.3.3.0 255.255.255.0
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip local pool migratepool 3.3.3.1-3.3.3.254
no failover
monitor-interface outside
monitor-interface inside
monitor-interface intf2
monitor-interface intf3
monitor-interface intf4
monitor-interface intf5
icmp permit any outside
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 access-list nat0
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 172.16.1.100 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00 
h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
group-policy migration internal
group-policy migration attributes
 vpn-idle-timeout 30
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map ForRA 20 ipsec-isakmp dynamic outside_dyn_map
crypto map ForRA interface outside
isakmp enable outside
isakmp policy 30 authentication pre-share
isakmp policy 30 encryption 3des
isakmp policy 30 hash md5
isakmp policy 30 group 2
isakmp policy 30 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh timeout 5
ssh version 1
console timeout 0
tunnel-group migration type ipsec-ra
tunnel-group migration general-attributes
 address-pool migratepool
 default-group-policy migration
tunnel-group migration ipsec-attributes
 pre-shared-key *
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect http
  inspect ils
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:4a5e923ecb2353471603a82ee2f4df47
: end
vpnra#

Atualizando para o Security Appliance Versão 7.0 Utilizando VLAN

Hipóteses

Durante a execução de um melhoramento para a ferramenta PIX Security Versão 7.0 utilizando VLAN, esse exemplo de configuração assume o seguinte (consulte a Figura 3):

As VLANs estão habilitadas; seis interfaces no total: três em duas interfaces de tronco são externas; dmz0, dmz1, dmz2, dmz3 são internas

Protocolos de ajustes para rsh e sqlnet estão desativados

O registro no nível de depuração está em buffered

Hosts em interfaces internas podem originar conexões por meio de interfaces externas

Um servidor na interface dmz2 está disponível na interface externa

Ethernet0 é um tronco 802.1q para um switch

Ethernet1 é um tronco 802.1a para um switch

Ethernet2 é uma conexão sem-tronco a um server farm

Figura 3 Configuração de Exemplo de VLAN

Antes de Atualizar

A seguir, um exemplo de saída do comando show run em sua configuração atual do PIX Versão 6.3 antes de atualizar para a ferramenta PIX Security Versão 7.0:

PixVlan# show run
: Saved
:
PIX Version 6.3(4)
interface ethernet0 100full
interface ethernet0 vlan10 physical
interface ethernet0 vlan20 logical
interface ethernet0 vlan30 logical
interface ethernet1 100full
interface ethernet1 vlan40 physical
interface ethernet1 vlan50 logical
interface ethernet1 vlan60 logical
interface ethernet2 100full
interface ethernet3 100full
interface ethernet4 100full
interface ethernet5 auto shutdown
interface ethernet6 auto shutdown
interface ethernet7 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 dmz2 security40
nameif ethernet2 intf2 security4
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
nameif ethernet6 intf6 security12
nameif ethernet7 intf7 security14
nameif vlan20 dmz0 security20
nameif vlan30 dmz1 security30
nameif vlan50 dmz3 security50
nameif vlan60 inside security100
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PixVlan
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
no fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
no fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list 1 permit ip any host 172.16.1.144
pager lines 24
logging on
logging buffered debugging
mtu outside 1500
mtu dmz2 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
mtu intf6 1500
mtu intf7 1500
ip address outside 172.16.1.175 255.255.255.0
ip address dmz2 192.168.3.175 255.255.255.0
ip address intf2 10.1.1.1 255.255.255.0
no ip address intf3
no ip address intf4
no ip address intf5
no ip address intf6
no ip address intf7
ip address dmz0 192.168.1.175 255.255.255.0
ip address dmz1 192.168.2.175 255.255.255.0
ip address dmz3 192.168.4.175 255.255.255.0
ip address inside 192.168.6.175 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address dmz2
no failover ip address intf2
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
no failover ip address intf6
no failover ip address intf7
no failover ip address dmz0
no failover ip address dmz1
no failover ip address dmz3
no failover ip address inside
pdm history enable
arp timeout 14400
global (outside) 1 172.16.1.101-172.16.1.110
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (dmz2,outside) 172.16.1.144 192.168.3.144 netmask 255.255.255.255 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.4.0 255.255.255.0 dmz3
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:8931adafa47b3649c5954e72212043a1
: end

Melhoramento

Emita o comando copy tftp://<ip address>/pix704.bin.<image>flash:image para atualizar para a nova imagem. A saída a seguir reflete o procedimento de melhoramento da configuração atual do PIX Versão 6.3 para a ferramenta PIX Security Versão 7.0:

PixVlan# copy tftp://10.1.1.100/cdisk.7.0(4) flash:image
copying tftp://10.1.1.100/cdisk.7.0(4) to flash:image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5062712 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed

Insira o comando reload para começar a usar a nova imagem da ferramenta PIX Security Versão 7.0, depois pressione Enter diante do prompt seguinte para confirmar o comando reload.

PixVlan# reload
Proceed with reload? [confirm]
Rebooting..

Wait.....

PCI Device Table.
Bus Dev Func VendID DevID Class              Irq
 00  00  00   8086   7192  Host Bridge
 00  07  00   8086   7110  ISA Bridge
 00  07  01   8086   7111  IDE Controller
 00  07  02   8086   7112  Serial Bus         9
 00  07  03   8086   7113  PCI Bridge
 00  0B  00   1011   0026  PCI-to-PCI Bridge
 00  0D  00   8086   1209  Ethernet           11
 00  0E  00   8086   1209  Ethernet           10
 00  11  00   8086   1229  Ethernet           11
 00  13  00   8086   1229  Ethernet           5
 01  00  00   8086   1229  Ethernet           11
 01  01  00   8086   1229  Ethernet           104.3
 01  02  00   8086   1229  Ethernet           9
 01  03  00   8086   1229  Ethernet           5
Initializing Intel Boot Agent Version 2.2
Initializing Intel Boot Agent Version 2.2ram..
Press Ctrl+S to enter into the Setup Program..
+------------------------------------------------------------------------------+
|          System BIOS Configuration, (C) 2000 General Software, Inc.          |
+---------------------------------------+--------------------------------------+
| System CPU           : Pentium III    | Low Memory           : 638KB         |
| Coprocessor          : Enabled        | Extended Memory      : 255MB         |
| Embedded BIOS Date   : 08/25/00       | Serial Ports 1-2     : 03F8 02F8     |
+---------------------------------------+--------------------------------------+

Cisco Secure PIX Firewall BIOS (4.2) #1: Fri Mar 23 04:10:24 PST 2001
Platform PIX-525
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5059072 bytes of image from flash.
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
########################################################
256MB RAM

Total NICs found: 8
mcwa i82559 Ethernet at irq 11  MAC: 0002.b945.b6d2
mcwa i82559 Ethernet at irq 10  MAC: 0002.b945.b6d1
mcwa i82559 Ethernet at irq 11  MAC: 0002.b308.7273
mcwa i82559 Ethernet at irq  5  MAC: 0002.b304.1a35
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.d47a
mcwa i82558 Ethernet at irq 10  MAC: 00e0.b600.d479
mcwa i82558 Ethernet at irq  9  MAC: 00e0.b600.d478
mcwa i82558 Ethernet at irq  5  MAC: 00e0.b600.d477
BIOS Flash=e28f400b5t @ 0xd8000
Old file system detected. Attempting to save data in flash


Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 38...block number was (0)
flashfs[7]: erasing block 38...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 8, parent_fileid 0
flashfs[7]: 8 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 9728
flashfs[7]: Bytes available: 16118272
flashfs[7]: flashfs fsck took 80 seconds.
flashfs[7]: Initialization complete.

Saving the datafile
!
Saving a copy of old datafile for downgrade
!
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 10
Maximum VLANs               : 100
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.

  --------------------------------------------------------------------------
                                 .            .
                                 |            |
                                |||          |||
                              .|| ||.      .|| ||.
                           .:||| | |||:..:||| | |||:.
                            C i s c o  S y s t e m s
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(4)

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706

Cryptochecksum(unchanged): 8931adaf a47b3649 c5954e72 212043a1
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.

Depois de Atualizar

A saída do melhoramento da imagem da ferramenta PIX Security Versão 7.0 contém as pressuposições contidas na seção "Antes de atualizar", com as seguintes alterações:

As informações da interface já estão agrupadas

As informações sobre VLAN são exibidas como uma sub-interface da interface de tronco

As informações de fragmento aparecem para cada VLAN

Instruções de inspeção não estão presentes para rsh e sqlnet

A conectividade estabelecida pela configuração do PIX Version 6.3(3) não é alterada

Após o melhoramento da ferramenta PIX Security Versão 7.0, insira o comando enable para entrar no modo de configuração, depois digite sua senha e, por último, emita o comando show run. A saída é a seguinte:


PixVlan> enable
Password: 
PixVlan# show run
: Saved
:
PIX Version 7.0(4)
names
!
interface Ethernet0
 speed 100
 duplex full
 no nameif
 no security-level
 no ip address
!
interface Ethernet0.10
 vlan 10
 nameif outside
 security-level 0
 ip address 172.16.1.175 255.255.255.0
!
interface Ethernet0.20
 vlan 20
 nameif dmz0
 security-level 20
 ip address 192.168.1.175 255.255.255.0
!
interface Ethernet0.30
 vlan 30
 nameif dmz1
 security-level 30
 ip address 192.168.2.175 255.255.255.0
!
interface Ethernet1
 speed 100
 duplex full
 no nameif
 no security-level
 no ip address
!
interface Ethernet1.40
 vlan 40
 nameif dmz2
 security-level 40
 ip address 192.168.3.175 255.255.255.0
!
interface Ethernet1.50
 vlan 50
 nameif dmz3
 security-level 50
 ip address 192.168.4.175 255.255.255.0
!
interface Ethernet1.60
 vlan 60
 nameif inside
 security-level 100
 ip address 192.168.6.175 255.255.255.0
!
interface Ethernet2
 speed 100
 duplex full
 nameif intf2
 security-level 4
 no ip address
!
interface Ethernet3
 speed 100
 duplex full
 nameif intf3
 security-level 6
 no ip address
!
interface Ethernet4
 speed 100
 duplex full
 nameif intf4
 security-level 8
 no ip address
!
interface Ethernet5
 shutdown
 nameif intf5
 security-level 10
 no ip address
!
interface Ethernet6
 shutdown
 nameif intf6
 security-level 12
 no ip address
!
interface Ethernet7
 shutdown
 nameif intf7
 security-level 14
 no ip address
!
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PixVlan
boot system flash:/image.bin
ftp mode passive
access-list 1 extended permit ip any host 172.16.1.144
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu dmz2 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
mtu intf6 1500
mtu intf7 1500
mtu dmz0 1500
mtu inside 1500
mtu dmz3 1500
mtu dmz1 1500
no failover
monitor-interface intf2
monitor-interface intf3
monitor-interface intf4
monitor-interface intf5
monitor-interface intf6
monitor-interface intf7
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 172.16.1.101-172.16.1.110
nat (inside) 1 0.0.0.0 0.0.0.0
static (dmz2,outside) 172.16.1.144 192.168.3.144 netmask 255.255.255.255
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0
:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
http server enable
http 192.168.4.0 255.255.255.0 dmz3
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
no sysopt connection permit-ipsec
telnet timeout 5
ssh timeout 5
ssh version 1
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect http
  inspect netbios
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:8931adafa47b3649c5954e72212043a1
: end
PixVlan#

Atualizando para o Security Appliance Versão 7.0 Utilizando Voz sobre IP

Hipóteses

Durante a execução de um melhoramento para a ferramenta PIX Security Versão 7.0 utilizando Voz sobre IP, esse exemplo de configuração assume o seguinte (consulte a Figura 4):

Telefones IP podem ser localizados em qualquer interface (interna, externa, dmz)

O CallManager está localizado na interface interna

A NAT está em uso para tratar do endereçamento

O ajuste SKINNY / 2000 está tratando de tráfego dinâmico

Figura 4 Exemplo de Configuração Voz sobre IP

Antes de Atualizar

A seguir, um exemplo de saída do comando show run em sua configuração atual do PIX Versão 6.3 antes de atualizar para a ferramenta PIX Security Versão 7.0:

Migration# show run
: Saved
 :
 PIX Version 6.3(4)
 interface ethernet0 100full
 interface ethernet1 100full
 interface ethernet2 auto shutdown
 interface ethernet3 auto shutdown
 interface ethernet4 auto shutdown
 interface ethernet5 auto shutdown
 nameif ethernet0 outside security0
 nameif ethernet1 inside security100
 nameif ethernet2 dmz security50
 nameif ethernet3 intf3 security6
 nameif ethernet4 intf4 security8
 nameif ethernet5 intf5 security10
 enable password 8Ry2YjIyt7RRXU24 encrypted
 passwd 2KFQnbNIdI.2KYOU encrypted
 hostname VoipDhcp
 domain-name ciscopix.com
 fixup protocol dns maximum-length 512
 fixup protocol ftp 21
 fixup protocol h323 h225 1720
 fixup protocol h323 ras 1718-1719
 fixup protocol http 80
 <--- More --->
 fixup protocol rsh 514
 fixup protocol rtsp 554
 fixup protocol sip 5060
 fixup protocol sip udp 5060
 fixup protocol skinny 2000
 fixup protocol smtp 25
 fixup protocol sqlnet 1521
 fixup protocol tftp 69
 names
 name 172.16.1.75 Linux
 access-list outside permit udp any host 172.16.1.100 eq tftp 
 access-list outside permit tcp any host 172.16.1.100 eq 2000 
 access-list dmz permit udp any host 192.168.2.100 eq tftp 
 access-list dmz permit tcp any host 192.168.2.100 eq 2000 
 pager lines 24
 logging on
 logging trap informational
 logging host inside 192.168.1.99
 icmp permit any outside
 icmp permit any inside
 mtu outside 1500
 mtu inside 1500
 mtu dmz 1500
 mtu intf3 1500
 <--- More --->
 mtu intf4 1500
 mtu intf5 1500
 ip address outside 172.16.1.10 255.255.255.0
 ip address inside 192.168.1.10 255.255.255.0
 ip address dmz 192.168.2.10 255.255.255.0
 no ip address intf3
 no ip address intf4
 no ip address intf5
 ip audit info action alarm
 ip audit attack action alarm
 no failover
 failover timeout 0:00:00
 failover poll 15
 no failover ip address outside
 no failover ip address inside
 no failover ip address dmz
 no failover ip address intf3
 no failover ip address intf4
 no failover ip address intf5
 pdm location 192.168.1.99 255.255.255.255 inside
 pdm history enable
 arp timeout 14400
 global (outside) 1 172.16.1.101-172.16.1.200
 global (dmz) 1 192.168.2.101-192.168.2.200
 <--- More --->
 nat (inside) 1 0.0.0.0 0.0.0.0 0 0
 static (inside,dmz) 192.16.1.100 192.168.1.100 netmask 255.255.255.255 0 0 
 static (inside,outside) 172.16.1.100 192.168.1.100 netmask 255.255.255.255 0 0 
 access-group outside in interface outside
 access-group dmz in interface dmz
 route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
 timeout xlate 3:00:00
 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
 timeout uauth 0:05:00 absolute
 aaa-server TACACS+ protocol tacacs+ 
 aaa-server TACACS+ max-failed-attempts 3 
 aaa-server TACACS+ deadtime 10 
 aaa-server RADIUS protocol radius 
 aaa-server RADIUS max-failed-attempts 3 
 aaa-server RADIUS deadtime 10 
 aaa-server LOCAL protocol local 
 http server enable
 http 0.0.0.0 0.0.0.0 outside
 http 0.0.0.0 0.0.0.0 inside
 no snmp-server location
 no snmp-server contact
 snmp-server community public
 no snmp-server enable traps
 <--- More --->
 floodguard enable
 telnet 192.168.1.0 255.255.255.0 inside
 telnet timeout 5
 ssh timeout 5
 console timeout 0
 dhcpd address 192.168.1.100-192.168.1.102 inside
 dhcpd lease 3600
 dhcpd ping_timeout 750
 dhcpd enable inside
 terminal width 80
 Cryptochecksum:a02cd774d0d9c6a3c5f706afc763aee1
 : end

Melhoramento

Emita o comando copy tftp://<ip address>/pix704.bin.<image>flash:image para atualizar para a nova imagem. A saída a seguir reflete o procedimento de melhoramento da configuração atual do PIX Versão 6.3 para a ferramenta PIX Security Versão 7.0:


 VoipDhcp# copy tftp://192.168.1.100/cdisk.7.0(4) flash:image
 copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image
 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
 Received 5124096 bytes
 Erasing current image
 Writing 5062712 bytes of image
 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 Image installed

Insira o comando reload para começar a usar a nova imagem da ferramenta PIX Security Versão 7.0, depois pressione Enter diante do prompt seguinte para confirmar o comando reload.

VoipDhcp# reload
 Proceed with reload? [confirm] 

Rebooting..ÿ

 CISCO SYSTEMS PIX FIREWALL
 Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
 Compiled by xxxxxx
 64 MB RAM

 PCI Device Table.
 Bus Dev Func VendID DevID Class              Irq
  00  00  00   8086   7192  Host Bridge        
  00  07  00   8086   7110  ISA Bridge         
  00  07  01   8086   7111  IDE Controller     
  00  07  02   8086   7112  Serial Bus         9
  00  07  03   8086   7113  PCI Bridge         
  00  0D  00   8086   1209  Ethernet           11
  00  0E  00   8086   1209  Ethernet           10
  00  11  00   14E4   5823  Co-Processor       11
  00  13  00   8086   B154  PCI-to-PCI Bridge  
  01  04  00   8086   1229  Ethernet           11
  01  05  00   8086   1229  Ethernet           10
  01  06  00   8086   1229  Ethernet           9
  01  07  00   8086   1229  Ethernet           5
Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000


Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Flash boot in 10 seconds.           9 seconds.
 Reading 5059072 bytes of image from flash.
##########################################################################################
##########################################################################################
##########################################################################################
##########################################################################################
##########################################################################################
######
64MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 11  MAC: 0011.937e.0650
mcwa i82559 Ethernet at irq 10  MAC: 0011.937e.064f
mcwa i82559 Ethernet at irq 11  MAC: 000d.88ee.dfa0
mcwa i82559 Ethernet at irq 10  MAC: 000d.88ee.dfa1
mcwa i82559 Ethernet at irq  9  MAC: 000d.88ee.dfa2
mcwa i82559 Ethernet at irq  5  MAC: 000d.88ee.dfa3
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 238, parent_fileid 0
flashfs[7]: 230 files, 11 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 8067584
flashfs[7]: Bytes available: 8060416
flashfs[7]: flashfs fsck took 53 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6         
Maximum VLANs               : 25        
Inside Hosts                : Unlimited 
Failover                    : Active/Active
VPN-DES                     : Enabled   
VPN-3DES-AES                : Enabled   
Cut-through Proxy           : Enabled   
Guards                      : Enabled   
URL Filtering               : Enabled   
Security Contexts           : 2         
GTP/GPRS                    : Disabled  
VPN Peers                   : Unlimited 

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .                             
                                 |            |                             
                                |||          |||                            
                              .|| ||.      .|| ||.                          
                           .:||| | |||:..:||| | |||:.                       
                            C i s c o  S y s t e m s                        
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(4)

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706

Cryptochecksum(unchanged): a02cd774 d0d9c6a3 c5f706af c763aee1 
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.

Depois de Atualizar

Após o melhoramento da ferramenta PIX Security Versão 7.0, insira o comando enable para entrar no modo de configuração, depois digite sua senha e, por último, emita o comando show run. A saída é a seguinte:


VoipDhcp> enable
Password: 
VoipDhcp# show run
 : Saved
 :
 PIX Version 7.0(4)
 names
 name 172.16.1.75 Linux
 !
 interface Ethernet0
  speed 100
  duplex full
  nameif outside
  security-level 0
  ip address 172.16.1.10 255.255.255.0 
 !
 interface Ethernet1
  speed 100
  duplex full
  nameif inside
  security-level 100
  ip address 192.168.1.10 255.255.255.0 
 !
 interface Ethernet2
  shutdown
  nameif dmz
  security-level 50
  ip address 192.168.2.10 255.255.255.0 
 <--- More --->
 !
 interface Ethernet3
  shutdown
  nameif intf3
  security-level 6
  no ip address
 !
 interface Ethernet4
  shutdown
  nameif intf4
  security-level 8
  no ip address
 !
 interface Ethernet5
  shutdown
  nameif intf5
  security-level 10
  no ip address
 !
 enable password 8Ry2YjIyt7RRXU24 encrypted
 passwd 2KFQnbNIdI.2KYOU encrypted
 hostname VoipDhcp
 domain-name ciscopix.com
 boot system flash:/image.bin
 <--- More --->
 ftp mode passive
 access-list outside extended permit udp any host 172.16.1.100 eq tftp 
 access-list outside extended permit tcp any host 172.16.1.100 eq 2000 
 access-list dmz extended permit udp any host 192.168.2.100 eq tftp 
 access-list dmz extended permit tcp any host 192.168.2.100 eq 2000 
 pager lines 24
 logging enable
 logging trap informational
 logging host inside 192.168.1.99
 mtu outside 1500
 mtu inside 1500
 mtu dmz 1500
 mtu intf3 1500
 mtu intf4 1500
 mtu intf5 1500
 no failover
 monitor-interface outside
 monitor-interface inside
 monitor-interface dmz
 monitor-interface intf3
 monitor-interface intf4
 monitor-interface intf5
 icmp permit any outside
 icmp permit any inside
 <--- More --->
 asdm history enable
 arp timeout 14400
 nat-control
 global (outside) 1 172.16.1.101-172.16.1.200
 global (dmz) 1 192.168.2.101-192.168.2.200
 nat (inside) 1 0.0.0.0 0.0.0.0
 static (inside,dmz) 192.16.1.100 192.168.1.100 netmask 255.255.255.255 
 static (inside,outside) 172.16.1.100 192.168.1.100 netmask 255.255.255.255 
 access-group outside in interface outside
 access-group dmz in interface dmz
 route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
 timeout xlate 3:00:00
 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00 h323 
0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
 timeout uauth 0:05:00 absolute
 aaa-server TACACS+ protocol tacacs+
 aaa-server RADIUS protocol radius
 http server enable
 http 0.0.0.0 0.0.0.0 outside
 http 0.0.0.0 0.0.0.0 inside
 no snmp-server location
 no snmp-server contact
 snmp-server community public
 snmp-server enable traps snmp
 no sysopt connection permit-ipsec
 <--- More --->
 telnet 192.168.1.0 255.255.255.0 inside
 telnet timeout 5
 ssh timeout 5
 ssh version 1
 console timeout 0
 dhcpd address 192.168.1.100-192.168.1.102 inside
 dhcpd lease 3600
 dhcpd ping_timeout 750
 dhcpd enable inside
 !
 class-map inspection_default
  match default-inspection-traffic
 !
 !
 policy-map global_policy
  class inspection_default
   inspect dns maximum-length 512 
   inspect ftp 
   inspect h323 h225 
   inspect h323 ras 
   inspect http 
   inspect netbios 
   inspect rsh 
   inspect rtsp 
 <--- More --->
   inspect skinny 
   inspect esmtp 
   inspect sqlnet 
   inspect sunrpc 
   inspect tftp 
   inspect sip 
   inspect xdmcp 
 !
 service-policy global_policy global
 Cryptochecksum:a02cd774d0d9c6a3c5f706afc763aee1
 : end
 VoipDhcp# 

Atualizando para o Security Appliance Versão 7.0 Utilizando Autenticação

Hipóteses

Durante a execução de um melhoramento para a ferramenta PIX Security Versão 7.0 com autenticação, esse exemplo de configuração assume o seguinte (consulte a Figura 5):

PIX com três interfaces

Interfaces estáticas de entrada com um servidor local e/ou AAA externo

Sem NAT

Várias ACLs com uma opção de registro

Figura 5 Configuração de Exemplo de Autenticação

Antes de Atualizar

A seguir, um exemplo de saída do comando show run em sua configuração atual do PIX Versão 6.3 antes de atualizar para a ferramenta PIX Security Versão 7.0:

auth# show run
: Saved
:
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
interface ethernet3 100full shutdown
interface ethernet4 100full shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security20
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname auth
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list 110 permit ip any host 172.16.1.168 log 7 interval 1
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.1.167 255.255.255.0
ip address inside 192.168.1.167 255.255.255.0
ip address dmz 192.168.2.1 255.255.255.0
no ip address intf3
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address dmz
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 172.16.1.168 192.168.1.100 netmask 255.255.255.255 0 0
access-group 110 in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
aaa-server acs32 protocol tacacs+
aaa-server acs32 max-failed-attempts 3
aaa-server acs32 deadtime 10
aaa-server acs32 (dmz) host 192.168.2.200 cisco123 timeout 5
aaa authentication include telnet outside 192.168.1.100 255.255.255.255 0.0.0.0
0.0.0.0 acs32
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
username cisco password tLgC3MrTDBA//0RQ encrypted privilege 15
terminal width 80
Cryptochecksum:2c91baf69c09453693157eb911aa842e
: end

Melhoramento

Emita o comando copy tftp://<ip address>/pix704.bin.<image>flash:image para atualizar para a nova imagem. A saída a seguir reflete o procedimento de melhoramento da configuração atual do PIX Versão 6.3 para a ferramenta PIX Security Versão 7.0:

auth# copy tftp://192.168.1.100/cdisk.7.0(4) flash:image
copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5062712 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed

Insira o comando reload para começar a usar a nova imagem da ferramenta PIX Security Versão 7.0, depois pressione Enter diante do prompt seguinte para confirmar o comando reload.

auth# reload
Proceed with reload? [confirm]

Rebooting..ÿ

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
64 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class              Irq
 00  00  00   8086   7192  Host Bridge
 00  07  00   8086   7110  ISA Bridge
 00  07  01   8086   7111  IDE Controller
 00  07  02   8086   7112  Serial Bus         9
 00  07  03   8086   7113  PCI Bridge
 00  0D  00   8086   1209  Ethernet           11
 00  0E  00   8086   1209  Ethernet           10
 00  11  00   14E4   5823  Co-Processor       11
 00  13  00   8086   B154  PCI-to-PCI Bridge
 01  04  00   8086   1229  Ethernet           11
 01  05  00   8086   1229  Ethernet           10
 01  06  00   8086   1229  Ethernet           9
 01  07  00   8086   1229  Ethernet           5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5059072 bytes of image from flash.
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
########################################################
64MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 11  MAC: 0011.937e.0650
mcwa i82559 Ethernet at irq 10  MAC: 0011.937e.064f
mcwa i82559 Ethernet at irq 11  MAC: 000d.88ee.dfa0
mcwa i82559 Ethernet at irq 10  MAC: 000d.88ee.dfa1
mcwa i82559 Ethernet at irq  9  MAC: 000d.88ee.dfa2
mcwa i82559 Ethernet at irq  5  MAC: 000d.88ee.dfa3
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 240, parent_fileid 0
flashfs[7]: 231 files, 11 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 8274944
flashfs[7]: Bytes available: 7853056
flashfs[7]: flashfs fsck took 53 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs               : 25
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .
                                 |            |
                                |||          |||
                              .|| ||.      .|| ||.
                           .:||| | |||:..:||| | |||:.
                            C i s c o  S y s t e m s
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(4)

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706

Cryptochecksum(unchanged): 2c91baf6 9c094536 93157eb9 11aa842e
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.

Depois de Atualizar

Após o melhoramento da ferramenta PIX Security Versão 7.0, insira o comando enable para entrar no modo de configuração, depois digite sua senha e, por último, emita o comando show run. A saída é a seguinte:

auth> enable
Password:
auth# show run
: Saved
:
PIX Version 7.0(4)
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.167 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.167 255.255.255.0
!
interface Ethernet2
 nameif dmz
 security-level 20
 ip address 192.168.2.1 255.255.255.0
!
interface Ethernet3
 speed 100
 duplex full
 shutdown
 nameif intf3
 security-level 6
 no ip address
!
interface Ethernet4
 speed 100
 duplex full
 shutdown
 nameif intf4
 security-level 8
 no ip address
!
interface Ethernet5
 shutdown
 nameif intf5
 security-level 10
 no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname auth
boot system flash:/image.bin
ftp mode passive
access-list 110 extended permit ip any host 172.16.1.168 log debugging interval
1
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
no failover
monitor-interface outside
monitor-interface inside
monitor-interface dmz
monitor-interface intf3
monitor-interface intf4
monitor-interface intf5
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 172.16.1.168 192.168.1.100 netmask 255.255.255.255
access-group 110 in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0
:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server acs32 protocol tacacs+
aaa-server acs32 (dmz) host 192.168.2.200
 timeout 5
 key cisco123
username cisco password tLgC3MrTDBA//0RQ encrypted privilege 15
aaa authentication include telnet outside 192.168.1.100 255.255.255.255 0.0.0.0 0.0.0.0 
acs32
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
no sysopt connection permit-ipsec
telnet timeout 5
ssh timeout 5
ssh version 1
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect http
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:2c91baf69c09453693157eb911aa842e
: end
auth#

Atualizando para o Security Appliance Versão 7.0 Utilizando Failover Ativo/Passivo

Hipóteses

Durante a execução de um melhoramento para a ferramenta PIX Security Versão 7.0 com Failover Ativo/Passivo, esse exemplo de configuração assume o seguinte (consulte a Figura 6):

Duas unidades PIX 525 (quatro interfaces cada)

Failover baseado em LAN e Stateful

Uma configuração de failover concluiu a inicialização e está pronta para configuração de usuário final (na principal)


Observação A ferramenta PIX Security Versão 7.0 suporta o uso de um cabo crossover ou um cabo serial para configurações de failover Ativo/Ativo.


Figura 6 Configuração de Exemplo de Failover Ativo/Standby

Visão geral

A seguir, será apresentada uma visão geral do procedimento de melhoramento para o PIX com uma configuração de failover Ativo/Passivo:

Com uma configuração de ferramenta de segurança de failover em execução, efetue logon no PIX Versão 6.3 Ativo

Copie o TFTP na memória Flash

Reinicialização

Insira o comando show version ou show run para exibir a configuração

O PIX Passivo assume no momento da reinicialização; o PIX Ativo fica indisponível

O PIX Ativo é reinicializado, convertido para o PIX Passivo e reinicializado; o PIX Passivo ainda estará processando o tráfego

Efetue logon no PIX Passivo

Copie o TFTP na memória Flash

Reinicialize (todas as conexões são derrubadas)

Insira o comando show version ou show run para exibir a configuração

O PIX Ativo assume na reinicialização do PIX Passivo; esse não é um failover, porque cada unidade de PIX está sendo executada em uma versão diferente do Cisco IOS Software

O PIX Passivo é reinicializado, convertido no PIX Ativo e reinicializado:

O PIX Passivo PIX é sincronizado com o PIX Ativo, restabelecendo a configuração de failover

Como opção, desligue o PIX Passivo ao mesmo tempo em que reinicializa o PIX Ativo. Em seguida, reinicie o PIX Passivo depois que o PIX Ativo começar a transmitir tráfego e execute o melhoramento para a ferramenta PIX Security Versão 7.0. Pré-carregue cada PIX utilizando o comando copy tftp e, em seguida, recarregue o PIX Ativo. Quando o PIX Ativo ficar ativado, recarregue o PIX Passivo. Isso minimiza o tempo de inatividade.

Atualizando o PIX Ativo

Insira o comando show run para exibir a saída da configuração atual do PIX Versão 6.3 no dispositivo do PIX Ativo antes de atualizar para a ferramenta PIX Security Versão 7.0. A saída da configuração do PIX Versão 6.3 é a seguinte:

failover# show run
: Saved
:
PIX Version 6.3(4)
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 100full
interface ethernet3 100full
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 fo security10
nameif ethernet3 stfo security15
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname failover
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
mtu fo 1500
mtu stfo 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.1.2 255.255.255.0
ip address inside 192.168.1.2 255.255.255.0
ip address fo 1.1.1.1 255.255.255.0
ip address stfo 2.2.2.1 255.255.255.0
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 172.16.1.3
failover ip address inside 192.168.1.3
failover ip address fo 1.1.1.2
failover ip address stfo 2.2.2.2
no failover ip address intf4
no failover ip address intf5
failover link stfo
failover lan unit primary
failover lan interface fo
failover lan key ********
failover lan enable
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:75b1c49e64e3bef7d24326f49b428776
: end

Insira o comando show failover (sho fail) para mostrar a estatística operacional de failover.

failover# show failover
Failover On
Serial Failover Cable status: My side not connected
Reconnect timeout 0:00:00
Poll frequency 15 seconds
Last Failover at: 15:02:59 UTC Sun Mar 6 2005
        This host: Primary - Active
                Active time: 285 (sec)
                Interface outside (172.16.1.2): Normal
                Interface inside (192.168.1.2): Normal
                Interface stfo (2.2.2.1): Normal
                Interface intf4 (0.0.0.0): Link Down (Shutdown)
                Interface intf5 (0.0.0.0): Link Down (Shutdown)
        Other host: Secondary - Standby
                Active time: 0 (sec)
                Interface outside (172.16.1.3): Normal
                Interface inside (192.168.1.3): Normal
                Interface stfo (2.2.2.2): Normal
                Interface intf4 (0.0.0.0): Link Down (Shutdown)
                Interface intf5 (0.0.0.0): Link Down (Shutdown)

Stateful Failover Logical Update Statistics
        Link : stfo
        Stateful Obj    xmit       xerr       rcv        rerr
        General         32         0          31         0
        sys cmd         30         0          31         0
        up time         2          0          0          0
        xlate           0          0          0          0
        tcp conn        0          0          0          0
        udp conn        0          0          0          0
        ARP tbl         0          0          0          0
        RIP Tbl         0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       1       33
        Xmit Q:         0       1       34

LAN-based Failover is Active
        interface fo (1.1.1.1): Normal, peer (1.1.1.2): Normal

Insira o comando copy tftp://<endereço ip>/pix704.bin.<image>flash:image para atualizar para a nova imagem no dispositivo PIX Ativo. A saída a seguir reflete o procedimento de melhoramento da configuração atual do PIX Versão 6.3 para a ferramenta PIX Security Versão 7.0:

failover# copy tftp://192.168.1.100/cdisk.7.0(4) flash:image
copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5062712 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed

Insira o comando reload para começar a usar a nova imagem da ferramenta PIX Security Versão 7.0, em seguida, pressione Enter no prompt seguinte para confirmar o comando reload.

failover# reload
Proceed with reload? [confirm]


Rebooting..ÿ

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
64 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class              Irq
 00  00  00   8086   7192  Host Bridge
 00  07  00   8086   7110  ISA Bridge
 00  07  01   8086   7111  IDE Controller
 00  07  02   8086   7112  Serial Bus         9
 00  07  03   8086   7113  PCI Bridge
 00  0D  00   8086   1209  Ethernet           11
 00  0E  00   8086   1209  Ethernet           10
 00  11  00   14E4   5823  Co-Processor       11
 00  13  00   8086   B154  PCI-to-PCI Bridge
 01  04  00   8086   1229  Ethernet           11
 01  05  00   8086   1229  Ethernet           10
 01  06  00   8086   1229  Ethernet           9
 01  07  00   8086   1229  Ethernet           5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5059072 bytes of image from flash.
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
########################################################
64MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 11  MAC: 0011.937e.0650
mcwa i82559 Ethernet at irq 10  MAC: 0011.937e.064f
mcwa i82559 Ethernet at irq 11  MAC: 000d.88ee.dfa0
mcwa i82559 Ethernet at irq 10  MAC: 000d.88ee.dfa1
mcwa i82559 Ethernet at irq  9  MAC: 000d.88ee.dfa2
mcwa i82559 Ethernet at irq  5  MAC: 000d.88ee.dfa3
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: relinked orphaned file into the fs as "/lost+found/00240".
flashfs[7]: 230 files, 11 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 8482304
flashfs[7]: Bytes available: 7645696
flashfs[7]: flashfs fsck took 53 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs               : 25
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .
                                 |            |
                                |||          |||
                              .|| ||.      .|| ||.
                           .:||| | |||:..:||| | |||:.
                            C i s c o  S y s t e m s
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(4)

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706

Cryptochecksum(unchanged): 75b1c49e 64e3bef7 d24326f4 9b428776
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.


Insira o comando show run (sho run) para exibir a saída do comando failover no PIX Ativo.

failover> enable
Password:
failover# show run
: Saved
::
PIX Version 7.0(4)
names
!
interface Ethernet0
 speed 100
 duplex full
 nameif outside
 security-level 0
 ip address 172.16.1.2 255.255.255.0 standby 172.16.1.3
!
interface Ethernet1
 speed 100
 duplex full
 nameif inside
 security-level 100
 ip address 192.168.1.2 255.255.255.0 standby 192.168.1.3
!
interface Ethernet2
 description LAN Failover Interface
 speed 100
 duplex full
!
interface Ethernet3
 description STATE Failover Interface
 speed 100
 duplex full
!
interface Ethernet4
 shutdown
 nameif intf4
 security-level 8
 no ip address
!
interface Ethernet5
 shutdown
 nameif intf5
 security-level 10
 no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname failover
boot system flash:/image.bin
ftp mode passive
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf4 1500
mtu intf5 1500
no failover
failover lan unit primary
failover lan interface fo Ethernet2
failover lan enable
failover key *****
failover link stfo Ethernet3
failover interface ip fo 1.1.1.1 255.255.255.0 standby 1.1.1.2
failover interface ip stfo 2.2.2.1 255.255.255.0 standby 2.2.2.2
monitor-interface outside
monitor-interface inside
monitor-interface intf4
monitor-interface intf5
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0
:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
no sysopt connection permit-ipsec
telnet timeout 5
ssh timeout 5
ssh version 1
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect http
  inspect ils
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:75b1c49e64e3bef7d24326f49b428776
: end

Observação O failover é desativado após o melhoramento.


Atualizando o PIX Passivo


Observação O PIX Ativo não é detectado e é considerado com falha pelo PIX Passivo.


Insira o comando show run para exibir a saída da configuração atual do PIX Versão 6.3 no dispositivo do PIX Passivo antes de atualizar para a ferramenta PIX Security Versão 7.0. A saída da configuração do PIX Versão 6.3 é a seguinte:

failover# show run
: Saved
failover# sho run
: Saved
:
PIX Version 6.3(4)
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 100full
interface ethernet3 100full
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 fo security10
nameif ethernet3 stfo security15
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname failover
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
mtu fo 1500
mtu stfo 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.1.2 255.255.255.0
ip address inside 192.168.1.2 255.255.255.0
ip address fo 1.1.1.1 255.255.255.0
ip address stfo 2.2.2.1 255.255.255.0
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 172.16.1.3
failover ip address inside 192.168.1.3
failover ip address fo 1.1.1.2
failover ip address stfo 2.2.2.2
no failover ip address intf4
no failover ip address intf5
failover link stfo
failover lan unit secondary
failover lan interface fo
failover lan key ********
failover lan enable
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:6d45052a7f1c3d68dd10fa95a152eaa7
: end

Insira o comando show failover (sho fail) para mostrar a estatística operacional de failover do PIX Passivo.

failover# show failover
Failover On
Serial Failover Cable status: My side not connected
Reconnect timeout 0:00:00
Poll frequency 15 seconds
Last Failover at: 15:21:09 UTC Sun Mar 6 2005
        This host: Secondary - Active
                Active time: 300 (sec)
                Interface outside (172.16.1.2): Normal (Waiting)
                Interface inside (192.168.1.2): Normal (Waiting)
                Interface stfo (2.2.2.1): Normal (Waiting)
                Interface intf4 (0.0.0.0): Link Down (Shutdown)
                Interface intf5 (0.0.0.0): Link Down (Shutdown)
        Other host: Primary - Standby (Failed)
                Active time: 405 (sec)
                Interface outside (172.16.1.3): Unknown
                Interface inside (192.168.1.3): Unknown
                Interface stfo (2.2.2.2): Unknown
                Interface intf4 (0.0.0.0): Unknown (Shutdown)
                Interface intf5 (0.0.0.0): Unknown (Shutdown)

Stateful Failover Logical Update Statistics
        Link : stfo
        Stateful Obj    xmit       xerr       rcv        rerr
        General         50         0          50         0
        sys cmd         50         0          48         0
        up time         0          0          2          0
        xlate           0          0          0          0
        tcp conn        0          0          0          0
        udp conn        0          0          0          0
        ARP tbl         0          0          0          0
        RIP Tbl         0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       1       50
        Xmit Q:         0       1       50

LAN-based Failover is Active
        interface fo (1.1.1.2): Normal, peer (1.1.1.1): Unknown

Insira o comando copy tftp://<endereço ip>/pix704.bin.<image>flash:image para atualizar para a nova imagem no dispositivo PIX Passivo. A saída a seguir reflete o procedimento de melhoramento da configuração atual do PIX Versão 6.3 para a ferramenta PIX Security Versão 7.0:

failover# copy tftp://192.168.1.100/cdisk.7.0(4) flash:image
copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5062712 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed

Insira o comando reload para começar a usar a nova imagem da ferramenta PIX Security Versão 7.0, depois pressione Enter diante do prompt seguinte para confirmar o comando reload.

failover# reload
Proceed with reload? [confirm]



Rebooting..ÿ

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
64 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class              Irq
 00  00  00   8086   7192  Host Bridge
 00  07  00   8086   7110  ISA Bridge
 00  07  01   8086   7111  IDE Controller
 00  07  02   8086   7112  Serial Bus         9
 00  07  03   8086   7113  PCI Bridge
 00  0D  00   8086   1209  Ethernet           11
 00  0E  00   8086   1209  Ethernet           10
 00  11  00   14E4   5823  Co-Processor       11
 00  13  00   8086   B154  PCI-to-PCI Bridge
 01  04  00   8086   1229  Ethernet           11
 01  05  00   8086   1229  Ethernet           10
 01  06  00   8086   1229  Ethernet           9
 01  07  00   8086   1229  Ethernet           5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5059072 bytes of image from flash.
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
########################################################
64MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 11  MAC: 0011.937e.0604
mcwa i82559 Ethernet at irq 10  MAC: 0011.937e.0603
mcwa i82559 Ethernet at irq 11  MAC: 000d.88ee.e1c4
mcwa i82559 Ethernet at irq 10  MAC: 000d.88ee.e1c5
mcwa i82559 Ethernet at irq  9  MAC: 000d.88ee.e1c6
mcwa i82559 Ethernet at irq  5  MAC: 000d.88ee.e1c7
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: relinked orphaned file into the fs as "/lost+found/00013".
flashfs[7]: relinked orphaned directory into the fs as "/lost+found/00008".
flashfs[7]: relinked orphaned directory into the fs as "/lost+found/00006".
flashfs[7]: 18 files, 7 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 2384896
flashfs[7]: Bytes available: 13743104
flashfs[7]: flashfs fsck took 45 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs               : 25
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .
                                 |            |
                                |||          |||
                              .|| ||.      .|| ||.
                           .:||| | |||:..:||| | |||:.
                            C i s c o  S y s t e m s
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(4)

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706


Cryptochecksum(unchanged): 6d45052a 7f1c3d68 dd10fa95 a152eaa7
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.

Após o melhoramento da ferramenta PIX Security Versão 7.0 no PIX Passivo, insira o comando enable para entrar no modo de configuração, depois digite sua senha e, por último, emita o comando show run (sho run). A saída é a seguinte:

failover> enable
Password:
failover# show run
: Saved

PIX Version 7.0(4)
names
!
interface Ethernet0
 speed 100
 duplex full
 nameif outside
 security-level 0
 ip address 172.16.1.2 255.255.255.0 standby 172.16.1.3
!
interface Ethernet1
 speed 100
 duplex full
 nameif inside
 security-level 100
 ip address 192.168.1.2 255.255.255.0 standby 192.168.1.3
!
interface Ethernet2
 description LAN Failover Interface
 speed 100
 duplex full
!
interface Ethernet3
 description STATE Failover Interface
 speed 100
 duplex full
!
interface Ethernet4
 shutdown
 nameif intf4
 security-level 8
 no ip address
!
interface Ethernet5
 shutdown
 nameif intf5
 security-level 10
 no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname failover
boot system flash:/image.bin
ftp mode passive
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf4 1500
mtu intf5 1500
no failover
failover lan unit secondary
failover lan interface fo Ethernet2
failover lan enable
failover key *****
failover link stfo Ethernet3
failover interface ip fo 1.1.1.1 255.255.255.0 standby 1.1.1.2
failover interface ip stfo 2.2.2.1 255.255.255.0 standby 2.2.2.2
monitor-interface outside
monitor-interface inside
monitor-interface intf4
monitor-interface intf5
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0
:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
no sysopt connection permit-ipsec
telnet timeout 5
ssh timeout 5
ssh version 1
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect http
  inspect ils
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:6d45052a7f1c3d68dd10fa95a152eaa7
: end


Observação Isso conclui o melhoramento da ferramenta PIX Security Versão 7.0 no PIX Passivo. O failover é desativado após o melhoramento.


Conectando ao PIX Ativo

Insira o comando show failover (sho fail) para confirmar o failover no PIX Ativo.

failover# show failover
Failover Off
Cable status: My side not connected
Failover unit Primary
Failover LAN Interface: fo Ethernet2 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum

Habilite o failover no PIX Ativo inserindo o comando configure terminal (conf t) ; em seguida, insira o comando failover; em seguida, insira o comando exit e finalmente o comando show failover (sho failover) da seguinte forma:

failover# configure terminal
failover(config)# failover
failover(config)# exit

failover# show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Primary
Failover LAN Interface: fo Ethernet2 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Last Failover at: 15:22:22 UTC Mar 6 2005
        This host: Primary - Negotiation
                Active time: 0 (sec)
                Interface outside (172.16.1.2): No Link (Waiting)
                Interface inside (192.168.1.2): No Link (Waiting)
                Interface intf4 (0.0.0.0): Link Down (Waiting)
                Interface intf5 (0.0.0.0): Link Down (Waiting)
        Other host: Primary - Not Detected
                Active time: 0 (sec)
                Interface outside (172.16.1.3): Unknown (Waiting)
                Interface inside (192.168.1.3): Unknown (Waiting)
                Interface intf4 (0.0.0.0): Unknown (Waiting)
                Interface intf5 (0.0.0.0): Unknown (Waiting)

Stateful Failover Logical Update Statistics
        Link : stfo Ethernet3 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         0          0          0          0
        sys cmd         0          0          0          0
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          0          0
        Xlate_Timeout   0          0          0          0
        VPN IKE upd     0          0          0          0
        VPN IPSEC upd   0          0          0          0
        VPN CTCP upd    0          0          0          0
        VPN SDI upd     0          0          0          0
        VPN DHCP upd    0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       0       0
        Xmit Q:         0       0       0
failover# 

Conectando ao PIX Passivo

Para iniciar a conexão com o dispositivo PIX Passivo, insira o comando show failover (sho fail) da seguinte forma:

failover(config)# show failover
Failover Off
Cable status: My side not connected
Failover unit Secondary
Failover LAN Interface: fo Ethernet2 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum

Habilite o failover no dispositivo PIX Passivo, inserindo o comando failover da seguinte forma:


failover(config)# failover
        Detected an Active mate
Beginning configuration replication from mate.

Insira o comando show failover (sho fail) da seguinte forma:

failover(config)# show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Secondary
Failover End configuration replication from mate.
LAN Interface: fo Ethernet2 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Last Failover at: 15:33:17 UTC Mar 6 2005
        This host: Secondary - Sync Config
                Active time: 210 (sec)
                Interface outside (172.16.1.3): Normal (Waiting)
                Interface inside (192.168.1.3): Normal (Waiting)
                Interface intf4 (0.0.0.0): Link Down (Waiting)
                Interface intf5 (0.0.0.0): Link Down (Waiting)
        Other host: Primary - Active
                Active time: 75 (sec)
                Interface outside (172.16.1.2): Unknown (Waiting)
                Interface inside (192.168.1.2): Unknown (Waiting)
                Interface intf4 (0.0.0.0): Unknown (Waiting)
                Interface intf5 (0.0.0.0): Unknown (Waiting)

Stateful Failover Logical Update Statistics
        Link : stfo Ethernet3 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         0          0          0          0
        sys cmd         2          0          2          0
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          1          0
        Xlate_Timeout   0          0          0          0
        VPN IKE upd     0          0          0          0
        VPN IPSEC upd   0          0          0          0
        VPN CTCP upd    0          0          0          0
        VPN SDI upd     0          0          0          0
        VPN DHCP upd    0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       1       12
        Xmit Q:         0       1       2

Isso conclui o procedimento de melhoramento em um PIX de failover.

Atualizando para o Security Appliance Versão 7.0 Utilizando Canalizações


Observação Instruções de canalizações e de saída devem ser convertidas em comandos da lista de controle de acesso (access-list) antes de executar um melhoramento para a ferramenta PIX Security Versão 7.0. Consulte a seção "Canalizações e Saídas" antes de continuar. Se isso não for feito, ocorrerão erros.

O exemplo de configuração da seção "Depois de Atualizar" exibe instruções ausentes de canalizações e de saída convertidas em listas de controle de acesso.


Hipóteses

Durante a execução de um melhoramento para a ferramenta PIX Security Versão 7.0 do PIX Versão 6.3 com comandos conduit, esse exemplo de configuração assume o seguinte (consulte a Figura 7):

Usuários internos de qualquer rede podem criar comandos outbound para a Internet

Um servidor da Web está localizado na interface interna em 192.168.1.5, acessado por meio dos comandos conduit e static para serviços da Web

Um servidor de e-mails na interface interna em 172.16.1.49, acessada por meio de comandos conduit, que aceita apenas conexões de 209.165.201.2

As mensagens de ICMP podem fluir livremente no PIX por meio de um comando conduit

Figura 7 Configuração de Exemplo de Canalizações

Antes de Atualizar

A seguir, um exemplo de saída do comando show run em sua configuração atual do PIX Versão 6.3 antes de atualizar para a ferramenta PIX Security Versão 7.0:

failover# show run
: Saved
 :
 PIX Version 6.3(4)
 interface ethernet0 100full
 interface ethernet1 100full
 interface ethernet2 auto shutdown
 interface ethernet3 auto shutdown
 interface ethernet4 auto shutdown
 interface ethernet5 auto shutdown
 nameif ethernet0 outside security0
 nameif ethernet1 inside security100
 nameif ethernet2 dmz security50
 nameif ethernet3 intf3 security6
 nameif ethernet4 intf4 security8
 nameif ethernet5 intf5 security10
 enable password 8Ry2YjIyt7RRXU24 encrypted
 passwd 2KFQnbNIdI.2KYOU encrypted
 hostname Conduit
 domain-name ciscopix.com
 fixup protocol dns maximum-length 512
 fixup protocol ftp 21
 fixup protocol h323 h225 1720
 fixup protocol h323 ras 1718-1719
 fixup protocol http 80
 fixup protocol rsh 514
 fixup protocol rtsp 554
 fixup protocol sip 5060
 fixup protocol sip udp 5060
 fixup protocol skinny 2000
 fixup protocol smtp 25
 fixup protocol sqlnet 1521
 fixup protocol tftp 69
 names
 name 172.16.1.75 Linux
 no pager
 logging on
 logging trap informational
 logging host inside 192.168.1.99
 icmp permit any outside
 icmp permit any inside
 mtu outside 1500
 mtu inside 1500
 mtu dmz 1500
 mtu intf3 1500
 mtu intf4 1500
 mtu intf5 1500
 ip address outside 172.16.1.161 255.255.255.0
 ip address inside 192.168.1.161 255.255.255.0
 no ip address dmz
 no ip address intf3
 no ip address intf4
 no ip address intf5
 ip audit info action alarm
 ip audit attack action alarm
 no failover
 failover timeout 0:00:00
 failover poll 15
 no failover ip address outside
 no failover ip address inside
 no failover ip address dmz
 no failover ip address intf3
 no failover ip address intf4
 no failover ip address intf5
 pdm location 192.168.1.99 255.255.255.255 inside
 pdm history enable
 arp timeout 14400
 global (outside) 1 172.16.1.210-172.16.1.212
 nat (inside) 1 0.0.0.0 0.0.0.0 0 0
 static (inside,outside) 172.16.1.111 192.168.1.5 netmask 255.255.255.255 0 0 
 conduit permit icmp any any 
 conduit permit tcp host 172.16.1.111 eq www any 
 conduit permit tcp host 172.16.1.49 eq smtp host 209.165.201.2 
 route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
 timeout xlate 3:00:00
 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
 timeout uauth 0:05:00 absolute
 aaa-server TACACS+ protocol tacacs+ 
 aaa-server TACACS+ max-failed-attempts 3 
 aaa-server TACACS+ deadtime 10 
 aaa-server RADIUS protocol radius 
 aaa-server RADIUS max-failed-attempts 3 
 aaa-server RADIUS deadtime 10 
 aaa-server LOCAL protocol local 
 http server enable
 http 0.0.0.0 0.0.0.0 outside
 http 0.0.0.0 0.0.0.0 inside
 no snmp-server location
 no snmp-server contact
 snmp-server community public
 no snmp-server enable traps
 floodguard enable
 telnet 192.168.1.0 255.255.255.0 inside
 telnet timeout 5
 ssh timeout 5
 console timeout 0
 dhcpd address 192.168.1.100-192.168.1.102 inside
 dhcpd lease 3600
 dhcpd ping_timeout 750
 dhcpd enable inside
 terminal width 80
 Cryptochecksum:629e8fc8b6e635161c253178e5d91814
 : end

Melhoramento

Emita o comando copy tftp://<ip address>/pix704.bin.<image>flash:image para atualizar para a nova imagem. A saída a seguir reflete o procedimento de melhoramento da configuração atual do PIX Versão 6.3 para a ferramenta PIX Security Versão 7.0:

Conduit# copy tftp://192.168.1.100/cdisk.7.0(4) flash:image
copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image
 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
 Received 5124096 bytes
 Erasing current image
 Writing 5062712 bytes of image
 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 Image installed

Insira o comando reload para começar a usar a nova imagem da ferramenta PIX Security Versão 7.0, depois pressione Enter diante do prompt seguinte para confirmar o comando reload.


Conduit# reload
Proceed with reload? [confirm] 


Rebooting..ÿ

 CISCO SYSTEMS PIX FIREWALL
 Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
 Compiled by xxxxxx
 64 MB RAM

 PCI Device Table.
 Bus Dev Func VendID DevID Class              Irq
  00  00  00   8086   7192  Host Bridge        
  00  07  00   8086   7110  ISA Bridge         
  00  07  01   8086   7111  IDE Controller     
  00  07  02   8086   7112  Serial Bus         9
  00  07  03   8086   7113  PCI Bridge         
  00  0D  00   8086   1209  Ethernet           11
  00  0E  00   8086   1209  Ethernet           10
  00  11  00   14E4   5823  Co-Processor       11
  00  13  00   8086   B154  PCI-to-PCI Bridge  
  01  04  00   8086   1229  Ethernet           11
  01  05  00   8086   1229  Ethernet           10
  01  06  00   8086   1229  Ethernet           9
  01  07  00   8086   1229  Ethernet           5
Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000


Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Flash boot in 10 seconds.           9 seconds.          8 seconds.
 Reading 5059072 bytes of image from flash.
##########################################################################################
##########################################################################################
##########################################################################################
##########################################################################################
##########################################################################################
######
64MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 11  MAC: 0011.937e.0650
mcwa i82559 Ethernet at irq 10  MAC: 0011.937e.064f
mcwa i82559 Ethernet at irq 11  MAC: 000d.88ee.dfa0
mcwa i82559 Ethernet at irq 10  MAC: 000d.88ee.dfa1
mcwa i82559 Ethernet at irq  9  MAC: 000d.88ee.dfa2
mcwa i82559 Ethernet at irq  5  MAC: 000d.88ee.dfa3
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: relinked orphaned file into the fs as "/lost+found/00233".
flashfs[7]: relinked orphaned directory into the fs as "/lost+found/00229".
flashfs[7]: 224 files, 9 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 8061952
flashfs[7]: Bytes available: 8066048
flashfs[7]: flashfs fsck took 53 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6         
Maximum VLANs               : 25        
Inside Hosts                : Unlimited 
Failover                    : Active/Active
VPN-DES                     : Enabled   
VPN-3DES-AES                : Enabled   
Cut-through Proxy           : Enabled   
Guards                      : Enabled   
URL Filtering               : Enabled   
Security Contexts           : 2         
GTP/GPRS                    : Disabled  
VPN Peers                   : Unlimited 

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .                             
                                 |            |                             
                                |||          |||                            
                              .|| ||.      .|| ||.                          
                           .:||| | |||:..:||| | |||:.                       
                            C i s c o  S y s t e m s                        
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(4)

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706

Cryptochecksum(unchanged): 629e8fc8 b6e63516 1c253178 e5d91814 
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.

Depois de Atualizar


Observação O exemplo de configuração desta seção exibe instruções ausentes de canalizações e de saída; elas foram convertidas em listas de controle de acesso.


Após o melhoramento da ferramenta PIX Security Versão 7.0, insira o comando enable para entrar no modo de configuração, depois digite sua senha e, por último, emita o comando show run . A saída é a seguinte:

Conduit> enable
Password:

Conduit# show run

: Saved
 :
 PIX Version 7.0(4)
 names
 name 172.16.1.75 Linux
 !
 interface Ethernet0
  speed 100
  duplex full
  nameif outside
  security-level 0
  ip address 172.16.1.161 255.255.255.0 
 !
 interface Ethernet1
  speed 100
  duplex full
  nameif inside
  security-level 100
  ip address 192.168.1.161 255.255.255.0 
 !
 interface Ethernet2
  shutdown
  nameif dmz
  security-level 50
  no ip address
 !
 interface Ethernet3
  shutdown
  nameif intf3
  security-level 6