Segurança : Dispositivos de segurança Cisco PIX 500 Series

Migração dos PIX 500 Series Security Appliances para os ASA 5500 Series Adaptive Security Appliances

17 Julho 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (26 Setembro 2008) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos de Hardware e Software
      Componentes Utilizados
      Convenções
Atualizar o Software PIX para a Versão 7.x
Atualizar o PIX Security Appliance com o Comando copy tftp flash
Atualizar o PIX Security Appliance no Modo de Monitor
      Entrar no Modo de Monitor
      Atualizar o PIX no Modo de Monitor
Copiar a Configuração do PIX para o ASA
Configurar as Interfaces do ASA
Aplicar uma Configuração do Software PIX Versão 6.x ao Software ASA Versão 7.x
Troubleshooting
      O Dispositivo Permanece em um Loop de Reinicialização
      Mensagem de Erro
      A Configuração Aparentemente Não Está Correta
      Alguns Serviços, como FTP, Não Funcionam
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento explica como migrar dos PIX 500 Series Security Appliances para os ASA 5500 Series Adaptive Security Appliances.

Nota: O PIX 501, o PIX 506 e o PIX 506E não oferecem suporte à versão 7 do software.

Conclua estas três etapas para migrar do PIX para o ASA:

  1. Atualize o software PIX versão 7.x.

  2. Copie a configuração do PIX para o ASA.

  3. Configure as interfaces do ASA com:

    • Nome

    • Nível de segurança

    • Endereço IP

Pré-requisitos

Requisitos de Hardware e Software

Você pode atualizar o PIX 515, 515E, 525, 535 para a versão 7.0.

Antes de você iniciar o processo de atualização para a versão 7.x, a Cisco recomenda que o PIX esteja executando a versão 6.2 ou mais recente. Isso garantirá que a configuração atual seja convertida adequadamente. Além disso, os seguintes requisitos de hardware devem ser atendidos para satisfazer às necessidades mínimas de RAM:

Modelo do PIX

Requisitos de RAM

 

Restrita (R)

Irrestrita (UR) / Somente failover (FO)

PIX-515

64 MB*

128 MB*

PIX-515 E

64 MB*

128 MB*

PIX-525

128 MB

256 MB

PIX-535

512 MB

1 GB

Execute o comando show version para determinar a quantidade de RAM instalada no PIX.

Nota: As atualizações do software PIX 515 e 515E também podem exigir uma atualização de memória:

  • Aqueles que tiverem licenças restritas e 32 MB de memória devem ser atualizados para 64 MB de memória.

  • Aqueles que tiverem licenças irrestritas e 64 MB de memória devem ser atualizados para 128 MB de memória.

Veja nesta tabela os números de peça que você precisa para atualizar a memória nesses aplicativos.

Configuração Atual do Aplicativo

Solução de Atualização

Licença da Plataforma

Memória Total (antes da atualização)

Número da Peça

Memória Total (após a atualização)

Restrita (R)

32 MB

PIX-515-MEM-32=

64 MB

Irrestrita (UR)

32 MB

PIX-515-MEM-128=

128 MB

Somente Failover (FO)

64 MB

PIX-515-MEM-128=

128 MB

Nota: O número da peça depende da licença instalada no PIX.

A atualização da versão 6.x do software para a 7.x é simples e requer algum trabalho manual, mas você deverá concluir estas etapas antes de começar:

  1. Verifique se não há comandos conduit ou outbound/apply em sua configuração atual. Não há mais suporte a esses comandos na versão 7.x e o processo de atualização os removerá. Use a ferramenta Output Interpreter (somente clientes registrados) para converter esses comandos em listas de acesso antes de tentar a atualização.

  2. Verifique se o PIX não termina conexões PPTP (Point to Point Tunneling Protocol). No momento, a versão 7.x do software não oferece suporte à terminação PPTP.

  3. Copie todos os certificados digitais para conexões VPN no PIX antes de iniciar o processo de atualização.

  4. Leia estes documentos para conhecer os comandos novos, alterados e substituídos:

  5. Planeje a migração para que ela ocorra em um período de inatividade. Embora a migração seja um processo simples de duas etapas, a atualização do PIX Security Appliance para a versão 7.x é uma mudança significativa e requer algum tempo de inatividade.

  6. Baixe a versão 7.x do software de Downloads da Cisco (somente clientes registrados).

Componentes Utilizados

As informações deste documento baseiam-se nestas versões de software e hardware:

  • ASA 5500 Series Security Appliances

  • PIX Security Appliance 515, 515E, 525 e 535

  • PIX Software versões 6.3, 7.0

As informações deste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Atualizar o Software PIX para a Versão 7.x

Antes de iniciar o processo de atualização, conclua estas etapas:

  1. Execute o comando show running-config ou write net para salvar a configuração atual do PIX em um arquivo de texto ou em um servidor TFTP.

  2. Execute o comando show version para verificar os requisitos, como RAM. Além disso, salve a saída desse comando em um arquivo de texto. Se for necessário reverter para uma versão mais antiga do código, talvez você precise da chave de ativação original.

Se o PIX tiver uma versão de BIOS (basic input output system) anterior à 4.2 ou se você planejar atualizar um PIX 515 ou PIX 535 com um PDM já instalado, será necessário concluir o procedimento de atualização no modo de monitor, em vez de com o método copy tftp flash.

Nota: Os comandos da versão 6.x são convertidos automaticamente em comandos da versão 7.x durante a atualização. A conversão automática de comandos resulta em uma alteração da configuração. Você precisará examinar essas alterações depois que a versão 7.x do software for inicializada para verificar se as alterações automáticas foram satisfatórias. Em seguida, salve a configuração na memória flash para garantir que o sistema não converta novamente a configuração na próxima vez que o aplicativo de segurança for inicializado.

Nota: Após a atualização do sistema para a versão 7.x, é importante não usar o utilitário npdisk da versão 6.x do software, como recuperação de senha, pois ele corromperá a imagem da versão 7.x e exigirá a reinicialização do sistema no modo de monitor. Você também poderá perder suas informações anteriores de chave, kernel de segurança e configuração.

Atualizar o PIX Security Appliance com o Comando copy tftp flash

Conclua estas etapas para atualizar o PIX usando o comando copy tftp flash.

  1. Copie a imagem binária do aplicativo PIX (por exemplo, pix701.bin) para o diretório raiz do servidor TFTP.

  2. No prompt de habilitação, execute o comando copy tftp flash.

    pixfirewall>enable
    Password:<password>
    
    pixfirewall#copy tftp flash
    
  3. Digite o endereço IP do servidor TFTP.

    Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
    
  4. Digite o nome do arquivo no servidor TFTP que você deseja carregar. Esse é o nome do arquivo da imagem binária do PIX.

    Source file name [cdisk]?<filename>
    
    
  5. Quando for solicitado a iniciar a cópia do TFTP, digite yes.

    copying tftp://172.18.173.123/pix701.bin to flash:image
    [yes|no|again]?yes
    
  6. Agora a imagem foi copiada do servidor TFTP para o Flash.

    Esta mensagem aparece e indica que a transferência foi bem-sucedida, a imagem binária antiga no Flash foi apagada e a nova imagem foi gravada e instalada.

    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Received 5124096 bytes
    Erasing current image
    Writing 5066808 bytes of image
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Image installed
    pixfirewall#
    
  7. Recarregue o aplicativo PIX para inicializar a nova imagem.

    pixfirewall#reload
    Proceed with reload? [confirm] <enter>
    
    
    
    Rebooting....
    
  8. Agora o PIX inicializa a imagem da versão 7.0 e o processo de atualização é concluído.

Configuração de Exemplo - Atualizar o Aplicativo PIX com o Comando copy tftp flash

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall#
pixfirewall#reload
Proceed with reload? [confirm] <enter>




Rebooting..ÿ

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
128 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 7192 Host Bridge 
00 07 00 8086 7110 ISA Bridge 
00 07 01 8086 7111 IDE Controller 
00 07 02 8086 7112 Serial Bus 9
00 07 03 8086 7113 PCI Bridge 
00 0D 00 8086 1209 Ethernet 11
00 0E 00 8086 1209 Ethernet 10
00 13 00 11D4 2F44 Unknown Device 5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash. 
######################################################################
######################################################################
128MB RAM

Total NICs found: 2
mcwa i82559 Ethernet at irq 11 MAC: 0009.4360.ed44
mcwa i82559 Ethernet at irq 10 MAC: 0009.4360.ed43
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


!--- Esta saída indica que o sistema de arquivos Flash
!--- foi formatado. As mensagens são normais.

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-27642)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-30053)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-1220)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-22934)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (2502)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (29877)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-13768)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (9350)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-18268)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (7921)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (22821)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (7787)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (15515)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (20019)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-25094)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-7515)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (-10699)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (6652)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (-23640)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (23698)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (-28882)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (2533)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-966)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-22888)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (-9762)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (9747)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (-22855)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-32551)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-13355)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (-29894)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-18595)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (22095)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (1486)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (13559)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (24215)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (21670)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (-24316)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 7, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 12, parent_fileid 0
flashfs[7]: 5 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 5128192
flashfs[7]: Bytes available: 10999808
flashfs[7]: flashfs fsck took 59 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6 
Maximum VLANs : 25 
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled 
VPN-3DES-AES : Enabled 
Cut-through Proxy : Enabled 
Guards : Enabled 
URL Filtering : Enabled 
Security Contexts : 2 
GTP/GPRS : Disabled 
VPN Peers : Unlimited

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC (IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5)
--------------------------------------------------------------------------
. . 
| | 
||| ||| 
.|| ||. .|| ||. 
.:||| | |||:..:||| | |||:. 
C i s c o S y s t e m s 
--------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1)

****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.

A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

!--- Estas mensagens são impressas para quaisquer comandos desaprovados.

ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 50, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 55, "floodguard enable"

Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255

!--- Todas as correções atuais são convertidas no novo Modular Policy Framework.

INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
pixfirewall>

Nota: Execute o comando show version para verificar se o PIX agora executa a versão 7.x do software.

Nota: Para verificar se houve erros durante a migração da configuração, execute o comando show startup-config errors. Os erros aparecem nesta saída após você inicializar o PIX pela primeira vez.

Atualizar o PIX Security Appliance no Modo de Monitor

Entrar no Modo de Monitor

Conclua estas etapas para entrar no modo de monitor no PIX.

  1. Conecte um cabo de console à porta de console no PIX usando estas configurações de comunicação:

    • 9600 bits por segundo

    • 8 bits de dados

    • sem paridade

    • 1 bit de parada

    • nenhum controle de fluxo

  2. Ligue e desligue ou recarregue o PIX. Durante a inicialização, você será solicitado a usar BREAK ou ESC para interromper a inicialização do Flash. Você tem 10 segundos para interromper o processo normal de inicialização.

  3. Pressione a tecla ESC ou envie um caractere BREAK para entrar no modo de monitor.

    • Se estiver usando o Windows Hyper Terminal, você poderá pressionar a tecla Esc ou Ctrl+Break para enviar um caractere BREAK.

    • Se executar um Telnet através de um servidor de terminal para acessar a porta de console do PIX, você precisará pressionar Ctrl+] (Control + colchete direito) para obter o prompt de comando do Telnet. Em seguida, execute o comando send break.

  4. O prompt monitor> será exibido.

  5. Continue com a seção Atualizar o PIX no Modo de Monitor.

Atualizar o PIX no Modo de Monitor

Conclua estas etapas para atualizar o PIX no modo de monitor.

  1. Copie a imagem binária do aplicativo PIX (por exemplo, pix701.bin) para o diretório raiz do servidor TFTP.

  2. Entre no modo de monitor no PIX. Se não souber como fazer isso, consulte Entrar no Modo de Monitor.

    Nota: Quando estiver no modo de monitor, você poderá usar a tecla "?" para ver uma lista de opções disponíveis.

  3. Digite o número da interface à qual o servidor TFTP está conectado ou da interface mais próxima ao servidor TFTP. O padrão é a interface 1 (interna).

    monitor>interface <num>
    

    Nota: No modo de monitor, a interface sempre negocia automaticamente a velocidade e o duplex. As definições de interface não podem ser codificadas. Portanto, se a interface do PIX estiver conectada a um switch com codificação de velocidade/duplex, reconfigure-a para negociação automática enquanto você estiver no modo de monitor. Lembre-se também de que o aplicativo PIX não pode inicializar uma interface Gigabit Ethernet no modo de monitor. Você deve usar uma interface Fast Ethernet.

  4. Digite o endereço IP da interface definida na etapa 3.

    monitor>address <PIX_ip_address>
    
  5. Digite o endereço IP do servidor TFTP.

    monitor>server <tftp_server_ip_address>
    
  6. (Opcional) Digite o endereço IP do seu gateway. Será necessário um endereço de gateway se a interface do PIX não estiver na mesma rede que o servidor TFTP.

    monitor>gateway <gateway_ip_address>
    
  7. Digite o nome do arquivo no servidor TFTP que você deseja carregar. Esse é o nome do arquivo da imagem binária do PIX.

    monitor>file <filename>
    
  8. Efetue ping do PIX para o servidor TFTP a fim de verificar a conectividade IP.

    Se o ping falhar, verifique os cabos, o endereço IP da interface do PIX e do servidor TFTP, além do endereço IP do gateway (se necessário). Os pings devem ser bem-sucedidos para que você possa continuar.

    monitor>ping <tftp_server_ip_address>
    
  9. Digite tftp para iniciar o download do TFTP.

    monitor>tftp
    
  10. O PIX baixa a imagem para a RAM e a reinicializa automaticamente.

    Durante o processo de inicialização, o sistema de arquivos é convertido junto com a sua configuração atual. No entanto, você ainda não terminou. Observe esta mensagem de aviso após a inicialização e continue com a etapa 11:

    ******************************************************************
      **                                                                    **
      **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
      **                                                                    **
      **          ----> Current image running from RAM only! <----          **
      **                                                                    **
      **  When the PIX was upgraded in Monitor mode the boot image was not  **
      **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
      **  save a bootable image to Flash.  Failure to do so will result in  **
      **  a boot loop the next time the PIX is reloaded.                    **
      **                                                                    **
      ************************************************************************
    
  11. Após a inicialização, entre no modo de habilitação e copie a mesma imagem para o PIX novamente. Desta vez, execute o comando copy tftp flash.

    Isso salvará a imagem no sistema de arquivos Flash. Se esta etapa não for concluída, haverá um loop de inicialização na próxima vez que o PIX for recarregado.

    pixfirewall>enable
    pixfirewall#copy tftp flash
    

    Nota: Para obter descrições detalhadas sobre como copiar a imagem com o comando copy tftp flash, consulte a seção Atualizar o PIX Security Appliance com o Comando copy tftp flash.

  12. Depois que a imagem for copiada com o comando copy tftp flash, o processo de atualização estará concluído.

Configuração de Exemplo - Atualizar o PIX Security Appliance no Modo de Monitor

monitor>interface 1
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
2: i8255X @ PCI(bus:1 dev:0  irq:11)
3: i8255X @ PCI(bus:1 dev:1  irq:11)
4: i8255X @ PCI(bus:1 dev:2  irq:11)
5: i8255X @ PCI(bus:1 dev:3  irq:11)

Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81
monitor>address 10.1.1.2
address 10.1.1.2
monitor>server 172.18.173.123
server 172.18.173.123
monitor>gateway 10.1.1.1
gateway 10.1.1.1
monitor>file pix701.bin
file pix701.bin
monitor>ping 172.18.173.123
Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor>tftp
tftp pix701.bin@172.18.173.123..........................................
Received 5124096 bytes

Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar  7 17:39:03 PST 2005
#######################################################################
128MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 10  MAC: 0050.54ff.4d80
mcwa i82559 Ethernet at irq  7  MAC: 0050.54ff.4d81
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2014
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2015
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2016
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2017
BIOS Flash=AT29C257 @ 0xfffd8000
Old file system detected. Attempting to save data in flash


!--- Esta saída indica que o sistema de arquivos Flash
!--- foi formatado. As mensagens são normais.

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-10627)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-14252)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-15586)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (5589)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (4680)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-21657)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-28397)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (2198)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-26577)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (30139)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (-17027)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (-2608)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (18180)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (0)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (29271)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (0)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 61...block number was (0)
flashfs[7]: erasing block 61...done.
flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0
flashfs[7]: 9 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 15998976
flashfs[7]: Bytes used: 10240
flashfs[7]: Bytes available: 15988736
flashfs[7]: flashfs fsck took 58 seconds.
flashfs[7]: Initialization complete.

Saving the datafile
!
Saving a copy of old datafile for downgrade
!
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
The version of image file in flash is not bootable in the current version of
software.
Use the downgrade command first to boot older version of software.
The file is being saved as image_old.bin anyway.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
Erasing sector 64...[OK]
Burning sector 64...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs               : 25
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .
                                 |            |
                                |||          |||
                              .|| ||.      .|| ||.
                           .:||| | |||:..:||| | |||:.
                            C i s c o  S y s t e m s
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1)

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706


!--- Estas mensagens são impressas para quaisquer comandos desaprovados.

.ERROR: This command is no longer needed. The LOCAL user database is always enabled.
 *** Output from config line 71, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
 *** Output from config line 76, "floodguard enable"

Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303

!--- Todas as correções atuais são convertidas para o
!--- novo Modular Policy Framework.

INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
  ************************************************************************
  **                                                                    **
  **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
  **                                                                    **
  **          ----> Current image running from RAM only! <----          **
  **                                                                    **
  **  When the PIX was upgraded in Monitor mode the boot image was not  **
  **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
  **  save a bootable image to Flash.  Failure to do so will result in  **
  **  a boot loop the next time the PIX is reloaded.                    **
  **                                                                    **
  ************************************************************************
Type help or '?' for a list of available commands.
pixfirewall>
pixfirewall>enable
Password:<password>

pixfirewall#
pixfirewall#copy tftp flash

Address or name of remote host []? 172.18.173.123

Source filename []? pix701.bin

Destination filename [pix701.bin]? <enter>


Accessing tftp://172.18.173.123/pix701.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file flash:/pix701.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
5124096 bytes copied in 139.790 secs (36864 bytes/sec)
pixfirewall#

Copiar a Configuração do PIX para o ASA

Para concluir a migração efetiva da configuração do PIX para o ASA, execute estas etapas:

  1. Copie a configuração do PIX para um servidor TFTP ou FTP:

    Copy startup-config tftp://10.1.1.12/startup-config
    
  2. Examine a configuração atual do ASA para que possa compará-la posteriormente com a configuração copiada do PIX.

  3. Execute o comando copy para baixar a configuração do servidor para o ASA:

    Copy tftp://10.1.1.12/startup-config startup-config
    
  4. Execute o comando clear config all para apagar todas as configurações de execução antes de copiar a configuração de inicialização para a configuração de execução. Isso carregará a nova configuração de inicialização, descartará a configuração em execução sem uma reinicialização e concluirá a migração para o ASA.

    Copy startup-config running-config
    

    Nota: Ao copiar a configuração de inicialização para a configuração de execução, você observará erros porque as interfaces do PIX Security Appliance são diferentes das existentes no ASA. Embora os comandos relacionados a interface sejam mantidos na configuração de inicialização, eles não são aplicados à configuração de execução.

Nota: Não esqueça de configurar o nome, o nível de segurança e o endereço IP de cada interface do ASA que você planeja usar.

Configurar as Interfaces do ASA

A etapa final da migração é configurar os parâmetros adequados de interface no ASA:

  1. Atribua um nome adequado à interface:

    ASA(config)#interface gigabitethernet0/1
    ASA(config-if)#nameif name
    
  2. Especifique o nível de segurança da interface de acordo com a política de segurança da rede:

    ASA(config-if)#security-level number
    
  3. Atribua o endereço IP da interface:

    ASA(config-if)#ip address ip_address [mask]
    
  4. Finalmente, habilite a interface se ela ainda não tiver sido habilitada:

    ASA(config-if)#no shutdown
    

Por exemplo:

ASA(config)#interface gigabitethernet0/1
ASA(config-if)#nameif inside
ASA(config-if)#security-level 100
ASA(config-if)#ip address 10.1.2.1 255.255.255.0
ASA(config-if)#no shutdown

Consulte a seção Configurando Parâmetros de Interface do Guia de Configuração da Linha de Comando do Cisco Security Appliance, Versão 7.0 para obter mais informações.

Aplicar uma Configuração do Software PIX Versão 6.x ao Software ASA Versão 7.x

A conversão de uma configuração do PIX 6.2 ou 6.3 em um novo ASA Security Appliance é um processo manual. O administrador do ASA/PIX precisa converter a sintaxe do PIX 6.x na sintaxe do ASA e digitar os comandos na configuração do ASA. Você pode recortar e colar alguns comandos, como o comando access-list. Compare atentamente a configuração do PIX 6.2 ou 6.3 com a nova configuração do ASA para garantir que não tenham ocorrido erros durante a conversão.

Nota: A Output Interpreter Tool (somente clientes registrados) (OIT) pode ser usada para converter alguns dos comandos mais antigos sem suporte, como apply, outbound ou conduit, na lista de acesso adequada. As instruções convertidas precisam ser totalmente revisadas. É necessário verificar se a conversão está de acordo com as políticas de segurança.

Nota: O processo de atualização para um novo aplicativo ASA é diferente de uma atualização para um novo aplicativo PIX. A tentativa de atualizar para um aplicativo ASA usando o processo do PIX gerará inúmeros erros de configuração no ASA.

Troubleshooting

O Dispositivo Permanece em um Loop de Reinicialização

  • Depois que você usa o método copy tftp flash para atualizar o PIX e reinicializá-lo, ele permanece neste loop de reinicialização:

    Cisco Secure PIX Firewall BIOS (4.0) #0:
    Thu Mar  2 22:59:20 PST 2000
    Platform PIX-515
    Flash=i28F640J5 @ 0x300
    
    Use BREAK or ESC to interrupt flash boot.
    Use SPACE to begin flash boot immediately.
    Reading 5063168 bytes of image from flash.
    

    Os aplicativos PIX com versões de BIOS anteriores à 4.2 não podem ser atualizados com o uso do comando copy tftp flash. É necessário atualizá-los com o método Modo de Monitor.

  • Depois que o PIX executa a versão 7.x e é reinicializado, ele permanece neste loop de reinicialização:

    Rebooting....
    
    Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000
    Platform PIX-515
    Flash=i28F640J5 @ 0x300
    
    Use BREAK or ESC to interrupt flash boot.
    Use SPACE to begin flash boot immediately.
    Reading 115200 bytes of image from flash. 
    
    PIX Flash Load Helper
    
    Initializing flashfs...
    flashfs[0]: 10 files, 4 directories
    flashfs[0]: 0 orphaned files, 0 orphaned directories
    flashfs[0]: Total bytes: 15998976
    flashfs[0]: Bytes used: 1975808
    flashfs[0]: Bytes available: 14023168
    flashfs[0]: Initialization complete.
    
    Unable to locate boot image configuration
    
    Booting first image in flash
    
    No bootable image in flash. Please download
    an image from a network server in the monitor mode
    
    Failed to find an image to boot
    

    Se o PIX for atualizado no modo de monitor para a versão 7.0, mas a imagem dessa versão não for copiada novamente para o Flash após a primeira inicialização, quando o PIX for recarregado, ele permanecerá em um loop de reinicialização.

    A solução é carregar a imagem novamente do Modo de Monitor. Após sua inicialização, você deverá copiar a imagem mais uma vez usando o método copy tftp flash.

Mensagem de Erro

Durante a atualização com o método copy tftp flash, você vê esta mensagem de erro:

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? y
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Insufficient flash space available for this request:
Size info: request:5066808 current:1966136 delta:3100672 free:2752512
Image not installed
pixfirewall#

Normalmente essa mensagem é exibida quando o PIX 515 ou um PIX 535 com o PDM já instalado é atualizado com o método copy tftp flash.

Faça a atualização com o método Modo de Monitor para resolver esse problema.

A Configuração Aparentemente Não Está Correta

Após a atualização do PIX da versão 6.x para a 7.x, algumas configurações não são migradas adequadamente.

A saída do comando show startup-config errors mostra todos os erros que ocorreram durante a migração da configuração. Os erros aparecem nessa saída após você inicializar o PIX pela primeira vez. Examine esses erros e tente resolvê-los.

Alguns Serviços, como FTP, Não Funcionam

Ocasionalmente, alguns serviços, como FTP, não funcionam após uma atualização.

A inspeção desses serviços não está habilitada após a atualização. Habilite-a para os serviços adequados. Para fazer isso, adicione-os à política de inspeção padrão/global ou crie uma política de inspeção separada para o serviço desejado.

Consulte a seção Aplicando a Inspeção de Protocolo de Camada de Aplicativo do Guia de Configuração da Linha de Comando do Cisco Security Appliance, Versão 7.0 para obter mais informações sobre as políticas de inspeção.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 91976