Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

Mise à niveau logicielle pour le pare-feu Cisco Secure PIX Firewall et PIX Device Manager

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Remarque: Ce document couvre comment mettre à niveau le logiciel sur une appliance de sécurité de la gamme PIX 500. Pour télécharger le logiciel PIX, référez-vous au centre logiciel (clients enregistrés seulement). Vous devez ouvrir une session et posséder un contrat de service valide afin d'accéder au logiciel PIX.


Contenu


Introduction

Ce document explique comment mettre à niveau le logiciel pare-feu PIX et comment mettre à niveau PIX Device Manager (PDM). Ce document est pertinent pour toutes les versions du logiciel pare-feu PIX versions 4.x à 6.3.x.

Remarque: Ce document ne couvre pas les mises à niveau vers la version 7.x. Pour plus d'informations sur cela, référez-vous à la procédure de mise à niveau de sécurité Cisco Secure PIX Security Appliance 7.x et ASDM pour version 7.x et l'Adaptive Security Device Manager (ASDM).

Avant de commencer

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • Configurez un serveur TFTP

    Dans la plupart des cas, l'utilisation d'un serveur TFTP est requise pour une mise à niveau logicielle de l'appliance de sécurité PIX. Cisco vous recommande vivement de sauvegarder la configuration PIX vers un serveur TFTP avant la mise à niveau. Émettez la commande write net afin de sauvegarder votre configuration.

    Exemple :

    pixfirewall# write net 10.1.1.10:pixconfig
    

    Cisco ne fournit plus de serveur TFTP pour le téléchargement, mais vous pouvez trouver beaucoup d'options faciles à utiliser et gratuite avec un moteur de recherche.

  • Rassemblez les informations nécessaires

    Afin de déterminer quelle mise à niveau logicielle fonctionne pour votre appliance de sécurité PIX, recueillez les spécifications du périphérique. Parfois, il est nécessaire d'avoir la clé d'activation du PIX à disposition durant la procédure de mise à niveau. Émettez la commande show version afin d'obtenir les informations nécessaires sur l'équipement.

    Exemple :

    pixfirewall# show version
    
    Cisco PIX Firewall Version 6.3(4)
    Cisco PIX Device Manager Version 3.0(2)
    
    Compiled on Fri 02-Jul-04 00:07 by morlee
    
    pixfirewall up 29 mins 18 secs
    
    Hardware:   PIX-501, 16 MB RAM, CPU Am5x86 133 MHz
    Flash E28F640J3 @ 0x3000000, 8MB
    BIOS Flash E28F640J3 @ 0xfffd8000, 128KB
    
    0: ethernet0: address is 0015.2b95.f95c, irq 9
    1: ethernet1: address is 0015.2b95.f95e, irq 10
    Licensed Features:
    Failover:                    Disabled
    VPN-DES:                     Enabled
    VPN-3DES-AES:                Enabled
    Maximum Physical Interfaces: 2
    Maximum Interfaces:          2
    Cut-through Proxy:           Enabled
    Guards:                      Enabled
    URL-filtering:               Enabled
    Inside Hosts:                Unlimited
    Throughput:                  Unlimited
    IKE peers:                   10
    
    This PIX has a Restricted (R) license.
    
    Serial Number: 809324870 (0x303d5146)
    Running Activation Key: 0x96cb328a 0x15e9aeaf 0xddb832cf 0xb906199e 
    Configuration last modified by enable_15 at 07:52:05.707 UTC Tue Jul 11 2006

    En outre, assurez-vous de lire les notes de version pertinentes pour la version du logiciel PIX dans la documentation Cisco PIX 500 Series Security Appliance.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Logiciel PIX version 4.4(x) - 2 Mo Flash, 16 Mo RAM

  • Logiciel PIX version 5.0(x) - 2 Mo Flash, 32 Mo RAM

  • Logiciel PIX version 5.1(x) - 2 Mo Flash, 32 Mo RAM

  • Logiciel PIX version 5.2(x) - 8 Mo Flash, 32 Mo RAM

  • Logiciel PIX version 5.3(x) - 8 Mo Flash, 32 Mo RAM

  • Logiciel PIX version 6.0(x) - 8 Mo Flash, 32 Mo RAM

  • Logiciel PIX version 6.1(x) - 8 Mo Flash, 32 Mo RAM

  • Logiciel PIX version 6.2(x) - 8 Mo Flash, 32 Mo RAM

  • Logiciel PIX version 6.3(x) - 32 Mo RAM (sauf Dispositif de sécurité Cisco PIX 501, qui nécessite 16 Mo de RAM), 16 Mo Flash (sauf modèles de Dispositifs de sécurité Cisco PIX 501, 506 et 506E, qui nécessitent 8 Mo Flash)

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Déterminez votre procédure de mise à niveau

Recherchez votre modèle de pare-feu PIX et la version logicielle actuelle du logiciel dans ce tableau. Puis, sélectionnez le lien afin de voir les instructions sur la manière de mettre à niveau le pare-feu PIX.

  Version du logiciel PIX en cours
Modèle PIX : 4.4(x) et antérieure, 5.0(x) 5.1(x) 5.2(x) 5.3(x) 6.0(x) 6.1(x), 6.2(x), 6.3(x)
PIX Classic boothelper éclair de copy tftp éclair de copy tftp éclair de copy tftp cessé cessé
PIX 10000 boothelper éclair de copy tftp éclair de copy tftp éclair de copy tftp cessé cessé
PIX 501 Sans objet Sans objet Sans objet Sans objet Sans objet éclair de copy tftp
PIX 506 Sans objet éclair de copy tftp éclair de copy tftp éclair de copy tftp éclair de copy tftp éclair de copy tftp
PIX 510 boothelper éclair de copy tftp éclair de copy tftp éclair de copy tftp Cessé Cessé
PIX 515 moniteur éclair de copy tftp éclair de copy tftp éclair de copy tftp éclair de copy tftp éclair de copy tftp
PIX 520 boothelper éclair de copy tftp éclair de copy tftp éclair de copy tftp éclair de copy tftp éclair de copy tftp
PIX 525 Sans objet Sans objet éclair de copy tftp éclair de copy tftp éclair de copy tftp éclair de copy tftp
PIX 535 Sans objet Sans objet Sans objet éclair de copy tftp éclair de copy tftp éclair de copy tftp

Remarque: Le pare-feu PIX Classic, le 10000 et le 510 sont abandonnés et ne peuvent pas exécuter le logiciel pare-feu PIX version 6.0 ou ultérieure. Si vous avez un PIX Classic, 10000 ou 510 et voulez exécuter le logiciel pare-feu PIX version 6.0 ou ultérieure, contactez votre revendeur ou votre équipe de compte Cisco locaux afin d'acheter un nouveau pare-feu PIX.

Téléchargez le logiciel

Le logiciel de l'appliance de sécurité PIX est seulement à la disposition des utilisateurs avec un compte CCO et un contrat de service associé. Référez-vous au centre logiciel (clients enregistrés seulement) afin de télécharger le logiciel PIX. Vous devez vous connecter pour accéder au logiciel PIX.

Mettez à niveau le pare-feu PIX des versions 4.x.x ou 5.0.x

Dispositifs avec un lecteur de disquette

Ces étapes s'appliquent seulement aux périphériques PIX qui ont un lecteur de disquette. Spécifiquement, ce groupe est limité au PIX Classic, au 10000, au 510 et au 520.

Procédez comme suit afin de créer une disquette de démarrage dans Windows :

  1. Allez à la page Téléchargement du logiciel PIX (clientsenregistrés seulement) et téléchargez l'utilitaire rawrite.exe. Utilisez cet utilitaire afin d'écrire l'image PIX binaire sur une disquette.

  2. Téléchargez l'image PIX binaire (fichier .bin) qui correspond à la version logicielle vers laquelle vous voulez effectuer la mise à niveau. Les noms du fichier d'image PIX sont dans le format pixnnx.bin, où les nnis le numéro de version et le x est le numéro de version.

    Exemple : Le fichier pix611.bin est pour le logiciel PIX version 6.1.1.

  3. Si vous mettez à niveau vers le logiciel PIX version 5.2 ou ultérieure, vous avez également besoin de télécharger le fichier binaire boothelper correspondant.

    Exemple : Si vous mettez à niveau du logiciel PIX version 4.4(8) à 6.1(1), vous devez télécharger ces trois fichiers :

    • rawrite.exe

    • pix611.bin

    • bh61.bin

  4. Trouvez une disquette au format IBM haute densité qui ne contient aucun fichier.

    Remarque: N'utilisez pas la disquette de démarrage du pare-feu PIX qui est fournie avec l'achat initial du pare-feu PIX. Vous avez besoin de cette disquette pour une récupération système si vous choisissez de réinstaller la version originale. Le programme rawrite.exe efface tous les fichiers sur la disquette.

    Si vous formatez la disquette à partir de Windows, choisissez la version longue et non pas le formatage rapide. Le formatage rapide ne prépare pas convenablement la disquette pour rawrite. La meilleure façon de formater la disquette est à partir de l'invite de commandes MS-DOS. Émettez la commande format a: , où a est la lettre du lecteur de disquette où se trouve la disquette.

  5. Placez la disquette vierge dans le lecteur de disquette de votre ordinateur et ouvrez une invite DOS. Passez au répertoire où vous avez enregistré l'utilitaire rawrite.exe et les fichiers PIX.

  6. Exécutez le programme rawrite.exe. Afin de faire ceci, émettez le rawritecommand à l'invite DOS. Lorsque vous y êtes invité, tapez le nom du fichier que vous voulez écrire sur la disquette.

    Remarque: Si vous mettez à niveau vers le logiciel PIX version 5.1 ou antérieure, spécifiez le fichier de l'image PIX elle-même. Elle est au format de pixnnx.bin. Si vous mettez à niveau vers PIX versions 5.2 ou ultérieure, spécifiez le fichier boothelper PIX, au format de bhnn.bin.

    Exemple : créez une disquette de démarrage dans Windows

    C:\>rawrite
    RaWrite 1.2 - Write disk file to raw floppy diskette  
    Enter source file name: bh61.bin
    Enter destination drive: a: 
    Please insert a formatted diskette into drive A: and press -ENTER- : 
    Number of sectors per track for this disk is 18. 
    Writing image to drive A:. Press ^C to abort. 
    Track: 11 Head: 1 Sector: 16 
    Done.
    C:\>0
  7. Une fois que le processus rawrite est terminé, éjectez la disquette et insérez-la dans le lecteur de disquette PIX. Exécutez une de ces actions afin que PIX démarre à partir de l'image de la disquette.

    • Éteignez et rallumez le PIX.

      ou

    • Utilisez le commutateur de réinitialisation du PIX.

      ou

    • Émettez la commande reload depuis la console PIX.

  8. Lorsque le redémarrage du PIX est fini, suivez l'étape appropriée ci-dessous :

    • Si vous mettez à niveau vers le logiciel PIX version 5.1 ou antérieure, retirez la disquette du lecteur et vous avez terminé.

    • Si vous mettez à niveau vers le logiciel PIX version 5.2 ou ultérieure, lorsque vous chargez le programme boothelper sur la disquette, le PIX apparaît en mode boothelper. Passez à la section Mettez à niveau le pare-feu PIX du mode Boothelper ou Monitor de ce document afin de terminer la mise à niveau.

Appareils sans lecteur de disquette (mode Monitor)

Périphériques PIX qui n'ont pas de lecteur de disquette interne sont livrés avec un programme de surveillance de démarrage ROM qui est utilisé pour la mise à niveau de l'image du pare-feu PIX. Suivez ces étapes afin d'entrer en mode Monitor sur des périphériques sans lecteur de disquette :

  1. Éteignez et rallumez ou rechargez le PIX. Pendant le démarrage, vous êtes invité à utiliser les touches BREAK ou ESC pour interrompre le démarrage Flash. Vous avez dix secondes pour interrompre le processus de démarrage normal.

  2. Appuyez sur la touche ESC ou envoyez un caractère BREAK afin d'entrer en mode Monitor.

    • Si vous utilisez le Windows HyperTerminal, vous pouvez appuyer la touche ESC ou envoyer un caractère BREAK avec la frappe Ctrl+Break.

    • Si vous accédez en Telnet par un serveur de terminal afin d'accéder au port de console du PIX, vous devez appuyer sur CTRL] afin d'obtenir une invite de commande Telnet. Entrez alors la commande send break.

  3. L'invite monitor> s'affiche.

  4. Passez à la section Mettez à niveau le pare-feu PIX du mode Boothelper ou Monitor de ce document.

Mettez à niveau le pare-feu PIX du mode Boothelper ou Monitor

Remarque: Assurez-vous d'avoir suivi les instructions pour l'une ou l'autre des sections présentées, Appliances de sécurité avec un lecteur de disquette ou Appliances de sécurité sans lecteur de disquette, avant de poursuivre avec ces étapes.

Si vous mettez à niveau le PIX des versions 5.0.x ou antérieures aux versions à 5.1.x ou ultérieures, vous devez utiliser la méthode du mode Boothelper ou Monitor pour la mise à niveau. C'est parce qu'avant la version 5.1, le logiciel pare-feu PIX ne fournit pas une manière de transférer en TFTP une image directement dans le Flash. Suivez ces étapes pour mettre à niveau les appliances de sécurité PIX avec ou sans un lecteur de disquette :

  1. Copiez l'image binaire du pare-feu PIX (pixnnn.bin) vers le répertoire racine du serveur TFTP.

  2. Pour le PIX Classic, le 10000, le 510 et le 520, assurez-vous que vous avez déjà utilisé la procédure pour Création d'une disquette de démarrage. Utilisez le fichier boothelper qui correspond le plus étroitement à l'image PIX vers laquelle vous souhaitez mettre à niveau. Démarrez le PIX depuis le lecteur de disquette pour entrer en mode boothelper.

    Tous autres périphériques PIX (501, 506, 515, 525 et 535) ne contiennent pas de lecteur de disquette. Au lieu de cela, ils ont un mode Monitor de démarrage interne. Voyez les instructions dans ce document pour la façon d'Entrer en mode Monitor sur un PIX 501, 506, 515, 525 ou 535.

    Une fois en mode Monitor ou Boothelper, vous pouvez utiliser la touche ? pour voir une liste des options disponibles.

  3. Émettez la commande interface number. La commande interface spécifie à partir de quelle interface PIX le serveur TFTP est connecté. Il s'agit par défaut de l'interface 1 (à l'intérieur).

    Remarque: Le PIX ne peut pas initialiser une interface Gigabit Ethernet du mode Monitor ou Boothelper. Utilisez plutôt une interface Fast Ethernet ou Token Ring.

  4. Émettez la commande address pix_interface_ip_address. La commande address spécifie l'adresse IP de l'interface de l'unité PIX.

  5. Émettez la commande tftp_server_ip_address. La commande server spécifie l'adresse IP du serveur TFTP.

  6. Émettez la commande file filename. La commande file spécifie le nom du fichier de l'image du pare-feu PIX.

  7. Émettez la commande ping tftp_server_ip_address. Effectuer un test Ping afin de vérifier l'accessibilité. Si cette commande échoue, vérifiez une deuxième fois vos câbles, adresse IP du serveur et du PIX et adresse IP de la passerelle (si nécessaire). Les tests Ping doivent réussir avant que vous puissiez continuer.

    Remarque: Entrez la commande gateway afin de spécifier l'adresse IP d'une passerelle routeur via laquelle le serveur est accessible :

    gateway ip_address of the gateway interface
    
    
  8. Émettez la commande tftp afin de démarrer le téléchargement de l'image du serveur TFTP.

  9. Après les téléchargements de l'image, vous êtes invité à installer la nouvelle image. Entrez y afin d'installer l'image vers le Flash.

  10. Une fois invité à introduire une nouvelle clé d'activation, entrez y si vous souhaitez introduire une nouvelle clé d'activation, ou n pour garder la clé d'activation existante. Voyez la section Mettez à niveau la clé d'activation de ce document pour plus d'informations sur la clé d'activation et comment en obtenir une neuve.

  11. Si vous utilisez le mode Boothelper, vous êtes invité à retirer la disquette Boothelper. Vous avez trente secondes pour retirer la disquette avant le redémarrage automatique du PIX. Retirez la disquette maintenant. Une fois que le PIX redémarre, il charge la nouvelle image du Flash.

    Cela termine le processus de mise à niveau.

    Une fois que le PIX est mis à niveau vers la version 5.1 ou ultérieure, il n'est plus nécessaire d'utiliser une disquette pour charger de nouvelles images sur le PIX. Dans le logiciel PIX version 5.1 et ultérieure, la commande copy tftp flash vous permet de connecter en TFTP votre nouvelle image PIX directement vers le PIX à partir d'un serveur TFTP. Référez-vous à Référence des commandes PIX pour plus de détails.

Exemple - Mettez à niveau le pare-feu PIX du mode Boothelper ou Monitor

monitor>interface 1 
0: i8255X @ PCI(bus:0 dev:14 irq:10) 
1: i8255X @ PCI(bus:0 dev:13 irq:11) 

Using 1: i82557 @ PCI(bus:0 dev:13 irq:11), MAC: 0002.b945.a23c 
monitor>address 172.18.124.154 
address 172.18.124.154 
monitor>server 172.18.125.3 
server 172.18.125.3 
monitor>file pix611.bin 
file pix611.bin 
monitor>ping 172.18.125.3 
Sending 5, 100-byte 0xcde2 ICMP Echoes to 172.18.125.3, timeout is 4 seconds: 
!!!!! 
Success rate is 100 percent (5/5) 
monitor>tftp 
tftp pix611.bin@172.18.125.3.......................................... 
Received 2562048 bytes 

Cisco Secure PIX Firewall admin loader (3.0) #0: Tue Dec  517:35:46 PST 2000 
System Flash=E28F128J3 @ 0xfff00000 
BIOS Flash=am29f400b @ 0xd8000 
Flash version 6.1.1, Install version 6.1.1 
Do you wish to copy the install image into flash? [n] y 

Installing to flash 

Serial Number: 480380761 (0x1ca20759) 
Activation Key: 760754d0 39f62229 a4a0245f b5b87e80 

Do you want to enter a new activation key? [n] n 
Writing 2469944 bytes image into flash... 

Mettez à niveau le pare-feu PIX des versions 5.1.1 ou ultérieures

Si l'appliance de sécurité PIX exécute les versions 5.1.1 ou ultérieures du logiciel PIX, vous pouvez utiliser la commande copy tftp flash afin de télécharger une image logicielle avec TFTP. La commande copy tftp flash peut être utilisé avec n'importe quel modèle de pare-feu PIX qui exécute le logiciel PIX versions 5.1.1 ou ultérieure. L'image que vous téléchargez est disponible pour le PIX au prochain rechargement (redémarrage). Référez-vous à Référence des commandes PIX pour plus d'informations sur cette commande.

Utilisez la commande copy tftp flash pour mettre à niveau le PIX

Procédez comme suit afin de mettre à niveau le PIX avec l'utilisation de la commande copy tftp flash.

  1. Copiez l'image binaire du pare-feu PIX (pixnnn.bin) vers le répertoire racine du serveur TFTP.

  2. Émettez la commande copy tftp flash depuis l'invite du PIX.

  3. Entrez l'adresse IP de l'hôte distant.

  4. Entrez le nom de fichier binaire PIX (format de nom pixnnn.bin).

  5. Tapez yes.

Exemple - Mettez à niveau le pare-feu PIX avec la commande copy tftp flash

pixfirewall#copy tftp flash 
Address or name of remote host [127.0.0.1]? 172.18.125.3 
Source file name [cdisk]?pix611.bin 
copying tftp://172.18.125.3/pix611.bin to flash
[yes|no|again]?yes 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
Received 2562048 bytes. 
Erasing current image. 
Writing 2469944 bytes of image. 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
Image installed. 
pixfirewall# 

Mettez à niveau les périphériques PIX dans un Basculement défini avec un temps d'arrêt minimal

Afin d'utiliser cette procédure, les périphériques PIX doivent exécuter le logiciel PIX version 5.1.x ou ultérieure. Ces instructions sont valides pour tous les périphériques PIX qui sont capables d'exécuter dans un ensemble de basculement. Référez-vous à Fonctionnement du basculement sur Cisco Secure PIX Firewall pour plus d'informations sur le basculement.

Deux options différentes sont mentionnées pour vous aider à mettre à niveau le PIX avec un temps d'arrêt minimal. La première option est la façon la plus sûre de mettre à niveau votre ensemble de basculement. Si quelque chose fonctionne mal au cours du processus de mise à niveau, vous avez toujours un PIX opérationnel pour transférer votre trafic réseau. La seconde option est plus simple mais plus risquée. Le risque réside dans la possibilité que cette nouvelle qui se charge sur les périphériques PIX est corrompue d'une manière ou d'une autre. Les deux options sont présentées de sorte que vous puissiez choisir la meilleure méthode pour votre réseau spécifique.

Remarque: Si vous voulez mettre à niveau l'ensemble de basculement de 6.x à 7.x, référez-vous à la section Mettez à niveau les dispositifs PIX dans un ensemble de basculement de la procédure de mise à niveau de sécurité Cisco Secure PIX Security Appliance 7.x et ASDM.

Option 1

C'est la façon la plus sûre de mettre à niveau l'ensemble de basculement :

  1. Copiez l'image binaire du pare-feu PIX (pixnnn.bin) vers le répertoire racine du serveur TFTP.

  2. Mettez hors tension le primaire (ceci rend le secondaire actif).

  3. Déconnectez tous les câbles du primaire (y compris le câble de basculement).

  4. Mettez le primaire sous tension et connectez un PC avec un serveur TFTP.

  5. Émettez la commande copy tftp flash afin de mettre à niveau le primaire.

  6. Rechargez le primaire et vérifiez la nouvelle version et la configuration.

  7. Mettez le primaire hors tension.

  8. Rebranchez tous les câbles vers le primaire.

  9. Mettez rapidement hors tension le secondaire et mettez alors immédiatement le primaire sous tension.

    Remarque: Une période de temps d'arrêt se produit tandis que les amorces primaires.

    Une fois le primaire allumé, il est actif et transfère le trafic.

  10. Répétez les étapes 2 à 7 pour le PIX secondaire.

  11. Mettez le secondaire sous tension. Il apparaît en Standby.

  12. Les deux périphériques PIX exécutent maintenant la version mise à niveau et fonctionnent de nouveau normalement.

Option 2

C'est la façon la plus rapide de mettre à niveau l'ensemble de basculement :

  1. Copiez l'image binaire du pare-feu PIX (pixnnn.bin) vers le répertoire racine du serveur TFTP.

  2. Émettez la commande copy tftp flash afin de copier la nouvelle image PIX vers le PIX primaire.

  3. Émettez la commande copy tftp flash afin de copier la nouvelle image PIX vers le PIX secondaire.

  4. Mettez les deux périphériques PIX hors tension.

  5. Mettez le PIX primaire sous tension.

  6. Attendez dix secondes. Cela assure que le PIX primaire devient le PIX actif.

  7. Mettez le PIX secondaire sous tension. Il apparaît en Standby.

  8. Les deux périphériques PIX exécutent maintenant la version mise à niveau et fonctionnent de nouveau normalement.

Récupérez d'une mise à niveau défectueuse

Procédez comme suit afin de récupérer le PIX en cas de mise à niveau du logiciel PIX version 6.x à 6.x et de mise à niveau défectueuse :

  1. Comme indiqué plus tôt, assurez-vous de copier votre clé d'activation avant d'essayer cette procédure.

  2. Suivez les étapes pour démarrer le PIX en mode Monitor.

  3. Suivez les étapes de Mettez à niveau le pare-feu PIX du mode Monitor pour charger le fichier erasedisk.bin en utilisant le TFTP. Vous avez besoin d'obtenir ce fichier de l'équipe d'assistance technique Cisco.

  4. Quand le système redémarre, redémarrer le PIX en mode Monitor.

  5. Suivez les étapes de Mettez à niveau le pare-feu PIX du mode Monitor afin de charger le nouveau fichier version 6.x dans le PIX en utilisant le TFTP.

Mettez à niveau la clé d'activation

Il y a plusieurs raisons pour laquelle vous pourriez avoir besoin de mettre à niveau la clé d'activation sur le PIX :

  • Le cryptage VPN-DES ou VPN-3DES n'est actuellement pas activé sur le PIX.

    Remarque: Le cryptage VPN-DES doit être activé afin que vous puissiez gérer le PIX avec le PDM. Les utilisateurs enregistrés peuvent obtenir une clé d'activation VPN-DES 56 bits gratuite quand ils remplissent le formulaire Clé de mise à niveau de licence 56 bits PIX. Effectuez l'Enregistrement de licence 3DES/AES Cisco ASA pour obtenir une clé 3DES/AES.

  • Le basculement n'est pas actuellement activé sur le PIX.

  • La mise à niveau d'une licence basée sur une connexion à une licence basée sur les fonctionnalités.

Si vous tombez dans une de ces catégories et avez obtenu une nouvelle clé d'activation pour votre PIX, l'étape suivante est de vous connecter au PIX, d'émettre la commande show version et d'enregistrer la sortie dans un fichier texte. La sortie de la commande show version contient votre version actuelle, votre numéro de série votre clé d'activation. Vous avez besoin de ces informations s'il y a des problèmes avec la mise à niveau de la clé d'activation.

La clé d'activation PIX est basée sur le numéro de série du PIX et est donc unique à chaque PIX. La clé d'activation indique au PIX pour quelles fonctionnalités il dispose d'une licence. Le numéro de série de votre PIX est enregistré dans le Flash. Si vous substituez la carte Flash dans votre PIX, alors votre PIX comporte un nouveau numéro de série (différent du numéro figurant sur l'autocollant sur l'extérieur de la boîte). Utilisez toujours le numéro de série affiché dans la sortie de la commande show version.

Remarque: Vous devez manuellement introduire les clés d'activation. N'utilisez pas le copier-coller, car cela peut entraîner des erreurs qui peuvent faire échouer la clé d'activation.

Remarque:  Ajoutez des chiffres supplémentaires aux numéros de série à 9 chiffres qui commencent par le chiffre 4 ou 8, afin qu'ils deviennent à 11 chiffres. Par exemple, le numéro 4xxxxxxxx apparaît comme 444xxxxxxxx dans la clé d'activation. De même, les numéros qui commencent avec un 8 exigent que vous ajoutiez deux 8 supplémentaires.

Équipements PIX exécutant les versions 6.1 et antérieures

Suivez les instructions de Mettez à niveau le pare-feu PIX du mode Boothelper ou Monitor si le PIX exécute actuellement les versions 6.1 ou antérieure. L'étape 10 est celle où vous êtes invité à introduire une nouvelle clé d'activation.

Équipements PIX exécutant les versions 6.2 et 6.3

Émettez la commande activation-key afin de changer votre clé d'activation si le PIX exécute actuellement les versions 6.2 ou 6.3. Référez-vous à Référence des commandes PIX pour plus d'informations.

Exemple : Mettez à niveau la clé d'activation sur un PIX qui exécute les versions 6.2 ou 6.3

pixfirewall(config)#activation-key 54bf4b80 b7237e20 05022c63 f09e3302 
Updating flash...Done. 
Serial Number: 480490644 (0x1ca3b494) 

Flash Activation Key: 0x54bf4b80 0xb7237e20 0x05022c63 0xf09e3302 
Licensed Features: 
Failover:           Enabled 
VPN-DES:            Enabled 
VPN-3DES:           Enabled 
Maximum Interfaces: 10 
Cut-through Proxy:  Enabled 
Guards:             Enabled 
URL-filtering:      Enabled 
Inside Hosts:       Unlimited 
Throughput:         Unlimited 
IKE peers:          Unlimited 

The flash activation key has been modified. 
The flash activation key is now DIFFERENT from the running key. 
The flash activation key will be used when the unit is reloaded. 
pixfirewall(config)# 
pixfirewall(config)#reload

Mettez à niveau PIX Device Manager

La procédure de mise à niveau PDM est identique à celle utilisée pour une nouvelle installation. Pour des instructions détaillées, référez-vous au guide d'installation dans la documentation du produit PDM pour la bonne version.

Obtenez un contrat de service valide

Vous devez avoir un contrat de service valide afin de télécharger le logiciel PIX. Afin d'obtenir un contrat de service, procédez comme suit :

Dépannage

Problème : Après une mise à niveau, l'utilisateur reçoit l'erreur Cannot select private key lorsque le PIX redémarre.

Contournement/Solution : Régénérez la clé rsa pour SSH :

ca zero rsa
ca generate rsa key 1024
ca save all

write mem
reload

Pour plus d'informations sur la génération de clé SSH, référez-vous à PIX/ASA 7.x : SSH dans l'exemple de configuration d'interface interne et externe

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 4801