Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

Procédure de mise à niveau du logiciel de dispositifs de sécurité de la gamme Cisco PIX 500 de la version 6.x vers 7.x

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Remarque: Ce document couvre comment mettre à niveau le logiciel sur une appliance de sécurité de la gamme PIX 500. Pour télécharger le logiciel PIX, référez-vous au centre logiciel (clients enregistrés seulement). Vous devez ouvrir une session et posséder un contrat de service valide afin d'accéder au logiciel PIX.


Contenu


Introduction

Ce document explique comment améliorer l'appliance PIX de la version 6.2 ou 6.3 à la version 7.x. Il couvre également l'installation de la version 5.0 d'Adaptive Security Device Manager (ASDM).

Conditions préalables

Conditions requises

Avant que vous commenciez cette procédure de mise à niveau, terminez-vous ces tâches.

  • Utilisez le show running-config ou écrivez la commande nette afin de sauvegarder la configuration du courant PIX à un fichier texte ou à un serveur TFTP.

  • Employez la commande de show version afin d'afficher le numéro de série et la clé d'activation. Sauvegardez cette sortie à un fichier texte. Si vous devez revenir à une version de code plus ancienne, vous pourriez avoir besoin de la clé d'activation d'origine. Pour des informations supplémentaires sur des clés d'activation, référez-vous aux forums aux questions de Pare-feu PIX.

  • Assurez que vous n'avez aucun conduit ou commande sortante en votre configuration en cours. Ces commandes ne sont plus prises en charge dans 7.x et le processus de mise à niveau les retire. Utilisez l'outil d'Output Interpreter (clients enregistrés seulement) afin de convertir ces commandes en Listes d'accès avant que vous tentiez la mise à jour.

  • Assurez que le PIX ne termine pas les connexions point par point de perçage d'un tunnel Protocol (PPTP). PIX 7.1 et plus tard ne prend en charge pas actuellement l'arrêt PPTP.

  • Si vous utilisez le Basculement, assurez que l'interface de RÉSEAU LOCAL ou d'avec état n'est partagée avec aucune donnée qui passe des interfaces. Par exemple, si vous employez votre interface interne afin de passer le trafic de données aussi bien que pour votre interface de basculement dynamique (lien de Basculement à l'intérieur), vous devez déplacer l'interface de basculement dynamique à une interface différente avant que vous amélioriez. Le manque de faire entraîne ainsi toutes les configurations attachées à l'interface interne à retirer. En outre, le trafic de données ne traverse pas l'interface après la mise à jour.

  • Assurez-vous que le PIX exécute la version 6.2 ou 6.3 avant que vous poursuiviez.

  • Lisez les notes de mise à jour pour la version que vous prévoyez d'améliorer à de sorte que vous vous rendiez compte de tout nouveau, avez changé, et avez désapprouvé des commandes.

  • Mettez en référence le guide de mise à jour pour toutes les modifications supplémentaires de commande entre les versions 6.x et 7.x.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Dispositifs de sécurité 515 PIX, 515E, 525, et 535

  • Versions du logiciel PIX 6.3(4), 7.0(1)

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configurations système minimales

Avant que vous commenciez le processus de mise à niveau à la version 7.x, Cisco recommande que les PIX exécutent la version 6.2 ou ultérieures. Ceci s'assure que cela que la configuration en cours convertit correctement. En outre, ces configurations matérielles requises doivent être répondues pour des conditions requises minimum de RAM et d'instantané :

Modèle PIX : Conditions requises de RAM Conditions requises instantanées
  (r) restreint Sans restriction) (UR/Basculement seulement (FO)  
PIX 515 64 MB* 128 MB* 16 Mo
PIX 515 E 64 MB* 128 MB* 16 Mo
PIX-525 128 Mo 256 Mo 16 Mo
PIX-535 512 Mo 1 Go 16 Mo

* Toutes les appliances PIX 515 et PIX-515E exigent une mise à jour de mémoire.

Émettez la commande de show version afin de déterminer la quantité de RAM et flasher actuellement installé sur le PIX. Aucune mise à niveau Flash n'est nécessaire, car toutes les appliances PIX dans cette table ont 16 Mo installés par défaut.

Remarque: Seulement les appliances de Sécurité PIX dans cette table sont prises en charge dans la version 7.x. Des appliances plus anciennes de Sécurité PIX, telles que le PIX-520, 510, 10000, et classique ont été discontinuées et n'exécutent pas la version 7.0 ou ultérieures. Si vous avez une de ces appliances et souhaitez exécuter 7.x ou plus tard, contactez votre équipe de compte Cisco locale ou revendeur afin d'acheter de plus nouveaux dispositifs de sécurité. En outre, les Pare-feu PIX à moins de le 64MB de RAM (PIX-501, PIX-506, et PIX-506E) ne peuvent pas exécuter la release 7.0 initiale.

Les informations de mise à jour de mémoire pour des appliances PIX 515/515E

Des mises à jour de mémoire sont seulement exigées pour les appliances PIX 515 et PIX-515E. Voir le ce tableau pour les numéros de pièce que vous devez afin d'améliorer la mémoire sur ces appliances.

Remarque: Le numéro de pièce dépend du permis installé sur le PIX.

Configuration en cours d'appareils Solution de mise à jour
Permis de plate-forme Mémoire totale (avant mise à jour) Numéro de référence Mémoire totale (après mise à jour)
(r) restreint 32 Mo PIX-515-MEM-32= 64 Mo
Sans restriction (UR) 32 Mo PIX-515-MEM-128= 128 Mo
Réservé au Basculement (FO) 64 Mo PIX-515-MEM-128= 128 Mo

Référez-vous à la mise à jour de mémoire de dispositifs de sécurité de Cisco PIX 515/515E pour le bulletin de produit du logiciel PIX v7.0 pour information les informations complémentaires.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Améliorez les dispositifs de sécurité PIX

Téléchargements logiciels

Visitez le centre logiciel Cisco (clients enregistrés seulement) afin de télécharger le logiciel PIX 7.x. Le logiciel de serveur TFTP n'est plus fourni par Cisco.com. Cependant, vous pouvez trouver beaucoup de serveurs TFTP quand vous recherchez le « serveur de tftp » sur votre moteur de recherche préféré d'Internet. Cisco ne recommande pas de mise en oeuvre TFTP particulière. Le pour en savoir plus, se rapportent à la page de serveur TFTP (clients enregistrés seulement).

Procédure de mise à niveau

Rendez-vous compte que la mise à jour de votre appliance de Sécurité PIX à la version 7.x est un changement majeur. Une grande partie du CLI est modifié et donc votre configuration après que la mise à jour semble très différente. Seulement la mise à jour pendant une fenêtre de maintenance comme processus de mise à niveau a besoin d'un certain temps d'arrêt. Si vous devez revenir à une image 6.x, vous devez suivre les procédures de Downgrade. Le manque de faire fait ainsi entrer le PIX dans une boucle continue de réinitialisation. Afin de continuer, localisez votre modèle d'appareils PIX dans cette table et puis sélectionnez le lien pour voir des instructions pour que la façon améliore.

Modèle PIX : Méthode de mise à jour
PIX 515 Moniteur
PIX-515E éclair de copy tftp
PIX-525 éclair de copy tftp
PIX-535 (aucun PDM installé) éclair de copy tftp
PIX-535 (PDM installé) Moniteur

Améliorez les dispositifs de sécurité PIX du mode moniteur

Écrivez le mode moniteur

Terminez-vous ces étapes afin d'écrire le mode moniteur sur le PIX.

  1. Connectez un câble de console au port de console sur le PIX à l'utilisation de ces configurations de transmission :

    • 9600 bits par seconde

    • 8 bits de données

    • aucune parité

    • 1 bit d'arrêt

    • aucun contrôle de flux

  2. Éteignez et rallumez ou rechargez le PIX. Pendant le démarrage vous êtes incité à employer le BREAK ou ESC afin d'interrompre le démarrage instantané. Vous avez dix secondes pour interrompre le processus de démarrage normal.

  3. Appuyez sur la touche ESC ou envoyez un caractère BREAK afin d'entrer en mode Monitor.

    • Si vous utilisez le Hyper Terminal de Windows, vous pouvez appuyer sur la touche ESC ou la presse Ctrl+Break afin d'envoyer un caractère BREAK.

    • Si vous telnet par un serveur de terminaux pour accéder au port de console du PIX, vous devez appuyer sur Ctrl+] (contrôle + crochet droit) afin d'obtenir à la demande de commande telnet. Entrez alors la commande send break.

  4. L'invite monitor> s'affiche.

  5. Poursuivez à la mise à jour le PIX de la section de mode moniteur.

Améliorez le PIX du mode moniteur

Terminez-vous ces étapes afin d'améliorer votre PIX du mode moniteur.

Remarque: Les cartes de Fast Ethernet dans les emplacements 64-bit ne sont pas visibles dans le mode moniteur. Ce problème signifie que le serveur TFTP ne peut pas résider sur une de ces interfaces. L'utilisateur devrait employer la commande d'instantané de copy tftp afin de télécharger le fichier d'image de Pare-feu PIX par le TFTP.

  1. Copiez l'image binaire d'appareils PIX (par exemple, pix701.bin) sur le répertoire racine du serveur TFTP.

  2. Écrivez le mode moniteur sur le PIX. Si vous êtes incertain comment faire ceci, voyez les instructions pour que la façon écrive le mode moniteur dans ce document.

    Remarque: Une fois dans le mode moniteur, vous pouvez utiliser « ? » pour voir une liste des options disponibles.

  3. Écrivez le nombre d'interface que le serveur TFTP est connecté à, ou l'interface qui est la plus proche du serveur TFTP. Il s'agit par défaut de l'interface 1 (à l'intérieur).

    monitor>interface <num>
    

    Remarque:  Dans le mode moniteur, l'interface toujours automatique négocie le la vitesse et le duplex. Les paramètres d'interface ne peuvent pas être dur codés. Par conséquent, si l'interface PIX est branchée à un commutateur qui est dur codé pour la vitesse/duplex, puis modifiez-le à l'automatique négocient tandis que vous êtes dans le mode moniteur. Rendez-vous également compte que l'appliance PIX ne peut pas initialiser une interface de Gigabit Ethernet de mode moniteur. Vous devez utiliser un port Fast Ethernet à la place.

  4. Écrivez l'adresse IP de l'interface définie dans l'étape 3.

    monitor>address <PIX_ip_address>
    
  5. Écrivez l'adresse IP du serveur TFTP.

    monitor>server <tftp_server_ip_address>
    
  6. (Facultatif) écrivez l'adresse IP de votre passerelle. Une adresse de passerelle est exigée si l'interface du PIX n'est pas sur le même réseau que le serveur TFTP.

    monitor>gateway <gateway_ip_address>
    
  7. Écrivez le nom du fichier sur le serveur TFTP que vous souhaitez charger. C'est le nom du fichier d'image binaire PIX.

    monitor>file <filename>
    
  8. Cinglez du PIX au serveur TFTP afin de vérifier la connectivité IP.

    Si les pings échouent, vérifiez une deuxième fois les câbles, l'adresse IP de l'interface PIX et du serveur TFTP, et l'adresse IP de la passerelle (si nécessaire). Les pings doivent réussir avant que vous continuiez.

    monitor>ping <tftp_server_ip_address>
    
  9. Tftp de type afin de commencer le téléchargement TFTP.

    monitor>tftp
    
  10. Le PIX télécharge l'image dans la RAM et la démarre automatiquement.

    Pendant le processus de démarrage, le système de fichiers est converti avec votre configuration en cours. Cependant, vous n'êtes pas fait encore. Notez ce message d'avertissement après que vous démarriez et continuiez en fonction à l'étape 11 :

    ******************************************************************
      **                                                                    **
      **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
      **                                                                    **
      **          ----> Current image running from RAM only! <----          **
      **                                                                    **
      **  When the PIX was upgraded in Monitor mode the boot image was not  **
      **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
      **  save a bootable image to Flash.  Failure to do so will result in  **
      **  a boot loop the next time the PIX is reloaded.                    **
      **                                                                    **
      ************************************************************************
  11. Une fois qu'amorcé, écrivez le mode enable et copiez la même image plus de sur le PIX de nouveau. Cette utilisation de temps la commande d'instantané de copy tftp.

    Ceci enregistre l'image dans le système de fichiers Flash. Le manque d'exécuter cette étape a comme conséquence une boucle de démarrage la prochaine fois que les recharges PIX.

    pixfirewall>enable
    pixfirewall#copy tftp flash
    

    Remarque: Pour le mode d'emploi détaillé sur la façon dont copier l'image plus d'avec l'utilisation de la commande d'instantané de copy tftp, voyez la mise à jour les dispositifs de sécurité PIX avec la section de commande d'instantané de copy tftp.

  12. Une fois que l'image est copiée au-dessus d'utiliser la commande d'instantané de copy tftp, le processus de mise à niveau est complet.

Exemple de configuration - Améliorez les dispositifs de sécurité PIX du mode moniteur

monitor>interface 1 
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
2: i8255X @ PCI(bus:1 dev:0  irq:11)
3: i8255X @ PCI(bus:1 dev:1  irq:11)
4: i8255X @ PCI(bus:1 dev:2  irq:11)
5: i8255X @ PCI(bus:1 dev:3  irq:11)

Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81
monitor>address 10.1.1.2 
address 10.1.1.2 
monitor>server 172.18.173.123 
server 172.18.173.123 
monitor>gateway 10.1.1.1
gateway 10.1.1.1
monitor>file pix701.bin 
file pix701.bin 
monitor>ping 172.18.173.123 
Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds: 
!!!!! 
Success rate is 100 percent (5/5) 
monitor>tftp 
tftp pix701.bin@172.18.173.123.......................................... 
Received 5124096 bytes 

Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar  7 17:39:03 PST 2005
#######################################################################
128MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 10  MAC: 0050.54ff.4d80
mcwa i82559 Ethernet at irq  7  MAC: 0050.54ff.4d81
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2014
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2015
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2016
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2017
BIOS Flash=AT29C257 @ 0xfffd8000
Old file system detected. Attempting to save data in flash
 

!--- This output indicates that the Flash file
!--- system is formatted. The messages are normal.

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-10627)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-14252)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-15586)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (5589)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (4680)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-21657)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-28397)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (2198)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-26577)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (30139)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (-17027)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (-2608)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (18180)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (0)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (29271)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (0)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 61...block number was (0)
flashfs[7]: erasing block 61...done.
flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0
flashfs[7]: 9 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 15998976
flashfs[7]: Bytes used: 10240
flashfs[7]: Bytes available: 15988736
flashfs[7]: flashfs fsck took 58 seconds.
flashfs[7]: Initialization complete.

Saving the datafile
!
Saving a copy of old datafile for downgrade
!
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
The version of image file in flash is not bootable in the current version of
software.
Use the downgrade command first to boot older version of software.
The file is being saved as image_old.bin anyway.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
Erasing sector 64...[OK]
Burning sector 64...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6         
Maximum VLANs               : 25        
Inside Hosts                : Unlimited 
Failover                    : Active/Active
VPN-DES                     : Enabled   
VPN-3DES-AES                : Enabled   
Cut-through Proxy           : Enabled   
Guards                      : Enabled   
URL Filtering               : Enabled   
Security Contexts           : 2         
GTP/GPRS                    : Disabled  
VPN Peers                   : Unlimited 

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .                             
                                 |            |                             
                                |||          |||                            
                              .|| ||.      .|| ||.                          
                           .:||| | |||:..:||| | |||:.                       
                            C i s c o  S y s t e m s                        
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1) 

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706


!--- These messages are printed for any deprecated commands.

.ERROR: This command is no longer needed. The LOCAL user database is always enabled.
 *** Output from config line 71, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
 *** Output from config line 76, "floodguard enable"

Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303 

!--- All current fixups are converted to the 
!--- new Modular Policy Framework.

INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
  ************************************************************************
  **                                                                    **
  **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
  **                                                                    **
  **          ----> Current image running from RAM only! <----          **
  **                                                                    **
  **  When the PIX was upgraded in Monitor mode the boot image was not  **
  **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
  **  save a bootable image to Flash.  Failure to do so will result in  **
  **  a boot loop the next time the PIX is reloaded.                    **
  **                                                                    **
  ************************************************************************
Type help or '?' for a list of available commands.
pixfirewall>
pixfirewall>enable
Password:
<password>

pixfirewall# 
pixfirewall#copy tftp flash

Address or name of remote host []? 172.18.173.123

Source filename []? pix701.bin

Destination filename [pix701.bin]? 
<enter>


Accessing tftp://172.18.173.123/pix701.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file flash:/pix701.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
5124096 bytes copied in 139.790 secs (36864 bytes/sec)
pixfirewall# 

Améliorez les dispositifs de sécurité PIX avec la commande d'instantané de copy tftp

Procédez comme suit afin de mettre à niveau le PIX avec l'utilisation de la commande copy tftp flash.

  1. Copiez l'image binaire d'appareils PIX (par exemple, pix701.bin) sur le répertoire racine du serveur TFTP.

  2. De la demande d'enable, émettez la commande d'instantané de copy tftp.

    pixfirewall>enable
    Password:
    <password>
    
    pixfirewall#copy tftp flash
    
  3. Écrivez l'adresse IP du serveur TFTP.

    Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
    
  4. Écrivez le nom du fichier sur le serveur TFTP que vous souhaitez charger. C'est le nom du fichier d'image binaire PIX.

    Source file name [cdisk]?
    <filename>
    
    
  5. Une fois incité à commencer la copie TFTP, tapez oui.

    copying tftp://172.18.173.123/pix701.bin to flash:image
    [yes|no|again]?yes
    
  6. L'image est maintenant copiée plus de du serveur TFTP pour flasher.

    Ce message apparaît et indique que le transfert est un succès, la vieille image binaire dans l'éclair est effacé, et la nouvelle image est écrite et installée.

    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Received 5124096 bytes
    Erasing current image
    Writing 5066808 bytes of image
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Image installed
    pixfirewall#
  7. Rechargez l'appliance PIX afin de démarrer la nouvelle image.

    pixfirewall#reload
    Proceed with reload? [confirm] 
    <enter>
    
    
    
    Rebooting....
  8. Le PIX démarre maintenant l'image 7.0, et ceci complète le processus de mise à niveau.

Exemple de configuration - Améliorez l'appliance PIX avec la commande d'instantané de copy tftp

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall# 
pixfirewall#reload
Proceed with reload? [confirm] 
<enter>




Rebooting..Ý

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
128 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID ClassÝIrq
00Ý00Ý00Ý8086Ý7192ÝHost BridgeÝ
00Ý07Ý00Ý8086Ý7110ÝISA BridgeÝ
00Ý07Ý01Ý8086Ý7111ÝIDE ControllerÝ
00Ý07Ý02Ý8086Ý7112ÝSerial BusÝ9
00Ý07Ý03Ý8086Ý7113ÝPCI BridgeÝ
00Ý0DÝ00Ý8086Ý1209ÝEthernetÝ11
00Ý0EÝ00Ý8086Ý1209ÝEthernetÝ10
00Ý13Ý00Ý11D4Ý2F44ÝUnknown DeviceÝ5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash.Ý
######################################################################
######################################################################
128MB RAM

Total NICs found: 2
mcwa i82559 Ethernet at irq 11ÝMAC: 0009.4360.ed44
mcwa i82559 Ethernet at irq 10ÝMAC: 0009.4360.ed43
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


!--- This output indicates that the Flash file
!--- system is formatted. The messages are normal.

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-27642)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-30053)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-1220)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-22934)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (2502)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (29877)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-13768)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (9350)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-18268)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (7921)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (22821)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (7787)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (15515)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (20019)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-25094)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-7515)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (-10699)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (6652)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (-23640)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (23698)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (-28882)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (2533)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-966)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-22888)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (-9762)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (9747)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (-22855)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-32551)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-13355)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (-29894)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-18595)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (22095)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (1486)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (13559)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (24215)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (21670)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (-24316)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 7, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 12, parent_fileid 0
flashfs[7]: 5 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 5128192
flashfs[7]: Bytes available: 10999808
flashfs[7]: flashfs fsck took 59 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6Ý
Maximum VLANsÝ: 25Ý
Inside HostsÝ: Unlimited 
FailoverÝ: Active/Active
VPN-DESÝ: EnabledÝ
VPN-3DES-AESÝ: EnabledÝ
Cut-through ProxyÝ: EnabledÝ
GuardsÝ: EnabledÝ
URL FilteringÝ: EnabledÝ
Security ContextsÝ: 2Ý
GTP/GPRSÝ: DisabledÝ
VPN PeersÝ: Unlimited 

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC (IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5)
--------------------------------------------------------------------------
.Ý.Ý
|Ý|Ý
|||Ý|||Ý
.|| ||.Ý.|| ||.Ý
.:||| | |||:..:||| | |||:.Ý
C i s c oÝS y s t e m sÝ
--------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1) 

****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.

A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

!--- These messages are printed for any deprecated commands.

ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 50, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 55, "floodguard enable"

Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 

!--- All current fixups are converted to the new Modular Policy Framework.

INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
pixfirewall>

Remarque: Avec le permis sans restriction, PIX 515 E peut avoir jusqu'à huit VLAN et PIX 535 peut avoir jusqu'à vingt-cinq VLAN.

Downgrade de PIX 7.x à 6.x

Les versions 7.0 et ultérieures d'appareils de Sécurité PIX utilisent un format de fichier Flash différent qui des versions de PIX plus tôt. Par conséquent, vous ne pouvez pas déclassifier d'une image 7.0 à une image 6.x avec l'utilisation de la commande d'instantané de copy tftp. Au lieu de cela, vous devez utiliser la commande de downgrade. Le manque de faire fait ainsi être bloqué le PIX dans une boucle de démarrage.

Quand le PIX a été initialement mis à jour, le startup-configuration 6.x a été enregistré dans l'éclair comme downgrade.cfg. Quand vous suivez cette procédure de downgrade, cette configuration est restaurée sur le périphérique quand elle est déclassifiée. Cette configuration peut être passée en revue avant que vous déclassifiiez quand vous émettez le moreflash de commande : downgrade.cfg d'un enable > de demande dans 7.0. Supplémentaire, si le PIX était mis à jour par l'intermédiaire du mode moniteur, puis l'image 6.x binaire précédente est encore enregistrée dans l'éclair comme image_old.bin. Vous pouvez vérifier cette image existe quand vous émettez le show flash : commande. Si l'image existe sur l'éclair, vous pouvez utiliser cette image dans l'étape 1 de cette procédure au lieu de charger l'image d'un serveur TFTP.

Terminez-vous ces étapes afin de déclassifier vos dispositifs de sécurité PIX.

  1. Sélectionnez la commande de downgrade et spécifiez l'emplacement de l'image à la laquelle vous voulez déclassifier.

    pixfirewall#downgrade tftp://<tftp_server_ip_address>/<filename>
    

    Remarque: Si vous mettiez votre PIX à jour de mode moniteur, alors la vieille image binaire est encore enregistrée dans l'éclair. Émettez cette commande afin de déclassifier de nouveau à cette image :

    pixfirewall#downgrade flash:/image_old.bin
    
  2. Un message d'avertissement est évident que vous alerte que l'éclair est sur le point de formated. La presse entrent afin de continuer.

    This command will reformat the flash and automatically reboot the system.
    Do you wish to continue? [confirm]  
    <enter>
    
    
  3. L'image est maintenant copiée plus de dans la RAM, et la configuration de démarrage est également copiée dans la RAM.

    Buffering image
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    
    Buffering startup config
    
    All items have been buffered successfully
  4. Un deuxième message d'avertissement apparaît qui indique que l'éclair commence maintenant à formater. N'interrompez pas ce processus ou l'éclair peut devenir corrompu. La presse entrent afin de continuer le format.

    If the flash reformat is interrupted or fails, 
    data in flash will be lost
    and the system might drop to monitor mode.
    Do you wish to continue? [confirm] 
    <enter>
    
    
  5. L'éclair est maintenant formaté et la vieille image est installée, et les réinitialisations PIX.

    Acquiring exclusive access to flash
    Installing the correct file system for the image and 
    saving the buffered data
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Flash downgrade succeeded
    
    
    Rebooting....
  6. Le PIX démarre maintenant jusqu'à la demande normale. Ceci complète le processus de downgrade.

Exemple de configuration - Downgrade de PIX 7.x à 6.x

pixfirewall#downgrade tftp://172.18.108.26/pix634.bin
This command will reformat the flash and automatically reboot the system.
Do you wish to continue? [confirm] 
<enter>

Buffering image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Buffering startup config

All items have been buffered successfully.
If the flash reformat is interrupted or fails, data in flash will be lost
and the system might drop to monitor mode.
Do you wish to continue? [confirm] 
Acquiring exclusive access to flash
Installing the correct file system for the image and saving the buffered data
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Flash downgrade succeeded



Rebooting....


CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
128 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID ClassÝIrq
00Ý00Ý00Ý8086Ý7192ÝHost BridgeÝ
00Ý07Ý00Ý8086Ý7110ÝISA BridgeÝ
00Ý07Ý01Ý8086Ý7111ÝIDE ControllerÝ
00Ý07Ý02Ý8086Ý7112ÝSerial BusÝ9
00Ý07Ý03Ý8086Ý7113ÝPCI BridgeÝ
00Ý0DÝ00Ý8086Ý1209ÝEthernetÝ11
00Ý0EÝ00Ý8086Ý1209ÝEthernetÝ10
00Ý13Ý00Ý11D4Ý2F44ÝUnknown DeviceÝ5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 1962496 bytes of image from flash.Ý
#################################################################################
##############################
128MB RAM
mcwa i82559 Ethernet at irq 11ÝMAC: 0009.4360.ed44
mcwa i82559 Ethernet at irq 10ÝMAC: 0009.4360.ed43
System Flash=E28F128J3 @ 0xfff00000
BIOS Flash=am29f400b @ 0xd8000
IRE2141 with 2048KB

-----------------------------------------------------------------------
||Ý||
||Ý||
||||Ý||||
..:||||||:..:||||||:..
c i s c o S y s t e m s 
Private Internet eXchange
-----------------------------------------------------------------------
Cisco PIX Firewall

Cisco PIX Firewall Version 6.3(4)
Licensed Features:
Failover:ÝEnabled
VPN-DES:ÝEnabled
VPN-3DES-AES:ÝEnabled
Maximum Physical Interfaces: 6
Maximum Interfaces:Ý10
Cut-through Proxy:ÝEnabled
Guards:ÝEnabled
URL-filtering:ÝEnabled
Inside Hosts:ÝUnlimited
Throughput:ÝUnlimited
IKE peers:ÝUnlimited

This PIX has an Unrestricted (UR) license.


****************************** Warning *******************************
Compliance with U.S. Export Laws and Regulations - Encryption.

This product performs encryption and is regulated for export
by the U.S. Government.

This product is not authorized for use by persons located
outside the United States and Canada that do not have prior
approval from Cisco Systems, Inc. or the U.S. Government.

This product may not be exported outside the U.S. and Canada
either by physical or electronic means without PRIOR approval
of Cisco Systems, Inc. or the U.S. Government.

Persons outside the U.S. and Canada may not re-export, resell
or transfer this product by either physical or electronic means
without prior approval of Cisco Systems, Inc. or the U.S.
Government.
******************************* Warning *******************************

Copyright (c) 1996-2003 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706


Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 
Type help or '?' for a list of available commands.
pixfirewall>

Appliances de la mise à jour PIX dans un positionnement de Basculement

Une mise à jour de l'appliance 6.x PIX à 7.x est une mise à jour majeure. Il ne peut pas être fait sans temps d'arrêt, même pour PIXes dans un positionnement de Basculement. Plusieurs des commandes de Basculement changent avec la mise à jour. Le chemin de mise à niveau de recommander est de mettre un hors tension du PIXes dans le positionnement de Basculement. Suivez alors les instructions dans ce document afin d'améliorer le PIX mis sous tension. Une fois la mise à jour est complète, vérifie que des passages du trafic, et redémarre également le PIX une fois pour le vérifier se réactive sans question. Une fois que vous êtes satisfait que tout travaille correctement, mettez hors tension le PIX nouvellement mis à jour et mettez sous tension l'autre PIX. Suivez alors les instructions dans ce document afin d'améliorer le PIX. Une fois la mise à jour est complète, vérifient que le trafic passe. Redémarrez également le PIX une fois afin de le vérifier se réactive sans question. Une fois que vous êtes satisfait que tout travaille correctement, mettez sous tension l'autre PIX. PIXes sont maintenant mis à 7.x et mis sous tension à jour. Vérifiez-les établissent des transmissions de Basculement correctement avec la commande de Basculement d'exposition.

Remarque: Le PIX impose maintenant la restriction qu'aucune interface qui passe le trafic de données ne puisse également être utilisée comme interface de Basculement de RÉSEAU LOCAL, ou l'interface de basculement dynamique. Si votre configuration du courant PIX a une interface partagée qui est utilisée pour passer le trafic de données normal aussi bien que les informations de Basculement de RÉSEAU LOCAL ou les informations d'avec état, et si vous mise à jour, le trafic de données ne traverse plus cette interface. Toutes les commandes associées à cette interface échouent également.

Installez Adaptive Security Device Manager (l'ASDM)

Avant que vous installiez l'ASDM, Cisco recommande que vous lisiez les notes de mise à jour pour la version que vous prévoyez d'installer. Les notes de mise à jour incluent les navigateurs et les versions Java prises en charge par minimum aussi bien qu'une liste de nouvelles caractéristiques prises en charge et de notifications ouvertes.

Le processus d'installer l'ASDM est légèrement différent dans la version 7.0 qu'il a eu lieu dans le passé. En outre, une fois que l'image ASDM est copiée dans l'éclair, vous devez le spécifier dans la configuration ainsi le PIX sait pour l'utiliser. Terminez-vous ces étapes afin d'installer l'image ASDM dans l'éclair.

  1. Téléchargez l'image ASDM (clients enregistrés seulement) de Cisco.com et placez-la dans le répertoire racine de votre serveur TFTP.

  2. Vérifiez votre PIX a la connectivité IP à votre serveur TFTP. Afin de faire ceci, cinglez le serveur TFTP du PIX.

  3. De la demande d'enable, émettez la commande d'instantané de copy tftp.

    pixfirewall>enable
    Password: 
    <password>
    
    pixfirewall#copy tftp flash
    
  4. Écrivez l'adresse IP du serveur TFTP.

    Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
    
  5. Écrivez le nom du fichier ASDM sur le serveur TFTP que vous souhaitez charger.

    Source file name [cdisk]? <filename>
    
  6. Écrivez le nom pour le fichier ASDM que vous prévoyez de sauvegarder dans l'éclair. La presse entrent pour garder le même nom du fichier.

    Destination filename [asdm-501.bin]? <enter>
    
  7. L'image est maintenant copiée plus de du serveur TFTP pour flasher. Ces messages sont évident et indiquent que le transfert est un succès.

    Accessing tftp://172.18.173.123/asdm-501.bin...
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!
    Writing file flash:/asdm-501.bin...
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!
    5880016 bytes copied in 140.710 secs (42000 bytes/sec)
  8. Après que l'image ASDM soit copiée plus de, émettez l'éclair d'image d'asdm : commande afin de spécifier l'image ASDM pour utiliser.

    pixfirewall(config)#asdm image flash:asdm-501.bin
    
  9. Sauvegardez la configuration pour flasher avec la commande de write memory.

    pixfirewall(config)#write memory
    
  10. Ceci complète le processus d'installation ASDM.

Dépannez

Symptôme Résolution
Après que vous employiez la méthode d'instantané de copy tftp afin d'améliorer le PIX, et la réinitialisation, elle est bloqué dans cette boucle de réinitialisation :
 
Cisco Secure PIX Firewall BIOS (4.0) #0: 
Thu Mar  2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash.   
Appliances PIX avec des versions BIOS avant que 4.2 ne puissent pas être mis à jour avec l'utilisation de la commande d'instantané de copy tftp. Vous devez les améliorer avec la méthode de mode moniteur.
Après que le PIX exécute 7.0, et réinitialisations, il est bloqué dans cette boucle de réinitialisation :
Rebooting....

Cisco Secure PIX Firewall BIOS (4.0) #0: Thu MarÝ2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 115200 bytes of image from flash.Ý

PIX Flash Load Helper

Initializing flashfs...
flashfs[0]: 10 files, 4 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 15998976
flashfs[0]: Bytes used: 1975808
flashfs[0]: Bytes available: 14023168
flashfs[0]: Initialization complete.

Unable to locate boot image configuration

Booting first image in flash

No bootable image in flash. Please download 
an image from a network server in the monitor mode

Failed to find an image to boot
Si le PIX était mis à jour du mode moniteur à 7.0, mais l'image 7.0 n'était pas reproduite dans l'éclair après le premier démarrage de 7.0, alors quand le PIX est rechargé, elle devient collée dans une boucle de réinitialisation. La résolution est de charger l'image de nouveau du mode moniteur. Après qu'il initialise, vous devez copier l'image une fois de plus avec l'utilisation de la méthode d'instantané de copy tftp.
Quand vous améliorez avec la méthode d'instantané de copy tftp, vous voyez ce message d'erreur :
pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? y
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Insufficient flash space available for this request:
Size info: request:5066808 current:1966136 delta:3100672 free:2752512
Image not installed
pixfirewall# 
Ce message est typiquement vu quand le PIX-535 ou le PIX 515 (non E) est mis à jour par l'intermédiaire de la méthode d'instantané de copy tftp, et PDM est également chargé dans l'éclair sur celui PIX. La résolution est d'améliorer avec la méthode de mode moniteur.
Après que vous amélioriez le PIX de 6.x à 7.0, une partie de la configuration ne migre pas correctement. La sortie des erreurs de show startup-config commandent des expositions toutes les erreurs qui se sont produites pendant le transfert de la configuration. Les erreurs apparaissent dans cette sortie après que vous démarriez le PIX pour la première fois. Examinez ces erreurs et les tentez de les résoudre.
Le PIX exécute la version 7.x, et une plus nouvelle version est installée. Quand les réinitialisations PIX, la vieille version continue à charger. Dans la version de PIX 7.x, vous pouvez sauvegarder de plusieurs images dans l'éclair. Le PIX premier regarde dans la configuration pour n'importe quel éclair de boot system : commandes. Ces commandes spécifient quelle image le PIX doit démarrer. Si aucun éclair de boot system : des commandes sont trouvées, le démarrage PIX la première image de démarrage dans l'éclair. Afin de démarrer une différente version, spécifiez le fichier avec l'utilisation de l'éclair de boot system : commande/<filename>.
Une image ASDM est chargée dans l'éclair, mais les utilisateurs ne peuvent pas charger l'ASDM en leur navigateur. D'abord, assurez que le fichier ASDM chargé dans l'éclair est spécifié par la commande de <asdm_file> de flash:// d'image d'asdm. En second lieu, vérifiez le serveur de HTTP que la commande d'enable est dans la configuration. En conclusion, vérifiez l'hôte qu'on permet des tentatives de charger l'ASDM par l'intermédiaire de la commande de <interface> de <mask> de <address> de HTTP.
Le FTP ne fonctionne pas après une mise à jour. L'inspection de FTP n'a pas été activée après la mise à jour. Activez l'inspection de FTP dans une de deux manières suivant les indications de la section d'inspection de FTP d'enable.

Inspection de FTP d'enable

L'inspection de FTP peut être activée avec l'un ou l'autre de ces deux méthodes :

  • Ajoutez le FTP à stratégie par défaut/globale d'inspection.

    1. S'il n'existe pas, créez le class-map d'inspection_default.

      PIX1#configure terminal
      PIX1(config)#class-map inspection_default
      PIX1(config-cmap)#match default-inspection-traffic
      PIX1(config-cmap)#exit
      
    2. Créez ou éditez la carte de stratégie de global_policy et activez l'inspection de FTP pour l'inspection_default de classe.

      PIX1(config)#policy-map global_policy
      PIX1(config-pmap)#class inspection_default
      PIX1(config-pmap-c)#inspect dns preset_dns_map 
      PIX1(config-pmap-c)#inspect ftp 
      PIX1(config-pmap-c)#inspect h323 h225 
      PIX1(config-pmap-c)#inspect h323 ras 
      PIX1(config-pmap-c)#inspect rsh 
      PIX1(config-pmap-c)#inspect rtsp 
      PIX1(config-pmap-c)#inspect esmtp 
      PIX1(config-pmap-c)#inspect sqlnet 
      PIX1(config-pmap-c)#inspect skinny 
      PIX1(config-pmap-c)#inspect sunrpc 
      PIX1(config-pmap-c)#inspect xdmcp 
      PIX1(config-pmap-c)#inspect sip 
      PIX1(config-pmap-c)#inspect netbios 
      PIX1(config-pmap-c)#inspect tftp 
      
    3. Activez le global_policy globalement.

      PIX1(config)#service-policy global_policy global
      
  • Activez le FTP en créant une stratégie distincte d'inspection.

    PIX1#configure terminal
    PIX1(config)#class-map ftp-traffic
    
    !--- Matches the FTP data traffic.
    
    PIX1(config-cmap)#match port tcp eq ftp
    PIX1(config-cmap)#exit
    
    PIX1(config)#policy-map ftp-policy
    PIX1(config-pmap)#class ftp-traffic
    
    
    !--- Inspection for the FTP traffic is enabled.
    
    PIX1(config-pmap-c)#inspect ftp
    PIX1(config-pmap)#exit
    PIX1(config)#exit
    
    
    !--- Applies the FTP inspection globally.
    
    PIX1(config)#service-policy ftp-policy global
    

Obtenez un contrat de service valide

Vous devez avoir un contrat de service valide afin de télécharger le logiciel PIX. Afin d'obtenir un contrat de service, procédez comme suit :

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 63879