Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

PIX/ASA : Mise à niveau de clé de licence sur une paire d'unités de basculement

30 juillet 2013 - Traduction automatique
Autres versions: PDFpdf | Anglais (9 mars 2009) | Commentaires


Contenu


Introduction

Tout en améliorant le permis pour des unités de Basculement, il n'est pas possible d'éviter le temps d'arrêt de réseau. Cependant, le temps d'arrêt peut être réduit. Ce document se concentre sur la façon réduire le temps d'arrêt pendant la mise à jour du permis dans des paires de Basculement.

Les dispositifs de sécurité de Cisco PIX 515, 515E, 525, et 535 prennent en charge le concept d'un permis de plate-forme. Les niveaux de permis s'étendent du ® restreint), sans restriction (UR), du Basculement (FO), et de Basculement-actif/de Active (FO-AA).

Le dispositif de sécurité supporte deux configurations de basculement : Basculement actif/actif et Basculement actif/veille.

Pour une configuration d'échantillon qui inclut une brève introduction au basculement actif/veille PIX/ASA, référez-vous à PIX/ASA : Exemple de configuration de basculement actif/veille.

Pour une configuration d'échantillon qui inclut une brève introduction au basculement actif/actif PIX/ASA, référez-vous à PIX/ASA : Exemple de configuration de basculement actif/actif.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Dispositifs de sécurité de Cisco PIX 515, 515E, 525, et 535 avec 7.x et version ultérieure

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique.

Produits connexes

Vous pouvez également utiliser cette configuration avec le dispositif de sécurité Cisco ASA version 7.x et ultérieures.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Procédure pour améliorer le permis

Les étapes suivantes sont utilisées pour améliorer le permis dans des paires de Basculement :

Nouvelle clé d'activation

Par défaut, le permis sur le PIX sera « restreint » (®). Une nouvelle clé d'activation est exigée afin d'améliorer d'un lot de logiciels « restreint » à un paquet qui prend en charge des fonctionnalités supplémentaires telles que plus de nombre de connexions, de Basculement, d'IPSec ou d'interfaces supplémentaires. En outre, une nouvelle clé d'activation est parfois nécessaire après une mise à niveau Flash sur un PIX.

Afin de demander une clé d'activation, envoyez un email à licensing@cisco.com fournissant le numéro de série de PIX (ou si vous améliorez l'éclair, fournissez le numéro de série de la carte flash) et la sortie de la commande de show version. Allez à la page d'enregistrement de permis de 3DES/AES Cisco ASA (clients enregistrés seulement) demander une clé d'activation AES/3DES.

Remarque: Si vous recevez l'ERREUR : Pour mettre à jour l'erreur instantanée de clé d'activation, qui est due à un problème dans la clé d'activation, invitez une nouvelle clé d'activation pour résoudre cette erreur.

L'échantillon suivant de commande de show version affiche le numéro de série et la clé d'activation pour les dispositifs de sécurité.

pix# show version

Cisco PIX Security Appliance Software Version 7.1(1)
Device Manager Version 5.1(1)

Compiled on Thu 19-Jan-06 15:02 by builders
System image file is "flash:/pix711.bin"
Config file at boot was "startup-config"

pix up 7 days 20 hours

Hardware:   PIX-515E, 128 MB RAM, CPU Pentium II 433 MHz
Flash E28F128J3 @ 0xfff00000, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
 0: Ext: Ethernet0           : address is 000f.908f.2d45, irq 10
 1: Ext: Ethernet1           : address is 000f.908f.2d46, irq 11
 2: Ext: Ethernet2           : address is 0005.5d19.7ad0, irq 11
 3: Ext: Ethernet3           : address is 0005.5d19.7ad1, irq 10
 4: Ext: Ethernet4           : address is 0005.5d19.7ad2, irq 9
 5: Ext: Ethernet5           : address is 0005.5d19.7ad3, irq 5

Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs               : 25
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.

Serial Number: 808150103
Running Activation Key: 0x8f5bdba6 0x0963cc7f 0xfeffd300 0x9b00f19d
Configuration last modified by enable_15 at 01:42:55.492 UTC Wed May 31 2006

Évolution du permis

Une fois que vous recevez la nouvelle clé d'activation de Cisco, connectez-vous dans chaque PIX et introduisez la clé manuellement dans le mode terminal de config.

Remarque: Quelques permis exigent de vous de recharger les dispositifs de sécurité après que vous les lanciez. Pour la liste des permis qui exigent le rechargement, référez-vous aux conditions requises de rechargement de permis.

Les genres du support deux de version 7.0 et ultérieures d'appareils de Sécurité PIX de permis introduit :

  • 4-tuple existants autorisent la clé pour la version de PIX 6,3 ou plus tôt

  • Une nouvelle clé du permis 5-tuple pour la version 7.0 et ultérieures d'appareils de Sécurité PIX seulement

Syntaxe : activation-key [lancement-clé-quatre-tuple | lancement-clé-cinq-tuple]

Exemple :

pix(config)# activation-key 0xe02888da
	 0x4ba7bed6 0xf1c123ae 0xffd8624e

Améliorant le permis pour un Basculement utilisant CLI (aucune recharge exigée)

Utilisez la procédure suivante si votre nouveau permis n'exige pas de vous de recharger. Cette procédure s'assure qu'il n'y a aucun temps d'arrêt.

  1. Désactivez le Basculement sur l'unité d'active utilisant l'aucune commande de Basculement sur l'unité d'active. L'équipement de réserve demeure dans un état de pseudo-standby. Désactiver le Basculement sur l'unité d'active empêche l'équipement de réserve de tenter à devenir actif au cours de la période où les permis ne s'assortissent pas.

  2. Installez le nouveau permis sur l'unité d'active utilisant la commande de clé d'activation-key sur l'unité d'active. Assurez-vous que ce permis est pour le numéro de série d'unité d'active.

  3. Installez le nouveau permis sur l'équipement de réserve utilisant la commande de clé d'activation-key sur l'équipement de réserve. Assurez-vous que ce permis est pour le numéro de série d'équipement de réserve.

  4. Tournez le Basculement de retour en fonction dans l'unité d'active utilisant la commande de Basculement. Ceci remplit la procédure.

    Remarque: Avant que vous amélioriez le permis, assurez-vous que les deux unités fonctionnent correctement, l'interface de RÉSEAU LOCAL de Basculement est en hausse, et il n'y a pas un événement imminent de Basculement ; par exemple, les interfaces surveillées fonctionnent normalement. Sur chaque unité, sélectionnez la commande de Basculement d'exposition. Ou, dans l'ASDM allez à la surveillance > Properties > Basculement > état pour visualiser l'état de Basculement et l'état surveillé d'interface.

Améliorant le permis pour un Basculement utilisant ASDM (aucune recharge exigée)

Utilisez la procédure suivante utilisant l'ASDM si votre nouveau permis n'exige pas de vous de recharger. Cette procédure s'assure qu'il n'y a aucun temps d'arrêt.

  1. Sur l'unité d'active, choisissez la configuration > la Gestion de périphériques > la Haute disponibilité > le Basculement > installé, et décochez la case de Basculement d'enable. Cliquez sur Apply maintenant. L'équipement de réserve demeure dans un état de pseudo-standby. Désactiver le Basculement sur l'unité d'active empêche l'équipement de réserve de tenter à devenir actif au cours de la période où les permis ne s'assortissent pas.

  2. Choisissez la configuration > la Gestion de périphériques > en autorisant > clé d'activation, et introduisez la nouvelle clé d'activation que vous avez obtenue avec le numéro de série d'unité d'active. Maintenant clé d'activation de mise à jour de clic.

  3. Connectez-vous dans l'équipement de réserve en double-cliquer son adresse dans la liste de périphériques. Si le périphérique n'est pas dans la liste de périphériques, cliquez sur Add pour ajouter le périphérique. Vous pourriez être incité pour que des qualifications ouvrent une session.

  4. Choisissez la configuration > la Gestion de périphériques > en autorisant > clé d'activation, et introduisez la nouvelle clé d'activation que vous avez obtenue avec le numéro de série d'équipement de réserve. Maintenant clé d'activation de mise à jour de clic.

  5. Connectez-vous dans l'unité d'active de nouveau en double-cliquer son adresse dans la liste de périphériques. Choisissez la configuration > la Gestion de périphériques > la Haute disponibilité > le Basculement > installé, et revérifiez la case de Basculement d'enable.

  6. Cliquez sur Apply. Ceci remplit la procédure.

Améliorant le permis pour un Basculement utilisant CLI (recharge exigée)

Utilisez la procédure suivante si votre nouveau permis exige de vous de recharger. Le rechargement des paires de Basculement entraîne une perte de connectivité pendant la recharge.

  1. Désactivez le Basculement sur l'unité d'active utilisant l'aucune commande de Basculement sur l'unité d'active. L'équipement de réserve demeure dans un état de pseudo-standby. Désactiver le Basculement sur l'unité d'active empêche l'équipement de réserve de tenter à devenir actif au cours de la période où les permis ne s'assortissent pas.

  2. Installez le nouveau permis sur l'unité d'active utilisant la commande de clé d'activation-key sur l'unité d'active. Assurez-vous que ce permis est pour le numéro de série d'unité d'active.

    Remarque: Si vous devez recharger, vous verrez ce message : AVERTISSEMENT : La clé d'activation courante n'a pas été mise à jour avec la clé demandée. La clé d'activation instantanée a été mise à jour avec la clé demandée, et deviendra active après la prochaine recharge.

  3. Installez le nouveau permis sur l'équipement de réserve utilisant la commande de clé d'activation-key sur l'équipement de réserve. Assurez-vous que ce permis est pour le numéro de série d'équipement de réserve.

  4. Rechargez l'équipement de réserve utilisant la commande de recharge.

  5. Recharge l'unité d'active. Quand vous êtes incité à sauvegarder la configuration avant le rechargement, répondez non. Ceci signifie que quand l'unité d'active se réactive, le Basculement sera encore activé. Ceci remplit la procédure.

    Remarque: Avant que vous amélioriez le permis, soyez sûr que les deux unités fonctionnent correctement, l'interface de RÉSEAU LOCAL de Basculement est, et il n'y a pas un événement imminent de Basculement ; par exemple, les interfaces surveillées fonctionnent normalement. Sur chaque unité, sélectionnez la commande de Basculement d'exposition. Ou, dans l'ASDM, allez à la surveillance > Properties > Basculement > état pour visualiser l'état de Basculement et l'état surveillé d'interface.

Améliorant le permis pour un Basculement utilisant ASDM (recharge exigée)

Utilisez la procédure suivante utilisant l'ASDM si votre nouveau permis exige de vous de recharger. Le rechargement des paires de Basculement entraîne une perte de connectivité pendant la recharge.

  1. Sur l'unité d'active, choisissez la configuration > la Gestion de périphériques > la Haute disponibilité > le Basculement > installé, et décochez la case de Basculement d'enable. Cliquez sur Apply maintenant. L'équipement de réserve demeure dans un état de pseudo-standby. Désactiver le Basculement sur l'unité d'active empêche l'équipement de réserve de tenter à devenir actif au cours de la période où les permis ne s'assortissent pas.

  2. Choisissez la configuration > la Gestion de périphériques > en autorisant > clé d'activation, et introduisez la nouvelle clé d'activation que vous avez obtenue avec le numéro de série d'unité d'active. Maintenant clé d'activation de mise à jour de clic.

  3. Connectez-vous dans l'équipement de réserve en double-cliquer son adresse dans la liste de périphériques. Si vous le périphérique n'est pas dans la liste de périphériques, cliquez sur Add pour ajouter le périphérique. Vous pourriez être incité pour que des qualifications ouvrent une session.

  4. Choisissez la configuration > la Gestion de périphériques > en autorisant > clé d'activation, et introduisez la nouvelle clé d'activation que vous avez obtenue avec le numéro de série d'équipement de réserve. Maintenant clé d'activation de mise à jour de clic.

  5. Connectez-vous dans l'unité d'active de nouveau en double-cliquer son adresse dans la liste de périphériques. Choisissez la configuration > la Gestion de périphériques > la Haute disponibilité > le Basculement > installé, et revérifiez la case de Basculement d'enable. Cliquez sur Apply maintenant.

  6. Programmez une recharge des dispositifs de sécurité actifs en choisissant le Tools > System Reload.

  7. Choisissez les options de recharge de recharger les dispositifs de sécurité à la fois vous désir, et cliquez sur la recharge de programme. Choisissez un moment où la perte de service a la moins incidence.

  8. Connectez-vous dans l'équipement de réserve de nouveau en double-cliquer son adresse dans la liste de périphériques.

  9. Programmez une recharge des dispositifs de sécurité de réserve en choisissant le Tools > System Reload.

  10. Choisissez les options de recharge de recharger les dispositifs de sécurité en même temps que vous choisissez pour l'unité d'active, puis cliquez sur la recharge de programme.

  11. Les deux unités rechargeront en même temps, et les nouveaux permis seront en vigueur. Ceci remplit la procédure.

Remarque: Si l'unité primaire est en état d'alerte, renversez la procédure suivante. C'est au lieu de PIX secondaire mis par PIX primaire, et au lieu de PIX primaire mis secondaire.

Vérifiez la clé

Vous pouvez vérifier le permis mis à jour en émettant le show version ou afficher la commande d'activation-key dans les unités primaires et secondaires.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 70390