Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

ASA/PIX : Comment utiliser CLI pour mettre à niveau l'image logicielle sur une paire de serveurs de basculement

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment employer le CLI afin d'améliorer l'image logicielle sur une paire de Basculement de Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500.

Remarque: Adaptive Security Device Manager (ASDM) ne fonctionne pas si vous améliorez (ou downgrade) le logiciel de dispositifs de sécurité de 7.0 à 7.2 directement ou améliorez (ou downgrade) le logiciel ASDM de 5.0 à 5.2 directement. Vous devez améliorer (ou downgrade) dans la commande incrémentale.

Pour plus d'informations sur la façon améliorer l'ASDM et l'image logicielle sur l'ASA, référez-vous à PIX/ASA : Exemple de configuration de mise à niveau d'image logicielle à l'aide d'ASDM ou de l'interface CLI

Remarque: En mode de multicontext, vous ne pouvez pas utiliser la commande d'instantané de copy tftp d'améliorer ou déclassifier l'image PIX/ASA dans tous les contextes ; elle est prise en charge seulement en mode System Exec.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Appliance de sécurité adaptable Cisco (ASA) avec la version 7.0 et ultérieures

  • Version 5.0 et ultérieures de Cisco ASDM

Remarque: Référez-vous à permettre HTTPS Access pour l'ASDM pour les informations sur la façon dont permettre l'ASA à configurer par l'ASDM.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Produits connexes

Cette configuration peut également être utilisée avec le logiciel du dispositif de sécurité de la gamme Cisco PIX 500 version 7.0 et ultérieures.

Conventions

Référez-vous au Conventions relatives aux conseils techniques Cisco pour les informations sur des conventions de document.

Configuration

Exécutez les mises à jour de Zéro-temps d'arrêt pour des paires de Basculement

Les deux unités dans une configuration de Basculement devraient avoir le même commandant (premier nombre) et (en second lieu la version de logiciel mineure de nombre). Cependant, vous n'avez pas besoin de mettre à jour la parité de version sur les unités pendant le processus de mise à niveau ; vous pouvez avoir des différentes versions sur l'exécution de logiciel sur chaque unité et encore mettre à jour le support de Basculement. Afin d'assurer la compatibilité et la stabilité à long terme, Cisco recommande que vous amélioriez les deux unités à la même version dès que possible.

Il y a 3 types de mises à jour disponibles. Ils sont comme suit :

  1. Release de maintenance — Vous pouvez améliorer de n'importe quelle release de maintenance à n'importe quelle autre release de maintenance dans une release mineure. Par exemple, vous pouvez améliorer de 7.0(1) à 7.0(4) sans installer d'abord les releases de maintenance dans l'intervalle.

  2. Release mineure — Vous pouvez améliorer d'une release mineure à la prochaine release mineure. Vous ne pouvez pas ignorer une release mineure. Par exemple, vous pouvez améliorer de 7.0 à 7.1. L'évolution de 7.0 directement à 7.2 n'est pas prise en charge pour des mises à jour de zéro-temps d'arrêt ; vous devez d'abord améliorer à 7.1

  3. Version principale — Vous pouvez améliorer de la dernière release mineure de la version préalable à la prochaine version principale. Par exemple, vous pouvez améliorer de 7.9 à 8.0, supposant que 7.9 est la dernière version mineure dans la release 7.x.

Améliorez une configuration de basculement actif/veille

Terminez-vous ces étapes afin d'améliorer deux unités dans une configuration de basculement actif/veille :

  1. Téléchargez le nouveau logiciel aux deux unités, et spécifiez la nouvelle image pour charger avec la commande boot system.

    Référez-vous à la mise à jour une image logicielle et image ASDM utilisant le pour en savoir plus CLI.

  2. Rechargez l'équipement de réserve pour démarrer la nouvelle image par entrant la commande de recharge-standby de Basculement sur l'unité d'active comme affiché ci-dessous :

    active#failover reload-standby
    
  3. Quand l'équipement de réserve a terminé le rechargement et est dans l'état prêt de réserve, forcez l'unité d'active pour basculer à l'équipement de réserve en n'écrivant l'aucune commande active de Basculement sur l'unité d'active.

    active#no failover active
    

    Remarque: Employez la commande de Basculement d'exposition afin de vérifier que l'équipement de réserve est dans l'état prêt de réserve.

  4. Rechargez l'ancienne unité d'active (maintenant le nouvel équipement de réserve) en écrivant la commande de recharge :

    newstandby#reload
    
  5. Quand le nouvel équipement de réserve a terminé le rechargement et est dans l'état prêt de réserve, renvoyez l'unité d'active d'origine à l'état active en écrivant la commande active de Basculement :

    newstandby#failover active
    

Ceci complète le processus d'améliorer une paire de basculement actif/veille.

Améliorez une configuration de basculement actif/actif

Terminez-vous ces étapes afin d'améliorer deux unités dans une configuration de basculement actif/actif :

  1. Téléchargez le nouveau logiciel aux deux unités, et spécifiez la nouvelle image pour charger avec la commande boot system.

    Référez-vous à la mise à jour une image logicielle et image ASDM utilisant le pour en savoir plus CLI.

  2. Faites aux deux groupes de Basculement l'active sur l'unité primaire en écrivant la commande active de Basculement dans l'espace d'exécution de système de l'unité primaire :

    primary#failover active
    
  3. Rechargez l'unité secondaire pour démarrer la nouvelle image en écrivant la commande de recharge-standby de Basculement dans l'espace d'exécution de système de l'unité primaire :

    primary#failover reload-standby
    
  4. Quand l'unité secondaire a terminé le rechargement, et les deux groupes de Basculement sont dans l'état prêt de réserve sur cette unité, font aux deux groupes de Basculement l'active sur l'unité secondaire utilisant l'aucune commande active de Basculement dans l'espace d'exécution de système de l'unité primaire :

    primary#no failover active
    

    Remarque: Employez la commande de Basculement d'exposition afin de vérifier que les deux groupes de Basculement sont dans l'état prêt de réserve sur l'unité secondaire.

  5. Assurez-vous que les deux groupes de Basculement sont dans l'état prêt de réserve sur l'unité primaire, et puis rechargent l'unité primaire utilisant la commande de recharge :

    primary#reload
    
  6. Si les groupes de Basculement sont configurés avec la commande d'acquisition, ils deviendront automatiquement actifs sur leur unité indiquée après que le retard d'acquisition ait passé. Si les groupes de Basculement ne sont pas configurés avec la commande d'acquisition, vous pouvez les retourner à l'état active sur leurs unités indiquées utilisant l'ordre actif de groupe de Basculement.

Dépannez

%ASA-5-720012 : (VPN-secondaire) pour mettre à jour des données d'exécution de Basculement d'IPSec sur l'équipement de réserve (ou) %ASA-6-720012 : (VPN-unité) pour mettre à jour des données d'exécution de Basculement d'IPsec sur l'équipement de réserve

Problème

Un de ces messages d'erreur apparaissent quand vous essayez d'améliorer l'appliance de sécurité adaptable Cisco (ASA) :

%ASA-5-720012 : (VPN-secondaire) pour mettre à jour des données d'exécution de Basculement d'IPSec sur l'équipement de réserve.

%ASA-6-720012 : (VPN-unité) pour mettre à jour des données d'exécution de Basculement d'IPsec sur l'équipement de réserve.

Solution

Ces messages d'erreur sont des erreurs instructives. Les messages n'affectent pas la fonctionnalité de l'ASA ou du VPN.

Ces messages apparaissent quand le sous-système de Basculement VPN ne peut pas mettre à jour des données d'exécution liées IPsec parce que le tunnel correspondant d'IPsec a été supprimé sur l'équipement de réserve. Afin de résoudre ces derniers, exécutez la commande de réserve de wr sur l'unité d'active.

Deux bogues ont été classées pour adresser ce comportement ; vous pouvez améliorer à une version de logiciel d'ASA où ces bogues sont réparées. Référez-vous au pour en savoir plus CSCtj58420 (clients enregistrés seulement) et CSCtn56517 d'id de bogue Cisco (clients enregistrés seulement).


Informations connexes


Document ID: 111867