安全 : Cisco ASA 5500 系列自适应安全设备

PIX/ASA:使用ASDM或CLI升级软件镜像配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文档介绍如何使用 Cisco 自适应安全设备管理器 (ASDM) 升级 Cisco ASA 5500 系列自适应安全设备上的软件映像。

如果将安全设备软件从 7.0 直接升级到 7.2(或反向降级)或将 ASDM 软件从 5.0 直接升级到 5.2(或反向降级),则 ASDM 不起作用。升级需要按递增顺序进行。

示例:要将 ASDM 软件从 5.0 升级到 5.2,首先请从 5.0 升级到 5.1,然后再从 5.1 升级到 5.2。同样,对于安全设备,首先请从 7.0 升级到 7.1,然后再从 7.1 升级到 7.2。

注意: 如果要从版本 7.1.(x) 升级到 7.2(x) 以及反向降级,则必须按照此过程中的步骤操作,因为较早版本的安全设备映像无法识别新的 ASDM 映像,并且新的安全设备映像也无法识别旧的 ASDM 映像。要详细了解升级过程,请参阅 Cisco PIX 安全设备发行版本注释 7.2(2) 版升级到新软件版本部分。

注意: 不能将 ASA 5550 降级到 7.1(2) 以下的软件版本。同样,也无法将 ASA 5505 降级到 7.1(2) 以下的软件版本。有关详细信息,请参阅 Cisco ASA 5500 系列和 PIX 500 系列安全设备硬件和软件兼容性

注意: 在 Multicontext 模式下,无法在所有上下文中都使用 copy tftp flash 命令升级或降级 PIX/ASA 映像;仅在 System Exec 模式下支持此操作。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco ASA 5500 7.0 及更高版本

  • Cisco ASDM 5.0 及更高版本

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

此配置还可与 Cisco PIX 500 系列安全设备软件版本 7.0 及更高版本配合使用。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

下载软件

使用这些链路,您能下载ASA软件镜像和ASDM软件镜像您的需要的发行版本:

注意: 您需要有有效思科用户凭证为了下载从Cisco.com的此软件。

使用 ASDM 5.x 升级软件映像

完成以下这些步骤,以使用 ASDM 升级 ASA 5500 上的软件映像。

  1. 从 ASDM 的主窗口中选择 Tools > Upgrade Software...

    /image/gif/paws/69984/upgrade-pix-asa7x-asdm-a.gif

  2. 从下拉菜单中选择要上载的映像类型。

    /image/gif/paws/69984/upgrade-pix-asa7x-asdm-b.gif

  3. 单击 Browse Local Files... 或在 Local File Path 字段中键入路径,以指定该软件映像在计算机上的位置。

  4. 单击 Browse Flash...

    随后将出现 Browse Flash Dialog 窗口,其中自动输入了相应的文件名。如果不显示文件名,请在 File Name 字段中手动输入该文件名。完成后单击 OK

    /image/gif/paws/69984/upgrade-pix-asa7x-asdm-c.gif

  5. 指定本地和远程文件名后,单击 Upload Image

    upgrade-pix-asa7x-asdm-d.gif

    ASDM 向闪存写入映像的同时将显示 Status 窗口。

    /image/gif/paws/69984/upgrade-pix-asa7x-asdm-e.gif

    完成后将显示 Information 窗口,指示上载成功。

    upgrade-pix-asa7x-asdm-f.gif

  6. 在 Information 窗口中单击 OK,然后单击 Upload Image from Local PC 窗口中的 Close。

  7. 选择 Configuration > Properties > Device Administration > Boot Image/Configuration > Edit 以更改引导映像位置。

    upgrade-pix-asa7x-asdm-g.gif

    单击 Browse Flash 以选择或指定 ASA 映像文件。然后单击 OK

    upgrade-pix-asa7x-asdm-h.gif

  8. 选择 File > Save Running Configuration to Flash,以便向闪存存储配置。

    /image/gif/paws/69984/upgrade-pix-asa7x-asdm-i.gif

  9. 从主窗口选择 Tools > System Reload,以重新加载设备。

    upgrade-pix-asa7x-asdm-j.gif

  10. 此时显示一个新窗口,要求验证重新加载的详细信息。选择 Save the running configuration at the time of reload,然后选择重新加载的时间。

    • Now — 立即重新启动设备。

    • Delay By — 指定从现在起多少分钟或小时后重新加载设备。

    • Schedule at — 指定重新加载设备的时间和日期。

    还可以指定如果计划的重新加载失败,设备是否应立即强制重新加载。选择 On Reload failure, force an immediate reload after,然后指定最大保持时间。这是安全设备在关闭或重新启动之前等待通知其他子系统的时间。经过此时间后,将进行快速(强制)关闭/重新启动。单击 Schedule Reload

    upgrade-pix-asa7x-asdm-k.gif

  11. 重新加载期间,将显示 Reload Status 窗口,表明正在执行重新加载。还提供退出 ASDM 的选项。

    注意: 请在 ASA 重新加载后再次启动 ASDM。

    /image/gif/paws/69984/upgrade-pix-asa7x-asdm-l.gif

使用 ASDM 5.x 升级 ASDM 映像

完成以下这些步骤,以使用 ASDM 升级 ASA 5500 上的 ASDM 映像。

  1. 从 ASDM 的主窗口中选择 Tools > Upgrade Software...

    upgrade-pix-asa7x-asdm-m.gif

  2. 从下拉菜单中选择要上载的映像类型。

    /image/gif/paws/69984/upgrade-pix-asa7x-asdm-n.gif

  3. 单击 Browse Local... 或在 Local File Path 字段中键入路径,以指定 ASDM 映像在计算机上的位置。

  4. 单击 Browse Flash...

    随后将出现 Browse Flash Dialog 窗口,其中自动输入了相应的文件名。如果不显示文件名,请在 File Name 字段中手动输入该文件名。完成后单击 OK

    /image/gif/paws/69984/upgrade-pix-asa7x-asdm-o.gif

  5. 指定本地和远程文件名后,单击 Upload Image

    upgrade-pix-asa7x-asdm-p.gif

    ASDM 向闪存写入映像的同时将显示 Status 窗口。

    /image/gif/paws/69984/upgrade-pix-asa7x-asdm-q.gif

    完成后将显示 Information 窗口,指示上载成功。

    upgrade-pix-asa7x-asdm-r.gif

  6. 在 Information 窗口中单击 OK,然后单击 Upload Image from Local PC 窗口中的 Close。

  7. 选择 Configuration > Properties > Device Administration > Boot Image/Configuration,以更改配置中的 ASDM 映像文件名。

    upgrade-pix-asa7x-asdm-s.gif

    单击 Browse Flash 以选择或指定 ASDM 映像文件。然后单击 OK

    upgrade-pix-asa7x-asdm-t.gif

  8. 选择 File > Save Running Configuration to Flash,以便向闪存存储配置。

    /image/gif/paws/69984/upgrade-pix-asa7x-asdm-u.gif

  9. 从主窗口选择 Tools > System Reload,以重新加载设备。

    upgrade-pix-asa7x-asdm-v.gif

  10. 此时显示一个新窗口,要求验证重新加载的详细信息。单击 Save the running configuration at the time of reload,然后选择重新加载的时间。

    • Now — 立即重新启动设备。

    • Delay By — 指定从现在起多少分钟或小时后重新加载设备。

    • Schedule at — 指定重新加载设备的时间和日期。

    还可以指定如果计划的重新加载失败,设备是否应立即强制重新加载。选择 On Reload failure, force an immediate reload after,然后指定最大保持时间。这是安全设备在关闭或重新启动之前等待通知其他子系统的时间。经过此时间后,将进行快速(强制)关闭/重新启动。单击 Schedule Reload

    upgrade-pix-asa7x-asdm-w.gif

  11. 重新加载期间,将显示 Reload Status 窗口,表明正在执行重新加载。还提供退出 ASDM 的选项。

    注意: 请在 ASA 重新加载后再次启动 ASDM。

    /image/gif/paws/69984/upgrade-pix-asa7x-asdm-x.gif

使用 ASDM 6.x 升级软件映像

注意: 仅 ASA 软件映像 8.x 及更高版本支持 ASDM 6.x。

完成以下这些步骤,以使用 ASDM 升级 ASA 5500 上的软件映像:

  1. 从 ASDM 的主窗口中选择 Tools > Upgrade Software from Local computer...

    /image/gif/paws/69984/upgrade-pix-asa7x-asdm-a1.gif

  2. 从下拉菜单中选择要上载的映像类型。

    /image/gif/paws/69984/upgrade-pix-asa7x-asdm-a2.gif

  3. 单击 Browse Local Files... 或在 Local File Path 字段中键入路径,以指定该软件映像在计算机上的位置。此时将自动确定和显示 Flash File System 中的文件路径。如果未显示 Flash File System 中的文件路径,可以手动键入路径,或单击 Browse Flash,然后选择路径。

    /image/gif/paws/69984/upgrade-pix-asa7x-asdm-a3.gif

  4. 同时指定两个文件路径后,单击 Upload Image。ASDM 向闪存写入映像的同时将显示 Status 窗口。

    /image/gif/paws/69984/upgrade-pix-asa7x-asdm-a4.gif

  5. 完成后,将出现 Information 窗口,指示上载成功,并要求将此映像设置为引导映像。如果要将新映像设置为引导映像,则单击 Yes;否则,单击 No

    upgrade-pix-asa7x-asdm-a5.gif

  6. 如果单击 Yes,则将新映像设置为引导映像,并会显示 Information 框。单击 Ok

    upgrade-pix-asa7x-asdm-a6.gif

  7. 从主窗口选择 Tools > System Reload,以重新加载设备。

    upgrade-pix-asa7x-asdm-a7.gif

  8. 此时显示一个新窗口,要求验证重新加载的详细信息。选择 Save the running configuration at the time of reload,然后选择重新加载的时间。

    • Now — 立即重新启动设备。

    • Delay By — 指定从现在起多少分钟或小时后重新加载设备。

    • Schedule at — 指定重新加载设备的时间和日期。

    还可以指定如果计划的重新加载失败,设备是否必须立即强制重新加载。选择 On Reload failure, force an immediate reload after,然后指定最大保持时间。这是安全设备在关闭或重新启动之前等待通知其他子系统的时间。经过此时间后,将进行快速(强制)关闭/重新启动。单击 Schedule Reload

    upgrade-pix-asa7x-asdm-a8.gif

  9. 重新加载期间,将显示 Reload Status 窗口,表明正在执行重新加载。还提供退出 ASDM 的选项。单击 Exit ASDM,然后在重新加载设备后重新启动 ASDM。

    /image/gif/paws/69984/upgrade-pix-asa7x-asdm-a9.gif

使用 ASDM 6.x 升级 ASDM 映像

注意: 仅 ASA 软件映像 8.x 及更高版本支持 ASDM 6.x。

完成以下这些步骤,以使用 ASDM 升级 ASA 5500 上的 ASDM 映像:

  1. 从 ASDM 的主窗口中选择 Tools > Upgrade Software from Local Computer...

    /image/gif/paws/69984/upgrade-pix-asa7x-asdm-a1.gif

  2. 从下拉菜单中选择要上载的映像类型。

    /image/gif/paws/69984/upgrade-pix-asa7x-asdm-a10.gif

  3. 单击 Browse Local Files... 或在 Local File Path 字段中键入路径,以指定 ASDM 映像在计算机上的位置。此时将自动确定和显示 Flash File System 中的文件路径。如果未显示 Flash File System 中的文件路径,可以手动键入路径,或单击 Browse Flash,然后选择路径。

    /image/gif/paws/69984/upgrade-pix-asa7x-asdm-a11.gif

  4. 同时指定两个文件路径后,单击 Upload Image。ASDM 向闪存写入映像的同时将显示 Status 窗口。

    /image/gif/paws/69984/upgrade-pix-asa7x-asdm-a12.gif

  5. 完成后,将出现 Information 窗口,指示上载成功,并要求将此映像设置为默认的 ASDM 映像。如果要将新映像设置为 ASDM 映像,则单击 Yes;否则,单击 No

    upgrade-pix-asa7x-asdm-a13.gif

  6. 如果选择 Yes 以使用新映像作为 ASDM 映像,则会出现 Information 框。单击 Ok

    upgrade-pix-asa7x-asdm-a14.gif

  7. 单击窗口顶部的 Save,以便将运行中的配置保存到闪存。

    upgrade-pix-asa7x-asdm-a15.gif

  8. 此时将出现一个对话框,要求您进行确认。单击 Apply

    upgrade-pix-asa7x-asdm-a16.gif

  9. 单击窗口顶部的 File,然后选择 Exit 关闭 ASDM。

    upgrade-pix-asa7x-asdm-a17.gif

  10. 此时将出现一个对话框,请求您进行确认。单击 Yes

    upgrade-pix-asa7x-asdm-a18.gif

  11. 再次运行 ASDM 以加载新的 ASDM 映像。

    参考此视频欲知更多信息:如何升级在思科可适应安全Appliance(ASA)的软件镜像使用Cisco Adaptive Security Device Manager (ASDM)

使用ASDM,此视频被张贴对leavingcisco.com Cisco支持社区描述如何升级在思科ASA的软件镜像:使用思科可适应安全设备Manager(ASDM),如何升级在思科可适应安全Appliance(ASA)的软件镜像leavingcisco.com

upgrade-pix-asa7x-asdm-a19.gif

leavingcisco.com

使用 CLI 升级软件映像和 ASDM 映像

升级或降级软件映像以及 PIX/ASA 的 ASDM 映像需要使用 TFTP 服务器。要详细了解 TFTP 服务器的选择,请参阅 TFTP 服务器的选择和使用

使用 copy tftp flash 命令,可以通过 TFTP 将软件映像下载到防火墙的闪存中。对任何安全设备型号都可以使用 copy tftp flash 命令。所下载的映像将在下次重新加载(重新启动)时提供给安全设备。

以下是 copy tftp flash 命令产生的输出:

copy tftp[:[[//location] [/tftp_pathname]]] [[flash/disk0][:[image | asdm]]]

注意: 对于 ASA,关键字 disk0 将替换 copy 命令中的 flash。

如果命令使用,不用位置或路径名可选参数,则位置和文件名从用户交互式地得到通过一系列的问题类似于思科IOS�软件提交的那些。如果只输入冒号,则从 tftp-server 命令设置中获取参数。如果提供了其他可选参数,则使用这些值代替相应的 tftp-server 命令设置。如果提供了任一可选参数(如冒号和其后的任何内容),则命令在运行时不提示用户输入。

位置是 IP 地址或通过安全设备命名解析机制解析为 IP 地址的名称,当前该机制是通过 name 和 names 命令进行静态映射。安全设备必须了解如何通过其路由表信息到达此位置。此信息由 ip addressrouteRIP 命令确定。具体使用哪个命令取决于您的配置。

除了服务器上文件的路径的最后一部分之外,路径名可以包括任何目录名称。路径名不能包含空格。如果目录名称有在 TFTP 服务器而非 copy tftp flash 命令中设置为目录的空格,并且如果将 TFTP 服务器配置为指向从中下载映像的系统上的目录,则只需要使用该系统的 IP 地址和映像文件名。TFTP 服务器接收命令,并根据其根目录信息确定文件的实际位置。然后,服务器将 TFTP 映像下载到安全设备。

升级软件映像以及 ASDM 映像需要使用这些命令,下次重新加载时,这些命令还将此映像作为引导映像。

ASA#copy tftp [[flash:/disk0:][software image name/asdm image name]]

!--- Command to set an image as bootup or specify the 
!--- ASDM image file. 

ASA(config)#boot system [flash:/disk0:]/[software image name]

!--- Save active configuration to the Flash.

ASA#write memory

!--- Reboot the security appliance and load 
!--- with the new boot image as per the configuration file.

ASA#reload

示例:

ASA5510#copy tftp disk0:

Address or name of remote host []? 172.16.31.1
Source filename []? asa722-k8.bin
Destination filename [asa722-k8.bin]?
Accessing tftp://172.16.31.1/asa722-k8.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asa722-k8.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
8312832 bytes copied in 163.350 secs (50998 bytes/sec)

ASA5510#show disk0:
-#- --length-- -----date/time------ path
  6 5124096    Jan 01 2003 00:06:22 asa702-k8.bin
  7 5623108    Feb 12 2007 00:23:48 asdm-522.bin
 10 5539756    Feb 12 2007 00:14:18 asdm-521.bin
 11 8294400    Dec 07 2006 05:47:20 asa721-24-k8.bin
 12 6002680    Dec 21 2006 03:58:30 asdm-52034.bin
 13 8312832    Feb 12 2007 22:46:30 asa722-k8.bin

23949312 bytes available (38932480 bytes used)

!--- Command to set "asa722-k8.bin" as the boot image.

ASA5510(config)# boot system disk0:/asa722-k8.bin

!--- Command to set "asdm-522.bin" as the ASDM image.

ASA5510(config)# asdm image disk0:/asdm-522.bin
ASA5510# write memory
ASA5510# reload

注意: 当您设法升级在ASA的镜像从FTP服务器时,您能使用复制flash命令的ftp。此命令允许您指定参数,例如远程IP地址和来源文件名。此步骤类似于TFTP。然而,一个限制与是您不能修改远程IP/source接口(类似您请能与TFTP)。在TFTP模式,用tftp-server命令指定的选项可以被拉和被执行。但是与FTP,没有这样选项。默认情况下源接口应该总是外部,不可能修改。即FTP服务器应该是可及的从外部接口。

验证

使用本部分确认软件升级是否成功。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

ASA 重新加载,并且您已成功再次登录到 ASDM 后,可以验证设备上运行的映像的版本。有关此信息,请参阅主窗口上的 General 选项卡。

/image/gif/paws/69984/upgrade-pix-asa7x-asdm-y.gif

这些CLI命令用于为了验证升级:

  1. Show version —这显示ASA是启动的当前镜像。

  2. Show bootvar —这显示在重新加载以后将使用的镜像的优先级。

  3. 显示asdm镜像—这显示ASA使用的当前asdm镜像。

故障排除

目前没有针对此配置的故障排除信息。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 69984