IP : Cisco PIX 500 系列安全设备

PIX/ASA:故障切换对上的许可证密钥升级

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

当升级故障切换单元的时许可证,避免网络中断时间是不可能的。然而,停机时间可以最小化。本文档侧重于如何在故障切换对中升级许可证期间最大限度地缩短停机时间。

Cisco PIX 515、515E、525 和 535 安全设备都支持平台许可证这一概念。许可证级别范围自限制ï ¿  ½),不受限制(UR),故障切换(FO)和Failover-Active/激活(FO-AA)。

安全设备支持两种故障切换配置:活动/活动故障切换和活动/备用故障切换。

有关包括 PIX/ASA Active/Standby 故障切换简要介绍的示例配置,请参阅 PIX/ASA:Active/Standby 故障切换配置示例

有关包括 PIX/ASA Active/Active 故障切换简要介绍的示例配置,请参阅 PIX/ASA:Active/Active 故障切换配置示例

先决条件

要求

Cisco 建议您了解以下主题:

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco PIX 515、515E、525 和 535 安全设备,软件为 7.x 及更高版本

本文档中的信息都是基于特定实验室环境中的设备编写的。

相关产品

您也可以将此配置用于 Cisco ASA 安全设备版本 7.x 及更高版本。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

升级许可证的过程

以下步骤用于升级在故障切换对的许可证:

新的激活密钥

默认情况下,在PIX的许可证‘限制’ (ï ¿  ½)。一个新的激活密钥要求为了从‘限制’软件套件升级到支持其它功能例如连接、故障切换、IPSec或者额外接口更多编号的套件。此外,升级 PIX 上的闪存之后有时也必须要有新的激活密钥。

要请求激活密钥,请向提供 PIX 序列号的 licensing@cisco.com 发送电子邮件(如果升级闪存,则请提供闪存卡的序列号)和 show version 命令的输出。去思科ASA 3DES/AES许可证注册(仅限注册用户)页请求AES/3DES激活密钥。

注意: 如果收到 ERROR:Failed to update flash activation key 错误(归结于激活密钥中的问题),则请求新的激活密钥解决此错误。

以下show version命令示例显示序列号和激活密钥安全工具的。

pix# show version

Cisco PIX Security Appliance Software Version 7.1(1)
Device Manager Version 5.1(1)

Compiled on Thu 19-Jan-06 15:02 by builders
System image file is "flash:/pix711.bin"
Config file at boot was "startup-config"

pix up 7 days 20 hours

Hardware:   PIX-515E, 128 MB RAM, CPU Pentium II 433 MHz
Flash E28F128J3 @ 0xfff00000, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
 0: Ext: Ethernet0           : address is 000f.908f.2d45, irq 10
 1: Ext: Ethernet1           : address is 000f.908f.2d46, irq 11
 2: Ext: Ethernet2           : address is 0005.5d19.7ad0, irq 11
 3: Ext: Ethernet3           : address is 0005.5d19.7ad1, irq 10
 4: Ext: Ethernet4           : address is 0005.5d19.7ad2, irq 9
 5: Ext: Ethernet5           : address is 0005.5d19.7ad3, irq 5

Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs               : 25
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.

Serial Number: 808150103
Running Activation Key: 0x8f5bdba6 0x0963cc7f 0xfeffd300 0x9b00f19d
Configuration last modified by enable_15 at 01:42:55.492 UTC Wed May 31 2006

升级许可证

一旦接收从思科的新的激活密钥,请登录每个PIX并且手工输入密钥在config terminal模式。

注意: 在您激活他们后,一些许可证要求您重新加载安全工具。对于要求重新载入许可证的列表,参考许可证重新载入需求

PIX安全工具版本7.0和以上支持两许可证密钥:

  • PIX版本的6.3现有4元组许可证密钥或前

  • PIX仅安全工具版本7.0和以上的一个新的5元组许可证密钥

语法:activation-key [activation-key-four-tuple|activation-key-five-tuple]

示例:

pix(config)# activation-key 0xe02888da
	 0x4ba7bed6 0xf1c123ae 0xffd8624e

升级故障切换的许可证使用CLI (没有要求的重新加载)

如果您新的许可证不要求您重新加载,请使用以下步骤。此步骤保证没有停机时间。

  1. 使用no failover命令在活动装置,禁用在活动装置的故障切换。备用装置留在假待机状态。当许可证不配比时,撤销在活动装置的故障切换防止备用装置尝试变得激活在期限。

  2. 使用在活动装置的activation-key通过key命令安装在活动装置的新的许可证。确保此许可证是为活动装置序列号。

  3. 使用在备用装置的activation-key通过key命令安装在备用装置的新的许可证。确保此许可证是为备用装置序列号。

  4. 使用failover命令,启用故障切换上一步在活动装置。这完成步骤。

    注意: 在您升级许可证前,请确保两个单元正确地操作,故障切换LAN接口是UP,并且没有一个临近故障切换事件;例如,受监视接口通常操作。在每个单元上,请输入show failover命令。或者,在ASDM请去查看故障切换状态和受监视接口状态的Monitoring>属性>故障切换>状态

升级故障切换的许可证使用ASDM (没有要求的重新加载)

如果您新的许可证不要求您重新加载,请使用以下步骤使用ASDM。此步骤保证没有停机时间。

  1. 活动装置上,请选择Configuration>设备管理>高可用性>故障切换>设置,并且非选定Enable (event)故障切换复选框。现在请单击应用。备用装置留在假待机状态。当许可证不配比时,撤销在活动装置的故障切换防止备用装置尝试变得激活在期限。

  2. 选择Configuration>设备管理>许可授权>激活密钥,并且输入您用活动装置序列号得到的新的激活密钥。现在请单击更新激活密钥

  3. 通过双击其在设备清单的地址登录备用装置。如果设备不在设备清单,请单击添加添加设备。也许提示对于凭证登陆。

  4. 选择Configuration>设备管理>许可授权>激活密钥,并且输入您用备用装置序列号得到的新的激活密钥。现在请单击更新激活密钥

  5. 通过双击其在设备清单的地址再登录活动装置。选择Configuration>设备管理>高可用性>故障切换>设置,并且复校Enable (event)故障切换复选框。

  6. 单击 Apply。这完成步骤。

升级故障切换的许可证使用CLI (要求的重新加载)

如果您新的许可证要求您重新加载,请使用以下步骤。在重新加载期间,重新加载故障切换对导致一失去连接。

  1. 使用no failover命令在活动装置,禁用在活动装置的故障切换。备用装置留在假待机状态。当许可证不配比时,撤销在活动装置的故障切换防止备用装置尝试变得激活在期限。

  2. 使用在活动装置的activation-key通过key命令安装在活动装置的新的许可证。确保此许可证是为活动装置序列号。

    注意: 如果需要重新加载,您将看到此消息:警告:运行激活密钥未更新与请求的密钥。闪存激活密钥更新与请求的密钥和变得激活在下一次重新加载以后。

  3. 使用在备用装置的activation-key通过key命令安装在备用装置的新的许可证。确保此许可证是为备用装置序列号。

  4. 使用reload命令,重新加载备用装置。

  5. 重新加载活动装置。当提示您在重新加载前保存配置时,请回答不。这意味着,当活动装置恢复时,故障切换将启用。这完成步骤。

    注意: 在您升级许可证前,请务必两个单元正确地操作,故障切换LAN接口是UP,并且没有一个临近故障切换事件;例如,受监视接口通常操作。在每个单元上,请输入show failover命令。或者,在ASDM,请去Monitoring>属性>查看故障切换状态和受监视接口状态的故障切换>状态

升级故障切换的许可证使用ASDM (要求的重新加载)

如果您新的许可证要求您重新加载,请使用以下步骤使用ASDM。在重新加载期间,重新加载故障切换对导致一失去连接。

  1. 活动装置上,请选择Configuration>设备管理>高可用性>故障切换>设置,并且非选定Enable (event)故障切换复选框。现在请单击应用。备用装置留在假待机状态。当许可证不配比时,撤销在活动装置的故障切换防止备用装置尝试变得激活在期限。

  2. 选择Configuration>设备管理>许可授权>激活密钥,并且输入您用活动装置序列号得到的新的激活密钥。现在请单击更新激活密钥

  3. 通过双击其在设备清单的地址登录备用装置。如果设备不是在设备清单,请单击添加添加设备。也许提示对于凭证登陆。

  4. 选择Configuration>设备管理>许可授权>激活密钥,并且输入您用备用装置序列号得到的新的激活密钥。现在请单击更新激活密钥

  5. 通过双击其在设备清单的地址再登录活动装置。选择Configuration>设备管理>高可用性>故障切换>设置,并且复校Enable (event)故障切换复选框。现在请单击应用

  6. 通过选择Tools>系统重新加载安排即时安全审核设备的重新加载。

  7. 选择重新加载选项每次重新加载安全工具您希望,并且点击日程重新加载。当丧失服务有最少影响,请选择时候。

  8. 通过双击其在设备清单的地址再登录备用装置

  9. 通过选择Tools>系统重新加载安排暂挂安全工具的重新加载。

  10. 选择重新加载选项重新加载安全工具您为活动装置同时选择,然后点击日程重新加载

  11. 两个单元同时将重新加载,并且新的许可证将有效。这完成步骤。

注意:如果主单元处于 Standby 状态,则颠倒执行以下过程。那是在主PIX放置的备用PIX地方和在第二位置放置主PIX。

验证密钥

您能通过发出show version验证更新许可证或显示activation-key命令在两个主要和备用单元。


相关信息


Document ID: 70390