网真 : Cisco PIX 500 系列安全设备

从 PIX 500 系列安全设备迁移到 ASA 5500 系列自适应安全设备

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2014 年 9 月 30 日) | 反馈


目录


简介

本文档介绍如何从 PIX 500 系列安全设备迁移到 ASA 5500 系列自适应安全设备。

注意: PIX 501、PIX 506 和 PIX 506E 不支持软件版本 7。

有二种方法可以将 PIX 配置转换为 ASA 配置

  • 工具协助转换

  • 手动转换

基于自动工具的/工具协助转换

要将 PIX 配置转换为 ASA 配置,Cisco 建议您使用工具协助转换。

如果进行多个转换,则工具协助转换方法将更为快捷且更易于扩展。但是,中间配置过程的输出同时包含旧语法和新语法。此方法需要在目标自适应安全设备上安装中间配置才能完成转换。在目标设备上安装最终配置之前,无法查看最终配置。

注意: Cisco 已发布了 PIX 到 ASA 的迁移工具,以帮助自动完成向新 ASA 设备迁移的过程。可以从 PIX 软件下载站点下载此工具。有关详细信息,请参阅将 PIX 500 系列安全设备的配置迁移到 ASA 5500 系列自适应安全设备

先决条件

硬件和软件要求

可以将 PIX 515、515E、525、535 升级到版本 7.0。

在您开始升级到版本 7.x 的过程之前,Cisco 建议 PIX 运行 6.2 版本或更高版本。这可确保正确转换当前配置。此外,必须满足以下硬件要求以达到最低 RAM 要求:

PIX 模型 RAM 要求
  受限 (R) 不受限 (UR)/仅故障切换 (FO)
PIX-515 64 MB* 128 MB*
PIX-515 E 64 MB* 128 MB*
PIX-525 128 MB 256 MB
PIX-535 512 MB 1 GB

要确定 PIX 上当前安装的 RAM 数量,请发出 show version 命令。

注意: PIX 515 和 515E 软件升级还可能要求升级内存:

  • 必须将具有受限许可证和 32 MB 内存的那些设备升级到 64 MB 内存。

  • 必须将具有非受限许可证和 64 MB 内存的那些设备升级到 128 MB 内存。

有关在这些设备上升级内存所需的部件号,请参阅此表。

当前设备配置 升级解决方案
平台许可证 总内存(升级之前) 部件号 总内存(升级之后)
受限 (R) 32 MB PIX-515-MEM-32= 64 MB
不受限 (UR) 32 MB PIX-515-MEM-128= 128 MB
仅故障切换 (FO) 64 MB PIX-515-MEM-128= 128 MB

注意: 部件号取决于 PIX 上安装的许可证。

将软件版本 6.x 升级到 7.x 是无缝升级,且需要执行一些手动操作,但在开始前必须完成以下步骤:

  1. 确保当前配置中没有 conduit 或 outbound/apply 命令。7.x 版本中不再支持这些命令,升级进程将删除它们。要在尝试升级前将这些命令转换为访问列表,请使用 Conduit Converter 工具。

  2. 保证PIX不终止点对点隧道协议(PPTP)连接。软件版本 7.x 当前不支持 PPTP 终止。

  3. 在开始升级过程之前,请复制 PIX 上的 VPN 连接的所有数字证书。

  4. 为确保您了解新增、已更改以及不推荐使用的命令,请阅读以下这些文档:

  5. 安排在停机时间执行迁移。虽然迁移只是简单的两步操作过程,但 PIX 安全设备升级到 7.x 却是一项重大更改,需要一些停机时间。

  6. Cisco 下载仅限注册用户)下载 7.x 软件。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • ASA 5500 系列安全设备

  • PIX 安全设备 515、515E、525 和 535

  • PIX 软件版本 6.3 和 7.0

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

手动配置转换

在手动转换过程中,可以使用文本编辑器逐行查看配置,并将特定于 PIX 的命令转换为 ASA 命令。

将 PIX 配置手动转换为 ASA 配置,可以最大限度地控制转换过程。但如果必须执行多个转换,则该过程会比较费时,且不能很好的扩展。

要从 PIX 迁移到 ASA,必须完成以下三个步骤:

  1. 将 PIX 软件版本升级到 7.x。

  2. 将 Cisco PIX 软件 7.0 中的接口名称转换为 Cisco ASA 格式。

  3. 将 PIX 软件 7.0 配置复制到 Cisco ASA 5500。

将 PIX 软件版本升级到 7.x

在开始实际的升级过程之前,请完成以下步骤:

  1. 发出 show running-config 或 write net 命令,以便将 PIX 的当前配置保存到文本文件或 TFTP 服务器。

  2. 发出 show version 命令以便验证要求,例如 RAM。并将此命令的输出保存到文本文件。如果需要恢复回代码的旧版本,则可能需要原始激活密钥。

如果PIX有一个基本输入-输出系统(BIOS)的版本早于4.2或,如果计划升级PIX 515或PIX 535有已经安装的PDM的,然后您必须完成升级程序在监控模式而不是与copy tftp flash方法。要查看 BIOS 版本,请重新启动 PIX,并连接控制台电缆,读取引导程序中的消息。

BIOS 版本会在消息中列出,例如:

Rebooting....


CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
64 MB RAM

注意: 在升级期间,6.x 命令会自动转换为 7.x 命令。命令的自动转换会导致配置的更改。您需要在启动 7.x 软件后对配置更改进行检查,以便验证自动更改是否满意。然后,将配置保存到闪存,以确保系统在下次启动安全设备时不会再次转换配置。

注意: 当系统升级到 7.x 后,切记不要使用软件版本 6.x np 磁盘实用程序(例如口令恢复),因为这会破坏 7.x 软件映像,并会要求从监控模式重新启动系统。还可能导致丢失以前的配置、安全内核和关键信息。

使用 copy tftp flash 命令升级 PIX 安全设备

完成以下步骤,以使用 copy tftp flash 命令升级 PIX。

  1. 将 PIX 设备二进制映像(例如 pix701.bin)复制到 TFTP 服务器的根目录。

  2. 在 enable 提示符下,发出 copy tftp flash 命令。

    pixfirewall>enable
    Password:
    <password>
    
    pixfirewall#copy tftp flash
    
  3. 输入 TFTP 服务器的 IP 地址。

    Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
    
  4. 输入要从 TFTP 服务器上加载的文件的名称。这是 PIX 二进制映像文件名。

    Source file name [cdisk]?
    <filename>
    
    
  5. 当提示开始 TFTP 复制时,键入 yes

    copying tftp://172.18.173.123/pix701.bin to flash:image
    [yes|no|again]?yes
    
  6. 现在,映像已从 TFTP 服务器被复制到闪存中。

    此时将显示以下消息,表明传输成功,闪存中的旧二进制映像已擦除,并且新的映像已写入并已安装。

    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Received 5124096 bytes
    Erasing current image
    Writing 5066808 bytes of image
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Image installed
    pixfirewall#
  7. 重新加载PIX设备为了启动新的镜像。

    pixfirewall#reload
    Proceed with reload? [confirm] 
    <enter>
    
    
    
    Rebooting....
  8. PIX 现在引导 7.0 映像,这将完成升级过程。

示例配置 - 使用 copy tftp flash 命令升级 PIX 设备

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall# 
pixfirewall#reload
Proceed with reload? [confirm] 
<enter>




Rebooting..�

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
128 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class�Irq
00�00�00�8086�7192�Host Bridge�
00�07�00�8086�7110�ISA Bridge�
00�07�01�8086�7111�IDE Controller�
00�07�02�8086�7112�Serial Bus�9
00�07�03�8086�7113�PCI Bridge�
00�0D�00�8086�1209�Ethernet�11
00�0E�00�8086�1209�Ethernet�10
00�13�00�11D4�2F44�Unknown Device�5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash.�
######################################################################
######################################################################
128MB RAM

Total NICs found: 2
mcwa i82559 Ethernet at irq 11�MAC: 0009.4360.ed44
mcwa i82559 Ethernet at irq 10�MAC: 0009.4360.ed43
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


!--- This output indicates that the Flash file
!--- system is formatted. The messages are normal.

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-27642)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-30053)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-1220)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-22934)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (2502)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (29877)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-13768)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (9350)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-18268)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (7921)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (22821)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (7787)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (15515)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (20019)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-25094)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-7515)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (-10699)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (6652)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (-23640)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (23698)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (-28882)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (2533)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-966)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-22888)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (-9762)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (9747)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (-22855)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-32551)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-13355)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (-29894)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-18595)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (22095)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (1486)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (13559)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (24215)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (21670)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (-24316)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 7, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 12, parent_fileid 0
flashfs[7]: 5 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 5128192
flashfs[7]: Bytes available: 10999808
flashfs[7]: flashfs fsck took 59 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6�
Maximum VLANs�: 25�
Inside Hosts�: Unlimited 
Failover�: Active/Active
VPN-DES�: Enabled�
VPN-3DES-AES�: Enabled�
Cut-through Proxy�: Enabled�
Guards�: Enabled�
URL Filtering�: Enabled�
Security Contexts�: 2�
GTP/GPRS�: Disabled�
VPN Peers�: Unlimited 

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC (IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5)
--------------------------------------------------------------------------
.�.�
|�|�
|||�|||�
.|| ||.�.|| ||.�
.:||| | |||:..:||| | |||:.�
C i s c o�S y s t e m s�
--------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1) 

****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.

A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

!--- These messages are printed for any deprecated commands.

ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 50, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 55, "floodguard enable"

Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 

!--- All current fixups are converted to the new Modular Policy Framework.

INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
pixfirewall>

注意: 要验证 PIX 当前运行的是 7.x 软件版本,请发出 show version 命令。

注意: 要检查配置迁移过程中出现的任何错误,请发出 show startup-config errors 命令。在第一次引导 PIX 之后,这些错误将显示在此输出中。

从监控模式升级 PIX 安全设备

进入监控模式

完成以下步骤以在 PIX 上进入监控模式。

  1. 使用以下通信设置,将一条控制台电缆连接到 PIX 上的控制台端口:

    • 9600 bps

    • 8 个数据位

    • 无奇偶校验

    • 1 个停止位

    • 无流控制

  2. 重新通电或重新加载 PIX。在启动过程中,将会提示您使用 BREAK 或 ESC 中断闪存引导。您有十秒的时间可中断正常引导进程。

  3. ESC 键或发送 BREAK 字符,以便进入监控模式。

    • 如果使用 Windows Hyper Terminal,则可以按 Esc 键或按 Ctrl+Break 来发送 BREAK 字符。

    • 如果使用 Telnet 通过终端服务器访问 PIX 的控制台端口,则需要按 Ctrl+](Control + 右中括号)才能进入 Telnet 命令提示符。然后,发出 send break 命令。

  4. 此时将显示 monitor> 提示符。

  5. 继续从监控模式升级 PIX 部分。

从监控模式升级 PIX

完成以下步骤以从监控模式升级您的 PIX。

  1. 将 PIX 设备二进制映像(例如 pix701.bin)复制到 TFTP 服务器的根目录。

  2. 在 PIX 上进入监控模式。如果不确定如何执行此操作,请参阅进入监控模式

    注意: 一旦进入监控模式,便可以使用“?”键查看可用选项列表。

  3. 输入 TFTP 服务器连接到的接口号,或距离 TFTP 服务器最近的接口。默认值为接口 1(内部)。

    monitor>interface <num>
    

    注意: 在监控模式下,接口总是自动协商速度和双工。不能对接口设置进行硬编码。因此,如果将 PIX 接口插入到对速度/双工进行硬编码的交换机,请在监控模式下,将其重新配置为自动协商。另请注意,PIX 设备不能从监控模式下初始化千兆以太网接口。必须改用快速以太网接口。

  4. 输入步骤 3 中定义的接口的 IP 地址。

    monitor>address <PIX_ip_address>
    
  5. 输入 TFTP 服务器的 IP 地址。

    monitor>server <tftp_server_ip_address>
    
  6. (可选)输入您的网关的 IP 地址。如果 PIX 的接口所在的网络与 TFTP 服务器所在的网络不一样,则必须输入网关地址。

    monitor>gateway <gateway_ip_address>
    
  7. 输入要从 TFTP 服务器上加载的文件的名称。这是 PIX 二进制映像文件名。

    monitor>file <filename>
    
  8. 从 PIX ping TFTP 服务器以验证 IP 连接。

    如果 ping 失败,请仔细检查电缆、PIX 接口和 TFTP 服务器的 IP 地址以及网关的 IP 地址(如果需要)。必须在 ping 成功之后才能继续。

    monitor>ping <tftp_server_ip_address>
    
  9. 键入 tftp 以开始 TFTP 下载。

    monitor>tftp
    
  10. PIX 将映像下载到 RAM 中并自动引导它。

    在引导进程期间,会将文件系统与您的当前配置一起转换。但是,您还没有完成升级。在引导之后,请注意以下警告消息并继续执行步骤 11:

    ******************************************************************
      **                                                                    **
      **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
      **                                                                    **
      **          ----> Current image running from RAM only! <----          **
      **                                                                    **
      **  When the PIX was upgraded in Monitor mode the boot image was not  **
      **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
      **  save a bootable image to Flash.  Failure to do so will result in  **
      **  a boot loop the next time the PIX is reloaded.                    **
      **                                                                    **
      ************************************************************************
  11. 引导后,请进入启用模式并再次将同一映像复制到 PIX。这次发出 copy tftp flash 命令。

    这会将映像保存到闪存文件系统。未能完成此步骤将导致下次 PIX 重新加载时发生引导循环。

    pixfirewall>enable
    pixfirewall#copy tftp flash
    

    注意: 有关如何使用 copy tftp flash 命令复制映像的详细说明,请参阅使用 copy tftp flash 命令升级 PIX 安全设备部分。

  12. 在使用 copy tftp flash 命令复制映像后,升级过程便已完成。

    示例配置 - 从监控模式升级 PIX 安全设备

    monitor>interface 1 
    0: i8255X @ PCI(bus:0 dev:13 irq:10)
    1: i8255X @ PCI(bus:0 dev:14 irq:7 )
    2: i8255X @ PCI(bus:1 dev:0  irq:11)
    3: i8255X @ PCI(bus:1 dev:1  irq:11)
    4: i8255X @ PCI(bus:1 dev:2  irq:11)
    5: i8255X @ PCI(bus:1 dev:3  irq:11)
    
    Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81
    monitor>address 10.1.1.2 
    address 10.1.1.2 
    monitor>server 172.18.173.123 
    server 172.18.173.123 
    monitor>gateway 10.1.1.1
    gateway 10.1.1.1
    monitor>file pix701.bin 
    file pix701.bin 
    monitor>ping 172.18.173.123 
    Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds: 
    !!!!! 
    Success rate is 100 percent (5/5) 
    monitor>tftp 
    tftp pix701.bin@172.18.173.123.......................................... 
    Received 5124096 bytes 
    
    Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar  7 17:39:03 PST 2005
    #######################################################################
    128MB RAM
    
    Total NICs found: 6
    mcwa i82559 Ethernet at irq 10  MAC: 0050.54ff.4d80
    mcwa i82559 Ethernet at irq  7  MAC: 0050.54ff.4d81
    mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2014
    mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2015
    mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2016
    mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2017
    BIOS Flash=AT29C257 @ 0xfffd8000
    Old file system detected. Attempting to save data in flash
     
    
    !--- This output indicates that the Flash file
    !--- system is formatted. The messages are normal.
    
    Initializing flashfs...
    flashfs[7]: Checking block 0...block number was (-10627)
    flashfs[7]: erasing block 0...done.
    flashfs[7]: Checking block 1...block number was (-14252)
    flashfs[7]: erasing block 1...done.
    flashfs[7]: Checking block 2...block number was (-15586)
    flashfs[7]: erasing block 2...done.
    flashfs[7]: Checking block 3...block number was (5589)
    flashfs[7]: erasing block 3...done.
    flashfs[7]: Checking block 4...block number was (4680)
    flashfs[7]: erasing block 4...done.
    flashfs[7]: Checking block 5...block number was (-21657)
    flashfs[7]: erasing block 5...done.
    flashfs[7]: Checking block 6...block number was (-28397)
    flashfs[7]: erasing block 6...done.
    flashfs[7]: Checking block 7...block number was (2198)
    flashfs[7]: erasing block 7...done.
    flashfs[7]: Checking block 8...block number was (-26577)
    flashfs[7]: erasing block 8...done.
    flashfs[7]: Checking block 9...block number was (30139)
    flashfs[7]: erasing block 9...done.
    flashfs[7]: Checking block 10...block number was (-17027)
    flashfs[7]: erasing block 10...done.
    flashfs[7]: Checking block 11...block number was (-2608)
    flashfs[7]: erasing block 11...done.
    flashfs[7]: Checking block 12...block number was (18180)
    flashfs[7]: erasing block 12...done.
    flashfs[7]: Checking block 13...block number was (0)
    flashfs[7]: erasing block 13...done.
    flashfs[7]: Checking block 14...block number was (29271)
    flashfs[7]: erasing block 14...done.
    flashfs[7]: Checking block 15...block number was (0)
    flashfs[7]: erasing block 15...done.
    flashfs[7]: Checking block 61...block number was (0)
    flashfs[7]: erasing block 61...done.
    flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0
    flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0
    flashfs[7]: 9 files, 3 directories
    flashfs[7]: 0 orphaned files, 0 orphaned directories
    flashfs[7]: Total bytes: 15998976
    flashfs[7]: Bytes used: 10240
    flashfs[7]: Bytes available: 15988736
    flashfs[7]: flashfs fsck took 58 seconds.
    flashfs[7]: Initialization complete.
    
    Saving the datafile
    !
    Saving a copy of old datafile for downgrade
    !
    Saving the configuration
    !
    Saving a copy of old configuration as downgrade.cfg
    !
    Saved the activation key from the flash image
    Saved the default firewall mode (single) to flash
    The version of image file in flash is not bootable in the current version of
    software.
    Use the downgrade command first to boot older version of software.
    The file is being saved as image_old.bin anyway.
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Upgrade process complete
    Need to burn loader....
    Erasing sector 0...[OK]
    Burning sector 0...[OK]
    Erasing sector 64...[OK]
    Burning sector 64...[OK]
    
    Licensed features for this platform:
    Maximum Physical Interfaces : 6         
    Maximum VLANs               : 25        
    Inside Hosts                : Unlimited 
    Failover                    : Active/Active
    VPN-DES                     : Enabled   
    VPN-3DES-AES                : Enabled   
    Cut-through Proxy           : Enabled   
    Guards                      : Enabled   
    URL Filtering               : Enabled   
    Security Contexts           : 2         
    GTP/GPRS                    : Disabled  
    VPN Peers                   : Unlimited 
    
    This platform has an Unrestricted (UR) license.
    
    Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
      --------------------------------------------------------------------------
                                     .            .                             
                                     |            |                             
                                    |||          |||                            
                                  .|| ||.      .|| ||.                          
                               .:||| | |||:..:||| | |||:.                       
                                C i s c o  S y s t e m s                        
      --------------------------------------------------------------------------
    
    Cisco PIX Security Appliance Software Version 7.0(1) 
    
      ****************************** Warning *******************************
      This product contains cryptographic features and is
      subject to United States and local country laws
      governing, import, export, transfer, and use.
      Delivery of Cisco cryptographic products does not
      imply third-party authority to import, export,
      distribute, or use encryption. Importers, exporters,
      distributors and users are responsible for compliance
      with U.S. and local country laws. By using this
      product you agree to comply with applicable laws and
      regulations. If you are unable to comply with U.S.
      and local laws, return the enclosed items immediately.
    
      A summary of U.S. laws governing Cisco cryptographic
      products may be found at:
      http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
    
      If you require further assistance please contact us by
      sending email to export@cisco.com.
      ******************************* Warning *******************************
    
    Copyright (c) 1996-2005 by Cisco Systems, Inc.
    
                    Restricted Rights Legend
    
    Use, duplication, or disclosure by the Government is
    subject to restrictions as set forth in subparagraph
    (c) of the Commercial Computer Software - Restricted
    Rights clause at FAR sec. 52.227-19 and subparagraph
    (c) (1) (ii) of the Rights in Technical Data and Computer
    Software clause at DFARS sec. 252.227-7013.
    
                    Cisco Systems, Inc.
                    170 West Tasman Drive
                    San Jose, California 95134-1706
    
    
    !--- These messages are printed for any deprecated commands.
    
    .ERROR: This command is no longer needed. The LOCAL user database is always enabled.
     *** Output from config line 71, "aaa-server LOCAL protoco..."
    ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
     *** Output from config line 76, "floodguard enable"
    
    Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303 
    
    !--- All current fixups are converted to the 
    !--- new Modular Policy Framework.
    
    INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
    INFO: converting 'fixup protocol ftp 21' to MPF commands
    INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
    INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
    INFO: converting 'fixup protocol http 80' to MPF commands
    INFO: converting 'fixup protocol ils 389' to MPF commands
    INFO: converting 'fixup protocol netbios 137-138' to MPF commands
    INFO: converting 'fixup protocol rsh 514' to MPF commands
    INFO: converting 'fixup protocol rtsp 554' to MPF commands
    INFO: converting 'fixup protocol sip 5060' to MPF commands
    INFO: converting 'fixup protocol skinny 2000' to MPF commands
    INFO: converting 'fixup protocol smtp 25' to MPF commands
    INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
    INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
    INFO: converting 'fixup protocol tftp 69' to MPF commands
    INFO: converting 'fixup protocol sip udp 5060' to MPF commands
    INFO: converting 'fixup protocol xdmcp 177' to MPF commands
      ************************************************************************
      **                                                                    **
      **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
      **                                                                    **
      **          ----> Current image running from RAM only! <----          **
      **                                                                    **
      **  When the PIX was upgraded in Monitor mode the boot image was not  **
      **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
      **  save a bootable image to Flash.  Failure to do so will result in  **
      **  a boot loop the next time the PIX is reloaded.                    **
      **                                                                    **
      ************************************************************************
    Type help or '?' for a list of available commands.
    pixfirewall>
    pixfirewall>enable
    Password:
    <password>
    
    pixfirewall# 
    pixfirewall#copy tftp flash
    
    Address or name of remote host []? 172.18.173.123
    
    Source filename []? pix701.bin
    
    Destination filename [pix701.bin]? 
    <enter>
    
    
    Accessing tftp://172.18.173.123/pix701.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Writing file flash:/pix701.bin...
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    5124096 bytes copied in 139.790 secs (36864 bytes/sec)
    pixfirewall#

将 Cisco PIX 软件 7.0 中的接口名称转换为 Cisco ASA 格式

该过程中的下一步是脱机编辑最新转换的基于 Cisco PIX 软件 7.0 的配置。

由于 Cisco ASA 接口命名规则不同于 Cisco PIX 安全设备,因此在将 Cisco PIX 配置复制/上载到 Cisco ASA 5500 系列安全设备之前,需要对其进行更改。

要更改 PIX 配置中的接口名称,请完成以下步骤:

  1. 脱机复制新的基于 Cisco PIX 软件 7.0 的配置。要执行此操作,请将配置上载到 TFTP/FTP 服务器或在控制台会话中将配置复制到文本编辑器。

    要将 PIX 配置从控制台上载到 TFTP/FTP 服务器,请发出以下命令:

    copy startup−config tftp://n.n.n.n/PIX7cfg.txt
        or
    copy startup−config ftp://n.n.n.n/PIX7cfg.txt
    
  2. 在将基于 Cisco PIX 软件 7.0 的配置文件成功上载到 TFTP/FTP 服务器(或粘贴/复制到文本编辑器)之后,打开记事本/写字板或自己喜欢的任何文本编辑器,更改 PIX 配置中的接口名称。

    Cisco PIX 安全设备按从 0 到 n 的顺序对接口进行编号。Cisco ASA 5500 系列安全设备根据接口位置/插槽对接口进行编号。嵌入式接口从 0/0 到 0/3 进行编号,而管理接口为 Management 0/0。4GE SSM 模块上的接口从 1/0 到 1/3 进行编号。

    运行 7.0 的具有基础许可证的 Cisco ASA 5510 的可用接口包括三个快速以太网端口(0/0 至 0/2)以及一个 Management 0/0 接口。具有附加安全许可证的 Cisco ASA 5510 的全部五个快速以太网接口均可用。Cisco ASA 5520 和 5540 具有四个千兆以太网端口和一个快速以太网管理端口。Cisco ASA 5550 具有八个千兆以太网端口和一个快速以太网端口。

    将 PIX 配置中的接口名称更改为 ASA 接口格式。

    例如:

       
       Ethernet0 ==> Ethernet0/0
       Ethernet1 ==> Ethernet0/1
       GigabitEthernet0 ==> GigabitEthernet0/0
    

    有关详细信息,请参阅 Cisco 安全设备命令行配置指南 7.0 版配置接口参数部分。

将配置从 PIX 复制到 ASA

此时,您已修改了基于 Cisco PIX 软件 7.0 的配置中的接口名称,可以将其复制或上载到 Cisco ASA 5500 系列了。有两种方法可以将基于 Cisco PIX 软件 7.0 的配置加载到 Cisco ASA 5500 系列设备。

请完成方法 1:手动复制/粘贴方法 2:从 TFTP/FTP 下载中的步骤。

方法 1:手动复制/粘贴

通过复制/粘贴方法从 PIX 控制台复制配置:

  1. 在粘贴修改后的 Cisco PIX 软件 7.0 配置之前,通过控制台登录到 Cisco ASA 5500 系列,并发出 clear config all 命令以清除配置。

    ASA#config t
    ASA(config)#clear config all
    
  2. 将配置复制并粘贴到 ASA 控制台,然后保存该配置。

    注意: 在启动测试之前,请确保所有的接口均处于 no shutdown 状态。

方法 2:从 TFTP/FTP 下载

第二种方法是,从 TFTP/FTP 服务器下载基于 Cisco PIX 软件 7.0 的配置。对于此步骤,您需要在 Cisco ASA 5500 系列设备上配置管理接口以进行 TFTP/FTP 下载:

  1. 从 ASA 控制台发出以下命令:

    ASA#config t
    ASA(config)#interface management 0
    ASA(config)#nameif management
    ASA(config)#ip add <n.n.n.n> <netmask>
    ASA(config)#no shut
    

    注意: (可选)route management <ip> <mask> <next-hop>

  2. 设置管理接口之后,就可以将 PIX 配置下载到 ASA 了:

    ASA(Config)#copy tftp://<n.n.n.n>/PIX7cfg.txt running-config
    
  3. 保存配置。

将 PIX 软件版本 6.x 配置应用于 ASA 软件版本 7.x

将 PIX 6.2 或 6.3 配置转换为新的 ASA 安全设备的过程必须手动执行。需要 ASA/PIX 管理员转换 PIX 6.x 语法以便与 ASA 语法相匹配,并在 ASA 配置中键入这些命令。可以剪切并粘贴某些命令,例如 access-list 命令。请确保严格对 PIX 6.2 或 6.3 配置与新的 ASA 配置进行比较,以保证在转换中没有错误。

注意: 可以使用命令输出解释程序工具仅限注册用户)(OIT) 将某些不支持的早期命令(例如 apply、outbound 或 conduit)转换为相应的访问列表。需要对转换后的语句仔细地进行全面检查。验证转换是否与安全策略相匹配非常必要。

注意: 升级到新的 ASA 设备的过程与升级到新的 PIX 设备的过程不同。使用 PIX 过程尝试升级到 ASA 会在 ASA 上生成许多配置错误。

故障排除 - 手动配置转换

设备陷入重新启动循环

  • 在您使用 copy tftp flash 方法升级 PIX 并重新启动之后,它将陷入此重新启动循环:

    Cisco Secure PIX Firewall BIOS (4.0) #0: 
    Thu Mar  2 22:59:20 PST 2000
    Platform PIX-515
    Flash=i28F640J5 @ 0x300
    
    Use BREAK or ESC to interrupt flash boot.
    Use SPACE to begin flash boot immediately.
    Reading 5063168 bytes of image from flash.   

    BIOS 版本早于 4.2 的 PIX 设备不能使用 copy tftp flash 命令进行升级。必须使用监控模式方法升级它们。

  • 当 PIX 运行 7.x 版本并重新启动后,它将陷入以下重新启动循环:

    Rebooting....
    
    Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar�2 22:59:20 PST 2000
    Platform PIX-515
    Flash=i28F640J5 @ 0x300
    
    Use BREAK or ESC to interrupt flash boot.
    Use SPACE to begin flash boot immediately.
    Reading 115200 bytes of image from flash.�
    
    PIX Flash Load Helper
    
    Initializing flashfs...
    flashfs[0]: 10 files, 4 directories
    flashfs[0]: 0 orphaned files, 0 orphaned directories
    flashfs[0]: Total bytes: 15998976
    flashfs[0]: Bytes used: 1975808
    flashfs[0]: Bytes available: 14023168
    flashfs[0]: Initialization complete.
    
    Unable to locate boot image configuration
    
    Booting first image in flash
    
    No bootable image in flash. Please download 
    an image from a network server in the monitor mode
    
    Failed to find an image to boot
    

    如果已从监控模式下将 PIX 升级到 7.0 版本,但在第一次引导 7.0 版本后未将 7.0 版本的映像重新复制到闪存中,则在重新加载 PIX 时,PIX 将陷入重新启动循环。

    解决方法是从监控模式再次加载映像。在启动 PIX 后,必须使用 copy tftp flash 方法重新复制一次映像。

错误消息

当您使用 copy tftp flash 方法升级时,将看到以下错误消息:

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? y
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Insufficient flash space available for this request:
Size info: request:5066808 current:1966136 delta:3100672 free:2752512
Image not installed
pixfirewall# 

在使用 copy tftp flash 方法升级已安装了 PDM 的 PIX 515 或 PIX 535 时,通常会出现此消息。

使用监控模式方法升级可以解决此问题。

配置似乎不正确

将 PIX 从 6.x 版本升级到 7.x 版本之后,某些配置不能正确迁移。

show startup-config errors 命令的输出显示在配置迁移期间出现的所有错误。在第一次引导 PIX 之后,这些错误将显示在此输出中。查看这些错误并尝试解决它们。

某些服务(例如 FTP)不工作

有时,某些服务(例如 FTP)在升级后不能正常工作。

在升级后,为启用对这些服务的检查。请启用对相应服务的检查。要执行此操作,请将这些服务添加到默认/全局检查策略,或为所需服务创建单独的检查策略。

有关检查策略的详细信息,请参阅 Cisco 安全设备命令行配置指南 7.0 版应用应用层协议检查部分。

无法访问互联网,当思科PIX安全工具用思科可适应安全工具(ASA)替换

请使用此部分,如果无法访问互联网,在您用思科可适应安全工具后(ASA)替换思科PIX安全工具。

当您拔掉从网络的PIX并且附加在网络的ASA用是相同的象PIX的外部接口的外部接口IP地址时,上游路由器仍然有PIX的MAC地址外部接口IP地址相应。结果,不能发送应答数据包回到ASA。为了ASA能工作,您必须清除在上游路由器的ARP条目,以便了解新/正确MAC地址项。如果驱赶出来ARP条目,当您计划用ASA时替换PIX,解决Internet连接问题。必须由在他们的末端的ISP完成ARP条目冲洗。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 91976