安全 : Cisco PIX 500 系列安全设备

升级 Cisco Secure PIX 防火墙和 PIX 设备管理器

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


注意:本文档介绍如何升级 PIX 500 系列安全设备上的软件。要下载 PIX 软件,请访问软件中心仅限注册用户)。您必须登录并签订有效服务合同才能访问 PIX 软件。


目录


简介

本文档说明如何升级 PIX 防火墙软件,以及如何升级 PIX Device Manager (PDM)。本文与从版本 4.x 到版本 6.3.x 的所有版本的 PIX 防火墙软件有关。

注意: 本文不涉及对版本 7.x 的升级。关于此内容的更多信息,请参见版本 7.x 的 Cisco Secure PIX 安全设备 7.x 和 ASDM 软件升级程序及自适应安全设备管理器 (ASDM)。

开始使用前

要求

尝试进行此配置之前,请确保满足以下要求:

  • 设置 TFTP 服务器

    在大多数情况下,PIX 安全设备软件升级需要使用 TFTP 服务器。Cisco 强烈建议您在升级之前将 PIX 配置备份到 TFTP 服务器中。发出 write net 命令,以备份您的配置。

    例如:

    pixfirewall# write net 10.1.1.10:pixconfig
    

    Cisco 不再提供用于下载的 TFTP 服务器,但是您能通过搜索引擎找到许多易用且免费的下载选择。

  • 收集必要信息

    为了确定哪种软件升级对您的 PIX 安全设备有用,请收集设备规格。有时,在升级程序期间需要持有 PIX 激活密钥。发出 show version 命令 以获得必要设备信息。

    例如:

    pixfirewall# show version
    
    Cisco PIX Firewall Version 6.3(4)
    Cisco PIX Device Manager Version 3.0(2)
    
    Compiled on Fri 02-Jul-04 00:07 by morlee
    
    pixfirewall up 29 mins 18 secs
    
    Hardware:   PIX-501, 16 MB RAM, CPU Am5x86 133 MHz
    Flash E28F640J3 @ 0x3000000, 8MB
    BIOS Flash E28F640J3 @ 0xfffd8000, 128KB
    
    0: ethernet0: address is 0015.2b95.f95c, irq 9
    1: ethernet1: address is 0015.2b95.f95e, irq 10
    Licensed Features:
    Failover:                    Disabled
    VPN-DES:                     Enabled
    VPN-3DES-AES:                Enabled
    Maximum Physical Interfaces: 2
    Maximum Interfaces:          2
    Cut-through Proxy:           Enabled
    Guards:                      Enabled
    URL-filtering:               Enabled
    Inside Hosts:                Unlimited
    Throughput:                  Unlimited
    IKE peers:                   10
    
    This PIX has a Restricted (R) license.
    
    Serial Number: 809324870 (0x303d5146)
    Running Activation Key: 0x96cb328a 0x15e9aeaf 0xddb832cf 0xb906199e 
    Configuration last modified by enable_15 at 07:52:05.707 UTC Tue Jul 11 2006

    另外,请务必阅读 Cisco PIX 500 系列安全设备文档中的 PIX 软件的相关发行版本注释。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • PIX 软件版本 4.4(x) - 2 MB 闪存、16 MB RAM

  • PIX 软件版本 5.0(x) - 2 MB 闪存、32 MB RAM

  • PIX 软件版本 5.1(x) - 2 MB 闪存、32 MB RAM

  • PIX 软件版本 5.2(x) - 8 MB 闪存、32 MB RAM

  • PIX 软件版本 5.3(x) - 8 MB 闪存、32 MB RAM

  • PIX 软件版本 6.0(x) - 8 MB 闪存、32 MB RAM

  • PIX 软件版本 6.1(x) - 8 MB 闪存、32 MB RAM

  • PIX 软件版本 6.2(x) - 8 MB 闪存、32 MB RAM

  • PIX软件版本6.3(x) - 32 MB RAM (除了要求16 MB RAM的Cisco PIX 501安全工具),16 MB闪存(除了要求8 MB闪存的Cisco PIX 501,506和506E安全工具型号)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

确定您的升级程序

请在此表中查找您的 PIX 防火墙型号和当前软件版本。然后,请选择链接,以查看如何升级 PIX 防火墙的说明。

  当前 PIX 软件版本
PIX 模型 4.4(x) 及更早版本、5.0(x) 5.1(x) 5.2(x) 5.3(x) 6.0(x) 6.1(x)、6.2(x)、6.3(x)
PIX Classic 启动帮助 copy tftp flash copy tftp flash copy tftp flash 下马 下马
PIX 10000 启动帮助 copy tftp flash copy tftp flash copy tftp flash 下马 下马
PIX 501 不适用 不适用 不适用 不适用 不适用 copy tftp flash
PIX 506 不适用 copy tftp flash copy tftp flash copy tftp flash copy tftp flash copy tftp flash
PIX 510 启动帮助 copy tftp flash copy tftp flash copy tftp flash 下马 下马
PIX 515 监视器 copy tftp flash copy tftp flash copy tftp flash copy tftp flash copy tftp flash
PIX 520 启动帮助 copy tftp flash copy tftp flash copy tftp flash copy tftp flash copy tftp flash
PIX 525 不适用 不适用 copy tftp flash copy tftp flash copy tftp flash copy tftp flash
PIX 535 不适用 不适用 不适用 copy tftp flash copy tftp flash copy tftp flash

注意: PIX Firewall Classic、10000 和 510 已停产,不能运行 PIX 防火墙软件 6.0 版或更高版本。如果您有 PIX Classic、10000 或 510,且想要运行 PIX 防火墙软件 6.0 版或更高版本,请联系您的本地 Cisco 销售团队或代理商购买较新的 PIX 防火墙。

下载软件

PIX Security Appliance 软件只供给有 CCO 帐户和相关的服务合同的用户。请访问软件中心仅限注册用户)下载 PIX 软件。您必须登录以访问 PIX 软件。

从 4.x.x 或 5.0.x 版的 PIX 防火墙升级

有软驱的设备

这些步骤仅适用于有软驱的 PIX 设备。具体而言,这组步骤仅限于 PIX Classic、10000、510 及 520。

完成这些步骤以在 Windows 中创建引导盘:

  1. 前往PIX 软件下载页仅限注册用户)并且下载 rawrite.exe 实用工具。请使用此工具将软盘上的 PIX 二进制镜像写入软盘中。

  2. 下载与您要升级的软件版本对应的 PIX 二进制镜像(.bin 文件)。PIX镜像文件名在pixnnx.bin格式, nnis版本号和x版本号。

    示例:文件 pix611.bin 用于版本为 6.1.1 的 PIX 软件。

  3. 如果需要升级到版本 5.2 或更高版本的 PIX 软件,您还需要下载对应的启动助手二进制文件。

    示例:如果您将 PIX 软件版本从 4.4(8) 升级到 6.1(1),您必须下载这三个文件:

    • rawrite.exe

    • pix611.bin

    • bh61.bin

  4. 找出一张不包含任何文件的、以 IBM 格式进行格式化的高密度磁盘。

    注意: 请勿使用在采购原始 PIX 防火墙时附带的 PIX 防火墙引导盘。如果您选择重新安装原始版本,您需要将此磁盘用于系统恢复。rawrite.exe 程序删除磁盘上的所有文件。

    如果在 Windows 下格式化磁盘,请选择全面格式化而非快速格式化。快速格式化不足以准备用于 rawrite 的磁盘。格式化磁盘的最佳方法是从 Ms-dos 命令提示符执行。发出 format a:命令,其中 a 是磁盘所在软驱的盘符。

  5. 将空白磁盘置于您的计算机的软驱中,并启动 DOS 提示符。更改目录到您保存 rawrite.exe 工具和 PIX 文件的位置。

  6. 运行 rawrite.exe 程序。为了执行此,发出rawritecommand在DOS提示符。出现提示时,键入您想要写入软盘的文件名。

    注意: 如果您需要升级到 PIX 软件 5.1 版本或更早版本,那么请指定 PIX 镜像自身的文件。格式是 pixnnx.bin.如果您需要将 PIX 升级到 5.2 版或更高版本,请指定 PIX 启动助手文件,格式为 bhnn.bin

    示例:从 Windows 创建引导盘。

    C:\>rawrite
    RaWrite 1.2 - Write disk file to raw floppy diskette  
    Enter source file name: bh61.bin
    Enter destination drive: a: 
    Please insert a formatted diskette into drive A: and press -ENTER- : 
    Number of sectors per track for this disk is 18. 
    Writing image to drive A:. Press ^C to abort. 
    Track: 11 Head: 1 Sector: 16 
    Done.
    C:\>0
  7. 一旦 rawrite 程序完成,拔出磁盘并将它插入 PIX 防火墙磁盘驱动器。执行这些操作之一,从磁盘上的镜像进行 PIX 引导。

    • 为 PIX 重新通电。

    • 使用 PIX 的复位开关。

    • 从 PIX 控制台发出 reload 命令

  8. 当 PIX 完成重新启动时,请执行列出的适当步骤:

    • 如果您要将 PIX 软件升级到 5.1 或更早版本,从驱动中去除软盘,即可完成操作。

    • 如果您需要将 PIX 软件升级到版本 5.2 或以上,那么当您载入软盘上的启动助手程序时, PIX 将在启动助手模式出现。前进到本文档中的 “从启动助手或监控模式升级 PIX 防火墙”部分以完成升级。

没有软驱(监控模式)的设备

没有内部软驱的 PIX 设备,和用于升级 PIX 防火墙镜像的 ROM 启动监控程序可以结合使用。完成这些步骤以在无软驱的情况下,进入设备的监控模式:

  1. 重新通电或重新加载 PIX。在启动过程中,会提示您使用 BREAK 或 ESC 中断闪存启动。您有十秒的时间可中断正常引导进程。

  2. ESC 键或发送 BREAK 字符,以便进入监控模式。

    • 如果使用 Windows HyperTerminal,您可以按 ESC 键或通过按 Ctrl+Break 键发送 BREAK 字符。

    • 如果使用 Telnet 通过终端服务器访问 PIX 的控制台端口,则需要按 Ctrl ] 才能到达 Telnet 命令提示符下。然后输入 send break 命令。

  3. 此时将显示 monitor> 提示符。

  4. 前进到本文档中的 “从启动助手或监控模式升级 PIX 防火墙”部分

从启动助手或监控模式升级 PIX 防火墙

注意: 在您进行下列步骤之前,请确保您遵守针对带有软驱的安全设备或不带有软驱的安全设备的部分提供的说明。

如果您想将 PIX 防火墙版本 5.0.x 或更早版本升级到版本 5.1.x 或更高版本,您必须使用启动助手或监控模式方法来进行升级。这是因为在版本 5.1 以前,PIX 防火墙软件无法通过 TFTP 将镜像直接提供给闪存。要升级带有或不带有软驱的 PIX 安全设备,请遵循下列步骤:

  1. 将 PIX 防火墙的二进制镜像 (pixnnn.bin) 复制到 TFTP 服务器的根目录。

  2. 对于 PIX Classic、10000、510 及 520s,请确保您已经使用“创建引导盘”程序。使用与您需要升级到的 PIX 镜像最接近的启动助手文件。从启动助手软盘启动 PIX,以进入启动助手模式。

    所有其他 PIX 设备 (501、506、515、525 和 535) 都不包含软驱。相反,它们具有内部引导监控模式。关于如何进入 PIX 501、506、515、525 或 535 的监控模式,请参考本文档说明。

    一旦进入监控或启动助手模式,您即可使用 键来查看可用选项的列表。

  3. 发出 interface number 命令interface 命令指定 TFTP 服务器进行外部连接所用的 PIX 接口。默认值为接口 1(内部)。

    注意: PIX 不能从监控或启动助手模式初始化千兆以太网接口。请使用快速以太网或令牌环接口替代。

  4. 发出 address pix_interface_ip_address 命令address 命令指定 PIX 单元接口的 IP 地址。

  5. 发出 server tftp_server_ip_address 命令server 命令指定 TFTP 服务器的 IP 地址。

  6. 发出 file filename 命令。file 命令指定 PIX 防火墙镜像的文件名。

  7. 发出 ping tftp_server_ip_address 命令。ping 服务器,以验证可访问性。如果此命令失效,检查您的服务器和 PIX 的电缆、IP 地址以及网关的 IP 地址(若需要)。必须在 ping 成功之后才能继续。

    注意: 发出 gateway 命令以指定访问服务器所通过的路由器网关的 IP 地址:

    gateway ip_address of the gateway interface
    
    
  8. 发出 tftp 命令以开始从 TFTP 服务器下载镜像。

  9. 在下载镜像以后,将提示您安装新镜像。输入 y 将镜像安装至闪存。

  10. 提示您输入新的激活密钥时,如果您想要输入新的激活密钥,则输入 y;或者,如果要保持您的现有激活密钥,则输入 n。请参阅本文档的“升级激活密钥”部分,获得关于激活密钥和如何获取新密钥的更多信息。

  11. 如果使用启动助手模式,将提示您移除启动助手磁盘。在 PIX 自动重新启动前,您有三十秒时间移除磁盘。现在请移除磁盘。一旦 PIX 重新启动,它将从闪存读取新映像。

    升级进程完成。

    一旦 PIX 升级到 5.1 或更高版本,便不再需要使用软盘将新的镜像加载到 PIX。在 PIX 软件 5.1 版及更高版本中,copy tftp flash 命令允许您从 TFTP 服务器把您的新 PIX 镜像直接从 TFTP 传输到 PIX。请参见 PIX 命令参考获得进一步的详细信息。

示例 - 从启动助手或监控模式升级 PIX 防火墙

monitor>interface 1 
0: i8255X @ PCI(bus:0 dev:14 irq:10) 
1: i8255X @ PCI(bus:0 dev:13 irq:11) 

Using 1: i82557 @ PCI(bus:0 dev:13 irq:11), MAC: 0002.b945.a23c 
monitor>address 172.18.124.154 
address 172.18.124.154 
monitor>server 172.18.125.3 
server 172.18.125.3 
monitor>file pix611.bin 
file pix611.bin 
monitor>ping 172.18.125.3 
Sending 5, 100-byte 0xcde2 ICMP Echoes to 172.18.125.3, timeout is 4 seconds: 
!!!!! 
Success rate is 100 percent (5/5) 
monitor>tftp 
tftp pix611.bin@172.18.125.3.......................................... 
Received 2562048 bytes 

Cisco Secure PIX Firewall admin loader (3.0) #0: Tue Dec  517:35:46 PST 2000 
System Flash=E28F128J3 @ 0xfff00000 
BIOS Flash=am29f400b @ 0xd8000 
Flash version 6.1.1, Install version 6.1.1 
Do you wish to copy the install image into flash? [n] y 

Installing to flash 

Serial Number: 480380761 (0x1ca20759) 
Activation Key: 760754d0 39f62229 a4a0245f b5b87e80 

Do you want to enter a new activation key? [n] n 
Writing 2469944 bytes image into flash... 

从 5.1.1 或更高版本的 PIX 防火墙升级

如果 PIX 安全设施运行的 PIX 软件版本为 5.1.1 或更高版本,您可以使用 copy tftp flash 命令利用 TFTP 下载软件镜像。copy tftp flash 命令可以与运行 PIX 软件 5.1.1 版或更高版本的所有型号的 PIX 防火墙共同使用。您下载的镜像可供 PIX 下次重新载入(重新启动)使用。请参见 PIX 命令参考了解关于此命令的更多信息。

使用 copy tftp flash 指令更新 PIX

完成以下步骤,以使用 copy tftp flash 命令升级 PIX。

  1. 将 PIX 防火墙的二进制镜像 (pixnnn.bin) 复制到 TFTP 服务器的根目录。

  2. 在 PIX 提示符下,发出 copy tftp flash 命令

  3. 输入远程主机 IP 地址。

  4. 输入 PIX 二进制文件名(具有 pixnnn.bin 名称格式)。

  5. 键入 yes

示例 - 用 copy tftp flash 命令升级 PIX 防火墙

pixfirewall#copy tftp flash 
Address or name of remote host [127.0.0.1]? 172.18.125.3 
Source file name [cdisk]?pix611.bin 
copying tftp://172.18.125.3/pix611.bin to flash
[yes|no|again]?yes 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
Received 2562048 bytes. 
Erasing current image. 
Writing 2469944 bytes of image. 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
Image installed. 
pixfirewall# 

在最短的停机时间内升级故障切换集中的 PIX 设备

若要使用此程序,PIX 设备运行的 PIX 软件版本必须为 5.1.x 或以上。这些指令对于能够在故障切换设置中运行的所有PIX设备有效。参考“故障切换如何在 Cisco Secure PIX 防火墙中工作”了解关于故障切换的更多信息。

列出二个不同的选项帮助您在最短停机时间内升级 PIX。第一个选项是升级您的故障切换集的最安全方式。如果在升级进程中出现了任何故障,您始终有一部可以操作的 PIX 传递您的网络流量。第二个选项更加简单,但是风险更大。加载在 PIX 设备上的新镜像有可能存在以某种方式被损坏的风险。显示两个选项,以便您可以选择您的特定网络的最佳方法。

注意: 如果要将故障切换集从 6.x 升级到 7.x,请参见Cisco Secure PIX 安全设备 7.x 和 ASDM 软件升级程序中的“升级在故障切换集中的 PIX 设备”部分。

第 1 项

这是升级故障切换集的更安全方式:

  1. 将 PIX 防火墙的二进制镜像 (pixnnn.bin) 复制到 TFTP 服务器的根目录。

  2. 关闭主设备电源(这将激活备用设备)。

  3. 切断主设备上的所有电缆(包括故障切换电缆)。

  4. 打开主设备电源,并在其上附加带有 TFTP 服务器的 PC。

  5. 发出 copy tftp flash 命令以升级主设备。

  6. 重新启动主设备,并验证新版本和配置。

  7. 关闭主设备电源。

  8. 重新将所有电缆接回主设备。

  9. 快速关闭备用设备电源,然后立即打开主设备电源。

    注意: 主设备启动时会停机一段时间。

    一旦启动主设备,它将被激活并传送流量。

  10. 对备用 PIX 重复步骤 2 到 7

  11. 打开备用设备电源。它处于待机状态。

  12. 两个 PIX 设备当前运行的是升级后的版本,并恢复正常运行。

第 2 项

这是升级故障切换集的更快方式:

  1. 将 PIX 防火墙的二进制镜像 (pixnnn.bin) 复制到 TFTP 服务器的根目录。

  2. 发出 copy tftp flash 命令以将新的 PIX 镜像复制到主 PIX。

  3. 发出 copy tftp flash 命令以将新的 PIX 镜像复制到备用 PIX。

  4. 关闭两个 PIX 设备的电源。

  5. 打开主 PIX 的电源。

  6. 等待十秒。这可以确保主 PIX 成为活动 PIX。

  7. 打开备用 PIX 电源。它处于待机状态。

  8. 两个 PIX 设备当前运行的是升级后的版本,并恢复正常运行。

从有故障升级恢复

当将 PIX 软件版本从 6.x 升级到 6.x,且最后升级出现故障的情况下,为了恢复 PIX,请完成这些步骤:

  1. 如前述注释,在您尝试此步骤前,请务必记下您的激活密钥。

  2. 遵照启动 PIX 的监控模式的步骤。

  3. 使用TFTP,按照从监控模式升级 PIX 的步骤载入 erasedisk.bin 文件。您需要从 Cisco 技术支持部门获得此文件。

  4. 当系统重新启动时,重新启动 PIX 的监控模式。

  5. 使用TFTP,按照从监控模式升级 PIX 的方法的步骤,在 PIX 中加载新的 6.x 版本文件。

升级激活密钥

由于以下原因,您可能需要升级 PIX 的激活密钥:

  • PIX 当前没有启用 VPN-DES 或 VPN-3DES 加密。

    注意: 为了利用 PDM 管理 PIX,必须启用 VPN-DES 加密当注册用户填写 PIX 56 位许可证升级密钥表时,他们能得到一个免费的 56 位 VPN-DES 激活密钥。完成 Cisco ASA 3DES/AES 许可证注册获得 3DES/AES 密钥。

  • PIX 当前没有激活故障切换。

  • 从基于连接的许可证升级到基于功能的许可证。

如果您的情况属于这些情况之一,并得到了一个新的 PIX 激活密钥,下一个步骤就是连接到您的 PIX,发出 show version 命令,并将输出保存到文本文件中。show version 命令的输出包含您的现有版本、序列号和激活密钥。如果有与升级激活密钥相关的任何问题,您将需要此信息。

PIX 激活密钥根据 PIX 的序列号得出,因此每个 PIX 的激活密钥都是唯一的。激活密钥告诉 PIX 获得许可的功能。您的 PIX 序列号保存在闪存中。如果替换您的 PIX 中的闪存卡,那么您的 PIX 会包含一个新序列号(与在包装盒外部贴纸上显示的号码不同)。请总是使用在 show version 命令的输出中显示的序列号。

注意: 您必须手工输入激活密钥。请勿使用复制和粘贴,这样做可能导致错误,使激活密钥失效。

注意: 以 4 或 8 开头的 9 位序列号应添加额外的数字 4 或 8,以使序列号成为 11 位数字。 例如,编号 4xxxxxxxx 在激活密钥中表现为 444xxxxxxxx。同样,以 8 开头的编号要求您再添加两个 8。

运行 6.1 和更早版本的 PIX 设备

如果 PIX 正在运行版本 6.1 或更早版本,请依照“从启动帮助或监控模式升级 PIX 防火墙”中的说明。在步骤 10,将提示您输入新激活密钥。

运行版本 6.2 和 6.3 的 PIX 设备

如果 PIX 当前运行版本为 6.2 或 6.3,请发出activation-key 命令以更改您的激活密钥。有关详细信息,请参阅 PIX 命令参考

示例:升级运行版本 6.2 或 6.3 的 PIX 的激活密钥

pixfirewall(config)#activation-key 54bf4b80 b7237e20 05022c63 f09e3302 
Updating flash...Done. 
Serial Number: 480490644 (0x1ca3b494) 

Flash Activation Key: 0x54bf4b80 0xb7237e20 0x05022c63 0xf09e3302 
Licensed Features: 
Failover:           Enabled 
VPN-DES:            Enabled 
VPN-3DES:           Enabled 
Maximum Interfaces: 10 
Cut-through Proxy:  Enabled 
Guards:             Enabled 
URL-filtering:      Enabled 
Inside Hosts:       Unlimited 
Throughput:         Unlimited 
IKE peers:          Unlimited 

The flash activation key has been modified. 
The flash activation key is now DIFFERENT from the running key. 
The flash activation key will be used when the unit is reloaded. 
pixfirewall(config)# 
pixfirewall(config)#reload

升级 PIX Device Manager

PDM 升级程序与进行新的安装使用的程序相同。欲知详细指令,请参见PDM产品文档中的适当版本安装指南。

获得有效服务合同

必须具有有效服务合同才能下载 PIX 软件。为了获得服务合同,请执行以下步骤:

  • 如果您有直接采购协议,请与您的 Cisco 客户团队联系。

  • 联系 Cisco 合作伙伴或经销商购买服务协议。

  • 使用配置文件管理器更新您的 Cisco.com 配置文件并请求与某个服务协议关联。

排除故障

问题:升级之后,当 PIX 重新启动时用户收到 Cannot select private key 错误消息。

措施/解决方案重新生成 SSH 的 rsa 密钥:

ca zero rsa
ca generate rsa key 1024
ca save all

write mem
reload

关于生成 SSH 密钥的更多信息,请参见 PIX/ASA 7.x :内外接口上的 SSH 配置示例

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 4801