安全 : Cisco ASA 5500 系列自适应安全设备

ASA/PIX:如何使用CLI在故障切换对上升级软件镜像

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文描述如何使用CLI为了升级在Cisco ASA 5500系列自适应安全设备故障切换对的软件镜像。

注意: 可适应安全设备管理器(ASDM)不工作,如果直接地升级(或降级)从7.0的安全工具软件到7.2或直接地升级(或降级)从5.0的ASDM软件到5.2。您必须按递增顺序升级(或降级)。

关于如何升级ASDM和软件镜像的更多信息在ASA,参考PIX/ASA :使用ASDM或CLI升级软件镜像配置示例

注意: 在multicontext模式,您不能使用copy tftp flash命令到升级或降级PIX/ASA镜像在所有上下文;仅在 System Exec 模式下支持此操作。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco可适应安全工具(ASA)有版本7.0和以上的

  • Cisco ASDM版本5.0和以上

注意: 参考允许HTTPS访问ASDM关于如何允许ASDM将配置的ASA的信息。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

此配置还可与 Cisco PIX 500 系列安全设备软件版本 7.0 及更高版本配合使用。

规则

关于文件规则的信息,请参见Cisco技术提示规则

配置

执行故障切换对的零停机时间升级

两个单元在故障切换配置里应该有同一个主要(第一个数字)和较小(第二个数字)软件版本。然而,您不需要在升级进程中维护在单元的版本奇偶校验;您能有在软件运行的不同的版本在每个单元和仍然维护故障切换支持。为了保证长期兼容性和稳定性,思科建议您尽快升级两个单元对同一个版本。

有可用的升级的3种类型。这些关键字如下:

  1. 维护版—您能从所有维护版升级到在次要版本内的其他维护版。例如,您能升级从7.0(1)到7.0(4),无需中间首先安装维护版。

  2. 次要版本—您能从次要版本升级到下个次要版本。您不能跳过次要版本。例如,您能升级从7.0到7.1。升级从7.0直接地到7.2不为零停机时间升级支持;您必须首先升级到7.1

  3. 主要版本—您能从以前版本的最后次要版本升级到下个主要版本。例如,您能升级从7.9到8.0,假设, 7.9是在7.x版本的最后次要版本。

升级活动/等待故障切换配置

完成这些步骤为了升级两个单元在一个活动/等待故障切换配置里:

  1. 下载新的软件到两个单元,并且指定新的镜像用boot system命令装载。

    使用CLI欲知更多信息,参考升级软件镜像和ASDM镜像

  2. 重新加载备用装置由输入故障切换重新加载待机on命令启动新的镜像活动装置如下所示的:

    active#failover reload-standby
    
  3. 当备用装置完成重新加载并且在暂挂READY状态时,请强制活动装置故障切换到备用装置通过输入no failover active命令在活动装置。

    active#no failover active
    

    注意: 请使用show failover命令为了验证备用装置在暂挂READY状态。

  4. 通过输入reload命令重新加载前面的活动装置(当前新的备用装置) :

    newstandby#reload
    
  5. 当新的备用装置完成重新加载并且在暂挂READY状态时,请返回原始活动装置对有效状态通过输入failover active命令

    newstandby#failover active
    

这完成升级活动/等待故障切换对进程。

升级主动/主动故障切换配置

完成这些步骤为了升级两个单元在一个主动/主动故障切换配置里:

  1. 下载新的软件到两个单元,并且指定新的镜像用boot system命令装载。

    使用CLI欲知更多信息,参考升级软件镜像和ASDM镜像

  2. 做两故障切换组激活在主单元通过输入failover active命令在主单元的系统最多执行空间:

    primary#failover active
    
  3. 重新加载备用单元通过输入故障切换重新加载待机in命令启动新的镜像主单元的系统最多执行空间:

    primary#failover reload-standby
    
  4. 当备用单元完成时重新加载和两故障切换组在该单元的暂挂READY状态,做两故障切换组激活在备用单元使用no failover active命令在主单元的系统最多执行空间:

    primary#no failover active
    

    注意: 请使用show failover命令为了验证两故障切换组在备用单元的暂挂READY状态。

  5. 使用reload命令,确保两故障切换组在主单元的暂挂READY状态,然后重新加载主单元:

    primary#reload
    
  6. 如果故障切换组用优先占用命令配置,他们将自动地变得激活在他们的指定单元,在优先占用延迟通过后。如果故障切换组没有用优先占用命令配置,您能返回他们到在他们的指定单元的有效状态使用group命令故障切换的激活

故障排除

%ASA-5-720012 :(VPN第二)失败更新在备用装置(或) %ASA-6-720012的IPSec故障切换运行时数据:(VPN单元)失败更新在备用装置的IPsec故障切换运行时数据

问题

这些错误消息之一出现,当您设法升级思科可适应安全工具(ASA) :

%ASA-5-720012 :(VPN第二)失败更新在备用装置的IPSec故障切换运行时数据。

%ASA-6-720012 :(VPN单元)失败更新在备用装置的IPsec故障切换运行时数据。

解决方案

这些错误消息是情报错误。消息不影响ASA或VPN的功能。

这些消息出现,当VPN故障切换子系统不能更新IPSec相关的运行时数据时,因为对应的IPSec隧道在备用装置删除。为了解决这些,请运行wr standby命令在活动装置。

归档两个Bug寻址此行为;您能升级到这些Bug修复ASA的软件版本。参考Cisco Bug ID CSCtj58420 (仅限注册用户)和CSCtn56517 (仅限注册用户)欲知更多信息。


相关信息


Document ID: 111867