Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

Guía de usuario para la actualización de las versiones 6.2 y 6.3 de Cisco PIX a la versión 7.0 del software Cisco PIX

25 Agosto 2008 - Traducción manual
Otras Versiones: Comentarios

Contenidos

Guía de usuario para la actualización de las versiones 6.2 y 6.3 de Cico PIX a la versión 7.0 del software del dispositivo de seguridad de Cisco

Notas importantes

Información general

Breve descripción general

Comandos cambiados y no aprobados

Características nuevas

Características y comandos cambiados y no aprobados

Procesador de comandos de la CLI

Comandos conduit y outbound

Comandos fixup e inspect

Interfaces

Listas de control de acceso (ACL)

VPN

Failover (Migración tras error)

AAA

Administración

OSPF (Abrir la ruta más corta en primer lugar)

Protocolo de control de puerta de enlace de medios (MGCP)

Multicast (multidifusión)

NAT

Infraestructura de claves públicas (PKI)

Miscelánea

Cambios en las licencias

Requisitos previos a la actualización

Requisitos mínimos de hardware

Requisitos mínimos de software

Requisitos mínimos de memoria

Requisitos del sistema operativo y del explorador de la PC cliente

Requisitos mínimos de conectividad

Procedimiento de actualización

Notas importantes

Procedimiento básico de actualización

Actualización en modo monitor

Ejemplos de actualización

Actualización básica de la versión 6.3 de PIX a la versión  7.0 del dispositivo de seguridad

Actualización a un cliente VPN con acceso remoto

Actualización a la versión 7.0 del dispositivo de seguridad mediante una VLAN

Actualización a la versión 7.0 del dispositivo de seguridad con voz sobre IP

Actualización a la versión 7.0 del dispositivo de seguridad con autenticación

Actualización a la versión 7.0 del dispositivo de seguridad con migración tras error de unidad activa a unidad en espera

Actualización a la versión 7.0 del dispositivo de seguridad con comandos conduit

Cambios y eliminaciones de syslog (mensajes de registro del sistema)

Mensajes de syslog cambiados

Mensajes de syslog eliminados

Procedimiento de retorno a una versión anterior

Pautas para realizar el retorno a una versión anterior

Procedimiento de retorno a una versión anterior

Ejemplos de configuración

Obtención de documentación

Cisco.com

DVD de documentación de productos

Solicitud de documentación

Comentarios sobre la documentación

Información general sobre la seguridad de los productos de Cisco

Notificación de problemas de seguridad en los productos de Cisco

Obtención de asistencia técnica

Sitio Web de Soporte técnico y documentación de Cisco

Envío de una solicitud de servicio

Definiciones de gravedad para las solicitudes de servicio

Obtención de publicaciones e información adicionales


Guía de usuario para la actualización de las versiones 6.2 y 6.3 de Cico PIX a la versión 7.0 del software del dispositivo de seguridad de Cisco


Esta guía describe cómo realizar la actualización de la versión 6.3 o 6.2 de Cisco PIX a la versión 7.0 del dispositivo de seguridad PIX de Cisco. La actualización a la versión 7.0 del dispositivo de seguridad PIX de Cisco no suele presentar problemas y requiere pocas intervenciones manuales. Esta guía describe detalladamente las características y comandos que han sido cambiados y no aprobados. Asimismo, se incluyen ejemplos de estos cambios. En esta guía se introducen brevemente las nuevas características agregadas a la versión 7.0 del dispositivo de seguridad PIX de Cisco.

El documento se dirige a administradores de dispositivos de seguridad mediante descripciones de los comandos y características de la CLI; así como la puesta en práctica de la configuración de PIX.

Notas importantes


Precaución Debe revisar las secciones "Requisitos previos a la actualización" y "Procedimiento de actualización" de esta guía antes de descargar la versión  7.0 del software del dispositivo de seguridad PIX en su dispositivo de seguridad. En caso contrario, se pueden producir errores durante la instalación.

La versión 7.0 del dispositivo de seguridad PIX se ejecuta en PIX 515/515E, PIX 525 y PIX 535, pero actualmente no es compatible en las plataformas PIX 501 o PIX 506/506E.

Los sistemas PIX 515/515E entregados antes de disponer de la versión 7.0 completa del dispositivo de seguridad PIX exigen una actualización de la memoria. Consulte la sección "Requisitos mínimos de memoria" para obtener más información.

Compartir una interfaz Stateful Failover con una interfaz de firewall normal no es una configuración compatible en la versión 7.0 del dispositivo de seguridad PIX. Esta restricción se aplicó también a la versión 6.3 de PIX y a versiones anteriores; sin embargo, no era un requisito del software. Es un requisito en la versión 7.0 del dispositivo de seguridad PIX. Si no tiene una interfaz dedicada para el enlace Stateful Failover, debe cambiar manualmente la configuración de su versión 6.3 de PIX antes de actualizar a la versión 7.0 del dispositivo de seguridad PIX. De lo contrario, se producirán errores durante la actualización de la configuración realizada por la versión 7.0 del dispositivo de seguridad PIX. Consulte la sección "Failover".

Usar la utilidad npdisk de la versión 6.3 de PIX, como la recuperación de contraseñas, dañará la imagen de la versión  7.0 del dispositivo de seguridad PIX y le solicitará reiniciar el sistema en modo monitor; además, puede perder la configuración anterior, el núcleo de seguridad e información esencial. Consulte la sección "Actualización en modo monitor".

A menos que se indique lo contrario, todas las referencias de esta guía que se aplican a la versión 6.3 de PIX, sirven también para la versión 6.2.

Esta guía incluye las siguientes secciones:

Información general

Características nuevas

Características y comandos cambiados y no aprobados

Comandos conduit y outbound

Comandos fixup e inspect

Interfaces

Listas de control de acceso (ACL)

VPN

Failover (Migración tras error)

AAA

Administración

OSPF (Abrir la ruta más corta en primer lugar)

Protocolo de control de puerta de enlace de medios (MGCP)

Multicast (multidifusión)

NAT

Infraestructura de claves públicas (PKI)

Miscelánea

Cambios en las licencias

Requisitos previos a la actualización

Procedimiento de actualización

Ejemplos de actualización

Cambios y eliminaciones de syslog (mensajes de registro del sistema)

Obtención de más información

Obtención de documentación

Comentarios sobre la documentación

Información general de la seguridad de los productos de Cisco

Obtención de asistencia técnica

Obtención de publicaciones e información adicionales

Información general

Como resultado de las amplias mejoras realizadas en la versión 7.0 del dispositivo de seguridad PIX, se han cambiado o no se han aprobado una serie de comandos existentes de la CLI (consulte la tabla 1). La versión 7.0 del dispositivo de seguridad PIX también incluye alrededor de 50 características nuevas, enumeradas en la sección "Características nuevas" y descritas con mayor detalle en otros documentos de la versión 7.0 del dispositivo de seguridad PIX.

Los comandos que no se han aprobado se convierten normalmente a la sintaxis nueva de forma automática. La versión 7.0 del dispositivo de seguridad PIX sólo aceptará los comandos nuevos; en caso de utilizar los comandos anteriores se producirá un error de sintaxis.

Breve descripción general

Entre los cambios destacables realizados en la versión 7.0 del dispositivo de seguridad PIX se incluyen:

Requisitos mínimos de memoria nuevos para los dispositivos PIX 515/515E (consulte la sección "Procedimiento de actualización").

El comando fixup no se ha aprobado y se ha reemplazado por el comando inspect. (consulte la sección "Comandos fixup e inspect").

Los comandos outbound y conduit ya no son compatibles (consulte la sección "Comandos conduit y outbound").

Las operaciones de los comandos no, clear y show han cambiado significativamente (consulte la sección "Procesador de comandos de la CLI").

No se deberán volver a compilar listas de acceso, lo que afecta a los comandos access-list <id> compiled, access-list compiled (consulte la sección "Listas de control de acceso (ACL)").

El comando aaa-server ha agregado dos modos nuevos de configuración: key y timeout (consulte la sección "AAA").

El comando interface y los comandos isakmp, crypto-map y vpngroup se han mejorado gracias a una estructura jerárquica nueva (consulte las secciones "Interfaces" y "VPN").

El comando failover (Migración tras error) se ha cambiado para aportar mayor uniformidad al mismo (consultar la sección "Failover" (Migración tras error)).

Comandos como AAA, se han cambiado para lograr la configuración de parámetros más específicos (consulte la sección "AAA").

El comando mgcp se ha incluido dentro del comando mgcp-map (consulte la sección "Protocolo de control de puerta de enlace de medios (MGCP)").

El comando copy se aplica a la herramienta de sistema de archivos Flash; la sintaxis ha cambiado, con las opciones de copy ahora al inicio del comando en lugar de al final (consulte la sección "Administración").

Se han introducido modos de configuración al comando interface, con los parámetros específicos de interfaz OSPF configurados ahora en modo de configuración interface (consulte la sección "OSPF (Abrir la ruta más corta en primer lugar)").

Los comandos de multidifusión se han cambiado para adaptar el modo disperso de PIM (PIM-SM) y alinear las implementaciones de multidifusión de la versión 7.0 del dispositivo de seguridad PIX y el software Cisco IOS (consulte la sección "Multicast (multidifusión)").

La postura predeterminada NAT de la versión 7.0 del dispositivo de seguridad PIX permite crear hosts en interfaces de alta seguridad para comunicarse con interfaces de seguridad baja sin configurar NAT. El comando nat-control se ha agregado para conservar los requisitos NAT existentes de la versión 6.3 de PIX y se implementará de forma predeterminada en los sistemas que se actualicen a la versión 7.0 del dispositivo de seguridad PIX. Mediante el comando no nat-control se restablecerá la postura predeterminada de la versión 7.0 del dispositivo de seguridad PIX (consulte la sección "NAT").

Algunas de las palabras clave del comando established no se han aprobado. Asimismo, se han introducido cambios en el comando sysopt. En la versión 7.0 del dispositivo de seguridad PIX, el comando flashfs no es compatible. En la versión 6.3 de PIX, la opción 19 de TCP que utilizaba BGP MD5 se permitía automáticamente, pero en la versión 7.0 del dispositivo de seguridad PIX se requiere una configuración adicional (consulte la sección "Miscelánea").

La conclusión del comando y el modo de navegación han cambiado.

Comandos cambiados y no aprobados

La mayoría de las características y comandos cambiados y no aprobados se convertirán automáticamente cuando la versión 7.0 del dispositivo de seguridad PIX se inicie en el sistema, con una necesidad mínima de intervenir manualmente antes o durante la actualización. Consulte la sección "Características y comandos cambiados y no aprobados" para obtener más detalles.

La tabla 1 enumera los comandos necesarios para las conversiones automáticas y manuales.

Tabla 1 Información general de los comandos cambiados 

Comando/descripción
Breve descripción
Para más información

aaa-server

Cambiado

AAA

aaa-server radius-authport

Cambiado

AAA

aaa-server radius-acctport

Cambiado

AAA

auth-prompt

Cambiado

AAA

access-list compiled

No aprobado

Listas de control de acceso (ACL)

access-list <id> compiled

No aprobado

Listas de control de acceso (ACL)

ca

Cambiado

Infraestructura de claves públicas (PKI)

ca generate/ca zeroize

No aprobado

Infraestructura de claves públicas (PKI)

ca identity/ca configure

No aprobado

Infraestructura de claves públicas (PKI)

ca authenticate

No aprobado

Infraestructura de claves públicas (PKI)

ca enroll

No aprobado

Infraestructura de claves públicas (PKI)

ca crl

No aprobado

Infraestructura de claves públicas (PKI)

ca subject-name

No aprobado

Infraestructura de claves públicas (PKI)

ca save all

No aprobado

Infraestructura de claves públicas (PKI)

ca verifycertdn

No aprobado

Infraestructura de claves públicas (PKI)

conduit

No aprobado

Comandos conduit y outbound

copy capture

Cambiado

Administración

crashinfo

Cambiado

Administración

crypto dynamic-map

Cambiado

VPN

crypto ipsec

Cambiado

VPN

crypto-map

Cambiado

VPN

dhcpd auto_config

Cambiado

Administración

dúplex

Cambiado por un comando interface de modo de configuración nuevo

Interfaces

established

Cambiado

Miscelánea

failover (Migración tras error)

Cambiado

Failover (Migración tras error)

fixup

Cambiado por el comando inspect

Comandos fixup e inspect

flashfs

No compatibles

Miscelánea

floodguard

No aprobado

AAA

interface

Utilizado para introducir el comando interface de modo de configuración

Interfaces

ipaddress

Convertido en el comando interface de modo de configuración

Interfaces

igmp max-groups

Cambiado

Multicast (multidifusión)

isakmp

Cambiado

VPN

mgcp

Cambiado

Protocolo de control de puerta de enlace de medios (MGCP)

mroute

Cambiado

Multicast (multidifusión)

interfaz multicast (multidifusión)

No aprobado

Multicast (multidifusión)

nameif

Convertido en el comando interface de modo de configuración

Interfaces

nat-control

La versión del comando precedida por no conserva la seguridad NAT en las interfaces

NAT

Comandos ospf de modo de configuración

Comandos de modo de configuración pertenecientes al comando routing interface convertidos automáticamente en el modo de configuración interface

OSPF (Abrir la ruta más corta en primer lugar)

pager

Cambiado

Administración

pdm location

Cambiado

Administración

pdm group

Cambiado

Administración

pdm logging

Cambiado

Administración

routing interface

Consulte el comando ospf de modo de configuración

OSPF (Abrir la ruta más corta en primer lugar)

security-level

Comando interface de modo de configuración nuevo

Interfaces

set ip next-hop

No aprobado

OSPF (Abrir la ruta más corta en primer lugar)

set metric-type

Cambiado

OSPF (Abrir la ruta más corta en primer lugar)

show snmp-server

Cambiado

Procesador de comandos de la CLI

shutdown

Comando interface de modo de configuración nuevo

Interfaces

velocidad

Comando interface de modo de configuración nuevo

Interfaces

ssh

Cambiado

Administración

sysopt permit pptp | permit l2tp

No aprobado

Miscelánea

telnet

Cambiado

Administración

tftp-server

Cambiado

Administración

url-server

Cambiado

Miscelánea

vlan

Comando interface de modo de configuración nuevo

Interfaces

vpdn

Cambiado

VPN

vpngroup

Cambiado

VPN


Características nuevas

El objetivo principal de esta guía es describir las características y comandos cambiados y no aprobados en la versión 7.0 del dispositivo de seguridad PIX; sin embargo, esta sección incluye una breve información general de las características nuevas. Para obtener más información de estas características en la versión 7.0 del dispositivo de seguridad PIX y los comandos de la CLI correspondientes, consulte los siguientes documentos:

Cisco PIX Security Appliance Command Reference, Version 7.0 (Referencia de los comandos de la versión 7.0 del dispositivo de seguridad PIX de Cisco)

Cisco Security Appliance CLI Configuration Guide, Version 7.0 (Guía de configuración de la CLI de la versión 7.0 del dispositivo de seguridad de Cisco)

Ayuda en línea del Adaptive Security Device Manager (Administrador de dispositivos adaptables de seguridad) (conocido anteriormente como PIX Device Manager (Administrador de dispositivos PIX) o PDM)

La versión 7.0 del dispositivo de seguridad PIX introduce las siguientes características nuevas:

Servicios avanzados de firewall

Marco de políticas modulares de Cisco

Servicios avanzados de seguridad Web

Control de la aplicación de tunelización

Contextos de seguridad

Firewall transparente para la capa 2

Filtrado de comandos de sesión FTP

Transporte ampliado de correo simple

Servicios de inspección de correo electrónico de protocolo (ESMTP)

Servicios inalámbricos y móviles 3G de seguridad

RPC/NIS de Sun + Servicios de inspección

Servicios de inspección de protocolo de mensajes de control de Internet (ICMP)

Motor de seguridad TCP mejorado

Listas de control de acceso (ACL) saliente

ACL basadas en el tiempo

Entradas activar/desactivar ACL individuales

Eficacia mejorada del filtrado URL de Websence

Servicios de seguridad multimedia y voz sobre IP

Fax sobre IP (FoIP) con T.38

Señalización de control por enrutamiento de gatekeeper (control de acceso) (GKRCS)

Inspección de secuencias multimedia fragmentadas y segmentadas

Servicios de traducción de direcciones MGCP

Servicios de traducción de direcciones RTSP

Servicios sólidos de IPSec y VPN

Aplicación de la postura de seguridad al cliente VPN

Bloqueo del cliente VPN en función del sistema operativo y del tipo

Actualizaciones automáticas del software del cliente VPN

Compatibilidad mejorada para entornos VPN de acceso remoto de tunelización sin dividir

Transparencia de NAT para VPN mejorada

Integración nativa con servicios de autenticación de usuario popular

Enrutamiento dinámico de OSPF sobre túneles de VPN

Compatibilidad mejorada para VPN de radio a radio

Compatibilidad mejorada para el certificado X.509

Asistencia de la autoridad certificadora del software Cisco IOS

Arquitectura flexible

Migración tras error con información de estado de unidad activa a unidad activa

Migración tras error con información de estado de VPN

Tiempos de transición de migración tras error mejorados

Actualizaciones del software de Zero-Downtime

Servicios de conexión de red inteligentes

Enrutamiento de multidifusión PIM

Servicios QoS

Conexión de red IPv6

Nivel de seguridad común para varias interfaces

Capacidad de VLAN mejorada

Servicios de traducción de direcciones opcionales

Soluciones de administración flexibles

Supervisión de SNMP mejorada

SSHv2 y Secure Copy Protocol (SCP) (Protocolo de copia segura)

Almacenamiento de varias configuraciones en la memoria Flash

Recuperación segura de objetos

Recargas programadas del sistema

Interfaz de administración fuera de banda dedicada

Servicios de ping ICMP mejorados

Mejoras del uso de la interfaz de línea de comandos (CLI)

Alertas de correo electrónico de SMTP

TACACS administrativo + Contabilidad

Contabilidad RADIUS para varios servidores

Características y comandos cambiados y no aprobados

Esta sección describe detalladamente las características y comandos que han sido cambiados y no aprobados.


Nota La conversión automática de los comandos provoca un cambio en la configuración. Debe revisar los cambios que la versión 7.0 del dispositivo de seguridad PIX ha realizado en la configuración después de iniciarse para verificar que los cambios automáticos implementados por el software sean satisfactorios. A continuación, debe guardar la configuración en la memoria Flash. Guardar la configuración nueva en la memoria Flash evita que el sistema vuelva a convertir su configuración la próxima vez que se inicie la versión 7.0 del dispositivo de seguridad PIX.

Se han ampliado muchos de los comandos de la CLI existentes con nuevas palabras clave y otras opciones de línea de comando gracias a la funcionalidad nueva introducida en la versión 7.0 del dispositivo de seguridad PIX.


Las características que se han cambiado y no se han aprobado son las siguientes:

Procesador de comandos de la CLI

Comandos conduit y outbound

Comandos fixup e inspect

Interfaces

Listas de control de acceso (ACL)

VPN

Failover (Migración tras error)

AAA

Administración

OSPF (Abrir la ruta más corta en primer lugar)

Protocolo de control de puerta de enlace de medios (MGCP)

Multicast (multidifusión)

NAT

Infraestructura de claves públicas (PKI)

Miscelánea

Procesador de comandos de la CLI

Como la versión 6.3 de PIX, la versión 7.0 del dispositivo de seguridad PIX es compatible con la CLI como interfaz de usuario para la configuración, supervisión y mantenimiento de los dispositivos de seguridad. Se han mejorado las capacidades del analizador de la CLI en la versión 7.0 del dispositivo de seguridad PIX para incluir servicios de analizador a modo de software Cisco IOS, como ayuda contextual y conclusión de comandos, lo que produce cambios menores en el comportamiento en comparación con la versión 6.3 de PIX.

Asimismo, los comandos show y clear de la versión 6.3 de PIX se aplicaban sin coherencia. En algunos casos, dichos comandos se utilizaban para mostrar y borrar objetos de configuración; mientras que en otros casos mostraban y borraban datos y estadísticas de funcionamiento. Para darle coherencia a este comportamiento y diferenciar entre operaciones de la configuración y estadísticas, se han modificado los comandos show y clear de forma que requieran palabras clave adicionales.

La versión 7.0 del dispositivo de seguridad PIX introduce también cambios menores en el modo de navegación y en la terminología para asemejarla más a la CLI del software Cisco IOS.

Esta sección incluye los siguientes temas:

Comandos afectados

Requisitos de actualización

Efecto de los cambios

Comandos afectados

La actualización a la versión 7.0 del dispositivo de seguridad PIX afecta a los siguientes comandos:

no

show

clear

Aparte de estos comandos, la conclusión de comandos y el modo de navegación han cambiado en la versión 7.0 del dispositivo de seguridad PIX.

Requisitos de actualización

Debe utilizar las formas nuevas de los comandos no, show y clear. Si no lo hace, se producirán errores en el sistema.

Efecto de los cambios

Esta sección describe el efecto de los cambios en los comandos de la CLI de la versión 7.0 del dispositivo de seguridad PIX.

Cambios en el funcionamiento

Cambios en la ayuda contextual

Comprobación de la sintaxis de comandos

Cambios en el modo de navegación y en la terminología

Cambios en el funcionamiento

El funcionamiento de los comandos no, clear y show ha cambiado en la versión 7.0 del dispositivo de seguridad PIX, como se muestra a continuación:

La variante no deja de invalidar varias líneas de la configuración de forma simultánea. En la versión 7.0 del dispositivo de seguridad PIX, la variante no sólo invalida una línea de configuración. Por ejemplo, un solo comando no access-list <nombre de lista de acceso> invalida los siguientes comandos en la versión 6.3 de PIX:

access-list myaccesslist extended permit tcp host 10.175.28.97 host 10.180.210.209 eq
37000
access-list myaccesslist extended permit tcp host 10.175.28.97 host 10.180.210.68 eq
37000
access-list myaccesslist extended permit tcp host 10.175.28.98 host 10.180.210.68 eq
37000

Sin embargo, en la versión 7.0 del dispositivo de seguridad PIX, los comandos anteriores se invalidan mediante el comando clear configure access-list <nombre de lista de acceso> o de la siguiente forma:

no access-list myaccesslist extended permit tcp host 10.175.28.97 host 10.180.210.209
eq 37000
no access-list myaccesslist extended permit tcp host 10.175.28.97 host 10.180.210.68
eq 37000
no access-list myaccesslist extended permit tcp host 10.175.28.98 host 10.180.210.68
eq 37000

Segundo ejemplo: un solo comando no fixup protocol http invalida los siguientes comandos en la versión 6.3 de PIX:

fixup protocol http 80
fixup protocol http 8080

Sin embargo, en la versión 7.0 del dispositivo de seguridad PIX, los comandos anteriores se invalidan de la siguiente forma:

no inspect protocol http 80
no inspect protocol http 8080

La variante no invalida los comandos de modo de configuración; se invalida el comando y los comandos de modo de configuración. Este comportamiento es el mismo en la versión 6.3 de PIX y en la versión 7.0 del dispositivo de seguridad PIX.

Para borrar una configuración, la versión 7.0 del dispositivo de seguridad PIX sólo es compatible con el uso del comando clear configure <cmd> desde el modo de configuración.

Los siguientes ejemplos muestran el uso del comando clear configure:

Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
clear access-list
<access-list name>
clear configure access-list
<access-list name>

Si utiliza el comando no access-list <nombre de lista de acceso>, aparecerá un mensaje de error.

clear ssh
clear configure ssh
clear crypto dynamic-map
clear configure crypto
dynamic-map


Nota En la versión 6.3 de PIX, el comando clear crypto invalida todas las configuraciones cifradas que no sean configuraciones de autoridad certificadora (CA), como puntos de confianza, certificados y mapas de certificados. En la versión 7.0 del dispositivo de seguridad PIX, el comando clear configure crypto invalida todas las configuraciones cifradas, incluidas las configuraciones de CA. La información de CA también se muestra como resultado del comando show crypto.


En la versión 6.3 de PIX, el comando show snmp-server muestra la configuración actual. En la versión 7.0 del dispositivo de seguridad PIX, el comando show running-config snmp-server muestra la configuración actual y el comando show snmp-server statistics muestra la información de tiempo de ejecución en SNMP.

El comando show <cmd> muestra información de estadística, memoria intermedia, contadores, etc. Todos los comandos show presentan el modelo mostrado en el siguiente ejemplo:

Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
show crypto map
show running-config crypto map

Cambios en la ayuda contextual

La tabla 2 enumera los cambios en la ayuda contextual realizados en la versión 7.0 del dispositivo de seguridad PIX:

Tabla 2 Cambios en la ayuda contextual

Función
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX

Conclusión de comando

Cuando se presiona la tecla TAB, se ignora.

Cuando se introduce ?, se muestra el siguiente mensaje:

Escriba help o ? para obtener una lista de los comandos disponibles.

Puede introducir un comando parcialmente y, a continuación, pulsar la tecla TAB para completar el comando; o bien introducir un comando parcialmente y, a continuación, introducir ? para mostrar todos los comandos que comienzan de la misma forma.

Comando ?

Se muestra el texto que se puede usar para el comando.

Puede introducir un comando seguido de un espacio y, a continuación, introducir ? para mostrar las posibilidades de entrada relevantes.

Comando <palabra clave> ?

Se muestra el texto que se puede usar para el comando.

Enumera los argumentos disponibles para la palabra clave.


Comprobación de la sintaxis de comandos

La tabla 3 enumera los cambios resultantes de la actualización a la versión 7.0 del dispositivo de seguridad PIX:

Tabla 3 Comprobación de la sintaxis de comandos

Función
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX

Error de sintaxis

Puede mostrar un mensaje de error seguido del texto que se puede utilizar para el comando.

PIX muestra el símbolo ^ para indicar la ubicación de un error de sintaxis del comando.

Comando incompleto

Puede mostrar el mensaje de error "Not enough arguments." (Argumentos insuficientes) seguido del texto que se puede utilizar para el comando.

PIX muestra un mensaje `Incomplete command' (Comando incompleto) para indicar los argumentos adicionales necesarios.


Cambios en el modo de navegación y en la terminología

La versión 7.0 del dispositivo de seguridad PIX introduce también cambios menores en el modo de navegación y en la terminología para asemejarla más a la CLI del software Cisco IOS.

La tabla 4 describe los cambios en el modo de navegación entre la versión 6.3 de PIX y la versión 7.0 del dispositivo de seguridad PIX.

Tabla 4 Cambios en el modo de terminología 

Modo/comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Modo EXEC de usuario

Terminología

Modo sin privilegios

Modo EXEC de usuario

Método de salida

^Z cierra la sesión de la consola.

^Z no es compatible como método de salida; sin embargo, puede seguir utilizando los comandos exit, quit o logout como en la versión 6.3 de PIX.

Introducir ^Z produce el siguiente mensaje de error:

ERROR:% Invalid input detected at '^' marker. (ERROR: Ingreso inválido de % detectado en el marcador '^'.)

Modo EXEC privilegiado

Terminología

Modo privilegiado

Modo EXEC privilegiado

Método de salida

^Z cierra la sesión de la consola.

^Z no es compatible como método de salida; sin embargo, puede seguir utilizando los comandos exit, quit o logout como en la versión 6.3 de PIX.

Introducir ^Z produce el siguiente mensaje de error:

ERROR:% Invalid input detected at '^' marker. (ERROR: Ingreso inválido de % detectado en el marcador '^'.)

Modo de configuración global

Terminología

Modo de configuración

Modo de configuración global

Modo de configuración específica de comando

Terminología

Modo de subcomando

Modo de configuración específica de comando


Comandos conduit y outbound

La versión 7.0 del dispositivo de seguridad PIX no admite los comandos conduit y outbound; sin embargo, admite los comandos access list de uso común. Los comandos access list se parecen más a los comandos del software Cisco IOS y reemplazan a los comandos conduit y outbound por completo; introducen una funcionalidad mayor. Si un sistema con la versión 6.3 de PIX que tiene una configuración con los comandos conduit y/o outbound se actualiza a la versión 7.0 del dispositivo de seguridad PIX, presentará errores si no realiza primero la migración de los comandos conduit y outbound.

Esta sección incluye los siguientes temas:

Comandos afectados

Requisitos de actualización

Efecto de los cambios

Conversión de comandos conduit en comandos access-list

Conversión de comandos outbound en comandos access-list

Comandos afectados

La actualización a la versión 7.0 del dispositivo de seguridad PIX afecta a los siguientes comandos:

conduit

saliente

Requisitos de actualización

La versión 7.0 del dispositivo de seguridad PIX le exige convertir los comandos conduit y outbound de la configuración en comandos de lista de control de acceso (access-list) antes de realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX.

Efecto de los cambios

Se producirán errores en el sistema si no realiza primero la migración de los comandos conduit y outbound antes de realizar una actualización a la versión 7.0 del dispositivo de seguridad PIX. Utilice los siguientes recursos para facilitarle este proceso:

Las instrucciones detalladas para convertir los comandos conduit en comandos access-lists y los comandos outbound en comandos outgoing en las configuraciones, se describen en las secciones "Conversión de comandos conduit en comandos access-list" y "Conversión de comandos outbound en comandos access-list". Para obtener detalles adicionales, consulte Cisco PIX Firewall Command Reference, Version 6.3 (Referencia de los comandos de la versión 6.3 de Cisco PIX Firewall).

La herramienta de conversión de comandos outbound y conduit de PIX está disponible para los usuarios con contrato en el directorio PIX del centro de software de Cisco.com en http://www.cisco.com/pcgi-bin/tablebuild.pl/pix. Sólo está disponible para usuarios registrados. Para registrarse como usuario, visite http://tools.cisco.com/RPF/register/register.do.

Esta herramienta facilita la conversión de los comandos conduit y outbound en configuraciones de lista de control de acceso. Sin embargo, debido a la distinta naturaleza de estos métodos de control de acceso, pueden existir algunos cambios en la funcionalidad y comportamiento reales, de modo que esto sólo se debe considerar como ayuda y punto de partida. Los administradores de seguridad de la red deben verificar y probar todas las configuraciones convertidas mediante la herramienta de conversión de los comandos outbound y conduit (OCC) con la red y las políticas de seguridad correspondientes antes de implementarlas.


Nota La herramienta de OCC no es compatible con los comandos alias y policy nat. La herramienta de OCC no convierte las combinaciones de configuración de una exposición de todas las direcciones detrás de una interfaz interna (seguridad mayor) ni de una ruta predeterminada a la misma interfaz o los mismos comandos que activan RIP/OSPF.


La herramienta Output Interpreter proporciona una interfaz Web que toma su configuración existente como entrada y genera una configuración modificada como resultado. Esta herramienta está disponible en https://www.cisco.com/cgi-bin/Support/OutputInterpreter/home.pl. Sólo está disponible para usuarios registrados. Para registrarse como usuario, visite http://tools.cisco.com/RPF/register/register.do. Para utilizar Output Interpreter, compruebe que el ajuste de líneas esté desactivado en su terminal de cliente y pegue la captura entera del resultado del comando write terminal o del comando show running-config en la herramienta Output Interpreter. Para utilizar Output Interpreter, debe tener JavaScript activado. Para las conversiones de configuración de Output Interpreter se mantienen las mismas advertencias que hacen referencia a las verificaciones y pruebas mencionadas anteriormente.

Con la versión 6.3 de PIX, sólo los hosts internos con direcciones del último octeto de 0 y 255 pueden establecer conexión con una interfaz externa. Si un host conectado con la interfaz externa intenta establecer conexión con un host interno que contiene .0 o .255 en el último octeto de su dirección IP, la versión 6.3 de PIX la rechaza.

Con la versión 7.0 del dispositivo de seguridad PIX no se rechazan las conexiones con los hosts externos si una lista de acceso las autoriza.

Conversión de comandos conduit en comandos access-list

Para convertir las declaraciones del comando conduit en comandos access-list, realice los siguientes pasos:


Paso 1 Visualice el formato del comando static. Este comando suele preceder a los comandos conduit y access-list. La sintaxis del comando static es la siguiente.

static (high_interface,low_interface) global_ip local_ip netmask mask

Por ejemplo:

static (inside,outside) 209.165.201.5 192.168.1.5 netmask 255.255.255.255

Este comando asigna la dirección IP global 209.165.201.5 de la interfaz externa al servidor Web 192.168.1.5 de la interfaz interna. La dirección 255.255.255.255 se utiliza para direcciones de host.

Paso 2 Visualice el formato del comando conduit. El comando conduit es parecido al comando access-list porque también restringe el acceso a la asignación ofrecida por el comando static. La sintaxis del comando conduit es la siguiente.

conduit action protocol global_ip global_mask global_operator global_port [global_port]
foreign_ip foreign_mask foreign_operator foreign_port [foreign_port]

Por ejemplo:

conduit permit tcp host 209.165.201.5 eq www any

Este comando permite TCP para la dirección IP global 209.165.201.5 especificada en la declaración del comando static y permite el acceso sobre el puerto 80 (www). La opción "any" permite que cualquier host de la interfaz externa acceda a la dirección IP global.

El comando static identifica la interfaz a la que el comando conduit restringe el acceso.

Paso 3 Cree el comando access-list a partir de las opciones del comando conduit. En el comando access-list, acl_name es un nombre o número que ha creado para asociar las declaraciones del comando access-list con la declaración del comando access-group o crypto map.

Por lo general, el formato del comando access-list se presenta como sigue:

access-list acl_name [deny | permit] protocol src_addr src_mask operator port dest_addr
dest_mask operator port

Sin embargo, utilizando la sintaxis del comando conduit en el comando access-list puede ver cómo foreign_ip en el comando conduit coincide con src_addr en el comando access-list y cómo la opción global_ip del comando conduit coincide con dest_addr en el comando access-list. La sintaxis del comando access-list se superpone a las opciones del comando conduit como se muestra a continuación.

access-list acl_name action protocol foreign_ip foreign_mask foreign_operator foreign_port
[foreign_port] global_ip global_mask global_operator global_port [global_port]

Por ejemplo:

access-list acl_out permit tcp any host 209.165.201.5 eq www

Este comando identifica el grupo de declaraciones del comando access-list con el identificador "acl_out". Puede utilizar el nombre o número deseados para su propio identificador. (En este ejemplo, el identificador "act" procede de ACL, que significa lista de control de acceso y "out" es una abreviatura para la interfaz externa). Su configuración será más comprensible gracias a un nombre de identificador que indique la interfaz con la que asocia las declaraciones del comando access-list. El comando access-list de ejemplo, como el comando conduit, permite conexiones TCP desde cualquier sistema de la interfaz externa. El comando access-list está asociado con la interfaz externa mediante el comando access-group.

Paso 4 Cree el comando access-group utilizando la opción acl_name del comando access-list y la opción low_interface del comando static. El formato para el comando access-group es como se presenta a continuación.

access-group acl_name in interface low_interface

Por ejemplo:

access-group acl_out in interface outside

Este comando se asocia con el grupo `acl_out' de las declaraciones del comando access-list y establece que la declaración del comando access-list restringe el acceso a la interfaz externa.


Con esto se completa el procedimiento de conversión de comandos conduit en comandos access-list.

Conversión de comandos outbound en comandos access-list

El comando outbound crea reglas para una lista de control de acceso que le permiten especificar lo siguiente:

Si los usuarios internos pueden crear conexiones de salida

Si los usuarios internos pueden acceder a servidores externos específicos

Qué servicios pueden utilizar los usuarios internos para establecer conexiones de salida y acceder a servidores externos

Consulte las reglas de la lista de salida en Cisco PIX Firewall Command Reference, Version 6.3 (Referencia de los comandos de la versión 6.3 de Cisco PIX Firewall).

Conversión de comandos outbound aplicados a outgoing_src en los comandos access-list

Para convertir las declaraciones del comando outbound y crear una lista de acceso, realice los siguientes pasos:


Paso 1 Revise el formato del comando access-list mediante el siguiente ejemplo de configuración de salida de PIX existente:

outbound 1 deny   10.10.10.0 255.255.255.0 0
outbound 1 permit 10.10.20.20 255.255.255.255 0
outbound 1 except 192.168.10.1 255.255.255.255 0
apply (inside) 1 outgoing_src

El formato del comando access-list (versión simplificada) se presenta como sigue:

access-list acl_name [deny | permit] protocol src_addr src_mask dest_addr dest_mask

Paso 2 Compruebe que las direcciones IP enumeradas en la configuración de salida cuando se aplican al comando outgoing_src se correspondan con la dirección de origen (src_addr) de la lista de acceso. La dirección de destino (dest_addr) funciona igual que `any'. Los dos primeros comandos de configuración de salida se traducen como sigue:

access-list inside_acl permit ip host 10.10.20.20 any
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any

Cuando existen excepciones en la configuración, se aplican a toda la configuración de salida de la lista. La dirección IP enumerada en la excepción cuando se aplica a outgoing_src, indica la dest_addr de la lista de acceso. La tercera configuración de salida con excepciones se traduce como sigue:

access-list inside_acl deny ip host 10.10.20.20 host 192.168.10.1
access-list inside_acl permit ip 10.10.10.0 255.255.255.0 host 192.168.10.1

Paso 3 Coloque los elementos de la lista de acceso anterior en el orden de procesamiento de la declaración del comando outbound (consulte las reglas de salida en Cisco PIX Firewall Command Reference, Version 6.3 (Referencia de los comandos de la versión 6.3 de Cisco PIX Firewall)). PIX procesa primero las excepciones, seguidas por la mejor coincidencia de las declaraciones del comando outbound. La lista de acceso se debe aplicar en el siguiente orden:

access-list inside_acl permit ip 10.10.10.0 255.255.255.0 host 192.168.10.1
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any
access-list inside_acl permit ip 10.10.10.0 255.255.255.0 host 192.168.10.1
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any

Paso 4 Agregue el elemento access-list siguiente para conservar el comportamiento predeterminado de PIX. Tenga en cuenta que con el valor predeterminado, PIX permite el tráfico saliente. Cuando se utiliza una lista de acceso para filtrar paquetes, se rechaza el tráfico que no coincide con la lista de acceso.

access-list inside_acl permit ip any any

Paso 5 Agregue el siguiente comando access-list a la referencia de la interfaz a la que se aplica la configuración de salida. Tenga en cuenta que debe existir un elemento access-group correspondiente para vincular la lista de acceso a la interfaz.

access-group inside_acl in interface inside

Paso 6 Verifique la siguiente configuración traducida de los comandos outbound aplicados al elemento outgoing_src de los comandos access-list.

access-list inside_acl permit ip 10.10.10.0 255.255.255.0 host 192.168.10.1
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any
access-list inside_acl permit ip 10.10.10.0 255.255.255.0 host 192.168.10.1
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any
access-list inside_acl permit ip any any
access-group inside_acl in interface inside

Conversión de comandos outbound aplicados a outgoing_dest en los comandos access-list

Para convertir las declaraciones del comando outbound y crear una lista de acceso, realice los siguientes pasos:


Paso 1 Revise el formato de la lista de acceso mediante el siguiente ejemplo de configuración de salida de PIX existente:

outbound 1 deny   192.168.10.0 255.255.255.0 0
outbound 1 permit 192.168.20.20 255.255.255.255 0
outbound 1 except 10.10.10.10 255.255.255.255 0
apply (inside) 1 outgoing_dest

El formato del comando access-list (versión simplificada) es:

access-list acl_name [deny | permit] protocol src_addr src_mask dest_addr dest_mask

Paso 2 Compruebe que las direcciones IP enumeradas en la configuración de salida cuando se aplican al comando outgoing_dest se correspondan con la dirección de destino (dest_addr) de la lista de acceso. La dirección de origen (src_addr) funciona igual que `any'. Los dos primeros comandos de configuración de salida se traducen como sigue:

access-list inside_acl permit ip any host 192.168.20.20
access-list inside_acl deny ip any 192.168.10.0 255.255.255.0

Cuando existen excepciones en la configuración, como en la tercera línea de nuestro ejemplo, se aplican a toda la configuración de salida de la lista. La dirección IP enumerada en la excepción cuando se aplica a outgoing_dest, indica la src_addr de la lista de acceso. La tercera configuración de salida con excepciones se traduce como sigue:

access-list inside_acl deny ip host 10.10.10.10 host 192.168.20.20
access-list inside_acl permit ip host 10.10.10.10 192.168.10.0 255.255.255.0

Paso 3 Coloque los elementos de la lista de acceso anterior en el orden de procesamiento de la declaración del comando outbound (consulte las reglas de salida en Cisco PIX Firewall Command Reference Guide, Version 6.3 (Guía de referencia de los comandos de la versión 6.3 de Cisco PIX Firewall). PIX procesa primero las excepciones, seguidas por la mejor coincidencia de las declaraciones del comando outbound. La lista de acceso se debe aplicar en el siguiente orden:

access-list inside_acl deny ip host 10.10.10.10 host 192.168.20.20
access-list inside_acl permit ip any host 192.168.20.20
access-list inside_acl permit ip host 10.10.10.10 192.168.10.0 255.255.255.0
access-list inside_acl deny ip any 192.168.10.0 255.255.255.0

Paso 4 Agregue el elemento access-list siguiente para conservar el comportamiento predeterminado de PIX. Tenga en cuenta que con el valor predeterminado, PIX permite el tráfico saliente. Cuando se utiliza una lista de acceso para filtrar paquetes, se rechaza el tráfico que no coincide con la lista de acceso.

access-list inside_acl permit ip any any

Paso 5 Agregue el comando access-group siguiente a la referencia de la interfaz a la que se aplica la configuración de salida. Tenga en cuenta que debe existir un elemento access-group correspondiente para vincular la lista de acceso a la interfaz.

access-group inside_acl in interface inside

Paso 6 Verifique la siguiente configuración traducida de los comandos outbound aplicados al elemento outgoing_src de los comandos access-list.

access-list inside_acl deny ip host 10.10.10.10 host 192.168.20.20
access-list inside_acl permit ip any host 192.168.20.20
access-list inside_acl permit ip host 10.10.10.10 192.168.10.0 255.255.255.0
access-list inside_acl permit ip any host 192.168.20.20
access-list inside_acl permit ip any any
access-group inside_acl in interface inside

Conversión de comandos outbound aplicados a outgoing_src y outgoing_dest en los comandos access-list

Para convertir las declaraciones del comando outbound y crear una lista de acceso, realice los siguientes pasos:


Paso 1 Revise el formato del comando access-list mediante el siguiente ejemplo de configuración de salida de PIX existente:

outbound 1 deny   10.10.10.0 255.255.255.0 0
outbound 1 permit 10.10.20.20 255.255.255.255 0
apply (inside) 1 outgoing_src

outbound 2 deny   192.168.10.0 255.255.255.0 0
outbound 2 permit 192.168.20.20 255.255.255.255 0
apply (inside) 2 outgoing_dest

El formato del comando access-list (versión simplificada) es:

access-list acl_name [deny | permit] protocol src_addr src_mask dest_addr dest_mask

Paso 2 Compruebe que las direcciones IP enumeradas en la configuración de salida cuando se aplican al comando outgoing_src se correspondan con la dirección de origen (src_addr) de la lista de acceso. La dirección de destino (dest_addr) funciona igual que `any'. Los dos primeros comandos de configuración de salida se traducen como sigue:

access-list inside_acl permit ip host 10.10.20.20 any
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any

Paso 3 Compruebe que las direcciones IP enumeradas en la configuración de salida cuando se aplican al comando outgoing_dest se correspondan con la dirección de destino (dest_addr) de la lista de acceso. La dirección de origen (src_addr) funciona igual que `any'. Las líneas cuarta y quinta de los comandos de configuración de salida se traducen como sigue:

access-list inside_acl permit ip any host 192.168.20.20
access-list inside_acl deny ip any 192.168.10.0 255.255.255.0

Paso 4 Cuando ambas listas de salida se utilizan para la misma interfaz, se aplica la siguiente regla: la opción outgoing_src y las listas de salida outgoing_dest se filtran de forma independiente. Si alguno de los filtros contiene la opción deny, el paquete de salida se rechaza. El resultado son los dos elementos access-list siguientes:

access-list inside_acl deny ip 10.10.10.0 255.255.255.0 host 192.168.20.20
access-list inside_acl permit ip host 10.10.20.20 host 192.168.20.20

Paso 5 Agregue el siguiente elemento access-list para conservar el comportamiento predeterminado de PIX. Tenga en cuenta que con el valor predeterminado, PIX permite el tráfico saliente. Cuando se utiliza una lista de acceso para filtrar paquetes, se rechaza el tráfico que no coincide con la lista de acceso.

access-list inside_acl permit ip any any

Agregue el siguiente comando access-group a la referencia de la interfaz a la que se aplica la configuración de salida. Tenga en cuenta que debe existir un elemento access-group correspondiente para vincular la lista de acceso a la interfaz.

access-group inside_acl in interface inside

Paso 6 Compruebe que la siguiente configuración traducida a partir de comandos outbound aplicados a los elementos outgoing_src y outgoing_dest de los comandos access-list se aplique en orden de aparición.

access-list inside_acl deny ip 10.10.10.0 255.255.255.0 host 192.168.20.20
access-list inside_acl permit ip host 10.10.20.20 host 192.168.20.20
access-list inside_acl permit ip any host 192.168.20.20
access-list inside_acl deny ip any 192.168.10.0 255.255.255.0
access-list inside_acl permit ip host 10.10.20.20 any
access-list inside_acl deny ip 10.10.10.0 255.255.255.0 any
access-list inside_acl permit ip any any
access-group inside_acl in interface inside


Comandos fixup e inspect

PIX utiliza inspecciones de la aplicación de estado, conocidas como reparaciones, para garantizar el uso seguro de aplicaciones y servicios. En la versión 7.0 del dispositivo de seguridad PIX, el comando fixup no se ha aprobado y se ha reemplazado por el comando inspect dentro de la infraestructura del marco de políticas modulares (MPF).

MPF es un marco de la CLI que le permite definir las clases de tráfico y aplicar acciones a características específicas (políticas) en dichas clases, lo que proporciona una mayor granularidad y flexibilidad al configurar las políticas de red.

Esta sección incluye los siguientes temas:

Comandos afectados

Requisitos de actualización

Descripción de cambios de comando

Efecto de los cambios

Comandos afectados

La actualización a la versión 7.0 del dispositivo de seguridad PIX afecta a los siguientes comandos:

fixup

Requisitos de actualización

Los comandos fixup realizan automáticamente la migración a los comandos inspect del MPF cuando realiza la actualización a la versión 7.0 del dispositivo de seguridad PIX. No se requiere intervención manual.

Todos los comandos fixup existentes en la configuración se convertirán automáticamente en comandos del MPF.

Todos los comandos fixup que no se pueden configurar actualmente (como NetBIOS), se podrán configurar y convertir en comandos del MPF.

Descripción de cambios de comando

La tabla 5 enumera los cambios del comando fixup y la tabla 6 los portales predeterminados para los comandos de la tabla 5.

fixup


Nota En la columna de la tabla 5 de la versión 7.0 del dispositivo de seguridad PIX, observe que los comandos inspect no tienen número de puerto, a diferencia de los comandos fixup correspondientes en la versión 6.3 de PIX. Los números de puerto de este ejemplo se incluyen en el elemento `class inspection-default' de forma implícita. Cuando se configura un comando inspect para un protocolo en el elemento `class inspection-default', el protocolo se inspecciona automáticamente en su puerto predeterminado porque esta clase coincide con el elemento `default-inspection-traffic' para cada protocolo. La tabla 6 muestra los puertos predeterminados para cada comando inspect mostrado en la tabla 5.


Tabla 5 Cambios realizados en el comando fixup

Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
fixup protocol esp-ike

No compatibles

fixup protocol dns maximum-length 512
fixup protocol h323 h225 1720
fixup protocol http 80
fixup protocol rsh 514
fixup protocol sip 5060
fixup protocol smtp 25
fixup protocol ftp 21
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rtsp 554
fixup protocol skinny 2000
fixup protocol sqlnet 1521
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ils
inspect rsh
inspect rtsp
inspect smtp
inspect sqlnet
inspect sip
inspect skinny
inspect netbios
inspect ctiqbe
inspect icmp
inspect http
inspect dns
!
service-policy global_policy global


Nota El comando fixup protocol esp-ike no es compatible en la versión 7.0 del dispositivo de seguridad PIX. Esta característica se ajusta a las plataformas PIX 501 y 506/506E, con las que la versión 7.0 del dispositivo de seguridad PIX no es compatible en la actualidad. La solución alternativa requiere que el cliente y la cabecera puedan utilizar NAT-T.

El comando inspect introducido en la versión 7.0 del dispositivo de seguridad PIX no es el mismo que el comando ip inspect de Cisco IOS.


Tabla 6 Puertos predeterminados para los comandos de la tabla 5

Nombre del protocolo inspeccionado
Protocolo
Puerto de origen
Puerto de destino

ctiqbe

dns

ftp

gtp

h323 h225

h323 ras

http

icmp

ils

mgcp

netbios

rpc

rsh

rtsp

sip

skinny

smtp

sqlnet

tftp

xdmcp

tcp

udp

tcp

udp

tcp

udp

tcp

icmp

tcp

udp

udp

udp

tcp

tcp

tcp, udp

tcp

tcp

tcp

udp

udp

N/A

53

N/A

2123,3386

N/A

N/A

N/A

N/A

N/A

2427,2727

137-138

111

N/A

N/A

N/A

N/A

N/A

N/A

N/A

177

2748

53

21

2123,3386

1720

1718-1719

80

N/A

389

2427,2727

N/A

111

514

554

5060

2000

25

1521

69

177


Efecto de los cambios

Esta sección describe el efecto de los cambios en los comandos de la CLI de la versión 7.0 del dispositivo de seguridad PIX.

En la versión 7.0 del dispositivo de seguridad PIX, los comandos fixup aún se aceptan en la CLI; sin embargo, se convierten a sus equivalentes del MPF en la configuración. En otras palabras, puede introducir comandos fixup en la CLI, pero la configuración sólo muestra los comandos de estilo MPF convertidos. Además, cuando se introduce un comando fixup en la CLI, aparece un mensaje informativo parecido al siguiente:

pix1(config)# fixup protocol http 8080
INFO: converting 'fixup protocol http 8080' to MPF commands

En la próxima versión, el comando fixup no se aprobará y sólo los comandos del MPF se aceptarán en todos los motores de inspección.

La tabla 7 describe los cambios en el comportamiento del comando fixup en la versión 7.0 del dispositivo de seguridad PIX:

Tabla 7 Cambios en el comportamiento del comando fixup

Comando
Descripción del cambio

fixup

Se ha convertido en comandos del MPF.

no fixup

Los comandos del MPF convertidos se han invalidado.

clear fixup

Este comando se convierte en el comando clear configure fixup. Al igual que con el comando clear configure, se restaura la configuración predeterminada (en este caso, la configuración predeterminada de los motores de inspección) cuando se aplica el comando.

write memory

Los comandos fixup no se continúan escribiendo en la memoria Flash. Sólo se escriben los comandos del MPF.


Los nuevos comandos fixup introducidos en la versión 7.0 del dispositivo de seguridad PIX sólo serán compatibles con los comandos de la CLI de tipo MPF.

Cuando un comando fixup se convierte en un comando inspect del MPF, el comando inspect se crea conforme a la política global activada. Si no hay política global activada, se creará una.

Para desactivar una inspección, invalide el comando inspect del mapa de políticas o aplique el comando fixup correspondiente con el valor de puerto predeterminado.

Para activar una inspección que no está activada de forma predeterminada como MGCP, simplemente agregue el comando inspect al mapa de políticas o aplique el comando fixup correspondiente (si existe uno compatible de la versión anterior a la versión 7.0 del dispositivo de seguridad PIX) con el valor de puerto predeterminado.

Si se requiere un puerto no predeterminado adicional para una inspección:

Utilice un mapa de clases independiente para incluir el puerto nuevo y, a continuación, la clase nueva y el comando inspect al mapa de políticas,

o

Aplique el comando fixup.

Por ejemplo, si se debe agregar el puerto 8080 para la inspección HTTP, introduzca el siguiente comando fixup:

fixup protocol http 8080

o bien, introduzca los siguientes comandos del MPF:

class-map non_default_http_inspection <==== define a new class-map
	match port tcp eq 8080 <==== match tcp port 8080 traffic

policy-map global_policy       <==== select the policy-map
	class non_default_http_inspection     <==== add the new class
		inspect http                          <==== add the action to the new class

Si la configuración antes de introducir los comandos del MPF es:

class-map inspection_default
    match default-inspection-traffic

policy-map global_policy
   class inspection_default
     inspect ftp
     inspect http

La configuración resultante después de introducir los comandos del MPF será:

class-map inspection_default
    match default-inspection-traffic

 class-map non_default_http_inspection
    match port tcp 8080

 policy-map global_policy
   class inspection_default
     inspect ftp
     inspect http
   class non_default_http_inspection
     inspect http

Si se debe reemplazar el puerto predeterminado con un puerto nuevo para una inspección:

Se debe invalidar el comando inspect correspondiente del mapa de políticas y, a continuación, seguir el ejemplo anterior para agregar el puerto nuevo para la inspección,

o

Aplicar un comando no fixup con el puerto predeterminado y, a continuación, aplicar un comando fixup con el puerto nuevo.

Por ejemplo, si se debe reemplazar el puerto 80 con el 8080 para la inspección HTTP, introduzca los siguientes comandos fixup:

no fixup protocol http 80
fixup protocol http 8080

o bien, introduzca los siguientes comandos del MPF:

policy-map global_policy       <==== select the policy-map
 	class inspection_default              <==== select the class
 		no inspect http                       <==== remove http from the class
 	class-map non_default_http_inspection <==== define a new class-map
 		match port tcp 8080                   <==== match tcp port 8080 traffic

policy-map global_policy       <==== select the policy-map
 class non_default_http_inspection     <==== add the new class
 	inspect http                          <==== add the action to the new class

Si la configuración antes de introducir los comandos del MPF es:

class-map inspection_default
    match default-inspection-traffic

 policy-map global_policy
   class inspection_default
     inspect ftp
     inspect http

La configuración resultante después de introducir los comandos del MPF será:

ss-map inspection_default
    match default-inspection-traffic

 class-map non_default_http_inspection
    match port tcp 8080

 policy-map global_policy
   class inspection_default
     inspect ftp
   class non_default_http_inspection
     inspect http

Interfaces

En la versión 7.0 del dispositivo de seguridad PIX, la interfaz CLI y los comandos relacionados se han mejorado con una estructura jerárquica. Se introducen los conceptos de `interfaz principal', como Ethernet0 y `subinterfaz', como Ethernet0.10. Un comando de modo de configuración interface se crea a partir de varios comandos con los que se ha realizado la migración o adición al comando de modo de configuración. Las ventajas del cambio son:

La indicación de interfaz principal o subinterfaz presenta una forma sencilla y sólida de representar varias interfaces físicas e interfaces lógicas de VLAN en los dispositivos de seguridad.

En plataformas compatibles con contextos de seguridad, una característica de la versión 7.0 del dispositivo de seguridad PIX, resulta más sencillo definir y asignar interfaces a contextos mediante la estructura de interfaz nueva.

El comando de modo de configuración interface facilita otras mejoras de características, como la compatibilidad con IPv6.

El resultado jerárquico simplifica la lectura del archivo de configuración en comparación con la estructura sin formato.

Esta sección incluye los siguientes temas:

Comandos afectados

Descripción de cambios de comando

Requisitos de actualización

Efecto de los cambios

Comandos afectados

La actualización a la versión 7.0 del dispositivo de seguridad PIX afecta a los siguientes comandos:

interface

nameif

dirección ip

Descripción de cambios de comando

La palabra clave auto de la versión 6.3 de PIX se convierte en dos líneas de configuración en la versión 7.0 del dispositivo de seguridad PIX: speed auto y duplex auto. Ambas líneas forman parte de la configuración predeterminada y no se muestran.

La tabla 8 presenta un ejemplo de actualización de configuración, la tabla 9 enumera los cambios en el comando interface y la tabla 10 enumera los cambios en el comando de modo de configuración interface.

Tabla 8 Ejemplo de actualización de configuración

Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
interface ethernet0 auto
interface ethernet1 auto
interface ethernet1 vlan101 logical
interface ethernet1 vlan102 physical
interface ethernet2 auto shutdown

nameif ethernet0 outside security0
nameif vlan101 dmz security50
nameif vlan102 inside security100

ip address outside 171.45.0.13
ip address dmz 10.1.32.12
ip address inside 192.168.15.12
interface Ethernet0
nameif outside
security-level 0
ip address 171.45.0.13
interface Ethernet1
no nameif
no security-level
no ip address
interface Ethernet1.101
vlan 101
nameif dmz
security-level 50
ip address 10.1.32.12
interface Ethernet1.102
vlan 102
nameif inside
security-level 100
ip address 192.168.15.12
interface Ethernet2
shutdown
no nameif
no security-level
no ip address

Tabla 9 Cambios realizados en el comando interface 

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
interface
interface <hardware_id>
[<hardware_speed> [shutdown]]
interface <type><port>

El valor <hardware_velocidad> se configura mediante los comandos de modo de configuración duplex y speed.

La acción [shutdown] se realiza mediante el comando de modo de configuración shutdown.

[no] interface <hardware_id>
<vlan_id> [logical |
physical] [shutdown]
[no] interface
<type><port>.<subif_number>

El valor <vlan_id> se configura mediante el comando de modo de configuración vlan.

interface <hardware_id>
change-vlan <old_vlan_id>
<new_vlan_id>

Utilice el comando de modo de configuración vlan <nuevo_vlan_id>.


Tabla 10 Comandos de modo de configuración interface 

Comando de modo de configuración interface
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
duplex

Parte del comando interface, opción de <hardware_velocidad>

duplex {auto | full | half}
no duplex [auto | full | half]

Comando interface de modo de configuración nuevo

ip address
[no] ip address <if_name>
<ip_address> [<netmask>]
[no] ip address <ip_address>
[<netmask>] [standby
<stdby_address>]

Convertido en el comando interface de modo de configuración

[no] ip address <if_name>
dhcp [setroute] [retry
<retry_cnt>]
[no] ip address dhcp [setroute]
[retry <retry_cnt>]

nameif
[no] nameif {<hardware_id> |
<vlan_id>} <if_name>
<security_level>
nameif <if_name>
[no] nameif [<if_name>]

Convertido en el comando interface de modo de configuración.

El valor <seguridad_nivel> se configura mediante el comando de modo de configuración security-level.

security-level

Parte del comando nameif, opción de <seguridad_nivel>.

security-level <level>
[no] security-level [<level>]

Comando interface de modo de configuración nuevo

shutdown

Parte del comando interface, opción de cierre

[no] shutdown

Comando interface de modo de configuración nuevo

speed

Parte del comando interface, opción de <hardware_velocidad>

speed {auto | 10 | 100 | 1000}
no speed [auto | 10 | 100 |
1000]

Comando interface de modo de configuración nuevo

vlan

Parte del comando interface, opción de <vlan_id>

vlan <id>
no vlan [<id>]

Comando interface de modo de configuración nuevo


Requisitos de actualización

Los comandos interface, nameif, e ip address del archivo de configuración de la versión 6.3 de PIX se convierten automáticamente al realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX. No se requiere intervención manual.

Los comandos sysopt connection permit-pptp y sysopt connection permit-l2tp ya no son compatibles en la versión 7.0 del dispositivo de seguridad PIX.

Efecto de los cambios

Después de iniciar el sistema con la imagen de la versión 7.0 del dispositivo de seguridad PIX, el software sólo acepta las interfaces CLI nuevas. Se produce un error de sintaxis al intentar utilizar el formato anterior de la CLI.

Listas de control de acceso (ACL)

En la versión 7.0 del dispositivo de seguridad PIX desaparece la necesidad de compilar listas de acceso. Ahora, el sistema optimiza automáticamente el procesamiento de listas de acceso.

Esta sección incluye los siguientes temas:

Comandos afectados

Requisitos de actualización

Descripción de cambios de comando

Efecto de los cambios

Comandos afectados

La actualización a la versión 7.0 del dispositivo de seguridad PIX afecta a los siguientes comandos:

access-list <id> compiled

access-list compiled

Requisitos de actualización

Los comandos de listas de control de acceso (ACL) se convierten automáticamente al realizar la actualización a la versión  7.0 del dispositivo de seguridad PIX. No se requiere intervención manual y ninguna funcionalidad resulta afectada.

Descripción de cambios de comando

La tabla 11 enumera los cambios realizados en el comando access-list.

access-list

Tabla 11 Cambios realizados en el comando access-list

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
access-list
[no] access-list compiled

No compatibles

[no] access-list <id> compiled

No compatibles


Efecto de los cambios

Esta sección describe el efecto de los cambios en los comandos de ACL de la versión 7.0 del dispositivo de seguridad PIX.

El analizador ignora las declaraciones de configuración de listas de acceso que presenten la opción compiled; esto no influye ya que las listas de acceso se mantienen siempre en un estado en que las búsquedas son notablemente eficaces. Todas las demás declaraciones de la configuración de listas de acceso se aceptan y se comportan como en la versión 6.3 de PIX.

El nuevo analizador deja de aceptar las líneas de configuración con la palabra clave compiled de la versión 6.3 de PIX. Se imprime un mensaje de error y la declaración no se almacena en la configuración actual, como se muestra en el siguiente ejemplo:

pix(config)# access-list compiled
ERROR:% Incomplete command

La declaración de error anterior se produce porque compiled ha dejado de ser una palabra clave y se considera como un nombre de una lista de acceso.

pix(config)# access-list 888 compiled

WARNING:% This command has been DEPRECATED. The access-lists are always maintained in
optimized form

Como se ha invalidado la palabra clave compiled, la línea de configuración deja de ser válida y el analizador no la acepta.

Las demás configuraciones de lista de acceso se actualizan sin problemas.

VPN

Los comandos de la VPN, como username, group-policy y tunnel-group, se han agregado para conseguir compatibilidad con una jerarquía usuario/grupo, que le permite flexibilidad para definir información de políticas de seguridad por grupos de usuarios con la capacidad de anular políticas de grupo con políticas específicas de usuario. La distinción entre grupo de túneles y política de grupos facilita también la descarga de una cantidad elevada de información de políticas en un servidor externo en lugar de configurarla completamente en el dispositivo de seguridad.

Además, se han cambiado los comandos ca y vpdn, como se muestra a continuación (consulte la sección "Descripción de cambios de comando"):

Comando ca : los comandos de autoridad certificadora (ca) se han modificado para incorporar más características de PKI y darles un aspecto más parecido a los comandos de software Cisco IOS. Consulte la sección "Infraestructura de claves públicas (PKI)" para obtener más información acerca de los cambios realizados en el comando ca.

Comando vpdn : el comando vpdn se invalidó porque la compatibilidad con L2TP/PPTP/PPPoE desapareció en la versión 7.0 del dispositivo de seguridad PIX. La configuración de los objetos anteriores de VPDN para los grupos se realiza a través de los comandos tunnel-group y group-policy.

Esta sección incluye los siguientes temas:

Comandos afectados

Requisitos de actualización

Descripción de cambios de comando

Efecto de los cambios

Comandos afectados

La actualización a la versión 7.0 del dispositivo de seguridad PIX afecta a los siguientes comandos:

ca (consulte la sección "Infraestructura de claves públicas (PKI)")

crypto dynamic-map

crypto ipsec

crypto-map

isakmp

url-server

vpdn

vpngroup

Requisitos de actualización

La mayoría de los comandos de VPN se convierten automáticamente al realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX, sin necesidad de intervenir manualmente.

Descripción de cambios de comando

La tabla 12 enumera los cambios realizados en el comando ca, la tabla 13 los realizados en el comando crypto ipsec, la tabla 14 los cambios del comando crypto map, la tabla 15 presenta los del comando isakmp, la tabla 16 los cambios del comando vpdn y la tabla 17 los realizados en vpngroup.

Tabla 12 Cambios realizados en el comando ca 

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
ca
ca authenticate <ca_nickname>
[<fingerprint>]
crypto ca authenticate
<trustpoint>
   [fingerprint <hex value>]
   [nointeractive]


[no] ca crl request
<ca_nickname>
crypto ca crl request
<trustpoint>


[no] ca enroll <ca_nickname>
<challenge_password> [serial]
[ipaddress]
crypto ca trustpoint <name>
    [no] ip-address <address>
    [no] serial-number
    password <password>
    exit
 crypto ca enroll <name>


ca generate rsa {key |
specialkey}
<key_modulus_size>
crypto key generate rsa
[usage-keys | general-keys]
[label <key-pair-label>]
[modulus <size>]
[noconfirm]


[no] ca identity <ca_nickname>
[<ca_ipaddress> | <hostname>
[:<ca_script_location>]
[<ldap_ip address> |
<hostname>]]
crypto ca trustpoint <name>
    enroll url
<ip_address|hostname>[:<ca_scri
pt_location>]
    crl
        ldap_defaults
<ldap_ip|hostname>
        exit
    exit


[no] ca save all

No compatibles

Los certificados y claves se guardarán donde se guarde la configuración


[no] ca subject-name
<ca_nickname> <X.500_string>
crypto ca trustpoint <name>
    [no] subject-name <X.500
string>


ca zeroize rsa
[<keypair_name>]
crypto key zeroize rsa|dsa
[label <key-pair-label>]
[noconfirm]


ca generate rsa key <modulus>
crypto key generate rsa
[usage-keys | general-keys]
[label <key-pair-label>]
[modulus <size>]
[noconfirm]


ca generate rsa specialkey
<size>
crypto key generate rsa
usage-keys modulus <size>


[no] ca configure
<ca_nickname> ca | ra
<retry_period> <retry_count>
[crloptional]
crypto ca trustpoint
<trustpoint name>
     enrollment retry period
<minutes>
     enrollment retry count
<num>
     crl configure

Ahora el periodo de reintento y recuento se han configurado mediante el modo de configuración de puntos de confianza. La configuración de crl es un modo de configuración adicional al que se puede acceder desde el modo de configuración de puntos de confianza.


[no] ca verifycertdn <x.500
string>
crypto ca verifycertdn <x.500
string>


crypto ipsec

Tabla 13 Cambios realizados en el comando crypto ipsec 

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
crypto ipsec
[no] crypto ipsec
security-association lifetime
seconds <seconds> | kilobytes
<kilobytes>
[no] [crypto] ipsec
security-association lifetime
seconds <seconds> | kilobytes
<kilobytes >

La compatibilidad con el encabezamiento de autenticación (AH) se ha quitado

Nota La versión independiente del comando ipsec funciona igual que la versión del comando crypto.

Se han agregado los siguientes comandos:

[crypto] ipsec df-bit [clear-df | copy-df | set-df] <nombre-interfaz>

[crypto] ipsec fragmentation [after-encryption | before-encryption] <nombre-interfaz>

clear configure [crypto] ipsec transform-set <nombre-conjunto-transformaciones>

show [crypto] ipsec stats

show [crypto] ipsec df-bit <nombre-interfaz>

show [crypto] ipsec fragmentation <nombre-interfaz>

crypto ipsec transform-set <
transform-set-name>
<transform1> [<transform2>
[<transform3>]]
[no] [crypto] ipsec
transform-set
<transform-set-name> transform1
[transform3]
[no] crypto ipsec
transform-set <trans-name>
[ah-md5-hmac | ah-sha-hmac]
[esp-aes | esp-aes-192 |
esp-aes-256| esp-des |
esp-3des| esp-null]
[esp-md5-hmac | esp-sha-hmac |
esp-none]
[no] [crypto] ipsec
transform-set
<transform-set-name> [esp-aes
|esp-aes-192 | esp-aes-256|
esp-des | esp-3des| esp-null]
[esp-md5-hmac | esp-sha-hmac |
esp-null]
crypto ipsec transform-set
<transform-set-name> mode
transport
[no] [crypto] ipsec
transform-set
<transform-set-name> mode
transport [crypto] ipsec df-bit
[clear-df | copy-df | set-df]
<interface-name>

crypto map

Tabla 14 Cambios realizados en el comando crypto map 

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
crypto map
[no] crypto map <map-name>
interface <interface-name>
[no] crypto map <map-name>
interface <interface-name>

Los siguientes comandos han dejado de ser compatibles:

[no] crypto map <nombre-mapa> <número-secuencia> set session-key inbound | outbound ah <spi> <cadena-clave-hexadecimal>


[no] crypto map <nombre-mapa> <número-secuencia> set session-key inbound | outbound esp <spi> <cadena-clave-hexadecimal cifrada> [authenticator <cadena-clave-hexadecimal>]


Se han agregado números de grupo nuevos a la especificación de grupo Diffie-Hellman (DH)

Se ha agregado un límite de 10 para el número de pares especificado. Los nueve pares adicionales se usan como pares de repliegue cuando el dispositivo se utiliza en modo "sólo originar" a través del parámetro de tipo de conexión.

Nota La versión independiente del comando map funciona igual que en la versión del comando crypto.

[no] crypto map <map-name>
client [token] authentication
<aaa-server-name>

No aprobado

[no] crypto map <map-name>
<seq-num> ipsec-isakmp |
ipsec-manual [dynamic
<dynamic-map-name>]
[no] crypto map <map-name>
<seq-num> ipsec-isakmp dynamic
<dynamic-map-name>
[no] crypto map <map-name>
<seq-num> set pfs [group1 |
group2]
[no] crypto map <map-name>
<seq-num> set pfs [group1 |
group2 | group5 |group7]
[no] crypto map <map-name>
<seq-num> match address
<acl_name>
[no] crypto map <map-name>
<seq-num> match address
<acl_name>
[no] crypto map <map-name>
<seq-num> set peer
{<ip_address> | <hostname>}
[no] crypto map <map-name>
<seq-num> set peer {ip_address1
| hostname1} [..ip_address10 |
hostname10]
[no] crypto map <map-name>
<seq-num> set
security-association lifetime
seconds <seconds> | kilobytes
<kilobytes>
[no] crypto map <map-name>
<seq-num> set
security-association lifetime
seconds <seconds> | kilobytes
<kilobytes>
[no] crypto map map-name
seq-num set transform-set
<transform-set-name1>
[<transform-set-name6>]
[no] crypto map <map-name>
<seq-num> set transform-set
<transform-set-name1>
[.. <transform-set-name6>]
[no] crypto map <map-name>
client configuration address
initiate | respond

No compatibles


isakmp

Tabla 15 Cambios realizados en el comando isakmp 

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
isakmp
isakmp keepalive <seconds>
[<retry-seconds>]
tunnel-group <group name> type
ipsec-ra|ipsec-l2l
tunnel-group <group name>
ipsec-attributes
   isakmp keepalive [threshold
<seconds>][retry <seconds>]

isakmp key <keystring> address
<peer-address> [netmask <mask>]
[no-xauth] [no-config-mode]
tunnel-group <group name> type
ipsec-l2l
tunnel-group <group name>
ipsec-attributes
   pre-shared-key <preshared key>

El comando isakmp se utilizaba para establecer una llave previamente compartida para túneles de LAN a LAN. Esto se hace ahora genéricamente para túneles de LAN a LAN y de acceso remoto mediante el comando tunnel-group.

isakmp client configuration
address-pool local <pool-name>
[<interface-name>]
tunnel-group <group name> type
ipsec-l2l
tunnel-group <group name>
general-attributes
   address-pool [(interface
name)] <address_pool1>
[...<address-pool6>]

isakmp peer fqdn | ip <fqdn |
ip-address> {no-xauth
|no-config-mode}
tunnel-group <group name> type
ipsec-l2l|ipsec-ra

La exclusión de Xauth y modecfg viene implícita en la definición de grupos de túneles. Si un grupo de túneles se ha definido como ipsec-l2l, Xauth y modecfg se excluyen automáticamente.


Tenga en cuenta que en la versión 7.0 del dispositivo de seguridad PIX, la política predeterminada ISAKMP ya no se oculta. La política predeterminada ISAKMP se puede visualizar en la configuración en ejecución actual y se puede conservar, modificar o quitar.

Sintaxis de la versión 6.3 de PIX:

Default protection suite
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Rivest-Shamir-Adleman Signature
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit

Sintaxis de la versión 7.0 del dispositivo de seguridad PIX:

isakmp policy 65535 authentication rsa-sig
isakmp policy 65535 encryption des
isakmp policy 65535 hash sha
isakmp policy 65535 group 1

isakmp policy 65535 lifetime 86400

vpdn

Tabla 16 Cambios realizados en el comando vpdn 

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
vpdn

vpdn group <nombre_grupo>

pptp echo <tiempo_eco>

No compatibles

PPTP no es compatible en la versión 7.0 del dispositivo de seguridad PIX

vpdn group <nombre_grupo> accept dialin l2tp

No compatibles

L2TP y L2TP sobre IPSec no son compatibles en la versión 7.0 del dispositivo de seguridad PIX.

vpdn group <nombre_grupo> accept dialin pptp

No compatibles

PPTP no es compatible en la versión 7.0 del dispositivo de seguridad PIX

vpdn group <nombre_grupo>

[client configuration address local <nombre_agrupación_direcciones>]

No compatibles

vpdn group <nombre_grupo> client configuration <dns dns_ip1> [<dns_ip2>]

No compatibles

vpdn group <nombre_grupo> client configuration wins <wins_ip1> [<wins_ip2>]

No compatibles

vpdn group <nombre_grupo> client authentication local | aaa <grupo_aaa_autenticación>

No compatibles

 

vpdn group <nombre_grupo> client accounting aaa <grupo_aaa_autenticación>

No compatibles

vpdn group <nombre_grupo>

l2tp tunnel hello <tiempo de espera_saludo>

No compatibles

vpdn enable <nombre_interfaz>

No compatibles

No es necesario; todo el tráfico PPP se encapsula mediante IPSec

vpdn group <nombre_grupo> ppp authentication pap|chap|mschap

No compatibles

vpdn group <nombre_grupo> ppp encryption mppe 40 | 128| auto [required]

No compatibles

No es necesario; todo el tráfico PPP se encapsula mediante IPSec

show vpdn tunnel [l2tp|pptp|pppoe]

[id <tnl_id> | packets | state

| summary | transport]

No compatibles

Funcionalidad reemplazada por el comando vpn-sessiondb.

show vpdn session [l2tp|pptp|pppoe]

[id <sess_id> | packets | state| window]

No compatibles

Funcionalidad reemplazada por el comando vpn-sessiondb.

show vpdn pppinterface [id <dev_id>]

No compatibles

Funcionalidad reemplazada por el comando vpn-sessiondb.

 

clear vpdn [group | interface|

tunnel <tnl_id> | username]

No compatibles

Funcionalidad reemplazada por el comando vpn-sessiondb.

 

vpdn group <nombre_grupo> request dialout pppoe

No compatibles

Sólo se utiliza para PPOE, que no es compatible en esta versión

 

show vpngroup [<nombre_grupo>]

No compatibles


vpngroup

Tabla 17 Cambios realizados en el comando vpngroup 

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas

vpngroup

vpngroup <nombre_grupo>

address-pool <nombre_agrupación>

tunnel-group <group name> type
ipsec-l2l
tunnel-group <group name>
general-attributes
   address-pool [(interface name)]
<address_pool1> [...<address-pool6>]

Se ha convertido en la sintaxis de tunnel-group.

vpngroup <nombre_grupo>

authentication-server <servidores>

No compatibles

Se utiliza en la versión 6.3 de PIX para pasar una dirección de servidor AAA para la autenticación de usuario individual (IUA), una característica utilizada en el cliente de hardware; la versión 7.0 del dispositivo de seguridad PIX envía la solicitud AAA para el cliente de hardware a través del servidor proxy y, por lo tanto, siempre envía su propia dirección.

vpngroup <nombre_grupo> backup-server

{<{ip1> [<ip2> ... <ip10>]} | clear-client-cfg}

En el modo de configuración del atributo group-policy:

[no] backup-servers <peer1 peer2
.....peer10> | clear-client-config |
keep-client-config

Se ha convertido en la sintaxis de group-policy.

vpngroup <nombre_grupo>

default-domain <nombre_dominio>

En el modo de configuración del atributo group-policy:

[no] default-domain value <domain-name>

Se ha convertido en la sintaxis de group-policy.

 

vpngroup <nombre_grupo> device-pass-through

En el modo de configuración del atributo group-policy:

ip-phone-bypass <enable|disable>
leap-bypass <enable|disable>

Se ha convertido en la sintaxis de group-policy.

La exención de la IUA ya no se basa en la dirección MAC. El administrador puede decidir excluir los teléfonos IP de Cisco y/o los datos LEAP de la autenticación de usuario individual.

vpngroup <nombre_grupo>

dns-server <dns_ip_prim> [<dns_ip_sec>]

En el modo de configuración del atributo group-policy:

[no] dns-server value <ip_address>
[ip_address]

Se ha convertido en la sintaxis de group-policy.

vpngroup <nombre_grupo>

idle-time <segundos_inactividad>

En el modo de configuración del atributo group-policy:

[no] vpn-idle-timeout <minutes> | none

Se ha convertido en la sintaxis de group-policy.

vpngroup <nombre_grupo>

max-time <segundos_máximo>

En el modo de configuración del atributo group-policy:

[no] vpn-session-timeout <minutes> |
none

Se ha convertido en la sintaxis de group-policy.

vpngroup <nombre_grupo>

password <llave_previamente compartida>

tunnel-group <group name> type ipsec-ra
tunnel-group <group name>
ipsec-attributes
   pre-shared-key <preshared key>

Se ha convertido en la sintaxis de tunnel-group.

vpngroup <nombre_grupo> pfs

En el modo de configuración del atributo group-policy:

pfs <enable|disable>

Se ha convertido en la sintaxis de group-policy.

vpngroup <nombre_grupo>

secure-unit-authentication

En el modo de configuración del atributo group-policy:

secure-unit-authentication
<enable|disable>

Se ha convertido en la sintaxis de group-policy.

vpngroup <nombre_grupo>

split-dns <nombre1_dominio>

[<nombre2_dominio> ... <nombre8_dominio>]

En el modo de configuración del atributo group-policy:

[no] split-dns value <domain_name1
domain_name2 ... domain_nameN>

Se ha convertido en la sintaxis de group-policy.

vpngroup <nombre_grupo> split-tunnel <lista_acceso>

En el modo de configuración del atributo group-policy:

[no] split-tunnel-network-list value
<access-list name>

Se ha convertido en la sintaxis de group-policy.

 

vpngroup <nombre_grupo> user-authentication

En el modo de configuración del atributo group-policy:

user-authentication <enable|disable>

Se ha convertido en la sintaxis de group-policy.

vpngroup <nombre_grupo>

user-idle-timeout <segundos_inactividad_usuario>

En el modo de configuración del atributo group-policy:

[no] user-authentication-idle-timeout
<minutes> | none

Se ha convertido en la sintaxis de group-policy.

vpngroup <nombre_grupo>

wins-server <wins_ip_prim> [<wins_ip_sec>]

En el modo de configuración del atributo group-policy:

[no] wins-server value <ip_address>
[ip_address]

Se ha convertido en la sintaxis de group-policy.

show vpngroup [<nombre_grupo>]

show running-config [default]
tunnel-group [<name>
[general-attributes | ipsec-attributes
| ppp-attributes]]

show running-config [default]
group-policy [<name> [attributes]]

Se ha convertido en la sintaxis de tunnel-group y group-policy; ambos comandos se usan para reemplazar el comando vpngroup.


Efecto de los cambios

Esta sección describe el efecto de los cambios en los comandos de la CLI de la versión 7.0 del dispositivo de seguridad PIX.

Puntos de confianza: el concepto y la sintaxis de un punto de confianza son nuevos en la versión 7.0 del dispositivo de seguridad PIX. Un punto de confianza hace referencia a un par certificado de CA/certificado de identidad y permite configurar y usar varios certificados CA y, por lo tanto, varios certificados de identidad en la versión 7.0 del dispositivo de seguridad PIX. La versión 6.3 de PIX sólo es compatible con la configuración y el uso del certificado de identidad. A continuación se presenta un ejemplo de cómo ha cambiado la CLI:

Sintaxis de la versión 6.3 de PIX:

ca identity myca 10.10.10.100 10.10.10.110
ca configure myca ca 3 3

Sintaxis de la versión 7.0 del dispositivo de seguridad PIX:

crypto ca trustpoint myca
    enroll url 10.10.10.100
    enrollment mode ca
    enrollment retry period 3
    enrollment retry count 3
    crl required
    crl
        ldap_defaults 10.10.10.110
        exit
   exit

Administración de grupos: los comandos tunnel-group y group-policy han reemplazado el comando vpngroup. La división de los datos de configuración entre tunnel-group y group-policy se utiliza para facilitar la distribución de las políticas de grupo. Por lo general, el grupo de túneles está vinculado a un par VPN o a un grupo de pares. A continuación, la política de grupos se aplica a uno o varios grupos de túneles. Una ventaja adicional es la posibilidad de almacenamiento o conservación de la política de grupos en un servidor de política externo. Siempre que se utilice el comando vpngroup, se convertirá automáticamente en los comandos tunnel-group y group-policy. A continuación se presenta un ejemplo de varios comandos vpngroup convertidos en la sintaxis nueva:

Sintaxis de la versión 6.3 de PIX:

vpngroup group1 address-pool pool1
vpngroup group1 password mypassword

Sintaxis de la versión 7.0 del dispositivo de seguridad PIX:

tunnel-group group1 type ipsec-ra
tunnel-group group1 general-attributes
address-pool pool1
tunnel-group group1 ipsec-attributes
pre-shared-key mypassword

Sintaxis de la versión 6.3 de PIX:

crypto map map_name client authenticate aaa_server_group_name

Sintaxis de la versión 7.0 del dispositivo de seguridad PIX:

tunnel-group group1 type ipsec-ra
tunnel-group group1 general-attributes
authentication-server-group myservergroup

Configuración de usuario PPP: la configuración de usuarios PPP mediante el comando vpdn ya no es compatible y el comando no es compatible en la versión 7.0 del dispositivo de seguridad PIX.

Pares remotos: después de realizar la actualización de la versión 6.3 de PIX a la versión 7.0 del dispositivo de seguridad PIX, se producen errores en las conexiones en PIX, por lo que se finalizan las conexiones remotas entre los pares del IOS en la criptografía dinámica con certificados. La solución radica en cambiar la configuración para forzar la conexión entre los pares del IOS en un grupo ipsec-l2l.

El siguiente ejemplo muestra el resultado de introducir el comando debug crypto isakmp 50, después de realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX:

...
[IKEv1], IP = x.x.x.x , Connection landed on tunnel_group DefaultRAGroup
[IKEv1], Group = DefaultRAGroup, IP = x.x.x.x Xauth
required but selected Proposal does not support xauth,  Check
priorities of ike xauth proposals in ike proposal list,
...

Xauth activada/desactivada: en la versión 6.3 de PIX, la opción Xauth estaba desactivada de forma predeterminada para los túneles dinámicos o de acceso remoto (cliente), de modo que si no la estaba utilizando, no existía ninguna indicación de la opción en su configuración. Al realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX, el elemento predeterminado tunnel-group de acceso remoto presenta Xauth activada de forma predeterminada e intenta autenticar los túneles en la base de datos local. Si termina los túneles de VPN dinámica sin la opción Xauth en la versión 6.3 de PIX, debe agregar la siguiente información a la configuración después de realizar la actualización para detener la aplicación de Xauth:

Para el grupo predeterminado:

tunnel-group DefaultRAGroup general-attributes
   authentication-server-group none

Si se han convertido comandos tunnel-group adicionales, deberá agregar el siguiente comando a cada uno de dichos comandos:

tunnel-group <group_name> general-attributes
   authentication-server-group none

Failover (Migración tras error)

Se ha introducido una serie de cambios en los comandos utilizados para tener una alta disponibilidad en su dispositivo de seguridad. El objetivo principal de los cambios realizados en los comandos failover de la versión 7.0 del dispositivo de seguridad PIX es unificar la interfaz de comando del módulo de servicios de Cisco y del dispositivo de seguridad.


Precaución Si comparte el enlace de actualización Stateful Failover con un enlace para tráfico normal, como la interfaz interna, debe cambiar la configuración antes de realizar la actualización, ya que la versión 7.0 del dispositivo de seguridad PIX no es compatible con esta configuración. La versión 7.0 del dispositivo de seguridad PIX trata las interfaces de actualización LAN failover y Stateful Failover como interfaces especiales. En la versión 6.3 de PIX, cuando una interfaz comparte el tráfico normal y las actualizaciones Stateful Failover, se perderá la configuración relacionada con la interfaz de tráfico normal después de realizar la actualización si no cambia la configuración. La configuración perdida puede impedirle la conexión con el dispositivo de seguridad a través de la red.

Esta sección incluye los siguientes temas:

Notas importantes

Comandos afectados

Requisitos de actualización

Descripción de cambios de comando

Notas importantes

Compartir una interfaz de migración tras error Stateful Failover con una interfaz de firewall normal no es una configuración compatible en la versión 7.0 del dispositivo de seguridad PIX. Esta restricción no era obligatoria en la versión 6.3 de PIX ni en versiones anteriores. Si tiene PIX configurado para uso compartido, la configuración relacionada con la interfaz de firewall se perderá después de realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX.

Por ejemplo, si actualiza PIX con un archivo de configuración que contenga las siguientes líneas,

nameif ethernet1 inside security100
failover link inside
static (inside,outside) 172.33.12.10 192.168.10.1 netmask 255.255.255.255 0 0

la interfaz `inside' se utiliza para el tráfico Stateful Failover y el normal. La línea con el comando static u otro comando que utilice la interfaz `inside' se perderá después de una actualización.

Para evitar la pérdida de configuración, antes de realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX, desplace Stateful Failover a una interfaz física independiente, o bien desactive Stateful Failover aplicando el comando no failover link <interfaz> y guardando la configuración en la memoria Flash mediante el comando write memory.

Comandos afectados

La actualización a la versión 7.0 del dispositivo de seguridad PIX afecta a los siguientes comandos:

failover (Migración tras error)

Requisitos de actualización

Todos los comandos failover se convierten automáticamente al realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX. No se requiere intervención manual.


Nota En la versión 7.0 del dispositivo de seguridad PIX, los cables de cruce y de migración tras error en serie son compatibles en las configuraciones de migración tras error de unidad activa a unidad activa.


Descripción de cambios de comando

La tabla 18 enumera los cambios realizados en el comando failover.

failover

Tabla 18 Cambios realizados en el comando failover 

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas

failover (Migración tras error)

failover poll <seg>

failover polltime [unit] [msec] <seg_y_mseg> [holdtime <seg>]

no failover poll [<seg>]

no failover polltime unit| interface [<seg>]

[no] failover ip address <interfaz> [<ipaddr>]

No compatibles

Utilice la opción `standby' de dirección IP del comando interface.

failover lan interface <interfaz>

[no] failover lan interface <interfaz> <interfaz_principal_o_subinterfaz>

failover link <interfaz>

failover link <interfaz> [<interfaz_principal_o_subinterfaz>]

failover lan key <secreta>

[no] failover key <clave>


Efecto de los cambios

Esta sección describe el efecto de los cambios de migración tras error en los comandos de la CLI de la versión 7.0 del dispositivo de seguridad PIX.

El comando failover ip address se ha reemplazado mediante la opción standby del comando de modo de configuración ip address dentro del comando interface. Por ejemplo:

Sintaxis de la versión 6.3 de PIX:

interface ethernet0 100full
nameif ethernet0 outside security0
ip address outside 10.0.1.1 255.255.0.0
failover ip address outside 10.0.1.11

Sintaxis de la versión 7.0 del dispositivo de seguridad PIX:

interface e0
  nameif outside
  ip address 10.0.1.1 255.255.255.0 standby 10.0.1.11
  exit
!

La interfaz failover lan y el comando failover link registran cambios similares.

Sintaxis de la versión 6.3 de PIX:

interface ethernet3 auto
nameif ethernet3 stlink security0
ip address stlink 10.0.4.1 255.255.0.0
failover ip address stlink 10.0.4.11
failover link stlink
interface ethernet4 auto
nameif ethernet4 folink security0
ip address folink 10.0.5.1 255.255.0.0
failover ip address outside 10.0.5.11
failover lan int folink

Sintaxis de la versión 7.0 del dispositivo de seguridad PIX:

failover lan interface folink e4
failover link stlink e3
failover interface ip folink 10.0.5.1 255.255.255.0 standby 10.0.5.11
failover interface ip stlink 10.0.4.1 255.255.255.0 standby 10.0.4.11

En la versión 7.0 del dispositivo de seguridad PIX, el comando failover lan key <clave> se convierte en el comando failover key <clave>. En la versión 6.3 de PIX, el mensaje de cifrado de migración tras error sólo se aplicaba a LAN failover. En la versión 7.0 del dispositivo de seguridad PIX, el mensaje de cifrado de migración tras error también se aplica a un cable de migración tras error en serie. La palabra clave lan se ha quitado, ya que el comando failover key <clave> es ahora compatible con comandos failover LAN y de cifrado en serie.

En la versión 6.3 de PIX, el comando failover poll sólo especificaba la configuración de unidad; la palabra clave unit se omitía porque se consideraba implícita. En la versión 7.0 del dispositivo de seguridad PIX, se ha agregado compatibilidad con holdtime, de modo que se han agregado las palabras clave unit y holdtime. En la sintaxis de la versión 6.3 de PIX (failover poll 3, por ejemplo) todavía se acepta y se convertirá automáticamente (failover polltime unit 3 holdtime 9, por ejemplo) en la versión  7.0 del dispositivo de seguridad PIX.

En la versión 7.0 del dispositivo de seguridad PIX, la clave failover se debe configurar para activar VPN Failover. Si la clave no está configurada, VPN Failover se desactivará automáticamente. Una vez que se ha configurado la clave, VPN Failover vuelve a funcionar. Este cambio se realizó por motivos de seguridad.

AAA

La CLI AAA incluye la configuración de parámetros para las siguientes funciones, aunque los cambios no afectan directamente a todas las funciones:

Usuarios de acceso remoto de la VPN (IPSec, L2TP sobre IPSec)

Servidores proxy de tipo cut-through para la autenticación de FTP, Telnet, HTTP y HTTPS

Administración de dispositivos

Existe una serie de cambios en los comandos AAA, así como un cambio de paradigma que afectará la forma de configurar AAA en la versión 7.0 del dispositivo de seguridad PIX. El cambio de paradigma hace referencia a un cambio en la forma de establecer parámetros específicos de servidor. En la versión 6.3 de PIX, los parámetros de servidor se configuran por grupo de servidor. En la versión 7.0 del dispositivo de seguridad PIX, los parámetros de servidor se pueden configurar por host AAA, algunos de los cuales sólo se pueden configurar para el grupo de servidor AAA entero.

También existe un cambio de paradigma en la forma de asignar los grupos de servidores AAA a túneles VPN. Consulte la sección "VPN" para obtener información acerca de estos cambios.

Esta sección explica la migración AAA e incluye los siguientes temas:

Comandos afectados

Requisitos de actualización

Descripción de cambios de comando

Efecto de los cambios

Comandos afectados

La actualización a la versión 7.0 del dispositivo de seguridad PIX afecta a los siguientes comandos:

aaa-server

aaa-server radius-acctport

aaa-server radius-authport

auth-prompt

floodguard

Requisitos de actualización

Todos los comandos aaa se convierten automáticamente al realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX. No se requiere intervención manual.


Nota En la versión 7.0 del dispositivo de seguridad PIX, la conexión FTP se restablece en el momento en que se configura la denegación de autorización. En la versión 6.3 de PIX, PIX ofrece una conexión FTP antes de denegar la autorización.


Descripción de cambios de comando

La tabla 19 enumera los cambios realizados en el comando aaa-server, la tabla 20 los realizados en el comando auth-prompt y la tabla 21 los cambios en floodguard.

aaa-server

Tabla 19 Cambios realizados en el comando aaa-server

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
aaa-server
[no] aaa-server radius-acctport
[<acct_port>]
aaa-server <group tag>
[<(if_name)>] host <server ip>
[no] accounting-port <port>

Los valores radius-acctport y radius-authport se configuran ahora como parte de los comandos de modo de configuración aaa-server específicos de host

Estos parámetros se configuran ahora en función del host; anteriormente lo hacían en función del grupo de servidores.

[no] aaa-server radius-authport
[<auth_port>]
aaa-server <group tag>
[<(if_name)>] host <server ip>
[no] authentication-port
<port>
aaa-server <group name>
[(if_name)] host server_ip [key]
[timeout seconds]
aaa-server <group name>
[(if_name)] host server_ip
    key <key>
    timeout <seconds>

El comando de modo de configuración aaa-server ha agregado dos comandos de modo de configuración nuevos (key y timeout)


auth-prompt

Tabla 20 Cambios realizados en el comando auth-prompt

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
auth-prompt
auth-prompt {<prompt> | accept |
reject} <text>
auth-prompt {prompt | accept |
reject} <text>

Una de las siguientes palabras clave es ahora obligatoria:

{prompt | accept | reject}

no auth-prompt [<prompt> |
accept | reject][<text>]
no auth-prompt {prompt | accept |
reject} [<text>]

Una de las siguientes palabras clave es ahora obligatoria:

{prompt | accept | reject}


floodguard

Tabla 21 Cambios realizados en el comando floodguard

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
floodguard
[no] floodguard [enable|disable]

No compatibles

Aparecerá el siguiente mensaje: "This command is no longer needed. The floodguard feature is always enabled." (Este comando ya no es necesario. La característica floodguard está siempre activada.)

show run floodguard
clear config floodguard

Efecto de los cambios

Esta sección describe el efecto de los cambios en los comandos de la CLI de la versión 7.0 del dispositivo de seguridad PIX.

La versión 7.0 del dispositivo de seguridad PIX permite configurar la mayoría de los parámetros del servidor AAA por host. El resultado de esto es que el comando aaa server presenta dos modos de configuración, un modo de configuración por host para configurar parámetros específicos de host AAA y un modo de configuración de grupo para configurar parámetros que sólo se pueden aplicar al grupo entero del servidor AAA.

Aquí tiene un ejemplo:

aaa-server svrgrp1 protocol radius
aaa-server svrgrp1 host 10.10.10.1
timeout 30
retry 3
exit
aaa-server svrgrp1 host 10.10.10.2
timeout 60
retry 3
exit

En la versión 7.0 del dispositivo de seguridad PIX, no se han aprobado las siguiente formas de los comandos:

[no] aaa-server radius-authport [auth_port]

[no] aaa-server radius-acctport [acct_port]

Estos comandos, que sólo se aplican a grupos de servidores que contienen servidores RADIUS, presentan cambios semánticos. Dado que no se han aprobado, no se escribirán en el archivo de configuración. Estos comandos se pueden utilizar para anular la autenticación RADIUS predeterminada y los puertos de contabilidad para todos los servidores (los valores predeterminados implícitos son puerto 1645 y 1646 respectivamente). Esta configuración global de puerto se podrá anular con el comando de modo de configuración específico de host.

En la versión 6.3 de PIX, los servidores proxy de tipo cut-through interceptan el tráfico destinado a los puertos 80 u 8080. Con la versión 7.0 del dispositivo de seguridad PIX, los servidores proxy de tipo cut-through comprueban los puertos locales en modo estático y, a continuación, interceptan e inician la autenticación Web para el tráfico destinado a cualquier puerto global que sea puerto 80.

Ejemplos:

Caso 1:

Si el puerto PAT externo está configurado como 666 (y las ACL están configuradas de forma correspondiente),

static (inside, outside) tcp tcp 10.48.66.155

666 192.168.123.10 www.netmask 255.255.255.255

Cuando un explorador Web de cliente intenta acceder a 10.48.66.155 en el puerto 666, aparece la solicitud de autenticación.

Caso 2:

Si el puerto local no es el puerto 80, en lugar de una solicitud de autenticación aparecerá el siguiente mensaje estándar de error: 'must be authenticated prior to using that service' (se debe autenticar antes de utilizar este servicio),

static (inside,outside) tcp 10.48.66.155 666 192.168.123.10 111 netmask 255.255.255.255

Administración

Se ha introducido una serie de cambios en los comandos utilizados para administrar el sistema PIX, junto con un sistema de archivos Flash nuevo. Para obtener más información acerca del sistema de archivos Flash nuevo y los comandos y características correspondientes, consulte la guía Cisco PIX Security Appliance Command Reference, Version 7.0 (Referencia de los comandos de la versión 7.0 del dispositivo de seguridad PIX de Cisco) y Cisco Security Appliance CLI Configuration Guide, Version 7.0 (Guía de configuración de la CLI de la versión 7.0 del dispositivo de seguridad de Cisco).

Esta sección incluye los siguientes temas:

Comandos afectados

Requisitos de actualización

Descripción de cambios de comando

Efecto de los cambios

Comandos afectados

La actualización a la versión 7.0 del dispositivo de seguridad PIX afecta a los siguientes comandos:

clear flashfs

copy capture

crashinfo

dhcpd auto_config

pager

pdm location

pdm group

pdm logging

show flashfs

ssh

telnet

tftp-server

Requisitos de actualización

Todos los comandos management se convierten automáticamente al realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX. No se requiere intervención manual.

Descripción de cambios de comando

La tabla 22 enumera los cambios realizados en el comando copy, la tabla 23 enumera los realizados en el comando dhcp , la tabla 24 muestra los cambios del comando pager, la tabla 25 los del comando ssh, la tabla 26 los cambios en el comando telnet y la tabla 27 los del comando tftp-server.

copy

Tabla 22 Cambios realizados en el comando copy

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
copy
copy capture:buffer name tftp URL
[pcap]
copy [/pcap] capture:<bufferSpec>
<URL>

<especificación_memoria intermedia>:= <nombre_memoria intermedia> en modo simple

[<nombre de contexto>/]<nombre_memoria intermedia> en modo múltiple



Nota El comando copy en la versión 6.3 de PIX se ha ampliado al sistema de archivos Flash nuevo y se ha implementado mediante el analizador nuevo. La sintaxis de las opciones de copy se ha cambiado en la versión 7.0 del dispositivo de seguridad PIX. Las opciones de copy se ubicaban al final del comando copy en la versión 6.3 de PIX.


dhcpd

Tabla 23 Cambios realizados en el comando dhcpd

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
dhcpd
[no] dhcpd auto_config [<intf>]
[no] dhcpd auto_config <intf>

`interfaz' es ahora un parámetro obligatorio


pager

Tabla 24 Cambios realizados en el comando pager

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
pager
terminal pager lines <lines>
terminal pager [lines] <lines>

Se han realizado modificaciones en el comando de modo EXEC existente para que la palabra clave lines sea opcional

[no] pager lines <lines>
[no] pager [lines] <lines>

ssh

Tabla 25 Cambios realizados en el comando ssh 

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
ssh
[no] ssh <local_ip> [<mask>
[<if_name>]]
[no] ssh <local_ip> <mask>
<if_name>

`máscara' y `nombre_interfaz' son ahora parámetros obligatorios


telnet

Tabla 26 Cambios realizados en el comando telnet

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
telnet
[no] telnet <local_ip> [<mask>
[<if_name>]]
[no] telnet <local_ip> <mask>
<if_name>

`máscara' y `nombre_interfaz' son ahora parámetros obligatorios


En la versión 7.0 del dispositivo de seguridad PIX, el comando no telnet timeout [<número>] vuelve a establecer el tiempo en espera de telnet en el valor predeterminado, es decir, en 5. El comando clear conf telnet también restaura el valor predeterminado del tiempo en espera de telnet.

En la versión 7.0 del dispositivo de seguridad PIX, se ha incrementado el resultado de los comandos help telnet y telnet timeout ? para incluir el valor predeterminado.

Ejemplo de resultado del comando telnet timeout ?:

sw1-535(config)# telnet timeout 1
sw1-535(config)# telnet 0 0 inside
sw1-535(config)# sho run telnet
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 1
sw1-535(config)# no telnet timeout
sw1-535(config)# sho run telnet
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 5
sw1-535(config)# telnet timeout 1
sw1-535(config)# sho run telnet
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 1
sw1-535(config)# clear conf telnet
sw1-535(config)# sho run telnet
telnet timeout 5
sw1-535(config)#

tftp-server

Tabla 27 Cambios realizados en el comando tftp-server 

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
tftp-server
tftp-server [<if_name>] <ip>
<dir>
[no] tftp-server <if_name> <ip>
<dir>

`nombre_interfaz' es ahora un parámetro obligatorio

clear tftp-server

No aprobado

Utilice el comando no para borrar el servidor TFTP


Efecto de los cambios

Esta sección detalla los cambios implementados en los comandos y advertencias del sistema de archivos Flash.

Para todos los comandos, si no se proporciona la ruta completa, se asume que ésta parte del directorio de trabajo actual.

La opción /noconfirm suprime la solicitudes de confirmación para los comandos del sistema de archivos.

Los comandos del sistema de archivos se duplican en la unidad en espera de la versión 7.0 del dispositivo de seguridad PIX. Estos son los comandos rename, mkdir, rmdir, delete, copy running-config startup- config.

A continuación se presentan características destacables de la implementación de la versión 7.0 del dispositivo de seguridad PIX:

Los comandos write memory y copy running start están duplicados.

La opción de réplica está desactivada para el comando write memory porque el comando copy se duplica igualmente.

No se sincronizan las configuraciones entre los dispositivos en modo activo y en espera cuando un comando del sistema de archivos no funciona en el dispositivo en espera. Una sincronización de configuraciones no sería útil porque los comandos del sistema de archivos no forman parte de la configuración. Cuando un comando del sistema de archivos no se ejecuta correctamente en el dispositivo en espera, aparece un mensaje informativo que indica que el sistema de archivos puede estar desincronizado.

El comando format no se duplica.


Nota Para obtener la compatibilidad con PIX, [flash:image] se corresponde con el primer archivo local, configurado mediante el comando boot system y [flash:pdm] se corresponde con el archivo configurado mediante el comando pdm image.


OSPF (Abrir la ruta más corta en primer lugar)

Gracias a la introducción del modo de configuración interface en la versión 7.0 del dispositivo de seguridad PIX, ahora se pueden configurar parámetros OSPF específicos de interfaz en el modo de configuración interface.

Esta sección incluye los siguientes temas:

Comandos afectados

Requisitos de actualización

Descripción de cambios de comando

Efecto de los cambios

Comandos afectados

La actualización a la versión 7.0 del dispositivo de seguridad PIX afecta a los siguientes comandos:

Comandos de modo de configuración ospf en el comando routing interface

set ip next-hop

set metric-type

Requisitos de actualización

Los comandos de modo de configuración ospf del comando routing interface se convierten automáticamente al realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX. No se requiere intervención manual.

Descripción de cambios de comando

El comando set ip next-hop sólo se utilizaba para enrutar políticas y se ha quitado porque la versión 7.0 del dispositivo de seguridad PIX no es compatible con el enrutamiento de políticas.

El comando set metric-type se usa para definir el tipo de métrica para la redistribución de rutas OSPF en la versión  7.0 del dispositivo de seguridad PIX, como se muestra a continuación:

Pix(config-route-map)# set metric-type {type-1 | type-2}

Ejemplo:

hostname(config)# route-map 1-to-2 permit
hostname(config-route-map)# match metric 1
hostname(config-route-map)# set metric 5
hostname(config-route-map)# set metric-type type-1

El siguiente ejemplo muestra la diferencia de sintaxis en los comandos de modo de configuración ospf:

Versión 6.3 de PIX

routing interface outside
ospf ...

Versión 7.0 del dispositivo de seguridad PIX

interface ethernet0
ospf ...


Nota Observe la diferencia en los nombre de interfaz; la versión 6.3 de PIX especifica el nombre de interfaz como lo muestra el comando nameif, mientras que la versión 7.0 del dispositivo de seguridad PIX utiliza los nombres de las interfaces físicas.


Efecto de los cambios

Los comandos de modo de configuración ospf del comando routing interface se convierten automáticamente en el modo de configuración de interfaz al realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX. Los comandos set ip next-hop y set metric-type se suprimen automáticamente.

Protocolo de control de puerta de enlace de medios (MGCP)

Con la introducción del marco de políticas modulares (MPF), todos los comandos fixup, incluido fixup mgcp, se han convertido en comandos inspect del MPF (consulte la sección "Comandos fixup e inspect"). Además, los comandos del protocolo de control de puerta de enlace de medios (MGCP) se han incluido en el comando mgcp-map para ajustarse al marco MPF.

Esta sección incluye los siguientes temas:

Comandos afectados

Requisitos de actualización

Configuración de class-map, mgcp-map y policy-map para MGCP

Comandos afectados

La actualización a la versión 7.0 del dispositivo de seguridad PIX afecta a los siguientes comandos:

mgcp

Requisitos de actualización

Los comandos mgcp no se han aprobado y los comandos de mgcp-map en el marco MPF los reemplazan. En la versión 7.0 del dispositivo de seguridad PIX, los comandos mgcp se convierten automáticamente. No se requiere intervención manual.

El comando mgcp-map (mostrado en el siguiente ejemplo) es opcional y sólo es necesario configurarlo si se especifican los elementos call-agent, gateways y command-queue.

mgcp-map mgcp-policy (Opcional)

[no] call-agent <ip-address> <group-id>
[no] gateway <ip-address> <group-id>
command-queue <limit>

Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
mgcp call-agent <ip-address> <group-id>
mgcp gateway <ip-address> <group-id>
mgcp command-queue <limit>
mgcp-map mgcp-policy
call-agent <ip-address> <group-id>
gateway <ip-address> <group-d>
command-queue <limit>

El comando mgcp-policy configurado como se muestra en la tabla anterior se incluye posteriormente en el comando inspect mgcp:

inspect mgcp mgcp-policy

Consulte el siguiente procedimiento para conocer todos los pasos de configuración.

Configuración de class-map, mgcp-map y policy-map para MGCP

Para configurar class-map, mgcp-map y policy-map para MGCP, realice los siguientes pasos:


Paso 1 Defina una clase de tráfico que coincida con todas las clases de tráficos del puerto 2427:

class-map f1_mgcp_class
match port 2427

o bien,

cree una ACL para clasificar todo el tráfico de MGCP. El tráfico de MGCP usa los puertos 2427 y 2727:

access-list f1_mgcp_class permit udp any any eq 2427
access-list f1_mgcp_class permit udp any eq 2427 any
class-map f1_mgcp_class
match access-list f1_mgcp_class
access-list f1_mgcp_class1 permit udp any any eq 2727
access-list f1_mgcp_class1 permit udp any eq 2727 any
class-map f1_mgcp_class1
match access-list f1_mgcp_class1

El siguiente comando mgcp-map es la CLI nueva para los comandos mgcp existentes:

mgcp-map mgcp-policy (optional)
call-agent <ip-address> <group-id>
gateway <ip-address> <group-id>
command-queue <limit>

Paso 2 Configure policy-map en la clase de tráfico para realizar una inspección de MGCP.

policy-map inspection_policy
class f1_mgcp_class
inspect mgcp mgcp-policy

Paso 3 Active la política mediante la aplicación global.

service-policy inspection-policy global

El comando show existente para mgcp se traspasará a la versión 7.0 del dispositivo de seguridad PIX.

show mgcp {commands|sessions} [detail]

Se debe obtener el mismo resultado en el comando show service-policy inspect mgcp.


Multicast (multidifusión)

Para adaptar el modo disperso de PIM (PIM-SM) a la versión 7.0 del dispositivo de seguridad PIX y alinear las implementaciones de multidifusión del software PIX y Cisco IOS, se han realizado varios cambios en los comandos multicast de la CLI.

Esta sección incluye los siguientes temas:

Antecedente

Comandos afectados

Requisitos de actualización

Descripción de cambios de comando

Efecto de los cambios

Antecedente

La versión 6.2 de PIX introdujo el enrutamiento de multidifusión stub (SMR) con compatibilidad de multidifusión nativa con IGMP incluido, rutas estáticas de multidifusión, mejoras en el controlador, una base de información de reenvío de multidifusión (MFIB) y un motor de reenvío de multidifusión (MFWD) para tomar decisiones sobre reenvíos y políticas. Esto permitía a los receptores conectarse directamente a grupos de multidifusión de unión dinámica y recibir datos mediante el reenvío de informes de host a un router ascendente que ejecutara un protocolo de enrutamiento de multidifusión como PIM. El router ascendente notificaba las fuentes de tráfico de multidifusión de los receptores interesados en recibir datos. Los informes de host se agregaban directamente a la MFIB para configurar la entrega. Las rutas de multidifusión estática se proporcionaban para facilitar la distribución de datos de multidifusión. Estos mecanismos suponían un reto de escalabilidad para los sitios que no tenían receptores de conexión directa. Además, las fuentes de tráfico de multidifusión de conexión directa requerían NAT y el uso de protocolos de modo denso.

Comandos afectados

La actualización a la versión 7.0 del dispositivo de seguridad PIX afecta a los siguientes comandos:

mroute

interfaz multicast (multidifusión)

igmp max-groups

Requisitos de actualización

Debe revisar la configuración de multidifusión y aprovechar el PIM-SM, ahora que PIX es compatible con PIM-SM. Si instaló la versión 6.2 o 6.3 de PIX y se ofrecía un firewall para fuentes de tráfico de multidifusión de conexión directa, debe realizar la migración a una configuración de PIM-SM.

Descripción de cambios de comando

La tabla 28 enumera los cambios realizados en el comando mroute, la tabla 29 muestra los del comando igmp max-groups y la tabla 30 los cambios en multicast.

mroute

Tabla 28 Cambios realizados en el comando mroute 

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
mroute
mroute <src> <smask>
<interface-name> <dst> <dmask>
<interface-name>
mroute <src> <smask>
<interlace-name> [dense
<interface-name>] [distance]

Se convierte automáticamente después de la actualización.


igmp max-groups

Tabla 29 Cambios realizados en el comando igmp max-groups 

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
igmp max-groups
igmp max-groups <number>
igmp limit <number>

Se convierte automáticamente después de la actualización.

Valor predeterminado nuevo de 500 grupos.


multicast

Tabla 30 Cambios realizados en el comando multicast 

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
multicast
multicast interface
<interface-name>

No compatibles

Se convierte automáticamente después de la actualización.


Efecto de los cambios

Los cambios implementados en los comandos mroute, igmp max-groups y multicast los colocan en línea con la CLI del software Cisco IOS.

mroute

Al realizar la actualización de la versión 6.3 de PIX, el comando mroute adquiere automáticamente el formato nuevo. Puede utilizar la sintaxis ampliada de mroute que admite fuentes multicast con conexión directa a PIX y cambiar la sintaxis para aprovechar el PIM-SM y evitar así la sobrecarga del modo denso y los problemas de escalabilidad relacionados. Consulte la sección PIM-SM en Cisco Security Appliance Command Line Configuration Guide (Guía de configuración de la línea de comandos del dispositivo de seguridad de Cisco) para obtener más información.

Al quitar la opción <destino> <máscara de destino>, todos los grupos de multidifusión procedentes de la dirección IP <origen> se convierten automáticamente en el formato nuevo.

Las configuraciones siguientes se convierten automáticamente en el formato nuevo; sin embargo, el comportamiento se puede diferenciar levemente del propósito inicial.

mroute 1.0.0.0 255.0.0.0 inside 224.1.1.0 255.255.255.0 outside
mroute 1.0.0.0 255.0.0.0 inside 224.2.2.0 255.255.255.0 dmz

Si asumimos que el reenvío de IGMP no estaba configurado, la configuración ya convertida presentaría la siguiente estructura:

mroute 1.0.0.0 255.0.0.0 dmz

La opción de modo dense sólo es relevante cuando se usa el enrutamiento de multidifusión stub (SMR) de la versión 7.0 del dispositivo de seguridad PIX. Todos los comandos mroute aceptan la palabra clave dense, pero sólo es eficaz cuando el SMR está activado.

Si activa el PIM-SM, se ignorará la interfaz de resultados del comando mroute desde un punto de vista funcional.

igmp max-groups

Al realizar la actualización de la versión 6.3 de PIX, el comando igmp max-groups se convierte automáticamente en el comando igmp limit nuevo. El límite predeterminado presenta cambios que oscilan entre 2000 y 500. Si no se ha especificado el límite de configuración, el valor predeterminado es 500. Si la configuración especifica un límite, se realizará sin problemas.

multicast

El comando multicast y los comandos de modo de configuración multicast relacionados se convierten automáticamente en el modo de configuración interface.

Por ejemplo, si un dispositivo PIX 515E que ejecuta la configuración de la versión 6.3 de PIX incluye el siguiente fragmento de configuración de multidifusión:

.
multicast interface outside
multicast interface inside
igmp forward interface outside
.
.
.

La configuración se convertirá en lo siguiente después de la actualización a la versión 7.0 del dispositivo de seguridad PIX:

multicast-routing
interface Ethernet0
 nameif outside
 security-level 0
 ip address 192.168.3.1 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
 igmp forward interface outside
!

La configuración anterior asume que tiene ethernet0 como interfaz externa y ethernet1 como interfaz interna con los niveles de seguridad y las direcciones IP de ejemplo. El resultado de la conversión puede diferir levemente en función de la interfaz, el nivel de seguridad y las direcciones IP correspondientes a las interfaces afectadas.

NAT

En la versión 6.3 de PIX, debe configurar NAT en los hosts internos, cuando los hosts de una interfaz de seguridad mayor (interna) se comunican con los hosts de una interfaz de seguridad menor (externa). En la versión 7.0 del dispositivo de seguridad PIX, este control de NAT se puede desactivar; puede seguir configurando NAT, pero no es necesario para la comunicación. Por ejemplo, si desactiva el control de NAT, no necesita configurar una declaración de NAT estática para los hosts externos con el fin de conectarse a un host interno.

Esta sección incluye los siguientes temas:

Comandos afectados

Requisitos de actualización

Descripción de cambios de comando

Efecto de los cambios

Comandos afectados

El comando nat-control introducido en la versión 7.0 del dispositivo de seguridad PIX incorpora automáticamente la funcionalidad de control de NAT de la versión 6.3 de PIX en la versión 7.0 del dispositivo de seguridad PIX. Para desactivar el control de NAT, introduzca el comando no nat-control.

Requisitos de actualización

Cuando realiza la actualización a la versión 7.0 del dispositivo de seguridad PIX, el comando nat-control nuevo se incluye automáticamente en la configuración. No se requiere intervención manual.

Descripción de cambios de comando

En la versión 7.0 del dispositivo de seguridad PIX, se ha introducido un comando nuevo, nat-control, para mantener la funcionalidad NAT de la versión 6.3 de PIX.

En la versión 7.0 del dispositivo de seguridad PIX, los argumentos conexiones_máximas_tcp y conexiones_máximas_udp relacionados con los comandos nat y static se aplican a la última entidad de configuración que incluye un host_local dentro del intervalo ip_real. Dado que las declaraciones estáticas se ubican detrás de las declaraciones nat; si los intervalos ip_real de las declaraciones nat y estáticas se superponen, los límites estáticos tienen prioridad porque se sitúan después de las declaraciones nat en la configuración.

Por ejemplo, si tiene la siguiente configuración en la versión  7.0 del dispositivo de seguridad PIX:

nat (inside) 1 10.10.12.0 255.255.255.0 50 10
static (inside,dmz) 10.0.0.0 10.0.0.0 netmask 255.0.0.0

Las variables conexiones_máximas_tcp, conexiones_máximas_udp y límite_incorporado se aplicarán en función de la declaración estática (sin límite), ya que la sección estática se sitúa detrás de la sección nat en la configuración.

Para la versión 6.3 de PIX y anteriores, las variables conexiones_máximas y límite_incorporado (no existía conexiones_máximas_upd antes de la versión 7.0 del dispositivo de seguridad PIX) se aplicaban a un host local en función de la traducción generada para un host local. Por lo tanto, si en la versión 6.3 de PIX tenía la siguiente configuración:

global (outside) 1 interface
nat (inside) 1 10.10.12.0 255.255.255.0 50 10
static (inside,dmz) 10.0.0.0 10.0.0.0 netmask 255.0.0.0

En el ejemplo anterior, se asume que el host_local con dirección 10.10.12.99 no tiene aún una traducción. Si este host_local inicia primero una conexión externa, se le aplicará 50 y 10 para los límites conexiones_máximas y límite_incorporado. Si este host inicia primero una conexión con dmz, no se le aplicarán límites a las variables conexiones_máximas y límite_incorporado.

Efecto de los cambios

La funcionalidad de control de NAT de la versión 6.3 de PIX se conserva de forma predeterminada en la versión 7.0 del dispositivo de seguridad PIX gracias a la introducción del comando nat-control. Sin embargo, cuando introduce el comando no nat-control, desactiva el control de NAT; NAT no volverá a ser necesario para la comunicación entre hosts internos y externos.

Al realizar la actualización de la versión 6.3 de PIX a la versión 7.0 del dispositivo de seguridad PIX, los argumentos conexiones_máximas_tcp y conexiones_máximas_udp del comando nat no se aplicarán si existe una declaración estática con el mismo intervalo ip_real.

Infraestructura de claves públicas (PKI)

Los comandos de la autoridad certificadora (ca) se han modificado para incorporar más características de PKI y para que se parezcan más a los comandos del software Cisco IOS. Para ello, se introdujo el concepto de puntos de confianza del software Cisco IOS en la versión 7.0 del dispositivo de seguridad PIX. Un punto de confianza es la representación del par certificado de autoridad certificadora (CA)/certificado de identidad y contiene:

La identidad de CA

Parámetros de configuración de CA específicos

Una asociación con un certificado de identidad inscrito

En la versión 7.0 del dispositivo de seguridad PIX, hay dos cambios clave:

En la versión 6.3 de PIX, los comandos de PKI se incorporaron con la palabra clave ca, pero en la versión 7.0 del dispositivo de seguridad PIX los comandos se han incorporado con la palabra clave crypto.

En la versión 6.3 de PIX, los certificados se almacenaron en un archivo de datos privado oculto, pero en la versión 7.0 del dispositivo de seguridad PIX, se ubican en el archivo de configuración y en la raíz del árbol del comando crypto.

El comportamiento de los comandos clear config <palabra clave> quita todas las líneas de la configuración actual que contienen <palabra clave> en su raíz. En la versión 7.0 del dispositivo de seguridad PIX, el comando clear config crypto quita los certificados, puntos de confianza y mapas de certificados porque se encuentran en el árbol de este comando.

En la versión 7.0 del dispositivo de seguridad PIX, se ha introducido el comando clear configure crypto y reemplaza al comando clear crypto. En la versión 6.3 de PIX se hace referencia a los puntos de confianza introducidos en la versión 7.0 del dispositivo de seguridad PIX como identidades de CA y se configuraron mediante el comando ca identity.

La tabla 31 enumera los comandos de PKI que no se han aprobado y el motivo de ello:

Tabla 31 Comandos de PKI no aprobados y motivo de la no aprobación 

Comando de la versión 6.3 de PIX
Motivo de la no aprobación en la versión 7.0 del dispositivo de seguridad PIX
ca generate rsa key <size>

Se ha reemplazado por el comando crypto key para realizar una alineación mejor con la sintaxis y la funcionalidad de los comandos de la CLI de Cisco IOS.

ca generate rsa specialkey <size>
ca zeroize rsa
ca identity <name> <ip_address|hostname>
[:<ca_script_location>] [<ldap_ip|hostname>]

Se ha reemplazado por el comando crypto ca trustpoint para realizar una alineación mejor con la sintaxis y la funcionalidad de los comandos de la CLI de Cisco IOS.

no ca identity <name>
ca configure <name> [ca|ra <retry_period>
<retry_count> [crloptional]]
ca enroll <name> <password> [serial]
[ipaddress]
[no] ca subject name <name><X.500 string>
ca authenticate <name> [<fingerprint>]

Se ha reemplazado por el comando crypto ca para realizar una alineación mejor con la sintaxis y la funcionalidad de los comandos de la PKI de la CLI de Cisco IOS.

ca crl request <id_name>
ca verifycertdn <x.500 string>

Esta sección incluye los siguientes temas:

Comandos afectados

Requisitos de actualización

Descripción de cambios de comando

Efecto de los cambios

Comandos afectados

ca generate/ca zeroize

ca identity/ca configure

ca authenticate

ca enroll

ca crl

ca subject-name

ca save all

ca verifycertdn

Requisitos de actualización

Los comandos ca afectados no se han aprobado o se ha retirado la compatibilidad. En la versión 7.0 del dispositivo de seguridad PIX, los comandos ca se convierten automáticamente. No se requiere intervención manual.

Descripción de cambios de comando

La tabla 32 enumera los cambios realizados en los comandos ca generate y ca zeroize, la tabla 33 los realizados en los comandos ca identity y ca configure, la tabla 34 los cambios del comando ca authenticate, la tabla 35 muestra los del comando ca enroll, la tabla 36 los implementados en ca crl, la tabla 37 los cambios del comando ca subject-name y la tabla 38 muestra los del comando ca verifycertdn.

ca generate/ca zeroize

Tabla 32 Cambios realizados en los comandos ca generate y ca zeroize

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
ca generate

ca generate rsa key <size>
crypto key generate rsa
general-keys modulus <size>

No aprobado

ca generate rsa specialkey
<size>
crypto key generate rsa
usage-keys modulus <size>
ca zeroize
ca zeroize rsa
crypto key zeroize rsa

ca identify/ca configure

Tabla 33 Cambios realizados en los comandos ca identify y ca configure

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
ca identity
ca identity <name>
<ip_address|hostname>
[:<ca_script_location>]
[<ldap_ip|hostname>]
crypto ca trustpoint <name>
enroll url
<ip_address|hostname>[:<ca_sc
ript_location>]
crl
ldap_defaults
<ldap_ip|hostname>
exit
exit

No aprobado

no ca identity <name>
no crypto ca trustpoint <name>
ca configure
ca configure <name> [ca|ra
<retry_period>
<retry_count> [crloptional]]
crypto ca trustpoint <name>
enrollment mode <ca|ra>
enrollment retry period
<retry_period>
enrollment retry count
<retry_count>
crl <optional|required>
exit

ca authenticate

Tabla 34 Cambios realizados en el comando ca authenticate

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
ca authenticate
ca authenticate <name>
[<fingerprint>]
crypto ca authenticate <name>
[<fingerprint>]

No aprobado


ca enroll

Tabla 35 Cambios realizados en el comando ca enroll

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
ca enroll
ca enroll <name> <password>
[serial] [ipaddress]
crypto ca trustpoint <name>
[no] ip-address <address>
[no] serial-number
password <password>
exit
crypto ca enroll <name>

No aprobado


ca crl

Tabla 36 Cambios realizados en el comando ca crl

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
ca crl
ca crl request <id_name>
crypto ca crl request
<trustpoint>

No aprobado


ca subject-name

Tabla 37 Cambios realizados en el comando ca subject-name

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
ca subject-name
[no] ca subject name <name>
<X.500 string>
crypto ca trustpoint <name>
[no] subject-name <X.500
string>

No aprobado


ca save all

Este comando se ha quitado y, al igual que ocurre con los comandos de Cisco IOS, las claves y los datos de certificado se han guardado al mismo tiempo que la escritura de la configuración en la memoria.

ca verifycertdn

Tabla 38 Cambios realizados en el comando ca verifycertdn

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
ca verifycertdn
ca verifycertdn <x.500 string>
crypto ca verifycertdn <x.500
string>

No aprobado

no ca verifycertdn
no crypto ca verifycertdn

Efecto de los cambios

Los comandos ca no aprobados se convierten automáticamente al realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX. También hay comandos ca adicionales nuevos. Consulte Cisco PIX Security Appliance Command Reference, Version 7.0 (Referencia de los comandos de la versión 7.0 del dispositivo de seguridad PIX de Cisco) para obtener más información acerca de los comandos ca.

Miscelánea

Hay otras características y comandos de la versión 7.0 del dispositivo de seguridad PIX que han cambiado, como se describe en esta sección.

En la versión 6.3 de PIX, los comandos clear flashfs y flashfs downgrade x.x borran parte del sistema de archivos de la memoria Flash de la versión 7.0 del dispositivo de seguridad PIX y el comando show flashfs muestra el tamaño en bytes de cada sector del sistema de archivos y su estado actual.

En la versión 7.0 del dispositivo de seguridad PIX, el comando flashfs no es compatible; utilice el comando show flash en su lugar. La abreviatura de los comandos show flashfs y show flash es show flash.

En la versión 7.0 del dispositivo de seguridad PIX, no se han aprobado alguna de las palabras clave del comando established.

Se han introducido varios cambios en el comando sysopt de la versión 7.0 del dispositivo de seguridad PIX.

Si utiliza la versión 6.3 de PIX con el filtrado URL y aceptó el tiempo de espera predeterminado de 5 segundos para el comando url-server, el comando url-server se invalida al realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX. El tiempo de espera mínimo en la versión 7.0 del dispositivo de seguridad PIX es 10 segundos, mientras que en la versión 6.3 de PIX es 5 segundos. Puesto que se ha rechazado el comando url-server, también se rechazarán todos los comandos filter. La solución es volver a introducir el comando url-server utilizando un valor de tiempo de espera mayor, por ejemplo, 30 segundos, que es el valor predeterminado en la versión 7.0 del dispositivo de seguridad PIX y, a continuación, volver a agregar todas las declaraciones de filtro.

En la versión 6.3 de PIX, la opción 19 de TCP que utilizaba BGP MD5 se permitía automáticamente, pero en la versión 7.0 del dispositivo de seguridad PIX se requiere una configuración adicional.

Esta sección incluye los siguientes temas:

Comandos afectados

Requisitos de actualización

Descripción de cambios de comando

Efecto de los cambios

Comandos afectados

established

flashfs

sysopt permit pptp | permit l2tp

Requisitos de actualización

Los comandos flashfs, clear flashfs y show flashfs de la versión 6.3 de PIX son comandos de modo EXEC y no están guardados en la configuración, por lo tanto, no es necesario convertirlos al realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX.

Descripción de cambios de comando

La tabla 39 enumera los cambios realizados en el comando established, la tabla 40 los cambios del comando flashfs y la tabla 41 los realizados en el comando sysopt.

established

Tabla 39 Cambios realizados en el comando established

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
established
[to | permitto <protocol>
<port1>[-<port2>]]
[permitto <protocol>
<port1>[-<port2>]]

Las palabras clave to y from no se han aprobado; utilice permitto y permitfrom en su lugar.

[from | permitfrom <protocol>
<port1>[-<port2>]]}
[permitfrom <protocol>
<port1>[-<port2>]]}

flashfs

Tabla 40 Cambios realizados en el comando flashfs 

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
flashfs
clear flashfs

No compatibles

flashfs

No compatibles

Utilice el comando downgrade para cargar la versión 6.3 de PIX.

show flashfs
show flash

La abreviatura de los comandos show flashfs y show flash es show flash.


sysopt

Tabla 41 Cambios realizados en el comando sysopt 

Comando
Versión 6.3 de PIX
Versión 7.0 del dispositivo de seguridad PIX
Notas
sysopt
[no] sysopt connection
permit-pptp | permit-l2tp

No compatibles


Efecto de los cambios

Esta sección describe el efecto de los cambios en la versión 7.0 del dispositivo de seguridad PIX.

Las palabras clave to y from se retiraron del comando established, porque a pesar de que la versión 6.3 de PIX aceptaba to y from, se almacenaban en formato permitto y permitfrom. Esto permite que la configuración anterior se actualice correctamente. Sin embargo, ahora debe utilizar permitto en lugar de to y permitfrom en lugar de from.

No existe equivalente para el comando clear flashfs en la versión 7.0 del dispositivo de seguridad PIX. En lugar de eso, utilice el comando downgrade para cargar una versión 6.3 de PIX (consulte las secciones "Pautas para realizar el retorno a una versión anterior" y "Procedimiento de retorno a una versión anterior").

Para obtener más información acerca de los comandos clear y show, consulte la sección "Procesador de comandos de la CLI".

No se han aprobado las opciones permit-l2tp y permit-pptp del comando sysopt y la opción uauth allow-http-cache.

En la versión 7.0 del dispositivo de seguridad PIX, la opción sysopt connection permit-ipsec está activada de forma predeterminada y dejará de permitir el tráfico de VPN para desviar las ACL de usuario/grupo; sin embargo, permitirá el tráfico de VPN para desviar las ACL de interfaz.

Si tiene la opción sysopt connection permit-ipsec establecida como una línea nueva en la configuración de la versión 6.3 de PIX, dicha línea se quitará automáticamente en la configuración de la versión 7.0 del dispositivo de seguridad PIX. Puesto que la opción sysopt connection permit-ipsec está activada de forma predeterminada, no deberá volver a especificarla en una línea independiente. En la versión 7.0 del dispositivo de seguridad PIX, utilice el comando show running-configuration sysopt para visualizar los parámetros de las configuraciones de sysopt que están establecidos en los valores predeterminados.

Si no tiene la opción sysopt connection permit-ipsec en una línea independiente de la versión 6.3 de PIX, se agregará automáticamente a la configuración de la versión 7.0 del dispositivo de seguridad PIX [DAA] si se está ejecutando en modo de firewall simple [/DAA]. La opción sysopt connection permit-ipsec permanece desactivada (valor predeterminado de la versión 6.3 de PIX) y el comportamiento se conserva en la versión 7.0 del dispositivo de seguridad PIX.

Para aumentar la seguridad de BGP, el número 19 de la opción TCP se utiliza para traspasar un resumen MD5 a un segmento TCP. El 19 de la opción TCP se borra de forma predeterminada de la versión 7.0 del dispositivo de seguridad de PIX. Para permitir la opción TCP, utilice la siguiente configuración:

class-map BGP-MD5-CLASSMAP
     match port tcp eq 179
  tcp-map BGP-MD5
     tcp-options range 19 19 allow
  policy-map global_policy
   class BGP-MD5-CLASSMAP
    set connection advanced-options BGP-MD5  service-policy
 global_policy global

Para obtener más información, consulte http://www.cisco.com/en/US/tech/tk365/technologies_configuration_example09186a008009487d.shtml.

Cambios en las licencias

La versión 7.0 del dispositivo de seguridad PIX es compatible con dos tipos de claves de licencia.

Clave de licencia cuádruple existente para la versión 6.3 de PIX o anteriores

Clave de licencia quíntuple nueva sólo para la versión 7.0 del dispositivo de seguridad PIX

Al realizar la actualización de la versión 6.3 de PIX a la versión  7.0 del dispositivo de seguridad PIX, la clave de licencia existente para la versión 6.3 de PIX se conserva y se guarda en una ubicación central del sistema de archivos Flash.

Al realizar el retorno a la versión anterior desde la versión 7.0 del dispositivo de seguridad PIX, es decir, a la versión 6.2 o 6.3 de PIX, la clave de licencia existente para la versión original 6.2 o 6.3 de PIX que se guardó durante el procedimiento de actualización se recupera y se guarda en la imagen de la versión 6.2 o 6.3 de PIX.

Si no está instalada la licencia de la versión 6.3 de PIX ni de la versión 7.0 del dispositivo de seguridad PIX, la versión 7.0 se ejecuta con la configuración predeterminada, que es una licencia con restricciones.

Requisitos previos a la actualización


Nota Antes de leer la sección Requisitos previos a la actualización, lea la sección "Notas importantes".


Si está realizando la actualización de PIX 515 o PIX 535 con PDM ya instalado, debe realizarla en modo monitor. Consulte las instrucciones en la sección "Actualización en modo monitor".

Si intenta realizar la actualización según las instrucciones de la sección "Actualización básica de la versión 6.3 de PIX a la versión 7.0 del dispositivo de seguridad", se mostrará el siguiente resultado:

Insufficient flash space available for this request:
Size info:request:5025848 current:1966136 delta:3059712 free:1310720
Image not installed

Son necesarios algunos requisitos previos antes de realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX, descritos en las siguientes secciones:

Requisitos mínimos de hardware

Requisitos mínimos de software

Requisitos mínimos de memoria

Requisitos del sistema operativo y del explorador de la PC cliente

Requisitos mínimos de conectividad

Requisitos mínimos de hardware

El software de la versión 7.0 del dispositivo de seguridad PIX se ejecuta en las plataformas PIX 515/515E, PIX 525 y PIX 535. La versión 7.0 del dispositivo de seguridad PIX no es compatible actualmente con el hardware PIX 501 o PIX 506/506E.

Requisitos mínimos de software

La versión de software mínimo requerida antes de realizar una actualización a la versión 7.0 del dispositivo de seguridad es la versión 6.2 de PIX. Si está ejecutando una versión de PIX anterior a la versión 6.2 de PIX, primero debe realizar la actualización a la versión 6.2 o  6.3 de PIX antes de poder pasar a la versión 7.0 del dispositivo de seguridad de PIX.


Nota Se recomienda realizar copias de seguridad de las imágenes y de las configuraciones antes de realizar la actualización.


Para actualizar la imagen del software de PIX, visite el siguiente sitio Web:

http://www.cisco.com/pcgi-bin/tablebuild.pl/pix

Requisitos mínimos de memoria

Si es usuario de PIX 515 o PIX 515E con la versión 6.3 de PIX, deberá actualizar la memoria antes de realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX. La versión 7.0 del dispositivo de seguridad PIX requiere al menos 64 MB de RAM para licencias con restricciones (R) y 128 MB de RAM para licencias sin restricciones (UR) y de migración tras error (FO) (consulte la tabla 42).

La tabla 43 muestra los requisitos de memoria mínimos para PIX 525 y PIX 535.

Tabla 42 Requisitos de memoria mínimos para PIX 515/515E  

Licencia de la plataforma de la versión 6.3 de PIX
Memoria actual (MB)
Licencia de plataforma de actualización deseada
Número de pedido
Memoria necesaria (MB)

R

32

PIX-515-MEM-32=
Descargue el software de cisco.com o
adquiera PIX-SW-UPGRADE=

64

R

64

Descargue el software de cisco.com o adquiera PIX-SW-UPGRADE=

64

R

32

UR

PIX-515-SW-R-UR=
Extraiga el módulo de memoria de 32 MB (DIMM) existente y reemplácelo por dos módulos nuevos de 64 MB para obtener un total de 128 MB

128

R

64

UR

PIX-515-SW-R-UR=
Extraiga los dos módulos de memoria de 32 MB existentes y reemplácelos por dos módulos nuevos de 64 MB para obtener un total de 128 MB

128

UR

64

PIX-515-MEM-128=
Descargue el software de cisco.com o adquiera PIX-SW-UPGRADE=

128

UR

128

Descargue el software de cisco.com o adquiera PIX-SW-UPGRADE=

128

FO

64

PIX-515-MEM-128=
Descargue el software de cisco.com o adquiera PIX-SW-UPGRADE=

128

FO

128

Descargue el software de cisco.com o adquiera PIX-SW-UPGRADE=

128

FO

64

UR

PIX-515-SW-FO-UR=

128

FO

128

UR

PIX-515-SW-FO-UR=

128

R

64

UR

PIX-515-SW-R-UR=

128

FO

128

UR

PIX-515-SW-FO-UR=

128

FO

128

U

PIX-515-SW-FO-R=

64


La actualización de las memorias PIX 515 y PIX 515E no requiere la actualización de una BIOS.


Nota El requisito mínimo de memoria Flash es 16 MB.


La tabla 43 muestra los requisitos de memoria mínimos para PIX 525 y PIX 535.

Tabla 43 Requisitos de memoria mínimos de PIX 525 y PIX 535

Modelo
Capacidad mínima de RAM

Dispositivo de seguridad PIX 525 de Cisco

128 MB en modelos con restricciones

256 MB en modelos sin restricciones, de migración tras error y de migración tras error de unidad activa a unidad activa

Dispositivo de seguridad Cisco PiIX 535

512 MB en modelos con restricciones

1024 MB en modelos sin restricciones, de migración tras error y de migración tras error de unidad activa a unidad activa


Requisitos del sistema operativo y del explorador de la PC cliente

La tabla 44 muestra las plataformas compatibles y recomendadas para la versión 5.0 de ASDM.

Tabla 44 Requisitos de sistema operativo y de explorador 

 
Sistema operativo
Explorador
Otros requisitos

Windows1

Sistemas operativos de Windows 2000 (Service Pack 4) o Windows XP

Internet Explorer 6.0 con el complemento Java 1.4.2 o 1.5.0

Nota HTTP 1.1: Settings for Internet Options > Advanced > HTTP 1.1 (Configuración de las Opciones de Internet > Avanzada > HTTP 1.1) debe utilizar HTTP 1.1 para las conexiones con y sin servidores proxy.

Netscape 7.1/7.2 con el complemento Java 1.4.2 o 1.5.0

Parámetros de cifrado SSL: todas las opciones de cifrado disponibles están activadas para SSL en las preferencias del explorador.

Sun Solaris

Sun Solaris 8 o 9 que ejecute el administrador de ventanas CDE

Mozilla 1.7.3 con el complemento Java 1.4.2 o 1.5.0

Linux

Versión 3 de Red Hat Linux 9.0 o Red Hat Linux WS que ejecute GNOME o KDE

Mozilla 1.7.3 con el complemento Java 1.4.2 o 1.5.0

1 ASDM no es compatible con Windows 3.1, 95, 98, ME o Windows NT4.


Requisitos mínimos de conectividad

Los requisitos mínimos de conectividad para realizar una actualización a la versión 7.0 del dispositivo de seguridad PIX son los que se incluyen a continuación:

Una PC o un servidor conectados a un puerto de red de PIX y que ejecute el software de TFTP. La PC o el servidor se pueden conectar a PIX mediante un switch o un cable de cruce.

Un conector DB-9, un cable de conexión y un programa de conectividad de consola, como HyperTerminal u otro programa de emulación de terminal, para comunicarse con PIX.

Procedimiento de actualización

Esta sección incluye los siguientes temas:

Procedimiento básico de actualización

Actualización en modo monitor

Ejemplos de actualización

Notas importantes

Si está realizando la actualización de PIX 515 o PIX 535 con PDM ya instalado, debe realizarla en modo monitor. Consulte las instrucciones en la sección "Actualización en modo monitor".

La imagen de la versión 6.3 de PIX en un PIX 515 o PIX 535 sólo accede a los primeros 8 MB de la memoria Flash, en lugar de a los 16 MB de toda la memoria Flash. Si la imagen de la versión 7.0 del dispositivo de seguridad PIX junto con el contenido de la memoria Flash superan el límite de 8 MB, puede aparecer el siguiente mensaje de error: Insufficient flash space available for this request (Espacio disponible de memoria Flash insuficiente para esta solicitud). La solución es cargar la imagen en modo monitor. Consulte la sección "Actualización en modo monitor".

La imagen de PDM de la memoria Flash no se copia automáticamente en el sistema de archivos nuevo.

Para evitar errores en la instalación, asegúrese de leer la sección "Requisitos previos a la actualización" antes de continuar.

Consulte la sección "Ejemplos de actualización" para ver ejemplos de configuración. Le puede ser útil revisarlos antes de iniciar el procedimiento de actualización.


Precaución Si comparte el enlace de actualización Stateful Failover con un enlace para tráfico normal, como la interfaz interna, debe cambiar la configuración antes de realizar la actualización. No realice la actualización hasta cambiar la configuración, ya que ésta no es compatible y la versión 7.0 del dispositivo de seguridad PIX trata las interfaces de actualización LAN failover y Stateful Failover como interfaces especiales.

Si realiza la actualización a la versión 7.0 del dispositivo de seguridad PIX con una configuración que comparte una interfaz para el tráfico normal y las actualizaciones de Stateful Failover, la configuración relacionada con la interfaz de tráfico normal se perderá después de la actualización. La configuración perdida puede impedirle la conexión con el dispositivo de seguridad a través de la red.

Procedimiento básico de actualización


Nota La conversión automática de los comandos provoca un cambio en la configuración. Debe guardar la configuración después de la actualización y revisar las líneas que han cambiado de la configuración. Hasta entonces, el software convertirá automáticamente la configuración cada vez que la lea.


Para realizar la actualización mediante los comandos disponibles en la versión 6.3 de PIX, realice los siguientes pasos:


Paso 1 Introduzca el comando login para conectarse con la consola de PIX.

Ejemplo:

pix> login

Paso 2 Introduzca su nombre de usuario y contraseña en las líneas de solicitud.

Username:
Password:

Paso 3 Introduzca el comando enable para acceder al modo privilegiado y comenzar el procedimiento de actualización.

Ejemplo:

pix> enable

Paso 4 Introduzca la contraseña en la solicitud.

Password:

Ahora está en modo privilegiado.

Paso 5 Introduzca el comando ping <dirección ip> para confirmar el acceso al servidor TFTP seleccionado.

Ejemplo:

pix> ping 192.168.2.200


Nota Reemplace 192.168.2.200 por la dirección IP de su servidor TFTP.


Paso 6 Introduzca el comando write net <dirección ip> <nombre de archivo> para guardar la configuración de trabajo actual en el servidor TFTP.

Ejemplo:

pix> write net 192.168.2.200:63config.txt


Nota Reemplace 63config.txt con el nombre de archivo que desee.


Paso 7 Introduzca el comando configure terminal (config t) para pasar del modo privilegiado al modo de configuración.

pix# configure terminal

Paso 8 Introduzca el comando copy tftp flash:image para copiar la imagen de la versión 7.0 del dispositivo de seguridad PIX del servidor TFTP al sistema de archivos Flash de PIX en modo de configuración.

pix(config)# copy tftp flash:image


Nota No hay carácter de : (dos puntos) después de tftp.


Paso 9 Introduzca el nombre o dirección IP del servidor TFTP.

Address or name of remote host [0.0.0.0]? 192.168.2.200


Nota Reemplace 192.168.2.200 por la dirección IP de su servidor TFTP.


Paso 10 Introduzca el nombre de la imagen de la versión 7.0 del dispositivo de seguridad PIX.

Source file name [cdisk]? pix704.bin

Paso 11 Introduzca yes para copiar la imagen de la versión 7.0 del dispositivo de seguridad PIX del servidor TFTP en la configuración en ejecución del dispositivo de seguridad.

copying tftp://192.168.2.200/pix704.bin to flash:image
[yes|no|again]? yes

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Received 5087232 bytes

Erasing current image

Writing 4833336 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
...
!!!!!!!!!!!!!!
Image installed

Paso 12 Introduzca el comando reload para reiniciar el sistema. En la solicitud `Proceed with reload?' (¿Desea continuar con la recarga?), presione Enter (Intro) para confirmar el comando.

pix# reload
Proceed with reload? [confirm]

Rebooting..

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
...


Nota La versión 7.0 del dispositivo de seguridad PIX incluye las mismas características operativas que la versión 6.3 de PIX, como la obtención de licencias (como se describe en la clave de activación de la versión 6.3 de PIX), direcciones IP, listas de acceso, grupos de acceso, configuraciones de VPN, contraseñas y llaves previamente compartidas.

Los pasos 13 y 14 sólo son necesarios si tiene configurada la autenticación. En caso contrario, continúe con el paso 15.


Paso 13 Introduzca el comando login para conectarse con la consola del dispositivo de seguridad.

pix> login

Paso 14 Introduzca su nombre de usuario y contraseña en las líneas de solicitud.

Username:
Password:

Paso 15 Introduzca el comando enable para acceder al modo privilegiado y comenzar el procedimiento de actualización.

pix> enable

Paso 16 Introduzca la contraseña en la solicitud.

Password:

Ahora está en modo privilegiado.

Paso 17 Introduzca el comando show running | grep boot para visualizar la información de configuración.

pix# show running | grep boot
boot system flash:/<filename>


Nota El <nombre de archivo> correcto es el nombre de la imagen en Flash.


Si la línea de comandos no es correcta, introduzca el comando write memory para conservar esta configuración.

pix# write memory
...

Si la línea de comandos es incorrecta:

a. Introduzca el comando configure terminal para acceder al modo de configuración.

b. Introduzca el comando no boot system flash:<imagen>.bin.

c. Introduzca la línea de comandos correcta.

d. Introduzca el comando exit.

e. Introduzca el comando write memory para conservar esta configuración.

f. Para cargar la imagen de la versión 7.0 del dispositivo de seguridad PIX desde el modo monitor, realice los siguientes pasos:

Recargue la imagen de la versión 7.0 del dispositivo de seguridad PIX.

En la solicitud "Use BREAK or ESC to interrupt Flash boot" (Utilice BREAK (INTER) o ESC para interrumpir el inicio de Flash), haga clic en ESC para acceder al modo monitor.

Proceed with reload? [confirm] [Press the enter key]
Rebooting....
Cisco Secure PIX Firewall BIOS (4.0) #0:Thu Mar 2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300
Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Flash boot interrupted.
0:i8255X @ PCI(bus:0 dev:13 irq:10)
1:i8255X @ PCI(bus:0 dev:14 irq:7 )
2:i8255X @ PCI(bus:1 dev:0 irq:11)
3:i8255X @ PCI(bus:1 dev:1 irq:11)
4:i8255X @ PCI(bus:1 dev:2 irq:11)
5:i8255X @ PCI(bus:1 dev:3 irq:11)
Using 1:i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC:0050.54ff.efc7
Use ? for help.
monitor>

Introduzca el comando interface # en la línea de solicitud, donde # corresponde al número de interfaz.


Nota Indique el número de interfaz correcto en el lugar de # para especificar la interfaz que desea utilizar para la conexión con el servidor TFTP.


monitor> interface 1
0:i8255X @ PCI(bus:0 dev:13 irq:10)
1:i8255X @ PCI(bus:0 dev:14 irq:7 )
2:i8255X @ PCI(bus:1 dev:0 irq:11)
3:i8255X @ PCI(bus:1 dev:1 irq:11)
4:i8255X @ PCI(bus:1 dev:2 irq:11)
5:i8255X @ PCI(bus:1 dev:3 irq:11)
Using 0:i82559 @ PCI(bus:0 dev:13 irq:10), MAC:0050.54ff.efc6

Paso 18 Introduzca el comando reload para completar el proceso de actualización. Presione Enter (Intro) para confirmar el inicio correcto del dispositivo de seguridad y de la imagen nueva en la solicitud.

pix# reload
Proceed with reload? [confirm]

Rebooting..

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
...


Esto completa el procedimiento de actualización de la versión 6.3 de PIX a la versión 7.0 del dispositivo de seguridad PIX.

Actualización en modo monitor

Esta sección incluye instrucciones para la actualización a la versión 7.0 del dispositivo de seguridad PIX en modo monitor.

Puede encontrar ejemplos de configuraciones existentes de la versión 6.3 de PIX en la sección "Ejemplos de actualización". Revíselos antes de comenzar el procedimiento de actualización.

Notas importantes

Usar la utilidad npdisk de la versión 6.3 de PIX, como la recuperación de contraseñas, dañará la imagen de la versión  7.0 del dispositivo de seguridad PIX y le solicitará reiniciar el sistema en modo monitor; además, puede perder la configuración anterior, el núcleo de seguridad e información esencial.

Si está realizando la actualización desde un PIX 515 o un PIX 535 existente con PDM instalado, debe realizarla en modo monitor.

Sólo puede realizar la actualización de PIX 535 en modo monitor desde una tarjeta FE que esté en una ranura conectada a un bus de 32 bits, de lo contrario, aparecerá un mensaje de error. De hecho, sólo puede realizar la actualización del PIX 535 desde el bus 2 mediante las interfaces de las ranuras 4 a 8.

Para evitar errores en la instalación, asegúrese de leer la sección "Requisitos previos a la actualización" antes de continuar.

Procedimiento

Realice los siguientes pasos para realizar la actualización en modo monitor:


Paso 1 Para cargar la imagen de la versión 7.0 del dispositivo de seguridad PIX desde el modo monitor, realice los siguientes pasos:

a. Recargue la imagen.

b. En la solicitud "Use BREAK or ESC to interrupt Flash boot" (Utilice BREAK (INTER) o ESC para interrumpir el inicio de Flash), haga clic en ESC para acceder al modo monitor.

Proceed with reload? [confirm] [Press the enter key]
Rebooting....
Cisco Secure PIX Firewall BIOS (4.0) #0:Thu Mar 2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300
Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Flash boot interrupted.
0:i8255X @ PCI(bus:0 dev:13 irq:10)
1:i8255X @ PCI(bus:0 dev:14 irq:7 )
2:i8255X @ PCI(bus:1 dev:0 irq:11)
3:i8255X @ PCI(bus:1 dev:1 irq:11)
4:i8255X @ PCI(bus:1 dev:2 irq:11)
5:i8255X @ PCI(bus:1 dev:3 irq:11)
Using 1:i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC:0050.54ff.efc7
Use ? for help.
monitor>

c. Introduzca el comando interface # en la línea de solicitud, donde # corresponde al número de interfaz.


Nota Indique el número de interfaz correcto en el lugar de # para especificar la interfaz que desea utilizar para la conexión con el servidor TFTP.


monitor> interface 1
0:i8255X @ PCI(bus:0 dev:13 irq:10)
1:i8255X @ PCI(bus:0 dev:14 irq:7 )
2:i8255X @ PCI(bus:1 dev:0 irq:11)
3:i8255X @ PCI(bus:1 dev:1 irq:11)
4:i8255X @ PCI(bus:1 dev:2 irq:11)
5:i8255X @ PCI(bus:1 dev:3 irq:11)
Using 0:i82559 @ PCI(bus:0 dev:13 irq:10), MAC:0050.54ff.efc6

d. Introduzca el comando address <dirección ip> utilizando la dirección IP de la interfaz e0.

monitor> address 20.0.0.10
address 20.0.0.10

e. Introduzca el comando server <dirección ip> utilizando la dirección IP del servidor TFTP.

monitor> server 20.0.0.101
server 20.0.0.101

f. Introduzca el comando ping <dirección ip> utilizando la dirección IP del servidor TFTP para verificar que se puede acceder a la misma.

monitor> ping 20.0.0.101
Sending 5, 100-byte 0xc56 ICMP Echoes to 20.0.0.101, timeout is 4 sec
!!!!!
Success rate is 100 percent (5/5)

g. Introduzca el comando opcional gateway <ip> para especificar la dirección de la puerta de enlace predeterminada si el servidor TFTP no está directamente conectado al segmento de red.

h. Introduzca el comando file <nombre de archivo para la imagen 7.0> utilizando el nombre de archivo de la versión  7.0 del dispositivo de seguridad PIX.

monitor> file pix704.bin
file pix704.bin
monitor> tftp
pix704.bin@20.0.0.101......................................
..............................................................

i. Después de copiar las imágenes, espere a que vuelva a aparecer la interfaz normal de solicitud. Esto puede tardar entre 3 y 10 minutos como máximo para un PIX 525 o un IX 515E respectivamente.

El paso anterior carga la imagen del dispositivo de seguridad en la RAM, inicia la ejecución, guarda la configuración anterior en el sistema de archivos Flash y convierte la configuración en ejecución en la estructura nueva de la CLI, pero no guarda la configuración convertida en la memoria Flash.

j. Revise direcciones, listas de control de acceso y presencia de errores en la configuración convertida.

Paso 2 Para guardar la imagen de la versión 7.0 del dispositivo de seguridad PIX en la memoria Flash desde el modo de configuración global, realice los siguientes pasos:

a. Copie la imagen de la versión 7.0 del dispositivo de seguridad PIX desde el servidor TFTP mediante los siguientes comandos. Esto requiere que configure una dirección IP en la interfaz del dispositivo de seguridad que se conecta con el servidor TFTP.

PIX(config)#interface ethernet 0
PIX(config-if)# ip address 20.0.0.10 255.255.255.0
copy tftp [:[[//location] [/tftp_pathname]]] flash[:[image | pdm]]
PIX(config)# copy tftp://20.0.0.101/pix704.bin flash:

El siguiente conjunto de resultados de solicitudes TFTP procede de los comandos anteriores:

Address or name of remote host [20.0.0.101]?
Source filename [pix704.bin]?
Destination filename [pix704.bin]?


Nota Se imprimirán varias líneas que hacen referencia a bloques de Flash no válidos mientras se reformatea la memoria Flash, lo que es normal.

Se guardará la configuración de la versión 6.3 de PIX como downgrade.cfg en la versión 7.0 del dispositivo de seguridad PIX.


b. Introduzca el comando show flash para confirmar que la imagen se ha copiado en Flash.

PIX(config)#show flash
Directory of flash:/
-rw- 2024 05:31:23 Apr 23 2004 downgrade.cfg
-rw- 4644864 06:13:53 Apr 22 2004 pix704.bin

c. Introduzca el comando nuevo boot system flash:/ para ejecutar el inicio desde la imagen nueva.

PIX(config)#boot system flash:/

Por ejemplo:

boot system flash:pix704.bin

d. Introduzca el comando write memory para actualizar el archivo de configuración de Flash.

PIX(config)#write memory

e. Introduzca el comando show version para confirmar que la imagen se ha actualizado.

PIX(config)#show version


Nota Utilice el comando show startup-config errors para ver los errores que se han producido al leer la configuración de la memoria Flash.


Para visualizar el resultado de la actualización, consulte la sección "Ejemplos de actualización".


Ejemplos de actualización

Para actualizar el software de la versión 6.3 de PIX a la versión 7.0 del dispositivo de seguridad PIX, realice los pasos descritos en la sección "Procedimiento de actualización". En esta sección se incluyen siete casos de resultados de configuración. Para cada caso se presentan las suposiciones aplicadas, un ejemplo de configuración anterior a la actualización, un ejemplo de configuración durante la actualización y un ejemplo de configuración posterior a la actualización.

Actualización básica de la versión 6.3 de PIX a la versión  7.0 del dispositivo de seguridad

Actualización a un cliente VPN con acceso remoto

Actualización a la versión 7.0 del dispositivo de seguridad mediante una VLAN

Actualización a la versión 7.0 del dispositivo de seguridad con voz sobre IP

Actualización a la versión 7.0 del dispositivo de seguridad con autenticación

Actualización a la versión 7.0 del dispositivo de seguridad con migración tras error de unidad activa a unidad en espera

Actualización a la versión 7.0 del dispositivo de seguridad con comandos conduit


Nota De vez en cuando, la actualización de la versión  6.3 de PIX a la versión 7.0 del dispositivo de seguridad PIX puede generar mensajes de advertencia y de sistema relacionados con el cambio de la sintaxis de comandos. La aparición de estos mensajes es normal.

El comando show run se puede intercambiar con el comando write terminal en los siguientes ejemplos.


Actualización básica de la versión 6.3 de PIX a la versión  7.0 del dispositivo de seguridad

Suposición

Al realizar una actualización básica de la versión 6.3 de PIX a la versión 7.0 del dispositivo de seguridad PIX, este ejemplo de configuración asume lo siguiente (consulte la figura 1):

Todos los hosts internos tienen acceso externo mediante una agrupación global

DHCP proporciona información de direcciones a un número reducido de hosts internos

Se puede acceder al servidor HTTP desde las interfaces internas y externas para operaciones de administración

Se permite el protocolo ICMP en el dispositivo de seguridad para activar la prueba de conectividad de red

Se permite Telnet desde fuentes externas a un host interno específico

Figura 1 Ejemplo de configuración de actualización básica

Antes de la actualización

Lo que se presenta a continuación es un resultado de ejemplo del comando show run en su configuración actual de la versión 6.3 de PIX antes de realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX:

Migration1(config)# show run
: Saved
:
PIX Version 6.3(4)

interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname Migration1
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 172.16.1.75 Linux
access-list 101 permit icmp any any
access-list 101 permit tcp any host 172.16.1.160 eq telnet
pager lines 24
logging on
logging trap informational
logging host inside 192.168.1.99
icmp permit any outside
icmp permit any inside
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.1.161 255.255.255.0
ip address inside 192.168.1.161 255.255.255.0
no ip address dmz
no ip address intf3
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address dmz
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
pdm location 192.168.1.99 255.255.255.255 inside
pdm history enable
arp timeout 14400
global (outside) 1 172.16.1.210-172.16.1.212
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 172.16.1.160 192.168.1.100 netmask 255.255.255.255 0 0
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 0.0.0.0 0.0.0.0 outside
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.100-192.168.1.102 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
terminal width 80
Cryptochecksum:513c9e266857650270411a7f884e68f7
: end

Actualizar

Introduzca el comando copy tftp://<dirección ip>/pix704.bin.<imagen>flash:image para realizar la actualización a la imagen nueva.

El siguiente resultado muestra el procedimiento de actualización de la configuración de la versión 6.3 de PIX a la versión 7.0 del dispositivo de seguridad PIX:

Migration1# copy tftp://192.168.1.161/cdisk.7.0(4) flash:image
copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!

Received 5124096 bytes

Erasing current image

Writing 5062712 bytes of image

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Image installed

Migration1# reload
Proceed with reload? [confirm]

Rebooting..

CISCO SYSTEMS PIX FIREWALL

Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
64 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class              Irq
 00  00  00   8086   7192  Host Bridge
 00  07  00   8086   7110  ISA Bridge
 00  07  01   8086   7111  IDE Controller
 00  07  02   8086   7112  Serial Bus         9
 00  07  03   8086   7113  PCI Bridge
 00  0D  00   8086   1209  Ethernet           11
 00  0E  00   8086   1209  Ethernet           10
 00  11  00   14E4   5823  Co-Processor       11
 00  13  00   8086   B154  PCI-to-PCI Bridge
 01  04  00   8086   1229  Ethernet           11
 01  05  00   8086   1229  Ethernet           10
 01  06  00   8086   1229  Ethernet           9
 01  07  00   8086   1229  Ethernet           5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5059072 bytes of image from flash.

##########################################################################################
##########################################################################################
##########################################################################################
##########################################################################################
##########################################################################################
######
64MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 11  MAC: 0011.937e.0650
mcwa i82559 Ethernet at irq 10  MAC: 0011.937e.064f
mcwa i82559 Ethernet at irq 11  MAC: 000d.88ee.dfa0
mcwa i82559 Ethernet at irq 10  MAC: 000d.88ee.dfa1
mcwa i82559 Ethernet at irq  9  MAC: 000d.88ee.dfa2
mcwa i82559 Ethernet at irq  5  MAC: 000d.88ee.dfa3
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: relinked orphaned file into the fs as "/lost+found/00011".
flashfs[7]: relinked orphaned directory into the fs as "/lost+found/00008".
flashfs[7]: relinked orphaned directory into the fs as "/lost+found/00002".
flashfs[7]: 220 files, 8 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 7895040
flashfs[7]: Bytes available: 8232960
flashfs[7]: flashfs fsck took 53 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs               : 25
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .
                                 |            |
                                |||          |||
                              .|| ||.      .|| ||.
                           .:||| | |||:..:||| | |||:.
                            C i s c o  S y s t e m s
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(4)

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706

Cryptochecksum(unchanged): 513c9e26 68576502 70411a7f 884e68f7
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.

Después de la actualización

Después de realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX, introduzca el comando enable para acceder al modo de configuración y, a continuación, introduzca la contraseña para introducir finalmente el comando show run. El resultado es el siguiente:

Migration1> enable
Password:

Migration1(config)# show run
: Saved

PIX Version 7.0(4)

names
name 172.16.1.75 Linux
!
interface Ethernet0
 speed 100
 duplex full
 nameif outside
 security-level 0
 ip address 172.16.1.161 255.255.255.0
!
interface Ethernet1
 speed 100
 duplex full
 nameif inside
 security-level 100
 ip address 192.168.1.161 255.255.255.0
!
interface Ethernet2
 shutdown
 nameif dmz
 security-level 50
 no ip address
!
interface Ethernet3
 shutdown
 nameif intf3
 security-level 6
 no ip address
!
interface Ethernet4
 shutdown
 nameif intf4
 security-level 8
 no ip address
!
interface Ethernet5
 shutdown
 nameif intf5
 security-level 10
 no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname Migration1
domain-name ciscopix.com
boot system flash:/image.bin
ftp mode passive
access-list 101 extended permit icmp any any
access-list 101 extended permit tcp any host 172.16.1.160 eq telnet
pager lines 24
logging enable
logging trap informational
logging host inside 192.168.1.99
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
no failover
monitor-interface outside
monitor-interface inside
monitor-interface dmz
monitor-interface intf3
monitor-interface intf4
monitor-interface intf5
icmp permit any outside
icmp permit any inside
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 172.16.1.210-172.16.1.212
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 172.16.1.160 192.168.1.100 netmask 255.255.255.255
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00 h323
0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
http server enable
http 0.0.0.0 0.0.0.0 outside
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
no sysopt connection permit-ipsec
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
ssh version 1
console timeout 0
dhcpd address 192.168.1.100-192.168.1.102 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect http
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:513c9e266857650270411a7f884e68f7
: end

Migration1#

Actualización a un cliente VPN con acceso remoto

Suposición

Al realizar una actualización a un cliente VPN con acceso remoto, este ejemplo de configuración asume lo siguiente (consulte la figura 2):

Las funciones de PIX 515E como dispositivo de cabecera; clientes VPN remotos de entrada que terminan en PIX 515E.

La conexión de autenticación del cliente VPN (no del usuario) se realiza mediante llaves previamente compartidas

La autenticación de usuario se realiza mediante un nombre de usuario y una contraseña de Windows

Las direcciones de cliente oscilan entre 3.3.3.0 y 3.3.3.254; utilice el comando ip pool para encontrar la dirección IP correcta

El PDM se activa desde la red interna

Figura 2 Ejemplo de configuración de cliente VPN

Antes de la actualización

Lo que se presenta a continuación es un resultado de ejemplo del comando show run en su configuración actual de la versión 6.3 de PIX antes de realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX:

vpnra# show run
: Saved
:
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 100full
interface ethernet3 100full
interface ethernet4 100full
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security4
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname vpnra
domain-name migration.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list nat0 permit ip any 3.3.3.0 255.255.255.0
pager lines 24
logging on
logging buffered debugging
icmp permit any outside
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.1.164 255.255.255.0
ip address inside 192.168.1.164 255.255.255.0
no ip address intf2
no ip address intf3
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
ip local pool migratepool 3.3.3.1-3.3.3.254
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address intf2
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
pdm location 192.168.3.0 255.255.255.0 outside
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list nat0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.16.1.100 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map ForRA 20 ipsec-isakmp dynamic outside_dyn_map
crypto map ForRA interface outside
isakmp enable outside
isakmp policy 30 authentication pre-share
isakmp policy 30 encryption 3des
isakmp policy 30 hash md5
isakmp policy 30 group 2
isakmp policy 30 lifetime 86400
vpngroup migration address-pool migratepool
vpngroup migration idle-time 1800
vpngroup migration password ********
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:4a5e923ecb2353471603a82ee2f4df47
: end

Actualizar

Introduzca el comando copy tftp://<dirección ip>/pix704.bin.<imagen>flash:image para realizar la actualización a la imagen nueva. El siguiente resultado muestra el procedimiento de actualización de la configuración de la versión 6.3 de PIX a la versión 7.0 del dispositivo de seguridad PIX:

vpnra# copy tftp://192.168.1.100/cdisk.7.0(4) flash:image
copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5062712 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed

Introduzca el comando reload para comenzar a utilizar la imagen nueva de la versión 7.0 del dispositivo de seguridad PIX y, a continuación, presione Enter (Intro) en la siguiente solicitud para confirmar el comando reload.

vpnra# reload
Proceed with reload? [confirm]


Rebooting...

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
64 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class              Irq
 00  00  00   8086   7192  Host Bridge
 00  07  00   8086   7110  ISA Bridge
 00  07  01   8086   7111  IDE Controller
 00  07  02   8086   7112  Serial Bus         9
 00  07  03   8086   7113  PCI Bridge
 00  0D  00   8086   1209  Ethernet           11
 00  0E  00   8086   1209  Ethernet           10
 00  11  00   14E4   5823  Co-Processor       11
 00  13  00   8086   B154  PCI-to-PCI Bridge
 01  04  00   8086   1229  Ethernet           11
 01  05  00   8086   1229  Ethernet           10
 01  06  00   8086   1229  Ethernet           9
 01  07  00   8086   1229  Ethernet           5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5059072 bytes of image from flash.
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
########################################################
64MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 11  MAC: 0011.937e.0650
mcwa i82559 Ethernet at irq 10  MAC: 0011.937e.064f
mcwa i82559 Ethernet at irq 11  MAC: 000d.88ee.dfa0
mcwa i82559 Ethernet at irq 10  MAC: 000d.88ee.dfa1
mcwa i82559 Ethernet at irq  9  MAC: 000d.88ee.dfa2
mcwa i82559 Ethernet at irq  5  MAC: 000d.88ee.dfa3
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: relinked orphaned file into the fs as "/lost+found/00238".
flashfs[7]: 229 files, 11 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 8273920
flashfs[7]: Bytes available: 7854080
flashfs[7]: flashfs fsck took 53 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs               : 25
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .
                                 |            |
                                |||          |||
                              .|| ||.      .|| ||.
                           .:||| | |||:..:||| | |||:.
                            C i s c o  S y s t e m s
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(4)

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706

Cryptochecksum(unchanged): 4a5e923e cb235347 1603a82e e2f4df47
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.

San Jose, California 95134-1706

Después de la actualización

El resultado de la actualización de la imagen de la versión 7.0 del dispositivo de seguridad PIX incluye las suposiciones descritas en la sección "Antes de la actualización" con los siguientes cambios:

La información de interfaz se presenta ahora agrupada

El comando vpngroup se ha reemplazado por los comandos group-policy y tunnel-group.

La política ISAKMP predeterminada aparece ahora como número de política 65535, como se muestra en el siguiente ejemplo:

Sintaxis de la versión 6.3 de PIX:

#
Default protection suite
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Rivest-Shamir-Adleman Signature
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit

#

Sintaxis de la versión 7.0 del dispositivo de seguridad PIX:

#
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400

Después de realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX, introduzca el comando enable para acceder al modo de configuración y, a continuación, introduzca la contraseña para introducir finalmente el comando show run. El resultado es el siguiente:

vpnra> enable
Password:
vpnra# show run
: Saved
:
PIX Version 7.0(4)
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.164 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.164 255.255.255.0
!
interface Ethernet2
 speed 100
 duplex full
 nameif intf2
 security-level 4
 no ip address
!
interface Ethernet3
 speed 100
 duplex full
 nameif intf3
 security-level 6
 no ip address
!
interface Ethernet4
 speed 100
 duplex full
 nameif intf4
 security-level 8
 no ip address
!
interface Ethernet5
 shutdown
 nameif intf5
 security-level 10
 no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname vpnra
domain-name migration.com
boot system flash:/image.bin
ftp mode passive
access-list nat0 extended permit ip any 3.3.3.0 255.255.255.0
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu inside 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip local pool migratepool 3.3.3.1-3.3.3.254
no failover
monitor-interface outside
monitor-interface inside
monitor-interface intf2
monitor-interface intf3
monitor-interface intf4
monitor-interface intf5
icmp permit any outside
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 access-list nat0
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 172.16.1.100 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
group-policy migration internal
group-policy migration attributes
 vpn-idle-timeout 30
http server enable
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5
crypto map ForRA 20 ipsec-isakmp dynamic outside_dyn_map
crypto map ForRA interface outside
isakmp enable outside
isakmp policy 30 authentication pre-share
isakmp policy 30 encryption 3des
isakmp policy 30 hash md5
isakmp policy 30 group 2
isakmp policy 30 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
telnet timeout 5
ssh timeout 5
ssh version 1
console timeout 0
tunnel-group migration type ipsec-ra
tunnel-group migration general-attributes
 address-pool migratepool
 default-group-policy migration
tunnel-group migration ipsec-attributes
 pre-shared-key *
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect http
  inspect ils
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:4a5e923ecb2353471603a82ee2f4df47
: end
vpnra#

Actualización a la versión 7.0 del dispositivo de seguridad mediante una VLAN

Suposición

Al realizar una actualización a la versión 7.0 del dispositivo de seguridad PIX mediante VLAN, este ejemplo de configuración asume lo siguiente (consulte la figura 3):

Las redes VLAN están activadas; hay un total de 6 interfaces externas, 3 por cada una de las dos interfaces troncales; dmz0, dmz1, dmz2 y dmz3 son internas.

Los protocolos de reparación para rsh y sqlnet están desactivados

El registro de depuración se almacena en la memoria intermedia

Los hosts de la interfaz interna pueden crear conexiones a través de la interfaz externa

Un servidor de la interfaz dmz2 está disponible en la interfaz externa

Ethernet0 es una conexión troncal 802.1q de un conmutador

Ethernet1 es una conexión troncal 802.1a de un conmutador

Ethernet2 es una conexión no troncal de un bloque de servidores

Figura 3 Ejemplo de configuración de VLAN

Antes de la actualización

Lo que se presenta a continuación es un resultado de ejemplo del comando show run en su configuración actual de la versión 6.3 de PIX antes de realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX:

PixVlan# show run
: Saved
:
PIX Version 6.3(4)
interface ethernet0 100full
interface ethernet0 vlan10 physical
interface ethernet0 vlan20 logical
interface ethernet0 vlan30 logical
interface ethernet1 100full
interface ethernet1 vlan40 physical
interface ethernet1 vlan50 logical
interface ethernet1 vlan60 logical
interface ethernet2 100full
interface ethernet3 100full
interface ethernet4 100full
interface ethernet5 auto shutdown
interface ethernet6 auto shutdown
interface ethernet7 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 dmz2 security40
nameif ethernet2 intf2 security4
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
nameif ethernet6 intf6 security12
nameif ethernet7 intf7 security14
nameif vlan20 dmz0 security20
nameif vlan30 dmz1 security30
nameif vlan50 dmz3 security50
nameif vlan60 inside security100
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PixVlan
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
no fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
no fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list 1 permit ip any host 172.16.1.144
pager lines 24
logging on
logging buffered debugging
mtu outside 1500
mtu dmz2 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
mtu intf6 1500
mtu intf7 1500
ip address outside 172.16.1.175 255.255.255.0
ip address dmz2 192.168.3.175 255.255.255.0
ip address intf2 10.1.1.1 255.255.255.0
no ip address intf3
no ip address intf4
no ip address intf5
no ip address intf6
no ip address intf7
ip address dmz0 192.168.1.175 255.255.255.0
ip address dmz1 192.168.2.175 255.255.255.0
ip address dmz3 192.168.4.175 255.255.255.0
ip address inside 192.168.6.175 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address dmz2
no failover ip address intf2
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
no failover ip address intf6
no failover ip address intf7
no failover ip address dmz0
no failover ip address dmz1
no failover ip address dmz3
no failover ip address inside
pdm history enable
arp timeout 14400
global (outside) 1 172.16.1.101-172.16.1.110
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (dmz2,outside) 172.16.1.144 192.168.3.144 netmask 255.255.255.255 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.4.0 255.255.255.0 dmz3
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:8931adafa47b3649c5954e72212043a1
: end

Actualizar

Introduzca el comando copy tftp://<dirección ip>/pix704.bin.<imagen>flash:image para realizar la actualización a la imagen nueva. El siguiente resultado muestra el procedimiento de actualización de la configuración de la versión 6.3 de PIX a la versión 7.0 del dispositivo de seguridad PIX:

PixVlan# copy tftp://10.1.1.100/cdisk.7.0(4) flash:image
copying tftp://10.1.1.100/cdisk.7.0(4) to flash:image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5062712 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed

Introduzca el comando reload para comenzar a utilizar la imagen nueva de la versión 7.0 del dispositivo de seguridad PIX y, a continuación, presione Enter (Intro) en la siguiente solicitud para confirmar el comando reload.

PixVlan# reload
Proceed with reload? [confirm]
Rebooting..

Wait.....

PCI Device Table.
Bus Dev Func VendID DevID Class              Irq
 00  00  00   8086   7192  Host Bridge
 00  07  00   8086   7110  ISA Bridge
 00  07  01   8086   7111  IDE Controller
 00  07  02   8086   7112  Serial Bus         9
 00  07  03   8086   7113  PCI Bridge
 00  0B  00   1011   0026  PCI-to-PCI Bridge
 00  0D  00   8086   1209  Ethernet           11
 00  0E  00   8086   1209  Ethernet           10
 00  11  00   8086   1229  Ethernet           11
 00  13  00   8086   1229  Ethernet           5
 01  00  00   8086   1229  Ethernet           11
 01  01  00   8086   1229  Ethernet           104.3
 01  02  00   8086   1229  Ethernet           9
 01  03  00   8086   1229  Ethernet           5
Initializing Intel Boot Agent Version 2.2
Initializing Intel Boot Agent Version 2.2ram..
Press Ctrl+S to enter into the Setup Program..
+------------------------------------------------------------------------------+
|          System BIOS Configuration, (C) 2000 General Software, Inc.          |
+---------------------------------------+--------------------------------------+
| System CPU           : Pentium III    | Low Memory           : 638KB         |
| Coprocessor          : Enabled        | Extended Memory      : 255MB         |
| Embedded BIOS Date   : 08/25/00       | Serial Ports 1-2     : 03F8 02F8     |
+---------------------------------------+--------------------------------------+

Cisco Secure PIX Firewall BIOS (4.2) #1: Fri Mar 23 04:10:24 PST 2001
Platform PIX-525
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5059072 bytes of image from flash.
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
########################################################
256MB RAM

Total NICs found: 8
mcwa i82559 Ethernet at irq 11  MAC: 0002.b945.b6d2
mcwa i82559 Ethernet at irq 10  MAC: 0002.b945.b6d1
mcwa i82559 Ethernet at irq 11  MAC: 0002.b308.7273
mcwa i82559 Ethernet at irq  5  MAC: 0002.b304.1a35
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.d47a
mcwa i82558 Ethernet at irq 10  MAC: 00e0.b600.d479
mcwa i82558 Ethernet at irq  9  MAC: 00e0.b600.d478
mcwa i82558 Ethernet at irq  5  MAC: 00e0.b600.d477
BIOS Flash=e28f400b5t @ 0xd8000
Old file system detected. Attempting to save data in flash


Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 38...block number was (0)
flashfs[7]: erasing block 38...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 8, parent_fileid 0
flashfs[7]: 8 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 9728
flashfs[7]: Bytes available: 16118272
flashfs[7]: flashfs fsck took 80 seconds.
flashfs[7]: Initialization complete.

Saving the datafile
!
Saving a copy of old datafile for downgrade
!
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 10
Maximum VLANs               : 100
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.

  --------------------------------------------------------------------------
                                 .            .
                                 |            |
                                |||          |||
                              .|| ||.      .|| ||.
                           .:||| | |||:..:||| | |||:.
                            C i s c o  S y s t e m s
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(4)

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706

Cryptochecksum(unchanged): 8931adaf a47b3649 c5954e72 212043a1
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.

Después de la actualización

El resultado de la actualización de la imagen de la versión 7.0 del dispositivo de seguridad PIX incluye las suposiciones descritas en la sección "Antes de la actualización" con los siguientes cambios:

La información de interfaz se presenta ahora agrupada

La información de VLAN aparece como una subinterfaz de la interfaz troncal

Hay información de fragmento para cada VLAN

No se presentan declaraciones de inspección para rsh y sqlnet.

La conectividad que establece la configuración de la versión  6.3(3) de PIX no se cambia

Después de realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX, introduzca el comando enable para acceder al modo de configuración y, a continuación, introduzca la contraseña para introducir finalmente el comando show run. El resultado es el siguiente:


PixVlan> enable
Password:
PixVlan# show run
: Saved
:
PIX Version 7.0(4)
names
!
interface Ethernet0
 speed 100
 duplex full
 no nameif
 no security-level
 no ip address
!
interface Ethernet0.10
 vlan 10
 nameif outside
 security-level 0
 ip address 172.16.1.175 255.255.255.0
!
interface Ethernet0.20
 vlan 20
 nameif dmz0
 security-level 20
 ip address 192.168.1.175 255.255.255.0
!
interface Ethernet0.30
 vlan 30
 nameif dmz1
 security-level 30
 ip address 192.168.2.175 255.255.255.0
!
interface Ethernet1
 speed 100
 duplex full
 no nameif
 no security-level
 no ip address
!
interface Ethernet1.40
 vlan 40
 nameif dmz2
 security-level 40
 ip address 192.168.3.175 255.255.255.0
!
interface Ethernet1.50
 vlan 50
 nameif dmz3
 security-level 50
 ip address 192.168.4.175 255.255.255.0
!
interface Ethernet1.60
 vlan 60
 nameif inside
 security-level 100
 ip address 192.168.6.175 255.255.255.0
!
interface Ethernet2
 speed 100
 duplex full
 nameif intf2
 security-level 4
 no ip address
!
interface Ethernet3
 speed 100
 duplex full
 nameif intf3
 security-level 6
 no ip address
!
interface Ethernet4
 speed 100
 duplex full
 nameif intf4
 security-level 8
 no ip address
!
interface Ethernet5
 shutdown
 nameif intf5
 security-level 10
 no ip address
!
interface Ethernet6
 shutdown
 nameif intf6
 security-level 12
 no ip address
!
interface Ethernet7
 shutdown
 nameif intf7
 security-level 14
 no ip address
!
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname PixVlan
boot system flash:/image.bin
ftp mode passive
access-list 1 extended permit ip any host 172.16.1.144
pager lines 24
logging enable
logging buffered debugging
mtu outside 1500
mtu dmz2 1500
mtu intf2 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
mtu intf6 1500
mtu intf7 1500
mtu dmz0 1500
mtu inside 1500
mtu dmz3 1500
mtu dmz1 1500
no failover
monitor-interface intf2
monitor-interface intf3
monitor-interface intf4
monitor-interface intf5
monitor-interface intf6
monitor-interface intf7
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 172.16.1.101-172.16.1.110
nat (inside) 1 0.0.0.0 0.0.0.0
static (dmz2,outside) 172.16.1.144 192.168.3.144 netmask 255.255.255.255
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0
:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
http server enable
http 192.168.4.0 255.255.255.0 dmz3
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
no sysopt connection permit-ipsec
telnet timeout 5
ssh timeout 5
ssh version 1
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect http
  inspect netbios
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:8931adafa47b3649c5954e72212043a1
: end
PixVlan#

Actualización a la versión 7.0 del dispositivo de seguridad con voz sobre IP

Suposición

Al realizar una actualización a la versión 7.0 del dispositivo de seguridad PIX mediante IP, este ejemplo de configuración asume lo siguiente (consulte la figura 4):

Los teléfonos IP se pueden ubicar en cualquier interfaz (interna, externa o dmz)

El administrador de CallManager se ubica en la interfaz interna

NAT se utiliza para controlar la asignación de direcciones

La reparación SKINNY/2000 controla el tráfico dinámico de llamadas

Figura 4 Ejemplo de configuración de voz sobre IP

Antes de la actualización

Lo que se presenta a continuación es un resultado de ejemplo del comando show run en su configuración actual de la versión 6.3 de PIX antes de realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX:

Migration# show run
: Saved
 :
 PIX Version 6.3(4)
 interface ethernet0 100full
 interface ethernet1 100full
 interface ethernet2 auto shutdown
 interface ethernet3 auto shutdown
 interface ethernet4 auto shutdown
 interface ethernet5 auto shutdown
 nameif ethernet0 outside security0
 nameif ethernet1 inside security100
 nameif ethernet2 dmz security50
 nameif ethernet3 intf3 security6
 nameif ethernet4 intf4 security8
 nameif ethernet5 intf5 security10
 enable password 8Ry2YjIyt7RRXU24 encrypted
 passwd 2KFQnbNIdI.2KYOU encrypted
 hostname VoipDhcp
 domain-name ciscopix.com
 fixup protocol dns maximum-length 512
 fixup protocol ftp 21
 fixup protocol h323 h225 1720
 fixup protocol h323 ras 1718-1719
 fixup protocol http 80
 <--- More --->
 fixup protocol rsh 514
 fixup protocol rtsp 554
 fixup protocol sip 5060
 fixup protocol sip udp 5060
 fixup protocol skinny 2000
 fixup protocol smtp 25
 fixup protocol sqlnet 1521
 fixup protocol tftp 69
 names
 name 172.16.1.75 Linux
 access-list outside permit udp any host 172.16.1.100 eq tftp
 access-list outside permit tcp any host 172.16.1.100 eq 2000
 access-list dmz permit udp any host 192.168.2.100 eq tftp
 access-list dmz permit tcp any host 192.168.2.100 eq 2000
 pager lines 24
 logging on
 logging trap informational
 logging host inside 192.168.1.99
 icmp permit any outside
 icmp permit any inside
 mtu outside 1500
 mtu inside 1500
 mtu dmz 1500
 mtu intf3 1500
 <--- More --->
 mtu intf4 1500
 mtu intf5 1500
 ip address outside 172.16.1.10 255.255.255.0
 ip address inside 192.168.1.10 255.255.255.0
 ip address dmz 192.168.2.10 255.255.255.0
 no ip address intf3
 no ip address intf4
 no ip address intf5
 ip audit info action alarm
 ip audit attack action alarm
 no failover
 failover timeout 0:00:00
 failover poll 15
 no failover ip address outside
 no failover ip address inside
 no failover ip address dmz
 no failover ip address intf3
 no failover ip address intf4
 no failover ip address intf5
 pdm location 192.168.1.99 255.255.255.255 inside
 pdm history enable
 arp timeout 14400
 global (outside) 1 172.16.1.101-172.16.1.200
 global (dmz) 1 192.168.2.101-192.168.2.200
 <--- More --->
 nat (inside) 1 0.0.0.0 0.0.0.0 0 0
 static (inside,dmz) 192.16.1.100 192.168.1.100 netmask 255.255.255.255 0 0
 static (inside,outside) 172.16.1.100 192.168.1.100 netmask 255.255.255.255 0 0
 access-group outside in interface outside
 access-group dmz in interface dmz
 route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
 timeout xlate 3:00:00
 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
 timeout uauth 0:05:00 absolute
 aaa-server TACACS+ protocol tacacs+
 aaa-server TACACS+ max-failed-attempts 3
 aaa-server TACACS+ deadtime 10
 aaa-server RADIUS protocol radius
 aaa-server RADIUS max-failed-attempts 3
 aaa-server RADIUS deadtime 10
 aaa-server LOCAL protocol local
 http server enable
 http 0.0.0.0 0.0.0.0 outside
 http 0.0.0.0 0.0.0.0 inside
 no snmp-server location
 no snmp-server contact
 snmp-server community public
 no snmp-server enable traps
 <--- More --->
 floodguard enable
 telnet 192.168.1.0 255.255.255.0 inside
 telnet timeout 5
 ssh timeout 5
 console timeout 0
 dhcpd address 192.168.1.100-192.168.1.102 inside
 dhcpd lease 3600
 dhcpd ping_timeout 750
 dhcpd enable inside
 terminal width 80
 Cryptochecksum:a02cd774d0d9c6a3c5f706afc763aee1
 : end

Actualizar

Introduzca el comando copy tftp://<dirección ip>/pix704.bin.<imagen>flash:image para realizar la actualización a la imagen nueva. El siguiente resultado muestra el procedimiento de actualización de la configuración de la versión 6.3 de PIX a la versión 7.0 del dispositivo de seguridad PIX:


 VoipDhcp# copy tftp://192.168.1.100/cdisk.7.0(4) flash:image
 copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
 Received 5124096 bytes
 Erasing current image
 Writing 5062712 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 Image installed

Introduzca el comando reload para comenzar a utilizar la imagen nueva de la versión 7.0 del dispositivo de seguridad PIX y, a continuación, presione Enter (Intro) en la siguiente solicitud para confirmar el comando reload.

VoipDhcp# reload
 Proceed with reload? [confirm]

Rebooting..ÿ

 CISCO SYSTEMS PIX FIREWALL
 Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
 Compiled by xxxxxx
 64 MB RAM

 PCI Device Table.
 Bus Dev Func VendID DevID Class              Irq
  00  00  00   8086   7192  Host Bridge
  00  07  00   8086   7110  ISA Bridge
  00  07  01   8086   7111  IDE Controller
  00  07  02   8086   7112  Serial Bus         9
  00  07  03   8086   7113  PCI Bridge
  00  0D  00   8086   1209  Ethernet           11
  00  0E  00   8086   1209  Ethernet           10
  00  11  00   14E4   5823  Co-Processor       11
  00  13  00   8086   B154  PCI-to-PCI Bridge
  01  04  00   8086   1229  Ethernet           11
  01  05  00   8086   1229  Ethernet           10
  01  06  00   8086   1229  Ethernet           9
  01  07  00   8086   1229  Ethernet           5
Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000


Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Flash boot in 10 seconds.           9 seconds.
 Reading 5059072 bytes of image from flash.
##########################################################################################
##########################################################################################
##########################################################################################
##########################################################################################
##########################################################################################
######
64MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 11  MAC: 0011.937e.0650
mcwa i82559 Ethernet at irq 10  MAC: 0011.937e.064f
mcwa i82559 Ethernet at irq 11  MAC: 000d.88ee.dfa0
mcwa i82559 Ethernet at irq 10  MAC: 000d.88ee.dfa1
mcwa i82559 Ethernet at irq  9  MAC: 000d.88ee.dfa2
mcwa i82559 Ethernet at irq  5  MAC: 000d.88ee.dfa3
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 238, parent_fileid 0
flashfs[7]: 230 files, 11 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 8067584
flashfs[7]: Bytes available: 8060416
flashfs[7]: flashfs fsck took 53 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs               : 25
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .
                                 |            |
                                |||          |||
                              .|| ||.      .|| ||.
                           .:||| | |||:..:||| | |||:.
                            C i s c o  S y s t e m s
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(4)

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706

Cryptochecksum(unchanged): a02cd774 d0d9c6a3 c5f706af c763aee1
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.

Después de la actualización

Después de realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX, introduzca el comando enable para acceder al modo de configuración y, a continuación, introduzca la contraseña para introducir finalmente el comando show run. El resultado es el siguiente:


VoipDhcp> enable
Password:
VoipDhcp# show run
 : Saved
 :
 PIX Version 7.0(4)
 names
 name 172.16.1.75 Linux
 !
 interface Ethernet0
  speed 100
  duplex full
  nameif outside
  security-level 0
  ip address 172.16.1.10 255.255.255.0
 !
 interface Ethernet1
  speed 100
  duplex full
  nameif inside
  security-level 100
  ip address 192.168.1.10 255.255.255.0
 !
 interface Ethernet2
  shutdown
  nameif dmz
  security-level 50
  ip address 192.168.2.10 255.255.255.0
 <--- More --->
 !
 interface Ethernet3
  shutdown
  nameif intf3
  security-level 6
  no ip address
 !
 interface Ethernet4
  shutdown
  nameif intf4
  security-level 8
  no ip address
 !
 interface Ethernet5
  shutdown
  nameif intf5
  security-level 10
  no ip address
 !
 enable password 8Ry2YjIyt7RRXU24 encrypted
 passwd 2KFQnbNIdI.2KYOU encrypted
 hostname VoipDhcp
 domain-name ciscopix.com
 boot system flash:/image.bin
 <--- More --->
 ftp mode passive
 access-list outside extended permit udp any host 172.16.1.100 eq tftp
 access-list outside extended permit tcp any host 172.16.1.100 eq 2000
 access-list dmz extended permit udp any host 192.168.2.100 eq tftp
 access-list dmz extended permit tcp any host 192.168.2.100 eq 2000
 pager lines 24
 logging enable
 logging trap informational
 logging host inside 192.168.1.99
 mtu outside 1500
 mtu inside 1500
 mtu dmz 1500
 mtu intf3 1500
 mtu intf4 1500
 mtu intf5 1500
 no failover
 monitor-interface outside
 monitor-interface inside
 monitor-interface dmz
 monitor-interface intf3
 monitor-interface intf4
 monitor-interface intf5
 icmp permit any outside
 icmp permit any inside
 <--- More --->
 asdm history enable
 arp timeout 14400
 nat-control
 global (outside) 1 172.16.1.101-172.16.1.200
 global (dmz) 1 192.168.2.101-192.168.2.200
 nat (inside) 1 0.0.0.0 0.0.0.0
 static (inside,dmz) 192.16.1.100 192.168.1.100 netmask 255.255.255.255
 static (inside,outside) 172.16.1.100 192.168.1.100 netmask 255.255.255.255
 access-group outside in interface outside
 access-group dmz in interface dmz
 route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
 timeout xlate 3:00:00
 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00 h323
0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
 timeout uauth 0:05:00 absolute
 aaa-server TACACS+ protocol tacacs+
 aaa-server RADIUS protocol radius
 http server enable
 http 0.0.0.0 0.0.0.0 outside
 http 0.0.0.0 0.0.0.0 inside
 no snmp-server location
 no snmp-server contact
 snmp-server community public
 snmp-server enable traps snmp
 no sysopt connection permit-ipsec
 <--- More --->
 telnet 192.168.1.0 255.255.255.0 inside
 telnet timeout 5
 ssh timeout 5
 ssh version 1
 console timeout 0
 dhcpd address 192.168.1.100-192.168.1.102 inside
 dhcpd lease 3600
 dhcpd ping_timeout 750
 dhcpd enable inside
 !
 class-map inspection_default
  match default-inspection-traffic
 !
 !
 policy-map global_policy
  class inspection_default
   inspect dns maximum-length 512
   inspect ftp
   inspect h323 h225
   inspect h323 ras
   inspect http
   inspect netbios
   inspect rsh
   inspect rtsp
 <--- More --->
   inspect skinny
   inspect esmtp
   inspect sqlnet
   inspect sunrpc
   inspect tftp
   inspect sip
   inspect xdmcp
 !
 service-policy global_policy global
 Cryptochecksum:a02cd774d0d9c6a3c5f706afc763aee1
 : end
 VoipDhcp#

Actualización a la versión 7.0 del dispositivo de seguridad con autenticación

Suposición

Al realizar una actualización a la versión 7.0 del dispositivo de seguridad PIX con autenticación, este ejemplo de configuración asume lo siguiente (consulte la figura 5):

PIX presenta tres interfaces.

Las interfaces estáticas de entrada usan un servidor AAA local y/o externo

No hay NAT

Existen varias ACL con opción de registro

Figura 5 Ejemplo de configuración de autenticación

Antes de la actualización

Lo que se presenta a continuación es un resultado de ejemplo del comando show run en su configuración actual de la versión 6.3 de PIX antes de realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX:

auth# show run
: Saved
:
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
interface ethernet3 100full shutdown
interface ethernet4 100full shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security20
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname auth
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list 110 permit ip any host 172.16.1.168 log 7 interval 1
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.1.167 255.255.255.0
ip address inside 192.168.1.167 255.255.255.0
ip address dmz 192.168.2.1 255.255.255.0
no ip address intf3
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address dmz
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 172.16.1.168 192.168.1.100 netmask 255.255.255.255 0 0
access-group 110 in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
aaa-server acs32 protocol tacacs+
aaa-server acs32 max-failed-attempts 3
aaa-server acs32 deadtime 10
aaa-server acs32 (dmz) host 192.168.2.200 cisco123 timeout 5
aaa authentication include telnet outside 192.168.1.100 255.255.255.255 0.0.0.0
0.0.0.0 acs32
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
username cisco password tLgC3MrTDBA//0RQ encrypted privilege 15
terminal width 80
Cryptochecksum:2c91baf69c09453693157eb911aa842e
: end

Actualizar

Introduzca el comando copy tftp://<dirección ip>/pix704.bin.<imagen>flash:image para realizar la actualización a la imagen nueva. El siguiente resultado muestra el procedimiento de actualización de la configuración de la versión 6.3 de PIX a la versión 7.0 del dispositivo de seguridad PIX:

auth# copy tftp://192.168.1.100/cdisk.7.0(4) flash:image
copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5062712 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed

Introduzca el comando reload para comenzar a utilizar la imagen nueva de la versión 7.0 del dispositivo de seguridad PIX y, a continuación, presione Enter (Intro) en la siguiente solicitud para confirmar el comando reload.

auth# reload
Proceed with reload? [confirm]

Rebooting..ÿ

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
64 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class              Irq
 00  00  00   8086   7192  Host Bridge
 00  07  00   8086   7110  ISA Bridge
 00  07  01   8086   7111  IDE Controller
 00  07  02   8086   7112  Serial Bus         9
 00  07  03   8086   7113  PCI Bridge
 00  0D  00   8086   1209  Ethernet           11
 00  0E  00   8086   1209  Ethernet           10
 00  11  00   14E4   5823  Co-Processor       11
 00  13  00   8086   B154  PCI-to-PCI Bridge
 01  04  00   8086   1229  Ethernet           11
 01  05  00   8086   1229  Ethernet           10
 01  06  00   8086   1229  Ethernet           9
 01  07  00   8086   1229  Ethernet           5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5059072 bytes of image from flash.
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
########################################################
64MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 11  MAC: 0011.937e.0650
mcwa i82559 Ethernet at irq 10  MAC: 0011.937e.064f
mcwa i82559 Ethernet at irq 11  MAC: 000d.88ee.dfa0
mcwa i82559 Ethernet at irq 10  MAC: 000d.88ee.dfa1
mcwa i82559 Ethernet at irq  9  MAC: 000d.88ee.dfa2
mcwa i82559 Ethernet at irq  5  MAC: 000d.88ee.dfa3
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 240, parent_fileid 0
flashfs[7]: 231 files, 11 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 8274944
flashfs[7]: Bytes available: 7853056
flashfs[7]: flashfs fsck took 53 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs               : 25
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .
                                 |            |
                                |||          |||
                              .|| ||.      .|| ||.
                           .:||| | |||:..:||| | |||:.
                            C i s c o  S y s t e m s
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(4)

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706

Cryptochecksum(unchanged): 2c91baf6 9c094536 93157eb9 11aa842e
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.

Después de la actualización

Después de realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX, introduzca el comando enable para acceder al modo de configuración y, a continuación, introduzca la contraseña para introducir finalmente el comando show run. El resultado es el siguiente:

auth> enable
Password:
auth# show run
: Saved
:
PIX Version 7.0(4)
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.167 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.167 255.255.255.0
!
interface Ethernet2
 nameif dmz
 security-level 20
 ip address 192.168.2.1 255.255.255.0
!
interface Ethernet3
 speed 100
 duplex full
 shutdown
 nameif intf3
 security-level 6
 no ip address
!
interface Ethernet4
 speed 100
 duplex full
 shutdown
 nameif intf4
 security-level 8
 no ip address
!
interface Ethernet5
 shutdown
 nameif intf5
 security-level 10
 no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname auth
boot system flash:/image.bin
ftp mode passive
access-list 110 extended permit ip any host 172.16.1.168 log debugging interval
1
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
no failover
monitor-interface outside
monitor-interface inside
monitor-interface dmz
monitor-interface intf3
monitor-interface intf4
monitor-interface intf5
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 172.16.1.168 192.168.1.100 netmask 255.255.255.255
access-group 110 in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0
:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server acs32 protocol tacacs+
aaa-server acs32 (dmz) host 192.168.2.200
 timeout 5
 key cisco123
username cisco password tLgC3MrTDBA//0RQ encrypted privilege 15
aaa authentication include telnet outside 192.168.1.100 255.255.255.255 0.0.0.0 0.0.0.0
acs32
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
no sysopt connection permit-ipsec
telnet timeout 5
ssh timeout 5
ssh version 1
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect http
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:2c91baf69c09453693157eb911aa842e
: end
auth#

Actualización a la versión 7.0 del dispositivo de seguridad con migración tras error de unidad activa a unidad en espera

Suposición

Al realizar una actualización a la versión 7.0 del dispositivo de seguridad PIX mediante migración tras error de unidad activa a unidad en espera, este ejemplo de configuración asume lo siguiente (consulte la figura 6):

Hay dos unidades PIX 525 (con cuatro interfaces cada una)

Basada en LAN y Stateful Failover

Presenta una configuración de migración tras error que ha completado la inicialización y está preparada para la configuración del usuario final (en el principal)


Nota La versión 7.0 del dispositivo de seguridad PIX es compatible con un cable de cruce o de serie para las configuraciones de migración tras error de unidad activa a unidad activa.


Figura 6 Ejemplo de configuración de migración tras error con información de estado de unidad activa a unidad en espera

Información general

A continuación, se incluye una información general del procedimiento de actualización del PIX con una configuración de migración tras error de unidad activa a unidad en espera:

Con una configuración del dispositivo de seguridad de migración tras error en ejecución, inicie sesión en la versión  6.3 del PIX activo:

Copie TFTP en la memoria Flash

Vuelva a arrancar

Introduzca el comando show version o show run para visualizar la configuración

El PIX en espera se activa al volver a arrancar; el PIX activo no está disponible

El PIX activo vuelve a arrancar, pasa a ser el PIX en espera y se reinicia; el PIX en espera continúa procesando el tráfico

Inicie sesión en el PIX en espera:

Copie TFTP en la memoria Flash

Vuelva a arrancar (todas las conexiones están interrumpidas)

Introduzca el comando show version o show run para visualizar la configuración

El PIX activo se vuelve a activar al volver a arrancar el PIX en espera; no se trata de una migración tras error, ya que cada unidad PIX está ejecutando una versión distinta del software Cisco IOS

El PIX en espera vuelve a arrancar, pasa a ser el PIX activo y se reinicia:

El PIX en espera se sincroniza con el PIX activo, con lo que se restablece la configuración de migración tras error

Por otro lado, tiene la opción de apagar el PIX en espera al mismo tiempo que vuelve a arrancar el PIX activo. A continuación, reinicie el PIX en espera después de que el PIX activo comience a pasar el tráfico y realice la actualización a la versión 7.0 del dispositivo de seguridad PIX. Cargue previamente cada uno de los PIX mediante el comando copy tftp y, a continuación, vuelva a cargar el PIX activo. Cuando casi se haya completado la carga del PIX activo, vuelva a cargar el PIX en espera. Esto minimiza el tiempo de apagado.

Actualización del PIX activo

Introduzca el comando show run para visualizar el resultado de la configuración actual de la versión 6.3 de PIX en el dispositivo PIX activo antes de realizar la actualización del mismo a la versión 7.0 del dispositivo de seguridad PIX. El resultado de la configuración de la versión 6.3 de PIX es el siguiente:

failover# show run
: Saved
:
PIX Version 6.3(4)
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 100full
interface ethernet3 100full
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 fo security10
nameif ethernet3 stfo security15
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname failover
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
mtu fo 1500
mtu stfo 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.1.2 255.255.255.0
ip address inside 192.168.1.2 255.255.255.0
ip address fo 1.1.1.1 255.255.255.0
ip address stfo 2.2.2.1 255.255.255.0
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 172.16.1.3
failover ip address inside 192.168.1.3
failover ip address fo 1.1.1.2
failover ip address stfo 2.2.2.2
no failover ip address intf4
no failover ip address intf5
failover link stfo
failover lan unit primary
failover lan interface fo
failover lan key ********
failover lan enable
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:75b1c49e64e3bef7d24326f49b428776
: end

Introduzca el comando show failover (sho fail) para mostrar las estadísticas operativas de la migración tras error.

failover# show failover
Failover On
Serial Failover Cable status: My side not connected
Reconnect timeout 0:00:00
Poll frequency 15 seconds
Last Failover at: 15:02:59 UTC Sun Mar 6 2005
        This host: Primary - Active
                Active time: 285 (sec)
                Interface outside (172.16.1.2): Normal
                Interface inside (192.168.1.2): Normal
                Interface stfo (2.2.2.1): Normal
                Interface intf4 (0.0.0.0): Link Down (Shutdown)
                Interface intf5 (0.0.0.0): Link Down (Shutdown)
        Other host: Secondary - Standby
                Active time: 0 (sec)
                Interface outside (172.16.1.3): Normal
                Interface inside (192.168.1.3): Normal
                Interface stfo (2.2.2.2): Normal
                Interface intf4 (0.0.0.0): Link Down (Shutdown)
                Interface intf5 (0.0.0.0): Link Down (Shutdown)

Stateful Failover Logical Update Statistics
        Link : stfo
        Stateful Obj    xmit       xerr       rcv        rerr
        General         32         0          31         0
        sys cmd         30         0          31         0
        up time         2          0          0          0
        xlate           0          0          0          0
        tcp conn        0          0          0          0
        udp conn        0          0          0          0
        ARP tbl         0          0          0          0
        RIP Tbl         0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       1       33
        Xmit Q:         0       1       34

LAN-based Failover is Active
        interface fo (1.1.1.1): Normal, peer (1.1.1.2): Normal

Introduzca el comando copy tftp://<dirección ip>/pix704.bin.<imagen>flash:image para realizar la actualización a la imagen nueva del dispositivo PIX activo. El siguiente resultado muestra el procedimiento de actualización de la configuración de la versión 6.3 de PIX a la versión 7.0 del dispositivo de seguridad PIX:

failover# copy tftp://192.168.1.100/cdisk.7.0(4) flash:image
copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5062712 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed

Introduzca el comando reload para comenzar a utilizar la imagen nueva de la versión 7.0 del dispositivo de seguridad PIX y, a continuación, presione Enter (Intro) en la siguiente solicitud para confirmar el comando reload.

failover# reload
Proceed with reload? [confirm]


Rebooting..ÿ

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
64 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class              Irq
 00  00  00   8086   7192  Host Bridge
 00  07  00   8086   7110  ISA Bridge
 00  07  01   8086   7111  IDE Controller
 00  07  02   8086   7112  Serial Bus         9
 00  07  03   8086   7113  PCI Bridge
 00  0D  00   8086   1209  Ethernet           11
 00  0E  00   8086   1209  Ethernet           10
 00  11  00   14E4   5823  Co-Processor       11
 00  13  00   8086   B154  PCI-to-PCI Bridge
 01  04  00   8086   1229  Ethernet           11
 01  05  00   8086   1229  Ethernet           10
 01  06  00   8086   1229  Ethernet           9
 01  07  00   8086   1229  Ethernet           5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5059072 bytes of image from flash.
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
########################################################
64MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 11  MAC: 0011.937e.0650
mcwa i82559 Ethernet at irq 10  MAC: 0011.937e.064f
mcwa i82559 Ethernet at irq 11  MAC: 000d.88ee.dfa0
mcwa i82559 Ethernet at irq 10  MAC: 000d.88ee.dfa1
mcwa i82559 Ethernet at irq  9  MAC: 000d.88ee.dfa2
mcwa i82559 Ethernet at irq  5  MAC: 000d.88ee.dfa3
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: relinked orphaned file into the fs as "/lost+found/00240".
flashfs[7]: 230 files, 11 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 8482304
flashfs[7]: Bytes available: 7645696
flashfs[7]: flashfs fsck took 53 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs               : 25
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .
                                 |            |
                                |||          |||
                              .|| ||.      .|| ||.
                           .:||| | |||:..:||| | |||:.
                            C i s c o  S y s t e m s
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(4)

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706

Cryptochecksum(unchanged): 75b1c49e 64e3bef7 d24326f4 9b428776
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.


Introduzca el comando show run (sho run) para visualizar el resultado del comando failover en el PIX activo.

failover> enable
Password:
failover# show run
: Saved
::
PIX Version 7.0(4)
names
!
interface Ethernet0
 speed 100
 duplex full
 nameif outside
 security-level 0
 ip address 172.16.1.2 255.255.255.0 standby 172.16.1.3
!
interface Ethernet1
 speed 100
 duplex full
 nameif inside
 security-level 100
 ip address 192.168.1.2 255.255.255.0 standby 192.168.1.3
!
interface Ethernet2
 description LAN Failover Interface
 speed 100
 duplex full
!
interface Ethernet3
 description STATE Failover Interface
 speed 100
 duplex full
!
interface Ethernet4
 shutdown
 nameif intf4
 security-level 8
 no ip address
!
interface Ethernet5
 shutdown
 nameif intf5
 security-level 10
 no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname failover
boot system flash:/image.bin
ftp mode passive
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf4 1500
mtu intf5 1500
no failover
failover lan unit primary
failover lan interface fo Ethernet2
failover lan enable
failover key *****
failover link stfo Ethernet3
failover interface ip fo 1.1.1.1 255.255.255.0 standby 1.1.1.2
failover interface ip stfo 2.2.2.1 255.255.255.0 standby 2.2.2.2
monitor-interface outside
monitor-interface inside
monitor-interface intf4
monitor-interface intf5
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0
:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
no sysopt connection permit-ipsec
telnet timeout 5
ssh timeout 5
ssh version 1
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect http
  inspect ils
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:75b1c49e64e3bef7d24326f49b428776
: end

Nota La migración tras error está desactivada después de la actualización.


Actualización del PIX en espera


Nota No se detecta el PIX activo, lo que el PIX en espera considera como error.


Introduzca el comando show run para visualizar el resultado de la configuración actual de la versión 6.3 de PIX en el dispositivo PIX activo antes de realizar la actualización del mismo a la versión 7.0 del dispositivo de seguridad PIX. El resultado de la configuración de la versión 6.3 de PIX es el siguiente:

failover# show run
: Saved
failover# sho run
: Saved
:
PIX Version 6.3(4)
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 100full
interface ethernet3 100full
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 fo security10
nameif ethernet3 stfo security15
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname failover
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
mtu fo 1500
mtu stfo 1500
mtu intf4 1500
mtu intf5 1500
ip address outside 172.16.1.2 255.255.255.0
ip address inside 192.168.1.2 255.255.255.0
ip address fo 1.1.1.1 255.255.255.0
ip address stfo 2.2.2.1 255.255.255.0
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 172.16.1.3
failover ip address inside 192.168.1.3
failover ip address fo 1.1.1.2
failover ip address stfo 2.2.2.2
no failover ip address intf4
no failover ip address intf5
failover link stfo
failover lan unit secondary
failover lan interface fo
failover lan key ********
failover lan enable
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:6d45052a7f1c3d68dd10fa95a152eaa7
: end

Introduzca el comando show failover (sho fail) para mostrar las estadísticas operativas de la migración tras error del PIX en espera.

failover# show failover
Failover On
Serial Failover Cable status: My side not connected
Reconnect timeout 0:00:00
Poll frequency 15 seconds
Last Failover at: 15:21:09 UTC Sun Mar 6 2005
        This host: Secondary - Active
                Active time: 300 (sec)
                Interface outside (172.16.1.2): Normal (Waiting)
                Interface inside (192.168.1.2): Normal (Waiting)
                Interface stfo (2.2.2.1): Normal (Waiting)
                Interface intf4 (0.0.0.0): Link Down (Shutdown)
                Interface intf5 (0.0.0.0): Link Down (Shutdown)
        Other host: Primary - Standby (Failed)
                Active time: 405 (sec)
                Interface outside (172.16.1.3): Unknown
                Interface inside (192.168.1.3): Unknown
                Interface stfo (2.2.2.2): Unknown
                Interface intf4 (0.0.0.0): Unknown (Shutdown)
                Interface intf5 (0.0.0.0): Unknown (Shutdown)

Stateful Failover Logical Update Statistics
        Link : stfo
        Stateful Obj    xmit       xerr       rcv        rerr
        General         50         0          50         0
        sys cmd         50         0          48         0
        up time         0          0          2          0
        xlate           0          0          0          0
        tcp conn        0          0          0          0
        udp conn        0          0          0          0
        ARP tbl         0          0          0          0
        RIP Tbl         0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       1       50
        Xmit Q:         0       1       50

LAN-based Failover is Active
        interface fo (1.1.1.2): Normal, peer (1.1.1.1): Unknown

Introduzca el comando copy tftp://<dirección ip>/pix704.bin.<imagen>flash:image para realizar la actualización a la imagen nueva del PIX en espera. El siguiente resultado muestra el procedimiento de actualización de la configuración de la versión 6.3 de PIX a la versión 7.0 del dispositivo de seguridad PIX:

failover# copy tftp://192.168.1.100/cdisk.7.0(4) flash:image
copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5062712 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed

Introduzca el comando reload para comenzar a utilizar la imagen nueva de la versión 7.0 del dispositivo de seguridad PIX y, a continuación, presione Enter (Intro) en la siguiente solicitud para confirmar el comando reload.

failover# reload
Proceed with reload? [confirm]



Rebooting..ÿ

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by xxxxxx
64 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class              Irq
 00  00  00   8086   7192  Host Bridge
 00  07  00   8086   7110  ISA Bridge
 00  07  01   8086   7111  IDE Controller
 00  07  02   8086   7112  Serial Bus         9
 00  07  03   8086   7113  PCI Bridge
 00  0D  00   8086   1209  Ethernet           11
 00  0E  00   8086   1209  Ethernet           10
 00  11  00   14E4   5823  Co-Processor       11
 00  13  00   8086   B154  PCI-to-PCI Bridge
 01  04  00   8086   1229  Ethernet           11
 01  05  00   8086   1229  Ethernet           10
 01  06  00   8086   1229  Ethernet           9
 01  07  00   8086   1229  Ethernet           5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5059072 bytes of image from flash.
################################################################################
################################################################################
################################################################################
################################################################################
################################################################################
########################################################
64MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 11  MAC: 0011.937e.0604
mcwa i82559 Ethernet at irq 10  MAC: 0011.937e.0603
mcwa i82559 Ethernet at irq 11  MAC: 000d.88ee.e1c4
mcwa i82559 Ethernet at irq 10  MAC: 000d.88ee.e1c5
mcwa i82559 Ethernet at irq  9  MAC: 000d.88ee.e1c6
mcwa i82559 Ethernet at irq  5  MAC: 000d.88ee.e1c7
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-10286)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (2597)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (30610)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (20305)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (-29480)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (3742)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (10580)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-2896)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-812)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (23019)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (-32643)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (25350)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-4434)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-25787)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (8591)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-25606)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (-26665)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (12429)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (18421)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (29655)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (-5147)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (21867)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: relinked orphaned file into the fs as "/lost+found/00013".
flashfs[7]: relinked orphaned directory into the fs as "/lost+found/00008".
flashfs[7]: relinked orphaned directory into the fs as "/lost+found/00006".
flashfs[7]: 18 files, 7 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 2384896
flashfs[7]: Bytes available: 13743104
flashfs[7]: flashfs fsck took 45 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs               : 25
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .
                                 |            |
                                |||          |||
                              .|| ||.      .|| ||.
                           .:||| | |||:..:||| | |||:.
                            C i s c o  S y s t e m s
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(4)

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706


Cryptochecksum(unchanged): 6d45052a 7f1c3d68 dd10fa95 a152eaa7
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.

Después de realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX en el PIX en espera, introduzca el comando enable para acceder al modo de configuración y, a continuación, introduzca la contraseña para introducir finalmente el comando show run (sho run). El resultado es el siguiente:

failover> enable
Password:
failover# show run
: Saved

PIX Version 7.0(4)
names
!
interface Ethernet0
 speed 100
 duplex full
 nameif outside
 security-level 0
 ip address 172.16.1.2 255.255.255.0 standby 172.16.1.3
!
interface Ethernet1
 speed 100
 duplex full
 nameif inside
 security-level 100
 ip address 192.168.1.2 255.255.255.0 standby 192.168.1.3
!
interface Ethernet2
 description LAN Failover Interface
 speed 100
 duplex full
!
interface Ethernet3
 description STATE Failover Interface
 speed 100
 duplex full
!
interface Ethernet4
 shutdown
 nameif intf4
 security-level 8
 no ip address
!
interface Ethernet5
 shutdown
 nameif intf5
 security-level 10
 no ip address
!
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname failover
boot system flash:/image.bin
ftp mode passive
pager lines 24
mtu outside 1500
mtu inside 1500
mtu intf4 1500
mtu intf5 1500
no failover
failover lan unit secondary
failover lan interface fo Ethernet2
failover lan enable
failover key *****
failover link stfo Ethernet3
failover interface ip fo 1.1.1.1 255.255.255.0 standby 1.1.1.2
failover interface ip stfo 2.2.2.1 255.255.255.0 standby 2.2.2.2
monitor-interface outside
monitor-interface inside
monitor-interface intf4
monitor-interface intf5
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00
 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0
:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp
no sysopt connection permit-ipsec
telnet timeout 5
ssh timeout 5
ssh version 1
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect http
  inspect ils
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:6d45052a7f1c3d68dd10fa95a152eaa7
: end


Nota Con esto se completa la actualización a la versión 7.0 del dispositivo de seguridad PIX en el PIX en espera. La migración tras error está desactivada después de volver a arrancar.


Conexión con el PIX activo

Introduzca el comando show failover (sho fail) para confirmar la migración tras error en el PIX activo.

failover# show failover
Failover Off
Cable status: My side not connected
Failover unit Primary
Failover LAN Interface: fo Ethernet2 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum

Active la migración tras error en el PIX activo mediante el comando configure terminal (conf t); a continuación, introduzca el comando failover ; después el comando exit y, por último, el comando show failover (sho failover), como se muestra a continuación:

failover# configure terminal
failover(config)# failover
failover(config)# exit

failover# show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Primary
Failover LAN Interface: fo Ethernet2 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Last Failover at: 15:22:22 UTC Mar 6 2005
        This host: Primary - Negotiation
                Active time: 0 (sec)
                Interface outside (172.16.1.2): No Link (Waiting)
                Interface inside (192.168.1.2): No Link (Waiting)
                Interface intf4 (0.0.0.0): Link Down (Waiting)
                Interface intf5 (0.0.0.0): Link Down (Waiting)
        Other host: Primary - Not Detected
                Active time: 0 (sec)
                Interface outside (172.16.1.3): Unknown (Waiting)
                Interface inside (192.168.1.3): Unknown (Waiting)
                Interface intf4 (0.0.0.0): Unknown (Waiting)
                Interface intf5 (0.0.0.0): Unknown (Waiting)

Stateful Failover Logical Update Statistics
        Link : stfo Ethernet3 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         0          0          0          0
        sys cmd         0          0          0          0
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          0          0
        Xlate_Timeout   0          0          0          0
        VPN IKE upd     0          0          0          0
        VPN IPSEC upd   0          0          0          0
        VPN CTCP upd    0          0          0          0
        VPN SDI upd     0          0          0          0
        VPN DHCP upd    0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       0       0
        Xmit Q:         0       0       0
failover#

Conexión con el PIX en espera

Para realizar la conexión con el dispositivo PIX en espera, introduzca el comando show failover (sho fail) como sigue:

failover(config)# show failover
Failover Off
Cable status: My side not connected
Failover unit Secondary
Failover LAN Interface: fo Ethernet2 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum

Active la migración tras error en el dispositivo PIX en espera introduciendo el comando failover, como se indica a continuación:


failover(config)# failover
        Detected an Active mate
Beginning configuration replication from mate.

Introduzca el comando show failover (sho fail) como sigue:

failover(config)# show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Secondary
Failover End configuration replication from mate.
LAN Interface: fo Ethernet2 (up)
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Last Failover at: 15:33:17 UTC Mar 6 2005
        This host: Secondary - Sync Config
                Active time: 210 (sec)
                Interface outside (172.16.1.3): Normal (Waiting)
                Interface inside (192.168.1.3): Normal (Waiting)
                Interface intf4 (0.0.0.0): Link Down (Waiting)
                Interface intf5 (0.0.0.0): Link Down (Waiting)
        Other host: Primary - Active
                Active time: 75 (sec)
                Interface outside (172.16.1.2): Unknown (Waiting)
                Interface inside (192.168.1.2): Unknown (Waiting)
                Interface intf4 (0.0.0.0): Unknown (Waiting)
                Interface intf5 (0.0.0.0): Unknown (Waiting)

Stateful Failover Logical Update Statistics
        Link : stfo Ethernet3 (up)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         0          0          0          0
        sys cmd         2          0          2          0
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          1          0
        Xlate_Timeout   0          0          0          0
        VPN IKE upd     0          0          0          0
        VPN IPSEC upd   0          0          0          0
        VPN CTCP upd    0          0          0          0
        VPN SDI upd     0          0          0          0
        VPN DHCP upd    0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       1       12
        Xmit Q:         0       1       2

Con esto se completa el procedimiento de actualización en un PIX de migración tras error.

Actualización a la versión 7.0 del dispositivo de seguridad con comandos conduit


Nota Las declaraciones conduit y outbound se deben convertir en comandos de lista de control de acceso (access-list) antes de realizar una actualización a la versión 7.0 del dispositivo de seguridad PIX. Consulte la sección "Comandos conduit y outbound" antes de continuar. Si no lo hace se producirán errores.

El ejemplo de configuración de la sección "Después de la actualización" muestra declaraciones conduit y outbound ausentes, que se han convertido en listas de control de acceso.


Suposición

Al realizar una actualización a la versión 7.0 del dispositivo de seguridad PIX desde la versión 6.3 de PIX mediante comandos conduit, este ejemplo de configuración asume lo siguiente (consulte la figura 7):

Los usuarios internos de cualquier red pueden crear comandos outbound para Internet

Un servidor Web se ubica en la interfaz interna en 192.168.1.5, al que se accede mediante los comandos conduit y static para los servicios Web

Hay un servidor de correo electrónico en la interfaz interna en 172.16.1.49, al que se accede mediante comandos conduit que sólo acepta conexiones desde 209.165.201.2.

Los mensajes ICMP pueden circular libremente en el PIX mediante un comando conduit.

Figura 7 Ejemplo de configuración mediante comandos conduit

Antes de la actualización

Lo que se presenta a continuación es un resultado de ejemplo del comando show run en su configuración actual de la versión 6.3 de PIX antes de realizar la actualización a la versión 7.0 del dispositivo de seguridad PIX:

failover# show run
: Saved
 :
 PIX Version 6.3(4)
 interface ethernet0 100full
 interface ethernet1 100full
 interface ethernet2 auto shutdown
 interface ethernet3 auto shutdown
 interface ethernet4 auto shutdown
 interface ethernet5 auto shutdown
 nameif ethernet0 outside security0
 nameif ethernet1 inside security100
 nameif ethernet2 dmz security50
 nameif ethernet3 intf3 security6
 nameif ethernet4 intf4 security8
 nameif ethernet5 intf5 security10
 enable password 8Ry2YjIyt7RRXU24 encrypted
 passwd 2KFQnbNIdI.2KYOU encrypted
 hostname Conduit
 domain-name ciscopix.com
 fixup protocol dns maximum-length 512
 fixup protocol ftp 21
 fixup protocol h323 h225 1720
 fixup protocol h323 ras 1718-1719
 fixup protocol http 80
 fixup protocol rsh 514
 fixup protocol rtsp 554
 fixup protocol sip 5060
 fixup protocol sip udp 5060
 fixup protocol skinny 2000
 fixup protocol smtp 25
 fixup protocol sqlnet 1521
 fixup protocol tftp 69
 names
 name 172.16.1.75 Linux
 no pager
 logging on
 logging trap informational
 logging host inside 192.168.1.99
 icmp permit any outside
 icmp permit any inside
 mtu outside 1500
 mtu inside 1500
 mtu dmz 1500
 mtu intf3 1500
 mtu intf4 1500
 mtu intf5 1500
 ip address outside 172.16.1.161 255.255.255.0
 ip address inside 192.168.1.161 255.255.255.0
 no ip address dmz
 no ip address intf3
 no ip address intf4
 no ip address intf5
 ip audit info action alarm
 ip audit attack action alarm
 no failover
 failover timeout 0:00:00
 failover poll 15
 no failover ip address outside
 no failover ip address inside
 no failover ip address dmz
 no failover ip address intf3
 no failover ip address intf4
 no failover ip address intf5
 pdm location 192.168.1.99 255.255.255.255 inside
 pdm history enable
 arp timeout 14400
 global (outside) 1 172.16.1.210-172.16.1.212
 nat (inside) 1 0.0.0.0 0.0.0.0 0 0
 static (inside,outside) 172.16.1.111 192.168.1.5 netmask 255.255.255.255 0 0
 conduit permit icmp any any
 conduit permit tcp host 172.16.1.111 eq www any
 conduit permit tcp host 172.16.1.49 eq smtp host 209.165.201.2
 route outside 0.0.0.0 0.0.0.0 172.16.1.1 1
 timeout xlate 3:00:00
 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
 timeout uauth 0:05:00 absolute
 aaa-server TACACS+ protocol tacacs+
 aaa-server TACACS+ max-failed-attempts 3
 aaa-server TACACS+ deadtime 10
 aaa-server RADIUS protocol radius
 aaa-server RADIUS max-failed-attempts 3
 aaa-server RADIUS deadtime 10
 aaa-server LOCAL protocol local
 http server enable
 http 0.0.0.0 0.0.0.0 outside
 http 0.0.0.0 0.0.0.0 inside
 no snmp-server location
 no snmp-server contact
 snmp-server community public
 no snmp-server enable traps
 floodguard enable
 telnet 192.168.1.0 255.255.255.0 inside
 telnet timeout 5
 ssh timeout 5
 console timeout 0
 dhcpd address 192.168.1.100-192.168.1.102 inside
 dhcpd lease 3600
 dhcpd ping_timeout 750
 dhcpd enable inside
 terminal width 80
 Cryptochecksum:629e8fc8b6e635161c253178e5d91814
 : end

Actualizar

Introduzca el comando copy tftp://<dirección ip>/pix704.bin.<imagen>flash:image para realizar la actualización a la imagen nueva. El siguiente resultado muestra el procedimiento de actualización de la configuración de la versión 6.3 de PIX a la versión 7.0 del dispositivo de seguridad PIX:

Conduit# copy tftp://192.168.1.100/cdisk.7.0(4) flash:image
copying tftp://192.168.1.100/cdisk.7.0(4) to flash:image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!
 Received 5124096 bytes
 Erasing current image
 Writing 5062712 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
 Image installed

Introduzca el comando reload para comenzar a utilizar la imagen nueva de la versión 7.0 del dispositivo de seguridad PIX y, a continuación, presione Enter (Intro) en la siguiente solicitud para confirmar el comando reload.


Conduit# reload
Proceed with reload? [confirm]


Rebooting..ÿ

 CISCO SYSTEMS PIX FIREWALL
 Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
 Compiled by xxxxxx
 64 MB RAM

 PCI Device Table.
 Bus Dev Func VendID DevID Class              Irq
  00  00  00   8086   7192  Host Bridge
  00  07  00   8086   7110  ISA Bridge
  00  07  01   8086   7111  IDE Controller
  00  07  02   8086   7112  Serial Bus         9
  00  07  03   8086   7113  PCI Bridge
  00  0D  00   8086   1209  Ethernet           11
  00  0E  00   8086   1209  Ethernet           10
  00  11  00   14E4   5823  Co-Processor       11
  00  13  00   8086   B154  PCI-to-PCI Bridge
  01  04  00   8086   1229  Ethernet           11
  01  05  00   8086   1229  Ethernet           10
  01  06  00   8086   1229  Ethernet           9
  01  07  00   8086   1229  Ethernet           5
Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000


Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Flash boot in 10 seconds.           9 seconds.          8 seconds.
 Reading 5059072 bytes of image from flash.
##########################################################################################
##########################################################################################
##########################################################################################
##########################################################################################
##########################################################################################
######
64MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 11  MAC: 0011.937e.0650
mcwa i82559 Ethernet at irq 10  MAC: 0011.937e.064f
mcwa i82559 Ethernet at irq 11  MAC: 000d.88ee.dfa0
mcwa i82559 Ethernet at irq 10  MAC: 000d.88ee.dfa1
mcwa i82559 Ethernet at irq  9  MAC: 000d.88ee.dfa2
mcwa i82559 Ethernet at irq  5  MAC: 000d.88ee.dfa3
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-14264)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (12668)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (15104)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-18577)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (11973)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-4656)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-24944)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (23499)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (7137)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (20831)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (6185)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (25501)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (-5607)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (27450)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-6772)
flashfs[7]: erasing block 14...done.