Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

Migración de PIX 500 Series Security Appliances a ASA 5500 Series Adaptive Security Appliances

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (10 Abril 2009) | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento explica cómo migrar de PIX 500 Series Security Appliances a ASA 5500 Series Adaptive Security Appliances.

Nota: El PIX 501, el PIX 506 y el PIX 506E no hacen versión 7 del software de soporte.

Hay dos maneras de convertir una configuración PIX a una configuración ASA

  • Conversión Herramienta-ayudada

  • Conversión manual

La herramienta automática basada/Herramienta-ayudó a la conversión

Cisco recomienda que usted utiliza la conversión herramienta-ayudada para convertir las configuraciones PIX a las configuraciones ASA.

El método de conversión herramienta-ayudado es más rápido y más scalable si usted hace las conversiones múltiples. Sin embargo, la salida del proceso en una configuración intermedia contiene la sintaxis antigua y la sintaxis nueva. Este método confía en la instalación de la configuración intermedia en el dispositivo de seguridad adaptante de la blanco para completar la conversión. Hasta que esté instalado en el dispositivo objetivo, usted no puede ver la configuración final.

Nota: Cisco ha liberado el PIX a la herramienta de la migración ASA para ayudar a automatizar el proceso de la migración a los nuevos dispositivos ASA. Esta herramienta se puede descargar del sitio de descarga del software PIX. Refiera a emigrar la configuración del dispositivo de seguridad de la serie PIX 500 a los dispositivos de seguridad adaptantes de las 5500 Series ASA para más información.

prerrequisitos

Requisitos de hardware y de software

Puede actualizar PIX 515, 515E, 525, 535 a la versión 7.0.

Antes de que usted comience el proceso de actualización a la versión 7.x, Cisco recomienda que el PIX funciona con la versión 6.2 o posterior. Esto se asegura de que la configuración actual convierta correctamente. Además, estos requisitos de hardware deben cumplir con los requisitos mínimos de la memoria RAM:

Modelo de PIX Requisitos del RAM
  Limitada (R) Ilimitada (UR) / Sólo Conmutación por Error (FO)
PIX-515 64 MB* 128 MB*
PIX-515 E 64 MB* 128 MB*
PIX-525 128 MB 256 MB
PIX-535 512 MB 1 GB

Ejecute el comando show version para determinar la cantidad de memoria RAM actualmente instalada en el PIX.

Nota: El PIX 515 y las actualizaciones del software 515E pueden requerir una actualización de memoria también:

  • Aquellos con licencias limitadas y 32 MB de memoria requieren una actualización a una memoria de 64 MB.

  • Aquellos con licencias ilimitadas y 64 MB de memoria requieren una actualización a una memoria de 128 MB.

Vea esta tabla para los numeros de parte que usted necesita para actualizar la memoria en estos dispositivos.

Configuración del aparato actual Solución de la actualización
Licencia de Plataforma Memoria Total (antes de la actualización) Número de Pieza Memoria Total (después de la actualización)
Limitada (R) 32 MB PIX-515-MEM-32= 64 MB
Ilimitada (UR) 32 MB PIX-515-MEM-128= 128 MB
Sólo Conmutación por Error (FO) 64 MB PIX-515-MEM-128= 128 MB

Nota: El numero de parte depende de la licencia instalada del PIX.

La actualización del software de la versión 6.x a 7.x es continua y requiere de operaciones manuales, pero antes de comenzar debe seguir los siguientes pasos:

  1. Asegúrese de que la configuración actual no incluya los comandos conduit o outbound/apply. Estos comandos se soportan no más en 7.x y el proceso de actualización lo quita. Utilice la herramienta Conduit Converter para convertir estos comandos a listas de acceso antes de iniciar la actualización.

  2. Asegúrese de que el PIX no finalice las conexiones del Point to Point Tunneling Protocol (PPTP). Actualmente, la versión 7.x del software no admite la terminación del PPTP.

  3. Copie todos los certificados digitales para conexiones VPN en el PIX antes de comenzar el proceso de actualización.

  4. Lea estos documentos para asegurarse de conocer los comandos nuevos, cambiados o desaprobados:

  5. Planee realizar la migración durante el tiempo de inactividad. Si bien la migración es un proceso simple de dos pasos, la actualización del PIX Security Appliance a 7.x es un cambio importante que requiere suspender el funcionamiento por un tiempo.

  6. Descargue el software 7.x de Descargas de Cisco (sólo para clientes registrados).

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • ASA 5500 Series Security Appliances

  • Dispositivo de seguridad 515 PIX, 515E, 525, y 535

  • PIX Software versiones 6.3, 7.0

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Conversión de la configuración manual

Con el proceso de conversión manual, usted utiliza a un editor de textos para pasar con su configuración línea por línea y para convertir los comandos PIX-específicos a los comandos ASA.

La conversión manual de la configuración PIX a una configuración ASA le da la mayoría del control sobre el proceso de conversión. Sin embargo, el proceso es largo y no escala bien si usted debe hacer más de una conversión.

Para migrar de PIX a ASA debe seguir estos tres pasos:

  1. Actualizar el software PIX a la versión 7.x.

  2. Convierta los nombres de la interfaz del software 7.0 del Cisco PIX al formato de Cisco ASA.

  3. Copie la configuración del software PIX 7.0 a Cisco ASA 5500.

Actualización del Software PIX a la Versión 7.x

Antes de comenzar el proceso de actualización, siga estos pasos:

  1. Ejecute el comando show running-config o write net para guardar la configuración actual de PIX en un archivo de texto o un servidor TFTP.

  2. Ejecute el comando show version para verificar los requisitos, como el de la memoria RAM. Además, guarde la salida de este comando en un archivo de texto. Si debe restaurar el código a una versión más antigua, es posible que necesite la clave de activación original.

Si el PIX tiene una versión básica del sistema de entrada-salida (BIOS) anterior de 4.2 o si usted planea actualizar un PIX 515 o un PIX 535 con un PDM instalado ya, después usted debe completar el procedimiento de actualización en el modo monitor en vez con del método del flash de tftp de la copia. Para ver la versión de BIOS, reinicie el PIX, y con un cable de la consola asociado, leen los mensajes en el inicio.

La versión de BIOS se enumera en un mensaje, por ejemplo:

Rebooting....


CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
64 MB RAM

Nota: Los comandos 6.x se convierten automáticamente a los comandos 7.x durante la actualización. La conversión automática de los comandos provoca un cambio en la configuración. Debe revisar los cambios de configuración luego de iniciar el software 7.x para verificar que los cambios automáticos sean correctos. Luego guarde la configuración en la memoria flash para asegurarse de que el sistema no cambie la configuración nuevamente la próxima vez que se inicie el dispositivo de seguridad.

Nota: Después de que el sistema se actualice a 7.x, es importante que usted no utiliza la utilidad del disco de la versión de software 6.x NP, tal como recuperación de contraseña, pues corrompe la imagen del software 7.x y le requiere recomenzar su sistema del modo monitor. También puede perder la configuración anterior, el núcleo de seguridad e información esencial.

Actualice el dispositivo de seguridad PIX con el comando copy tftp flash

Siga estos pasos para actualizar el software PIX con el comando copy tftp flash.

  1. Copie la imagen binaria del dispositivo PIX, por ejemplo, pix701.bin, al directorio raíz del servidor TFTP.

  2. Desde el mensaje de activación, ejecute el comando copy tftp flash.

    pixfirewall>enable
    Password:
    <password>
    
    pixfirewall#copy tftp flash
    
  3. Ingrese el IP Address del servidor TFTP.

    Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
    
  4. Ingrese el nombre del archivo en el servidor TFTP que usted quiere cargar. Éste es el nombre del archivo de la imagen binaria PIX.

    Source file name [cdisk]?
    <filename>
    
    
  5. Cuando se le solicite iniciar la copia de TFTP, escriba yes.

    copying tftp://172.18.173.123/pix701.bin to flash:image
    [yes|no|again]?yes
    
  6. La imagen se copia nuevamente desde el servidor TFTP a la memoria Flash.

    Se borra este mensaje aparece e indica que la transferencia es un éxito, la vieja imagen binaria en el Flash, y se escribe y está instalada la nueva imagen.

    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Received 5124096 bytes
    Erasing current image
    Writing 5066808 bytes of image
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Image installed
    pixfirewall#
  7. Recargue el dispositivo PIX para iniciar la nueva imagen.

    pixfirewall#reload
    Proceed with reload? [confirm] 
    <enter>
    
    
    
    Rebooting....
  8. El PIX ahora inicia la imagen 7.0, y éste completa el proceso de actualización.

Ejemplo de Configuración: Actualización del PIX Appliance con el comando copy tftp flash

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall# 
pixfirewall#reload
Proceed with reload? [confirm] 
<enter>




Rebooting..�

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
128 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class�Irq
00�00�00�8086�7192�Host Bridge�
00�07�00�8086�7110�ISA Bridge�
00�07�01�8086�7111�IDE Controller�
00�07�02�8086�7112�Serial Bus�9
00�07�03�8086�7113�PCI Bridge�
00�0D�00�8086�1209�Ethernet�11
00�0E�00�8086�1209�Ethernet�10
00�13�00�11D4�2F44�Unknown Device�5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash.�
######################################################################
######################################################################
128MB RAM

Total NICs found: 2
mcwa i82559 Ethernet at irq 11�MAC: 0009.4360.ed44
mcwa i82559 Ethernet at irq 10�MAC: 0009.4360.ed43
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


!--- This output indicates that the Flash file
!--- system is formatted. The messages are normal.

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-27642)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-30053)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-1220)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-22934)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (2502)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (29877)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-13768)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (9350)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-18268)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (7921)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (22821)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (7787)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (15515)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (20019)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-25094)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-7515)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (-10699)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (6652)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (-23640)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (23698)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (-28882)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (2533)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-966)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-22888)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (-9762)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (9747)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (-22855)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-32551)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-13355)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (-29894)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-18595)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (22095)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (1486)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (13559)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (24215)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (21670)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (-24316)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 7, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 12, parent_fileid 0
flashfs[7]: 5 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 5128192
flashfs[7]: Bytes available: 10999808
flashfs[7]: flashfs fsck took 59 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6�
Maximum VLANs�: 25�
Inside Hosts�: Unlimited 
Failover�: Active/Active
VPN-DES�: Enabled�
VPN-3DES-AES�: Enabled�
Cut-through Proxy�: Enabled�
Guards�: Enabled�
URL Filtering�: Enabled�
Security Contexts�: 2�
GTP/GPRS�: Disabled�
VPN Peers�: Unlimited 

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC (IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5)
--------------------------------------------------------------------------
.�.�
|�|�
|||�|||�
.|| ||.�.|| ||.�
.:||| | |||:..:||| | |||:.�
C i s c o�S y s t e m s�
--------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1) 

****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.

A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

!--- These messages are printed for any deprecated commands.

ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 50, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 55, "floodguard enable"

Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 

!--- All current fixups are converted to the new Modular Policy Framework.

INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
pixfirewall>

Nota: Publique el comando show version para verificar que el PIX ahora funciona con la versión de software 7.x.

Nota: Para examinar cualquier error que ocurriera durante la migración de la configuración, publique el comando show startup-config errors. Los errores aparecen en esta salida después de que usted inicie el PIX por primera vez.

Actualice el dispositivo de seguridad PIX del modo monitor

Ingrese al modo monitor

Complete estos pasos para ingresar al modo monitor en el PIX.

  1. Conecte un cable de la consola con el puerto de la consola en el PIX con el uso de estas configuraciones de la comunicación:

    • 9600 bits por segundo

    • 8 bits de datos

    • sin paridad

    • 1 bit de parada

    • sin control de flujo

  2. Inicie el ciclo o recargue el PIX. Durante el arranque, se le solicita que utilice BREAK o ESC para interrumpir el inicio de la memoria Flash. Usted tiene diez segundos para interrumpir el proceso de arranque normal.

  3. Presione la tecla ESC o envíe un carácter BREAK para acceder al Modo Monitor.

    • Si utiliza Hyper Terminal de Windows, puede presionar la tecla Esc o Ctrl+Break para enviar un carácter BREAK.

    • Si se conecta a un servidor terminal a través de Telnet para acceder al puerto de consola de PIX, debe presionar Ctrl+] (Control + corchete derecho) para obtener una solicitud del comando Telnet. Luego, ejecute el comando send break.

  4. Se visualizará el mensaje monitor>.

  5. Continúe con la sección Actualización de PIX desde el Modo Monitor.

Actualice el PIX del modo monitor

Complete estos pasos para actualizar su PIX del modo monitor.

  1. Copie la imagen binaria del dispositivo PIX, por ejemplo, pix701.bin, al directorio raíz del servidor TFTP.

  2. Ingrese al modo monitor en el PIX. Si no está seguro de cómo hacerlo, consulte Acceso al Modo Monitor.

    Nota: Una vez en el modo monitor, usted puede utilizar “?” clave para ver una lista de opciones disponibles.

  3. Ingrese el Número de interfaz que el servidor TFTP está conectado con, o la interfaz que está la más cercana al servidor TFTP. La interfaz predeterminada es la 1 (interna).

    monitor>interface <num>
    

    Nota: En el modo monitor, la interfaz siempre auto negocia la velocidad y dúplex. Las configuraciones de la interfaz no pueden ser cifradas difícilmente. Por consiguiente, si la interfaz de PIX se conecta al switch codificado de forma rígida para velocidad/dúplex, reconfigúrela en auto negotiate (negociación automática) mientras esté en el Modo Monitor. Tenga en cuenta también que el dispositivo PIX no puede inicializar una interfaz Gigabit Ethernet desde el Modo Monitor. Usted debe utilizar una interfaz Fast Ethernet en lugar de otro.

  4. Introduzca la dirección IP de la interfaz definida en el paso tres.

    monitor>address <PIX_ip_address>
    
  5. Ingrese el IP Address del servidor TFTP.

    monitor>server <tftp_server_ip_address>
    
  6. (Opcional) ingrese el IP Address de su gateway. Requieren a una dirección del gateway si la interfaz del PIX no está en la misma red que el servidor TFTP.

    monitor>gateway <gateway_ip_address>
    
  7. Ingrese el nombre del archivo en el servidor TFTP que usted quiere cargar. Éste es el nombre del archivo de la imagen binaria PIX.

    monitor>file <filename>
    
  8. Haga ping del PIX al servidor TFTP para verificar la conectividad del IP.

    Si los pings fallan, vuelva a verificar los cables, la dirección IP de la interfaz de PIX y el servidor TFTP, y la dirección IP de la gateway (si es necesario). Los ping deben tener éxito antes de que usted continúe.

    monitor>ping <tftp_server_ip_address>
    
  9. Escriba tftp para iniciar la descarga del TFTP.

    monitor>tftp
    
  10. El PIX descarga la imagen en el RAM y la inicia automáticamente.

    Durante el proceso de arranque, el sistema de archivos se convierte junto con su configuración actual. Sin embargo, todavía le no hacen. Observe este mensaje de advertencia después de que usted inicie y continúe al paso 11:

    ******************************************************************
      **                                                                    **
      **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
      **                                                                    **
      **          ----> Current image running from RAM only! <----          **
      **                                                                    **
      **  When the PIX was upgraded in Monitor mode the boot image was not  **
      **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
      **  save a bootable image to Flash.  Failure to do so will result in  **
      **  a boot loop the next time the PIX is reloaded.                    **
      **                                                                    **
      ************************************************************************
  11. Una vez que está iniciado, ingrese el enable mode y copie la misma imagen encima al PIX otra vez. Esta vez, ejecute el comando copy tftp flash.

    Esto guarda la imagen en el sistema de archivos Flash. Si no puede realizar este paso, la próxima vez que el PIX se recargue, se producirá un bucle de inicio.

    pixfirewall>enable
    pixfirewall#copy tftp flash
    

    Nota: Para las Instrucciones detalladas en cómo copiar la imagen encima con el uso del comando copy tftp flash, vea la actualización el dispositivo de seguridad PIX con la sección de comando copy tftp flash.

  12. Una vez copiada la imagen nuevamente con el comando copy tftp flash, el proceso de actualización ha finalizado.

    Ejemplo de Configuración: Actualización del PIX Security Appliance desde el Modo Monitor

    monitor>interface 1 
    0: i8255X @ PCI(bus:0 dev:13 irq:10)
    1: i8255X @ PCI(bus:0 dev:14 irq:7 )
    2: i8255X @ PCI(bus:1 dev:0  irq:11)
    3: i8255X @ PCI(bus:1 dev:1  irq:11)
    4: i8255X @ PCI(bus:1 dev:2  irq:11)
    5: i8255X @ PCI(bus:1 dev:3  irq:11)
    
    Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81
    monitor>address 10.1.1.2 
    address 10.1.1.2 
    monitor>server 172.18.173.123 
    server 172.18.173.123 
    monitor>gateway 10.1.1.1
    gateway 10.1.1.1
    monitor>file pix701.bin 
    file pix701.bin 
    monitor>ping 172.18.173.123 
    Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds: 
    !!!!! 
    Success rate is 100 percent (5/5) 
    monitor>tftp 
    tftp pix701.bin@172.18.173.123.......................................... 
    Received 5124096 bytes 
    
    Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar  7 17:39:03 PST 2005
    #######################################################################
    128MB RAM
    
    Total NICs found: 6
    mcwa i82559 Ethernet at irq 10  MAC: 0050.54ff.4d80
    mcwa i82559 Ethernet at irq  7  MAC: 0050.54ff.4d81
    mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2014
    mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2015
    mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2016
    mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2017
    BIOS Flash=AT29C257 @ 0xfffd8000
    Old file system detected. Attempting to save data in flash
     
    
    !--- This output indicates that the Flash file
    !--- system is formatted. The messages are normal.
    
    Initializing flashfs...
    flashfs[7]: Checking block 0...block number was (-10627)
    flashfs[7]: erasing block 0...done.
    flashfs[7]: Checking block 1...block number was (-14252)
    flashfs[7]: erasing block 1...done.
    flashfs[7]: Checking block 2...block number was (-15586)
    flashfs[7]: erasing block 2...done.
    flashfs[7]: Checking block 3...block number was (5589)
    flashfs[7]: erasing block 3...done.
    flashfs[7]: Checking block 4...block number was (4680)
    flashfs[7]: erasing block 4...done.
    flashfs[7]: Checking block 5...block number was (-21657)
    flashfs[7]: erasing block 5...done.
    flashfs[7]: Checking block 6...block number was (-28397)
    flashfs[7]: erasing block 6...done.
    flashfs[7]: Checking block 7...block number was (2198)
    flashfs[7]: erasing block 7...done.
    flashfs[7]: Checking block 8...block number was (-26577)
    flashfs[7]: erasing block 8...done.
    flashfs[7]: Checking block 9...block number was (30139)
    flashfs[7]: erasing block 9...done.
    flashfs[7]: Checking block 10...block number was (-17027)
    flashfs[7]: erasing block 10...done.
    flashfs[7]: Checking block 11...block number was (-2608)
    flashfs[7]: erasing block 11...done.
    flashfs[7]: Checking block 12...block number was (18180)
    flashfs[7]: erasing block 12...done.
    flashfs[7]: Checking block 13...block number was (0)
    flashfs[7]: erasing block 13...done.
    flashfs[7]: Checking block 14...block number was (29271)
    flashfs[7]: erasing block 14...done.
    flashfs[7]: Checking block 15...block number was (0)
    flashfs[7]: erasing block 15...done.
    flashfs[7]: Checking block 61...block number was (0)
    flashfs[7]: erasing block 61...done.
    flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0
    flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0
    flashfs[7]: 9 files, 3 directories
    flashfs[7]: 0 orphaned files, 0 orphaned directories
    flashfs[7]: Total bytes: 15998976
    flashfs[7]: Bytes used: 10240
    flashfs[7]: Bytes available: 15988736
    flashfs[7]: flashfs fsck took 58 seconds.
    flashfs[7]: Initialization complete.
    
    Saving the datafile
    !
    Saving a copy of old datafile for downgrade
    !
    Saving the configuration
    !
    Saving a copy of old configuration as downgrade.cfg
    !
    Saved the activation key from the flash image
    Saved the default firewall mode (single) to flash
    The version of image file in flash is not bootable in the current version of
    software.
    Use the downgrade command first to boot older version of software.
    The file is being saved as image_old.bin anyway.
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Upgrade process complete
    Need to burn loader....
    Erasing sector 0...[OK]
    Burning sector 0...[OK]
    Erasing sector 64...[OK]
    Burning sector 64...[OK]
    
    Licensed features for this platform:
    Maximum Physical Interfaces : 6         
    Maximum VLANs               : 25        
    Inside Hosts                : Unlimited 
    Failover                    : Active/Active
    VPN-DES                     : Enabled   
    VPN-3DES-AES                : Enabled   
    Cut-through Proxy           : Enabled   
    Guards                      : Enabled   
    URL Filtering               : Enabled   
    Security Contexts           : 2         
    GTP/GPRS                    : Disabled  
    VPN Peers                   : Unlimited 
    
    This platform has an Unrestricted (UR) license.
    
    Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
      --------------------------------------------------------------------------
                                     .            .                             
                                     |            |                             
                                    |||          |||                            
                                  .|| ||.      .|| ||.                          
                               .:||| | |||:..:||| | |||:.                       
                                C i s c o  S y s t e m s                        
      --------------------------------------------------------------------------
    
    Cisco PIX Security Appliance Software Version 7.0(1) 
    
      ****************************** Warning *******************************
      This product contains cryptographic features and is
      subject to United States and local country laws
      governing, import, export, transfer, and use.
      Delivery of Cisco cryptographic products does not
      imply third-party authority to import, export,
      distribute, or use encryption. Importers, exporters,
      distributors and users are responsible for compliance
      with U.S. and local country laws. By using this
      product you agree to comply with applicable laws and
      regulations. If you are unable to comply with U.S.
      and local laws, return the enclosed items immediately.
    
      A summary of U.S. laws governing Cisco cryptographic
      products may be found at:
      http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
    
      If you require further assistance please contact us by
      sending email to export@cisco.com.
      ******************************* Warning *******************************
    
    Copyright (c) 1996-2005 by Cisco Systems, Inc.
    
                    Restricted Rights Legend
    
    Use, duplication, or disclosure by the Government is
    subject to restrictions as set forth in subparagraph
    (c) of the Commercial Computer Software - Restricted
    Rights clause at FAR sec. 52.227-19 and subparagraph
    (c) (1) (ii) of the Rights in Technical Data and Computer
    Software clause at DFARS sec. 252.227-7013.
    
                    Cisco Systems, Inc.
                    170 West Tasman Drive
                    San Jose, California 95134-1706
    
    
    !--- These messages are printed for any deprecated commands.
    
    .ERROR: This command is no longer needed. The LOCAL user database is always enabled.
     *** Output from config line 71, "aaa-server LOCAL protoco..."
    ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
     *** Output from config line 76, "floodguard enable"
    
    Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303 
    
    !--- All current fixups are converted to the 
    !--- new Modular Policy Framework.
    
    INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
    INFO: converting 'fixup protocol ftp 21' to MPF commands
    INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
    INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
    INFO: converting 'fixup protocol http 80' to MPF commands
    INFO: converting 'fixup protocol ils 389' to MPF commands
    INFO: converting 'fixup protocol netbios 137-138' to MPF commands
    INFO: converting 'fixup protocol rsh 514' to MPF commands
    INFO: converting 'fixup protocol rtsp 554' to MPF commands
    INFO: converting 'fixup protocol sip 5060' to MPF commands
    INFO: converting 'fixup protocol skinny 2000' to MPF commands
    INFO: converting 'fixup protocol smtp 25' to MPF commands
    INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
    INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
    INFO: converting 'fixup protocol tftp 69' to MPF commands
    INFO: converting 'fixup protocol sip udp 5060' to MPF commands
    INFO: converting 'fixup protocol xdmcp 177' to MPF commands
      ************************************************************************
      **                                                                    **
      **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
      **                                                                    **
      **          ----> Current image running from RAM only! <----          **
      **                                                                    **
      **  When the PIX was upgraded in Monitor mode the boot image was not  **
      **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
      **  save a bootable image to Flash.  Failure to do so will result in  **
      **  a boot loop the next time the PIX is reloaded.                    **
      **                                                                    **
      ************************************************************************
    Type help or '?' for a list of available commands.
    pixfirewall>
    pixfirewall>enable
    Password:
    <password>
    
    pixfirewall# 
    pixfirewall#copy tftp flash
    
    Address or name of remote host []? 172.18.173.123
    
    Source filename []? pix701.bin
    
    Destination filename [pix701.bin]? 
    <enter>
    
    
    Accessing tftp://172.18.173.123/pix701.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Writing file flash:/pix701.bin...
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    5124096 bytes copied in 139.790 secs (36864 bytes/sec)
    pixfirewall#

Conversión de los Nombres de Interfaz de Cisco PIX Software 7.0 al Formato de Cisco ASA

El próximo paso en el proceso es editar la nueva configuración basada en Cisco PIX Software 7.0 fuera de línea.

Como la convención de denominación de interfaz de Cisco ASA es diferente de las de los Cisco PIX Security Appliances, debe realizar cambios en la configuración de Cisco PIX antes de copiar o cargarla en Cisco ASA 5500 Series Security Appliance.

Para realizar los cambios de nombre de interfaz en la configuración de PIX, siga estos pasos:

  1. Copie la nueva configuración basada en Cisco PIX Software 7.0 fuera de línea. Para esto, cargue la configuración en un servidor TFTP/FTP o cópiela desde una sesión de consola a un editor de texto.

    Para cargar la configuración de PIX en un servidor TFTP/FTP, desde la consola, ejecute este comando:

    copy startup−config tftp://n.n.n.n/PIX7cfg.txt
        or
    copy startup−config ftp://n.n.n.n/PIX7cfg.txt
    
  2. Una vez que se carga el archivo de configuración basada en Cisco PIX Software 7.0 en el servidor TFTP/FTP con éxito (o se copia y pega en un editor de texto), abra Notepad/WordPad o cualquier editor de texto favorito para cambiar los nombres de interfaz en la configuración de PIX.

    Los Cisco PIX Security Appliances numeran las interfaces de 0 a n. Los Cisco ASA 5500 Series Security Appliances numeran las interfaces según la ubicación/ranura. Las interfaces integradas se enumeran de 0/0 a 0/3 y la interfaz de administración es Management 0/0. Las interfaces en el módulo 4GE SSM se enumeran de 1/0 a 1/3. .

    Cisco ASA 5510 con licencia básica que ejecuta 7.0 cuenta con tres puertos Fast Ethernet (0/0 a 0/2) y la interfaz Management 0/0 disponible. Cisco ASA 5510 con licencia Security Plus tiene cinco interfaces Fast Ethernet disponibles. Cisco ASA 5520 y 5540 cuentan con cuatro puertos Gigabit Ethernet y un puerto de administración Fast Ethernet. Cisco ASA 5550 cuenta con ocho puertos Gigabit Ethernet y un puerto Fast Ethernet.

    Cambie los nombres de interfaz en la configuración de PIX al formato de interfaz de ASA.

    por ejemplo:

       
       Ethernet0 ==> Ethernet0/0
       Ethernet1 ==> Ethernet0/1
       GigabitEthernet0 ==> GigabitEthernet0/0
    

    Para obtener más información, consulte la sección Configuración de los Parámetros de Interfaz de la Guía de Configuración de Líneas de Comandos de Cisco Security Appliance, Versión 7.0.

Copia de la Configuración de PIX en ASA

En esta instancia, usted tiene una configuración basada en Cisco PIX Software 7.0 con los nombres de interfaz modificados, listos para ser copiados o cargados en Cisco ASA 5500 Series. Hay dos formas de cargar la configuración basada en Cisco PIX Software 7.0 en los dispositivos Cisco ASA 5500 Series.

Siga los pasos indicados en el Método 1: Copia/Pegado Manual o Método 2: Descarga del TFTP/FTP.

Método 1: Copia/Pegado Manual

Copie la configuración mediante el método copiar/pegar desde la consola de PIX:

  1. Registre en Cisco ASA las 5500 Series a través de la consola y publique el comando clear config all para borrar la configuración antes de que usted pegue la configuración modificada del software 7.0 del Cisco PIX.

    ASA#config t
    ASA(config)#clear config all
    
  2. Copie y pegue la configuración en la consola de ASA y guárdela.

    Nota: Aseegurese que todas las interfaces están en el ningún estado de cierre normal antes de que usted comience a probar.

Método 2: Descarga del TFTP/FTP

El segundo método consiste en descargar la configuración basada en Cisco PIX Software 7.0 de un servidor TFTP/FTP. Para este paso, usted necesita configurar la interfaz de administración en el dispositivo de las 5500 Series de Cisco ASA para la descarga TFTP/FTP:

  1. Desde la consola de ASA, ejecute:

    ASA#config t
    ASA(config)#interface management 0
    ASA(config)#nameif management
    ASA(config)#ip add <n.n.n.n> <netmask>
    ASA(config)#no shut
    

    Nota: <next-hop> (opcional) del <mask> del <ip> de la Administración de la ruta

  2. Una vez configurada la interfaz de administración, puede descargar la configuración de PIX en ASA:

    ASA(Config)#copy tftp://<n.n.n.n>/PIX7cfg.txt running-config
    
  3. Guarde la configuración.

Aplicación de la Configuración de la Versión 6.x del Software PIX en la Versión 7.x del Software ASA

La conversión de un PIX 6.2 o la configuración 6.3 a un nuevo dispositivo de seguridad ASA es un Proceso manual. ASA/PIX requieren al administrador convertir el sintaxis PIX 6.x para hacer juego el sintaxis ASA y para teclear los comandos en la configuración ASA. Puede cortar y pegar algunos comandos, como access-list. Asegúrese de comparar detenidamente la configuración de PIX 6.2 o 6.3 con la nueva configuración de ASA, para corroborar que no se ha producido ningún error en la conversión.

Nota: La herramienta del Output Interpreter (clientes registrados solamente) (OIT) se puede utilizar para convertir algo del más viejo, sin apoyo, los comandos por ejemplo se aplica, saliente o conducto a la lista de acceso apropiada. Las declaraciones convertidas deben ser revisadas detenidamente. Es necesario verificar que la conversión coincida con las políticas de seguridad.

Nota: El proceso para la actualización a un nuevo dispositivo ASA es diferente de una actualización a un nuevo Dispositivo de PIX. Si se intenta actualizar a un ASA mediante un proceso PIX, se producirán varios errores de configuración en el ASA.

Troubleshooting - Conversión de la configuración manual

Dispositivo Atascado en el Bucle de Reinicio

  • Después de utilizar el método copy tftp flash para actualizar el PIX y reiniciarlo, se atasca en este bucle de reinicio:

    Cisco Secure PIX Firewall BIOS (4.0) #0: 
    Thu Mar  2 22:59:20 PST 2000
    Platform PIX-515
    Flash=i28F640J5 @ 0x300
    
    Use BREAK or ESC to interrupt flash boot.
    Use SPACE to begin flash boot immediately.
    Reading 5063168 bytes of image from flash.   

    Los dispositivos PIX con versiones de BIOS anteriores a 4.2 no pueden actualizarse mediante el comando copy tftp flash. Debe actualizarlos con el método Modo Monitor.

  • Después de ejecutar el PIX en la versión 7.x y reiniciarlo, se atasca en este bucle de reinicio:

    Rebooting....
    
    Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar�2 22:59:20 PST 2000
    Platform PIX-515
    Flash=i28F640J5 @ 0x300
    
    Use BREAK or ESC to interrupt flash boot.
    Use SPACE to begin flash boot immediately.
    Reading 115200 bytes of image from flash.�
    
    PIX Flash Load Helper
    
    Initializing flashfs...
    flashfs[0]: 10 files, 4 directories
    flashfs[0]: 0 orphaned files, 0 orphaned directories
    flashfs[0]: Total bytes: 15998976
    flashfs[0]: Bytes used: 1975808
    flashfs[0]: Bytes available: 14023168
    flashfs[0]: Initialization complete.
    
    Unable to locate boot image configuration
    
    Booting first image in flash
    
    No bootable image in flash. Please download 
    an image from a network server in the monitor mode
    
    Failed to find an image to boot
    

    Si el PIX se actualiza desde el Modo Monitor a la versión 7.0, pero la imagen de esta versión no se copia nuevamente en la memoria Flash después del primer inicio de la versión 7.0; cuando el PIX se recargue, se atascará en un bucle de reinicio.

    La solución es cargar la imagen nuevamente desde el Modo Monitor. Una vez reiniciado, debe copiar la imagen una vez más mediante el método copy tftp flash.

Mensaje de error

Cuando actualiza con el método copy tftp flash, observa este mensaje de error:

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? y
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Insufficient flash space available for this request:
Size info: request:5066808 current:1966136 delta:3100672 free:2752512
Image not installed
pixfirewall# 

Generalmente, este mensaje aparece cuando se actualiza PIX 515 o PIX 535 con un PDM ya instalado con el método copy tftp flash.

Actualice con el método Modo Monitor para resolver este problema.

Aparentemente la Configuración No Es Correcta

Después de la actualización de PIX de la versión 6.x a 7.x, algunas de las opciones de configuración no migran adecuadamente.

La salida del comando show startup-config errors muestra cualquier error que se haya producido durante la migración de la configuración. Los errores aparecen en esta salida después de que usted inicie el PIX por primera vez. Examine estos errores e intente resolverlos.

Algunos servicios tales como FTP no trabajan

En ocasiones, algunos servicios como el FTP no funcionan luego de una actualización.

La inspección para estos servicios no está habilitada después de la actualización. Active la inspección para los servicios correspondientes. Para esto, agréguelos a la política de inspección predeterminada/global o cree una política de inspección aparte para el servicio deseado.

Para obtener más información sobre las políticas de inspección, consulte la sección Aplicación de la Inspección del Application Layer Protocol de la Guía de Configuración de Líneas de Comandos de Cisco Security Appliance, Versión 7.0.

Incapaz de acceder Internet cuando el dispositivo de seguridad del Cisco PIX se substituye por el dispositivo de seguridad adaptante de Cisco (el ASA)

Utilice esta sección si usted no puede acceder Internet después de que usted substituya el dispositivo de seguridad del Cisco PIX por el dispositivo de seguridad adaptante de Cisco (ASA).

Cuando usted desenchufa el PIX de la red y asocia el ASA en la red con una dirección IP de la interfaz exterior que sea lo mismo que la interfaz exterior del PIX, el router ascendente todavía tiene el MAC address para el PIX correspondiente a la dirección IP de la interfaz exterior. Como consecuencia, no puede enviar los paquetes de respuesta de nuevo al ASA. Para que el ASA trabaje, usted debe borrar la entrada ARP en el router ascendente de modo que aprenda la nueva/correcta entrada de MAC Address. Si usted enjuaga las entradas ARP cuando usted planea substituir el PIX por el ASA, resuelve el problema de la conectividad a Internet. El rubor de la entrada ARP se debe hacer por el ISP en su extremo.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 91976