Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

PIX 500 dispositivo de seguridad 6.x al procedimiento de actualización de software 7.x

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (23 Junio 2008) | Inglés (22 Agosto 2015) | Comentarios


Nota: Este documentos abarca cómo actualizar el software en un dispositivo de seguridad de la serie PIX 500. Para descargar el software PIX, refiera al centro de software (clientes registrados solamente). Usted debe iniciar sesión y poseer un contrato de servicio válido para acceder al software PIX.


Contenido


Introducción

Este documento explica cómo actualizar el Dispositivo de PIX de la versión 6.2 o 6.3 a la versión 7.x. También cubre la instalación de la versión 5.0 adaptante del Administrador de dispositivos de seguridad (ASDM).

prerrequisitos

Requisitos

Antes de que usted comience este procedimiento de actualización, complete estas tareas.

  • Utilice el comando show running-config o write net para salvar la configuración de PIX actual a un archivo de texto o a un servidor TFTP.

  • Utilice el comando show version para visualizar el número de serie y la clave de activación. Salve esta salida a un archivo de texto. Si usted necesita invertir de nuevo a una versión de código más antigua, usted puede ser que necesite la clave de activación original. Para más información sobre las claves de activación, refiera a las preguntas frecuentes del firewall PIX.

  • Asegúrese que usted no tenga ningún comando conduit o outbound en su configuración actual. Estos comandos se soportan no más en 7.x y el proceso de actualización lo quita. Utilice la herramienta del Output Interpreter (clientes registrados solamente) para convertir estos comandos a las listas de acceso antes de que usted intente la actualización.

  • Asegúrese que el PIX no termine las conexiones de punto a punto del (PPTP) del Tunneling Protocol. El PIX 7.1 y posterior no soporta actualmente la terminación PPTP.

  • Si usted utiliza la Conmutación por falla, asegúrese que el LAN o la interfaz stateful no esté compartido con ningunos datos que pasen las interfaces. Por ejemplo, si usted utiliza su interfaz interior para pasar el tráfico de datos así como para su interfaz de la falla de estado (link de fallas dentro), usted debe mover la interfaz de la falla de estado a una diversa interfaz antes de que usted actualice. El error hacer causa tan todas las configuraciones atadas a la interfaz interior que se quitará. También, el tráfico de datos no pasa a través de la interfaz después de la actualización.

  • Asegúrese de que el PIX ejecuto versión 6.2 o 6.3 antes de que usted proceda.

  • Lea los Release Note para la versión que usted planea actualizar a de modo que usted sea consciente de todo nuevo, cambió, y desaprobó los comandos.

  • Refiérase al guía de actualización para cualquier cambio del comando adicional entre las versiones 6.x y 7.x.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Dispositivo de seguridad 515 PIX, 515E, 525, y 535

  • Versiones de software PIX 6.3(4), 7.0(1)

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Requisitos mínimos del sistema

Antes de que usted comience el proceso de actualización a la versión 7.x, Cisco recomienda que el PIX funciona con la versión 6.2 o posterior. Esto se asegura de que la configuración actual convierta correctamente. Además, estos requisitos de hardware se deben cumplir para el RAM y los requisitos de Flash mínimos:

Modelo de PIX Requisitos del RAM Requisitos de Flash
  Limitada (R) Sin restricciones (UR)/Sólo conmutación por fallas (FO)  
PIX-515 64 MB* 128 MB* 16 MB
PIX-515 E 64 MB* 128 MB* 16 MB
PIX-525 128 MB 256 MB 16 MB
PIX-535 512 MB 1 GB 16 MB

* Todo el PIX-515 y PIX-515E los dispositivos requiere una actualización de memoria.

Publique el comando show version para determinar la cantidad de RAM y contellear instalado actualmente en el PIX. No hay actualizaciones de Flash necesarias, pues todos los Dispositivos de PIX en esta tabla tienen 16 MB instalado por abandono.

Nota: Solamente los dispositivos de seguridad PIX en esta tabla se soportan en la versión 7.x. Dispositivos de seguridad más viejos PIX, tales como el PIX-520, 510, 10000, y obra clásica se han interrumpido y no funcionan con la versión 7.0 o posterior. Si usted tiene uno de estos dispositivos y desea ejecutar 7.x o más adelante, entre en contacto su equipo de cuenta Cisco local o revendedor para comprar un dispositivo de seguridad más nuevo. Además, el 64 MB del con menos de los Firewall PIX del RAM (PIX-501, PIX-506, y PIX-506E) no puede funcionar con la versión inicial 7.0.

Información de la actualización de memoria para los dispositivos PIX 515/515E

Las actualizaciones de memoria se requieren solamente para el PIX-515 y PIX-515E los dispositivos. Vea esta tabla para los numeros de parte que usted necesita para actualizar la memoria en estos dispositivos.

Nota: El numero de parte es dependiente en la licencia instalada en el PIX.

Configuración del aparato actual Solución de la actualización
Licencia de Plataforma Memoria Total (antes de la actualización) Número de Pieza Memoria Total (después de la actualización)
Limitada (R) 32 MB PIX-515-MEM-32= 64 MB
Ilimitada (UR) 32 MB PIX-515-MEM-128= 128 MB
Sólo conmutación por fallas (FO) 64 MB PIX-515-MEM-128= 128 MB

Refiera a la actualización de memoria del dispositivo de seguridad del Cisco PIX 515/515E para el boletín de productos del software PIX v7.0 para la información adicional.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Actualice el dispositivo de seguridad PIX

Descargas de software

Visite el centro del software de Cisco (clientes registrados solamente) para descargar el software PIX 7.x. El software de servidor TFTP es no más disponible desde Cisco.com. Sin embargo, usted puede encontrar a muchos servidores TFTP cuando usted busca para el “servidor de tftp” en su motor de búsqueda del Internet favorita. Cisco no recomienda específicamente ninguna implementación de TFTP en particular. Para más información, refiera a la página del servidor TFTP (clientes registrados solamente).

Procedimiento de actualización

Sea consciente que la actualización de su dispositivo de seguridad PIX a la versión 7.x es un cambio importante. Mucho del CLI se modifica y por lo tanto su configuración después de que la actualización aparezca muy diferente. Solamente la actualización durante una ventana de mantenimiento como el proceso de actualización requiere un cierto tiempo muerto. Si usted necesita invertir de nuevo a una imagen 6.x, usted debe seguir los procedimientos del Downgrade. El error hacer hace tan el PIX entrar un loop del reboot continuo. Para continuar, localice su modelo del Dispositivo de PIX en esta tabla y después seleccione el link para ver las instrucciones para que cómo actualice.

Modelo de PIX Método de actualización
PIX-515 Monitor
PIX-515E copy tftp flash
PIX-525 copy tftp flash
PIX-535 (ningún PDM instalado) copy tftp flash
PIX-535 (PDM instalado) Monitor

Actualice el dispositivo de seguridad PIX del modo monitor

Ingrese al modo monitor

Complete estos pasos para ingresar al modo monitor en el PIX.

  1. Conecte un cable de la consola con el puerto de la consola en el PIX con el uso de estas configuraciones de la comunicación:

    • 9600 bits por segundo

    • 8 bits de datos

    • sin paridad

    • 1 bit de parada

    • sin control de flujo

  2. Inicie el ciclo o recargue el PIX. Durante el bootup a le indican que utilice el BREAK o ESC para interrumpir el inicio de destello. Usted tiene diez segundos para interrumpir el proceso de arranque normal.

  3. Presione la tecla ESC o envíe un carácter BREAK para acceder al Modo Monitor.

    • Si utiliza Hyper Terminal de Windows, puede presionar la tecla Esc o Ctrl+Break para enviar un carácter BREAK.

    • Si usted Telnet a través de un servidor terminal para acceder el puerto de la consola del PIX, usted necesita presionar Ctrl+] (control + corchete derecho) para conseguir al prompt de comando telnet. Entonces ingrese el comando send break.

  4. Se visualizará el mensaje monitor>.

  5. Continúe con la sección Actualización de PIX desde el Modo Monitor.

Actualice el PIX del modo monitor

Complete estos pasos para actualizar su PIX del modo monitor.

Nota: Los indicadores luminosos LED amarillo de la placa muestra gravedad menor de los fast ethernet en los slots 64-bit no son visibles en el modo monitor. Este problema significa que el servidor TFTP no puede residir en una de estas interfaces. El usuario debe utilizar el comando copy tftp flash para descargar el archivo de imagen del firewall PIX con el TFTP.

  1. Copie la imagen binaria del Dispositivo de PIX (por ejemplo, pix701.bin) al directorio raíz del servidor TFTP.

  2. Ingrese al modo monitor en el PIX. Si usted es inseguro cómo hacer esto, ve las instrucciones para que cómo ingrese al modo monitor en este documento.

    Nota: Una vez en el modo monitor, usted puede utilizar “?” clave para ver una lista de opciones disponibles.

  3. Ingrese el Número de interfaz que el servidor TFTP está conectado con, o la interfaz que está la más cercana al servidor TFTP. La interfaz predeterminada es la 1 (interna).

    monitor>interface <num>
    

    Nota:  En el modo monitor, la interfaz siempre auto negocia la velocidad y dúplex. Las configuraciones de la interfaz no pueden ser cifradas difícilmente. Por lo tanto, si la interfaz PIX está conectada en un Switch que se cifre difícilmente para la velocidad/el duplex, después configúrelo de nuevo al auto negocian mientras que usted está en el modo monitor. También sea consciente que el Dispositivo de PIX no puede inicializar una interfaz de Ethernet Gigabite del modo monitor. Usted debe utilizar una interfaz Fast Ethernet en lugar de otro.

  4. Ingrese el IP Address de la interfaz definida en el paso 3.

    monitor>address <PIX_ip_address>
    
  5. Ingrese el IP Address del servidor TFTP.

    monitor>server <tftp_server_ip_address>
    
  6. (Opcional) ingrese el IP Address de su gateway. Requieren a una dirección del gateway si la interfaz del PIX no está en la misma red que el servidor TFTP.

    monitor>gateway <gateway_ip_address>
    
  7. Ingrese el nombre del archivo en el servidor TFTP que usted desea cargar. Éste es el nombre del archivo de la imagen binaria PIX.

    monitor>file <filename>
    
  8. Haga ping del PIX al servidor TFTP para verificar la conectividad del IP.

    Si los ping fallan, compruebe los cables, la dirección IP de la interfaz PIX y del servidor TFTP, y la dirección IP con minuciosidad del gateway (si es necesario). Los ping deben tener éxito antes de que usted continúe.

    monitor>ping <tftp_server_ip_address>
    
  9. Escriba tftp para iniciar la descarga del TFTP.

    monitor>tftp
    
  10. El PIX descarga la imagen en el RAM y la inicia automáticamente.

    Durante el proceso de arranque, el sistema de archivos se convierte junto con su configuración actual. Sin embargo, todavía le no hacen. Observe este mensaje de advertencia después de que usted inicie y continúe encendido al paso 11:

    ******************************************************************
      **                                                                    **
      **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
      **                                                                    **
      **          ----> Current image running from RAM only! <----          **
      **                                                                    **
      **  When the PIX was upgraded in Monitor mode the boot image was not  **
      **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
      **  save a bootable image to Flash.  Failure to do so will result in  **
      **  a boot loop the next time the PIX is reloaded.                    **
      **                                                                    **
      ************************************************************************
  11. Una vez que está iniciado, ingrese el enable mode y copie la misma imagen encima al PIX otra vez. Este uso del tiempo el comando copy tftp flash.

    Esto guarda la imagen en el sistema de archivos Flash. El error realizar este paso da lugar a un loop del inicio la próxima vez que las recargas PIX.

    pixfirewall>enable
    pixfirewall#copy tftp flash
    

    Nota: Para las Instrucciones detalladas en cómo copiar la imagen encima con el uso del comando copy tftp flash, vea la actualización el dispositivo de seguridad PIX con la sección de comando copy tftp flash.

  12. Una vez que la imagen se copia sobre usar el comando copy tftp flash, el proceso de actualización es completo.

Ejemplo de Configuración: Actualización del PIX Security Appliance desde el Modo Monitor

monitor>interface 1 
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
2: i8255X @ PCI(bus:1 dev:0  irq:11)
3: i8255X @ PCI(bus:1 dev:1  irq:11)
4: i8255X @ PCI(bus:1 dev:2  irq:11)
5: i8255X @ PCI(bus:1 dev:3  irq:11)

Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81
monitor>address 10.1.1.2 
address 10.1.1.2 
monitor>server 172.18.173.123 
server 172.18.173.123 
monitor>gateway 10.1.1.1
gateway 10.1.1.1
monitor>file pix701.bin 
file pix701.bin 
monitor>ping 172.18.173.123 
Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds: 
!!!!! 
Success rate is 100 percent (5/5) 
monitor>tftp 
tftp pix701.bin@172.18.173.123.......................................... 
Received 5124096 bytes 

Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar  7 17:39:03 PST 2005
#######################################################################
128MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 10  MAC: 0050.54ff.4d80
mcwa i82559 Ethernet at irq  7  MAC: 0050.54ff.4d81
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2014
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2015
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2016
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2017
BIOS Flash=AT29C257 @ 0xfffd8000
Old file system detected. Attempting to save data in flash
 

!--- This output indicates that the Flash file
!--- system is formatted. The messages are normal.

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-10627)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-14252)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-15586)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (5589)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (4680)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-21657)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-28397)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (2198)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-26577)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (30139)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (-17027)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (-2608)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (18180)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (0)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (29271)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (0)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 61...block number was (0)
flashfs[7]: erasing block 61...done.
flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0
flashfs[7]: 9 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 15998976
flashfs[7]: Bytes used: 10240
flashfs[7]: Bytes available: 15988736
flashfs[7]: flashfs fsck took 58 seconds.
flashfs[7]: Initialization complete.

Saving the datafile
!
Saving a copy of old datafile for downgrade
!
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
The version of image file in flash is not bootable in the current version of
software.
Use the downgrade command first to boot older version of software.
The file is being saved as image_old.bin anyway.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
Erasing sector 64...[OK]
Burning sector 64...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6         
Maximum VLANs               : 25        
Inside Hosts                : Unlimited 
Failover                    : Active/Active
VPN-DES                     : Enabled   
VPN-3DES-AES                : Enabled   
Cut-through Proxy           : Enabled   
Guards                      : Enabled   
URL Filtering               : Enabled   
Security Contexts           : 2         
GTP/GPRS                    : Disabled  
VPN Peers                   : Unlimited 

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .                             
                                 |            |                             
                                |||          |||                            
                              .|| ||.      .|| ||.                          
                           .:||| | |||:..:||| | |||:.                       
                            C i s c o  S y s t e m s                        
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1) 

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706


!--- These messages are printed for any deprecated commands.

.ERROR: This command is no longer needed. The LOCAL user database is always enabled.
 *** Output from config line 71, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
 *** Output from config line 76, "floodguard enable"

Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303 

!--- All current fixups are converted to the 
!--- new Modular Policy Framework.

INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
  ************************************************************************
  **                                                                    **
  **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
  **                                                                    **
  **          ----> Current image running from RAM only! <----          **
  **                                                                    **
  **  When the PIX was upgraded in Monitor mode the boot image was not  **
  **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
  **  save a bootable image to Flash.  Failure to do so will result in  **
  **  a boot loop the next time the PIX is reloaded.                    **
  **                                                                    **
  ************************************************************************
Type help or '?' for a list of available commands.
pixfirewall>
pixfirewall>enable
Password:
<password>

pixfirewall# 
pixfirewall#copy tftp flash

Address or name of remote host []? 172.18.173.123

Source filename []? pix701.bin

Destination filename [pix701.bin]? 
<enter>


Accessing tftp://172.18.173.123/pix701.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file flash:/pix701.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
5124096 bytes copied in 139.790 secs (36864 bytes/sec)
pixfirewall# 

Actualice el dispositivo de seguridad PIX con el comando copy tftp flash

Siga estos pasos para actualizar el software PIX con el comando copy tftp flash.

  1. Copie la imagen binaria del Dispositivo de PIX (por ejemplo, pix701.bin) al directorio raíz del servidor TFTP.

  2. Desde el mensaje de activación, ejecute el comando copy tftp flash.

    pixfirewall>enable
    Password:
    <password>
    
    pixfirewall#copy tftp flash
    
  3. Ingrese el IP Address del servidor TFTP.

    Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
    
  4. Ingrese el nombre del archivo en el servidor TFTP que usted desea cargar. Éste es el nombre del archivo de la imagen binaria PIX.

    Source file name [cdisk]?
    <filename>
    
    
  5. Cuando se le solicite iniciar la copia de TFTP, escriba yes.

    copying tftp://172.18.173.123/pix701.bin to flash:image
    [yes|no|again]?yes
    
  6. La imagen se copia nuevamente desde el servidor TFTP a la memoria Flash.

    Se borra este mensaje aparece e indica que la transferencia es un éxito, la vieja imagen binaria en el Flash, y se escribe y está instalada la nueva imagen.

    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Received 5124096 bytes
    Erasing current image
    Writing 5066808 bytes of image
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Image installed
    pixfirewall#
  7. Recargue el dispositivo PIX para iniciar la nueva imagen.

    pixfirewall#reload
    Proceed with reload? [confirm] 
    <enter>
    
    
    
    Rebooting....
  8. El PIX ahora inicia la imagen 7.0, y éste completa el proceso de actualización.

Ejemplo de Configuración: Actualización del PIX Appliance con el comando copy tftp flash

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall# 
pixfirewall#reload
Proceed with reload? [confirm] 
<enter>




Rebooting..�

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
128 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class�Irq
00�00�00�8086�7192�Host Bridge�
00�07�00�8086�7110�ISA Bridge�
00�07�01�8086�7111�IDE Controller�
00�07�02�8086�7112�Serial Bus�9
00�07�03�8086�7113�PCI Bridge�
00�0D�00�8086�1209�Ethernet�11
00�0E�00�8086�1209�Ethernet�10
00�13�00�11D4�2F44�Unknown Device�5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash.�
######################################################################
######################################################################
128MB RAM

Total NICs found: 2
mcwa i82559 Ethernet at irq 11�MAC: 0009.4360.ed44
mcwa i82559 Ethernet at irq 10�MAC: 0009.4360.ed43
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


!--- This output indicates that the Flash file
!--- system is formatted. The messages are normal.

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-27642)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-30053)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-1220)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-22934)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (2502)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (29877)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-13768)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (9350)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-18268)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (7921)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (22821)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (7787)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (15515)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (20019)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-25094)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-7515)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (-10699)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (6652)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (-23640)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (23698)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (-28882)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (2533)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-966)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-22888)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (-9762)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (9747)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (-22855)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-32551)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-13355)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (-29894)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-18595)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (22095)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (1486)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (13559)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (24215)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (21670)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (-24316)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 7, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 12, parent_fileid 0
flashfs[7]: 5 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 5128192
flashfs[7]: Bytes available: 10999808
flashfs[7]: flashfs fsck took 59 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6�
Maximum VLANs�: 25�
Inside Hosts�: Unlimited 
Failover�: Active/Active
VPN-DES�: Enabled�
VPN-3DES-AES�: Enabled�
Cut-through Proxy�: Enabled�
Guards�: Enabled�
URL Filtering�: Enabled�
Security Contexts�: 2�
GTP/GPRS�: Disabled�
VPN Peers�: Unlimited 

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC (IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5)
--------------------------------------------------------------------------
.�.�
|�|�
|||�|||�
.|| ||.�.|| ||.�
.:||| | |||:..:||| | |||:.�
C i s c o�S y s t e m s�
--------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1) 

****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.

A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

!--- These messages are printed for any deprecated commands.

ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 50, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 55, "floodguard enable"

Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 

!--- All current fixups are converted to the new Modular Policy Framework.

INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
pixfirewall>

Nota: Con la licencia sin restricción, el PIX 515 E puede tener hasta ocho VLA N y el PIX 535 puede tener hasta veinticinco VLA N.

Downgrade de PIX 7.x a 6.x

Uso de las versiones 7.0 de los dispositivos de seguridad PIX y posterior un diverso formato de archivo Flash que versiones de PIX anteriores. Por lo tanto, usted no puede retroceder de una imagen 7.0 a una imagen 6.x con el uso del comando copy tftp flash. En lugar, usted debe utilizar el comando downgrade. El error hacer hace tan el PIX conseguir pegado en un loop del inicio.

Cuando el PIX fue actualizado originalmente, la configuración de inicio 6.x fue guardada en el Flash como downgrade.cfg. Cuando usted sigue este procedimiento del downgrade, esta configuración se restablece al dispositivo cuando se retrocede. Esta configuración puede ser revisada antes de que usted retroceda cuando usted publica el moreflash del comando: downgrade.cfg de un permiso > del prompt en 7.0. Además, si el PIX fue actualizado vía el modo monitor, después la imagen binaria anterior 6.x todavía se guarda en el Flash como image_old.bin. Usted puede verificar esta imagen existe cuando usted publica el flash de la demostración: comando. Si la imagen existe en el Flash, usted puede utilizar esta imagen en el paso 1 de este procedimiento en vez de cargar la imagen de un servidor TFTP.

Complete estos pasos para retroceder su dispositivo de seguridad PIX.

  1. Ingrese el comando downgrade y especifique la ubicación de la imagen a la cual usted quiere retroceder.

    pixfirewall#downgrade tftp://<tftp_server_ip_address>/<filename>
    

    Nota: Si usted actualizó su PIX del modo monitor, después la vieja imagen binaria todavía se guarda en el Flash. Publique este comando para retroceder de nuevo a esa imagen:

    pixfirewall#downgrade flash:/image_old.bin
    
  2. Un mensaje de advertencia aparece que le alerta que el Flash está a punto de formated. Presione ENTER para continuar.

    This command will reformat the flash and automatically reboot the system.
    Do you wish to continue? [confirm]  
    <enter>
    
    
  3. La imagen ahora se copia encima en el RAM, y la configuración de inicio también se copia en el RAM.

    Buffering image
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    
    Buffering startup config
    
    All items have been buffered successfully
  4. Un segundo mensaje de advertencia aparece que indica que el Flash ahora comienza a formatar. No interrumpa este proceso o el Flash puede llegar a ser corrupto. Presione ENTER para continuar con el formato.

    If the flash reformat is interrupted or fails, 
    data in flash will be lost
    and the system might drop to monitor mode.
    Do you wish to continue? [confirm] 
    <enter>
    
    
  5. El Flash ahora se formata y la imagen anterior está instalada, y las reinicializaciones PIX.

    Acquiring exclusive access to flash
    Installing the correct file system for the image and 
    saving the buffered data
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Flash downgrade succeeded
    
    
    Rebooting....
  6. El PIX ahora inicia hasta el prompt normal. Esto completa el proceso del downgrade.

Ejemplo de configuración - Downgrade de PIX 7.x a 6.x

pixfirewall#downgrade tftp://172.18.108.26/pix634.bin
This command will reformat the flash and automatically reboot the system.
Do you wish to continue? [confirm] 
<enter>

Buffering image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Buffering startup config

All items have been buffered successfully.
If the flash reformat is interrupted or fails, data in flash will be lost
and the system might drop to monitor mode.
Do you wish to continue? [confirm] 
Acquiring exclusive access to flash
Installing the correct file system for the image and saving the buffered data
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Flash downgrade succeeded



Rebooting....


CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
128 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class�Irq
00�00�00�8086�7192�Host Bridge�
00�07�00�8086�7110�ISA Bridge�
00�07�01�8086�7111�IDE Controller�
00�07�02�8086�7112�Serial Bus�9
00�07�03�8086�7113�PCI Bridge�
00�0D�00�8086�1209�Ethernet�11
00�0E�00�8086�1209�Ethernet�10
00�13�00�11D4�2F44�Unknown Device�5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 1962496 bytes of image from flash.�
#################################################################################
##############################
128MB RAM
mcwa i82559 Ethernet at irq 11�MAC: 0009.4360.ed44
mcwa i82559 Ethernet at irq 10�MAC: 0009.4360.ed43
System Flash=E28F128J3 @ 0xfff00000
BIOS Flash=am29f400b @ 0xd8000
IRE2141 with 2048KB

-----------------------------------------------------------------------
||�||
||�||
||||�||||
..:||||||:..:||||||:..
c i s c o S y s t e m s 
Private Internet eXchange
-----------------------------------------------------------------------
Cisco PIX Firewall

Cisco PIX Firewall Version 6.3(4)
Licensed Features:
Failover:�Enabled
VPN-DES:�Enabled
VPN-3DES-AES:�Enabled
Maximum Physical Interfaces: 6
Maximum Interfaces:�10
Cut-through Proxy:�Enabled
Guards:�Enabled
URL-filtering:�Enabled
Inside Hosts:�Unlimited
Throughput:�Unlimited
IKE peers:�Unlimited

This PIX has an Unrestricted (UR) license.


****************************** Warning *******************************
Compliance with U.S. Export Laws and Regulations - Encryption.

This product performs encryption and is regulated for export
by the U.S. Government.

This product is not authorized for use by persons located
outside the United States and Canada that do not have prior
approval from Cisco Systems, Inc. or the U.S. Government.

This product may not be exported outside the U.S. and Canada
either by physical or electronic means without PRIOR approval
of Cisco Systems, Inc. or the U.S. Government.

Persons outside the U.S. and Canada may not re-export, resell
or transfer this product by either physical or electronic means
without prior approval of Cisco Systems, Inc. or the U.S.
Government.
******************************* Warning *******************************

Copyright (c) 1996-2003 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706


Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 
Type help or '?' for a list of available commands.
pixfirewall>

Dispositivos de PIX de la actualización en una configuración de función Falla

Una actualización del Dispositivo de PIX 6.x a 7.x es una actualización importante. No puede ser hecha sin el tiempo muerto, incluso para el PIXes en una configuración de función Falla. Muchos de los comandos failover cambian con la actualización. El trayecto de actualización de la recomendación es accionar abajo uno del PIXes en la configuración de función Falla. Entonces siga las instrucciones en este documento para actualizar accionado en el PIX. La actualización es completa, verifica que los pasos del tráfico, y también reinicia una vez el PIX una vez para verificarlo viene salvaguardia sin el problema. Una vez que le satisfacen que todo trabaja correctamente, poder apagado el PIX nuevamente actualizado y poder en el otro PIX. Entonces siga las instrucciones en este documento para actualizar el PIX. La actualización es una vez completa, verifica que el tráfico pasa. También reinicie el PIX una vez para verificarlo viene salvaguardia sin el problema. Una vez que le satisfacen que todo trabaja correctamente, accione encendido el otro PIX. Ambo PIXes ahora se actualiza a 7.x y se acciona encendido. Verifiquelos establecen las comunicaciones de fallas correctamente con el comando show failover.

Nota: El PIX ahora aplica la restricción que ninguna interfaz que pase el tráfico de datos no se puede también utilizar como la interfaz de la falla de LAN, o la interfaz de la falla de estado. Si su configuración de PIX actual tiene una interfaz compartida que se utilice para pasar el tráfico de datos normales así como la información de la falla de LAN o la información con estados, y si usted actualización, el tráfico de datos pasa no más a través de esta interfaz. Los comandos all asociados a esa interfaz también fallan.

Instale al Administrador de dispositivos de seguridad adaptante (el ASDM)

Antes de que usted instale el ASDM, Cisco recomienda que usted lee los Release Note para la versión que usted planea instalar. Los Release Note incluyen a los buscadores admitidos y las versiones de Java mínimas así como una lista de nuevas funciones soportadas y de Advertencias abiertas.

El proceso de instalar el ASDM es levemente diferente en la versión 7.0 que ha sido en el pasado. También, una vez que la Imagen de ASDM se copia en el Flash, usted debe especificarlo en la configuración así que el PIX sabe para utilizarla. Complete estos pasos para instalar la Imagen de ASDM en el Flash.

  1. Descargue la Imagen de ASDM (clientes registrados solamente) del cisco.com y póngala en el directorio raíz de su servidor TFTP.

  2. Verifique su PIX tiene conectividad del IP a su servidor TFTP. Para hacer esto, haga ping al servidor TFTP del PIX.

  3. Desde el mensaje de activación, ejecute el comando copy tftp flash.

    pixfirewall>enable
    Password: 
    <password>
    
    pixfirewall#copy tftp flash
    
  4. Ingrese el IP Address del servidor TFTP.

    Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
    
  5. Ingrese el nombre del archivo del ASDM en el servidor TFTP que usted desea cargar.

    Source file name [cdisk]? <filename>
    
  6. Ingrese el nombre para el archivo del ASDM que usted planea salvar en el Flash. Presione ENTER para guardar el mismo nombre del archivo.

    Destination filename [asdm-501.bin]? <enter>
    
  7. La imagen se copia nuevamente desde el servidor TFTP a la memoria Flash. Estos mensajes aparecen e indican que la transferencia es un éxito.

    Accessing tftp://172.18.173.123/asdm-501.bin...
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!
    Writing file flash:/asdm-501.bin...
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!
    5880016 bytes copied in 140.710 secs (42000 bytes/sec)
  8. Después de que la Imagen de ASDM se copie encima, publique el flash de la imagen del asdm: comando para especificar la Imagen de ASDM para utilizar.

    pixfirewall(config)#asdm image flash:asdm-501.bin
    
  9. Salve la configuración para contellear con el comando write memory.

    pixfirewall(config)#write memory
    
  10. Esto completa el proceso de instalación del ASDM.

Troubleshooting

Síntoma Resolución
Después de utilizar el método copy tftp flash para actualizar el PIX y reiniciarlo, se atasca en este bucle de reinicio:
 
Cisco Secure PIX Firewall BIOS (4.0) #0: 
Thu Mar  2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash.   
Dispositivos de PIX con las versiones BIOS antes de que 4.2 no se puedan actualizar con el uso del comando copy tftp flash. Debe actualizarlos con el método Modo Monitor.
Después de que el PIX ejecute 7.0, y las reinicializaciones, consigue pegado en este loop de la reinicialización:
Rebooting....

Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar�2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 115200 bytes of image from flash.�

PIX Flash Load Helper

Initializing flashfs...
flashfs[0]: 10 files, 4 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 15998976
flashfs[0]: Bytes used: 1975808
flashfs[0]: Bytes available: 14023168
flashfs[0]: Initialization complete.

Unable to locate boot image configuration

Booting first image in flash

No bootable image in flash. Please download 
an image from a network server in the monitor mode

Failed to find an image to boot
Si el PIX fue actualizado del modo monitor a 7.0, pero la imagen 7.0 no fue reproducida en el Flash después del primer inicio de 7.0, después cuando se recarga el PIX, se pega en un loop de la reinicialización. La solución es cargar la imagen nuevamente desde el Modo Monitor. Después de que arranque, usted debe copiar la imagen una vez más con el uso del método del flash de tftp de la copia.
Cuando actualiza con el método copy tftp flash, observa este mensaje de error:
pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? y
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Insufficient flash space available for this request:
Size info: request:5066808 current:1966136 delta:3100672 free:2752512
Image not installed
pixfirewall# 
Este mensaje se considera típicamente cuando el PIX-535 o el PIX-515 (no E) se actualiza vía el método del flash de tftp de la copia, y el PDM también se carga en el Flash en ese PIX. La resolución es actualizar con el método del modo de supervisión.
Después de que usted actualice el PIX de 6.x a 7.0, algo de la configuración no emigra correctamente. La salida del comando show startup-config errors muestra cualquier error que se haya producido durante la migración de la configuración. Los errores aparecen en esta salida después de que usted inicie el PIX por primera vez. Examine estos errores e intente resolverlos.
El PIX ejecuto versión 7.x, y una versión más reciente está instalado. Cuando el PIX reinicia, la versión antigua continúa cargando. En la versión de PIX 7.x, usted puede salvar las imágenes múltiples en el Flash. El PIX primero mira en la configuración para cualquier FLASH de sistema del inicio: comandos. Estos comandos especifican qué imagen necesita el PIX iniciar. Si ningún FLASH de sistema del inicio: se encuentran los comandos, el inicio PIX la primera imagen de arranque en el Flash. Para iniciar una diversa versión, especifique el archivo con el uso del FLASH de sistema del inicio: comando/<filename>.
Una Imagen de ASDM se carga en el Flash, pero los usuarios no pueden cargar el ASDM en su navegador. Primero, asegúrese que el archivo del ASDM cargado en el Flash sea especificado por el comando del <asdm_file> de flash:// de la imagen del asdm. En segundo lugar, verifique el comando http server enable está en la configuración. Finalmente, verifique el host que las tentativas de cargar el ASDM se permiten vía el comando http <address> <mask> <interface>.
El FTP no trabaja después de una actualización. El examen FTP no fue habilitado después de la actualización. Habilite el examen FTP en una de dos maneras tal y como se muestra en de la sección del examen del permiso FTP.

Habilite el examen FTP

El examen FTP se puede habilitar con cualquiera de estos dos métodos:

  • Agregue el FTP a la directiva predeterminada/global del examen.

    1. Si no existe, cree el clase-mapa del inspection_default.

      PIX1#configure terminal
      PIX1(config)#class-map inspection_default
      PIX1(config-cmap)#match default-inspection-traffic
      PIX1(config-cmap)#exit
      
    2. Cree o edite la correspondencia de políticas del global_policy y habilite el examen FTP para el inspection_default de la clase.

      PIX1(config)#policy-map global_policy
      PIX1(config-pmap)#class inspection_default
      PIX1(config-pmap-c)#inspect dns preset_dns_map 
      PIX1(config-pmap-c)#inspect ftp 
      PIX1(config-pmap-c)#inspect h323 h225 
      PIX1(config-pmap-c)#inspect h323 ras 
      PIX1(config-pmap-c)#inspect rsh 
      PIX1(config-pmap-c)#inspect rtsp 
      PIX1(config-pmap-c)#inspect esmtp 
      PIX1(config-pmap-c)#inspect sqlnet 
      PIX1(config-pmap-c)#inspect skinny 
      PIX1(config-pmap-c)#inspect sunrpc 
      PIX1(config-pmap-c)#inspect xdmcp 
      PIX1(config-pmap-c)#inspect sip 
      PIX1(config-pmap-c)#inspect netbios 
      PIX1(config-pmap-c)#inspect tftp 
      
    3. Habilite el global_policy global.

      PIX1(config)#service-policy global_policy global
      
  • Habilite el FTP creando una directiva separada del examen.

    PIX1#configure terminal
    PIX1(config)#class-map ftp-traffic
    
    !--- Matches the FTP data traffic.
    
    PIX1(config-cmap)#match port tcp eq ftp
    PIX1(config-cmap)#exit
    
    PIX1(config)#policy-map ftp-policy
    PIX1(config-pmap)#class ftp-traffic
    
    
    !--- Inspection for the FTP traffic is enabled.
    
    PIX1(config-pmap-c)#inspect ftp
    PIX1(config-pmap)#exit
    PIX1(config)#exit
    
    
    !--- Applies the FTP inspection globally.
    
    PIX1(config)#service-policy ftp-policy global
    

Obtenga un contrato de servicio válido

Usted debe tener un contrato de servicio válido para descargar el software PIX. Para obtener un contrato de servicio, realice estos pasos:

  • Póngase en contacto con su equipo de Cuenta de Cisco si tiene un acuerdo de compra directo.

  • Póngase en contacto con un Socio o Revendedor de Cisco para adquirir un acuerdo de servicio.

  • Utilice al administrador del perfil para poner al día su perfil del cisco.com y pedir la asociación a un acuerdo de servicio.


Información Relacionada


Document ID: 63879