Entrega de contenido y video : Dispositivos de seguridad Cisco PIX de la serie 500

PIX/ASA: Actualización de la llave de la licencia en un par de fallas

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Mientras que actualiza la licencia para las unidades de transmisión por falla, no es posible evitar el tiempo de inactividad de la red. Sin embargo, el tiempo muerto puede ser minimizado. Este documento se centra en cómo minimizar el tiempo muerto durante la actualización de la licencia en el par de fallas.

Los dispositivos de seguridad del Cisco PIX 515 de Cisco, 515E, 525, y 535 soportan el concepto de una licencia de la plataforma. Autorice los niveles se extienden del ½ restricto del ¿Â ïÂ), sin restricción (UR), de la Conmutación por falla (FO), y de Conmutación por falla-activo/del Active (FO-AA).

El dispositivo de seguridad soporta dos configuraciones de failover: Active/Active Failover y Active/Standby Failover.

Para una configuración de muestra que incluya una introducción abreviada a la Conmutación por falla activa/espera del PIX/ASA, refiera al PIX/ASA: Ejemplo activo/espera de la configuración de failover.

Para una configuración de muestra que incluya una introducción abreviada a la Conmutación por falla activa/activa del PIX/ASA, refiera al PIX/ASA: Ejemplo activo/activo de la configuración de failover.

prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Dispositivos de seguridad del Cisco PIX 515 de Cisco, 515E, 525, y 535 con y posterior la versión 7.x

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico.

Productos Relacionados

También puede utilizar esta configuración con Cisco ASA Security Appliance

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Procedimiento para actualizar la licencia

Los pasos siguientes se utilizan para actualizar la licencia en los pares de fallas:

Nueva clave de activación

Por abandono, la licencia en el PIX será “restricta” (½ del ¿Â ïÂ). Una nueva clave de activación se requiere para actualizar de un conjunto “restricto” del software a un conjunto que soporte las características adicionales tales como más número de conexiones, de Conmutación por falla, de IPSec o de interfaces adicionales. También, una nueva clave de activación es a veces necesaria después de una actualización de Flash en un PIX.

Para pedir una clave de activación, envíe un correo electrónico a licensing@cisco.com que proporciona al número de serie del PIX (o si usted está actualizando el flash, proporcione el número de serie de la placa Flash) y a la salida del comando show version. Vaya a la página del registro de la licencia de Cisco ASA 3DES/AES (clientes registrados solamente) a pedir una clave de activación AES/3DES.

Nota: Si usted recibe el ERROR: No podido poner al día el error de destello de la clave de activación, que es debido a un problema en la clave de activación, solicite una nueva clave de activación para resolver este error.

La muestra siguiente del comando show version muestra el número de serie y la clave de activación para el dispositivo de seguridad.

pix# show version

Cisco PIX Security Appliance Software Version 7.1(1)
Device Manager Version 5.1(1)

Compiled on Thu 19-Jan-06 15:02 by builders
System image file is "flash:/pix711.bin"
Config file at boot was "startup-config"

pix up 7 days 20 hours

Hardware:   PIX-515E, 128 MB RAM, CPU Pentium II 433 MHz
Flash E28F128J3 @ 0xfff00000, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
 0: Ext: Ethernet0           : address is 000f.908f.2d45, irq 10
 1: Ext: Ethernet1           : address is 000f.908f.2d46, irq 11
 2: Ext: Ethernet2           : address is 0005.5d19.7ad0, irq 11
 3: Ext: Ethernet3           : address is 0005.5d19.7ad1, irq 10
 4: Ext: Ethernet4           : address is 0005.5d19.7ad2, irq 9
 5: Ext: Ethernet5           : address is 0005.5d19.7ad3, irq 5

Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs               : 25
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.

Serial Number: 808150103
Running Activation Key: 0x8f5bdba6 0x0963cc7f 0xfeffd300 0x9b00f19d
Configuration last modified by enable_15 at 01:42:55.492 UTC Wed May 31 2006

Actualizar la licencia

Una vez que usted recibe la nueva clave de activación de Cisco, registre en cada PIX y ingrese la clave manualmente en el modo terminal de los config.

Nota: Algunas licencias le requieren recargar el dispositivo de seguridad después de que usted las active. Para la lista de las licencias que requieren recargar, refiera a la licencia que recarga los requisitos.

Las clases del soporte dos de la versión 7.0 y posterior del dispositivo de seguridad PIX de llaves de la licencia:

  • Llave de la licencia existente 4-tuple para la versión de PIX 6.3 o anterior

  • Una nueva llave de la licencia 5-tuple para la versión 7.0 y posterior del dispositivo de seguridad PIX solamente

Sintaxis: activación-clave [activación-clave-cuatro-tuple | activación-clave-cinco-tuple]

Ejemplo:

pix(config)# activation-key 0xe02888da
	 0x4ba7bed6 0xf1c123ae 0xffd8624e

Actualizando la licencia para una Conmutación por falla usando CLI (ninguna recarga requerida)

Utilice el siguiente procedimiento si su nueva licencia no le requiere recargar. Este procedimiento se asegura de que no haya tiempo muerto.

  1. Inhabilite la Conmutación por falla en la unidad activa usando el comando no failover en la unidad activa. Sigue habiendo la unidad en espera en un estado pseudo-espera. La desactivación de la Conmutación por falla en la unidad activa evita que la unidad en espera intente llegar a ser activa durante el período en que las licencias no hacen juego.

  2. Instale la nueva licencia en la unidad activa usando el comando key de la activación-clave en la unidad activa. Aseegurese esta licencia está para el número de serie de la unidad activa.

  3. Instale la nueva licencia en la unidad en espera usando el comando key de la activación-clave en la unidad en espera. Aseegurese esta licencia está para el número de serie de la unidad en espera.

  4. Dé vuelta a la Conmutación por falla detrás encendido en la unidad activa usando el comando failover. Esto completa el procedimiento.

    Nota: Antes de que usted actualice la licencia, aseegurese ambas unidades están actuando correctamente, la interfaz LAN de la Conmutación por falla está para arriba, y no hay un evento de falla inminente; por ejemplo, las interfaces monitoreadas están actuando normalmente. En cada unidad, ingrese el comando show failover. O, en el ASDM van a monitorear > las propiedades > la Conmutación por falla > el estatus para ver el estado de fallla y el estatus monitoreado de la interfaz.

Actualizando la licencia para una Conmutación por falla usando el ASDM (ninguna recarga requerida)

Utilice el siguiente procedimiento usando el ASDM si su nueva licencia no le requiere recargar. Este procedimiento se asegura de que no haya tiempo muerto.

  1. En la unidad activa, elija la configuración > la Administración de dispositivos > la Alta disponibilidad > la Conmutación por falla > puesto, y desmarque la casilla de verificación de la Conmutación por falla del permiso. Ahora el tecleo se aplica. Sigue habiendo la unidad en espera en un estado pseudo-espera. La desactivación de la Conmutación por falla en la unidad activa evita que la unidad en espera intente llegar a ser activa durante el período en que las licencias no hacen juego.

  2. Elija la configuración > la Administración de dispositivos > autorizando > clave de activación, y ingrese la nueva clave de activación que usted obtuvo con el número de serie de la unidad activa. Ahora haga clic la clave de activación de la actualización.

  3. Registro en la unidad en espera haciendo doble clic su direccionamiento en la lista de dispositivos. Si el dispositivo no está en la lista de dispositivos, el tecleo agrega para agregar el dispositivo. A le puede ser que indiquen para que las credenciales que inicien sesión.

  4. Elija la configuración > la Administración de dispositivos > autorizando > clave de activación, y ingrese la nueva clave de activación que usted obtuvo con el número de serie de la unidad en espera. Ahora haga clic la clave de activación de la actualización.

  5. Registro en la unidad activa otra vez haciendo doble clic su direccionamiento en la lista de dispositivos. Elija la configuración > la Administración de dispositivos > la Alta disponibilidad > la Conmutación por falla > puesto, y vuelva a inspeccionar la casilla de verificación de la Conmutación por falla del permiso.

  6. Haga clic en Apply (Aplicar). Esto completa el procedimiento.

Actualizando la licencia para una Conmutación por falla usando CLI (recarga requerida)

Utilice el siguiente procedimiento si su nueva licencia le requiere recargar. Recargar el par de fallas causa una pérdida de conectividad durante la recarga.

  1. Inhabilite la Conmutación por falla en la unidad activa usando el comando no failover en la unidad activa. Sigue habiendo la unidad en espera en un estado pseudo-espera. La desactivación de la Conmutación por falla en la unidad activa evita que la unidad en espera intente llegar a ser activa durante el período en que las licencias no hacen juego.

  2. Instale la nueva licencia en la unidad activa usando el comando key de la activación-clave en la unidad activa. Aseegurese esta licencia está para el número de serie de la unidad activa.

    Nota: Si usted necesita recargar, usted verá este mensaje: ADVERTENCIA: La clave de activación corriente no fue puesta al día con la clave pedida. La clave de activación de destello fue puesta al día con la clave pedida, y llegará a ser activa después de la recarga siguiente.

  3. Instale la nueva licencia en la unidad en espera usando el comando key de la activación-clave en la unidad en espera. Aseegurese esta licencia está para el número de serie de la unidad en espera.

  4. Recargue la unidad en espera usando el comando reload.

  5. Recarga la unidad activa. Cuando a le indican que salve la configuración antes de recargar, conteste no. Esto significa que cuando viene la unidad activa salvaguardia, la Conmutación por falla todavía será habilitada. Esto completa el procedimiento.

    Nota: Antes de que usted actualice la licencia, esté seguro que ambas unidades están actuando correctamente, la interfaz LAN de la Conmutación por falla está para arriba, y no hay un evento de falla inminente; por ejemplo, las interfaces monitoreadas están actuando normalmente. En cada unidad, ingrese el comando show failover. O, en el ASDM, van a monitorear > las propiedades > la Conmutación por falla > el estatus para ver el estado de fallla y el estatus monitoreado de la interfaz.

Actualizando la licencia para una Conmutación por falla usando el ASDM (recarga requerida)

Utilice el siguiente procedimiento usando el ASDM si su nueva licencia le requiere recargar. Recargar el par de fallas causa una pérdida de conectividad durante la recarga.

  1. En la unidad activa, elija la configuración > la Administración de dispositivos > la Alta disponibilidad > la Conmutación por falla > puesto, y desmarque la casilla de verificación de la Conmutación por falla del permiso. Ahora el tecleo se aplica. Sigue habiendo la unidad en espera en un estado pseudo-espera. La desactivación de la Conmutación por falla en la unidad activa evita que la unidad en espera intente llegar a ser activa durante el período en que las licencias no hacen juego.

  2. Elija la configuración > la Administración de dispositivos > autorizando > clave de activación, y ingrese la nueva clave de activación que usted obtuvo con el número de serie de la unidad activa. Ahora haga clic la clave de activación de la actualización.

  3. Registro en la unidad en espera haciendo doble clic su direccionamiento en la lista de dispositivos. Si usted el dispositivo no está en la lista de dispositivos, el tecleo agrega para agregar el dispositivo. A le puede ser que indiquen para que las credenciales que inicien sesión.

  4. Elija la configuración > la Administración de dispositivos > autorizando > clave de activación, y ingrese la nueva clave de activación que usted obtuvo con el número de serie de la unidad en espera. Ahora haga clic la clave de activación de la actualización.

  5. Registro en la unidad activa otra vez haciendo doble clic su direccionamiento en la lista de dispositivos. Elija la configuración > la Administración de dispositivos > la Alta disponibilidad > la Conmutación por falla > puesto, y vuelva a inspeccionar la casilla de verificación de la Conmutación por falla del permiso. Ahora el tecleo se aplica.

  6. Programe una recarga del dispositivo de la seguridad activa eligiendo equipa > recarga del sistema.

  7. Elija las opciones de la recarga para recargar el en un momento del dispositivo de seguridad que usted desea, y haga clic la recarga del horario. Elija una época en que la pérdida de servicio tiene el menos impacto.

  8. Registro en la unidad en espera otra vez haciendo doble clic su direccionamiento en la lista de dispositivos.

  9. Programe una recarga del dispositivo de seguridad espera eligiendo equipa > recarga del sistema.

  10. Elija las opciones de la recarga para recargar el dispositivo de seguridad al mismo tiempo que usted elige para la unidad activa, después haga clic la recarga del horario.

  11. Ambas unidades recargarán al mismo tiempo, y las nuevas licencias estarán en efecto. Esto completa el procedimiento.

Nota: Si la unidad primaria está en el recurso seguro, invierta el siguiente procedimiento. Eso está en el lugar de PIX secundario puesto PIX principal, y en lugar de PIX principal puesto secundario.

Verifique la clave

Usted puede verificar la licencia actualizada publicando la versión de la demostración o mostrar el comando activation-key en ambas unidades primarias y secundarias.


Información Relacionada


Document ID: 70390