Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

Actualización de software para el Firewall PIX de seguridad y el Administrador de dispositivos PIX de Cisco

23 Marzo 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (26 Septiembre 2008) | Comentarios

Nota: En este documento se explica cómo actualizar el software en un dispositivo de seguridad PIX de la serie 500. Para descargar el software PIX, consulte el Centro de software (solamente clientes registrados). Debe iniciar sesión y tener un contrato de servicio válido para acceder al software PIX.


Contenidos

Introducción
Antes de comenzar
Requisitos
Componentes utilizados
Convenciones
Determine el procedimiento de actualización
Descarga de software
Actualización del Firewall PIX desde las versiones 4.x.x ó 5.0.x
Dispositivos con una unidad de disquete
Dispositivos sin unidad de disquete (modo de monitor)
Actualización del Firewall PIX desde el modo de monitor o ayuda de inicialización
Actualización de las versiones 5.1.1 o posteriores de Firewall PIX
Uso del comando copy tftp flash para actualizar PIX
Actualización de dispositivos PIX en una configuración de conmutación por error con tiempo mínimo de inactividad
Recuperación tras una actualización con errores
Actualización de la clave de activación
Dispositivos PIX que ejecutan la versión 6.1 y versiones anteriores
Dispositivos PIX que ejecutan las versiones 6.2 y 6.3
Actualización del Administrador de dispositivos de PIX
Obtención de un contrato de servicio válido
Discusiones relacionadas de la comunidad de soporte de Cisco
Información relacionada

Introducción

En este documento se explica cómo actualizar el software del Firewall PIX y cómo actualizar el Administrador de dispositivos PIX (PDM). Este documento sirve para todas las versiones del software del Firewall PIX, de la 4.x a la 6.3.x.

Nota: Este documento no incluye las actualizaciones a la versión 7.x. Para obtener más información, consulte Procedimiento de actualización de software del dispositivo de seguridad Secure PIX 7.x y ASDM de Cisco para la versión 7.x y el Administrador de dispositivos de seguridad adaptables (ASDM).

Antes de comenzar

Requisitos

Asegúrese de que cumple con los siguientes requisitos antes de utilizar esta configuración.

  • Configure un servidor TFTP

    En la mayoría de los casos, se requiere la utilización de un servidor TFTP para actualizar el software del dispositivo de seguridad PIX. Cisco recomienda vehementemente que realice una copia de respaldo de la configuración PIX en un servidor TFTP antes de llevar a cabo la actualización. Ejecute el comando write net para realizar una copia de respaldo de la configuración.

    Por ejemplo:

    pixfirewall# write net 10.1.1.10:pixconfig

    Cisco ya no proporciona un servidor TFTP para la descarga, pero puede encontrar muchas opciones gratuitas y fáciles de usar a través de un motor de búsqueda.

  • Recopile la información necesaria

    Para determinar la actualización de software adecuada para su dispositivo de seguridad PIX, recopile las especificaciones del dispositivo. En ocasiones, es necesario tener la clave de activación de PIX a mano durante el procedimiento de actualización. Ejecute el comando show version para obtener la información necesaria sobre el dispositivo.

    Por ejemplo:

    pixfirewall# show version
    
    Cisco PIX Firewall Version 6.3(4)
    Cisco PIX Device Manager Version 3.0(2)
    
    Compiled on Fri 02-Jul-04 00:07 by morlee
    
    pixfirewall up 29 mins 18 secs
    
    Hardware:   PIX-501, 16 MB RAM, CPU Am5x86 133 MHz
    Flash E28F640J3 @ 0x3000000, 8MB
    BIOS Flash E28F640J3 @ 0xfffd8000, 128KB
    
    0: ethernet0: address is 0015.2b95.f95c, irq 9
    1: ethernet1: address is 0015.2b95.f95e, irq 10
    Licensed Features:
    Failover:                    Disabled
    VPN-DES:                     Enabled
    VPN-3DES-AES:                Enabled
    Maximum Physical Interfaces: 2
    Maximum Interfaces:          2
    Cut-through Proxy:           Enabled
    Guards:                      Enabled
    URL-filtering:               Enabled
    Inside Hosts:                Unlimited
    Throughput:                  Unlimited
    IKE peers:                   10
    
    This PIX has a Restricted (R) license.
    
    Serial Number: 809324870 (0x303d5146)
    Running Activation Key: 0x96cb328a 0x15e9aeaf 0xddb832cf 0xb906199e
    Configuration last modified by enable_15 at 07:52:05.707 UTC Tue Jul 11 2006

    Además, asegúrese de leer las release notes más relevantes acerca del software PIX en la Documentación sobre dispositivos de seguridad PIX de Cisco de la serie 500.

Componentes utilizados

La información de este documento se basa en estas versiones de software y hardware:

  • Software PIX versión 4.4(x) - 2 MB de memoria flash, 16 MB de RAM.

  • Software PIX versión 5.0(x) - 2 MB de memoria flash, 32 MB de RAM.

  • Software PIX versión 5.1(x) - 2 MB de memoria flash, 32 MB de RAM.

  • Software PIX versión 5.2(x) - 8 MB de memoria flash, 32 MB de RAM.

  • Software PIX versión 5.3(x) - 8 MB de memoria flash, 32 MB de RAM.

  • Software PIX versión 6.0(x) - 8 MB de memoria flash, 32 MB de RAM.

  • Software PIX versión 6.1(x) - 8 MB de memoria flash, 32 MB de RAM.

  • Software PIX versión 6.2(x) - 8 MB de memoria flash, 32 MB de RAM.

  • Software PIX versión 6.3(x) - 32 MB de RAM (excepto el dispositivo de seguridad Cisco PIX 501, que requiere 16 MB de RAM), 16 MB de memoria flash (excepto los dispositivos de seguridad Cisco PIX 501, 506 y 506E, que requieren 8 MB de memoria flash)

La información de este documento se ha creado a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en funcionamiento, asegúrese de que comprende el posible efecto de cualquier comando.

Convenciones

Consulte las Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones de este documento.

Determinación del procedimiento de actualización

Encuentre el modelo del Firewall PIX y la versión de software actual en esta tabla. A continuación, seleccione el enlace para ver las instrucciones sobre cómo actualizarlo.

Versión actual del software PIX

Modelo de PIX

4.4(x) y anteriores, 5.0(x)

5.1(x)

5.2(x)

5.3(x)

6.0(x)

6.1(x), 6.2(x), 6.3(x)

PIX Classic

ayuda de inicialización

copy tftp Flash

copy tftp Flash

copy tftp Flash

suspendido

suspendido

PIX 10000

ayuda de inicialización

copy tftp Flash

copy tftp Flash

copy tftp Flash

suspendido

suspendido

PIX 501

No aplicable

No aplicable

No aplicable

No aplicable

No aplicable

copy tftp flash

PIX 506

No aplicable

copy tftp Flash

copy tftp Flash

copy tftp Flash

copy tftp Flash

copy tftp flash

PIX 510

ayuda de inicialización

copy tftp Flash

copy tftp Flash

copy tftp Flash

Suspendido

Suspendido

PIX 515

monitor

copy tftp Flash

copy tftp Flash

copy tftp Flash

copy tftp Flash

copy tftp flash

PIX 520

ayuda de inicialización

copy tftp Flash

copy tftp Flash

copy tftp Flash

copy tftp Flash

copy tftp flash

PIX 525

No aplicable

No aplicable

copy tftp Flash

copy tftp Flash

copy tftp Flash

copy tftp flash

PIX 535

No aplicable

No aplicable

No aplicable

copy tftp Flash

copy tftp Flash

copy tftp flash

Nota: El Firewall PIX Classic, 10000 y 510 están suspendidos y no pueden ejecutar la versión 6.0 o posterior del software Firewall PIX. Si tiene un PIX Classic, 10000 ó 510, y desea ejecutar el software Firewall PIX 6.0 o posterior, póngase en contacto con su equipo de cuenta de Cisco o distribuidor local para adquirir una versión más reciente.

Descarga de software

El software de dispositivos de seguridad PIX sólo está disponible para los usuarios con una cuenta CCO y contrato de servicio asociado. Consulte el Centro de software (solamente clientes registrados) para descargar el software PIX. Debe iniciar sesión para acceder al software PIX.

Actualización del Firewall PIX desde las versiones 4.x.x ó 5.0.x

Dispositivos con una unidad de disquete

Estos pasos sólo se aplican a los dispositivos PIX con unidad de disquete. Específicamente, este grupo se limita al PIX Classic, 10000, 510 y 520.

Siga estos pasos para crear un disquete de arranque en Windows:

  1. Vaya a la página Descarga de software PIX (solamente clientes registrados) y descargue la utilidad rawrite.exe. Use esta utilidad para escribir la imagen binaria PIX en un disquete.

  2. Descargue la imagen binaria PIX (archivo .bin) que corresponde a la versión de software que desea actualizar. Los nombres de archivo de la imagen PIX están en el formato pixnnx.bin, donde nn es el número de versión y x es el número de lanzamiento.

    Ejemplo: El archivo pix611.bin es para la versión 6.1.1 del software PIX.

  3. Si actualiza a la versión 5.2 o posterior del software PIX, también necesita descargar el archivo binario de ayuda de inicialización correspondiente.

    Ejemplo: Si realiza la actualización de la versión 4.4(8) del software PIX a la versión 6.1(1), debe descargar estos tres archivos:

    • rawrite.exe

    • pix611.bin

    • bh61.bin

  4. Busque un disquete de alta densidad con formato IBM que no contenga ningún archivo.

    Nota: No utilice el disquete de arranque del Firewall PIX que recibió con su Firewall PIX original. Necesita este disquete para la recuperación del sistema si selecciona volver a instalar la versión original. El programa rawrite.exe borra todos los archivos del disquete.

    Si formatea el disquete desde Windows, seleccione la versión larga, no el formateo rápido. El formateo rápido no prepara adecuadamente el disquete para rawrite. La mejor forma de formatear el disquete es hacerlo desde el mensaje de comando en MS-DOS. Ejecute el comando format a:, donde a es la letra de la unidad de disquete en la que se encuentra el disquete.

  5. Coloque el disquete en blanco en la unidad de disquete de su computadora y aparecerá un mensaje de DOS. Cambie al directorio en el que ha guardado la utilidad rawrite.exe y los archivos PIX.

  6. Ejecute el programa rawrite.exe. Para ello, ejecute el comando rawrite en el mensaje de DOS. Cuando aparezca el mensaje, escriba el nombre del archivo que usted quiera escribir en el disquete.

    Nota: Si actualiza a la versión 5.1 o a una versión anterior del software PIX, especifique el archivo para la imagen PIX en sí. Está en el formato pixnnx.bin. Si actualiza a las versiones 5.2 o posteriores de PIX, especifique el archivo de ayuda de inicialización de PIX, en el formato bhnn.bin.

    Ejemplo: Creación de un disquete de arranque en Windows

    C:\>rawrite
    RaWrite 1.2 - Write disk file to raw floppy diskette
    Enter source file name: bh61.bin
    Enter destination drive: a:
    Please insert a formatted diskette into drive A: and press -ENTER- :
    Number of sectors per track for this disk is 18.
    Writing image to drive A:. Press ^C to abort.
    Track: 11 Head: 1 Sector: 16
    Listo.
    C:\>0
  7. Una vez que finalice el proceso rawrite, extraiga el disquete e insértelo en la unidad de disquete de Firewall PIX. Realice una de las siguientes acciones para que PIX se inicie desde la imagen en el disquete.

    • Apague y encienda el PIX.

      o

    • Use el interruptor de reinicio de PIX.

      o

    • Ejecute el comando reload desde la consola de PIX.

  8. Cuando PIX haya completado el reinicio, realice el paso adecuado mencionado:

    • Si actualiza a la versión 5.1 o a una versión anterior del software PIX, elimine la unidad de disquete de la unidad y habrá finalizado.

    • Si actualiza a la versión 5.2 o a una versión posterior del software PIX, cuando cargue el programa de ayuda de inicialización en el disquete, PIX se iniciará en el modo de ayuda de inicialización. Continúe con la sección Actualización del Firewall PIX desde el modo de monitor o ayuda de inicialización de este documento para completar la actualización.

Dispositivos sin unidad de disquete (modo de monitor)

Los dispositivos PIX que no tienen una unidad de disquete interna vienen con un programa de monitor de arranque de la memoria ROM utilizado para la actualización de la imagen del Firewall PIX. Complete estos pasos para entrar en el modo de monitor en los dispositivos que no cuentan con una unidad de disquete:

  1. Inicie el ciclo o recargue el PIX. Durante el inicio, se le solicita que use la tecla PAUSA (BREAK) o ESC para interrumpir el inicio de la memoria Flash. Tiene diez segundos para interrumpir el proceso de inicio normal.

  2. Pulse la tecla ESC o envíe un carácter de interrupción BREAK para ingresar al modo de control.

    • Si usa Hyperterminal de Windows, puede pulsar la tecla ESC o enviar un carácter de interrupción BREAK pulsando Ctrl+Pausa (Ctrl+Break) .

    • Si se ha comunicado vía Telnet a través de un servidor de terminal para obtener acceso al puerto de la consola de PIX, debe presionar Ctrl ] para obtener el mensaje de comando de Telnet. A continuación, introduzca el comando send break .

  3. Aparece el mensaje monitor> .

  4. Continúe con la sección Actualización del Firewall PIX desde el modo de monitor o ayuda de inicialización de este documento.

Actualización del Firewall PIX desde el modo de monitor o ayuda de inicialización

Nota: Asegúrese de haber seguido las instrucciones de cada sección presentada, dispositivos de seguridad con una unidad de disquete o dispositivos de seguridad sin una unidad de disquete, antes de continuar con estos pasos.

Si actualiza la versión 5.0.x o versiones anteriores de PIX a las versiones 5.1.x o posteriores, debe usar el método de modo de monitor o ayuda de inicialización para la actualización. Esto se debe a que, antes de la versión 5.1, el software Firewall PIX no ofrecía una manera de cargar por TFTP una imagen directamente en la memoria Flash. Siga estos pasos para actualizar dispositivos de seguridad PIX con o sin unidad de disquete:

  1. Copie la imagen binaria de Firewall PIX (pixnnn.bin) en el directorio raíz del servidor TFTP.

  2. Para PIX Classic, 10000, 510 y 520, asegúrese de haber utilizado ya el procedimiento para Creación de un disquete de arranque. Utilice el archivo de ayuda de inicialización que coincida de manera más precisa con la imagen PIX a la que está realizando la actualización. Inicie el PIX desde el disquete de ayuda de inicialización para entrar en el modo de ayuda de inicialización.

    Todos los demás dispositivos PIX (501, 506, 515, 525 y 535) no incluyen una unidad de disquete. En cambio, poseen un modo de monitor de arranque interno. Consulte las instrucciones de este documento sobre cómo entrar en el modo de monitor en un PIX 501, 506, 515, 525 ó 535.

    Una vez en el modo de monitor o ayuda de inicialización, utilice ? para ver una lista de las opciones disponibles.

  3. Ejecute el comando interface number. El comando interface especifica la interfaz PIX a la que está conectado el servidor TFTP. La interfaz predeterminada es la 1 (interna).

    Nota: PIX no puede inicializar una interfaz Gigabit Ethernet desde el modo de monitor o ayuda de inicialización. Debe utilizar una interfaz Fast Ethernet o Token Ring.

  4. Ejecute el comando address pix_interface_ip_address. El comando address especifica la dirección IP de la interfaz de la unidad PIX.

  5. Ejecute el comando server tftp_server_ip_address. El comando server especifica la dirección IP del servidor TFTP.

  6. Ejecute el comando file filename. El comando file especifica el nombre de archivo de la imagen del Firewall PIX.

  7. Ejecute el comando ping tftp_server_ip_address. Ejecute el comando ping en el servidor para verificar su accesibilidad. Si este comando falla, vuelva a verificar los cables, la dirección IP del servidor, la de PIX y la dirección IP de la gateway (si es necesario). Los pings deben realizarse con éxito para que pueda continuar.

    Nota: Ejecute el comando gateway para especificar la dirección IP de una gateway del router a través del cual se obtiene acceso al servidor.

    gateway ip_address of the gateway interface
  8. Ejecute el comando tftp para iniciar la descarga de la imagen desde el servidor TFTP.

  9. Tras la descarga, se le solicita que instale la nueva imagen. Escriba y (s) para instalar la imagen en la memoria Flash.

  10. Cuando se le solicite que introduzca una nueva clave de activación, escriba y (s) si desea ingresar una nueva clave de activación o n para conservar la clave de activación existente. Consulte la sección Actualización de la clave de activación de este documento para obtener más información sobre la clave de activación y cómo obtener una nueva.

  11. Si utiliza el modo de ayuda de inicialización, se le solicitará que retire el disquete de ayuda de inicialización. Tiene treinta segundos para extraerlo antes de que PIX se reinicie automáticamente. Retire el disquete ahora. Una vez que se reinicie, PIX cargará la nueva imagen desde la memoria Flash.

    Aquí finaliza el proceso de actualización.

    Una vez que se ha actualizado PIX a la versión 5.1 o posterior, ya no es necesario usar una unidad de disquete para cargar nuevas imágenes en PIX. En la versión 5.1 y las versiones posteriores del software PIX, el comando copy tftp flash permite cargar por TFTP su nueva imagen PIX directamente en PIX desde un servidor TFTP. Consulte la información que aparece en PIX Command References (Guías de referencia de comandos PIX) para obtener más detalles.

Ejemplo: Actualización del Firewall PIX desde el modo de monitor o ayuda de inicialización

monitor>interface 1
0: i8255X @ PCI(bus:0 dev:14 irq:10)
1: i8255X @ PCI(bus:0 dev:13 irq:11)

Using 1: i82557 @ PCI(bus:0 dev:13 irq:11), MAC: 0002.b945.a23c
monitor>address 172.18.124.154
address 172.18.124.154
monitor>server 172.18.125.3
server 172.18.125.3
monitor>file pix611.bin 
file pix611.bin
monitor>ping 172.18.125.3 
Sending 5, 100-byte 0xcde2 ICMP Echoes to 172.18.125.3, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor>tftp
tftp pix611.bin@172.18.125.3..........................................
Received 2562048 bytes

Cisco Secure PIX Firewall admin loader (3.0) #0: Tue Dec  517:35:46 PST 2000
System Flash=E28F128J3 @ 0xfff00000
BIOS Flash=am29f400b @ 0xd8000
Flash version 6.1.1, Install version 6.1.1
Do you wish to copy the install image into flash? [n] y

Installing to flash

Serial Number: 480380761 (0x1ca20759)
Activation Key: 760754d0 39f62229 a4a0245f b5b87e80

Do you want to enter a new activation key? [n] n
Writing 2469944 bytes image into flash... 

Actualización de las versiones 5.1.1 o posteriores de Firewall PIX

Si el dispositivo de seguridad PIX ejecuta las versiones 5.1.1 o posteriores del software PIX, puede usar el comando copy tftp flash para descargar una imagen de software con TFTP. Puede usar el comando copy tftp flash con cualquier modelo de Firewall PIX que ejecute las versiones 5.1.1 o posteriores del software PIX. La imagen que se descarga está disponible para PIX en la siguiente recarga (reinicio). Consulte la información que aparece en PIX Command References (Guías de referencia de comandos PIX) para obtener más detalles sobre este comando.

Uso del comando copy tftp flash para actualizar PIX

Siga estos pasos para actualizar PIX mediante el comando copy tftp flash.

  1. Copie la imagen binaria del Firewall PIX (pixnnn.bin) en el directorio raíz del servidor TFTP.

  2. Ejecute el comando copy tftp flash desde el mensaje PIX.

  3. Escriba la dirección IP del host remoto.

  4. Escriba el nombre de archivo binario PIX (tiene el formato de nombre pixnnn.bin).

  5. Escriba yes.

Ejemplo: Actualización de Firewall PIX con el comando copy tftp flash

pixfirewall#copy tftp flash
Address or name of remote host [127.0.0.1]? 172.18.125.3
Source file name [cdisk]?pix611.bin
copying tftp://172.18.125.3/pix611.bin to flash
[yes|no|again]?yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 2562048 bytes.
Erasing current image.
Writing 2469944 bytes of image.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed.
pixfirewall# 

Actualización de dispositivos PIX en una configuración de conmutación por error con tiempo mínimo de inactividad

Para utilizar este procedimiento, los dispositivos PIX deben estar ejecutando la versión 5.1.x del software PIX o versiones posteriores. Estas instrucciones son válidas para todos los dispositivos PIX con capacidad para ejecutarse en una configuración de conmutación por error. Consulte Funcionamiento de la conmutación por error en el Firewall PIX Secure de Cisco para obtener más información sobre este tema.

Se enumeran dos opciones diferentes para ayudarle a actualizar PIX con un tiempo de inactividad mínimo. La primera opción es la forma más segura de actualizar la configuración de conmutación por error. Si algo falla durante el proceso de actualización, siempre tiene un PIX operativo para transmitir el tráfico de la red. La segunda opción es más simple pero implica más riesgo. El riesgo reside en la posibilidad de que la nueva imagen que se cargue en los dispositivos PIX esté dañada de alguna forma. Ambas opciones se presentan de manera que usted puede elegir el método mejor para su red específica.

Nota: Si desea actualizar la configuración de conmutación por error de 6.x a 7.x, consulte la sección Actualización de dispositivos PIX en una configuración de conmutación por error de Procedimiento de actualización de software del dispositivo de seguridad Secure PIX 7.x y ASDM de Cisco.

Opción 1

Ésta es la forma más segura de actualizar la configuración de conmutación por error:

  1. Copie la imagen binaria de Firewall PIX (pixnnn.bin) en el directorio raíz del servidor TFTP.

  2. Apague el servidor primario (esto hace que el secundario sea el activo)

  3. Desconecte todos los cables del servidor primario (incluso el cable de conmutación por error).

  4. Encienda el servidor primario y conecte un PC a un servidor TFTP instalado en él.

  5. Ejecute el comando copy tftp flash para actualizar el servidor primario.

  6. Vuelva a cargar el servidor primario y verifique la nueva versión y configuración.

  7. Apague el servidor primario.

  8. Vuelva a conectar todos los cables al servidor primario.

  9. Apague rápidamente el servidor secundario y encienda el primario inmediatamente.

    Nota: Experimentará un período de tiempo de inactividad mientras se reinicia el servidor primario.

    Una vez que el servidor primario se encienda, estará activo y transmitirá el tráfico.

  10. Repita los pasos 2 a 7 para el dispositivo PIX secundario.

  11. Encienda el servidor secundario. Se activa como servidor en espera.

  12. Ambos dispositivos PIX están ejecutando la versión actualizada y regresan a su funcionamiento normal.

Opción 2

Ésta es la forma más rápida de actualizar la configuración de conmutación por error:

  1. Copie la imagen binaria del Firewall PIX (pixnnn.bin) en el directorio raíz del servidor TFTP.

  2. Ejecute el comando copy tftp flash para para copiar la nueva imagen de PIX en el PIX primario.

  3. Ejecute el comando copy tftp flash para copiar la nueva imagen de PIX en el PIX secundario.

  4. Apague ambos dispositivos PIX.

  5. Encienda el PIX primario.

  6. Espere diez segundos. De esta forma se asegurará de que el dispositivo PIX primario sea el PIX activo.

  7. Encienda el PIX secundario. Se enciende como dispositivo en espera.

  8. Ambos dispositivos PIX están ejecutando la versión actualizada y regresan a su funcionamiento normal.

Recuperación tras una actualización con errores

Siga estos pasos para recuperar los dispositivos PIX cuando haya realizado una actualización de la versión 6.x a 6.x del software PIX que presente errores:

  1. Como se mencionó anteriormente, asegúrese de copiar su clave de activación antes de intentar llevar a cabo este procedimiento.

  2. Siga los pasos para iniciar el dispositivo PIX en el modo de monitor.

  3. Siga los pasos de actualización del dispositivo PIX desde el modo de monitor para cargar el archivo erasedisk.bin utilizando TFTP. Solicite este archivo al Soporte técnico de Cisco.

  4. Cuando el sistema se reinicie, vuelva a iniciar el dispositivo PIX en el modo de monitor.

  5. Siga los pasos sobre cómo actualizar el dispositivo PIX desde el modo de monitor para cargar el archivo de la nueva versión 6.x en el dispositivo PIX utilizando TFTP.

Actualización de la clave de activación

Existen varias razones por las que deberá actualizar la clave de activación del PIX:

  • Actualmente, PIX no tiene habilitado el cifrado VPN-DES o VPN-3DES.

    Nota: Se debe habilitar el cifrado VPN-DES para poder administrar el dispositivo PIX con PDM. Los usuarios registrados pueden obtener una clave de activación de VPN-DES de 56 bits al completar el formulario PIX 56-bit License Upgrade Key (Clave de actualización de licencia de PIX de 56 bits). Complete el Cisco ASA 3DES/AES License Registration (Registro de licencia ASA 3DES/AES de Cisco) para obtener una clave 3DES/AES.

  • El dispositivo PIX no tiene activada la conmutación por error.

  • La actualización desde una licencia basada en la conexión a una licencia basada en las funciones.

Si está incluido en una de estas categorías y ha obtenido una nueva clave de activación para su PIX, el paso siguiente es conectarse al dispositivo PIX, ejecutar el comando show version y guardar el resultado en un archivo de texto. Éste contiene su versión existente, el número de serie y la clave de activación. Necesitará esta información si encuentra algún problema con la actualización de la clave de activación.

La clave de activación de PIX está basada en el número de serie de PIX y, por lo tanto, es exclusiva para cada dispositivo PIX. La clave de activación informa a PIX de las funciones para las que tiene licencias. El número de serie de PIX se guarda en la memoria Flash. Si reemplaza la tarjeta de memoria Flash del PIX, éste incluirá un nuevo número de serie (diferente de aquél que se muestra en la etiqueta adhesiva de la parte exterior de la caja). Utilice siempre el número de serie que se muestra en el resultado del comando show version.

Nota: Debe ingresar manualmente las claves de activación. No utilice la función de copiar y pegar, ya que esto puede generar errores que pueden hacer que la clave de activación falle.

Nota: Agregue números adicionales a los números de serie de 9 dígitos que comiencen con cualquier número del 4 al 8 para convertirlos en números de 11 dígitos. Por ejemplo, el número 4xxxxxxxx aparece como 444xxxxxxxx en la clave de activación. De igual forma, los números que comiencen con un 8 requieren que agregue dos 8 adicionales.

Dispositivos PIX que ejecutan la versión 6.1 y versiones anteriores

Siga las instrucciones de la sección Actualización de PIX Firewall desde el modo de ayuda de inicialización o monitor si el dispositivo PIX ejecuta la versión 6.1 o versiones anteriores. Es en el paso 10 cuando se le solicita que introduzca una nueva clave de activación.

Dispositivos PIX que ejecutan las versiones 6.2 y 6.3

Ejecute el comando activation-key para cambiar su clave de activación si PIX ejecuta las versiones 6.2 ó 6.3. Consulte la información que aparece en PIX Command References (Guías de referencia de comandos PIX) para obtener más información.

Ejemplo: Actualización de la clave de activación en un dispositivo PIX que ejecuta las versiones 6.2 ó 6.3

pixfirewall(config)#activation-key 54bf4b80 b7237e20 05022c63 f09e3302
Updating flash...Done.
Serial Number: 480490644 (0x1ca3b494)

Flash Activation Key: 0x54bf4b80 0xb7237e20 0x05022c63 0xf09e3302
Licensed Features:
Failover:           Enabled
VPN-DES:            Enabled
VPN-3DES:           Enabled
Maximum Interfaces: 10
Cut-through Proxy:  Enabled
Guards:             Enabled
URL-filtering:      Enabled
Inside Hosts:       Unlimited
Throughput:         Unlimited
IKE peers:          Unlimited

The flash activation key has been modified.
The flash activation key is now DIFFERENT from the running key.
The flash activation key will be used when the unit is reloaded.
pixfirewall(config)#
pixfirewall(config)#reload

Actualización del Administrador de dispositivos de PIX

El procedimiento de actualización de PDM es igual que el que se utiliza para una nueva instalación. Para obtener instrucciones detalladas, consulte la guía de instalación en la documentación del producto PDM para obtener la versión correcta.

Obtención de un contrato de servicio válido

Debe tener un contrato de servicio válido para descargar el software PIX. Para obtener un contrato de servicio, siga estos pasos:

  • Póngase en contacto con el equipo de cuenta de Cisco si tiene un Acuerdo de compra directo.

  • Póngase en contacto con un socio o distribuidor de Cisco para adquirir un acuerdo de servicio.

  • Use el Perfil Administrador de perfiles para actualizar su perfil en Cisco.com y solicitar la asociación a un acuerdo de servicio.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 4801