Routers : Dispositivos de seguridad Cisco PIX de la serie 500

Procedimiento de actualización del software del dispositivo de seguridad PIX 500 6.x a 7.x

23 Junio 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (13 Septiembre 2013) | Inglés (16 Octubre 2008) | Comentarios

Nota: en este documento se explica cómo actualizar el software de los dispositivos de seguridad Cisco PIX serie 500. Para descargar el software PIX, visite el centro de software de Cisco ( sólo para clientes registrados) . Debe iniciar sesión y tener un contrato de servicio válido para acceder al software PIX.


Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Requisitos mínimos del sistema
     Información de actualización de memoria para los dispositivos PIX 515/515E
     Convenciones
Actualización del dispositivo de seguridad PIX
     Descargas de software
     Procedimiento de actualización
Actualización del dispositivo de seguridad PIX desde el modo Monitor
     Acceso al modo Monitor
     Actualización del PIX desde el modo Monitor
Actualización del dispositivo de seguridad PIX con el comando copy tftp flash
Desactualización de la versión PIX 7.x a la 6.x
Actualización de dispositivos PIX en una configuración de conmutación por error
Instalación de Adaptive Security Device Manager (ADSM)
Resolución de problemas
     Activación de la inspección FTP
Obtención de un contrato de servicio válido

Introducción

En este documento se explica cómo actualizar el dispositivo PIX de la versión 6.2 o 6.3 a la versión 7.x. También se aborda la instalación de la versión 5.0 de Adaptive Security Device Manager (ASDM).

Requisitos previos

Requisitos

Antes de comenzar este procedimiento de actualización, realice estas tareas.

  • Utilice el comando show running-config o write net para guardar la configuración actual del PIX en un archivo de texto o servidor TFTP.

  • Utilice el comando show version para ver el número de serie y la clave de activación. Guarde este resultado en un archivo de texto. Si debe restaurar el código a una versión más antigua, es posible que necesite la clave de activación original. Para obtener más información sobre las claves de activación, consulte PIX Firewall Frequently Asked Questions (Preguntas frecuentes sobre PIX Firewall).

  • Asegúrese de no tener los comandos conduit u outbound en su configuración actual. Estos comandos ya no se admiten en la versión 7.x y el proceso de actualización los elimina. Utilice la herramienta intérprete de resultados ( sólo para clientes registrados) (OIT) para convertir estos comandos a listas de acceso antes de intentar la actualización.

  • Asegúrese de que el PIX no termine las conexiones del Protocolo de tunelización punto a punto (PPTP). La versión de PIX 7.1 y posteriores actualmente no admiten la terminación PPTP.

  • Si utiliza la conmutación por error, asegúrese de que la interfaz LAN o de estado no se comparta con otros datos que transmitan las interfaces. Por ejemplo, si utiliza la interfaz interna para transmitir el tráfico de datos y la interfaz de conmutación por error con estado (enlace de conmutación por error interno), debe mover la interfaz de conmutación por error con estado a una interfaz diferente antes de la actualización. De lo contrario, se eliminarán todas las configuraciones vinculadas a la interfaz interna. Además, el tráfico de datos no se transmite a través de la interfaz después de la actualización.

  • Asegúrese de que el PIX se ejecute en la versión 6.2 o 6.3 antes de continuar.

  • Lea las notas de la versión que planea actualizar, de modo que esté al tanto de todos los comandos nuevos, modificados y no aprobados.

  • Para obtener más información sobre los cambios adicionales en los comandos entre las versiones 6.x y 7.x, consulte la guía de actualización.

Componentes utilizados

La información de este documento se basa en estas versiones de software y hardware:

  • Dispositivos de seguridad PIX 515, 515E, 525 y 535

  • Versiones 6.3(4) y 7.0(1) del software PIX

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando.

Requisitos mínimos del sistema

Antes de comenzar el proceso de actualización a la versión 7.x, Cisco recomienda que el PIX ejecute la versión 6.2 o posterior. Esto garantiza que su configuración actual se convertirá correctamente. Además, se deben cumplir estos requisitos de hardware para satisfacer los requisitos mínimos de memorias RAM y flash:

Modelo de PIX

Requisitos de RAM

Requisitos de flash

 

Limitada (R)

Ilimitada (UR) / Sólo conmutación por error (FO)

 

PIX-515

64 MB*

128 MB*

16 MB

PIX-515 E

64 MB*

128 MB*

16 MB

PIX-525

128 MB

256 MB

16 MB

PIX-535

512 MB

1 GB

16 MB

* Todos los dispositivos PIX-515 y PIX-515E requieren una actualización de la memoria.

Ejecute el comando show version para determinar la cantidad de RAM y flash instaladas en el PIX. No se necesitan actualizaciones de flash, dado que todos los dispositivos PIX en esta tabla cuentan con 16 MB de forma predeterminada.

Nota: en la versión 7.x, sólo se admiten los dispositivos de seguridad PIX enumerados en esta tabla. Los dispositivos de seguridad PIX anteriores, como PIX-520, 510, 10000 y Classic ya no se fabrican y, por ende, no ejecutan la versión 7.0 o posteriores. Si tiene uno de estos dispositivos y desea ejecutar la versión 7.x o posteriores, póngase en contacto con su revendedor o equipo de cuentas de Cisco local para adquirir una versión más reciente del dispositivo de seguridad. Además, los dispositivos PIX Firewall con menos de 64 MB de RAM (PIX-501, PIX-506 y PIX-506E) no pueden ejecutar la versión 7.0 inicial.

Información de actualización de memoria para los dispositivos PIX 515/515E

Las actualizaciones de memoria sólo se requieren para los dispositivos PIX-515 y PIX-515E. Consulte esta tabla para obtener los números de parte que necesita a fin de actualizar la memoria en estos dispositivos.

Nota: el número de parte depende de la licencia instalada en el PIX.

Configuración del dispositivo actual

Solución de actualización

Licencia de plataforma

Total de memoria (antes de la actualización)

Número de parte

Total de memoria (después de la actualización)

Limitada (R)

32 MB

PIX-515-MEM-32=

64 MB

Ilimitada (UR)

32 MB

PIX-515-MEM-128=

128 MB

Sólo conmutación por error (FO)

64 MB

PIX-515-MEM-128=

128 MB

Para obtener información adicional, consulte el boletín de productos Cisco PIX 515/515E Security Appliance Memory Upgrade for PIX Software v7.0 (Actualización de la memoria del dispositivo de seguridad Cisco PIX 515/515E a la versión 7.0 del software PIX).

Convenciones

Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento.

Actualización del dispositivo de seguridad PIX

Descargas de software

Visite el centro de software de Cisco ( sólo para clientes registrados) para descargar el software PIX 7.x. El software del servidor TFTP ya no está disponible en Cisco.com, pero puede encontrar muchos de estos servidores si busca "servidor tftp" en su motor de búsqueda de Internet favorito. Cisco no recomienda ninguna implementación TFTP en particular. Para obtener más información, consulte la página del servidor TFTP ( sólo para clientes registrados) .

Procedimiento de actualización

Tenga en cuenta que la actualización de su dispositivo de seguridad PIX a la versión 7.x es un cambio importante. Gran parte de CLI se modifica y, por lo tanto, su configuración después de la actualización parecerá muy diferente. Sólo actualice cuando aparezca la ventana de mantenimiento, dado que el proceso de actualización requiere un tiempo de inactividad. Si debe restaurar la imagen a una versión 6.x, siga los procedimientos de desactualización. De lo contrario, el PIX se reiniciará continuamente. Para continuar, busque su modelo de dispositivo PIX en esta tabla y seleccione el enlace para ver las instrucciones para la actualización.

Modelo de PIX

Método de actualización

PIX-515

Monitor

PIX-515E

copy tftp flash

PIX-525

copy tftp flash

PIX-535 (PDM no instalado)

copy tftp flash

PIX-535 (PDM instalado)

Monitor

Actualización del dispositivo de seguridad PIX desde el modo Monitor

Acceso al modo Monitor

Siga estos pasos para acceder al modo Monitor en el PIX.

  1. Conecte un cable de consola al puerto de consola del PIX con esta configuración de comunicación.

    • 9600 bits por segundo

    • 8 bits de datos

    • sin paridad

    • 1 bit de parada

    • sin control de flujo

  2. Inicie el ciclo o recargue el PIX. Durante el inicio se le solicita que utilice BREAK o ESC para interrumpir el inicio de la memoria flash. Tiene diez segundos para interrumpir el proceso de inicio normal.

  3. Pulse la tecla ESC o envíe un carácter BREAK para acceder al modo Monitor.

    • Si utiliza HyperTerminal de Windows, puede pulsar la tecla ESC o enviar un carácter BREAK pulsando Ctrl+Break.

    • Si se conecta a través de Telnet a un servidor terminal para acceder al puerto de consola del PIX, debe pulsar Ctrl+] (Control + paréntesis derecho) para obtener un mensaje del comando de Telnet. A continuación, ejecute el comando send break.

  4. Aparecerá el mensaje monitor>.

  5. Continúe con la sección Actualización del PIX desde el modo Monitor.

Actualización del PIX desde el modo Monitor

Siga estos pasos para actualizar el PIX desde el modo Monitor.

  1. Copie la imagen binaria del dispositivo PIX (por ejemplo, pix701.bin) en el directorio raíz del servidor TFTP.

  2. Acceda al modo Monitor en el PIX. Si no está seguro de cómo hacerlo, consulte las instrucciones sobre cómo acceder al modo Monitor en este documento.

    Nota: una vez en el modo Monitor, puede utilizar "?" para ver una lista de las opciones disponibles.

  3. Introduzca el número de interfaz al que el servidor TFTP está conectado o la interfaz más cercana a él. La interfaz predeterminada es la 1 (interna).

    monitor>interface <num>
                   

    Nota: en el modo Monitor, la interfaz siempre negocia automáticamente la velocidad y el dúplex. La configuración de la interfaz no puede estar codificada por software. Por consiguiente, si la interfaz del PIX se conecta al switch codificado por software para velocidad/dúplex, reconfigúrela en negociación automática mientras esté en el modo Monitor. Tenga en cuenta también que el dispositivo PIX no puede inicializar una interfaz Gigabit Ethernet desde el modo Monitor. Debe utilizar en su lugar una interfaz Fast Ethernet.

  4. Introduzca la dirección IP de la interfaz definida en el paso 3.

    monitor>address <PIX_ip_address>
                   
  5. Introduzca la dirección IP del servidor TFTP.

    monitor>server <tftp_server_ip_address>
                   
  6. (Opcional) Introduzca la dirección IP de su gateway. Se requiere una dirección de gateway si la interfaz del PIX no está en la misma red que el servidor TFTP.

    monitor>gateway <gateway_ip_address>
                   
  7. Introduzca el nombre del archivo en el servidor TFTP que desea cargar. Es el nombre de archivo de la imagen binaria del PIX.

    monitor>file <filename>
                   
  8. Haga ping desde el PIX al servidor TFTP para verificar la conectividad IP.

    Si el ping falla, vuelva a verificar los cables, la dirección IP de la interfaz del PIX y el servidor TFTP, y la dirección IP de la gateway (si es necesario). Los pings deben realizarse con éxito antes de continuar.

    monitor>ping <tftp_server_ip_address>
                   
  9. Escriba tftp para iniciar la descarga de TFTP.

    monitor>tftp
                   
  10. El PIX descarga la imagen en la memoria RAM y automáticamente la inicia.

    Durante el proceso de inicio, el sistema de archivos se convierte junto a su configuración actual. No obstante, aún no ha terminado. Tenga en cuenta este mensaje de advertencia después del inicio y continúe con el paso 11:

    ******************************************************************
      **                                                                    **
      **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
      **                                                                    **
      **          ----> Current image running from RAM only! <----          **
      **                                                                    **
      **  When the PIX was upgraded in Monitor mode the boot image was not  **
      **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
      **  save a bootable image to Flash.  Failure to do so will result in  **
      **  a boot loop the next time the PIX is reloaded.                    **
      **                                                                    **
      ************************************************************************
  11. Una vez reiniciado, acceda al modo habilitar y copie la misma imagen en el PIX nuevamente. Esta vez utilice el comando copy tftp flash.

    Esto guarda la imagen en el sistema de archivos flash. Si no puede realizar este paso, la próxima vez que el PIX se recargue, se producirá un bucle de inicio.

    pixfirewall>enable
    pixfirewall#copy tftp flash
                   

    Nota: para obtener instrucciones detalladas sobre cómo copiar la imagen otra vez con el uso del comando copy tftp flash, consulte la sección Actualización del dispositivo de seguridad PIX con el comando copy tftp flash.

  12. Una vez que se copia la imagen mediante el comando copy tftp flash, el proceso de actualización finaliza.

Configuración de ejemplo - Actualización del dispositivo de seguridad PIX desde el modo Monitor

monitor>interface 1 
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
2: i8255X @ PCI(bus:1 dev:0  irq:11)
3: i8255X @ PCI(bus:1 dev:1  irq:11)
4: i8255X @ PCI(bus:1 dev:2  irq:11)
5: i8255X @ PCI(bus:1 dev:3  irq:11)

Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81
monitor>address 10.1.1.2
address 10.1.1.2
monitor>server 172.18.173.123
server 172.18.173.123
monitor>gateway 10.1.1.1
gateway 10.1.1.1
monitor>file pix701.bin
file pix701.bin
monitor>ping 172.18.173.123
Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor>tftp
tftp pix701.bin@172.18.173.123..........................................
Received 5124096 bytes

Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar  7 17:39:03 PST 2005
#######################################################################
128MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 10  MAC: 0050.54ff.4d80
mcwa i82559 Ethernet at irq  7  MAC: 0050.54ff.4d81
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2014
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2015
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2016
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2017
BIOS Flash=AT29C257 @ 0xfffd8000
Old file system detected. Attempting to save data in flash


               !--- Este resultado indica que se formateó el sistema
!--- de archivos flash. Los mensajes son normales.
            
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-10627)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-14252)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-15586)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (5589)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (4680)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-21657)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-28397)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (2198)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-26577)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (30139)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (-17027)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (-2608)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (18180)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (0)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (29271)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (0)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 61...block number was (0)
flashfs[7]: erasing block 61...done.
flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0
flashfs[7]: 9 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 15998976
flashfs[7]: Bytes used: 10240
flashfs[7]: Bytes available: 15988736
flashfs[7]: flashfs fsck took 58 seconds.
flashfs[7]: Initialization complete.

Saving the datafile
!
Saving a copy of old datafile for downgrade
!
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
The version of image file in flash is not bootable in the current version of
software.
Use the downgrade command first to boot older version of software.
The file is being saved as image_old.bin anyway.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
Erasing sector 64...[OK]
Burning sector 64...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs               : 25
Inside Hosts                : Unlimited
Failover                    : Active/Active
VPN-DES                     : Enabled
VPN-3DES-AES                : Enabled
Cut-through Proxy           : Enabled
Guards                      : Enabled
URL Filtering               : Enabled
Security Contexts           : 2
GTP/GPRS                    : Disabled
VPN Peers                   : Unlimited

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .
                                 |            |
                                |||          |||
                              .|| ||.      .|| ||.
                           .:||| | |||:..:||| | |||:.
                            C i s c o  S y s t e m s
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1)

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706


               !--- Estos mensajes se imprimen para cada comando desaprobado.
            
.ERROR: This command is no longer needed. The LOCAL user database is always enabled.
 *** Output from config line 71, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
 *** Output from config line 76, "floodguard enable"

Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303

               !--- Todas las reparaciones actuales se convierten al
!--- nuevo marco de políticas modular.
            
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
  ************************************************************************
  **                                                                    **
  **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
  **                                                                    **
  **          ----> Current image running from RAM only! <----          **
  **                                                                    **
  **  When the PIX was upgraded in Monitor mode the boot image was not  **
  **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
  **  save a bootable image to Flash.  Failure to do so will result in  **
  **  a boot loop the next time the PIX is reloaded.                    **
  **                                                                    **
  ************************************************************************
Type help or '?' for a list of available commands.
pixfirewall>
pixfirewall>enable
Password:
               <password>
            
pixfirewall#
pixfirewall#copy tftp flash

Address or name of remote host []? 172.18.173.123

Source filename []? pix701.bin

Destination filename [pix701.bin]? 
               <enter>
            

Accessing tftp://172.18.173.123/pix701.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file flash:/pix701.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
5124096 bytes copied in 139.790 secs (36864 bytes/sec)
pixfirewall# 

Actualización del dispositivo de seguridad PIX con el comando copy tftp flash

Siga estos pasos para actualizar el PIX con el comando copy tftp flash.

  1. Copie la imagen binaria del dispositivo PIX (por ejemplo, pix701.bin) en el directorio raíz del servidor TFTP.

  2. En el mensaje de activación, ejecute el comando copy tftp flash.

    pixfirewall>enable
    Password:
                         <password>
                      
    pixfirewall#copy tftp flash
                   
  3. Introduzca la dirección IP del servidor TFTP.

    Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
                   
  4. Introduzca el nombre del archivo en el servidor TFTP que desea cargar. Es el nombre de archivo de la imagen binaria del PIX.

    Source file name [cdisk]?
                         <filename>
                      
                   
  5. Cuando se le solicite iniciar la copia de TFTP, escriba yes.

    copying tftp://172.18.173.123/pix701.bin to flash:image
    [yes|no|again]?yes
                   
  6. La imagen se copia nuevamente desde el servidor TFTP en la memoria flash.

    Aparece este mensaje, que indica que la transferencia es correcta, la imagen binaria anterior en la memoria flash se borra y la nueva imagen se escribe y se instala.

    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Received 5124096 bytes
    Erasing current image
    Writing 5066808 bytes of image
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Image installed
    pixfirewall#
  7. Recargue del dispositivo PIX para iniciar la nueva imagen.

    pixfirewall#reload
    Proceed with reload? [confirm] 
                         <enter>
                      
    
    
    Rebooting....
  8. El PIX inicia la imagen de la versión 7.0 y con esto concluye el proceso de actualización.

Configuración de ejemplo - Actualización del dispositivo PIX con el comando copy tftp flash

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall#
pixfirewall#reload
Proceed with reload? [confirm] 
               <enter>
            



Rebooting..ÿ

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
128 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 7192 Host Bridge
00 07 00 8086 7110 ISA Bridge
00 07 01 8086 7111 IDE Controller
00 07 02 8086 7112 Serial Bus 9
00 07 03 8086 7113 PCI Bridge
00 0D 00 8086 1209 Ethernet 11
00 0E 00 8086 1209 Ethernet 10
00 13 00 11D4 2F44 Unknown Device 5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash.
######################################################################
######################################################################
128MB RAM

Total NICs found: 2
mcwa i82559 Ethernet at irq 11 MAC: 0009.4360.ed44
mcwa i82559 Ethernet at irq 10 MAC: 0009.4360.ed43
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


               !--- Este resultado indica que se formateó el sistema
!--- de archivos flash. Los mensajes son normales.
            
Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-27642)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-30053)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-1220)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-22934)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (2502)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (29877)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-13768)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (9350)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-18268)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (7921)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (22821)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (7787)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (15515)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (20019)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-25094)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-7515)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (-10699)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (6652)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (-23640)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (23698)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (-28882)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (2533)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-966)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-22888)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (-9762)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (9747)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (-22855)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-32551)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-13355)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (-29894)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-18595)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (22095)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (1486)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (13559)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (24215)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (21670)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (-24316)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 7, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 12, parent_fileid 0
flashfs[7]: 5 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 5128192
flashfs[7]: Bytes available: 10999808
flashfs[7]: flashfs fsck took 59 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6
Maximum VLANs : 25
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC (IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5)
--------------------------------------------------------------------------
. .
| |
||| |||
.|| ||. .|| ||.
.:||| | |||:..:||| | |||:.
C i s c o S y s t e m s
--------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1)

****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.

A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

               !--- Estos mensajes se imprimen para cada comando desaprobado.
            
ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 50, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 55, "floodguard enable"

Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255

               !--- Todas las reparaciones actuales se convierten en el nuevo marco de políticas modular.
            
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
pixfirewall>

Nota: con la licencia ilimitada, PIX 515 E puede tener hasta ocho VLAN y PIX 535, hasta veinticinco.

Desactualización de la versión PIX 7.x a la 6.x

Las versiones 7.0 y posteriores de los dispositivos de seguridad PIX utilizan un formato de archivo flash diferente al de las versiones PIX previas. Por lo tanto, no puede desactualizar desde una imagen 7.0 a otra 6.x con el comando copy tftp flash. En su lugar, debe utilizar el comando downgrade. De lo contrario, el PIX se reiniciará continuamente.

Cuando el PIX se actualizó originalmente, la configuración de inicio de la versión 6.x se guardó en la memoria flash como downgrade.cfg. Si sigue este procedimiento de desactualización, esta configuración se restaurará en el dispositivo. Esta configuración puede revisarse antes de la desactualización ejecutando el comando more flash:downgrade.cfg desde un mensaje enable> en la versión 7.0. Además, si el PIX se actualizó a través del modo Monitor, la imagen binaria anterior de la versión 6.x aún se guardará en la memoria flash como image_old.bin. Puede verificar si esta imagen existe con el comando show flash:. Si la imagen existe en la memoria flash, puede utilizarla en el paso 1 de este procedimiento en lugar de cargar la imagen desde el servidor TFTP.

Siga estos pasos para desactualizar el dispositivo de seguridad PIX.

  1. Introduzca el comando downgrade y especifique la ubicación de la imagen a la que desea desactualizar.

    pixfirewall#downgrade tftp://<tftp_server_ip_address>/<filename>
                   

    Nota: si el PIX se actualizó desde el modo Monitor, la imagen binaria anterior aún se guarda en la memoria flash. Ejecute este comando para desactualizar a esa imagen:

    pixfirewall#downgrade flash:/image_old.bin
                   
  2. Aparecerá un mensaje de advertencia que le alerta de que la memoria flash está a punto de ser formateada. Pulse enter para continuar.

    This command will reformat the flash and automatically reboot the system.
    Do you wish to continue? [confirm]  
                         <enter>
                      
                   
  3. La imagen se copia nuevamente en la memoria RAM, junto con la configuración de inicio.

    Buffering image
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    
    Buffering startup config
    
    All items have been buffered successfully
  4. Aparecerá un segundo mensaje de advertencia que indica que la memoria flash comienza a formatearse. NO interrumpa este proceso o la memoria flash puede dañarse. Pulse enter para continuar con el formateo.

    If the flash reformat is interrupted or fails,
    data in flash will be lost
    and the system might drop to monitor mode.
    Do you wish to continue? [confirm] 
                         <enter>
                      
                   
  5. La memoria flash se formatea y se instala la imagen anterior, tras lo cual el PIX se reinicia.

    Acquiring exclusive access to flash
    Installing the correct file system for the image and
    saving the buffered data
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Flash downgrade succeeded
    
    
    Rebooting....
  6. El PIX se inicia en modo normal. Con esto concluye el proceso de desactualización.

Configuración de ejemplo - Desactualización de la versión PIX 7.x a la 6.x

pixfirewall#downgrade tftp://172.18.108.26/pix634.bin
This command will reformat the flash and automatically reboot the system.
Do you wish to continue? [confirm] 
               <enter>
            
Buffering image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Buffering startup config

All items have been buffered successfully.
If the flash reformat is interrupted or fails, data in flash will be lost
and the system might drop to monitor mode.
Do you wish to continue? [confirm]
Acquiring exclusive access to flash
Installing the correct file system for the image and saving the buffered data
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Flash downgrade succeeded



Rebooting....


CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
128 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 7192 Host Bridge
00 07 00 8086 7110 ISA Bridge
00 07 01 8086 7111 IDE Controller
00 07 02 8086 7112 Serial Bus 9
00 07 03 8086 7113 PCI Bridge
00 0D 00 8086 1209 Ethernet 11
00 0E 00 8086 1209 Ethernet 10
00 13 00 11D4 2F44 Unknown Device 5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 1962496 bytes of image from flash.
#################################################################################
##############################
128MB RAM
mcwa i82559 Ethernet at irq 11 MAC: 0009.4360.ed44
mcwa i82559 Ethernet at irq 10 MAC: 0009.4360.ed43
System Flash=E28F128J3 @ 0xfff00000
BIOS Flash=am29f400b @ 0xd8000
IRE2141 with 2048KB

-----------------------------------------------------------------------
|| ||
|| ||
|||| ||||
..:||||||:..:||||||:..
c i s c o S y s t e m s
Private Internet eXchange
-----------------------------------------------------------------------
Cisco PIX Firewall

Cisco PIX Firewall Version 6.3(4)
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES-AES: Enabled
Maximum Physical Interfaces: 6
Maximum Interfaces: 10
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited

This PIX has an Unrestricted (UR) license.


****************************** Warning *******************************
Compliance with U.S. Export Laws and Regulations - Encryption.

This product performs encryption and is regulated for export
by the U.S. Government.

This product is not authorized for use by persons located
outside the United States and Canada that do not have prior
approval from Cisco Systems, Inc. or the U.S. Government.

This product may not be exported outside the U.S. and Canada
either by physical or electronic means without PRIOR approval
of Cisco Systems, Inc. or the U.S. Government.

Persons outside the U.S. and Canada may not re-export, resell
or transfer this product by either physical or electronic means
without prior approval of Cisco Systems, Inc. or the U.S.
Government.
******************************* Warning *******************************

Copyright (c) 1996-2003 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706


Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255
Type help or '?' for a list of available commands.
pixfirewall>

Actualización de dispositivos PIX en una configuración de conmutación por error

Una actualización de la versión 6.x a la 7.x del dispositivo PIX es una actualización importante. No se puede realizar sin un tiempo de inactividad, incluso para los PIX en una configuración de conmutación por error. Muchos de los comandos de conmutación por error cambian con la actualización. El trayecto de actualización recomendado sirve para apagar uno de los PIX en la configuración de conmutación por error. Siga las instrucciones incluidas en este documento para actualizar el PIX encendido. Una vez finalizada la actualización, verifique que el tráfico se transmita. También reinicie el PIX para verificar que se restaura sin problemas. Una vez que todo funcione adecuadamente, apague el PIX actualizado y encienda el otro. Siga las instrucciones incluidas en este documento para actualizarlo. Una vez finalizada la actualización, verifique que el tráfico se transmita. También reinicie el segundo PIX para verificar que se restaura sin problemas. Una vez que todo funcione adecuadamente, encienda el primero. Ahora ambos PIX están actualizados a la versión 7.x y encendidos. Verifique que establezcan comunicaciones de conmutación por error de forma adecuada con el comando show failover.

Nota: el PIX impone la restricción de que cualquier interfaz que transmita tráfico de datos no puede ser utilizada como interfaz de conmutación por error LAN o interfaz de conmutación por error con estado. Si su configuración actual de PIX tiene una interfaz compartida que se utiliza para transmitir tráfico normal de datos, así como información de conmutación por error LAN o información de conmutación por error con estado, y si actualiza, el tráfico de datos ya no se transmite por esta interfaz. Todos los comandos asociados a ella también fallan.

Instalación de Adaptive Security Device Manager (ADSM)

Antes de instalar ADSM, Cisco recomienda leer las notas de la versión que planea instalar. Estas incluyen los navegadores y las versiones de Java mínimos admitidos, así como una lista de las nuevas funciones y advertencias abiertas.

El proceso de instalación de ASDM es ligeramente diferente en la versión 7.0 al de las anteriores. Además, una vez que la imagen de ASDM se copia a la memoria flash, debe especificarla en la configuración para que el PIX sepa cómo utilizarla. Siga estos pasos para instalar la imagen de ASDM en la memoria flash.

  1. Descargue la imagen de ADSM ( sólo para clientes registrados) en Cisco.com y ubíquela en el directorio raíz del servidor TFTP.

  2. Verifique que el PIX tenga conectividad IP al servidor TFTP. Para ello, haga ping desde el PIX al servidor TFTP.

  3. En el mensaje de activación, ejecute el comando copy tftp flash.

    pixfirewall>enable
    Password: 
                         <password>
                      
    pixfirewall#copy tftp flash
                   
  4. Introduzca la dirección IP del servidor TFTP.

    Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
                   
  5. Introduzca el nombre del archivo de ADSM en el servidor TFTP que desea cargar.

    Source file name [cdisk]? <filename>
                   
  6. Introduzca el nombre del archivo de ADSM que planea guardar en la memoria flash. Pulse enter para conservar el mismo nombre de archivo.

    Destination filename [asdm-501.bin]? <enter>
                   
  7. La imagen se copia nuevamente desde el servidor TFTP en la memoria flash. Aparecen estos mensajes, que indican que la transferencia es correcta.

    Accessing tftp://172.18.173.123/asdm-501.bin...
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!
    Writing file flash:/asdm-501.bin...
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!
    5880016 bytes copied in 140.710 secs (42000 bytes/sec)
  8. Una vez que se copia la imagen de ASDM, ejecute el comando asdm image flash: para especificar la imagen de ASDM que se debe usar.

    pixfirewall(config)#asdm image flash:asdm-501.bin
                   
  9. Guarde la configuración en la memoria flash con el comando write memory.

    pixfirewall(config)#write memory
                   
  10. Con esto concluye el proceso de instalación de ASDM.

Resolución de problemas

Síntoma

Resolución

Después de utilizar el método copy tftp flash para actualizar el PIX y reiniciarlo, el dispositivo entra en un bucle de reinicio:

                  Cisco Secure PIX Firewall BIOS (4.0) #0:
Thu Mar  2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash.   

Los dispositivos PIX con versiones de BIOS anteriores a la 4.2 no se pueden actualizar con el comando copy tftp flash. Debe actualizarlos con el método del modo Monitor.

Después de ejecutar el PIX en la versión 7.0 y reiniciarlo, el dispositivo entra en un bucle de reinicio:

Rebooting....

Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar 2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 115200 bytes of image from flash.

PIX Flash Load Helper

Initializing flashfs...
flashfs[0]: 10 files, 4 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 15998976
flashfs[0]: Bytes used: 1975808
flashfs[0]: Bytes available: 14023168
flashfs[0]: Initialization complete.

Unable to locate boot image configuration

Booting first image in flash

No bootable image in flash. Please download
an image from a network server in the monitor mode

Failed to find an image to boot
               

Si el PIX se actualizó desde el modo Monitor a la versión 7.0, pero la imagen en esta versión se copió nuevamente en la memoria flash después del primer inicio de la versión 7.0, cuando el PIX se recargue, entrará en un bucle de reinicio.

La solución es cargar la imagen nuevamente con el método del modo Monitor. Una vez reiniciado, debe copiar la imagen una vez más con el uso del método copy tftp flash.

Cuando actualiza con el método copy tftp flash, aparece este mensaje de error:

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? y
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Insufficient flash space available for this request:
Size info: request:5066808 current:1966136 delta:3100672 free:2752512
Image not installed
pixfirewall# 

Este mensaje generalmente aparece cuando PIX-535 o PIX-515 (sin E) se actualiza a través del método copy tftp flash y PDM también se carga en la memoria flash en ese PIX.

La solución es actualizar con el método del modo Monitor.

Después de la actualización de PIX desde la versión 6.x a la 7.0, algunas de las opciones de configuración no se migran adecuadamente.

El resultado del comando show startup-config errors muestra cualquier error que se haya producido durante la migración de la configuración. Los errores aparecen en este resultado después de iniciar el PIX por primera vez. Examine estos errores e intente resolverlos.

El PIX ejecuta la versión 7.x y se instala una versión más reciente. Cuando se reinicia, la versión antigua continúa cargándose.

En la versión 7.x de PIX, puede guardar imágenes múltiples en la memoria flash. El PIX busca primero cualquier comando boot system flash: en la configuración. Estos comandos especifican la imagen que el PIX debe iniciar. Si no se encuentran comandos boot system flash:, el PIX inicia cualquier imagen de inicio del sistema en la memoria. Para iniciar una versión diferente, especifique el archivo con el comando boot system flash:/<filename>.

Una imagen de ASDM se carga en la memoria flash, pero los usuarios no pueden cargar ASDM en su navegador.

Primero, asegúrese de que el comando asdm image flash://<asdm_file> especifique el archivo de ASDM cargado en la memoria flash. Segundo, verifique que el comando http server enable esté en la configuración. Finalmente, verifique el host que intenta cargar ASDM tiene permiso con el comando http <address> <mask> <interface>.

FTP no funciona después de una actualización.

La inspección FTP no se habilitó después de la actualización. Habilítela de una de las dos formas que se muestran en la sección Activación de la inspección FTP.

Activación de la inspección FTP

La inspección FTP se puede habilitar con uno de estos dos métodos:

  • Adición de FTP a la política de inspección predeterminada o global.

    1. Si no existe, cree la correspondencia de clases inspection_default.

      PIX1#configure terminal
      PIX1(config)#class-map inspection_default
      PIX1(config-cmap)#match default-inspection-traffic
      PIX1(config-cmap)#exit
                           
    2. Cree o edite la correspondencia de políticas global_policy y habilite la inspección FTP para la clase inspection_default.

      PIX1(config)#policy-map global_policy
      PIX1(config-pmap)#class inspection_default
      PIX1(config-pmap-c)#inspect dns preset_dns_map
      PIX1(config-pmap-c)#inspect ftp
      PIX1(config-pmap-c)#inspect h323 h225
      PIX1(config-pmap-c)#inspect h323 ras
      PIX1(config-pmap-c)#inspect rsh
      PIX1(config-pmap-c)#inspect rtsp 
      PIX1(config-pmap-c)#inspect esmtp
      PIX1(config-pmap-c)#inspect sqlnet
      PIX1(config-pmap-c)#inspect skinny
      PIX1(config-pmap-c)#inspect sunrpc
      PIX1(config-pmap-c)#inspect xdmcp
      PIX1(config-pmap-c)#inspect sip
      PIX1(config-pmap-c)#inspect netbios
      PIX1(config-pmap-c)#inspect tftp 
                           
    3. Habilite global_policy de forma global.

      PIX1(config)#service-policy global_policy global
                           
  • Activación de FTP mediante la creación de una política de inspección independiente.

    PIX1#configure terminal
    PIX1(config)#class-map ftp-traffic
    
                      
                         !--- Coincide con el tráfico de datos FTP.
                      
    PIX1(config-cmap)#match port tcp eq ftp
    PIX1(config-cmap)#exit
    
    PIX1(config)#policy-map ftp-policy
    PIX1(config-pmap)#class ftp-traffic
    
    
                      
                         !--- La inspección del tráfico FTP está habilitada.
                      
    PIX1(config-pmap-c)#inspect ftp
    PIX1(config-pmap)#exit
    PIX1(config)#exit
    
    
                      
                         !--- Aplica la inspección FTP de forma global.
                      
    PIX1(config)#service-policy ftp-policy global
                   

Obtención de un contrato de servicio válido

Debe tener un contrato de servicio válido para descargar el software PIX. Para obtener un contrato de servicio, siga estos pasos:

  • Póngase en contacto con el equipo de cuentas de Cisco si tiene un contrato de compra directo.

  • Póngase en contacto con un socio o revendedor de Cisco para obtener un contrato de servicio.

  • Utilice el administrador de perfiles para actualizar su perfil en Cisco.com y solicitar la asociación a un contrato de servicio.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 63879