Безопасность : Устройства защиты Cisco PIX серии 500

Обновление программного обеспечения для Cisco Secure PIX Firewall и диспетчера устройств PIX

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (23 марта 2008) | Английский (28 марта 2016) | Отзыв


Примечание: В данном документе содержатся сведения по обновлению программного обеспечения на устройстве безопасности серии PIX 500. Для того чтобы загрузить программное обеспечение брандмауэра PIX, посетите Центр программного обеспечения (только для зарегистрированных пользователей). Для получения доступа к программному обеспечению PIX необходимо зарегистрироваться и обладать действительным контрактом на обслуживание.


Содержание


Введение

В данном документе объясняется процедура обновления программного обеспечения межсетевого экрана PIX и обновление диспетчера устройств PIX (PDM). Данный документ применим ко всем версиям программного обеспечения межсетевого экрана PIX версий с 4.x по 6.3.x.

Примечание: Этот документ не покрывает обновления к версии 7. x . Дополнительные сведения об обновлении для версий 7.х и ASDM см. в документе под названием Процедура обновления программного обеспечения для устройства безопасности Cisco Secure PIX 7.x и ASDM.

Перед началом работы

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • Установите TFTP Server

    В большинстве случаев использование TFTP server требуется для обновления программного обеспечения Устройства безопасности PIX. Компания Cisco настоятельно рекомендует перед обновлением произвести резервное копирование конфигурации PIX на TFTP-сервер. Для создания резервной копии конфигурации используйте команду write net.

    Например: :

    pixfirewall# write net 10.1.1.10:pixconfig
    

    Компания Cisco больше не предоставляет TFTP-сервер для загрузки, однако, с помощью поисковых систем в Интернете можно найти множество легко используемых аналогичных серверов.

  • Соберите необходимую информацию

    Для определения, какое обновление программного обеспечения работает для Устройства безопасности PIX, соберите спецификации устройств. Иногда во время процедуры обновления необходимо иметь в распоряжении ключ активации PIX. Для получения необходимых сведений об устройстве используйте команду show version.

    Например: :

    pixfirewall# show version
    
    Cisco PIX Firewall Version 6.3(4)
    Cisco PIX Device Manager Version 3.0(2)
    
    Compiled on Fri 02-Jul-04 00:07 by morlee
    
    pixfirewall up 29 mins 18 secs
    
    Hardware:   PIX-501, 16 MB RAM, CPU Am5x86 133 MHz
    Flash E28F640J3 @ 0x3000000, 8MB
    BIOS Flash E28F640J3 @ 0xfffd8000, 128KB
    
    0: ethernet0: address is 0015.2b95.f95c, irq 9
    1: ethernet1: address is 0015.2b95.f95e, irq 10
    Licensed Features:
    Failover:                    Disabled
    VPN-DES:                     Enabled
    VPN-3DES-AES:                Enabled
    Maximum Physical Interfaces: 2
    Maximum Interfaces:          2
    Cut-through Proxy:           Enabled
    Guards:                      Enabled
    URL-filtering:               Enabled
    Inside Hosts:                Unlimited
    Throughput:                  Unlimited
    IKE peers:                   10
    
    This PIX has a Restricted (R) license.
    
    Serial Number: 809324870 (0x303d5146)
    Running Activation Key: 0x96cb328a 0x15e9aeaf 0xddb832cf 0xb906199e 
    Configuration last modified by enable_15 at 07:52:05.707 UTC Tue Jul 11 2006

    Кроме того, внимательно прочитайте соответствующие примечания к выпуску для выбранной версии программного обеспечения PIX в Документация для устройства безопасности серии Cisco PIX 500.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Версия ПО PIX 4.4 (x) - Флэш на 2 МБ, ОЗУ на 16 МБ

  • Версия ПО PIX 5.0 (x) - Флэш на 2 МБ, ОЗУ на 32 МБ

  • Версия ПО PIX 5.1 (x) - Флэш на 2 МБ, ОЗУ на 32 МБ

  • Программное обеспечение PIX версии 5.2(x) - 8 MB Flash, 32 MB RAM

  • Версия ПО PIX 5.3 (x) - Флэш на 8 МБ, ОЗУ на 32 МБ

  • Версия ПО PIX 6.0 (x) - Флэш на 8 МБ, ОЗУ на 32 МБ

  • Версия ПО PIX 6.1 (x) - Флэш на 8 МБ, ОЗУ на 32 МБ

  • Версия ПО PIX 6.2 (x) - Флэш на 8 МБ, ОЗУ на 32 МБ

  • Версия ПО PIX 6.3 (x) - ОЗУ на 32 МБ (кроме устройства защиты Cisco PIX 501, которое требует ОЗУ на 16 МБ), Флэш на 16 МБ (кроме Cisco PIX 501, 506, и 506E модели Устройства безопасности, которые требуют Флэша на 8 МБ),

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Выбор процедуры обновления

Найдите Модель межсетевого экрана PIX и текущую версию ПО в этой таблице. Затем перейдите по ссылке для того, чтобы ознакомиться с инструкциями по обновлению брандмауэра PIX.

  Текущая версия программного обеспечения PIX
Модель PIX 4.4 (x) и ранее, 5.0 (x) 5.1 (x) 5.2 (x) 5.3 (x) 6.0 (x) 6.1 (x), 6.2 (x), 6.3 (x)
PIX Classic помощник при загрузке copy tftp flash copy tftp flash copy tftp flash прекращенный прекращенный
PIX 10000 помощник при загрузке copy tftp flash copy tftp flash copy tftp flash прекращенный прекращенный
PIX 501 Не применимо Не применимо Не применимо Не применимо Не применимо copy tftp flash
PIX 506 Не применимо copy tftp flash copy tftp flash copy tftp flash copy tftp flash copy tftp flash
PIX 510 помощник при загрузке copy tftp flash copy tftp flash copy tftp flash Прекращенный Прекращенный
PIX 515 монитор copy tftp flash copy tftp flash copy tftp flash copy tftp flash copy tftp flash
PIX 520 помощник при загрузке copy tftp flash copy tftp flash copy tftp flash copy tftp flash copy tftp flash
PIX 525 Не применимо Не применимо copy tftp flash copy tftp flash copy tftp flash copy tftp flash
PIX 535 Не применимо Не применимо Не применимо copy tftp flash copy tftp flash copy tftp flash

Примечание: Межсетевой экран PIX Classic, 10000, и 510 прекращен и не может выполнить версию 6.0 Программного обеспечения межсетевого экрана PIX или позже. При работе с PIX Classic, 10000 или 510 и необходимости использовать программное обеспечение брандмауэра PIX версии 6.0 или более поздней, свяжитесь с группой поддержки клиентов или с официальным дилером компании Cisco в вашем регионе для приобретения более нового брандмауэра PIX.

Загрузка программного обеспечения

Программное обеспечение Устройства безопасности PIX только доступно пользователям с учетной записью CCO и привязанным контрактом на обслуживание. Для того чтобы загрузить программное обеспечение брандмауэра PIX, посетите Центр программного обеспечения (только для зарегистрированных пользователей). Для получения доступа к программному обеспечению PIX необходимо ввести соответствующие данные учетной записи.

Обновление брандмауэра PIX с версии 4.х.х или 5.0.х

Устройства с дисководом

Эти шаги применяются только к устройствам PIX, которые имеют дисковод гибких дисков. В частности, это относится к брандмауэрам PIX Classic, 10000, 510 и 520.

Для создания загрузочной дискеты в операционной системе Windows выполните следующие действия:

  1. Перейдите на страницу Загрузка программного обеспечения (только для зарегистрированных пользователей) и загрузите программу rawrite.exe. Используйте эту программу для записи двоичного образа PIX на дискету.

  2. Загрузите двоичный образ PIX (файл с расширением .bin), который соответствует версии программного обеспечения, до которой необходимо произвести обновление. Имена файлов образа PIX используют следующий формат — pixnnx.bin, где nn – номер версии, а х – номер выпуска.

    Пример: Файл pix611.bin предназначен для программного обеспечения PIX выпуска 6.1.1.

  3. Если обновление программного обеспечения PIX производится до версии 5.2 или более поздней, то необходимо загрузить соответствующий двоичный файл boothelper.

    Пример: Если производится обновление версии 4.4(8) программного обеспечения PIX до версии 6.1(1), то необходимо загрузить следующие три файла:

    • rawrite.exe

    • pix611.bin

    • bh61.bin

  4. Найдите отформатированную в стандарте IBM дискету с высокой плотностью записи, которая не содержит никаких файлов.

    Примечание: Не используйте загрузочную дискету Межсетевого экрана PIX, которая шла с исходной покупкой Межсетевого экрана PIX. Эта дискета может понадобиться для восстановления системы при возврате к исходной версии. Программа rawrite.exe удаляет все файлы на дискете.

    Если форматирование производится в операционной системе Windows, то необходимо выбрать полное, а не быстрое форматирование. Быстрое форматирование не обеспечивает достаточной подготовки дискеты для перезаписи. Рекомендуется выполнять форматирование дискеты из командной строки MS-DOS. Используйте команду format a:, где a — наименование дисковода, в котором расположена дискета.

  5. Поместите чистую дискету в дисковод компьютера и выведите командную строку DOS. Перейдите в папку, содержащую программу rawrite.exe и файлы PIX.

  6. Запустите программу rawrite.exe. Для этого в командной строке DOS введите команду rawrite. При появлении соответствующего запроса введите имя файла, который нужно записать на дискету.

    Примечание: Если вы обновляете к Версии ПО PIX 5.1 или ранее, задайте файл для самого образа PIX. Название файла образа имеет следующий формат — pixnnx.bin. Если выполняется обновление PIX до версии 5.2 или более поздней версии, задайте файл PIX boothelper в следующем формате — bhnn.bin.

    Пример: Создание загрузочной дискеты в операционной системе Microsoft Windows

    C:\>rawrite
    RaWrite 1.2 - Write disk file to raw floppy diskette  
    Enter source file name: bh61.bin
    Enter destination drive: a: 
    Please insert a formatted diskette into drive A: and press -ENTER- : 
    Number of sectors per track for this disk is 18. 
    Writing image to drive A:. Press ^C to abort. 
    Track: 11 Head: 1 Sector: 16 
    Done.
    C:\>0
  7. После завершения процесса rawrite, извлеките дискету из дисковода и вставьте дискету с драйверами брандмауэра PIX. Для загрузки образа PIX с дискеты необходимо выполнить одно из следующих действий.

    • Цикл включения и выключения питания PIX.

      или

    • Используйте сброс коммутатора PIX.

      или

    • Выполните команду повторной загрузки от консоли PIX.

  8. После завершения перезагрузки PIX выполните следующие действия:

Устройства без дисковода (режим монитора)

Устройства PIX, которым не шли с внутренним дисководом гибких дисков программа монитора Загрузки из ROM, которая используется для обновления образа Межсетевого экрана PIX. Для перехода в режим монитора на устройствах без дисковода, выполните следующие действия:

  1. Энергетический цикл или перезагрузка PIX. Во время загрузки будет предложено нажать клавишу BREAK или ESC для прерывания загрузки с флэш-памяти. Для прерывания стандартного процесса загрузки дается десять секунд.

  2. Для перехода в режим монитора нажмите клавишу ESC или отправьте символ BREAK.

    • При использовании эмулятора терминала Windows HyperTerminal можно нажать клавишу ESC и послать команду BREAK, нажав Ctrl+Break.

    • Если для получения доступа к консольному порту PIX используется программа Telnet через терминальный сервер, то необходимо нажать Ctrl ] для получения доступа к командной строке Telnet. Затем введите команду send break.

  3. Отобразится строка monitor>.

  4. Перейдите к разделу Обновление брандмауэра PIX в режиме Boothelper или в режиме монитора данного документа.

Обновление брандмауэра PIX в режиме Boothelper или в режиме монитора

Примечание: Убедитесь, что вы следовали инструкциям или для представленного раздела, Устройства безопасности с дисководом гибких дисков или для Устройств безопасности без дисковода гибких дисков перед переходом эти шаги.

При обновлении брандмауэра PIX с версий 5.0.x или более ранних до версий 5.1.x и более поздних необходимо использовать режим boothelper или режим монитора. Это связано с тем, что в версиях ниже 5.1 программное обеспечение брандмауэра PIX не предоставляло методов переноса образа через TFTP непосредственно на флэш-память. Для обновления устройств безопасности PIX при наличии или отсутствии дисковода выполните следующие действия:

  1. Скопируйте двоичный образ межсетевого экрана PIX (pixnnn.bin) в корневой каталог TFTP-сервера.

  2. Для PIX Classic, 10000, 510 и 520s убедитесь в том, что процедура Создание загрузочной дискеты уже выполнена. Используйте файл boothelper, который в наибольшей степени соответствует обновляемому образу PIX. Чтобы перейти в режим Boothelper, загрузите PIX с гибкого диска Boothelper.

    Все остальные устройства PIX (501, 506, 515, 525 и 535) не оснащены дисководом. Вместо этого у них есть внутренний механизм перехода в режим монитора. В этом документе приведены инструкции для Перехода в режим монитора на PIX 501, 506, 515, 525 или 535.

    После перехода в режим монитора или в режим boothelper, для просмотра списка доступных параметров можно использовать клавишу .

  3. Выполните команду interface номер. Команда interface определяет какой интерфейс PIX будет подключаться к TFTP-серверу. Интерфейс по умолчанию – 1 (внутренний).

    Примечание: PIX не может инициализировать Интерфейс Gigabit Ethernet от монитора или вспомогательного режима загрузки. Вместо этого используйте интерфейс Fast Ethernet или Token Ring.

  4. Выполните команду address pix_interface_ip_address. Команда address задает IP-адрес интерфейса устройства PIX.

  5. Выполните команду server tftp_server_ip_address. Команда server задает IP-адрес TFTP-сервера.

  6. Выполните команду file filename. Команда file задает имя файла образа брандмауэра PIX.

  7. Выполните команду ping tftp_server_ip_address. Проверьте доступность сервера с помощью команды ping. Если выполнение этой команды закончилось неудачей, то проверьте соединительные кабели, IP-адреса сервера и брандмауэра PIX, а также IP-адрес шлюза, если это необходимо. Необходимо получить успешное подтверждение команды ping, чтобы продолжить.

    Примечание: Выполните команду шлюза для определения IP-адреса шлюза маршрутизатора, через который сервер доступен:

    gateway ip_address of the gateway interface
    
    
  8. Выполните команду tftp для начала загрузки образа с TFTP-сервера.

  9. После загрузки образа вам будет предложено установить его. Введите y для того, чтобы установить образ во флэш-память.

  10. При появлении запроса на ввод нового ключа активации, введите y для ввода нового ключа активации или n для сохранения уже существующего ключа активации. Дополнительные сведения о ключе активации и его обновлении см. в разделе Обновление ключа активации данного документа.

  11. Если используется режим boothelper, то будет предложено извлечь из дисковода дискету boothelper. После этого необходимо в течение 30 секунд извлечь дискету, прежде чем начнется автоматическая перезагрузка PIX. Извлеките дискету. По завершении перезагрузки PIX выполняется загрузка нового образа из флэш-памяти.

    На этом процесс обновления завершается.

    После обновления PIX до версии 5.1 или более поздней больше не нужно использовать дискету для загрузки новых образов в PIX. В программном обеспечении PIX версии 5.1 или более поздней команда copy tftp flash позволяет передавать новые образы PIX прямо на устройство PIX с TFTP-сервера. Дополнительные сведения см. в документе под названием Справочник по командам PIX.

Пример — Обновление брандмауэра PIX в режиме Boothelper или в режиме монитора

monitor>interface 1 
0: i8255X @ PCI(bus:0 dev:14 irq:10) 
1: i8255X @ PCI(bus:0 dev:13 irq:11) 

Using 1: i82557 @ PCI(bus:0 dev:13 irq:11), MAC: 0002.b945.a23c 
monitor>address 172.18.124.154 
address 172.18.124.154 
monitor>server 172.18.125.3 
server 172.18.125.3 
monitor>file pix611.bin 
file pix611.bin 
monitor>ping 172.18.125.3 
Sending 5, 100-byte 0xcde2 ICMP Echoes to 172.18.125.3, timeout is 4 seconds: 
!!!!! 
Success rate is 100 percent (5/5) 
monitor>tftp 
tftp pix611.bin@172.18.125.3.......................................... 
Received 2562048 bytes 

Cisco Secure PIX Firewall admin loader (3.0) #0: Tue Dec  517:35:46 PST 2000 
System Flash=E28F128J3 @ 0xfff00000 
BIOS Flash=am29f400b @ 0xd8000 
Flash version 6.1.1, Install version 6.1.1 
Do you wish to copy the install image into flash? [n] y 

Installing to flash 

Serial Number: 480380761 (0x1ca20759) 
Activation Key: 760754d0 39f62229 a4a0245f b5b87e80 

Do you want to enter a new activation key? [n] n 
Writing 2469944 bytes image into flash... 

Обновление брандмауэра PIX с версии 5.1.1 или более поздней

Если устройство безопасности PIX использует программное обеспечение версии 5.1.1 или более поздней, то можно использовать команду copy tftp flash для загрузки образа программного обеспечения с TFTP. Команда copy tftp flash может применяться к любой модели брандмауэра PIX, использующего программное обеспечение PIX версии 5.1.1 или более поздней. Загружаемый образ будет доступен брандмауэру PIX при следующей перезагрузке. Дополнительные сведения об этой команде см. в документе под названием Справочник по командам PIX.

Использование команды copy tftp flash для обновления брандмауэра PIX

Выполните следующие шаги для обновления PIX с использованием команды copy tftp flash.

  1. Скопируйте двоичный образ межсетевого экрана PIX (pixnnn.bin) в корневой каталог TFTP-сервера.

  2. В командной строке PIX выполните команду copy tftp flash.

  3. Введите IP-адрес удаленного сайта.

  4. Введите имя двоичного файла PIX (имеет формат pixnnn.bin).

  5. Введите yes.

Пример — Обновление брандмауэра PIX с помощью команды copy tftp flash

pixfirewall#copy tftp flash 
Address or name of remote host [127.0.0.1]? 172.18.125.3 
Source file name [cdisk]?pix611.bin 
copying tftp://172.18.125.3/pix611.bin to flash
[yes|no|again]?yes 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
Received 2562048 bytes. 
Erasing current image. 
Writing 2469944 bytes of image. 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
Image installed. 
pixfirewall# 

Обновление устройств PIX в конфигурации с восстановлением после отказа с минимальным временем простоя

Чтобы использовать данную процедуру, PIX-устройства должны использовать программное обеспечение PIX версии 5.1.x или более поздней. Эти инструкции действительны для любых PIX-устройств, способных работать в конфигурации с восстановлением после отказа. Дополнительные сведения о переключении при отказе см. в документе под названием Выполнение переключения при отказе в брандмауэре Cisco Secure PIX.

Для минимизации времени простоя при обновлении PIX могут быть использованы два варианта действий. Первый вариант является наискорейшим способом обновления конфигурации с восстановлением после отказа. Если при обновлении возникают проблемы, то всегда будет иметься работоспособный брандмауэр PIX, способный фильтровать сетевой трафик. Второй вариант является менее сложным, но более рискованным по сравнению с первым вариантом. Риск состоит в том, что новый образ, загружаемый на устройства PIX, может иметь повреждения. Оба параметра представлены так, чтобы можно было выбрать лучший метод для указанной сети.

Примечание: Если вы хотите обновить настройку обработки отказов от 6.x до 7.x, обратитесь к Приборам PIX Обновления в разделе Настройки обработки отказов Устройства безопасности Cisco Secure PIX 7.x и Процедура обновления Программного обеспечения ASDM.

Вариант 1

Это - более безопасный способ обновить настройку обработки отказов:

  1. Скопируйте двоичный образ межсетевого экрана PIX (pixnnn.bin) в корневой каталог TFTP-сервера.

  2. Отключите питание первичного устройства (в результате станет активным вторичное устройство).

  3. Отключите все кабели, включая кабель аварийного режима, от основного устройства.

  4. Включите питание первичного устройства и установите соединение с персональным компьютером, на котором установлен TFTP-сервер.

  5. Для обновления первичного устройства выполните команду copy tftp flash.

  6. Перезагрузите первичное устройство и проверьте новую версию и конфигурацию.

  7. Выключите Primary.

  8. Переподсоедините все провода исходным образом.

  9. Быстро отключите дополнительный и немедленно включите основной.

    Примечание: В то время как Основной загружается, период времени простоя происходит.

    После загрузки первичное устройство активно и пропускает трафик.

  10. Повторите пп. 2 – 7 для вторичного брандмауэра PIX.

  11. Включите питание вторичного брандмауэра PIX. Он поступает в режиме ожидания.

  12. Оба устройства PIX теперь работают в штатном режиме под управлением обновленной версии.

Вариант 2

Это - более быстрый способ обновить настройку обработки отказов:

  1. Скопируйте двоичный образ межсетевого экрана PIX (pixnnn.bin) в корневой каталог TFTP-сервера.

  2. Для копирования нового образа в первичное устройство выполните команду copy tftp flash.

  3. Для копирования нового образа во вторичное устройство выполните команду copy tftp flash.

  4. Выключите оба устройства PIX.

  5. Включите основной PIX.

  6. Подождите 10 секунд. Убедитесь, что основной брандмауэр PIX стал активным.

  7. Включите питание вторичного PIX. После загрузки он перейдет в режиме ожидания.

  8. Оба устройства PIX теперь работают в штатном режиме под управлением обновленной версии.

Восстановление после неудачного обновления

Выполните следующие действия для восстановления брандмауэра PIX, если обновление программного обеспечения PIX с версии 6.x до версии 6.x закончилось неудачей:

  1. Как было указано ранее, необходимо записать данные ключа активации перед выполнением этой процедуры.

  2. Выполните следующие действия для перевода брандмауэра PIX в режим монитора.

  3. Выполните следующие действия для обновления PIX из режима монитора и загрузки файла erasedisk.bin с помощью TFTP. Этот файл необходимо получить в центре технической поддержки компании Cisco.

  4. При повторной перезагрузке системы переведите брандмауэр PIX в режим монитора.

  5. Выполните следующие действия для обновления PIX из режима монитора и загрузки файла новой версии 6.x с помощью TFTP.

Обновление ключа активации

По ряду причин, возможно, следует обновить ключ активации на брандмауэре PIX:

Если текущая ситуация соответствует одной из перечисленных выше категорий и уже получен новый ключ активации для PIX, то следующим шагом будет подключение к PIX, выполнение команды show version и сохранение результата в текстовый файл. Результат выполнения команды output of the show version содержит имеющуюся версию, серийный номер и ключ активации. Эта информация потребуется в случае возникновения каких-либо проблем с обновлением ключа активации.

Ключ активации PIX основан на серийном номере брандмауэра PIX и, таким образом, является уникальным для каждого брандмауэра PIX. В ключе активации сообщается, какие функции PIX лицензированы. Серийный номер брандмауэра PIX хранится во флэш-памяти. После замены карты флэш-памяти в PIX будет необходимо получить новый серийный номер, который отличается от номера, показанного на этикетке снаружи упаковки. Следует всегда использовать серийный номер, полученный в результате выполнения команды show version.

Примечание: Необходимо вручную ввести ключи активации. Не используйте функции копирования и вставки, так как это может повлечь ошибки, которые могут привести к невозможности использования ключа активации.

Примечание: Для получения 11-ти значного числа добавьте дополнительные цифры к 9-ти значному серийному номеру, который начинается либо с числа 4, либо с числа 8. Например, число 4xxxxxxxx представлено в ключе активации в виде 444xxxxxxxx. Аналогично этому, номера, которые начинаются с цифры 8, необходимо дополнить двумя дополнительными восьмерками.

Устройства расширения параллельного интерфейса, работающие на версии 6.1 и более ранних

Следуйте инструкциям в Обновлении Межсетевой экран PIX от Помощника при загрузке или Режима отслеживания, если PIX в настоящее время выполняет версии 6.1 или ранее. Этап 10: приглашение ввести новый ключ активации.

Устройства PIX работающие с программой версии 6.2 и 6.3

Выполните команду activation-key для изменения ключа активации, если PIX в настоящее время выполняет версии 6.2 или 6.3. Дополнительные сведения см. в документе под названием Справочник по командам PIX.

Пример: Обновление ключа активации на PIX под управлением программы версии 6.2 или 6.3

pixfirewall(config)#activation-key 54bf4b80 b7237e20 05022c63 f09e3302 
Updating flash...Done. 
Serial Number: 480490644 (0x1ca3b494) 

Flash Activation Key: 0x54bf4b80 0xb7237e20 0x05022c63 0xf09e3302 
Licensed Features: 
Failover:           Enabled 
VPN-DES:            Enabled 
VPN-3DES:           Enabled 
Maximum Interfaces: 10 
Cut-through Proxy:  Enabled 
Guards:             Enabled 
URL-filtering:      Enabled 
Inside Hosts:       Unlimited 
Throughput:         Unlimited 
IKE peers:          Unlimited 

The flash activation key has been modified. 
The flash activation key is now DIFFERENT from the running key. 
The flash activation key will be used when the unit is reloaded. 
pixfirewall(config)# 
pixfirewall(config)#reload

Обновление диспетчера устройств PIX

Процедура обновления диспетчера устройств PIX аналогична процедуре, используемой для новой установки. Для получения подробных инструкций см. руководство по установке вдокументации диспетчера устройств PIX для соответствующей версии.

Получение действительного контракта на обслуживание

Для загрузки программного обеспечения PIX необходимо обладать действительным контрактом на обслуживание. Для получения контракта на обслуживание выполните следующие действия:

Устранение неисправностей

Проблема. После обновления при перезагрузке PIX пользователь получает сообщение об ошибке Cannot select private key (Невозможно выбрать секретный ключ).

Обходной путь/Решение: Повторно сгенерируйте rsa-ключ для SSH:

ca zero rsa
ca generate rsa key 1024
ca save all

write mem
reload

Дополнительные сведения о генерации ключа SSH см. в разделе PIX/ASA 7.x: SSH на внутреннем и внешнем интерфейсе

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 4801