Безопасность : Устройства защиты Cisco PIX серии 500

Процедура обновления программного обеспечения устройства безопасности PIX 500 с версии 6.x до версии 7.x

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (4 апреля 2008) | Английский (22 августа 2015) | Отзыв


Примечание: В данном документе содержатся сведения по обновлению программного обеспечения на устройстве безопасности серии PIX 500. Для того чтобы загрузить программное обеспечение брандмауэра PIX, посетите Центр программного обеспечения (только для зарегистрированных пользователей). Для получения доступа к программному обеспечению PIX необходимо зарегистрироваться и обладать действительным контрактом на обслуживание.


Содержание


Введение

В этом документе объясняется процедура обновления программного обеспечения устройства PIX с версии 6.2 или 6.3 до версии 7.x. В нем также рассказывается об установке адаптивного менеджера устройств безопасности (ASDM) версии 5.0.

Предварительные условия

Требования

До начала процедуры обновления выполните следующие действия.

  • Сохраните текущую конфигурацию PIX в текстовом файле или на TFTP-сервере с помощью команд show running-config или write net.

  • Используйте команду show version для отображения серийного номера и ключа активации. Сохраните полученные данные в текстовый файл. При необходимости возврата к более ранней версии программы может потребоваться оригинальный код активации. См. дополнительные сведения о ключах активации в разделе Часто задаваемые вопросы по работе брандмауэра PIX.

  • Убедитесь, что в текущей конфигурации не используются команды conduit или outbound. Эти команды не поддерживаются в версии 7.x, поэтому они удаляются во время процедуры обновления. Используйте утилиту Output Interpreter (только для зарегистрированных пользователей) для перевода этих команд в список доступа до начала обновления.

  • Убедитесь, что PIX не является оконечным устройством для соединений по протоколу PPTP. В настоящее время версии PIX 7.1 и выше не поддерживают функцию оконечных устройств для соединений по протоколу PPTP.

  • При использовании восстановления после отказа убедитесь, что интерфейс локальной сети или интерфейс контроля состояния не использует интерфейс, который одновременно используется для передачи данных. Например, при использовании внутреннего интерфейса для передачи трафика данных, а также для передачи интерфейса восстановления после отказа (внутренней обработки отказа) необходимо до начала обновления переместить интерфейс восстановления после отказа в другой интерфейс. Невыполнение этого требования приводит к удалению всех конфигураций, связанных с внутренним интерфейсом. Кроме того, после обновления трафик данных не будет проходить через этот интерфейс.

  • До начала обновления убедитесь, что на PIX используется версия ПО 6.2 или 6.3.

  • Ознакомьтесь с информацией по версии, до которой планируется провести обновление, и узнайте обо всех новых, измененных и удаленных командах.

  • См. сведения обо всех других изменениях команд в версии 7.x по сравнению с версией 6.x в Руководстве по обновлению.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Устройства безопасности PIX 515, 515E, 525 и 535

  • Программное обеспечение PIX, версии 6.3(4), 7.0(1)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Минимальные системные требования

Cisco рекомендует, чтобы до обновления до версии 7.x на PIX использовалась версия 6.2 или более поздняя версия. Это гарантирует правильное преобразование текущей конфигурации. Кроме того, необходимо выполнить следующие аппаратные требования для минимального объема ОЗУ и флэш-памяти:

Модель PIX Требования к ОЗУ Требования к флэш-памяти
  Ограниченная (R) Неограниченная (UR) / Только при восстановлении после отказа (FO)  
PIX-515 64 Мбайта 128 Мбайт 16 Мбайт
PIX-515 E 64 Мбайта 128 Мбайт 16 Мбайт
PIX 525 128 Мбайт 256 Мбайт 16 Мбайт
PIX 535 512 Мбайт 1 Гбайт 16 Мбайт

* Для всех устройств PIX-515 и PIX-515E требуется дополнительная память.

Для определения объема ОЗУ и флэш-памяти, установленной в настоящее время в PIX, используйте команду show version. Флэш-память обновлять не требуется, поскольку во всех устройства PIX, перечисленных в таблице, по умолчанию установлено 16 МБ.

Примечание: Только Устройства безопасности PIX в этой таблице поддерживаются в версии 7. x . Более старые устройства безопасности PIX, такие как PIX-520, 510, 10000 и Classic, сняты с производства и не поддерживают версию 7.0 и более поздние версии. Чтобы использовать программное обеспечение версии 7.x и выше при наличии одного из этих устройств, обратитесь в группу поддержки клиентов или К ОФИЦИАЛЬНОМУ дилеру Cisco в вашем регионе и приобретите более современное устройство безопасности. Кроме того, брандмауэры PIX не могут использовать первый выпуск ПО версии 7.0, если используется менее 64 МБ ОЗУ (PIX-501, PIX-506 и PIX-506E).

Сведения по обновлению памяти для устройств PIX 515/515E

Наращивание памяти необходимо только для устройств PIX-515 и PIX-515E. См. номера деталей, необходимых для наращивания памяти этих устройств, в следующей таблице.

Примечание: Номер изделия зависит от лицензии, установленной на PIX.

Текущая конфигурация устройства Предложение по обновлению
Лицензия платформы Общий объем памяти (до обновления) Шифр изделия Общий объем памяти (после обновления)
Ограниченная (R) 32 Мбайта PIX-515-MEM-32 = 64 Мбайта
Неограниченная (UR) 32 Мбайта PIX-515-MEM-128 = 128 Мбайт
Только при восстановления после отказа (FO) 64 Мбайта PIX-515-MEM-128 = 128 Мбайт

См. дополнительные сведения в документе Информационный листок по обновлению памяти для устройства безопасности Cisco PIX 515/515E при использовании программного обеспечения PIX v7.0.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Обновление устройства безопасности PIX

Загрузка программ

Для загрузки программного обеспечения PIX 7.x посетите Центр программного обеспечения Cisco (только для зарегистрированных пользователей). На веб-узле Cisco.com программное обеспечения для TFTP-серверов теперь не доступно. Однако можно найти много программ для TFTP-серверов, введя "tftp server" в строку поиска любой поисковой системы в Интернете. Компания Cisco не дает специальных рекомендаций по использованию какого-либо конкретного сервера TFTP. См. дополнительные сведения на странице, посвященной TFTP-серверам (только для зарегистрированных пользователей).

Процедура обновления

Помните, что обновление устройства безопасности PIX Security Appliance до версии 7.x несет с собой серьезные изменения. Меняются многие интерфейсы командной строки CLI и, следовательно, после обновления конфигурация будет сильно отличаться от прежней. Выполняйте обновление только во время окна в обслуживании, поскольку во время процесса обновления оборудование будет некоторое время простаивать. При необходимости вернуться обратно к образу 6.x выполните процедуры Понижение версии. При невыполнении этих рекомендаций PIX будет постоянно перезагружаться. Чтобы продолжить, найдите модель используемого устройства PIX в таблице и выберите гиперссылку, по которой можно ознакомиться с инструкциями по его обновлению.

Модель PIX Метод обновления
PIX-515 Монитор
PIX-515 E copy tftp flash
PIX 525 copy tftp flash
PIX-535 (без установленного PDM) copy tftp flash
PIX-535 (с установленным PDM) Монитор

Обновление устройства безопасности PIX в режиме монитора

Переход к режиму монитора

Выполните следующие действия для перевода PIX в режим монитора.

  1. Подсоедините консольный кабель к порту консоли на PIX, используя следующие параметры связи:

    • 9600 бит в секунду

    • 8 бит данных

    • без контроля четности

    • 1 стоповый бит

    • no flow control

  2. Энергетический цикл или перезагрузка PIX. Во время загрузки предлагается нажать клавишу BREAK или ESC, чтобы прервать загрузку из флэш-памяти. Для прерывания стандартного процесса загрузки дается десять секунд.

  3. Для перехода в режим монитора нажмите клавишу ESC или отправьте символ BREAK.

    • При использовании гипертерминала Windows для пересылки символа прерывания можно нажать клавишу ESC или комбинацию клавиш Ctrl+Break.

    • При использовании терминального сервера для доступа к порту консоли PIX через Telnet необходимо нажать Ctrl+] (Сtrl + правая квадратная скобка) для вызова командной строки Telnet. Затем введите команду send break.

  4. Отобразится строка monitor>.

  5. Перейдите к разделу Обновление PIX в режиме монитора.

Обновление PIX в режиме монитора

Для обновления PIX в режиме монитора выполните следующие действия.

Примечание: Платы Fast Ethernet в 64-разрядных слотах не видимы в режиме отслеживания. Эта проблема означает, что TFTP server не может находиться на одном из этих интерфейсов. Пользователь должен использовать команду флэш-памяти tftp copy tftp для загрузки графического файла Межсетевого экрана PIX через TFTP.

  1. Скопируйте двоичный образ устройства PIX (например, pix701.bin) в корневой каталог TFTP-сервера.

  2. Перейдите в режим монитора на PIX. См. инструкции по переходу к режиму монитора в этом документе.

    Примечание: Один раз в Режиме отслеживания, можно ли использовать"?" ключ для наблюдения списка доступных параметров.

  3. Введите номер интерфейса, к которому подключен TFTP-сервер, или интерфейса, который находится ближе всего к TFTP-серверу. Интерфейс по умолчанию – 1 (внутренний).

    monitor>interface <num>
    

    Примечание: В Режиме отслеживания интерфейс, всегда автоматический, выполняет согласование о скорости и дуплексном режиме. Невозможно явно запрограммировать настройки интерфейса. Следовательно, если интерфейс PIX подключен к разъему, для которого скорость/дуплекс запрограммированы явно, следует перенастроить его на автоматическое согласование во время работы в режиме монитора. Кроме того, следует помнить, что в режиме монитора устройство PIX не может инициализировать интерфейс Gigabit Ethernet. Вместо него следует использовать интерфейс Fast Ethernet.

  4. Введите IP-адрес интерфейса, определенного на шаге 3.

    monitor>address <PIX_ip_address>
    
  5. Введите IP-адрес сервера TFTP.

    monitor>server <tftp_server_ip_address>
    
  6. (Дополнительно) Введите IP-адрес шлюза. Адрес шлюза необходим, если интерфейс PIX и сервер TFTP расположены в разных сетях.

    monitor>gateway <gateway_ip_address>
    
  7. Введите имя файла на сервере TFTP для загрузки. Это имя файла, содержащего бинарный образ PIX.

    monitor>file <filename>
    
  8. Проверьте соединение между PIX и TFTP при помощи команды ping, чтобы убедиться в наличии IP-подключения.

    Если подсоединение не устанавливается, повторно проверьте кабели, IP-адреса интерфейса PIX и сервера TFTP, а также IP-адрес шлюза (при необходимости). Для продолжения процедуры необходимо успешно выполнить команду ping.

    monitor>ping <tftp_server_ip_address>
    
  9. Для начала загрузки с TFTP введите tftp.

    monitor>tftp
    
  10. PIX загружает образ в ОЗУ и автоматически его запускает.

    Во время процесса загрузки файловая система перенастраивается в соответствии с текущей конфигурацией. Однако процесс еще не завершен. Обратите внимание на предупреждение, отображаемое после завершение загрузки, и перейдите к шагу 11:

    ******************************************************************
      **                                                                    **
      **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
      **                                                                    **
      **          ----> Current image running from RAM only! <----          **
      **                                                                    **
      **  When the PIX was upgraded in Monitor mode the boot image was not  **
      **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
      **  save a bootable image to Flash.  Failure to do so will result in  **
      **  a boot loop the next time the PIX is reloaded.                    **
      **                                                                    **
      ************************************************************************
  11. После загрузки перейдите в режим включения и повторно скопируйте тот же самый образ на PIX. Теперь используйте команду copy tftp flash.

    После этого образ сохранен в файловой системе флэш-памяти. Невыполнение этого шага приведет к зависанию и повторной перезагрузке при следующей загрузке PIX.

    pixfirewall>enable
    pixfirewall#copy tftp flash
    

    Примечание: Для подробных инструкций о том, как скопировать образ с использованием команды флэш-памяти tftp copy tftp, посмотрите Обновление, Устройство безопасности PIX с tftp copy tftp высвечивает Раздел команд.

  12. Когда образ скопирован с использованием команды copy tftp flash, процедура обновления завершена.

Пример конфигурации – обновление устройства безопасности PIX в режиме монитора

monitor>interface 1 
0: i8255X @ PCI(bus:0 dev:13 irq:10)
1: i8255X @ PCI(bus:0 dev:14 irq:7 )
2: i8255X @ PCI(bus:1 dev:0  irq:11)
3: i8255X @ PCI(bus:1 dev:1  irq:11)
4: i8255X @ PCI(bus:1 dev:2  irq:11)
5: i8255X @ PCI(bus:1 dev:3  irq:11)

Using 1: i82559 @ PCI(bus:0 dev:14 irq:7 ), MAC: 0050.54ff.4d81
monitor>address 10.1.1.2 
address 10.1.1.2 
monitor>server 172.18.173.123 
server 172.18.173.123 
monitor>gateway 10.1.1.1
gateway 10.1.1.1
monitor>file pix701.bin 
file pix701.bin 
monitor>ping 172.18.173.123 
Sending 5, 100-byte 0xa014 ICMP Echoes to 172.18.173.123, timeout is 4 seconds: 
!!!!! 
Success rate is 100 percent (5/5) 
monitor>tftp 
tftp pix701.bin@172.18.173.123.......................................... 
Received 5124096 bytes 

Cisco PIX Security Appliance admin loader (3.0) #0: Mon Mar  7 17:39:03 PST 2005
#######################################################################
128MB RAM

Total NICs found: 6
mcwa i82559 Ethernet at irq 10  MAC: 0050.54ff.4d80
mcwa i82559 Ethernet at irq  7  MAC: 0050.54ff.4d81
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2014
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2015
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2016
mcwa i82558 Ethernet at irq 11  MAC: 00e0.b600.2017
BIOS Flash=AT29C257 @ 0xfffd8000
Old file system detected. Attempting to save data in flash
 

!--- This output indicates that the Flash file
!--- system is formatted. The messages are normal.

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-10627)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-14252)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-15586)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (5589)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (4680)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (-21657)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-28397)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (2198)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-26577)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (30139)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (-17027)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (-2608)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (18180)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (0)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (29271)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (0)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 61...block number was (0)
flashfs[7]: erasing block 61...done.
flashfs[7]: inconsistent sector list, fileid 9, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 10, parent_fileid 0
flashfs[7]: 9 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 15998976
flashfs[7]: Bytes used: 10240
flashfs[7]: Bytes available: 15988736
flashfs[7]: flashfs fsck took 58 seconds.
flashfs[7]: Initialization complete.

Saving the datafile
!
Saving a copy of old datafile for downgrade
!
Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
The version of image file in flash is not bootable in the current version of
software.
Use the downgrade command first to boot older version of software.
The file is being saved as image_old.bin anyway.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]
Erasing sector 64...[OK]
Burning sector 64...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6         
Maximum VLANs               : 25        
Inside Hosts                : Unlimited 
Failover                    : Active/Active
VPN-DES                     : Enabled   
VPN-3DES-AES                : Enabled   
Cut-through Proxy           : Enabled   
Guards                      : Enabled   
URL Filtering               : Enabled   
Security Contexts           : 2         
GTP/GPRS                    : Disabled  
VPN Peers                   : Unlimited 

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC+ (Crypto5823 revision 0x1)
  --------------------------------------------------------------------------
                                 .            .                             
                                 |            |                             
                                |||          |||                            
                              .|| ||.      .|| ||.                          
                           .:||| | |||:..:||| | |||:.                       
                            C i s c o  S y s t e m s                        
  --------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1) 

  ****************************** Warning *******************************
  This product contains cryptographic features and is
  subject to United States and local country laws
  governing, import, export, transfer, and use.
  Delivery of Cisco cryptographic products does not
  imply third-party authority to import, export,
  distribute, or use encryption. Importers, exporters,
  distributors and users are responsible for compliance
  with U.S. and local country laws. By using this
  product you agree to comply with applicable laws and
  regulations. If you are unable to comply with U.S.
  and local laws, return the enclosed items immediately.

  A summary of U.S. laws governing Cisco cryptographic
  products may be found at:
  http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

  If you require further assistance please contact us by
  sending email to export@cisco.com.
  ******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

                Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706


!--- These messages are printed for any deprecated commands.

.ERROR: This command is no longer needed. The LOCAL user database is always enabled.
 *** Output from config line 71, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
 *** Output from config line 76, "floodguard enable"

Cryptochecksum(unchanged): 8c224e32 c17352ad 6f2586c4 6ed92303 

!--- All current fixups are converted to the 
!--- new Modular Policy Framework.

INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol ils 389' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
  ************************************************************************
  **                                                                    **
  **   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***  **
  **                                                                    **
  **          ----> Current image running from RAM only! <----          **
  **                                                                    **
  **  When the PIX was upgraded in Monitor mode the boot image was not  **
  **  written to Flash.  Please issue "copy tftp: flash:" to load and   **
  **  save a bootable image to Flash.  Failure to do so will result in  **
  **  a boot loop the next time the PIX is reloaded.                    **
  **                                                                    **
  ************************************************************************
Type help or '?' for a list of available commands.
pixfirewall>
pixfirewall>enable
Password:
<password>

pixfirewall# 
pixfirewall#copy tftp flash

Address or name of remote host []? 172.18.173.123

Source filename []? pix701.bin

Destination filename [pix701.bin]? 
<enter>


Accessing tftp://172.18.173.123/pix701.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file flash:/pix701.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
5124096 bytes copied in 139.790 secs (36864 bytes/sec)
pixfirewall# 

Обновление устройства безопасности PIX с использованием команды copy tftp flash

Выполните следующие шаги для обновления PIX с использованием команды copy tftp flash.

  1. Скопируйте двоичный образ устройства PIX (например, pix701.bin) в корневой каталог TFTP-сервера.

  2. В командной строке режима включения выполните команду copy tftp flash.

    pixfirewall>enable
    Password:
    <password>
    
    pixfirewall#copy tftp flash
    
  3. Введите IP-адрес сервера TFTP.

    Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
    
  4. Введите имя файла на сервере TFTP для загрузки. Это имя файла, содержащего бинарный образ PIX.

    Source file name [cdisk]?
    <filename>
    
    
  5. При получении запроса на начало копирования с TFTP введите yes.

    copying tftp://172.18.173.123/pix701.bin to flash:image
    [yes|no|again]?yes
    
  6. Теперь образ скопирован с сервера TFTP во флэш-память.

    Отображается следующее сообщение об успешном завершении перемещения, старый бинарный образ удаляется из флэш-памяти, а новый образ записывается и устанавливается.

    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Received 5124096 bytes
    Erasing current image
    Writing 5066808 bytes of image
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Image installed
    pixfirewall#
  7. Перезагрузите устройство PIX, чтобы загрузить новый образ.

    pixfirewall#reload
    Proceed with reload? [confirm] 
    <enter>
    
    
    
    Rebooting....
  8. Теперь PIX загружает новый образ версии 7.0, после чего процесс обновления завершен.

Пример конфигурации – обновление устройства PIX с использованием команды copy tftp flash

pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Writing 5066808 bytes of image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed
pixfirewall# 
pixfirewall#reload
Proceed with reload? [confirm] 
<enter>




Rebooting..�

CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
128 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class�Irq
00�00�00�8086�7192�Host Bridge�
00�07�00�8086�7110�ISA Bridge�
00�07�01�8086�7111�IDE Controller�
00�07�02�8086�7112�Serial Bus�9
00�07�03�8086�7113�PCI Bridge�
00�0D�00�8086�1209�Ethernet�11
00�0E�00�8086�1209�Ethernet�10
00�13�00�11D4�2F44�Unknown Device�5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash.�
######################################################################
######################################################################
128MB RAM

Total NICs found: 2
mcwa i82559 Ethernet at irq 11�MAC: 0009.4360.ed44
mcwa i82559 Ethernet at irq 10�MAC: 0009.4360.ed43
BIOS Flash=am29f400b @ 0xd8000
Old file system detected. Attempting to save data in flash


!--- This output indicates that the Flash file
!--- system is formatted. The messages are normal.

Initializing flashfs...
flashfs[7]: Checking block 0...block number was (-27642)
flashfs[7]: erasing block 0...done.
flashfs[7]: Checking block 1...block number was (-30053)
flashfs[7]: erasing block 1...done.
flashfs[7]: Checking block 2...block number was (-1220)
flashfs[7]: erasing block 2...done.
flashfs[7]: Checking block 3...block number was (-22934)
flashfs[7]: erasing block 3...done.
flashfs[7]: Checking block 4...block number was (2502)
flashfs[7]: erasing block 4...done.
flashfs[7]: Checking block 5...block number was (29877)
flashfs[7]: erasing block 5...done.
flashfs[7]: Checking block 6...block number was (-13768)
flashfs[7]: erasing block 6...done.
flashfs[7]: Checking block 7...block number was (9350)
flashfs[7]: erasing block 7...done.
flashfs[7]: Checking block 8...block number was (-18268)
flashfs[7]: erasing block 8...done.
flashfs[7]: Checking block 9...block number was (7921)
flashfs[7]: erasing block 9...done.
flashfs[7]: Checking block 10...block number was (22821)
flashfs[7]: erasing block 10...done.
flashfs[7]: Checking block 11...block number was (7787)
flashfs[7]: erasing block 11...done.
flashfs[7]: Checking block 12...block number was (15515)
flashfs[7]: erasing block 12...done.
flashfs[7]: Checking block 13...block number was (20019)
flashfs[7]: erasing block 13...done.
flashfs[7]: Checking block 14...block number was (-25094)
flashfs[7]: erasing block 14...done.
flashfs[7]: Checking block 15...block number was (-7515)
flashfs[7]: erasing block 15...done.
flashfs[7]: Checking block 16...block number was (-10699)
flashfs[7]: erasing block 16...done.
flashfs[7]: Checking block 17...block number was (6652)
flashfs[7]: erasing block 17...done.
flashfs[7]: Checking block 18...block number was (-23640)
flashfs[7]: erasing block 18...done.
flashfs[7]: Checking block 19...block number was (23698)
flashfs[7]: erasing block 19...done.
flashfs[7]: Checking block 20...block number was (-28882)
flashfs[7]: erasing block 20...done.
flashfs[7]: Checking block 21...block number was (2533)
flashfs[7]: erasing block 21...done.
flashfs[7]: Checking block 22...block number was (-966)
flashfs[7]: erasing block 22...done.
flashfs[7]: Checking block 23...block number was (-22888)
flashfs[7]: erasing block 23...done.
flashfs[7]: Checking block 24...block number was (-9762)
flashfs[7]: erasing block 24...done.
flashfs[7]: Checking block 25...block number was (9747)
flashfs[7]: erasing block 25...done.
flashfs[7]: Checking block 26...block number was (-22855)
flashfs[7]: erasing block 26...done.
flashfs[7]: Checking block 27...block number was (-32551)
flashfs[7]: erasing block 27...done.
flashfs[7]: Checking block 28...block number was (-13355)
flashfs[7]: erasing block 28...done.
flashfs[7]: Checking block 29...block number was (-29894)
flashfs[7]: erasing block 29...done.
flashfs[7]: Checking block 30...block number was (-18595)
flashfs[7]: erasing block 30...done.
flashfs[7]: Checking block 31...block number was (22095)
flashfs[7]: erasing block 31...done.
flashfs[7]: Checking block 32...block number was (1486)
flashfs[7]: erasing block 32...done.
flashfs[7]: Checking block 33...block number was (13559)
flashfs[7]: erasing block 33...done.
flashfs[7]: Checking block 34...block number was (24215)
flashfs[7]: erasing block 34...done.
flashfs[7]: Checking block 35...block number was (21670)
flashfs[7]: erasing block 35...done.
flashfs[7]: Checking block 36...block number was (-24316)
flashfs[7]: erasing block 36...done.
flashfs[7]: Checking block 37...block number was (29271)
flashfs[7]: erasing block 37...done.
flashfs[7]: Checking block 125...block number was (0)
flashfs[7]: erasing block 125...done.
flashfs[7]: inconsistent sector list, fileid 7, parent_fileid 0
flashfs[7]: inconsistent sector list, fileid 12, parent_fileid 0
flashfs[7]: 5 files, 3 directories
flashfs[7]: 0 orphaned files, 0 orphaned directories
flashfs[7]: Total bytes: 16128000
flashfs[7]: Bytes used: 5128192
flashfs[7]: Bytes available: 10999808
flashfs[7]: flashfs fsck took 59 seconds.
flashfs[7]: Initialization complete.

Saving the configuration
!
Saving a copy of old configuration as downgrade.cfg
!
Saved the activation key from the flash image
Saved the default firewall mode (single) to flash
Saving image file as image.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Upgrade process complete
Need to burn loader....
Erasing sector 0...[OK]
Burning sector 0...[OK]

Licensed features for this platform:
Maximum Physical Interfaces : 6�
Maximum VLANs�: 25�
Inside Hosts�: Unlimited 
Failover�: Active/Active
VPN-DES�: Enabled�
VPN-3DES-AES�: Enabled�
Cut-through Proxy�: Enabled�
Guards�: Enabled�
URL Filtering�: Enabled�
Security Contexts�: 2�
GTP/GPRS�: Disabled�
VPN Peers�: Unlimited 

This platform has an Unrestricted (UR) license.

Encryption hardware device : VAC (IRE2141 with 2048KB, HW:1.0, CGXROM:1.9, FW:6.5)
--------------------------------------------------------------------------
.�.�
|�|�
|||�|||�
.|| ||.�.|| ||.�
.:||| | |||:..:||| | |||:.�
C i s c o�S y s t e m s�
--------------------------------------------------------------------------

Cisco PIX Security Appliance Software Version 7.0(1) 

****************************** Warning *******************************
This product contains cryptographic features and is
subject to United States and local country laws
governing, import, export, transfer, and use.
Delivery of Cisco cryptographic products does not
imply third-party authority to import, export,
distribute, or use encryption. Importers, exporters,
distributors and users are responsible for compliance
with U.S. and local country laws. By using this
product you agree to comply with applicable laws and
regulations. If you are unable to comply with U.S.
and local laws, return the enclosed items immediately.

A summary of U.S. laws governing Cisco cryptographic
products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by
sending email to export@cisco.com.
******************************* Warning *******************************

Copyright (c) 1996-2005 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706

!--- These messages are printed for any deprecated commands.

ERROR: This command is no longer needed. The LOCAL user database is always enabled.
*** Output from config line 50, "aaa-server LOCAL protoco..."
ERROR: This command is no longer needed. The 'floodguard' feature is always enabled.
*** Output from config line 55, "floodguard enable"

Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 

!--- All current fixups are converted to the new Modular Policy Framework.

INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol http 80' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
pixfirewall>

Примечание: С неограниченной лицензией PIX 515 E может иметь до восьми VLAN, и PIX 535 может иметь до двадцати пяти VLAN.

Понижение версии PIX с 7.x до 6.x

В устройствах безопасности PIX версии 7.0 и выше используется формат файлов, отличный от формата, использовавшегося в предыдущих версиях PIX. Поэтому невозможно понизить образ 7.0 до образа 6.x, используя команду copy tftp flash. Вместо нее следует использовать команду downgrade. Невыполнение этого требования приведет к повторяющейся перезагрузке PIX.

При обновлении версии PIX загрузочная конфигурация 6.x была сохранена во флэш-памяти в файле downgrade.cfg. При выполнении процедуры понижения версии эта конфигурация восстанавливается на устройстве после завершения процедуры. Эту конфигурацию можно посмотреть до понижения версии, если ввести команду more flash:downgrade.cfg в командной строке enable> в версии 7.0. Кроме того, если обновление PIX выполнялось в режиме монитора, то предыдущий бинарный образ 6.x все еще хранится во флэш-памяти в файле image_old.bin. Можно проверить, существует ли еще этот образ, введя команду show flash: команда. Если этот образ существует во флэш-памяти, его можно использовать на шаге 1 данной процедуры, а не загружать образ с сервера TFTP.

Выполните следующие шаги для понижения версии устройства безопасности PIX.

  1. Введите команду downgrade и укажите место расположения образа, до которого следует понижать версию.

    pixfirewall#downgrade tftp://<tftp_server_ip_address>/<filename>
    

    Примечание: Если вы обновили PIX от Режима отслеживания, то старый двухуровневый образ все еще сохранен во Флэше. Введите следующую команду для понижения версии до этого образа:

    pixfirewall#downgrade flash:/image_old.bin
    
  2. Отображается предупреждение о том, что сейчас будет отформатирована флэш-память. Для продолжения нажмите enter.

    This command will reformat the flash and automatically reboot the system.
    Do you wish to continue? [confirm]  
    <enter>
    
    
  3. Теперь образ скопирован в ОЗУ, после чего в ОЗУ копируется загрузочная конфигурация.

    Buffering image
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    
    Buffering startup config
    
    All items have been buffered successfully
  4. Отображается второе сообщение о том, что начинается форматирование флэш-памяти. НЕ прерывайте этот процесс. Это может привести к повреждению флэш-памяти. Для начала форматирования нажмите enter.

    If the flash reformat is interrupted or fails, 
    data in flash will be lost
    and the system might drop to monitor mode.
    Do you wish to continue? [confirm] 
    <enter>
    
    
  5. После этого выполняется форматирование флэш-памяти, устанавливается старый образ, и PIX перезагружается.

    Acquiring exclusive access to flash
    Installing the correct file system for the image and 
    saving the buffered data
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Flash downgrade succeeded
    
    
    Rebooting....
  6. Теперь PIX перезагружается и восстанавливает рабочее состояние. На этом процесс понижения версии завершается.

Пример конфигурации – понижение версии PIX с 7.x до 6.x

pixfirewall#downgrade tftp://172.18.108.26/pix634.bin
This command will reformat the flash and automatically reboot the system.
Do you wish to continue? [confirm] 
<enter>

Buffering image
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Buffering startup config

All items have been buffered successfully.
If the flash reformat is interrupted or fails, data in flash will be lost
and the system might drop to monitor mode.
Do you wish to continue? [confirm] 
Acquiring exclusive access to flash
Installing the correct file system for the image and saving the buffered data
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Flash downgrade succeeded



Rebooting....


CISCO SYSTEMS PIX FIREWALL
Embedded BIOS Version 4.3.207 01/02/02 16:12:22.73
Compiled by morlee
128 MB RAM

PCI Device Table.
Bus Dev Func VendID DevID Class�Irq
00�00�00�8086�7192�Host Bridge�
00�07�00�8086�7110�ISA Bridge�
00�07�01�8086�7111�IDE Controller�
00�07�02�8086�7112�Serial Bus�9
00�07�03�8086�7113�PCI Bridge�
00�0D�00�8086�1209�Ethernet�11
00�0E�00�8086�1209�Ethernet�10
00�13�00�11D4�2F44�Unknown Device�5

Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001
Platform PIX-515E
System Flash=E28F128J3 @ 0xfff00000

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 1962496 bytes of image from flash.�
#################################################################################
##############################
128MB RAM
mcwa i82559 Ethernet at irq 11�MAC: 0009.4360.ed44
mcwa i82559 Ethernet at irq 10�MAC: 0009.4360.ed43
System Flash=E28F128J3 @ 0xfff00000
BIOS Flash=am29f400b @ 0xd8000
IRE2141 with 2048KB

-----------------------------------------------------------------------
||�||
||�||
||||�||||
..:||||||:..:||||||:..
c i s c o S y s t e m s 
Private Internet eXchange
-----------------------------------------------------------------------
Cisco PIX Firewall

Cisco PIX Firewall Version 6.3(4)
Licensed Features:
Failover:�Enabled
VPN-DES:�Enabled
VPN-3DES-AES:�Enabled
Maximum Physical Interfaces: 6
Maximum Interfaces:�10
Cut-through Proxy:�Enabled
Guards:�Enabled
URL-filtering:�Enabled
Inside Hosts:�Unlimited
Throughput:�Unlimited
IKE peers:�Unlimited

This PIX has an Unrestricted (UR) license.


****************************** Warning *******************************
Compliance with U.S. Export Laws and Regulations - Encryption.

This product performs encryption and is regulated for export
by the U.S. Government.

This product is not authorized for use by persons located
outside the United States and Canada that do not have prior
approval from Cisco Systems, Inc. or the U.S. Government.

This product may not be exported outside the U.S. and Canada
either by physical or electronic means without PRIOR approval
of Cisco Systems, Inc. or the U.S. Government.

Persons outside the U.S. and Canada may not re-export, resell
or transfer this product by either physical or electronic means
without prior approval of Cisco Systems, Inc. or the U.S.
Government.
******************************* Warning *******************************

Copyright (c) 1996-2003 by Cisco Systems, Inc.

Restricted Rights Legend

Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer
Software clause at DFARS sec. 252.227-7013.

Cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706


Cryptochecksum(unchanged): 9fa48219 950977b6 dbf6bea9 4dc97255 
Type help or '?' for a list of available commands.
pixfirewall>

Обновление устройств PIX из набора для восстановления после отказа

Обновление устройства PIX с версии 6.x до версии 7.x требует больших затрат времени. При его выполнении оборудование простаивает, даже если устройства PIX находятся в наборе устройств, используемых для восстановления после отказа. Многие команды обслуживания отказа изменяются после обновления. При выполнении обновления рекомендуется выключить одно из устройств PIX из набора устройств, используемых для восстановления после отказа. После этого следуйте инструкциям в данном документе для обновления включенного устройства PIX. По завершении обновления убедитесь, что через него проходит трафик, после чего перезагрузите PIX, чтобы убедиться, что он загружается без сбоев. Убедившись, что все работает в нормальном режиме, отключите PIX, который уже был обновлен, и включите другой PIX. После этого следуйте инструкциям в данном документе для обновления этого PIX. По завершении обновления убедитесь, что трафик проходит. Аналогичным образом один раз перезагрузите PIX и убедитесь, что он загружается без сбоев. Убедившись, что все работает в нормальном режиме, включите первый PIX. Теперь оба устройства PIX обновлены до версии 7.x и включены. Используйте команду show failover, чтобы убедиться, что они устанавливают необходимые для обработки отказа соединения надлежащим образом.

Примечание: PIX теперь принуждает ограничение, что любой интерфейс, который передает трафик данных, не может также использоваться в качестве интерфейса аварийного переключения LAN или интерфейса Перехвата управления при отказе с синхронизацией состояния. Если в существующей конфигурации PIX используется один и тот же интерфейс не только для передачи данных, но и для передачи сведений для восстановления после отказа локальной сети и данные контроля состояния, то при обновлении через этот интерфейс поток данных больше не направляется. Все команды, связанные с этим интерфейсом, также перестают выполняться.

Установка диспетчера многофункциональных устройств защиты Adaptive Security Device Manager (ASDM)

До установки ASDM Cisco рекомендует прочитать комментарии к выпуску для того выпуска, который планируется установить. В комментарии к выпуску перечисляются минимально поддерживаемые браузеры и версии Java, а также список новых поддерживаемых функций и неустраненных проблем.

Процесс установки ASDM в версии 7.0 слегка отличается от его установки в предыдущих версиях. Кроме того, после копирования образа ASDM во флэш-память необходимо указать его в конфигурации, чтобы устройство PIX могло его использовать. Выполните следующие шаги для установки образа ASDM во флэш-память.

  1. Загрузите образ ASDM (только зарегистрированные клиенты) от Cisco.com и разместите его в корневой каталог TFTP server.

  2. Проверьте, установлено ли IP-соединение между TFTP-сервером и PIX. Для этого подсоединитесь к TFTP с PIX с использованием команды ping.

  3. В командной строке режима включения выполните команду copy tftp flash.

    pixfirewall>enable
    Password: 
    <password>
    
    pixfirewall#copy tftp flash
    
  4. Введите IP-адрес сервера TFTP.

    Address or name of remote host [0.0.0.0]? <tftp_server_ip_address>
    
  5. Введите имя файла ASDM на сервере TFTP для загрузки.

    Source file name [cdisk]? <filename>
    
  6. Введите имя файла ASDM, который следует сохранить во флэш-памяти. Чтобы оставить имя файла без изменения, нажмите enter.

    Destination filename [asdm-501.bin]? <enter>
    
  7. Теперь образ скопирован с сервера TFTP во флэш-память. Отображается следующее сообщение, указывающее, что передача выполнена успешно.

    Accessing tftp://172.18.173.123/asdm-501.bin...
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!
    Writing file flash:/asdm-501.bin...
    !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    !!!!!!!!!!!!!!!!!!!!
    5880016 bytes copied in 140.710 secs (42000 bytes/sec)
  8. Когда образ ASDM скопирован, введите команду asdm image flash: чтобы указать, какой образ ASDM следует использовать.

    pixfirewall(config)#asdm image flash:asdm-501.bin
    
  9. Сохраните конфигурацию во флэш-памяти, выполнив команду write memory.

    pixfirewall(config)#write memory
    
  10. После этого ASDM установлен.

Устранение неполадок

Признак

Разрешение
После обновления PIX с использованием команды copy tftp flash и перезагрузки устройство зависает и постоянно перезагружается:
Cisco Secure PIX Firewall BIOS (4.0) #0: 
Thu Mar  2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 5063168 bytes of image from flash.   
Невозможно выполнять обновление устройства PIX с использованием команды copy tftp flash, если в нем установлена версия BIOS ниже 4.2. Необходимо обновлять его в режиме монитора.
После запуска на PIX версии 7.0 и перезагрузки устройство зависает и постоянно перезагружается:
Rebooting....

Cisco Secure PIX Firewall BIOS (4.0) #0: Thu Mar�2 22:59:20 PST 2000
Platform PIX-515
Flash=i28F640J5 @ 0x300

Use BREAK or ESC to interrupt flash boot.
Use SPACE to begin flash boot immediately.
Reading 115200 bytes of image from flash.�

PIX Flash Load Helper

Initializing flashfs...
flashfs[0]: 10 files, 4 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 15998976
flashfs[0]: Bytes used: 1975808
flashfs[0]: Bytes available: 14023168
flashfs[0]: Initialization complete.

Unable to locate boot image configuration

Booting first image in flash

No bootable image in flash. Please download 
an image from a network server in the monitor mode

Failed to find an image to boot
Если PIX было обновлено в режиме монитора до версии 7.0, но образ 7.0 не был скопирован во флэш-память после первой загрузки версии 7.0, то при перезагрузке устройство PIX зависает и постоянно перезагружается. Для устранения проблемы необходимо повторно загрузить образ в режиме монитора. После его загрузки необходимо еще раз скопировать образ с использованием команды copy tftp flash.
При обновлении с использованием команды copy tftp flash отображается следующее сообщение об ошибке:
pixfirewall#copy tftp flash
Address or name of remote host [0.0.0.0]? 172.18.173.123
Source file name [cdisk]? pix701.bin
copying tftp://172.18.173.123/pix701.bin to flash:image
[yes|no|again]? y
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 5124096 bytes
Erasing current image
Insufficient flash space available for this request:
Size info: request:5066808 current:1966136 delta:3100672 free:2752512
Image not installed
pixfirewall# 
Такое сообщение обычно отображается, когда выполняется обновление устройства PIX-535 или PIX-515 (не E) с использованием команды copy tftp flash, и при этом во флэш-память этого PIX также загружен PDM. Чтобы устранить проблему, необходимо выполнять обновление в режиме монитора.
После обновления PIX с версии 6.x до версии 7.0 не все элементы конфигурации были правильно перенесены. При выполнении команды show startup-config errors выводятся все ошибки, возникающие при переносе конфигурации. Эти ошибки выводятся на экран после первой загрузки PIX. Изучите эти ошибки и попытайтесь их устранить.
На PIX установлена версия 7.x, и при этом устанавливается новая версия. При перезагрузке PIX продолжается загрузка старой версии. При использовании PIX версии 7.x во флэш-памяти можно сохранять несколько образов. Сначала PIX ищет конфигурацию для любых команд boot system flash: команды. Эти команды задают, какой образ должен быть загружен на PIX. Если команды boot system flash: не найдены, PIX загружает из флэш-памяти первый загружаемый образ. Для загрузки другой версии используйте команду boot system flash:/<filename>, чтобы указать требуемый файл.
Образ ASDM загружен во флэш-память, но пользователи не могут загрузить его в свои браузеры. Во-первых, убедитесь, что файл ASDM, загруженный во флэш-память, указан командой asdm image flash://<asdm_file>. Во-вторых, убедитесь, что конфигурация содержит команду http server enable. И, наконец, убедитесь, что главный компьютер, пытающийся загрузить ASDM, разрешен командой http <address> <mask> <interface>.
FTP не работает после обновления. После обновления не подключена проверка FTP. Подключите проверку FTP одним из двух методов, приведенных в разделе Подключение проверки FTP.

Подключение проверки FTP

Можно подключить проверку FTP одним из следующих двух способов:

  • Добавьте FTP к глобальной политике проверки/политике проверки по умолчанию.

    1. Если такой политики не существует, создайте карту класса inspection_default.

      PIX1#configure terminal
      PIX1(config)#class-map inspection_default
      PIX1(config-cmap)#match default-inspection-traffic
      PIX1(config-cmap)#exit
      
    2. Создайте или отредактируйте схему политик global_policy, подключив проверку FTP для класса inspection_default.

      PIX1(config)#policy-map global_policy
      PIX1(config-pmap)#class inspection_default
      PIX1(config-pmap-c)#inspect dns preset_dns_map 
      PIX1(config-pmap-c)#inspect ftp 
      PIX1(config-pmap-c)#inspect h323 h225 
      PIX1(config-pmap-c)#inspect h323 ras 
      PIX1(config-pmap-c)#inspect rsh 
      PIX1(config-pmap-c)#inspect rtsp 
      PIX1(config-pmap-c)#inspect esmtp 
      PIX1(config-pmap-c)#inspect sqlnet 
      PIX1(config-pmap-c)#inspect skinny 
      PIX1(config-pmap-c)#inspect sunrpc 
      PIX1(config-pmap-c)#inspect xdmcp 
      PIX1(config-pmap-c)#inspect sip 
      PIX1(config-pmap-c)#inspect netbios 
      PIX1(config-pmap-c)#inspect tftp 
      
    3. Подключите global_policy глобально.

      PIX1(config)#service-policy global_policy global
      
  • Подключите FTP, создав отдельную политику проверки.

    PIX1#configure terminal
    PIX1(config)#class-map ftp-traffic
    
    !--- Matches the FTP data traffic.
    
    PIX1(config-cmap)#match port tcp eq ftp
    PIX1(config-cmap)#exit
    
    PIX1(config)#policy-map ftp-policy
    PIX1(config-pmap)#class ftp-traffic
    
    
    !--- Inspection for the FTP traffic is enabled.
    
    PIX1(config-pmap-c)#inspect ftp
    PIX1(config-pmap)#exit
    PIX1(config)#exit
    
    
    !--- Applies the FTP inspection globally.
    
    PIX1(config)#service-policy ftp-policy global
    

Получение действительного контракта на обслуживание

Для загрузки программного обеспечения PIX необходимо обладать действительным контрактом на обслуживание. Для получения контракта на обслуживание выполните следующие действия:

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 63879