Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA/PIX: Как использовать CLI для обновления образа программного обеспечения на паре аварийного переключения

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает, как использовать CLI для обновления образа программного обеспечения на паре аварийного переключения многофункциональных устройств защиты Cisco ASA серии 5500.

Примечание: Если вы обновляете (или переход на более ранние версии) программное обеспечение устройства безопасности от 7.0 до 7.2 непосредственно или обновление (или переход на более ранние версии) программное обеспечение ASDM от 5.0 до 5.2 непосредственно, менеджер устройств адаптивной безопасности (ASDM) (ASDM) не работает. Необходимо обновить (или переход на более ранние версии) в инкрементном заказе.

Для получения дополнительной информации о том, как обновить ASDM и образ программного обеспечения на ASA, обратитесь к PIX/ASA: Пример конфигурации обновления образа программного обеспечения с использованием ASDM или CLI

Примечание: В режиме мультиконтекста вы не можете использовать команду флэш-памяти tftp copy tftp, чтобы обновить или понизить образ PIX/ASA во всех контекстах; это поддерживается только в Системном Режиме EXEC.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Устройство адаптивной защиты Cisco (ASA) с версией 7.0 и позже

  • Версия Cisco ASDM 5.0 и позже

Примечание: См. документ Разрешение HTTPS-доступа для ASDM для получения информации о том, как позволить ASA быть настроенным ASDM.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Эта конфигурация может также использоваться с Версией программного обеспечения 7.0 устройства защиты Cisco PIX серии 500 и позже.

Условные обозначения

См. Cisco Technical Tips Conventions для получения информации об условных обозначениях в документации.

!--- конфигурацию

Выполните модернизации с нулевым перидом простоя для пар аварийного переключения

Эти два модуля в конфигурации аварийного переключения должны иметь того же майора (первый номер) и незначительный (второй номер) версия программного обеспечения. Однако вы не должны поддерживать паритет версии на модулях во время процесса обновления; вы можете иметь другие версии на программном обеспечении, работающем на каждом модуле, и все еще поддержать поддержку кластерных систем. Для обеспечения долгосрочной совместимости и устойчивости, Cisco рекомендует обновить оба модуля к той же версии как можно скорее.

Существует 3 типа доступных обновлений. Список функций:

  1. Отладочный релиз — можно обновить от любого отладочного релиза до любого другого отладочного релиза в доработанном релизе. Например, можно обновить от 7.0 (1) к 7.0 (4) без первой установки промежуточных отладочных релизов.

  2. Доработанный релиз — можно обновить от доработанного релиза до следующего доработанного релиза. Вы не можете пропустить доработанный релиз. Например, можно обновить от 7.0 до 7.1. Обновление от 7.0 непосредственно к 7.2 не поддерживается для обновлений нулевого времени простоя; необходимо сначала обновить к 7.1

  3. Основной релиз — можно обновить от последнего доработанного релиза предыдущей версии к следующему основному релизу. Например, можно обновить от 7.9 до 8.0, предположив, что 7.9 последняя младшая версия в 7. выпуск X.

Обновите Активную/Резервную Конфигурацию аварийного переключения

Выполните эти шаги для обновления двух модулей в Активной/Резервной конфигурации аварийного переключения:

  1. Загрузите новое программное обеспечение на оба модуля и задайте новый образ для загрузки с командой загрузки системы.

    См. Обновление Образ программного обеспечения и Образ ASDM с помощью CLI для получения дополнительной информации.

  2. Повторно загрузите резервный модуль для начальной загрузки нового образа путем ввода команды резерва повторной загрузки аварийного переключения в активный модуль как показано ниже:

    active#failover reload-standby
    
  3. Когда резервный модуль закончит перезагружаться и будет в Резервном Состоянии готовности, вынудите активный модуль переключиться при отказе к резервному модулю путем ввода команды no failover active в активный модуль.

    active#no failover active
    

    Примечание: Используйте команду show failover , чтобы проверить, что резервный модуль находится в Резервном Состоянии готовности.

  4. Повторно загрузите прежний активный модуль (теперь новый резервный модуль) путем ввода команды повторной загрузки:

    newstandby#reload
    
  5. Когда новый резервный модуль закончит перезагружаться и будет в Резервном Состоянии готовности, возвратите исходный активный модуль к состоянию Активно путем ввода команды failover active :

    newstandby#failover active
    

Это завершает процесс обновления Активной/Резервной Пары аварийного переключения.

Обновите Конфигурацию "активный-активный"

Выполните эти шаги для обновления двух модулей в Конфигурации "активный-активный":

  1. Загрузите новое программное обеспечение на оба модуля и задайте новый образ для загрузки с командой загрузки системы.

    См. Обновление Образ программного обеспечения и Образ ASDM с помощью CLI для получения дополнительной информации.

  2. Сделайте обе группы аварийного переключения активными на первичном модуле путем ввода команды failover active в системное поле выполнения первичного модуля:

    primary#failover active
    
  3. Повторно загрузите вспомогательный модуль для начальной загрузки нового образа путем ввода команды резерва повторной загрузки аварийного переключения в системное поле выполнения первичного модуля:

    primary#failover reload-standby
    
  4. Когда вспомогательный модуль закончил перезагружаться, и обе группы аварийного переключения находятся в Резервном Состоянии готовности на том модуле, делают обе группы аварийного переключения активными на вспомогательном модуле с помощью команды no failover active в системном поле выполнения первичного модуля:

    primary#no failover active
    

    Примечание: Используйте команду show failover , чтобы проверить, что обе группы аварийного переключения находятся в Резервном Состоянии готовности на вспомогательном модуле.

  5. Удостоверьтесь, что и группы аварийного переключения находятся в Резервном Состоянии готовности на первичном модуле, и затем повторно загружают первичный модуль с помощью команды повторной загрузки:

    primary#reload
    
  6. Если группы аварийного переключения будут настроены с командой preempt , то они автоматически станут активными на своем определяемом модуле после того, как прошла вытеснять задержка. Если группы аварийного переключения не настроены с командой preempt , можно возвратить их к состоянию Активно на их определяемых модулях с помощью аварийного переключения активная команда группы.

Устранение неполадок

%ASA-5-720012: (Вторичный VPN) Отказавший для обновления данных времени выполнения аварийного переключения IPSec на резервном модуле (или) %ASA-6-720012: (модуль VPN), Отказавший для обновления данных времени выполнения аварийного переключения IPsec на резервном модуле

Проблема

Когда вы пытаетесь обновить устройство адаптивной защиты Cisco (ASA), одно из этих сообщений об ошибках появляется:

%ASA-5-720012: (VPN-Secondary) Failed to update IPSec failover runtime data on the standby unit.

%ASA-6-720012: (VPN-unit) Failed to update IPsec failover runtime data on the standby unit.

Решение

Эти сообщения об ошибках являются информативными ошибками. Сообщения не влияют на функциональность ASA или VPN.

Эти сообщения появляются, когда подсистема аварийного переключения VPN не может обновить Связанные с ipsec данные во время выполнения, потому что соответствующий Туннель IPSec был удален на резервном модуле. Для решения их выполните команду wr standby на активном модуле.

Два дефекта были поданы для адресации к этому поведению; можно обновить к версии программного обеспечения ASA, где исправлены эти ошибки. См. идентификаторы ошибок Cisco CSCtj58420 (только зарегистрированные клиенты) и CSCtn56517 (только зарегистрированные клиенты) для получения дополнительной информации.


Дополнительные сведения


Document ID: 111867