Коммутаторы : Устройства защиты Cisco PIX серии 500

Обновление программного обеспечения брандмауэра Cisco Secure PIX и диспетчера устройств PIX

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Машинный перевод (28 июля 2013) | Английский (26 сентября 2008) | Отзыв

Перевод выполнен профессиональным переводчиком

Перевод выполнен профессиональным переводчиком


Примечание: В данном документе содержатся сведения по обновлению программного обеспечения на устройстве безопасности PIX 500 Series. Для того чтобы загрузить программное обеспечение брандмауэра PIX, посетите Центр программного обеспечения (только для зарегистрированных пользователей). Для получения доступа к программному обеспечению брандмауэра PIX необходимо зарегистрироваться и обладать действительным контрактом на обслуживание.


Содержание

Введение
Перед началом работы
      Требования
      Используемые компоненты
      Условные обозначения
      Выбор процедуры обновления
      Загрузка программного обеспечения
Обновление брандмауэра PIX с версии 4.х.х или 5.0.х
      Устройства с дисководом
      Устройства без дисковода (режим монитора)
      Обновление брандмауэра PIX в режиме Boothelper или в режиме монитора
Обновление брандмауэра PIX с версии 5.1.1 или более поздней
      Использование команды copy tftp flash для обновления брандмауэра PIX
      Обновление устройств PIX в конфигурации с восстановлением после отказа с минимальным временем простоя
Восстановление после неудачного обновления
Обновление ключа активации
      Устройства PIX работающие с программой версии 6.1 и более ранними
      Устройства PIX работающие с программой версии 6.2 и 6.3
Обновление диспетчера устройств PIX
Получение действительного контракта на обслуживание
Устранение неполадок
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения

Введение

В данном документе объясняется процедура обновления программного обеспечения брандмауэра PIX и обновление диспетчера устройств PIX (PDM). Данный документ применим ко всем версиям программного обеспечения брандмауэра PIX версий с 4.x по 6.3.x.

Примечание:  В данном документе не рассматривается обновление до версий 7.х. Дополнительные сведения об обновлении для версий 7.х и ASDM см. в документе под названием Процедура обновления программного обеспечения Cisco Secure PIX Security Appliance 7.x и ASDM.

Перед началом работы

Требования

Перед проведением настройки убедитесь, что выполняются следующие условия:

  • Настройка TFTP-сервера

    В большинстве случаев для обновления программного обеспечения PIX Security Appliance необходимо использование TFTP-сервера. Компания Cisco настоятельно рекомендует перед обновлением произвести резервное копирование конфигурации PIX на TFTP-сервер. Для создания резервной копии конфигурации используйте команду write net.

    Пример:

    pixfirewall# write net 10.1.1.10:pixconfig
    

    Компания Cisco больше не предоставляет TFTP-сервер для загрузки, однако, с помощью поисковых систем в Интернете можно найти множество легко используемых аналогичных серверов.

  • Сбор необходимой информации

    Для того чтобы определить, какое программное обеспечение необходимо для обновления PIX Security Appliance, ознакомьтесь с техническими характеристиками устройства. Иногда во время процедуры обновления необходимо иметь в распоряжении ключ активации PIX. Для получения необходимых сведений об устройстве используйте команду show version.

    Пример:

    pixfirewall# show version
    
    Cisco PIX Firewall Version 6.3(4)
    Cisco PIX Device Manager Version 3.0(2)
    
    Compiled on Fri 02-Jul-04 00:07 by morlee
    
    pixfirewall up 29 mins 18 secs
    
    Hardware:   PIX-501, 16 MB RAM, CPU Am5x86 133 MHz
    Flash E28F640J3 @ 0x3000000, 8MB
    BIOS Flash E28F640J3 @ 0xfffd8000, 128KB
    
    0: ethernet0: address is 0015.2b95.f95c, irq 9
    1: ethernet1: address is 0015.2b95.f95e, irq 10
    Licensed Features:
    Failover:                    Disabled
    VPN-DES:                     Enabled
    VPN-3DES-AES:                Enabled
    Maximum Physical Interfaces: 2
    Maximum Interfaces:          2
    Cut-through Proxy:           Enabled
    Guards:                      Enabled
    URL-filtering:               Enabled
    Inside Hosts:                Unlimited
    Throughput:                  Unlimited
    IKE peers:                   10
    
    This PIX has a Restricted (R) license.
    
    Serial Number: 809324870 (0x303d5146)
    Running Activation Key: 0x96cb328a 0x15e9aeaf 0xddb832cf 0xb906199e 
    Configuration last modified by enable_15 at 07:52:05.707 UTC Tue Jul 11 2006

    Кроме того, внимательно прочитайте соответствующие примечания к выпуску для выбранной версии программного обеспечения PIX в Документация Cisco PIX 500 Series Security Appliance.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Программное обеспечение PIX версии 4.4(x) - 2 MБ флэш-память, 16 MБ ОЗУ

  • Программное обеспечение PIX версии 5.0(x) - 2 MБ флэш-память, 32 MБ ОЗУ

  • Программное обеспечение PIX версии 5.1(x) - 2 MБ флэш-память, 32 MБ ОЗУ

  • Программное обеспечение PIX версии 5.2(x) - 8 MБ флэш-память, 32 MБ ОЗУ

  • Программное обеспечение PIX версии 5.3(x) - 8 MБ флэш-память, 32 MБ ОЗУ

  • Программное обеспечение PIX версии 6.0(x) - 8 MБ флэш-память, 32 MБ ОЗУ

  • Программное обеспечение PIX версии 6.1(x) - 8 MБ флэш-память, 32 MБ ОЗУ

  • Программное обеспечение PIX версии 6.2(x) - 8 MБ флэш-память, 32 MБ ОЗУ

  • Программное обеспечение PIX версии 6.3(x) - 32 MБ ОЗУ (кроме Cisco PIX 501 Security Appliance — необходимо 16 MБ ОЗУ), 16 MБ флэш-память (кроме Cisco PIX 501, 506 и 506E Security Appliance — необходимо 8 MБ флэш-память)

Сведения, представленные в данном документе, были получены на тестовом оборудовании в специально созданных лабораторных условиях. При написании данного документа использовались только данные, полученный от устройств с конфигурацией по умолчанию. В рабочей сети необходимо понимать последствия выполнения всех команд.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в разделе Условные обозначения для практических рекомендаций компании Cisco.

Выбор процедуры обновления

Определите модель брандмауэра PIX и текущую версию программного обеспечения в этой таблице. Затем перейдите по ссылке для того, чтобы ознакомиться с инструкциями по обновлению брандмауэра PIX.

 

Текущая версия программного обеспечения PIX

Модель PIX

4.4(x) и более ранние, 5.0(x)

5.1(x)

5.2(x)

5.3(x)

6.0(x)

6.1(x), 6.2(x), 6.3(x)

PIX Classic

boothelper

copy tftp flash

copy tftp flash

copy tftp flash

снято с производства

снято с производства

PIX 10000

boothelper

copy tftp flash

copy tftp flash

copy tftp flash

снято с производства

снято с производства

PIX 501

не применимо

не применимо

не применимо

не применимо

не применимо

copy tftp flash

PIX 506

не применимо

copy tftp flash

copy tftp flash

copy tftp flash

copy tftp flash

copy tftp flash

PIX 510

boothelper

copy tftp flash

copy tftp flash

copy tftp flash

снято с производства

снято с производства

PIX 515

monitor

copy tftp flash

copy tftp flash

copy tftp flash

copy tftp flash

copy tftp flash

PIX 520

boothelper

copy tftp flash

copy tftp flash

copy tftp flash

copy tftp flash

copy tftp flash

PIX 525

не применимо

не применимо

copy tftp flash

copy tftp flash

copy tftp flash

copy tftp flash

PIX 535

не применимо

не применимо

не применимо

copy tftp flash

copy tftp flash

copy tftp flash

Примечание:  Брандмауэры PIX Classic, 10000 и 510 сняты с производства и не могут использовать программное обеспечение PIX версии 6.0 или более поздней. При работе с PIX Classic, 10000 или 510 и необходимости использовать программное обеспечение брандмауэра PIX версии 6.0 или более поздней, свяжитесь с группой поддержки клиентов или с официальным дилером компании Cisco в вашем регионе для приобретения более нового брандмауэра PIX.

Загрузка программного обеспечения

Программное обеспечение PIX Security Appliance доступно только для пользователей с учетной записью CCO и соответствующим контрактом на обслуживание. Для того чтобы загрузить программное обеспечение брандмауэра PIX, посетите Центр программного обеспечения (только для зарегистрированных пользователей). Для получения доступа к программному обеспечению PIX необходимо ввести соответствующие данные учетной записи.

Обновление брандмауэра PIX с версии 4.х.х или 5.0.х

Устройства с дисководом

Следующие действия применимы только к устройствам PIX, которые имеют дисковод. В частности, это относится к брандмауэрам PIX Classic, 10000, 510 и 520.

Для создания загрузочной дискеты в операционной системе Windows выполните следующие действия:

  1. Перейдите на страницу Загрузка программного обеспечения (только для зарегистрированных пользователей) и загрузите программу rawrite.exe. Используйте эту программу для записи двоичного образа PIX на дискету.

  2. Загрузите двоичный образ PIX (файл с расширением .bin), который соответствует версии программного обеспечения, до которой необходимо произвести обновление. Имена файлов образа PIX используют следующий формат — pixnnx.bin, где nn – номер версии, а х – номер выпуска.

    Пример: Файл pix611.bin предназначен для программного обеспечения PIX выпуска 6.1.1.

  3. Если обновление программного обеспечения PIX производится до версии 5.2 или более поздней, то необходимо загрузить соответствующий двоичный файл boothelper.

    Пример: Если производится обновление версии 4.4(8) программного обеспечения PIX до версии 6.1(1), то необходимо загрузить следующие три файла:

    • rawrite.exe

    • pix611.bin

    • bh61.bin

  4. Найдите отформатированную в стандарте IBM дискету с высокой плотностью записи, которая не содержит никаких файлов.

    Примечание:  Не используйте загрузочную дискету брандмауэра PIX, которая прилагалась к нему первоначально. Эта дискета может понадобиться для восстановления системы при возврате к исходной версии. Программа rawrite.exe стирает все файлы на дискете.

    Если форматирование производится в операционной системе Windows, то необходимо выбрать полное, а не быстрое форматирование. Быстрое форматирование не обеспечивает достаточной подготовки дискеты для применения программы rawrite. Рекомендуется выполнять форматирование дискеты из командной строки MS-DOS. Используйте команду format a:, где a — наименование дисковода, в котором расположена дискета.

  5. Поместите чистую дискету в дисковод компьютера и выведите командную строку DOS. Перейдите в папку, содержащую программу rawrite.exe и файлы PIX.

  6. Запустите программу rawrite.exe. Для этого в командной строке DOS введите команду rawrite. При появлении соответствующего запроса введите имя файла, который нужно записать на дискету.

    Примечание:  Если обновление программного обеспечения PIX производится до версии 5.1 или более ранней, то задайте файл для самого образа PIX. Название файла образа имеет следующий формат — pixnnx.bin. Если выполняется обновление PIX до версии 5.2 или более поздней версии, задайте файл PIX boothelper в следующем формате — bhnn.bin.

    Пример: Создание загрузочной дискеты в операционной системе Microsoft Windows

    C:\>rawrite
    RaWrite 1.2 - Write disk file to raw floppy diskette  
    Enter source file name: bh61.bin
    Enter destination drive: a: 
    Please insert a formatted diskette into drive A: and press -ENTER- : 
    Number of sectors per track for this disk is 18. 
    Writing image to drive A:. Press ^C to abort. 
    Track: 11 Head: 1 Sector: 16 
    Done.
    C:\>0
  7. После завершения процесса rawrite, извлеките дискету из дисковода и вставьте дискету с драйверами брандмауэра PIX. Для загрузки образа PIX с дискеты необходимо выполнить одно из следующих действий.

    • Выключите, а затем включите электропитание PIX.

      или

    • Используйте кнопку перезагрузки системы PIX.

      или

    • Используйте команду reload в консоли PIX.

  8. После завершения перезагрузки PIX выполните следующие действия:

    • Если обновление программного обеспечения PIX производится до версии 5.1 или более ранней, то извлеките дискету из дисковода, при этом обновление будет завершено.

    • Если выполняется обновление программного обеспечения PIX до версии 5.2 или до более поздней версии, то при загрузке на гибкий диск программы Boothelper, брандмауэр PIX переходит в режим Boothelper. Для выполнения обновления следуйте инструкциям, содержащимся в разделе Обновление брандмауэра PIX в режиме Boothelper или в режиме монитора данного документа.

Устройства без дисковода (режим монитора)

Устройства PIX, которые не обладают дисководом, поставляются с программой отслеживания загрузки из ПЗУ, которая используется для обновления образа брандмауэра PIX. Для перехода в режим монитора на устройствах без дисковода, выполните следующие действия:

  1. Выключите и включите электропитание или перезагрузите брандмауэр PIX. Во время загрузки будет предложено нажать клавишу BREAK или ESC для прерывания загрузки с флэш-памяти. Нормальный процесс загрузки можно прервать в течение 10 секунд.

  2. Нажмите клавишу ESC или используйте команду BREAK для перехода в режим монитора.

    • При использовании эмулятора терминала Windows HyperTerminal можно нажать клавишу ESC и послать команду BREAK, нажав Ctrl+Break.

    • Если для получения доступа к консольному порту PIX используется программа Telnet через терминальный сервер, то необходимо нажать Ctrl ] для получения доступа к командной строке Telnet. После этого введите команду send break.

  3. В командной строке отобразится строка monitor>.

  4. Перейдите к разделу Обновление брандмауэра PIX в режиме Boothelper или в режиме монитора данного документа.

Обновление брандмауэра PIX в режиме Boothelper или в режиме монитора

Примечание:  Перед выполнением дальнейших действий убедитесь в том, что выполнены указания, содержащиеся в предыдущих разделах при наличии или отсутствии дисковода в Security Appliances.

При обновлении брандмауэра PIX с версий 5.0.x или более ранних до версий 5.1.x и более поздних необходимо использовать режим boothelper или режим монитора. Это связано с тем, что в версиях ниже 5.1 программное обеспечение брандмауэра PIX не предоставляло методов переноса образа через TFTP непосредственно на флэш-память. Для обновления PIX Security Appliances при наличии или отсутствии дисковода выполните следующие действия:

  1. Скопируйте двоичный образ брандмауэра PIX (pixnnn.bin) в корневую папку TFTP-сервера.

  2. Для PIX Classic, 10000, 510 и 520s убедитесь в том, что процедура Создание загрузочной дискеты уже выполнена. Используйте файл boothelper, который в наибольшей степени соответствует обновляемому образу PIX. Чтобы перейти в режим Boothelper, загрузите PIX с гибкого диска Boothelper.

    Все остальные устройства PIX (501, 506, 515, 525 и 535) не оснащены дисководом. Вместо этого у них есть внутренний механизм перехода в режим монитора. В этом документе приведены инструкции для Перехода в режим монитора на PIX 501, 506, 515, 525 или 535.

    После перехода в режим монитора или в режим boothelper, для просмотра списка доступных параметров можно использовать клавишу ?.

  3. Выполните команду interface номер. Команда interface определяет какой интерфейс PIX будет подключаться к TFTP-серверу. Интерфейс по умолчанию – 1 (внутренний).

    Примечание:  PIX не может инициализировать интерфейс Gigabit Ethernet для режима монитора или для режима boothelper. Вместо этого используйте интерфейс Fast Ethernet или Token Ring.

  4. Выполните команду address pix_interface_ip_address. Команда address задает IP-адрес интерфейса устройства PIX.

  5. Выполните команду server tftp_server_ip_address. Команда server задает IP-адрес TFTP-сервера.

  6. Выполните команду file filename. Команда file задает имя файла образа брандмауэра PIX.

  7. Выполните команду ping tftp_server_ip_address. Проверьте доступность сервера с помощью команды ping. Если выполнение этой команды закончилось неудачей, то проверьте соединительные кабели, IP-адреса сервера и брандмауэра PIX, а также IP-адрес шлюза, если это необходимо. Для продолжения необходимо добиться успешного выполнения команды ping.

    Примечание:  Выполните команду gateway для того, чтобы указать IP-адрес шлюза маршрутизатора, через который доступен сервер:

    gateway ip_address — IP-адрес интерфейса шлюза
    
    
  8. Выполните команду tftp для начала загрузки образа с TFTP-сервера.

  9. После загрузки образа будет предложено установить этот новый образ. Введите y для того, чтобы установить образ во флэш-память.

  10. При появлении запроса на ввод нового ключа активации, введите y для ввода нового ключа активации или n для сохранения уже существующего ключа активации. Дополнительные сведения о ключе активации и его обновлении см. в разделе Обновление ключа активации данного документа.

  11. Если используется режим boothelper, то будет предложено извлечь из дисковода дискету boothelper. После этого необходимо в течение 30 секунд извлечь дискету, прежде чем начнется автоматическая перезагрузка PIX. Извлеките дискету. По завершении перезагрузки PIX выполняется загрузка нового образа из флэш-памяти.

    На этом процесс обновления завершается.

    После обновления PIX до версии 5.1 или более поздней больше не нужно использовать дискету для загрузки новых образов в PIX. В программном обеспечении PIX версии 5.1 или более поздней команда copy tftp flash позволяет передавать новые образы PIX прямо на устройство PIX с TFTP-сервера. Дополнительные сведения см. в документе под названием Справочник по командам PIX.

Пример — Обновление брандмауэра PIX в режиме Boothelper или в режиме монитора

monitor>interface 1 
0: i8255X @ PCI(bus:0 dev:14 irq:10) 
1: i8255X @ PCI(bus:0 dev:13 irq:11) 

Using 1: i82557 @ PCI(bus:0 dev:13 irq:11), MAC: 0002.b945.a23c 
monitor>address 172.18.124.154 
address 172.18.124.154 
monitor>server 172.18.125.3 
server 172.18.125.3 
monitor>file pix611.bin 
file pix611.bin 
monitor>ping 172.18.125.3 
Sending 5, 100-byte 0xcde2 ICMP Echoes to 172.18.125.3, timeout is 4 seconds: 
!!!!! 
Success rate is 100 percent (5/5) 
monitor>tftp 
tftp pix611.bin@172.18.125.3.......................................... 
Received 2562048 bytes 

Cisco Secure PIX Firewall admin loader (3.0) #0: Tue Dec  517:35:46 PST 2000 
System Flash=E28F128J3 @ 0xfff00000 
BIOS Flash=am29f400b @ 0xd8000 
Flash version 6.1.1, Install version 6.1.1 
Do you wish to copy the install image into flash? [n] y 

Installing to flash 

Serial Number: 480380761 (0x1ca20759) 
Activation Key: 760754d0 39f62229 a4a0245f b5b87e80 

Do you want to enter a new activation key? [n] n 
Writing 2469944 bytes image into flash... 

Обновление брандмауэра PIX с версии 5.1.1 или более поздней

Если PIX Security Appliance использует программное обеспечение версии 5.1.1 или более поздней, то можно использовать команду copy tftp flash для загрузки образа программного обеспечения с TFTP. Команда copy tftp flash может применяться к любой модели брандмауэра PIX, использующего программное обеспечение PIX версии 5.1.1 или более поздней. Загружаемый образ будет доступен брандмауэру PIX при следующей перезагрузке. Дополнительные сведения об этой команде см. в документе под названием Справочник по командам PIX.

Использование команды copy tftp flash для обновления брандмауэра PIX

Для обновления брандмауэра PIX с помощью команды copy tftp flash выполните следующие действия.

  1. Скопируйте двоичный образ брандмауэра PIX (pixnnn.bin) в корневую папку TFTP-сервера.

  2. В командной строке PIX выполните команду copy tftp flash.

  3. Введите IP-адрес удаленного узла.

  4. Введите имя двоичного файла PIX (имя этого файла имеет следующий формат — pixnnn.bin).

  5. Введите yes.

Пример — Обновление брандмауэра PIX с помощью команды copy tftp flash.

pixfirewall#copy tftp flash 
Address or name of remote host [127.0.0.1]? 172.18.125.3 
Source file name [cdisk]?pix611.bin 
copying tftp://172.18.125.3/pix611.bin to flash
[yes|no|again]?yes 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
Received 2562048 bytes. 
Erasing current image. 
Writing 2469944 bytes of image. 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
Image installed. 
pixfirewall# 

Обновление устройств PIX в конфигурации с восстановлением после отказа с минимальным временем простоя

Чтобы использовать данную процедуру, PIX-устройства должны использовать программное обеспечение PIX версии 5.1.x или более поздней. Эти инструкции действительны для любых PIX-устройств, способных работать в конфигурации с восстановлением после отказа. Дополнительные сведения о переключении при отказе см. в документе под названием Выполнение переключения при отказе в брандмауэре Cisco Secure PIX.

Для минимизации времени простоя при обновлении PIX могут быть использованы два варианта действий. Первый вариант является наискорейшим способом обновления конфигурации с восстановлением после отказа. Если при обновлении возникают проблемы, то всегда будет иметься работоспособный брандмауэр PIX, способный фильтровать сетевой трафик. Второй вариант является менее сложным, но более рискованным по сравнению с первым вариантом. Риск состоит в том, что новый образ, загружаемый на устройства PIX, может иметь повреждения. Оба метода представлены так, чтобы можно было выбрать наилучший метод для определенной сети.

Примечание:  Если необходимо обновить конфигурацию с восстановлением после отказа с версии 6.x до 7.x, см. раздел Обновление PIX Appliances в конфигурации с восстановлением после отказа документа под названием Процедура обновления программного обеспечения Cisco Secure PIX Security Appliance 7.x и ASDM.

Вариант 1

Первый вариант является более безопасным способом обновления конфигурации с восстановлением после отказа:

  1. Скопируйте двоичный образ брандмауэра PIX (pixnnn.bin) в корневую папку TFTP-сервера.

  2. Отключите питание первичного устройства (в результате станет активным вторичное устройство).

  3. Отключите все кабели, включая кабель аварийного режима, от основного устройства.

  4. Включите питание первичного устройства и установите соединение с персональным компьютером, на котором установлен TFTP-сервер.

  5. Для обновления первичного устройства выполните команду copy tftp flash.

  6. Перезагрузите первичное устройство и проверьте новую версию и конфигурацию.

  7. Выключите первичное устройство.

  8. Восстановите подключение всех кабелей, подсоединяемых к первичному устройству.

  9. Быстро отключите вторичное устройство и немедленно включите питание первичного устройства.

    Примечание:  Во время загрузки первичного устройства происходит простой системы.

    После загрузки первичное устройство активно и пропускает трафик.

  10. Повторите пп. 2 – 7 для вторичного брандмауэра PIX.

  11. Включите питание вторичного брандмауэра PIX. После загрузки он перейдет в режим ожидания.

  12. Оба устройства PIX теперь работают в штатном режиме под управлением обновленной версии.

Вариант 2

Второй вариант является более быстрым способом обновления конфигурации с восстановлением после отказа:

  1. Скопируйте двоичный образ брандмауэра PIX (pixnnn.bin) в корневую папку TFTP-сервера.

  2. Для копирования нового образа в первичное устройство выполните команду copy tftp flash.

  3. Для копирования нового образа во вторичное устройство выполните команду copy tftp flash.

  4. Выключите оба устройства PIX.

  5. Включите основной брандмауэр PIX.

  6. Подождите 10 секунд. Убедитесь, что основной брандмауэр PIX стал активным.

  7. Включите питание вторичного брандмауэра PIX. После загрузки он перейдет в режиме ожидания.

  8. Оба устройства PIX теперь работают в штатном режиме под управлением обновленной версии.

Восстановление после неудачного обновления

Выполните следующие действия для восстановления брандмауэра PIX, если обновление программного обеспечения PIX с версии 6.x до версии 6.x закончилось неудачей:

  1. Как было указано ранее, необходимо записать данные ключа активации перед выполнением этой процедуры.

  2. Выполните следующие действия для перевода брандмауэра PIX в режим монитора.

  3. Выполните следующие действия для обновления PIX из режима монитора и загрузки файла erasedisk.bin с помощью TFTP. Этот файл необходимо получить в центре технической поддержки компании Cisco.

  4. При повторной перезагрузке системы переведите брандмауэр PIX в режим монитора.

  5. Выполните следующие действия для обновления PIX из режима монитора и загрузки файла новой версии 6.x с помощью TFTP.

Обновление ключа активации

По ряду причин, возможно, следует обновить ключ активации на брандмауэре PIX:

  • На данный момент PIX не позволяет использовать шифрование VPN-DES или VPN-3DES.

    Примечание:  Необходимо использовать метод шифрования VPN-DES для управления PIX с помощью диспетчера устройств (PDM). Зарегистрированные пользователи могут бесплатно получить 56-битный ключ активации VPN-DES после заполнения формы заявки 56-битный ключ обновления лицензии брандмауэра PIX. Для получения ключа 3DES/AES заполните форму заявки Регистрация лицензии Cisco ASA 3DES/AES.

  • На данный момент PIX не обладает активированной функцией восстановления после отказа.

  • Необходимо провести обновление с лицензии на основе соединений до лицензии на основе функций.

Если текущая ситуация соответствует одной из перечисленных выше категорий и уже получен новый ключ активации для PIX, то следующим шагом будет подключение к PIX, выполнение команды show version и сохранение результата в текстовый файл. Результат выполнения команды show version содержит сведения об имеющейся версии, серийном номере и ключе активации. Эта информация потребуется в случае возникновения каких-либо проблем с обновлением ключа активации.

Ключ активации PIX основан на серийном номере брандмауэра PIX и, таким образом, является уникальным для каждого брандмауэра PIX. В ключе активации содержатся сведения о том, какие функции PIX лицензированы. Серийный номер брандмауэра PIX хранится во флэш-памяти. После замены карты флэш-памяти в PIX будет необходимо получить новый серийный номер, который отличается от номера, показанного на этикетке снаружи упаковки. Следует всегда использовать серийный номер, полученный в результате выполнения команды show version.

Примечание:  Ключ активации необходимо ввести вручную. Не используйте функции копирования и вставки, так как это может повлечь ошибки, которые могут привести к невозможности использования ключа активации.

Примечание:  Для получения 11-ти значного числа добавьте дополнительные цифры к 9-ти значному серийному номеру, который начинается либо с числа 4, либо с числа 8. Например, число 4xxxxxxxx представлено в ключе активации в виде 444xxxxxxxx. Аналогично этому, номера, которые начинаются с цифры 8, необходимо дополнить двумя дополнительными восьмерками.

Устройства PIX, работающие с программой версии 6.1 и более ранними

Если брандмауэр PIX использует программное обеспечение версии 6.1 и более раннее, то необходимо выполнить следующие инструкции, содержащиеся в разделе Обновление брандмауэра PIX в режиме Boothelper или в режиме монитора. На этап 10 появится приглашение ввести новый ключ активации.

Устройства PIX работающие с программой версии 6.2 и 6.3

Выполните команду activation-key для того, чтобы изменить ключ активации, если в текущий момент времени брандмауэр PIX использует программное обеспечение версии 6.2 или 6.3. Дополнительные сведения см. в документе под названием Справочник по командам PIX.

Пример: Обновление ключа активации на PIX под управлением программы версии 6.2 или 6.3

pixfirewall(config)#activation-key 54bf4b80 b7237e20 05022c63 f09e3302 
Updating flash...Done. 
Serial Number: 480490644 (0x1ca3b494) 

Flash Activation Key: 0x54bf4b80 0xb7237e20 0x05022c63 0xf09e3302 
Licensed Features: 
Failover:           Enabled 
VPN-DES:            Enabled 
VPN-3DES:           Enabled 
Maximum Interfaces: 10 
Cut-through Proxy:  Enabled 
Guards:             Enabled 
URL-filtering:      Enabled 
Inside Hosts:       Unlimited 
Throughput:         Unlimited 
IKE peers:          Unlimited 

The flash activation key has been modified. 
The flash activation key is now DIFFERENT from the running key. 
The flash activation key will be used when the unit is reloaded. 
pixfirewall(config)# 
pixfirewall(config)#reload

Обновление диспетчера устройств PIX

Процедура обновления диспетчера устройств PIX аналогична процедуре, используемой для новой установки. Для получения подробных инструкций см. руководство по установке в документации диспетчера устройств PIX для соответствующей версии.

Получение действительного контракта на обслуживание

Для загрузки программного обеспечения брандмауэра PIX необходимо обладать действительным контрактом на обслуживание. Для получения контракта на обслуживание выполните следующие действия:

  • Обратитесь к дилерам компании Cisco, если у вас есть прямое соглашение о продаже.

  • Обратитесь к дилеру или к партнеру компании Cisco для заключения договора об обслуживании.

  • Используйте Менеджер профиля для обновления вашего профиля Cisco.com и выполнения запроса, связанного с договором об обслуживании.

Устранение неполадок

Проблема: После обновления при перезагрузке PIX пользователь получает сообщение об ошибке Cannot select private key (Невозможно выбрать секретный ключ).

Обходной вариант/решение: Повторно сгенерируйте rsa-ключ для SSH.

ca zero rsa
ca generate rsa key 1024
ca save all

write mem
reload

Дополнительные сведения о генерации ключа SSH см. в разделе PIX/ASA 7.x: SSH на внутреннем и внешнем интерфейсе

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительная информация


Document ID: 4801