In diesem Dokument wird beschrieben, wie Sie ein Software-Image auf den Adaptive Security Appliances der Serie Cisco ASA 5500 mithilfe des Cisco Adaptive Security Device Manager (ASDM) aktualisieren.
ASDM funktioniert nicht, wenn Sie die Sicherheits-Appliance-Software direkt von 7.0 auf 7.2 aktualisieren (oder herabstufen) oder die ASDM-Software direkt von 5.0 auf 5.2 aktualisieren (oder herabstufen). Sie müssen dies in einer schrittweisen Reihenfolge tun.
Beispiel: Um das ASDM-Software-Upgrade von 5.0 auf 5.2 durchzuführen, müssen Sie zuerst ein Upgrade von 5.0 auf 5.1 und dann ein Upgrade von 5.1 auf 5.2 durchführen. Für die Security Appliance müssen Sie ebenfalls zuerst ein Upgrade von 7.0 auf 7.1 und dann ein Upgrade von 7.1 auf 7.2 durchführen.
Hinweis: Wenn Sie ein Upgrade oder ein Downgrade von Version 7.1.(x) auf 7.2(x) durchführen möchten und umgekehrt, müssen Sie die Schritte in diesem Verfahren ausführen, da ältere Versionen der Sicherheits-Appliance-Images neue ASDM-Images nicht erkennen und neue Sicherheits-Appliance-Images alte ASDM-Images nicht erkennen. Weitere Informationen über die Upgrade-Verfahren finden Sie im Abschnitt Upgrading to a New Software Version (Upgrade auf eine neue Softwareversion) der Versionshinweise für die Cisco PIX Security Appliance, Version 7.2(2).
Hinweis: Sie können die ASA 5550 nicht auf eine frühere Softwareversion als 7.1(2) herunterstufen. Ebenso ist ein Downgrade der ASA 5505 auf eine frühere Softwareversion als Version 7.2 nicht möglich. Weitere Informationen finden Sie unter Hardware- und Softwarekompatibilität der Cisco Security Appliances der Serien ASA 5500 und PIX 500.
Hinweis: Im Multi-Context-Modus können Sie den Befehl copy tftp flash nicht für Upgrades oder Downgrades des PIX/ASA-Image in allen Kontexten verwenden. wird nur im System-Exec-Modus unterstützt.
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Cisco ASA 5500 7.0 und höher
Cisco ASDM 5.0 und höher
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Diese Konfiguration kann auch mit Cisco Security Appliances der Serie PIX 500, Version 7.0 oder höher, verwendet werden.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
Sie können die erforderliche Version der ASA Software-Images und ASDM Software-Images über folgende Links herunterladen:
Herunterladen der Cisco ASA Softwareversion (nur registrierte Kunden)
Download der Cisco ASDM-Softwareversion (nur registrierte Kunden)
Hinweis: Sie benötigen gültige Cisco Anmeldeinformationen, um diese Software von Cisco.com herunterladen zu können.
Gehen Sie wie folgt vor, um ein Software-Image auf der ASA 5500 mithilfe von ASDM zu aktualisieren.
Wählen Sie Extras > Software aktualisieren... im Hauptfenster des ASDM aus.
Wählen Sie aus dem Dropdown-Menü den Typ des hochzuladenden Bilds aus.
Klicken Sie auf Lokale Dateien durchsuchen... oder geben Sie den Pfad in das Feld Lokaler Dateipfad ein, um den Speicherort des Software-Images auf Ihrem PC anzugeben.
Klicken Sie auf Flash durchsuchen....
Das Fenster Flash durchsuchen wird angezeigt, und der Dateiname wird automatisch eingegeben. Wenn der Dateiname nicht angezeigt wird, geben Sie ihn manuell in das Feld Dateiname ein. Klicken Sie abschließend auf OK.
Wenn Sie den lokalen und den Remote-Dateinamen angegeben haben, klicken Sie auf Bild hochladen.
Ein Statusfenster wird angezeigt, während ASDM das Bild in Flash schreibt.
Nach Abschluss des Vorgangs wird ein Informationsfenster angezeigt, das einen erfolgreichen Upload anzeigt.
Klicken Sie im Informationsfenster auf OK und dann im Fenster Bild von lokalem PC hochladen auf Schließen.
Wählen Sie Configuration > Properties > Device Administration > Boot Image/Configuration > Edit, um den Speicherort des Boot-Images zu ändern.
Klicken Sie auf Flash durchsuchen, um die ASA-Image-Datei auszuwählen oder anzugeben. Klicken Sie dann auf OK.
Wählen Sie File > Save Running Configuration to Flash, um die Konfiguration im Flash-Speicher zu speichern.
Wählen Sie Extras > System neu laden aus dem Hauptfenster, um das Gerät neu zu laden.
Es wird ein neues Fenster angezeigt, in dem Sie aufgefordert werden, die Details des erneuten Ladens zu überprüfen. Wählen Sie zum Zeitpunkt des erneuten Ladens die Option Aktuelle Konfiguration speichern und dann einen Zeitpunkt für das erneute Laden aus.
Now (Jetzt) - Starten Sie das Gerät sofort neu.
Delay By (Verzögerung bis): Geben Sie an, wie viele Minuten oder Stunden das Gerät in Zukunft neu laden soll.
Schedule at (Ansetzen um): Geben Sie die Uhrzeit und das Datum für das Neuladen des Geräts an.
Sie können auch festlegen, ob das Gerät ein sofortiges erneutes Laden erzwingen soll, wenn ein geplantes Neuladen fehlschlägt. Aktivieren Sie Bei Fehler beim Neuladen, erzwingen Sie ein sofortiges Neuladen nach, und geben Sie dann eine maximale Haltezeit an. Dies ist die Zeitspanne, die die Sicherheits-Appliance darauf wartet, andere Subsysteme vor einem Herunterfahren oder Neustart zu benachrichtigen. Nach Ablauf dieser Zeit erfolgt ein schnelles (erzwungenes) Herunterfahren/Neustarten. Klicken Sie auf Schedule Reload.
Nach dem erneuten Laden wird ein Fenster mit dem Status "Neuladen" angezeigt, das anzeigt, dass ein Neuladen durchgeführt wird. Eine Option zum Beenden von ASDM wird ebenfalls bereitgestellt.
Hinweis: Starten Sie ASDM erneut, nachdem die ASA neu geladen wurde.
Führen Sie die folgenden Schritte aus, um mithilfe von ASDM ein ASDM-Image auf der ASA 5500 zu aktualisieren.
Wählen Sie Extras > Software aktualisieren... im Hauptfenster des ASDM aus.
Wählen Sie aus dem Dropdown-Menü den Typ des hochzuladenden Bilds aus.
Klicken Sie auf Lokal durchsuchen... oder geben Sie den Pfad in das Feld Lokaler Dateipfad ein, um den Speicherort des ASDM-Abbilds auf Ihrem PC anzugeben.
Klicken Sie auf Flash durchsuchen....
Das Fenster Flash durchsuchen wird angezeigt, und der Dateiname wird automatisch eingegeben. Wenn der Dateiname nicht angezeigt wird, geben Sie ihn manuell in das Feld Dateiname ein. Klicken Sie abschließend auf OK.
Wenn Sie den lokalen und den Remote-Dateinamen angegeben haben, klicken Sie auf Bild hochladen.
Ein Statusfenster wird angezeigt, während ASDM das Bild in Flash schreibt.
Nach Abschluss des Vorgangs wird ein Informationsfenster angezeigt, das einen erfolgreichen Upload anzeigt.
Klicken Sie im Informationsfenster auf OK und dann im Fenster Bild von lokalem PC hochladen auf Schließen.
Wählen Sie Configuration > Properties > Device Administration > Boot Image/Configuration aus, um den Namen der ASDM-Image-Datei in der Konfiguration zu ändern.
Klicken Sie auf Flash durchsuchen, um die ASDM-Bilddatei auszuwählen oder anzugeben. Klicken Sie dann auf OK.
Wählen Sie File > Save Running Configuration to Flash, um die Konfiguration im Flash-Speicher zu speichern.
Wählen Sie Extras > System neu laden aus dem Hauptfenster, um das Gerät neu zu laden.
Es wird ein neues Fenster angezeigt, in dem Sie aufgefordert werden, die Details des erneuten Ladens zu überprüfen. Klicken Sie beim Neuladen auf Aktuelle Konfiguration speichern, und wählen Sie dann einen Zeitpunkt für das Neuladen aus.
Now (Jetzt) - Starten Sie das Gerät sofort neu.
Delay By (Verzögerung bis): Geben Sie an, wie viele Minuten oder Stunden das Gerät in Zukunft neu laden soll.
Schedule at (Ansetzen um): Geben Sie die Uhrzeit und das Datum für das Neuladen des Geräts an.
Sie können auch festlegen, ob das Gerät ein sofortiges erneutes Laden erzwingen soll, wenn ein geplantes Neuladen fehlschlägt. Aktivieren Sie Bei Fehler beim Neuladen, erzwingen Sie ein sofortiges Neuladen nach, und geben Sie dann eine maximale Haltezeit an. Dies ist die Zeitspanne, die die Sicherheits-Appliance darauf wartet, andere Subsysteme vor einem Herunterfahren oder Neustart zu benachrichtigen. Nach Ablauf dieser Zeit erfolgt ein schnelles (erzwungenes) Herunterfahren/Neustarten. Klicken Sie auf Schedule Reload.
Nach dem erneuten Laden wird ein Fenster mit dem Status "Neuladen" angezeigt, das anzeigt, dass ein Neuladen durchgeführt wird. Eine Option zum Beenden von ASDM wird ebenfalls bereitgestellt.
Hinweis: Starten Sie ASDM erneut, nachdem die ASA neu geladen wurde.
Hinweis: ASDM 6.x wird nur auf dem ASA Software-Image 8.x und höher unterstützt.
Gehen Sie wie folgt vor, um ein Software-Image auf der ASA 5500 mit ASDM zu aktualisieren:
Wählen Sie Extras > Software von lokalem Computer aktualisieren... im Hauptfenster des ASDM aus.
Wählen Sie aus dem Dropdown-Menü den Typ des hochzuladenden Bilds aus.
Klicken Sie auf Lokale Dateien durchsuchen... oder geben Sie den Pfad in das Feld Lokaler Dateipfad ein, um den Speicherort des Software-Images auf Ihrem PC anzugeben. Der Dateipfad im Flash File System wird automatisch ermittelt und angezeigt. Wenn der Dateipfad in Flash File System nicht angezeigt wird, können Sie ihn manuell eingeben oder auf Flash durchsuchen klicken und den Pfad auswählen.
Wenn Sie beide Dateipfade angegeben haben, klicken Sie auf Bild hochladen. Ein Statusfenster wird angezeigt, während ASDM das Bild in Flash schreibt.
Nach Abschluss des Vorgangs wird ein Informationsfenster angezeigt, das einen erfolgreichen Upload anzeigt und Sie auffordert, dieses Image als Boot-Image festzulegen. Klicken Sie auf Ja, wenn das neue Image als Boot-Image festgelegt werden soll. Klicken Sie andernfalls auf Nein.
Wenn Sie auf Ja klicken, wird das neue Image als Boot-Image festgelegt, und ein Informationsfeld wird angezeigt. Klicken Sie auf OK.
Wählen Sie Extras > System neu laden aus dem Hauptfenster, um das Gerät neu zu laden.
Es wird ein neues Fenster angezeigt, in dem Sie aufgefordert werden, die Details des erneuten Ladens zu überprüfen. Wählen Sie Save the running configuration at the reload (Aktuelle Konfiguration beim Neuladen speichern), und wählen Sie dann einen Zeitpunkt für das Neuladen aus.
Now (Jetzt) - Starten Sie das Gerät sofort neu.
Delay By (Verzögerung bis): Geben Sie an, wie viele Minuten oder Stunden das Gerät in Zukunft neu laden soll.
Schedule at (Ansetzen um): Geben Sie die Uhrzeit und das Datum für das Neuladen des Geräts an.
Sie können auch festlegen, ob das Gerät ein sofortiges erneutes Laden erzwingen muss, wenn ein geplantes Neuladen fehlschlägt. Aktivieren Sie Bei Fehler beim Neuladen, erzwingen Sie ein sofortiges Neuladen nach, und geben Sie dann eine maximale Haltezeit an. Dies ist die Zeitspanne, die die Sicherheits-Appliance darauf wartet, andere Subsysteme vor einem Herunterfahren oder Neustart zu benachrichtigen. Nach Ablauf dieser Zeit erfolgt ein schnelles (erzwungenes) Herunterfahren/Neustarten. Klicken Sie auf Schedule Reload.
Nach dem erneuten Laden wird ein Fenster mit dem Status "Neuladen" angezeigt, das anzeigt, dass ein Neuladen durchgeführt wird. Eine Option zum Beenden von ASDM wird ebenfalls bereitgestellt. Klicken Sie auf Exit ASDM (ASDM beenden), und starten Sie ASDM neu, nachdem das Gerät neu geladen wurde.
Hinweis: ASDM 6.x wird nur auf dem ASA Software-Image 8.x und höher unterstützt.
Gehen Sie wie folgt vor, um ein ASDM-Image auf der ASA 5500 mit ASDM zu aktualisieren:
Wählen Sie Extras > Software von lokalem Computer aktualisieren... im Hauptfenster des ASDM aus.
Wählen Sie aus dem Dropdown-Menü den Typ des hochzuladenden Bilds aus.
Klicken Sie auf Lokale Dateien durchsuchen... oder geben Sie den Pfad in das Feld Lokaler Dateipfad ein, um den Speicherort des ASDM-Abbilds auf Ihrem PC anzugeben. Der Dateipfad im Flash File System wird automatisch ermittelt und angezeigt. Wenn der Dateipfad in Flash File System nicht angezeigt wird, können Sie ihn manuell eingeben oder auf Flash durchsuchen klicken und den Pfad auswählen.
Wenn Sie beide Dateipfade angegeben haben, klicken Sie auf Bild hochladen. Ein Statusfenster wird angezeigt, während ASDM das Bild in Flash schreibt.
Nach Abschluss des Vorgangs wird ein Informationsfenster angezeigt, das einen erfolgreichen Upload anzeigt und Sie auffordert, dieses Bild als Standard-ASDM-Bild festzulegen. Klicken Sie auf Ja, wenn das neue Image als ASDM-Image festgelegt werden soll. Klicken Sie andernfalls auf Nein.
Wenn Sie Ja ausgewählt haben, um das neue Bild als ASDM-Bild zu verwenden, wird ein Informationsfeld angezeigt. Klicken Sie auf OK.
Klicken Sie oben im Fenster auf Save (Speichern), um die aktuelle Konfiguration in Flash zu speichern.
Es wird ein Dialogfeld zur Bestätigung angezeigt. Klicken Sie auf Apply (Anwenden).
Klicken Sie oben im Fenster auf Datei, und wählen Sie Beenden, um ASDM zu schließen.
Es kann ein Dialogfeld angezeigt werden, in dem Sie nach Ihrer Bestätigung gefragt werden. Klicken Sie auf Ja.
Führen Sie ASDM erneut aus, um das neue ASDM-Image zu laden.
Weitere Informationen finden Sie in diesem Video: So aktualisieren Sie das Software-Image auf einer Cisco Adaptive Security Appliance (ASA) mit dem Cisco Adaptive Security Device Manager (ASDM)
Dieses an die Cisco Support Community gesendete Video beschreibt, wie das Software-Image auf der Cisco ASA mithilfe von ASDM aktualisiert wird: So aktualisieren Sie das Software-Image auf einer Cisco Adaptive Security Appliance (ASA) mit dem Cisco Adaptive Security Device Manager (ASDM)
Ein TFTP-Server ist erforderlich, um ein Software-Image sowie ein ASDM-Image für eine PIX/ASA zu aktualisieren oder herabzustufen. Weitere Informationen zur TFTP-Serverauswahl finden Sie unter TFTP-Serverauswahl und -verwendung.
Mit dem Befehl copy tftp flash können Sie ein Software-Image über TFTP in den Flash-Speicher der Firewall herunterladen. Sie können den Befehl copy tftp flash mit jedem beliebigen Sicherheits-Appliance-Modell verwenden. Das heruntergeladene Image wird der Sicherheits-Appliance beim nächsten Neustart zur Verfügung gestellt.
Dies ist die Ausgabe des Befehls copy tftp flash:
copy tftp[:[[//location] [/tftp_pathname]]] [[flash/disk0][:[image | asdm]]]
Hinweis: Bei ASA ersetzt das Schlüsselwort disk0 den Flash-Wert im Befehl copy.
Wenn der Befehl ohne die optionalen Parameter location oder pathname verwendet wird, erhält der Benutzer den Speicherort und den Dateinamen interaktiv über eine Reihe von Fragen, die denen der Cisco IOS® Software ähneln. Wenn Sie nur einen Doppelpunkt eingeben, werden die Parameter aus den tftp-server-Befehlseinstellungen übernommen. Wenn weitere optionale Parameter angegeben werden, werden diese Werte anstelle der entsprechenden tftp-server-Befehlseinstellung verwendet. Wenn Sie einen der optionalen Parameter wie einen Doppelpunkt oder einen beliebigen anderen Wert eingeben, wird der Befehl ohne Eingabeaufforderung ausgeführt.
Der Speicherort ist entweder eine IP-Adresse oder ein Name, der über den Namensauflösungsmechanismus der Sicherheitsappliance in eine IP-Adresse aufgelöst wird. Hierbei handelt es sich um statische Zuordnungen über die Befehle name und names. Die Sicherheits-Appliance muss über die Informationen der Routing-Tabelle wissen, wie sie diesen Standort erreicht. Diese Informationen werden durch die IP-Adresse, die Route oder die RIP-Befehle bestimmt. Dies hängt von Ihrer Konfiguration ab.
Der Pfadname kann neben der letzten Komponente des Pfades zur Datei auf dem Server auch beliebige Verzeichnisnamen enthalten. Der Pfadname darf keine Leerzeichen enthalten. Wenn für einen Verzeichnisnamen Leerzeichen auf dem TFTP-Server anstelle des Befehls copy tftp flash festgelegt sind und der TFTP-Server so konfiguriert ist, dass er auf ein Verzeichnis auf dem System zeigt, von dem Sie das Image herunterladen, müssen Sie nur die IP-Adresse des Systems und den Image-Dateinamen verwenden. Der TFTP-Server empfängt den Befehl und bestimmt den tatsächlichen Speicherort der Datei aus den Informationen im Stammverzeichnis. Der Server lädt dann das TFTP-Image auf die Security Appliance herunter.
Diese Befehle werden benötigt, um das Software-Image sowie das ASDM-Image zu aktualisieren und es beim nächsten Neuladen als Boot-Image zu erstellen.
ASA#copy tftp [[flash:/disk0:][software image name/asdm image name]] !--- Command to set an image as bootup or specify the !--- ASDM image file. ASA(config)#boot system [flash:/disk0:]/[software image name] !--- Save active configuration to the Flash. ASA#write memory !--- Reboot the security appliance and load !--- with the new boot image as per the configuration file. ASA#reload
Beispiel:
ASA5510#copy tftp disk0: Address or name of remote host []? 172.16.31.1 Source filename []? asa722-k8.bin Destination filename [asa722-k8.bin]? Accessing tftp://172.16.31.1/asa722-k8.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Writing file disk0:/asa722-k8.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 8312832 bytes copied in 163.350 secs (50998 bytes/sec) ASA5510#show disk0: -#- --length-- -----date/time------ path 6 5124096 Jan 01 2003 00:06:22 asa702-k8.bin 7 5623108 Feb 12 2007 00:23:48 asdm-522.bin 10 5539756 Feb 12 2007 00:14:18 asdm-521.bin 11 8294400 Dec 07 2006 05:47:20 asa721-24-k8.bin 12 6002680 Dec 21 2006 03:58:30 asdm-52034.bin 13 8312832 Feb 12 2007 22:46:30 asa722-k8.bin 23949312 bytes available (38932480 bytes used) !--- Command to set "asa722-k8.bin" as the boot image. ASA5510(config)# boot system disk0:/asa722-k8.bin !--- Command to set "asdm-522.bin" as the ASDM image. ASA5510(config)# asdm image disk0:/asdm-522.bin ASA5510# write memory ASA5510# reload
Hinweis: Wenn Sie versuchen, das Image auf der ASA von einem FTP-Server aus zu aktualisieren, können Sie den Befehl copy ftp flash verwenden. Mit diesem Befehl können Sie Parameter wie die Remote-IP-Adresse und den Namen der Quelldatei angeben. Dieses Verfahren ähnelt TFTP. Eine Einschränkung bei besteht jedoch darin, dass Sie die Remote-IP-/Quellschnittstelle nicht ändern können (wie dies bei TFTP möglich ist). Im TFTP-Modus können Optionen, die mit dem Befehl tftp-server festgelegt wurden, abgerufen und ausgeführt werden. Bei FTP gibt es diese Option jedoch nicht. Die Quellschnittstelle sollte standardmäßig immer außen sein, was nicht geändert werden kann. Das heißt, der FTP-Server sollte von der externen Schnittstelle aus erreichbar sein.
Verwenden Sie diesen Abschnitt, um zu bestätigen, dass Ihr Software-Upgrade erfolgreich war.
Das Output Interpreter-Tool (OIT) (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der show-Befehlsausgabe anzuzeigen.
Nachdem die ASA neu geladen wurde und Sie sich wieder erfolgreich beim ASDM angemeldet haben, können Sie die Version des Images überprüfen, die auf dem Gerät ausgeführt wird. Weitere Informationen finden Sie auf der Registerkarte Allgemein im Hauptfenster.
Die folgenden CLI-Befehle werden zur Verifizierung des Upgrades verwendet:
Version anzeigen - Zeigt das aktuelle Bild an, mit dem die ASA gestartet wird.
Show bootvar (Bootvar anzeigen): Zeigt die Priorität des Bilds an, das nach dem Neuladen verwendet werden soll.
Show asdm image (ASDM-Bild anzeigen): Zeigt das aktuelle ASDM-Bild an, das von der ASA verwendet wird.
Für diese Konfiguration sind derzeit keine spezifischen Informationen zur Fehlerbehebung verfügbar.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
21-Aug-2007
|
Erstveröffentlichung |