Créer une nouvelle image et effectuer la récupération du système

Cette section comprend des procédures de dépannage des problèmes de démarrage et de récupération de mots de passe.

Sécurité intégrée du mode appareil

Si Firepower 1000, Firepower 2100 en mode appareil, Cisco Secure Firewall 1200, Cisco Secure Firewall 3100 ou Cisco Secure Firewall 4200 ne parviennent pas à démarrer l’ASA, il passeront en mode sécurité intégrée FXOS. Dans ce mode, FXOS permet une configuration minimale pour permettre le diagnostic et la récupération du système. Vous pouvez configurer l’interface Management avec une adresse IP, un DNS et un NTP afin de pouvoir télécharger et installer l’image de l’ASA. Seule l’interface Management peut être configurée en mode sécurité intégrée. Lorsque vous vous connectez à FXOS, utilisez le nom d’utilisateur admin et le mot de passe d’activation de l'ASA que vous avez définis précédemment.

Firepower 2100 en mode plateforme permet la configuration FXOS des fonctions du châssis en tout temps.

Les procédures de ce chapitre présentent les différences entre Firepower 2100 en modes appareil et en mode plateforme.

Effectuer une réinitialisation d’usine (réinitialiser le mot de passe)

Si vous ne pouvez pas vous connecter à FXOS (soit parce que vous avez oublié le mot de passe, soit que le système de fichiers SSD disk1 a été corrompu), vous pouvez restaurer la configuration de FXOS aux valeurs d’usine à l’aide de ROMMON. Le mot de passe admin est remis par défaut à Admin123. Cette procédure réinitialise également la configuration de l’ASA. Si vous connaissez le mot de passe et que vous souhaitez restaurer la configuration d’usine par défaut à partir de FXOS, consultez Rétablir les valeurs par défaut de la configuration.

Avant de commencer

Vous devez avoir un accès à la console pour cette procédure.

Procédure

Étape 1

Connectez-vous au port de console et mettez le dispositif sous tension. Pendant le démarrage, appuyez sur la touche Échap lorsque vous êtes invité à accéder à l’invite pour ROMMON.

Observez attentivement le moniteur.

Exemple:


*******************************************************************************
Cisco System ROMMON, Version 1.0.06, RELEASE SOFTWARE
Copyright (c) 1994-2018  by Cisco Systems, Inc.
Compiled Thu 04/06/2018 12:16:16.21 by builder
*******************************************************************************

Current image running: Boot ROM0
Last reset cause: ResetRequest
DIMM_1/1 : Present
DIMM_2/1 : Present

Platform FPR-2130 with 32768 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: 0c:75:bd:08:c9:80

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.

Appuyez sur la touche Échap.

Étape 2

Effectuez une réinitialisation d’usine.

rommon 2 > factory-reset

Remarque

 

Pour ROMMON version 1.0.04, utilisez la commande password_reset ; cette commande a été remplacée par factory-reset dans les versions ultérieures. Pour vérifier la version de ROMMON, saisissez showinfo . 

rommon 1 > show info

Cisco System ROMMON, Version 1.0.06, RELEASE SOFTWARE
Copyright (c) 1994-2018  by Cisco Systems, Inc.
Compiled Wed 11/01/2018 18:38:59.66 by builder

Vous serez invité plusieurs fois à confirmer que vous souhaitez effacer votre configuration, puis à initialiser l’image.

Remarque

 

Si vous n’êtes pas invité à initialiser l’image, saisissez la commande boot .

Exemple:

Firepower 2100 – mode plateforme :


rommon 2 > factory-reset
Warning: All configuration will be permanently lost with this operation
         and application will be initialized to default configuration.
         This operation cannot be undone after booting the application image.
 
         Are you sure you would like to continue ? yes/no [no]: yes
         Please type 'ERASE' to confirm the operation or any other value to cancel: ERASE
 
Performing factory reset...
File size is 0x0000001b
Located .boot_string
Image size 27 inode num 16, bks cnt 1 blk size 8*512
 
Rommon will continue to boot disk0: fxos-k8-fp2k-lfbff.2.3.1.132.SSB
Are you sure you would like to continue ? yes/no [no]: yes
File size is 0x0817a870
Located fxos-k8-fp2k-lfbff.2.3.1.132.SSB

Firepower 1000, 2100, Cisco Secure Firewall 1200, Cisco Secure Firewall 3100 et Cisco Secure Firewall 4200 – mode appareil :

Remarque

 

Pendant le démarrage, le système vous invite à vous connecter à FXOS et à définir le mot de passe d’administrateur. Bien que vous ne causiez aucun problème en vous connectant, vous devriez patienter jusqu’à ce que le système démarre l’ASA. Vous devez vous connecter à l’invite de l’ASA, qui vous demandera de modifier le mot de passe d’activation. C’est ce mot de passe d’activation que le système utilise pour la connexion à FXOS. 


rommon 2 > factory-reset
Warning: All configuration will be permanently lost with this operation 
         and application will be initialized to default configuration.
         This operation cannot be undone after booting the application image.
 
         Are you sure you would like to continue ? yes/no [no]: yes
         Please type 'ERASE' to confirm the operation or any other value to cancel: ERASE
 
Performing factory reset...
 
 
Execute 'boot' command afterwards for factory-reset to be initiated.
Use of reset/reboot/reload command will cancel the factory-reset request!
rommon 3 > boot
firepower-2140 login:
Cisco ASA: CMD=-start, CSP-ID=cisco-asa.99.13.1.108__asa_001_JAD200900ZRN2001A1, FLAG=''
Cisco ASA starting ...
[...]
firepower-2140 login: admin (automatic login)
Please wait for Cisco ASA to come online...1...
[...]
User enable_1 logged in to ciscoasa
Logins over the last 1 days: 1.  
Failed logins since the last login: 0.  
 Attaching to ASA CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
 
ciscoasa> enable
The enable password is not set.  Please set it now.
Enter  Password: *****
Repeat Password: *****
Note: Save your configuration so that the password can be used for FXOS failsafe access and persists across reboots
("write memory" or "copy running-config startup-config").
ciscoasa# write memory

Étape 3

Si vous n’êtes pas invité à initialiser l’image, saisissez la commande boot , qui chargera l’image d'initialisation par défaut.

Étape 4

Effectuez les tâches de configuration dans le guide de démarrage.

Démarrage à partir de ROMMON

Si vous ne pouvez pas démarrer le dispositif, il démarrera dans ROMMON où vous pouvez démarrer FXOS à partir d’un serveur TFTP ou d’un lecteur USB au format EXT2/3/4 ou VFAT/FAT32. Après avoir démarré dans FXOS, vous pouvez reformater l’eMMC (le dispositif flash interne qui contient les images logicielles). Après l’avoir reformaté, vous devez télécharger à nouveau les images sur l’eMMC. Cette procédure conserve toute la configuration qui est stockée sur un disque ssd1 distinct.

Le système de fichiers eMMC pourrait être corrompu en raison d’une panne d’alimentation ou d’une autre condition rare.

Avant de commencer

Vous devez avoir un accès à la console pour cette procédure.

Procédure

Étape 1

Si vous ne pouvez pas démarrer, le système démarrera dans ROMMON.

S’il ne démarre pas automatiquement dans ROMMON, appuyez sur la touche Échap. pendant le démarrage lorsque vous êtes invité à atteindre l’invite ROMMON. Observez attentivement le moniteur.

Exemple:


*******************************************************************************
Cisco System ROMMON, Version 1.0.06, RELEASE SOFTWARE
Copyright (c) 1994-2018  by Cisco Systems, Inc.
Compiled Thu 04/06/2018 12:16:16.21 by builder
*******************************************************************************

Current image running: Boot ROM0
Last reset cause: ResetRequest
DIMM_1/1 : Present
DIMM_2/1 : Present

Platform FPR-2130 with 32768 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: 0c:75:bd:08:c9:80

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.

Appuyez sur la touche Échap.

Étape 2

Démarrez à partir d’une image sur un lecteur USB au format EXT2/3/4 ou VFAT/FAT32, ou démarrez sur le réseau à l’aide de TFTP.

Remarque

 

Pour la version 9.12 et les versions antérieures, si vous démarrez FXOS à partir de ROMMON et que l’image actuellement installée peut également être démarrée, assurez-vous de démarrer la même version que l’image actuellement installée. Sinon, une incompatibilité de version FXOS/ASA entraînera le plantage de l’ASA. Dans la version 9.13 et les versions ultérieures, le démarrage de FXOS à partir de ROMMON empêche l’ASA de se charger automatiquement.

Si vous souhaitez démarrer à partir d’un lecteur USB :

boot -b usb:/chemin/nomdufichier

Remarque

 

Si vous insérez le lecteur USB pendant que le système est en marche, vous devrez redémarrer celui-ci avant qu’il ne reconnaisse le lecteur USB.

Le dispositif démarre l’interface de ligne de commande de FXOS. Utilisez la commande dir usb: pour afficher le contenu du disque.

Exemple:


rommon 1 > dir usb:
rommon 2 > boot -b usb:/cisco-asa-fp2k.9.20.2.SPA

Si vous souhaitez démarrer à partir de TFTP :

Définissez les paramètres réseau pour Management 1/1 et chargez le paquet ASA à l’aide des commandes ROMMON suivantes.

ADDRESS=adresse_ip_de_management

NETMASK=masque_du_sous-réseau

SERVER=adresse_ip_de_tftp

GATEWAY=adresse_ip_de_la_passerelle

FILE=chemin/nomdefichier

set

sync

tftpdnld -b

L’image FXOS est téléchargée et démarre dans l’interface de ligne de commande.

Consultez les renseignements suivants :

  • set  : affiche les paramètres réseau. Vous pouvez également utiliser la commande ping pour vérifier la connectivité avec le serveur.

  • sync  : enregistre les paramètres réseau.

  • tftpdnld -b  : charge FXOS.

Exemple:


rommon 1 > ADDRESS=10.86.118.4
rommon 2 > NETMASK=255.255.252.0
rommon 3 > SERVER=10.86.118.21
rommon 4 > GATEWAY=10.86.118.1
rommon 5 > FILE=cisco-asa-fp2k.9.8.2.SPA
rommon 6 > set
ROMMON Variable Settings:
  ADDRESS=10.86.118.4
  NETMASK=255.255.252.0
  GATEWAY=10.86.118.21
  SERVER=10.86.118.21
  IMAGE=cisco-asa-fp2k.9.8.2.SPA
  CONFIG=
  PS1="rommon ! > "

rommon 7 > sync
rommon 8 > tftpdnld -b
Enable boot bundle: tftp_reqsize = 268435456

             ADDRESS: 10.86.118.4
             NETMASK: 255.255.252.0
             GATEWAY: 10.86.118.21
              SERVER: 10.86.118.1
               IMAGE: cisco-asa-fp2k.9.8.2.SPA
             MACADDR: d4:2c:44:0c:26:00
           VERBOSITY: Progress
               RETRY: 40
          PKTTIMEOUT: 7200
             BLKSIZE: 1460
            CHECKSUM: Yes
                PORT: GbE/1
             PHYMODE: Auto Detect

link up
Receiving cisco-asa-fp2k.9.8.2.SPA from 10.86.118.21!!!!!!!!
[…]

Envoyez un message Ping pour résoudre un problème de connectivité avec le serveur :


rommon 1 > ping 10.86.118.21
Sending 10, 32-byte ICMP Echoes to 10.86.118.21 timeout is 4 seconds
!!!!!!!!!!
Success rate is 100 percent (10/10)
rommon 2 >

Étape 3

Connectez-vous à FXOS à l’aide de votre mot de passe d’administrateur actuel.

Remarque

 

Si vous ne connaissez pas vos informations d’authentification ou si vous ne pouvez pas vous connecter en raison d’une corruption de disque, vous devez effectuer une réinitialisation d’usine à l’aide de la commande ROMMON factory-reset (voir Effectuer une réinitialisation d’usine (réinitialiser le mot de passe)). Après avoir effectué la réinitialisation d’usine, recommencez cette procédure pour démarrer dans FXOS et connectez-vous avec les informations d’authentification par défaut (admin/Admin123).

Étape 4

Reformatez l’eMMC.

connect local-mgmt

format emmc

Entrez yes (oui).

Exemple:


firepower-2110# connect local-mgmt 
firepower-2110(local-mgmt)# format emmc
All bootable images will be lost.
Do you still want to format? (yes/no):yes

Étape 5

Configurez l’interface Management afin de pouvoir télécharger l’image de l’ASA à partir d’un serveur.

Si vous utilisez un lecteur USB, vous pouvez ignorer cette étape.

  1. Saisissez la portée de fabric-interconnect (interconnexion de trames) :

    scope fabric-interconnect a

  2. Définissez les nouvelles informations IP de Management :

    set out-of-band static ip ip netmask masque réseau gw passerelle

  3. Validez la configuration :

    commit-buffer

Exemple:


firepower# scope fabric-interconnect a
firepower /fabric-interconnect # set out-of-band static ip 10.1.1.5 netmask 255.255.255.0 gw 10.1.1.1
firepower /fabric-interconnect* # commit-buffer

Remarque

 

Si vous rencontrez l’erreur suivante, vous devez désactiver le protocole DHCP avant de valider la modification. Suivez les commandes ci-dessous pour désactiver le protocole DHCP. 

firepower /fabric-interconnect* # commit-buffer
Error: Update failed: [Management ipv4 address (IP <ip> / net mask <netmask> ) is not in the same network of current DHCP server IP range <ip - ip>.
Either disable DHCP server first or config with a different ipv4 address.]
firepower /fabric-interconnect* # exit
firepower* # scope system
firepower /system* # scope services
firepower /system/services* # disable dhcp-server
firepower /system/services* # commit-buffer

Étape 6

Téléchargez à nouveau le paquet ASA et initialisez-le.

  1. Téléchargez le paquet. Puisque vous avez démarré temporairement à partir d’un lecteur USB ou de TFTP, vous devez toujours télécharger l’image sur le disque local.

    scope firmware

    download image url

    show download-task

    Précisez l’URL du fichier en cours d’importation en utilisant l’un des modèles suivants :

    • ftp://nomd'utilisateur@serveur/[chemin/]nom_de_l'image

    • scp://nomd'utilisateur@serveur/[chemin/]nom_de_l'image

    • sftp://nomd'utilisateur@serveur/[chemin/]nom_de_l'image

    • tftp://serveur[:port]/[chemin/]nom_de_l'image

    • usbA:/chemin/nomdufichier

    Exemple:

    
firepower-2110# scope firmware
firepower-2110 /firmware # download image tftp://10.86.118.21/cisco-asa-fp2k.9.8.2.SPA
Please use the command 'show download-task' or 'show download-task detail' to check download progress.
firepower-2110 /firmware # show download-task
Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    cisco-asa-fp2k.9.8.2.SPA
              Tftp     10.88.29.21             0                 Downloaded

  2. Lorsque le téléchargement du paquet se termine (état Downloaded [Téléchargé]), démarrez-le.

    show package

    scope auto-install

    install security-pack version version

    Dans la sortie show package , copiez la valeur Package-Vers (Version du paquet) pour le numéro security-pack version . Le châssis installe l’image de l’ASA et redémarre.

    Exemple:

    
firepower 2110 /firmware # show package
Name                                          Package-Vers
--------------------------------------------- ------------
cisco-asa-fp2k.9.8.2.SPA                      9.8.2
firepower 2110 /firmware # scope auto-install
firepower 2110 /firmware/auto-install # install security-pack version 9.8.2
The system is currently installed with security software package not set, which has:
   - The platform version: not set
If you proceed with the upgrade 9.8.2, it will do the following:
   - upgrade to the new platform version 2.2.2.52
   - install with CSP asa version 9.8.2
During the upgrade, the system will be reboot

Do you want to proceed ? (yes/no):yes

This operation upgrades firmware and software on Security Platform Components
Here is the checklist of things that are recommended before starting Auto-Install
(1) Review current critical/major faults
(2) Initiate a configuration backup

Attention:
   If you proceed the system will be re-imaged. All existing configuration will be lost,
   and the default configuration applied.
Do you want to proceed? (yes/no):yes

Triggered the install of software package version 9.8.2
Install started. This will take several minutes.
For monitoring the upgrade progress, please enter 'show' or 'show detail' command.

Étape 7

Attendez que le châssis ait terminé de redémarrer (de 5 à 10 minutes).

Bien que FXOS soit allumé, vous devez toujours attendre que l’ASA s’affiche (5 minutes). Attendez que les messages suivants s’affichent : 


firepower-2110# 
Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Verifying signature for cisco-asa.9.8.2.2 ...
Verifying signature for cisco-asa.9.8.2.2 ... success

Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Cisco ASA starting ...
Registering to process manager ...
Cisco ASA started successfully. 
...

Formater le système de fichiers SSD (Firepower 2100)

Si vous vous êtes connecté avec succès à FXOS, mais que vous voyez des messages d’erreur de corruption de disque, vous pouvez reformater SSD1 où la configuration FXOS et ASA est stockée. Cette procédure restaure la configuration FXOS aux valeurs d’usine par défaut. Pour le mode plateforme, le mot de passe admin est remis par défaut à Admin123. Cette procédure réinitialise également la configuration de l’ASA.

Cette procédure ne s’applique pas aux autres modèles, qui ne vous permettent pas d’effacer le disque SSD tout en conservant l’image de démarrage.

Procédure

Étape 1

Connectez-vous à l’Interface de ligne de commande FXOS depuis le port de la console.

  • Firepower 2100 en mode appareil : vous vous connectez à l’ASA initialement au niveau du port de console. Pour vous connecter à FXOS, entrez la commande connect fxos admin .

  • Firepower 2100 en mode plateforme : vous vous connectez à FXOS initialement au niveau du port de console. Connectez-vous avec le nom d'utilisateur admin et avec le mot de passe d'administrateur.

Étape 2

Reformatez le disque SSD1.

connect local-mgmt

format ssd1

Exemple:

Firepower 2100 – mode appareil :

Remarque

 

Pendant le démarrage, le système vous invite à vous connecter à FXOS et à définir le mot de passe d’administrateur. Bien que vous ne causiez aucun problème en vous connectant, vous devriez patienter jusqu’à ce que le système démarre l’ASA. Vous devez vous connecter à l’invite de l’ASA, qui vous demandera de modifier le mot de passe d’activation. C’est ce mot de passe d’activation que le système utilise pour la connexion à FXOS. 


firepower-2110# connect local-mgmt 
firepower-2110(local-mgmt)# format ssd1
All configuration will be lost.
Do you still want to format? (yes/no):yes
Broadcast message from root@firepower-2140 (Fri Aug 16 19:53:45 2019):
All shells being terminated due to system /sbin/reboot
[  457.119988] reboot: Restarting system

[...]

*******************************************************************************
Cisco System ROMMON, Version 1.0.12, RELEASE SOFTWARE
Copyright (c) 1994-2019  by Cisco Systems, Inc.
Compiled Mon 06/17/2019 16:23:23.36 by builder
*******************************************************************************
 
Current image running: Boot ROM0
Last reset cause: ResetRequest (0x00001000)
DIMM_1/1 : Present
DIMM_2/1 : Present
 
Platform FPR-2140 with 65536 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: 70:7d:b9:75:23:00
 
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Located '.boot_string' @ cluster 98101.

[...]

Primary SSD discovered
Primary SSD has incorrect partitions
Skipping prompt because disk is blank
Formating Primary SSD...
Creating config partition: START: 1MB END: 1001MB

[...]

firepower-2140 login: 
Waiting for Application infrastructure to be ready...
Verifying the signature of the Application image...
Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.13.0.33__asa_001_JMX2134Y38S4F4RBT1, FLAG=''
Cisco ASA starting ...
Cisco ASA started successfully.

[...]

INFO: Unable to read firewall mode from flash
       Writing default firewall mode (single) to flash
 
INFO: Unable to read cluster interface-mode from flash
        Writing default mode "None" to flash
The 3DES/AES algorithms require a Encryption-3DES-AES entitlement.
The 3DES/AES algorithms require a Encryption-3DES-AES entitlement.
Cisco Adaptive Security Appliance Software Version 9.13.0.33
 
User enable_1 logged in to ciscoasa
Logins over the last 1 days: 1.  
Failed logins since the last login: 0.  
firepower-2140 login: admin (automatic login)
 
Successful login attempts for user 'admin' : 1
Attaching to ASA CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
 
ciscoasa> enable
The enable password is not set.  Please set it now.
Enter  Password: *****
Repeat Password: *****

Étape 3

Effectuez les tâches de configuration dans le guide de démarrage.

Rétablir les valeurs par défaut de la configuration

Vous pouvez rétablir les valeurs par défaut de la configuration FXOS. Cette procédure réinitialise également le déploiement et la configuration de l’ASA. Le mot de passe d’administrateur est également réinitialisé à la valeur par défaut Admin123. Cependant, comme vous effectuez cette procédure dans FXOS, vous devez connaître le mot de passe d’administrateur actuel. Si vous ne connaissez pas le mot de passe d’administrateur, utilisez la procédure dans Effectuer une réinitialisation d’usine (réinitialiser le mot de passe).

Le mot de passe d’administrateur est identique au mot de passe d’activation de l’ASA.

Avant de commencer

Vous devez avoir un accès à la console pour cette procédure.

Procédure

Étape 1

Connectez-vous à l’Interface de ligne de commande FXOS depuis le port de la console.

connect fxos admin

Étape 2

Connectez-vous à la gestion locale :

connect local-mgmt

Exemple:


firepower-2120# connect local-mgmt
firepower-2120(local-mgmt)#

Étape 3

Effacez toute la configuration FXOS et rétablissez la configuration par défaut du châssis.

erase configuration

Exemple:


firepower-2120(local-mgmt)# erase configuration
All configurations will be erased and system will reboot. Are you sure? (yes/no):

Étape 4

Confirmez que vous souhaitez effacer la configuration en saisissant yes (oui) dans l’invite de commande.

Le système efface toute la configuration de votre châssis, puis redémarre.

Remarque

 

Pendant le démarrage, le système vous invite à vous connecter à FXOS et à définir le mot de passe d’administrateur. Bien que vous ne causiez aucun problème en vous connectant, vous devriez patienter jusqu’à ce que le système démarre l’ASA. Vous devez vous connecter à l’invite de l’ASA, qui vous demandera de modifier le mot de passe d’activation. C’est ce mot de passe d’activation que le système utilise pour la connexion à FXOS.

Effectuer un effacement sécurisé

La fonctionnalité d’effacement sécurisé efface toutes les données sur les disques SSD afin que ces données ne puissent pas être récupérées, même en utilisant des outils spéciaux sur le disque SSD lui-même. Vous devez effectuer un effacement sécurisé lors de la désactivation du dispositif.

Pour Firepower 2100, l’image logicielle n’est pas effacée, vous pouvez donc toujours démarrer dans l’ASA. Pour les autres modèles, l’image logicielle est effacée, de sorte que le dispositif démarrera dans ROMMON, où vous pouvez télécharger une nouvelle image.

Avant de commencer

  • Pour Firepower 1000, si vous effectuez la réinitialisation d’un dispositif Défense contre les menaces à un ASA, vous devrez peut-être éteindre le dispositif pour permettre l’utilisation de la fonction Effacement sécurisé. La fonction Effacement sécurisé nécessite un cycle d’alimentation après la mise à niveau vers Défense contre les menaces 6.5 ou une version ultérieure, ou si vous réinitialisez l’image vers ASA à partir de Défense contre les menaces 6.4; un redémarrage seul n’est pas suffisant.

  • Vous devez avoir un accès à la console pour cette procédure.

Procédure

Étape 1

Connectez-vous à l’Interface de ligne de commande FXOS depuis le port de la console.

  • Firepower 2100 en mode plateforme : vous vous connectez à FXOS initialement au niveau du port de console. Connectez-vous avec le nom d'utilisateur admin et avec le mot de passe d'administrateur.

  • Tous les autres modèles : vous vous connectez à l’ASA initialement au niveau du port de console. Pour vous connecter à FXOS, entrez la commande connect fxos admin .

Étape 2

Entrez en mode gestion locale.

local-mgmt

Exemple:


Firepower# connect local-mgmt
Firepower(local-mgmt)#

Étape 3

Effacez les disques SSD en toute sécurité.

erase secure {all | ssd1 | ssd2}

  • all  : efface tous les disques SSD. Firepower 2100 ou Cisco Secure Firewall 3100 comprennent deux SSD, tandis que Firepower 1000 ne comprend que le disque SSD1.

  • ssd1  : efface uniquement SSD1.

  • ssd2  : efface uniquement SSD2.

Étape 4

(Tous les modèles, à l’exception de Firepower 2100 en mode plateforme) Vous démarrez dans ROMMON. Démarrez une nouvelle image en fonction de Démarrage à partir de ROMMON.

Effectuer une recréation d’image complète

Cette procédure reformate le dispositif et ramène le système à ses paramètres d’usine par défaut. Après avoir effectué cette procédure, vous devez télécharger les nouvelles images logicielles. Vous souhaiterez peut-être effectuer une recréation d’image complète si vous réaffectez le dispositif et souhaitez supprimer les images de configuration et de logiciel.

Avant de commencer

  • Vous devez avoir un accès à la console pour cette procédure.

  • Téléchargez le paquet ASA sur un serveur TFTP ou un lecteur USB au format EXT2/3/4 ou VFAT/FAT32.

  • Si vous utilisez un lecteur USB, installez-le avant de commencer. Si vous insérez le lecteur USB pendant que le système est en marche, vous devrez redémarrer celui-ci avant qu’il ne reconnaisse le lecteur USB.

Procédure

Étape 1

Annulez l’enregistrement de l’ASA sur le serveur Smart Software Licensing, à partir de l’interface de ligne de commande ASA/ASDM ou du serveur Smart Software Licensing.

Étape 2

Connectez-vous à l’Interface de ligne de commande FXOS depuis le port de la console.

  • Firepower 2100 en mode plateforme : vous vous connectez à FXOS initialement au niveau du port de console. Connectez-vous avec le nom d'utilisateur admin et avec le mot de passe d'administrateur.

  • Tous les autres modèles : vous vous connectez à l’ASA initialement au niveau du port de console. Pour vous connecter à FXOS, entrez la commande connect fxos admin .

Étape 3

Reformatez le système.

connect local-mgmt

format everything

Saisissez yes (oui), pour redémarrer le dispositif.

Exemple:


firepower-2110# connect local-mgmt 
firepower-2110(local-mgmt)# format everything
All configuration and bootable images will be lost.
Do you still want to format? (yes/no):yes

Étape 4

Pendant le démarrage, appuyez sur la touche Échap lorsque vous êtes invité à accéder à l’invite pour ROMMON. Observez attentivement le moniteur.

Exemple:


*******************************************************************************
Cisco System ROMMON, Version 1.0.03, RELEASE SOFTWARE
Copyright (c) 1994-2017  by Cisco Systems, Inc.
Compiled Thu 04/06/2017 12:16:16.21 by builder
*******************************************************************************

Current image running: Boot ROM0
Last reset cause: ResetRequest
DIMM_1/1 : Present
DIMM_2/1 : Present

Platform FPR-2130 with 32768 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: 0c:75:bd:08:c9:80

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.

Appuyez sur la touche Échap.

Étape 5

Démarrez à partir du paquet ASA sur un lecteur USB au format EXT2/3/4 ou VFAT/FAT32, ou démarrez sur le réseau à l’aide de TFTP.

Si vous souhaitez démarrer à partir d’un lecteur USB :

boot -b usb:/chemin/nomdufichier

Remarque

 

Si vous insérez le lecteur USB pendant que le système est en marche, vous devrez redémarrer celui-ci avant qu’il ne reconnaisse le lecteur USB.

Utilisez la commande dir usb: pour afficher le contenu du disque dans Firepower 1000 et 2100.

Exemple:


rommon 1 > dir usb:
rommon 2 > boot -b usb:/cisco-asa-fp2k.9.8.2.SPA

Si vous souhaitez démarrer à partir de TFTP :

Définissez les paramètres réseau pour Management 1/1 et chargez le paquet ASA à l’aide des commandes ROMMON suivantes.

ADDRESS=adresse_ip_de_management

NETMASK=masque_du_sous-réseau

SERVER=adresse_ip_de_tftp

GATEWAY=adresse_ip_de_la_passerelle

FILE=chemin/nomdefichier

set

sync

tftpdnld -b

Consultez les renseignements suivants :

  • set  : affiche les paramètres réseau. Vous pouvez également utiliser la commande ping pour vérifier la connectivité avec le serveur.

  • sync  : enregistre les paramètres réseau.

  • tftpdnld -b  : charge le paquet ASA.

Exemple:


rommon 1 > ADDRESS=10.86.118.4
rommon 2 > NETMASK=255.255.252.0
rommon 3 > SERVER=10.86.118.21
rommon 4 > GATEWAY=10.86.118.1
rommon 5 > FILE=cisco-asa-fp2k.9.8.2.SPA
rommon 6 > set
ROMMON Variable Settings:
  ADDRESS=10.86.118.4
  NETMASK=255.255.252.0
  GATEWAY=10.86.118.21
  SERVER=10.86.118.21
  IMAGE=cisco-asa-fp2k.9.8.2.SPA
  CONFIG=
  PS1="rommon ! > "

rommon 7 > sync
rommon 8 > tftpdnld -b
Enable boot bundle: tftp_reqsize = 268435456

             ADDRESS: 10.86.118.4
             NETMASK: 255.255.252.0
             GATEWAY: 10.86.118.21
              SERVER: 10.86.118.1
               IMAGE: cisco-asa-fp2k.9.8.2.SPA
             MACADDR: d4:2c:44:0c:26:00
           VERBOSITY: Progress
               RETRY: 40
          PKTTIMEOUT: 7200
             BLKSIZE: 1460
            CHECKSUM: Yes
                PORT: GbE/1
             PHYMODE: Auto Detect

link up
Receiving cisco-asa-fp2k.9.8.2.SPA from 10.86.118.21!!!!!!!!
[…]

Envoyez un message Ping pour résoudre un problème de connectivité avec le serveur :


rommon 1 > ping 10.86.118.21
Sending 10, 32-byte ICMP Echoes to 10.86.118.21 timeout is 4 seconds
!!!!!!!!!!
Success rate is 100 percent (10/10)
rommon 2 >

Étape 6

Une fois que le système est démarré, connectez-vous à FXOS en utilisant le nom d’utilisateur par défaut admin et le mot de passe Admin123.

Étape 7

Configurez l’interface Management afin de pouvoir télécharger l’image de l’ASA à partir d’un serveur.

Si vous utilisez un lecteur USB, vous pouvez ignorer cette étape.

  1. Saisissez la portée de fabric-interconnect (interconnexion de trames) :

    scope fabric-interconnect a

  2. Définissez les nouvelles informations IP de Management :

    set out-of-band static ip ip netmaskmasque réseau gwpasserelle

  3. Validez la configuration :

    commit-buffer

Exemple:


firepower# scope fabric-interconnect a
firepower /fabric-interconnect # set out-of-band static ip 10.1.1.5 netmask 255.255.255.0 gw 10.1.1.1
firepower /fabric-interconnect* # commit-buffer

Remarque

 

Si vous rencontrez l’erreur suivante, vous devez désactiver le protocole DHCP avant de valider la modification. Suivez les commandes ci-dessous pour désactiver le protocole DHCP. 

firepower /fabric-interconnect* # commit-buffer
Error: Update failed: [Management ipv4 address (IP <ip> / net mask <netmask> ) is not in the same network of current DHCP server IP range <ip - ip>.
Either disable DHCP server first or config with a different ipv4 address.]
firepower /fabric-interconnect* # exit
firepower* # scope system
firepower /system* # scope services
firepower /system/services* # disable dhcp-server
firepower /system/services* # commit-buffer

Étape 8

Téléchargez et démarrez le paquet ASA. Puisque vous avez démarré temporairement à partir d’un lecteur USB ou de TFTP, vous devez toujours télécharger l’image sur le disque local.

  1. Téléchargez le paquet.

    scope firmware

    download image url

    show download-task

    Vous pouvez télécharger le paquet à partir du même serveur TFTP ou du lecteur USB que vous avez utilisé précédemment, ou d’un autre serveur accessible sur Management 1/1. Précisez l’URL du fichier en cours d’importation en utilisant l’un des modèles suivants :

    • ftp://nomd'utilisateur@serveur/[chemin/]nom_de_l'image

    • scp://nomd'utilisateur@serveur/[chemin/]nom_de_l'image

    • sftp://nomd'utilisateur@serveur/[chemin/]nom_de_l'image

    • tftp://serveur[:port]/[chemin/]nom_de_l'image

    • usbA:/chemin/nomdufichier

    Exemple:

    
firepower-2110# scope firmware
firepower-2110 /firmware # download image tftp://10.86.118.21/cisco-asa-fp2k.9.8.2.SPA
Please use the command 'show download-task' or 'show download-task detail' to check download progress.
firepower-2110 /firmware # show download-task
Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    cisco-asa-fp2k.9.8.2.SPA
              Tftp     10.88.29.21             0                 Downloaded

  2. Lorsque le téléchargement du paquet se termine (état Downloaded [Téléchargé]), démarrez-le.

    show package

    scope auto-install

    install security-pack version version

    Dans la sortie show package , copiez la valeur Package-Vers (Version du paquet) pour le numéro security-pack version . Le châssis installe le paquet de l’ASA et redémarre.

    Exemple:

    
firepower 2110 /firmware # show package
Name                                          Package-Vers
--------------------------------------------- ------------
cisco-asa-fp2k.9.8.2.SPA                      9.8.2
firepower 2110 /firmware # scope auto-install
firepower 2110 /firmware/auto-install # install security-pack version 9.8.2
The system is currently installed with security software package not set, which has:
   - The platform version: not set
If you proceed with the upgrade 9.8.2, it will do the following:
   - upgrade to the new platform version 2.2.2.52
   - install with CSP asa version 9.8.2
During the upgrade, the system will be reboot

Do you want to proceed ? (yes/no):yes

This operation upgrades firmware and software on Security Platform Components
Here is the checklist of things that are recommended before starting Auto-Install
(1) Review current critical/major faults
(2) Initiate a configuration backup

Attention:
   If you proceed the system will be re-imaged. All existing configuration will be lost,
   and the default configuration applied.
Do you want to proceed? (yes/no):yes

Triggered the install of software package version 9.8.2
Install started. This will take several minutes.
For monitoring the upgrade progress, please enter 'show' or 'show detail' command.

    Remarque

     

    Ignorez le message « All existing configuration will be lost, and the default configuration applied. » (Toute la configuration existante sera perdue et la configuration par défaut sera appliquée.). La configuration ne sera pas effacée et la configuration par défaut n’est pas appliquée.

Étape 9

Attendez que le châssis ait terminé de redémarrer (de 5 à 10 minutes) et connectez-vous à FXOS en tant qu’administrateur.

Bien que FXOS soit allumé, vous devez toujours attendre que l’ASA s’affiche (5 minutes). Attendez que les messages suivants s’affichent : 


firepower-2110# 
Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Verifying signature for cisco-asa.9.8.2 ...
Verifying signature for cisco-asa.9.8.2 ... success

Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Cisco ASA starting ...
Registering to process manager ...
Cisco ASA started successfully. 
[…]

Historique de reprise du système

Fonctionnalités

Version

Détails

Effacement sécurisé

9.13(1)

La fonction d’effacement sécurisé efface toutes les données sur les disques SSD afin que ces données ne puissent pas être récupérées, même en utilisant des outils spéciaux sur le disque SSD lui-même. Vous devez effectuer un effacement sécurisé lors de la désactivation du dispositif.

Commandes nouvelles/modifiées : erase secure (local-mgmt)