Mettre à niveau l’ASA

Mettez à niveau l’ASA en fonction des procédures du présent document.

Mettre à niveau l’appareil ASA

Ce document décrit comment planifier et mettre en œuvre une mise à niveau ASA, FXOS et ASDM pour les déploiements autonomes, de basculement ou de mise en grappe sur les modèles suivants :

  • Firepower 1000

  • Secure Firewall 1200

  • Firepower de la série 2100

  • Secure Firewall 3100

  • Secure Firewall 4200

Pour le Firepower 2100 en version 9.12 et toute version antérieure, seul le mode plateforme est disponible. Dans les versions 9.13 et ultérieures, le mode appareil est le mode par défaut. Vérifiez le mode à l’aide de la commande show fxos mode sur l’interface de ligne de commande de l’ASA.

Mettre à niveau une unité autonome

Utilisez l’interface de ligne de commande ou ASDM pour mettre à niveau l’unité autonome.

Mettre à niveau une unité autonome à l'aide de l'interface de ligne de commande

Cette section décrit comment installer les images ASDM et ASA sur le Firepower 1000, le Firepower 2100 en mode appareil et le Secure Firewall 3100/4200.

Avant de commencer

Cette procédure utilise le protocole FTP. Pour TFTP, HTTP ou d’autres types de serveurs, consultez la commande copy dans la référence de commande ASA.

Procédure

Étape 1

En mode de configuration globale, si vous avez précédemment défini une image ASDM autre que celle par défaut, réinitialisez-la à l’image fournie avec votre ensemble d’images.

asdm image disk0:/asdm.bin

write memory

L’ensemble d’images inclut l’image ASDM, et lorsque vous mettez à niveau le paquet de l’ASA, l’image ASDM de l’offre groupée remplace l’image du groupe ASDM précédent sur l’ASA après le rechargement, car elles portent le même nom (asdm.bin). Si vous avez choisi manuellement une autre image ASDM que vous avez chargée (par exemple, asdm-7191.bin), vous continuez à utiliser cette image même après une mise à niveau groupée. Pour vous assurer d’utiliser une version compatible d’ASDM, vous devez reconfigurer l’ASA de manière à utiliser l’image ASDM fournie.

Étape 2

En mode d’exécution privilégié (minimum), copiez le logiciel ASA dans la mémoire flash.

copy ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/nom_de_l_image_asa diskn:/[chemin/]nom_de_l_image_asa

Exemple:

ciscoasa# copy ftp://jcrichton:aeryn@10.1.1.1/cisco-asa-fp1k.9.14.1.SPA disk0:/cisco-asa-fp1k.9.14.1.SPA

Étape 3

Accédez au mode de configuration globale.

configure terminal

Exemple:

ciscoasa# configure terminal
ciscoasa(config)#

Étape 4

Affiche l’image de démarrage actuelle configurée, si elle est présente.

show running-config boot system

Notez que vous ne pouvez pas avoir une commande boot system dans votre configuration; par exemple, si vous avez installé l’image de ROMMON, avez un nouveau périphérique ou avez supprimé la commande manuellement.

Exemple:

ciscoasa(config)# show running-config boot system
boot system disk0:/cisco-asa-fp1k.9.13.1.SPA

Étape 5

Si vous avez configuré une commande boot system , supprimez-la pour pouvoir saisir la nouvelle image de démarrage.

no boot system diskn:/[chemin/]nom_de_l_image_asa

Si aucune commande boot system n’est configurée, ignorez cette étape.

Exemple:

ciscoasa(config)# no boot system disk0:/cisco-asa-fp1k.9.13.1.SPA

Étape 6

Définissez l’image ASA à démarrer (celle que vous venez de charger).

boot system diskn:/[chemin/]nom_de_l_image_asa

Vous ne pouvez saisir qu’une seule commande boot system . La commande boot system exécute une action lorsque vous la saisissez : le système valide et décompresse l’image et la copie dans l’emplacement de démarrage (un emplacement interne sur disk0 géré par FXOS). La nouvelle image sera chargée lorsque vous rechargerez l’ASA. Si vous changez d’avis avant de procéder au rechargement, vous pouvez entrer la commande no boot system pour supprimer la nouvelle image de l’emplacement de démarrage, de sorte que l’image actuelle continue de s’exécuter.

Exemple:

ciscoasa(config)# boot system disk0:/cisco-asa-fp1k.9.14.1.SPA

The system is currently installed with security software package 9.13.1, which has:
   - The platform version:  2.7.1
   - The CSP (asa) version: 9.13.1
Preparing new image for install...
!!!!!!!!!!!!!
Image download complete (Successful unpack the image).
Installation of version 9.14.1 will do the following:
   - upgrade to the new platform version 2.8.1
   - upgrade to the CSP ASA version 9.14.1
After the installation is complete, reload to apply the new image.
Finalizing image install process...
 
Install_status: ready...........
Install_status: validating-images.....
Install_status: update-software-pack-completed
ciscoasa(config)#

Étape 7

Enregistrez les nouveaux paramètres dans la configuration de démarrage :

write memory

Étape 8

Rechargez l’ASA :

reload

Mettre à niveau une unité autonome à partir de votre ordinateur local à l'aide d'ASDM

L’outil de mise à niveau du logiciel à partir de l’ordinateur local vous permet de charger un fichier image de votre ordinateur vers le système de fichiers flash pour mettre à niveau l’ASA pour le Firepower 1000, le Firepower 2100 en mode appareil et le Secure Firewall 3100/4200.

Procédure

Étape 1

Si vous avez précédemment défini une image ASDM autre que celle par défaut, réinitialisez-la à l’image fournie avec votre ensemble d’images.

L’ensemble d’images inclut l’image ASDM, et lorsque vous mettez à niveau le paquet de l’ASA, l’image ASDM de l’offre groupée remplace l’image du groupe ASDM précédent sur l’ASA après le rechargement, car elles portent le même nom (asdm.bin). Si vous avez choisi manuellement une autre image ASDM que vous avez chargée (par exemple, asdm-7191.bin), vous continuez à utiliser cette image même après une mise à niveau groupée. Pour vous assurer d’utiliser une version compatible d’ASDM, vous devez reconfigurer l’ASA de manière à utiliser l’image ASDM fournie.

  1. Dans la fenêtre principale de l’application ASDM, choisissez Configuration > Device Management > System Image/Configuration > Boot Image/Configuration (Configuration, Gestion de appareils, Image/Configuration du système, Image/Configuration de démarrage).

  2. Pour le chemin d’accès au fichier image ASDM, saisissez disk0:/asdm.bin.

  3. Cliquez sur Apply.

Étape 2

Dans la fenêtre d’application ASDM principale, choisissez Outils > Mettre à niveau le logiciel à partir de l’ordinateur local.

Étape 3

Dans la liste déroulante Image à charger, sélectionnez ASA.

Étape 4

Dans le champ Chemin d’accès au fichier local, cliquez sur Parcourir les fichiers locaux pour trouver le fichier sur votre ordinateur.

Étape 5

Dans le champ Chemin d’accès au système de fichiers flash, cliquez sur Parcourir la mémoire flash pour trouver le répertoire ou le fichier dans le système de fichiers flash.

Étape 6

Cliquez sur Charger une image.

Le processus de chargement peut prendre quelques minutes.

Étape 7

Vous êtes invité à définir cette image comme image ASA. Cliquez sur Yes (Oui).

Étape 8

Il vous est rappelé de recharger l’ASA pour utiliser la nouvelle image. Cliquez sur OK.

Vous quittez l’outil Mise à niveau.

Étape 9

Choisissez Outils > Rechargement du système pour recharger l’ASA.

Une nouvelle fenêtre s’affiche et vous demande de vérifier les détails du rechargement.

  1. Cliquez sur le bouton radio Enregistrer la configuration en cours d’enregistrement au moment du rechargement.

  2. Choisissez une heure de rechargement (par exemple, Maintenant, la valeur par défaut).

  3. Cliquer sur Planifier le rechargement.

Une fois que le rechargement est en cours, une fenêtre État du rechargement s’affiche pour indiquer qu’un rechargement est en cours. Une option pour quitter ASDM est également fournie.

Étape 10

Après le rechargement de l’ASA, redémarrez ASDM.

Vous pouvez vérifier l’état de rechargement à partir d’un port de console, ou vous pouvez attendre quelques minutes et essayer de vous connecter à l’aide d’ASDM.

Mettre à niveau une unité autonome à l'aide de l'assistant ASDM Cisco.com

L’assistant de mise à niveau du logiciel à partir de Cisco.com vous permet de mettre à niveau automatiquement ASDM et ASA vers des versions plus récentes pour le Firepower 1000, le Firepower 2100 en mode appareil et le Secure Firewall 3100.

Dans cet assistant, vous pouvez effectuer les opérations suivantes :

  • Choisissez un fichier image ASA ou un fichier image ASDM à mettre à niveau.


    Remarque

    ASDM télécharge la dernière version de l’image, qui comprend le numéro de version. Par exemple, si vous téléchargez la version 9.9(1), le téléchargement peut inclure la version 9.9(1.2). Ce comportement est normal, vous pouvez donc procéder à la mise à niveau prévue.

  • Passez en revue les modifications de mise à niveau que vous avez apportées.

  • Téléchargez l’image ou les images et installez-les.

  • Passez en revue l’état de l’installation.

  • Si l’installation a réussi, rechargez l’ASA pour enregistrer la configuration et terminer la mise à niveau.

Avant de commencer

En raison d’une modification interne, l’assistant est uniquement pris en charge par ASDM 7.10(1) ou les versions ultérieures. De plus, en raison d’une modification de nom d’image, vous devez utiliser ASDM 7.12(1) ou une version ultérieure pour effectuer une mise à niveau vers ASA 9.10(1) ou une version ultérieure. Comme ASDM est rétrocompatible avec les versions d’ASA antérieures, vous pouvez mettre à niveau ASDM, quelle que soit la version d’ASA que vous utilisez.

Procédure

Étape 1

Choisissez Outils > Vérifier la présence de mises à jour ASA/ASDM.

En mode contexte multiple, accédez à ce menu à partir du système.

La boîte de dialogue Authentification de Cisco.com s’affiche.

Étape 2

Saisissez votre nom d’utilisateur et votre mot de passe Cisco.com, puis cliquez sur Connexion.

L’assistant de mise à niveau Cisco.com s’affiche.

Remarque

 

Si aucune mise à niveau n’est disponible, une boîte de dialogue s’affiche. Cliquez sur OK pour quitter l’assistant.

Étape 3

Cliquez sur Suivant pour afficher l’écran Sélectionner un logiciel.

La version d’ASA actuelle et la version d’ASDM s’affichent.

Étape 4

Pour mettre à niveau la version d’ASA et la version d’ASDM, procédez comme suit :

  1. Dans la zone ASA, cochez la case Mettre à niveau vers, puis choisissez une version d’ASA à laquelle vous souhaitez passer dans la liste déroulante.

  2. Dans la zone ASDM, cochez la case Mettre à niveau vers, puis choisissez une version d’ASDM à laquelle vous souhaitez passer dans la liste déroulante.

Étape 5

Cliquez sur Suivant pour afficher l’écran Passer en revue les modifications.

Étape 6

Vérifiez les éléments suivants :

  • Le fichier image ASA ou le fichier image ASDM que vous avez téléchargé est le bon.

  • Le fichier image ASA ou le fichier image ASDM que vous souhaitez charger est le bon.

  • La bonne image de démarrage ASA a été sélectionnée.

Étape 7

Cliquez sur Suivant pour lancer l’installation de la mise à niveau.

Vous pouvez ensuite afficher l’état de l’installation de la mise à niveau à mesure qu’elle progresse.

L’écran Résultats s’affiche, et fournit des détails supplémentaires, comme l’état de l’installation de la mise à niveau (réussite ou échec).

Étape 8

Si l’installation de la mise à niveau a réussi, pour que les versions de mise à niveau prennent effet, cochez la case Enregistrer la configuration et recharger le périphérique maintenant pour redémarrer l’ASA et le redémarrer ASDM.

Étape 9

Cliquez sur Terminer pour quitter l’assistant et enregistrer les modifications de configuration que vous avez apportées.

Remarque

 

Pour passer à la version ultérieure, le cas échéant, vous devez redémarrer l’assistant.

Étape 10

Après le rechargement de l’ASA, redémarrez ASDM.

Vous pouvez vérifier l’état de rechargement à partir d’un port de console, ou vous pouvez attendre quelques minutes et essayer de vous connecter à l’aide d’ASDM.

Mettre à niveau une paire de basculements actif/de secours

Utilisez l’interface de ligne de commande ou ASDM pour mettre à niveau la paire de basculements actif/de secours pour une mise à niveau sans temps d’arrêt.

Mettre à niveau une paire de basculements actif/de secours à l'aide de l'interface de ligne de commande

Pour mettre à niveau la paire de basculements actif/de secours pour le Firepower 1000, le Firepower 2100 en mode appareil et le Secure Firewall 3100/4200, procédez comme suit.

Avant de commencer

  • Exécutez ces étapes sur l’unité active. Pour l‘accès SSH, connectez-vous à l‘adresse IP active; l’unité active présente toujours cette adresse IP. Lorsque vous vous connectez à l’interface de ligne de commande, déterminez l’état de basculement en examinant l’invite d’ASA; vous pouvez configurer l’invite ASA pour afficher l’état et la priorité de basculement (principal ou secondaire), ce qui est utile pour déterminer à quelle unité vous êtes connecté. Consultez la commande d’invite. Vous pouvez également saisir la commande show failover pour afficher l’état et la priorité de cette unité (principale ou secondaire).

  • Cette procédure utilise le protocole FTP. Pour TFTP, HTTP ou d’autres types de serveurs, consultez la commande copy dans la référence de commande ASA.

Procédure

Étape 1

Sur l’unité principale en mode de configuration globale, si vous avez précédemment défini une image ASDM autre que celle par défaut, réinitialisez-la à l’image fournie avec votre ensemble d’images.

asdm image disk0:/asdm.bin

write memory

L’ensemble d’images inclut l’image ASDM, et lorsque vous mettez à niveau le paquet de l’ASA, l’image ASDM de l’offre groupée remplace l’image du groupe ASDM précédent sur l’ASA après le rechargement, car elles portent le même nom (asdm.bin). Si vous avez choisi manuellement une autre image ASDM que vous avez chargée (par exemple, asdm-7191.bin), vous continuez à utiliser cette image même après une mise à niveau groupée. Pour vous assurer d’utiliser une version compatible d’ASDM, vous devez reconfigurer l’ASA de manière à utiliser l’image ASDM fournie.

Étape 2

Sur l’unité active, en mode d’exécution privilégié (minimum), copiez le logiciel ASA dans la mémoire flash de l’unité active :

copy ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/nom_de_l_image_asa diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/act# copy ftp://jcrichton:aeryn@10.1.1.1/cisco-asa-fp1k.9.14.1.SPA disk0:/cisco-asa-fp1k.9.14.1.SPA

Étape 3

Copiez le logiciel sur l’unité de secours. Assurez-vous de définir le même chemin que pour l’unité active :

failover exec mate copy /noconfirm ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/nom_de_l_image_asa diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/act# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/cisco-asa-fp1k.9.14.1.SPA disk0:/cisco-asa-fp1k.9.14.1.SPA

Étape 4

Si vous n’êtes pas déjà en mode de configuration globale, accédez-y :

configure terminal

Étape 5

Affiche l’image de démarrage actuelle configurée, si elle est présente.

show running-config boot system

Notez que vous ne pouvez pas avoir une commande boot system dans votre configuration; par exemple, si vous avez installé l’image de ROMMON, avez un nouveau périphérique ou avez supprimé la commande manuellement.

Exemple:

ciscoasa(config)# show running-config boot system
boot system disk0:/cisco-asa-fp1k.9.13.1.SPA

Étape 6

Si vous avez configuré une commande boot system , supprimez-la pour pouvoir saisir la nouvelle image de démarrage.

no boot system diskn:/[chemin/]nom_de_l_image_asa

Si aucune commande boot system n’est configurée, ignorez cette étape.

Exemple:

ciscoasa(config)# no boot system disk0:/cisco-asa-fp1k.9.13.1.SPA

Étape 7

Définissez l’image ASA à démarrer (celle que vous venez de charger).

boot system diskn:/[chemin/]nom_de_l_image_asa

Vous ne pouvez saisir qu’une seule commande boot system . La commande boot system exécute une action lorsque vous la saisissez : le système valide et décompresse l’image et la copie dans l’emplacement de démarrage (un emplacement interne sur disk0 géré par FXOS). La nouvelle image sera chargée lorsque vous rechargerez l’ASA. Si vous changez d’avis avant de procéder au rechargement, vous pouvez entrer la commande no boot system pour supprimer la nouvelle image de l’emplacement de démarrage, de sorte que l’image actuelle continue de s’exécuter.

Exemple:

ciscoasa(config)# boot system disk0:/cisco-asa-fp1k.9.14.1.SPA

The system is currently installed with security software package 9.13.1, which has:
   - The platform version:  2.7.1
   - The CSP (asa) version: 9.13.1
Preparing new image for install...
!!!!!!!!!!!!!
Image download complete (Successful unpack the image).
Installation of version 9.14.1 will do the following:
   - upgrade to the new platform version 2.8.1
   - upgrade to the CSP ASA version 9.14.1
After the installation is complete, reload to apply the new image.
Finalizing image install process...
 
Install_status: ready...........
Install_status: validating-images.....
Install_status: update-software-pack-completed
ciscoasa(config)#

Étape 8

Enregistrez les nouveaux paramètres dans la configuration de démarrage :

write memory

Ces modifications de configuration sont automatiquement enregistrées sur l’unité de secours.

Étape 9

Rechargez l’unité de secours pour démarrer la nouvelle image :

failover reload-standby

Attendez que l’unité de secours ait terminé le chargement. Utilisez la commande show failover pour vérifier que l’unité de secours est à l’état de secours.

Étape 10

Forcez l’unité active à basculer vers l’unité de secours.

no failover active

Si vous êtes déconnecté de votre session SSH, reconnectez-vous à l’adresse IP principale, maintenant sur la nouvelle unité active/ancienne unité de secours.

Étape 11

À partir de la nouvelle unité active, rechargez l’ancienne unité active (maintenant la nouvelle unité de secours).

failover reload-standby

Exemple:

asa/act# failover reload-standby

Remarque

 

Si vous êtes connecté au port de console de l’ancienne unité active, vous devez plutôt saisir la commande reload pour recharger l’ancienne unité active.

Mettre à niveau une paire de basculements actif/de secours à l’aide d’ASDM

L’outil de mise à niveau du logiciel à partir de l’ordinateur local vous permet de charger un fichier image de votre ordinateur vers le système de fichiers flash pour mettre à niveau la paire de basculements actif/de secours pour le Firepower 1000, le Firepower 2100 en mode appareil et le Secure Firewall 3100/4200.

Procédure

Étape 1

Lancez ASDM sur l’unité de secours en vous connectant à l’adresse IP de secours.

Étape 2

Dans la fenêtre d’application ASDM principale, choisissez Outils > Mettre à niveau le logiciel à partir de l’ordinateur local.

La boîte de dialogue Mettre à niveau le logiciel s’affiche.

Étape 3

Dans la liste déroulante Image à charger, sélectionnez ASA.

Étape 4

Dans le champ Chemin d’accès au fichier local, saisissez le chemin d’accès local au fichier sur votre ordinateur ou cliquez sur Parcourir les fichiers locaux pour trouver le fichier sur votre ordinateur.

Étape 5

Dans le champ Chemin d’accès au système de fichiers flash, saisissez le chemin d’accès au système de fichiers flash ou cliquez sur Parcourir la mémoire flash pour trouver le répertoire ou le fichier dans le système de fichiers flash.

Étape 6

Cliquez sur Charger une image. Le processus de chargement peut prendre quelques minutes.

Lorsque vous êtes invité à définir cette image comme image ASA, cliquez sur Non. Vous quittez l’outil Mise à niveau.

Étape 7

Connectez ASDM à l’unité active en vous connectant à l’adresse IP principale.

Étape 8

Si vous avez précédemment défini une image ASDM autre que celle par défaut, réinitialisez-la à l’image fournie avec votre ensemble d’images.

L’ensemble d’images inclut l’image ASDM, et lorsque vous mettez à niveau le paquet de l’ASA, l’image ASDM de l’offre groupée remplace l’image du groupe ASDM précédent sur l’ASA après le rechargement, car elles portent le même nom (asdm.bin). Si vous avez choisi manuellement une autre image ASDM que vous avez chargée (par exemple, asdm-7191.bin), vous continuez à utiliser cette image même après une mise à niveau groupée. Pour vous assurer d’utiliser une version compatible d’ASDM, vous devez reconfigurer l’ASA de manière à utiliser l’image ASDM fournie.

  1. Choisissez Configuration > Gestion des périphériques > Image du système/Configuration > Image de démarrage/Configuration.

  2. Pour le chemin d’accès au fichier image ASDM, saisissez disk0:/asdm.bin.

  3. Cliquez sur Apply.

Étape 9

Chargez le logiciel ASA en utilisant le même emplacement de fichier que vous avez utilisé sur l’unité de secours.

Étape 10

Lorsque vous êtes invité à définir l’image comme image ASA, cliquez sur Oui.

Il vous est rappelé de recharger l’ASA pour utiliser la nouvelle image. Cliquez sur OK. Vous quittez l’outil Mise à niveau.

Étape 11

Cliquez sur l’icône Enregistrer dans la barre d’outils pour enregistrer les modifications apportées à la configuration.

Ces modifications de configuration sont automatiquement enregistrées sur l’unité de secours.

Étape 12

Rechargez l’unité de secours en sélectionnant Surveillance > Propriétés > Basculement > État, puis cliquez sur Recharger l’unité de secours.

Restez dans le volet Système pour surveiller le rechargement de l’unité de secours.

Étape 13

Après le rechargement de l’unité de secours, forcez l’unité active à basculer vers l’unité de secours en sélectionnant Surveillance > Propriétés > Basculement > État, puis cliquez sur Faire passer en groupe de secours.

ASDM se reconnectera automatiquement à la nouvelle unité active.

Étape 14

Rechargez l’unité de secours (nouvelle) en sélectionnant Surveillance > Propriétés > Basculement > État, puis cliquez sur Recharger l’unité de secours.

Mettre à niveau une paire de basculements actif/actif

Utilisez l’interface de ligne de commande ou ASDM pour mettre à niveau la paire de basculements actif/actif pour une mise à niveau sans temps d’arrêt.

Mettre à niveau une paire de basculements actif/actif à l’aide de l’interface de ligne de commande

Pour mettre à niveau deux unités dans une configuration de basculement actif/actif, effectuez les étapes suivantes sur le Firepower 1000, le Firepower 2100 en mode appareil et le Secure Firewall 3100/4200.

Avant de commencer

  • Exécutez ces étapes sur l’unité principale.

  • Effectuez ces étapes dans l’espace d’exécution du système.

  • Cette procédure utilise le protocole FTP. Pour TFTP, HTTP ou d’autres types de serveurs, consultez la commande copy dans la référence de commande ASA.

Procédure

Étape 1

Sur l’unité principale en mode de configuration globale, si vous avez précédemment défini une image ASDM autre que celle par défaut, réinitialisez-la à l’image fournie avec votre ensemble d’images.

asdm image disk0:/asdm.bin

write memory

L’ensemble d’images inclut l’image ASDM, et lorsque vous mettez à niveau le paquet de l’ASA, l’image ASDM de l’offre groupée remplace l’image du groupe ASDM précédent sur l’ASA après le rechargement, car elles portent le même nom (asdm.bin). Si vous avez choisi manuellement une autre image ASDM que vous avez chargée (par exemple, asdm-7191.bin), vous continuez à utiliser cette image même après une mise à niveau groupée. Pour vous assurer d’utiliser une version compatible d’ASDM, vous devez reconfigurer l’ASA de manière à utiliser l’image ASDM fournie.

Étape 2

Sur l’unité principale, en mode d’exécution privilégié (minimum), copiez le logiciel ASA dans la mémoire flash :

copy ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/nom_de_l_image_asa diskn:/[chemin/]nom_de_l_image_asa

Remarque

 

ASDM est inclus dans l’image ASA.
Exemple:

asa/act/pri# copy ftp://jcrichton:aeryn@10.1.1.1/cisco-asa-fp1k.9.14.1.SPA disk0:/cisco-asa-fp1k.9.14.1.SPA

Étape 3

Copiez le logiciel sur l’unité secondaire. Assurez-vous de définir le même chemin que pour l’unité principale :

failover exec mate copy /noconfirm ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/nom_de_l_image_asa diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/act/pri# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/cisco-asa-fp1k.9.14.1.SPA disk0:/cisco-asa-fp1k.9.14.1.SPA

Étape 4

Si vous n’êtes pas déjà en mode de configuration globale, accédez-y :

configure terminal

Étape 5

Affiche l’image de démarrage actuelle configurée, si elle est présente.

show running-config boot system

Notez que vous ne pouvez pas avoir une commande boot system dans votre configuration; par exemple, si vous avez installé l’image de ROMMON, avez un nouveau périphérique ou avez supprimé la commande manuellement.

Exemple:

ciscoasa(config)# show running-config boot system
boot system disk0:/cisco-asa-fp1k.9.13.1.SPA

Étape 6

Si vous avez configuré une commande boot system , supprimez-la pour pouvoir saisir la nouvelle image de démarrage.

no boot system diskn:/[chemin/]nom_de_l_image_asa

Si aucune commande boot system n’est configurée, ignorez cette étape.

Exemple:

ciscoasa(config)# no boot system disk0:/cisco-asa-fp1k.9.13.1.SPA

Étape 7

Définissez l’image ASA à démarrer (celle que vous venez de charger).

boot system diskn:/[chemin/]nom_de_l_image_asa

Vous ne pouvez saisir qu’une seule commande boot system . La commande boot system exécute une action lorsque vous la saisissez : le système valide et décompresse l’image et la copie dans l’emplacement de démarrage (un emplacement interne sur disk0 géré par FXOS). La nouvelle image sera chargée lorsque vous rechargerez l’ASA. Si vous changez d’avis avant de procéder au rechargement, vous pouvez entrer la commande no boot system pour supprimer la nouvelle image de l’emplacement de démarrage, de sorte que l’image actuelle continue de s’exécuter.

Exemple:

ciscoasa(config)# boot system disk0:/cisco-asa-fp1k.9.14.1.SPA

The system is currently installed with security software package 9.13.1, which has:
   - The platform version:  2.7.1
   - The CSP (asa) version: 9.13.1
Preparing new image for install...
!!!!!!!!!!!!!
Image download complete (Successful unpack the image).
Installation of version 9.14.1 will do the following:
   - upgrade to the new platform version 2.8.1
   - upgrade to the CSP ASA version 9.14.1
After the installation is complete, reload to apply the new image.
Finalizing image install process...
 
Install_status: ready...........
Install_status: validating-images.....
Install_status: update-software-pack-completed
ciscoasa(config)#

Étape 8

Enregistrez les nouveaux paramètres dans la configuration de démarrage.

write memory

Ces modifications de configuration sont automatiquement enregistrées sur l’unité secondaire.

Étape 9

Activez les deux groupes de basculement sur l’unité principale.

failover active group 1

failover active group 2

Exemple:

asa/act/pri(config)# failover active group 1
asa/act/pri(config)# failover active group 2

Étape 10

Rechargez l’unité secondaire pour démarrer la nouvelle image :

failover reload-standby

Attendez que l’unité secondaire ait terminé le chargement. Utilisez la commande show failover pour vérifier que les deux groupes de basculement sont à l’état de secours.

Étape 11

Forcez les deux groupes de basculement à devenir actifs sur l’unité secondaire :

no failover active group 1

no failover active group 2

Exemple:

asa/act/pri(config)# no failover active group 1
asa/act/pri(config)# no failover active group 2
asa/stby/pri(config)#

Si vous êtes déconnecté de votre session SSH, reconnectez-vous à l’adresse IP du groupe de basculement 1, maintenant sur l’unité secondaire.

Étape 12

Rechargez l’unité principale :

failover reload-standby

Exemple:

asa/act/sec# failover reload-standby

Remarque

 

Si vous êtes connecté au port de console de l’unité principale, vous devez plutôt saisir la commande reload pour recharger l’unité principale.

Il se peut que vous soyez déconnecté de votre session SSH.

Étape 13

Si les groupes de basculement sont configurés avec la commande preempt , ils deviennent automatiquement actifs sur l’unité désignée une fois le délai de préemption écoulé.

Mettre à niveau une paire de basculements actif/actif à l’aide d’ASDM

L’outil de mise à niveau du logiciel à partir de l’ordinateur local vous permet de charger un fichier image de votre ordinateur vers le système de fichiers flash pour mettre à niveau la paire de basculements actif/actif pour le Firepower 1000, le Firepower 2100 en mode appareil et le Secure Firewall 3100/4200.

Avant de commencer

  • Effectuez ces étapes dans l’espace d’exécution du système.

  • Placez l’image ASA sur votre ordinateur de gestion local.

Procédure

Étape 1

Lancez ASDM sur l’unité secondaire en vous connectant à l’adresse de gestion dans le groupe de basculement 2.

Étape 2

Dans la fenêtre d’application ASDM principale, choisissez Outils > Mettre à niveau le logiciel à partir de l’ordinateur local.

La boîte de dialogue Mettre à niveau le logiciel s’affiche.

Étape 3

Dans la liste déroulante Image à charger, sélectionnez ASA.

Étape 4

Dans le champ Chemin d’accès au fichier local, saisissez le chemin d’accès local au fichier sur votre ordinateur ou cliquez sur Parcourir les fichiers locaux pour trouver le fichier sur votre ordinateur.

Étape 5

Dans le champ Chemin d’accès au système de fichiers flash, saisissez le chemin d’accès au système de fichiers flash ou cliquez sur Parcourir la mémoire flash pour trouver le répertoire ou le fichier dans le système de fichiers flash.

Étape 6

Cliquez sur Charger une image. Le processus de chargement peut prendre quelques minutes.

Lorsque vous êtes invité à définir cette image comme image ASA, cliquez sur Non. Vous quittez l’outil Mise à niveau.

Étape 7

Connectez ASDM sur l’unité principale en vous connectant à l’adresse IP de gestion dans le groupe de basculement 1.

Étape 8

Si vous avez précédemment défini une image ASDM autre que celle par défaut, réinitialisez-la à l’image fournie avec votre ensemble d’images.

L’ensemble d’images inclut l’image ASDM, et lorsque vous mettez à niveau le paquet de l’ASA, l’image ASDM de l’offre groupée remplace l’image du groupe ASDM précédent sur l’ASA après le rechargement, car elles portent le même nom (asdm.bin). Si vous avez choisi manuellement une autre image ASDM que vous avez chargée (par exemple, asdm-7191.bin), vous continuez à utiliser cette image même après une mise à niveau groupée. Pour vous assurer d’utiliser une version compatible d’ASDM, vous devez reconfigurer l’ASA de manière à utiliser l’image ASDM fournie.

  1. Choisissez Configuration > Gestion des périphériques > Image du système/Configuration > Image de démarrage/Configuration.

  2. Pour le chemin d’accès au fichier image ASDM, saisissez disk0:/asdm.bin.

  3. Cliquez sur Apply.

Étape 9

Chargez le logiciel ASA en utilisant le même emplacement de fichier que vous avez utilisé sur l’unité secondaire.

Étape 10

Lorsque vous êtes invité à définir l’image comme image ASA, cliquez sur Oui.

Il vous est rappelé de recharger l’ASA pour utiliser la nouvelle image. Cliquez sur OK. Vous quittez l’outil Mise à niveau.

Étape 11

Cliquez sur l’icône Enregistrer dans la barre d’outils pour enregistrer les modifications apportées à la configuration.

Ces modifications de configuration sont automatiquement enregistrées sur l’unité secondaire.

Étape 12

Activez les deux groupes de basculement sur l’unité principale en sélectionnant Surveillance > Basculement > Groupe de basculement #, où # est le numéro du groupe de basculement que vous souhaitez déplacer dans l’unité principale, puis cliquez sur Faire passer en groupe actif.

Étape 13

Rechargez l’unité secondaire en sélectionnant Surveillance > Basculement > Système, puis cliquez sur Recharger l’unité de secours.

Restez dans le volet Système pour surveiller le rechargement de l’unité secondaire.

Étape 14

Après le déploiement de l’unité secondaire, activez les deux groupes de basculement sur l’unité secondaire en sélectionnant Surveillance > Basculement > Groupe de basculement #, où # est le numéro du groupe de basculement que vous souhaitez déplacer dans l’unité secondaire, puis cliquez sur Faire passer en groupe de secours.

ASDM se reconnectera automatiquement à l’adresse IP du groupe de basculement 1 sur l’unité secondaire.

Étape 15

Rechargez l’unité principale en sélectionnant Surveillance > Basculement > Système, puis cliquez sur Recharger l’unité de secours.

Étape 16

Si les groupes de basculement sont configurés avec la préemption activée, ils deviennent automatiquement actifs sur l’unité désignée une fois le délai de préemption écoulé. ASDM se reconnectera automatiquement à l’adresse IP du groupe de basculement 1 sur l’unité principale.

Mettre à niveau une grappe ASA (Secure Firewall 3100/4200)

Mettre à niveau une grappe ASA à l’aide de l’interface de ligne de comande (Secure Firewall 3100/4200)

Pour mettre à niveau tous les nœuds d’une grappe ASA, suivez les étapes suivantes. Cette procédure utilise le protocole FTP. Pour TFTP, HTTP ou d’autres types de serveurs, consultez la commande copy dans la référence de commande ASA.

Avant de commencer

  • Exécutez ces étapes sur le nœud de contrôle. Vous pouvez configurer l’invite ASA pour afficher le nœud de la grappe et son état (contrôle ou données), ce qui est utile pour déterminer à quel nœud vous êtes connecté. Consultez la commande d’invite. Vous pouvez également saisir la commande show cluster info pour afficher le rôle de chaque nœud.

  • Vous devez utiliser le port de console; vous ne pouvez pas activer ni désactiver la mise en grappe à partir d’une connexion distante d’interface de ligne de commande.

  • Effectuez ces étapes dans l’espace d’exécution du système pour le mode contexte multiple.

Procédure

Étape 1

Sur le nœud de contrôle en mode de configuration globale, si vous avez précédemment défini une image ASDM autre que celle par défaut, réinitialisez-la à l’image fournie avec votre ensemble d’images.

asdm image disk0:/asdm.bin

write memory

L’ensemble d’images inclut l’image ASDM, et lorsque vous mettez à niveau le paquet de l’ASA, l’image ASDM de l’offre groupée remplace l’image du groupe ASDM précédent sur l’ASA après le rechargement, car elles portent le même nom (asdm.bin). Si vous avez choisi manuellement une autre image ASDM que vous avez chargée (par exemple, asdm-7191.bin), vous continuez à utiliser cette image même après une mise à niveau groupée. Pour vous assurer d’utiliser une version compatible d’ASDM, vous devez reconfigurer l’ASA de manière à utiliser l’image ASDM fournie.

Étape 2

Sur le nœud de contrôle en mode d‘exécution privilégié (minimum), copiez le logiciel ASA sur tous les nœuds de la grappe.

cluster exec copy /noconfirm ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/nom_de_l_image_asa diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/unit1/control# cluster exec copy /noconfirm 
ftp://dwinchester:sam@10.1.1.1/cisco-asa-fp3k.9.19.1.SPA disk0:/cisco-asa-fp3k.9.19.1.SPA

Étape 3

Si vous n’êtes pas déjà en mode de configuration globale, accédez-y maintenant.

configure terminal

Exemple:

asa/unit1/control# configure terminal
asa/unit1/control(config)#

Étape 4

Affiche l’image de démarrage actuelle configurée, si elle est présente.

show running-config boot system

Notez que vous ne pouvez pas avoir une commande boot system dans votre configuration; par exemple, si vous avez installé l’image de ROMMON, avez un nouveau périphérique ou avez supprimé la commande manuellement.

Exemple:

ciscoasa(config)# show running-config boot system
boot system disk0:/cisco-asa-fp1k.9.17.1.SPA

Étape 5

Si vous avez configuré une commande boot system , supprimez-la pour pouvoir saisir la nouvelle image de démarrage.

no boot system diskn:/[chemin/]nom_de_l_image_asa

Si aucune commande boot system n’est configurée, ignorez cette étape.

Exemple:

ciscoasa(config)# no boot system disk0:/cisco-asa-fp1k.9.17.1.SPA

Étape 6

Définissez l’image ASA à démarrer (celle que vous venez de charger).

boot system diskn:/[chemin/]nom_de_l_image_asa

Vous ne pouvez saisir qu’une seule commande boot system . La commande boot system exécute une action lorsque vous la saisissez : le système valide et décompresse l’image et la copie dans l’emplacement de démarrage (un emplacement interne sur disk0 géré par FXOS). La nouvelle image sera chargée lorsque vous rechargerez l’ASA. Si vous changez d’avis avant de procéder au rechargement, vous pouvez entrer la commande no boot system pour supprimer la nouvelle image de l’emplacement de démarrage, de sorte que l’image actuelle continue de s’exécuter.

Exemple:

ciscoasa(config)# boot system disk0:/cisco-asa-fp1k.9.19.1.SPA

The system is currently installed with security software package 9.17.1, which has:
   - The platform version:  2.11.1
   - The CSP (asa) version: 9.17.1
Preparing new image for install...
!!!!!!!!!!!!!
Image download complete (Successful unpack the image).
Installation of version 9.19.1 will do the following:
   - upgrade to the new platform version 2.13.1
   - upgrade to the CSP ASA version 9.19.1
After the installation is complete, reload to apply the new image.
Finalizing image install process...
 
Install_status: ready...........
Install_status: validating-images.....
Install_status: update-software-pack-completed
ciscoasa(config)#

Étape 7

Enregistrez les nouveaux paramètres dans la configuration de démarrage :

write memory

Ces modifications de configuration sont automatiquement enregistrées sur les nœuds de données.

Étape 8

Mettez à niveau les nœuds de données en les rechargeant.

Remarque

 

Pendant le processus de mise à niveau, n’utilisez jamais la commande cluster control-node unit pour forcer un nœud de données à devenir le nœud de contrôle; vous pouvez causer des problèmes de connectivité au réseau et de stabilité de grappe. Vous devez d’abord procéder à une mise à niveau et recharger tous les nœuds de données, puis poursuivre cette procédure pour assurer une transition harmonieuse du nœud de contrôle actuel vers un nouveau nœud de contrôle.

  1. Sur le nœud de contrôle, pour afficher les noms de membre, saisissez cluster exec unit ? , ou saisissez la commande show cluster info .

  2. Rechargez un nœud de données.

    cluster exec unit data-node reload noconfirm

    Exemple:
    
asa/unit1/control# cluster exec unit node2 reload noconfirm

  3. Répétez l’opération pour chaque nœud de données.

    Pour éviter les interruptions de connexion et permettre au trafic de se stabiliser, attendez que chaque nœud soit de nouveau opérationnel et rejoigne la grappe (environ 5 minutes) avant de répéter ces étapes pour le nœud suivant. Pour savoir quand un nœud rejoint la grappe, saisissez show cluster info .

Étape 9

Mettez à niveau le nœud de contrôle en le rechargeant.

  1. Désactivez la mise en grappe. Nous vous recommandons de désactiver manuellement la mise en grappe sur le nœud de contrôle si possible afin qu’un nouveau nœud de contrôle puisse être choisi aussi rapidement et proprement que possible.

    cluster group name

    no enable

    Attendez 5 minutes qu’un nouveau nœud de contrôle soit sélectionné et que le trafic se stabilise.

    N’enregistrez pas cette configuration; vous voulez que la mise en grappe soit activée lorsque vous rechargez le nœud.

    Exemple:
    
asa/unit1/control(config)# cluster group cluster1
asa/unit1/control(cfg-cluster)# no enable
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either enable clustering or remove cluster group configuration.

Cluster unit node1 transitioned from CONTROL to DISABLED
asa/unit1/ClusterDisabled(cfg-cluster)#

  2. Rechargez ce nœud.

    reload noconfirm

    Lorsque l’ancien nœud de contrôle rejoint la grappe, il devient un nœud de données.

Mettre à niveau une grappe ASA à l’aide d’ASDM (Secure Firewall 3100/4200)

Pour mettre à niveau tous les nœuds d’une grappe ASA, suivez les étapes suivantes.

Avant de commencer

  • Exécutez ces étapes sur le nœud de contrôle.

  • Effectuez ces étapes dans l’espace d’exécution du système pour le mode contexte multiple.

  • Placez l’image ASA sur votre ordinateur de gestion local.

Procédure

Étape 1

Lancez ASDM sur le nœud de contrôle en vous connectant à l’adresse IP principale de la grappe.

Cette adresse IP reste toujours avec le nœud de contrôle.

Étape 2

Si vous avez précédemment défini une image ASDM autre que celle par défaut, réinitialisez-la à l’image fournie avec votre ensemble d’images.

L’ensemble d’images inclut l’image ASDM, et lorsque vous mettez à niveau le paquet de l’ASA, l’image ASDM de l’offre groupée remplace l’image du groupe ASDM précédent sur l’ASA après le rechargement, car elles portent le même nom (asdm.bin). Si vous avez choisi manuellement une autre image ASDM que vous avez chargée (par exemple, asdm-7191.bin), vous continuez à utiliser cette image même après une mise à niveau groupée. Pour vous assurer d’utiliser une version compatible d’ASDM, vous devez reconfigurer l’ASA de manière à utiliser l’image ASDM fournie.

  1. Dans la fenêtre principale de l’application ASDM, choisissez Configuration > Device Management > System Image/Configuration > Boot Image/Configuration (Configuration, Gestion de appareils, Image/Configuration du système, Image/Configuration de démarrage).

  2. Pour le chemin d’accès au fichier image ASDM, saisissez disk0:/asdm.bin.

  3. Cliquez sur Apply.

Étape 3

Dans la fenêtre d’application ASDM principale, choisissez Outils > Mettre à niveau le logiciel à partir de l’ordinateur local.

La boîte de dialogue Mettre à niveau le logiciel à partir de l'ordinateur local s'affiche.

Étape 4

Cliquez sur le bouton radio Tous les périphériques de la grappe.

La boîte de dialogue Mettre à niveau le logiciel s’affiche.

Étape 5

Dans la liste déroulante Image à charger, sélectionnez ASA.

Étape 6

Dans le champ Chemin d’accès au fichier local, cliquez sur Parcourir les fichiers locaux pour trouver le fichier sur votre ordinateur.

Étape 7

(Facultatif) Dans le champ Chemin d’accès au système de fichiers flash, saisissez le chemin d’accès au système de fichiers flash ou cliquez sur Parcourir la mémoire flash pour trouver le répertoire ou le fichier dans le système de fichiers flash.

Par défaut, ce champ est prérempli avec le chemin suivant : disk0:/filename.

Étape 8

Cliquez sur Charger une image. Le processus de chargement peut prendre quelques minutes.

Étape 9

Vous êtes invité à définir cette image comme image ASA. Cliquez sur Oui.

Étape 10

Il vous est rappelé de recharger l’ASA pour utiliser la nouvelle image. Cliquez sur OK.

Vous quittez l’outil Mise à niveau.

Étape 11

Cliquez sur l’icône Enregistrer dans la barre d’outils pour enregistrer les modifications apportées à la configuration.

Ces modifications de configuration sont automatiquement enregistrées sur les nœuds de données.

Étape 12

Notez les adresses IP de gestion individuelles pour chaque nœud dans la section Configuration > Gestion des périphériques > Haute disponibilité et évolutivité > Grappe ASA > Membres de la grappe afin de pouvoir connecter ASDM directement aux nœuds de données ultérieurement.

Étape 13

Mettez à niveau les nœuds de données en les rechargeant.

Remarque

 

Pendant le processus de mise à niveau, ne modifiez jamais le nœud de contrôle à l’aide de la page Surveillance > Grappe ASA > Résumé de la grappe pour forcer un nœud de données à devenir le nœud de contrôle; vous pouvez causer des problèmes de connectivité au réseau et de stabilité de grappe. Vous devez d’abord recharger tous les nœuds de données, puis poursuivre cette procédure pour assurer une transition harmonieuse du nœud de contrôle actuel vers un nouveau nœud de contrôle.

  1. Sur le nœud de contrôle, choisissez Outils > Rechargement du système.

  2. Choisissez un nom de nœud de données dans la liste déroulante Périphérique.

  3. Cliquer sur Planifier le rechargement.

  4. Cliquez sur Oui pour poursuivre le rechargement.

  5. Répétez l’opération pour chaque nœud de données.

    Pour éviter les interruptions de connexion et permettre au trafic de se stabiliser, attendez que chaque nœud soit de nouveau opérationnel et rejoigne la grappe (environ 5 minutes) avant de répéter ces étapes pour le nœud suivant. Pour savoir quand un nœud rejoint la grappe, consultez le volet Surveillance > Grappe ASA > Résumé de la grappe.

Étape 14

Mettez à niveau le nœud de contrôle en le rechargeant.

  1. Dans ASDM sur le nœud de contrôle, choisissez le volet Configuration > Gestion des périphériques > Haute disponibilité et évolutivité > Grappe ASA > Configuration de grappe.

  2. Décochez la case Participer à la grappe ASA, puis cliquez sur Appliquer.

    Vous êtes invité à quitter ASDM.

  3. Attendez jusqu’à 5 minutes qu’un nouveau nœud de contrôle soit sélectionné et que le trafic se stabilise.

    Lorsque l’ancien nœud de contrôle rejoint la grappe, il devient un nœud de données.

  4. Reconnectez ASDM à l’ancien nœud de contrôle en vous connectant à son adresse IP de gestion individuelle que vous avez notée plus tôt.

    L’adresse IP de la grappe principale appartient maintenant au nouveau nœud de contrôle. Cet ancien nœud de contrôle est toujours accessible sur son adresse IP de gestion individuelle.

  5. Choisissez Outils > Rechargement du système.

  6. Cliquez sur le bouton radio Recharger sans enregistrer la configuration en cours.

    Il ne faut pas sauvegarder la configuration. Lorsque cette unité sera rechargée, vous voudrez que la mise en grappe soit activée sur ce nœud.

  7. Cliquer sur Planifier le rechargement.

  8. Cliquez sur Oui pour poursuivre le rechargement.

    Vous êtes invité à quitter ASDM. Redémarrez ASDM sur l’adresse IP de la grappe principale. Vous vous reconnecterez au nouveau nœud de contrôle.

Mettre à niveau le Firepower 4100/9300

Ce document décrit comment mettre à niveau l’ASA sur le Firepower 4100/9300.

Mettre à niveau FXOS et un périphérique autonome ASA ou une grappe intra-châssis

Utilisez l’interface de ligne de commande de FXOS ou Firepower Chassis Manager pour mettre à niveau FXOS et un périphérique ASA autonome ou une grappe intra-châssis ASA sur un Firepower 9300.

Mettre à niveau FXOS et un périphérique autonome ASA ou une grappe intra-châssis à l’aide de Cisco Secure Firewall Chassis Manager

Le processus de mise à niveau peut prendre jusqu’à 45 minutes. Le trafic ne traversera pas le périphérique pendant la mise à niveau. Veuillez planifier vos activités de mise à niveau en conséquence.

Avant de commencer

Avant de commencer votre mise à niveau, assurez-vous d’avoir déjà effectué ce qui suit :

  • Téléchargez les paquets FXOS et ASA vers lesquels vous effectuez la mise à niveau.

  • Sauvegardez vos configurations FXOS et ASA.

Procédure

Étape 1

Dans Cisco Secure Firewall chassis manager, sélectionnez Système > Mises à jour.

La zone Mises à jour disponibles affiche une liste des paquets disponibles sur le châssis.

Étape 2

Chargez la nouvelle image groupée de la plateforme FXOS et l’image logicielle ASA :

  1. Cliquez sur Charger une image.

  2. Cliquez sur Choose File (choisir un fichier) pour accéder à l’image à télécharger et la sélectionner.

  3. Cliquez sur Upload (charger).

    L’image sélectionnée est chargée sur le châssis.

Étape 3

Une fois que la nouvelle image groupée de plateforme FXOS a été chargée, cliquez sur l’icône Mise à niveau de l’ensemble de la plateforme FXOS vers laquelle vous souhaitez effectuer la mise à niveau.

Le système vérifiera d’abord le paquet que vous souhaitez installer. Il vous informera de toute incompatibilité entre les applications actuellement installées et le paquet de plateforme FXOS indiqué. Il vous avertira également que toutes les sessions existantes seront terminées et que le système devra être redémarré dans le cadre de la mise à niveau. Tant que la version de l’ASA est répertoriée comme pouvant être mise à niveau dans le tableau de compatibilité, vous pouvez ignorer ces avertissements.

Étape 4

Cliquez sur Oui pour confirmer que vous souhaitez poursuivre l’installation.

FXOS décompresse l’ensemble et met à niveau/recharge les composants.

Étape 5

Firepower Chassis Manager ne sera pas disponible pendant la mise à niveau. Vous pouvez surveiller le processus de mise à niveau à l’aide de Interface de ligne de commande FXOS (voir Surveiller l'avancement de la mise à niveau).

Étape 6

Une fois que tous les composants ont bien été mis à niveau, vérifiez l’état des modules de sécurité/du moteur de sécurité et de toutes les applications installées avant de continuer (voir Vérifier l'installation).

Étape 7

Choisissez Périphériques logiques.

La page Périphériques logiques s’ouvre et affiche la liste des périphériques logiques configurés sur le châssis.

Étape 8

Pour chaque périphérique logique ASA que vous souhaitez mettre à niveau :

  1. Cliquez sur l’icône Définir la version du périphérique logique que vous souhaitez mettre à jour pour ouvrir la boîte de dialogue Mettre à jour la version de l’image.

  2. Pour la nouvelle version, choisissez la version du logiciel vers laquelle vous souhaitez effectuer la mise à niveau.

  3. Cliquez sur OK.

Étape 9

Une fois que le processus de mise à niveau est terminé, vérifiez que les applications sont en ligne et ont bien été mises à niveau :

  1. Choisissez Périphériques logiques.

  2. Vérifiez la version de l’application et l’état opérationnel.

Mettre à niveau FXOS et un périphérique autonome ASA ou une grappe intra-châssis à l’aide de l’interface de ligne de commande de FXOS

Le processus de mise à niveau peut prendre jusqu’à 45 minutes. Le trafic ne traversera pas le périphérique pendant la mise à niveau. Veuillez planifier vos activités de mise à niveau en conséquence.

Avant de commencer

Avant de commencer votre mise à niveau, assurez-vous d’avoir déjà effectué ce qui suit :

  • Téléchargez les paquets FXOS et ASA vers lesquels vous effectuez la mise à niveau.

  • Sauvegardez vos configurations FXOS et ASA.

  • Chargez les informations suivantes dont vous aurez besoin pour télécharger les images logicielles sur le châssis :

    • L’adresse IP et les informations d’authentification du serveur à partir duquel vous copiez les images.

    • Noms complets des fichiers image.

Procédure

Étape 1

Connectez-vous au Interface de ligne de commande FXOS.

Étape 2

Téléchargez la nouvelle image groupée de la plateforme FXOS sur le châssis :

  1. Entrez en mode micrologiciel :

    scope firmware

  2. Téléchargez l’image logicielle de l’ensemble de la plateforme FXOS :

    download image URL

    Précisez l'URL du fichier en cours d'importation à l'aide de l'une des syntaxes suivantes :

    • ftp://nom_d_utilisateur@serveur/ chemin/ nom_de_l_image

    • scp://nom_d_utilisateur@serveur/ chemin/ nom_de_l_image

    • sftp://nom_d_utilisateur@serveur/ chemin/ nom_de_l_image

    • tftp://serveur: numéro_de_port/ chemin/ nom_de_l_image

  3. Pour surveiller le processus de téléchargement :

    scope download-task nom_de_l_image

    show detail

Exemple:

L'exemple suivant copie une image à l'aide du protocole SCP : 

Firepower-chassis # scope firmware
Firepower-chassis /firmware # download image scp://user@192.168.1.1/images/fxos-k9.2.3.1.58.SPA
Firepower-chassis /firmware # scope download-task fxos-k9.2.3.1.58.SPA
Firepower-chassis /firmware/download-task # show detail
Download task:
    File Name: fxos-k9.2.3.1.58.SPA
    Protocol: scp
    Server: 192.168.1.1
    Userid:
    Path:
    Downloaded Image Size (KB): 853688
    State: Downloading
    Current Task: downloading image fxos-k9.2.3.1.58.SPA from 192.168.1.1(FSM-STAGE:sam:dme:FirmwareDownloaderDownload:Local)

Étape 3

Une fois que la nouvelle image groupée de la plateforme FXOS a été téléchargée, mettez à niveau l’offre groupée FXOS :

  1. Si nécessaire, revenez au mode micrologiciel :

    up

  2. Notez le numéro de version de l’ensemble de la plateforme FXOS que vous installez :

    show package

  3. Passez en mode d’installation automatique :

    scope auto-install

  4. Installez l’ensemble de la plateforme FXOS :

    install platform platform-vers version_number

    version_number est le numéro de version de l’ensemble de la plateforme FXOS que vous installez, par exemple, la version 2.3(1.58).

  5. Le système vérifiera d’abord le paquet que vous souhaitez installer. Il vous informera de toute incompatibilité entre les applications actuellement installées et le paquet de plateforme FXOS indiqué. Il vous avertira également que toutes les sessions existantes seront terminées et que le système devra être redémarré dans le cadre de la mise à niveau. Tant que la version de l’ASA est répertoriée comme pouvant être mise à niveau dans le tableau de compatibilité, vous pouvez ignorer ces avertissements.

    Saisissez yes pour confirmer que vous souhaitez procéder à la vérification.

  6. Saisissez yes pour confirmer que vous souhaitez poursuivre l’installation ou saisissez no pour annuler l’installation.

    FXOS décompresse l’ensemble et met à niveau/recharge les composants.

  7. Pour surveiller le processus de mise à niveau, consultez Surveiller l'avancement de la mise à niveau.

Étape 4

Une fois que tous les composants ont bien été mis à niveau, vérifiez l’état des modules de sécurité/du moteur de sécurité et de toutes les applications installées avant de continuer (voir Vérifier l'installation).

Étape 5

Téléchargez la nouvelle image logicielle ASA sur le châssis :

  1. Entrez le mode de services de sécurité :

    top

    scope ssa

  2. Entrez le mode des logiciels d’application :

    scope app-software

  3. Téléchargez l’image logicielle du périphérique logique :

    download image URL

    Précisez l'URL du fichier en cours d'importation à l'aide de l'une des syntaxes suivantes :

    • ftp://nom_d_utilisateur@serveur/chemin

    • scp://nom_d_utilisateur@serveur/chemin

    • sftp://nom_d_utilisateur@serveur/chemin

    • tftp://serveur:numéro_de_port/chemin

  4. Pour surveiller le processus de téléchargement :

    show download-task

  5. Pour afficher les applications téléchargées :

    up

    show app

    Notez la version ASA pour le paquet que vous avez téléchargé. Vous devrez utiliser la chaîne de version exacte pour activer l’application à une étape ultérieure.

Exemple:

L'exemple suivant copie une image à l'aide du protocole SCP : 

Firepower-chassis # scope ssa
Firepower-chassis /ssa # scope app-software
Firepower-chassis /ssa/app-software # download image scp://user@192.168.1.1/images/cisco-asa.9.4.1.65.csp
Firepower-chassis /ssa/app-software # show download-task

Downloads for Application Software:
    File Name                      Protocol   Server               Userid          State
    ------------------------------ ---------- -------------------- --------------- -----
    cisco-asa.9.4.1.65.csp         Scp        192.168.1.1          user            Downloaded

Firepower-chassis /ssa/app-software # up

Firepower-chassis /ssa # show app

Application:
    Name       Version    Description Author     Deploy Type CSP Type    Is Default App
    ---------- ---------- ----------- ---------- ----------- ----------- --------------
    asa        9.4.1.41   N/A                    Native      Application No
    asa        9.4.1.65   N/A                    Native      Application Yes

Étape 6

Pour chaque périphérique logique ASA que vous souhaitez mettre à niveau :

  1. Entrez le mode de services de sécurité :

    top

    scope ssa

  2. Définissez la portée au module de sécurité que vous mettez à jour :

    scope slotslot_number

  3. Définissez la portée de l’application ASA :

    scope app-instance asa instance_name

  4. Définissez la version de démarrage sur la nouvelle version du logiciel ASA :

    set startup-version version_number

Étape 7

Validez la configuration :

commit-buffer

Validez la transaction dans la configuration du système. L’image de l’application est mise à jour et l’application redémarre.

Étape 8

Pour vérifier l’état des modules de sécurité/du moteur de sécurité et de toutes les applications installées, consultez Vérifier l'installation.

Mettre à niveau FXOS et une paire de basculements ASA actif/de secours

Utilisez l’interface de ligne de commande de FXOS ou Firepower Chassis Manager pour mettre à niveau FXOS et une paire de basculements ASA actif/de secours.

Mettre à niveau FXOS et une paire de basculements ASA actif/de secours à l’aide de Cisco Secure Firewall Chassis Manager

Le processus de mise à niveau peut prendre jusqu’à 45 minutes par châssis. Veuillez planifier vos activités de mise à niveau en conséquence.

Avant de commencer

Avant de commencer votre mise à niveau, assurez-vous d’avoir déjà effectué ce qui suit :

  • Vous devez déterminer quelle unité est active et laquelle est considérée comme étant de secours : connectez ASDM à l’adresse IP ASA active. L’unité active est toujours propriétaire de l’adresse IP active. Ensuite, sélectionnez Surveillance > Propriétés > Basculement > État pour afficher la priorité de cette unité (principale ou secondaire) afin de savoir à quelle unité vous êtes connecté.

  • Téléchargez les paquets FXOS et ASA vers lesquels vous effectuez la mise à niveau.

  • Sauvegardez vos configurations FXOS et ASA.

Procédure

Étape 1

Sur le châssis qui contient le périphérique logique ASA de secours, chargez la nouvelle image groupée de la plateforme FXOS ainsi que l’image logicielle ASA :

  1. Dans Cisco Secure Firewall chassis manager, sélectionnez Système > Mises à jour.

    La zone Mises à jour disponibles affiche une liste des paquets disponibles sur le châssis.

  2. Cliquez sur Charger une image.

  3. Cliquez sur Choose File (choisir un fichier) pour accéder à l’image à télécharger et la sélectionner.

  4. Cliquez sur Upload (charger).

    L’image sélectionnée est chargée sur le châssis.

Étape 2

Une fois que la nouvelle image groupée de la plateforme FXOS a été chargée, mettez à niveau l’ensemble FXOS sur le châssis qui contient le périphérique logique ASA de secours :

  1. Cliquez sur l’icône Mise à niveau de l’ensemble de la plateforme FXOS vers laquelle vous souhaitez effectuer la mise à niveau.

    Le système vérifiera d’abord le paquet que vous souhaitez installer. Il vous informera de toute incompatibilité entre les applications actuellement installées et le paquet de plateforme FXOS indiqué. Il vous avertira également que toutes les sessions existantes seront terminées et que le système devra être redémarré dans le cadre de la mise à niveau. Tant que la version de l’ASA est répertoriée comme pouvant être mise à niveau dans le tableau de compatibilité, vous pouvez ignorer ces avertissements.

  2. Cliquez sur Oui pour confirmer que vous souhaitez poursuivre l’installation.

    FXOS décompresse l’ensemble et met à niveau/recharge les composants.

Étape 3

Cisco Secure Firewall chassis manager ne sera pas disponible pendant la mise à niveau. Vous pouvez surveiller le processus de mise à niveau à l’aide de Interface de ligne de commande FXOS (voir Surveiller l'avancement de la mise à niveau).

Étape 4

Une fois que tous les composants ont bien été mis à niveau, vérifiez l’état des modules de sécurité/du moteur de sécurité et de toutes les applications installées avant de continuer (voir Vérifier l'installation).

Étape 5

Mettez à niveau l’image du périphérique logique ASA :

  1. Choisissez Périphériques logiques pour ouvrir la page Périphériques logiques.

    La page Périphériques logiques s’ouvre et affiche la liste des périphériques logiques configurés sur le châssis.

  2. Cliquez sur l’icône Définir la version du périphérique logique que vous souhaitez mettre à jour pour ouvrir la boîte de dialogue Mettre à jour la version de l’image.

  3. Pour la nouvelle version, choisissez la version du logiciel vers laquelle vous souhaitez effectuer la mise à jour.

  4. Cliquez sur OK.

Étape 6

Une fois que le processus de mise à niveau est terminé, vérifiez que les applications sont en ligne et ont bien été mises à niveau :

  1. Choisissez Périphériques logiques.

  2. Vérifiez la version de l’application et l’état opérationnel.

Étape 7

Faites de l’unité que vous venez de mettre à niveau l’unité active afin que le trafic flux de trafic vers l’unité mise à niveau :

  1. Lancez ASDM sur l’unité de secours en vous connectant à l’adresse IP de l’ASA de secours.

  2. Forcez l’unité de secours à devenir active en sélectionnant Surveillance > Propriétés > Basculement > État, puis cliquez sur Faire passer en groupe actif.

Étape 8

Sur le châssis qui contient le nouveau périphérique logique ASA de secours, chargez la nouvelle image groupée de la plateforme FXOS ainsi que l’image logicielle ASA :

  1. Dans Cisco Secure Firewall chassis manager, sélectionnez Système > Mises à jour.

    La zone Mises à jour disponibles affiche une liste des paquets disponibles sur le châssis.

  2. Cliquez sur Charger une image.

  3. Cliquez sur Choose File (choisir un fichier) pour accéder à l’image à télécharger et la sélectionner.

  4. Cliquez sur Upload (charger).

    L’image sélectionnée est chargée sur le châssis.

Étape 9

Une fois que la nouvelle image groupée de la plateforme FXOS a été chargée, mettez à niveau l’ensemble FXOS sur le châssis qui contient le nouveau périphérique logique ASA de secours :

  1. Cliquez sur l’icône Mise à niveau de l’ensemble de la plateforme FXOS vers laquelle vous souhaitez effectuer la mise à niveau.

    Le système vérifiera d’abord le paquet que vous souhaitez installer. Il vous informera de toute incompatibilité entre les applications actuellement installées et le paquet de plateforme FXOS indiqué. Il vous avertira également que toutes les sessions existantes seront terminées et que le système devra être redémarré dans le cadre de la mise à niveau. Tant que la version de l’ASA est répertoriée comme pouvant être mise à niveau dans le tableau de compatibilité, vous pouvez ignorer ces avertissements.

  2. Cliquez sur Oui pour confirmer que vous souhaitez poursuivre l’installation.

    FXOS décompresse l’ensemble et met à niveau/recharge les composants.

Étape 10

Cisco Secure Firewall chassis manager ne sera pas disponible pendant la mise à niveau. Vous pouvez surveiller le processus de mise à niveau à l’aide de Interface de ligne de commande FXOS (voir Surveiller l'avancement de la mise à niveau).

Étape 11

Une fois que tous les composants ont bien été mis à niveau, vérifiez l’état des modules de sécurité/du moteur de sécurité et de toutes les applications installées avant de continuer (voir Vérifier l'installation).

Étape 12

Mettez à niveau l’image du périphérique logique ASA :

  1. Choisissez Périphériques logiques.

    La page Périphériques logiques s’ouvre et affiche la liste des périphériques logiques configurés sur le châssis. Si aucun périphérique logique n’a été configuré, un message l’indiquant s’affiche à la place.

  2. Cliquez sur l’icône Définir la version du périphérique logique que vous souhaitez mettre à jour pour ouvrir la boîte de dialogue Mettre à jour la version de l’image.

  3. Pour la nouvelle version, choisissez la version du logiciel vers laquelle vous souhaitez effectuer la mise à jour.

  4. Cliquez sur OK.

Étape 13

Une fois que le processus de mise à niveau est terminé, vérifiez que les applications sont en ligne et ont bien été mises à niveau :

  1. Choisissez Périphériques logiques.

  2. Vérifiez la version de l’application et l’état opérationnel.

Étape 14

(Facultatif) Faites de l’unité que vous venez de mettre à niveau l’unité active comme elle l’était avant la mise à niveau :

  1. Lancez ASDM sur l’unité de secours en vous connectant à l’adresse IP de l’ASA de secours.

  2. Forcez l’unité de secours à devenir active en sélectionnant Surveillance > Propriétés > Basculement > État, puis cliquez sur Faire passer en groupe actif.

Mettre à niveau FXOS et une paire de basculements ASA actif/de secours à l’aide de l’interface de ligne de commande de FXOS

Le processus de mise à niveau peut prendre jusqu’à 45 minutes par châssis. Veuillez planifier vos activités de mise à niveau en conséquence.

Avant de commencer

Avant de commencer votre mise à niveau, assurez-vous d’avoir déjà effectué ce qui suit :

  • Vous devez déterminer quelle unité est active et laquelle est considérée comme étant de secours : connectez-vous à la console ASA sur le châssis et saisissez la commande show failover pour afficher l’état Actif/De secours de l’unité.

  • Téléchargez les paquets FXOS et ASA vers lesquels vous effectuez la mise à niveau.

  • Sauvegardez vos configurations FXOS et ASA.

  • Chargez les informations suivantes dont vous aurez besoin pour télécharger les images logicielles sur le châssis :

    • L’adresse IP et les informations d’authentification du serveur à partir duquel vous copiez l’image.

    • Nom complet du fichier image.

Procédure

Étape 1

Sur le châssis qui contient le périphérique logique ASA de secours, téléchargez la nouvelle image groupée de la plateforme FXOS :

  1. Connectez-vous au Interface de ligne de commande FXOS.

  2. Entrez en mode micrologiciel :

    scope firmware

  3. Téléchargez l’image logicielle de l’ensemble de la plateforme FXOS :

    download image URL

    Précisez l'URL du fichier en cours d'importation à l'aide de l'une des syntaxes suivantes :

    • ftp://nom_d_utilisateur@serveur/ chemin/ nom_de_l_image

    • scp://nom_d_utilisateur@serveur/ chemin/ nom_de_l_image

    • sftp://nom_d_utilisateur@serveur/ chemin/ nom_de_l_image

    • tftp://serveur: numéro_de_port/ chemin/ nom_de_l_image

  4. Pour surveiller le processus de téléchargement :

    scope download-task nom_de_l_image

    show detail

Exemple:

L'exemple suivant copie une image à l'aide du protocole SCP : 

Firepower-chassis # scope firmware
Firepower-chassis /firmware # download image scp://user@192.168.1.1/images/fxos-k9.2.3.1.58.SPA
Firepower-chassis /firmware # scope download-task fxos-k9.2.3.1.58.SPA
Firepower-chassis /firmware/download-task # show detail
Download task:
    File Name: fxos-k9.2.3.1.58.SPA
    Protocol: scp
    Server: 192.168.1.1
    Userid:
    Path:
    Downloaded Image Size (KB): 853688
    State: Downloading
    Current Task: downloading image fxos-k9.2.3.1.58.SPA from 192.168.1.1(FSM-STAGE:sam:dme:FirmwareDownloaderDownload:Local)

Étape 2

Une fois que la nouvelle image groupée de la plateforme FXOS a été téléchargée, mettez à niveau l’offre groupée FXOS :

  1. Si nécessaire, revenez au mode micrologiciel :

    up

  2. Notez le numéro de version de l’ensemble de la plateforme FXOS que vous installez :

    show package

  3. Passez en mode d’installation automatique :

    scope auto-install

  4. Installez l’ensemble de la plateforme FXOS :

    install platform platform-vers version_number

    version_number est le numéro de version de l’ensemble de la plateforme FXOS que vous installez, par exemple, la version 2.3(1.58).

  5. Le système vérifiera d’abord le paquet que vous souhaitez installer. Il vous informera de toute incompatibilité entre les applications actuellement installées et le paquet de plateforme FXOS indiqué. Il vous avertira également que toutes les sessions existantes seront terminées et que le système devra être redémarré dans le cadre de la mise à niveau. Tant que la version de l’ASA est répertoriée comme pouvant être mise à niveau dans le tableau de compatibilité, vous pouvez ignorer ces avertissements.

    Saisissez yes pour confirmer que vous souhaitez procéder à la vérification.

  6. Saisissez yes pour confirmer que vous souhaitez poursuivre l’installation ou saisissez no pour annuler l’installation.

    FXOS décompresse l’ensemble et met à niveau/recharge les composants.

  7. Pour surveiller le processus de mise à niveau, consultez Surveiller l'avancement de la mise à niveau.

Étape 3

Une fois que tous les composants ont bien été mis à niveau, vérifiez l’état des modules de sécurité/du moteur de sécurité et de toutes les applications installées avant de continuer (voir Vérifier l'installation).

Étape 4

Téléchargez la nouvelle image logicielle ASA sur le châssis :

  1. Entrez le mode de services de sécurité :

    top

    scope ssa

  2. Entrez le mode des logiciels d’application :

    scope app-software

  3. Téléchargez l’image logicielle du périphérique logique :

    download image URL

    Précisez l'URL du fichier en cours d'importation à l'aide de l'une des syntaxes suivantes :

    • ftp://nom_d_utilisateur@serveur/chemin

    • scp://nom_d_utilisateur@serveur/chemin

    • sftp://nom_d_utilisateur@serveur/chemin

    • tftp://serveur:numéro_de_port/chemin

  4. Pour surveiller le processus de téléchargement :

    show download-task

  5. Pour afficher les applications téléchargées :

    up

    show app

    Notez la version ASA pour le paquet que vous avez téléchargé. Vous devrez utiliser la chaîne de version exacte pour activer l’application à une étape ultérieure.

Exemple:

L'exemple suivant copie une image à l'aide du protocole SCP : 

Firepower-chassis # scope ssa
Firepower-chassis /ssa # scope app-software
Firepower-chassis /ssa/app-software # download image scp://user@192.168.1.1/images/cisco-asa.9.4.1.65.csp
Firepower-chassis /ssa/app-software # show download-task

Downloads for Application Software:
    File Name                      Protocol   Server               Userid          State
    ------------------------------ ---------- -------------------- --------------- -----
    cisco-asa.9.4.1.65.csp         Scp        192.168.1.1          user            Downloaded

Firepower-chassis /ssa/app-software # up

Firepower-chassis /ssa # show app

Application:
    Name       Version    Description Author     Deploy Type CSP Type    Is Default App
    ---------- ---------- ----------- ---------- ----------- ----------- --------------
    asa        9.4.1.41   N/A                    Native      Application No
    asa        9.4.1.65   N/A                    Native      Application Yes

Étape 5

Mettez à niveau l’image du périphérique logique ASA :

  1. Entrez le mode de services de sécurité :

    top

    scope ssa

  2. Définissez la portée au module de sécurité que vous mettez à jour :

    scope slotslot_number

  3. Définissez la portée de l’application ASA :

    scope app-instance asa instance_name

  4. Définissez la version de démarrage sur la version que vous souhaitez mettre à jour :

    set startup-version version_number

  5. Validez la configuration :

    commit-buffer

    Validez la transaction dans la configuration du système. L’image de l’application est mise à jour et l’application redémarre.

Étape 6

Pour vérifier l’état des modules de sécurité/du moteur de sécurité et de toutes les applications installées, consultez Vérifier l'installation.

Étape 7

Faites de l’unité que vous venez de mettre à niveau l’unité active afin que le trafic flux de trafic vers l’unité mise à niveau :

  1. Sur le châssis qui contient le périphérique logique ASA de secours, connectez-vous à l’interface de ligne de commande du module à l’aide d’une connexion de console ou d’une connexion Telnet.

    connect module slot_number { console | telnet}

    Pour vous connecter au moteur de sécurité d’un périphérique qui ne prend pas en charge plusieurs modules de sécurité, utilisez toujours 1 comme slot_number .

    Exemple:
    
Firepower# connect module 1 console
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'.

CISCO Serial Over LAN:
Close Network Connection to Exit

Firepower-module1>

  2. Connectez-vous à la console d’application.

    connect asa

    Exemple:
    
Firepower-module1> connect asa
Connecting to asa(asa1) console... hit Ctrl + A + D  to return to bootCLI
[...]
asa>

  3. Activez cette unité :

    failover active

  4. Enregistrez la configuration :

    write memory

  5. Vérifiez que l’unité est active :

    show failover

Étape 8

Quittez la console d’application pour accéder à l’interface de ligne de commande du module FXOS.

Saisissez Ctrl-a, d

Étape 9

Revenez au niveau de superviseur du Interface de ligne de commande FXOS.

Quittez la console :

  1. Entrez ~

    Vous quittez l'application Telnet.

  2. Pour quitter l'application Telnet, entrez :

    telnet>quit

Quittez la session Telnet :

  1. Entrez Ctrl-], .

Étape 10

Sur le châssis qui contient le nouveau périphérique logique ASA de secours, téléchargez la nouvelle image groupée de la plateforme FXOS :

  1. Connectez-vous au Interface de ligne de commande FXOS.

  2. Entrez en mode micrologiciel :

    scope firmware

  3. Téléchargez l’image logicielle de l’ensemble de la plateforme FXOS :

    download image URL

    Précisez l'URL du fichier en cours d'importation à l'aide de l'une des syntaxes suivantes :

    • ftp://nom_d_utilisateur@serveur/ chemin/ nom_de_l_image

    • scp://nom_d_utilisateur@serveur/ chemin/ nom_de_l_image

    • sftp://nom_d_utilisateur@serveur/ chemin/ nom_de_l_image

    • tftp://serveur: numéro_de_port/ chemin/ nom_de_l_image

  4. Pour surveiller le processus de téléchargement :

    scope download-task nom_de_l_image

    show detail

Exemple:

L'exemple suivant copie une image à l'aide du protocole SCP : 

Firepower-chassis # scope firmware
Firepower-chassis /firmware # download image scp://user@192.168.1.1/images/fxos-k9.2.3.1.58.SPA
Firepower-chassis /firmware # scope download-task fxos-k9.2.3.1.58.SPA
Firepower-chassis /firmware/download-task # show detail
Download task:
    File Name: fxos-k9.2.3.1.58.SPA
    Protocol: scp
    Server: 192.168.1.1
    Userid:
    Path:
    Downloaded Image Size (KB): 853688
    State: Downloading
    Current Task: downloading image fxos-k9.2.3.1.58.SPA from 192.168.1.1(FSM-STAGE:sam:dme:FirmwareDownloaderDownload:Local)

Étape 11

Une fois que la nouvelle image groupée de la plateforme FXOS a été téléchargée, mettez à niveau l’offre groupée FXOS :

  1. Si nécessaire, revenez au mode micrologiciel :

    up

  2. Notez le numéro de version de l’ensemble de la plateforme FXOS que vous installez :

    show package

  3. Passez en mode d’installation automatique :

    scope auto-install

  4. Installez l’ensemble de la plateforme FXOS :

    install platform platform-vers version_number

    version_number est le numéro de version de l’ensemble de la plateforme FXOS que vous installez, par exemple, la version 2.3(1.58).

  5. Le système vérifiera d’abord le paquet que vous souhaitez installer. Il vous informera de toute incompatibilité entre les applications actuellement installées et le paquet de plateforme FXOS indiqué. Il vous avertira également que toutes les sessions existantes seront terminées et que le système devra être redémarré dans le cadre de la mise à niveau. Tant que la version de l’ASA est répertoriée comme pouvant être mise à niveau dans le tableau de compatibilité, vous pouvez ignorer ces avertissements.

    Saisissez yes pour confirmer que vous souhaitez procéder à la vérification.

  6. Saisissez yes pour confirmer que vous souhaitez poursuivre l’installation ou saisissez no pour annuler l’installation.

    FXOS décompresse l’ensemble et met à niveau/recharge les composants.

  7. Pour surveiller le processus de mise à niveau, consultez Surveiller l'avancement de la mise à niveau.

Étape 12

Une fois que tous les composants ont bien été mis à niveau, vérifiez l’état des modules de sécurité/du moteur de sécurité et de toutes les applications installées avant de continuer (voir Vérifier l'installation).

Étape 13

Téléchargez la nouvelle image logicielle ASA sur le châssis :

  1. Entrez le mode de services de sécurité :

    top

    scope ssa

  2. Entrez le mode des logiciels d’application :

    scope app-software

  3. Téléchargez l’image logicielle du périphérique logique :

    download image URL

    Précisez l'URL du fichier en cours d'importation à l'aide de l'une des syntaxes suivantes :

    • ftp://nom_d_utilisateur@serveur/chemin

    • scp://nom_d_utilisateur@serveur/chemin

    • sftp://nom_d_utilisateur@serveur/chemin

    • tftp://serveur:numéro_de_port/chemin

  4. Pour surveiller le processus de téléchargement :

    show download-task

  5. Pour afficher les applications téléchargées :

    up

    show app

    Notez la version ASA pour le paquet que vous avez téléchargé. Vous devrez utiliser la chaîne de version exacte pour activer l’application à une étape ultérieure.

Exemple:

L'exemple suivant copie une image à l'aide du protocole SCP : 

Firepower-chassis # scope ssa
Firepower-chassis /ssa # scope app-software
Firepower-chassis /ssa/app-software # download image scp://user@192.168.1.1/images/cisco-asa.9.4.1.65.csp
Firepower-chassis /ssa/app-software # show download-task

Downloads for Application Software:
    File Name                      Protocol   Server               Userid          State
    ------------------------------ ---------- -------------------- --------------- -----
    cisco-asa.9.4.1.65.csp         Scp        192.168.1.1          user            Downloaded

Firepower-chassis /ssa/app-software # up

Firepower-chassis /ssa # show app

Application:
    Name       Version    Description Author     Deploy Type CSP Type    Is Default App
    ---------- ---------- ----------- ---------- ----------- ----------- --------------
    asa        9.4.1.41   N/A                    Native      Application No
    asa        9.4.1.65   N/A                    Native      Application Yes

Étape 14

Mettez à niveau l’image du périphérique logique ASA :

  1. Entrez le mode de services de sécurité :

    top

    scope ssa

  2. Définissez la portée au module de sécurité que vous mettez à jour :

    scope slotslot_number

  3. Définissez la portée de l’application ASA :

    scope app-instance asa instance_name

  4. Définissez la version de démarrage sur la version que vous souhaitez mettre à jour :

    set startup-version version_number

  5. Validez la configuration :

    commit-buffer

    Validez la transaction dans la configuration du système. L’image de l’application est mise à jour et l’application redémarre.

Étape 15

Pour vérifier l’état des modules de sécurité/du moteur de sécurité et de toutes les applications installées, consultez Vérifier l'installation.

Étape 16

(Facultatif) Faites de l’unité que vous venez de mettre à niveau l’unité active comme elle l’était avant la mise à niveau :

  1. Sur le châssis qui contient le périphérique logique ASA de secours, connectez-vous à l’interface de ligne de commande du module à l’aide d’une connexion de console ou d’une connexion Telnet.

    connect module slot_number { console | telnet}

    Pour vous connecter au moteur de sécurité d’un périphérique qui ne prend pas en charge plusieurs modules de sécurité, utilisez toujours 1 comme slot_number .

    Exemple:
    
Firepower# connect module 1 console
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'.

CISCO Serial Over LAN:
Close Network Connection to Exit

Firepower-module1>

  2. Connectez-vous à la console d’application.

    connect asa

    Exemple:
    
Firepower-module1> connect asa
Connecting to asa(asa1) console... hit Ctrl + A + D  to return to bootCLI
[...]
asa>

  3. Activez cette unité :

    failover active

  4. Enregistrez la configuration :

    write memory

  5. Vérifiez que l’unité est active :

    show failover

Mettre à niveau FXOS et une paire de basculements ASA actif/actif

Utilisez l’interface de ligne de commande de FXOS ou Firepower Chassis Manager pour mettre à niveau FXOS et une paire de basculements ASA actif/actif.

Mettre à niveau FXOS et une paire de basculements ASA actif/actif à l’aide de Cisco Secure Firewall Chassis Manager

Le processus de mise à niveau peut prendre jusqu’à 45 minutes par châssis. Veuillez planifier vos activités de mise à niveau en conséquence.

Avant de commencer

Avant de commencer votre mise à niveau, assurez-vous d’avoir déjà effectué ce qui suit :

  • Vous devez déterminer quelle unité est l’unité principale : connectez ASDM, puis sélectionnez Surveillance > Propriétés > Basculement > État pour afficher la priorité de cette unité (principale ou secondaire) afin de savoir à quelle unité vous êtes connecté.

  • Téléchargez les paquets FXOS et ASA vers lesquels vous effectuez la mise à niveau.

  • Sauvegardez vos configurations FXOS et ASA.

Procédure

Étape 1

Activez les deux groupes de basculement sur l’unité principale.

  1. Lancez ASDM sur l’unité principale (ou l’unité avec le groupe de basculement 1 actif) en vous connectant à l’adresse de gestion dans le groupe de basculement 1.

  2. Choisissez Surveillance > Basculement > Groupe de basculement 2, puis cliquez sur Faire passer en groupe actif.

  3. Restez connecté à ASDM sur cette unité pour les étapes ultérieures.

Étape 2

Sur le châssis qui contient le périphérique logique ASA secondaire, chargez la nouvelle image groupée de la plateforme FXOS ainsi que l’image logicielle ASA :

  1. Connectez-vous au Cisco Secure Firewall chassis manager sur l’unité secondaire.

  2. Choisissez Système > Mises à jour.

    La zone Mises à jour disponibles affiche une liste des paquets disponibles sur le châssis.

  3. Cliquez sur Charger une image.

  4. Cliquez sur Choose File (choisir un fichier) pour accéder à l’image à télécharger et la sélectionner.

  5. Cliquez sur Upload (charger).

    L’image sélectionnée est chargée sur le châssis.

Étape 3

Une fois que la nouvelle image groupée de la plateforme FXOS a été chargée, mettez à niveau l’ensemble FXOS sur le châssis qui contient le périphérique logique ASA secondaire :

  1. Cliquez sur l’icône Mise à niveau de l’ensemble de la plateforme FXOS vers laquelle vous souhaitez effectuer la mise à niveau.

    Le système vérifiera d’abord le paquet que vous souhaitez installer. Il vous informera de toute incompatibilité entre les applications actuellement installées et le paquet de plateforme FXOS indiqué. Il vous avertira également que toutes les sessions existantes seront terminées et que le système devra être redémarré dans le cadre de la mise à niveau. Tant que la version de l’ASA est répertoriée comme pouvant être mise à niveau dans le tableau de compatibilité, vous pouvez ignorer ces avertissements.

  2. Cliquez sur Oui pour confirmer que vous souhaitez poursuivre l’installation.

    FXOS décompresse l’ensemble et met à niveau/recharge les composants.

Étape 4

Cisco Secure Firewall chassis manager ne sera pas disponible pendant la mise à niveau. Vous pouvez surveiller le processus de mise à niveau à l’aide de Interface de ligne de commande FXOS (voir Surveiller l'avancement de la mise à niveau).

Étape 5

Une fois que tous les composants ont bien été mis à niveau, vérifiez l’état des modules de sécurité/du moteur de sécurité et de toutes les applications installées avant de continuer (voir Vérifier l'installation).

Étape 6

Mettez à niveau l’image du périphérique logique ASA :

  1. Choisissez Périphériques logiques.

    La page Périphériques logiques s’ouvre et affiche la liste des périphériques logiques configurés sur le châssis.

  2. Cliquez sur l’icône Définir la version du périphérique logique que vous souhaitez mettre à jour pour ouvrir la boîte de dialogue Mettre à jour la version de l’image.

  3. Pour la nouvelle version, choisissez la version du logiciel vers laquelle vous souhaitez effectuer la mise à jour.

  4. Cliquez sur OK.

Étape 7

Une fois que le processus de mise à niveau est terminé, vérifiez que les applications sont en ligne et ont bien été mises à niveau :

  1. Choisissez Périphériques logiques.

  2. Vérifiez la version de l’application et l’état opérationnel.

Étape 8

Activez les deux groupes de basculement sur l’unité secondaire.

  1. Lancez ASDM sur l’unité principale (ou l’unité avec le groupe de basculement 1 actif) en vous connectant à l’adresse de gestion dans le groupe de basculement 1.

  2. Choisissez Surveillance > Basculement > Groupe de basculement 1, puis cliquez sur Faire passer en groupe de secours.

  3. Choisissez Surveillance > Basculement > Groupe de basculement 2, puis cliquez sur Faire passer en groupe de secours.

ASDM se reconnectera automatiquement à l’adresse IP du groupe de basculement 1 sur l’unité secondaire.

Étape 9

Sur le châssis qui contient le périphérique logique ASA principal, chargez la nouvelle image groupée de la plateforme FXOS ainsi que l’image logicielle ASA :

  1. Connectez-vous au Cisco Secure Firewall chassis manager de l’unité principale.

  2. Choisissez Système > Mises à jour.

    La zone Mises à jour disponibles affiche une liste des paquets disponibles sur le châssis.

  3. Cliquez sur Upload Image(télécharger une image) pour ouvrir la boîte de dialogue pour télécharger une image (Upload Image).

  4. Cliquez sur Choose File (choisir un fichier) pour accéder à l’image à télécharger et la sélectionner.

  5. Cliquez sur Upload (charger).

    Le paquet sélectionné est chargé sur le châssis.

  6. Pour certaines images logicielles, vous recevrez un contrat de licence d’utilisateur final après le téléchargement de l’image. Suivez les messages-guides du système pour accepter le contrat de licence d’utilisateur final.

Étape 10

Une fois que la nouvelle image groupée de la plateforme FXOS a été chargée, mettez à niveau l’ensemble FXOS sur le châssis qui contient le périphérique logique ASA principal :

  1. Cliquez sur l’icône Mise à niveau de l’ensemble de la plateforme FXOS vers laquelle vous souhaitez effectuer la mise à niveau.

    Le système vérifiera d’abord le paquet que vous souhaitez installer. Il vous informera de toute incompatibilité entre les applications actuellement installées et le paquet de plateforme FXOS indiqué. Il vous avertira également que toutes les sessions existantes seront terminées et que le système devra être redémarré dans le cadre de la mise à niveau. Tant que la version de l’ASA est répertoriée comme pouvant être mise à niveau dans le tableau de compatibilité, vous pouvez ignorer ces avertissements.

  2. Cliquez sur Oui pour confirmer que vous souhaitez poursuivre l’installation.

    FXOS décompresse l’ensemble et met à niveau/recharge les composants.

Étape 11

Cisco Secure Firewall chassis manager ne sera pas disponible pendant la mise à niveau. Vous pouvez surveiller le processus de mise à niveau à l’aide de Interface de ligne de commande FXOS (voir Surveiller l'avancement de la mise à niveau).

Étape 12

Une fois que tous les composants ont bien été mis à niveau, vérifiez l’état des modules de sécurité/du moteur de sécurité et de toutes les applications installées avant de continuer (voir Vérifier l'installation).

Étape 13

Mettez à niveau l’image du périphérique logique ASA :

  1. Choisissez Périphériques logiques.

    La page Périphériques logiques s’ouvre et affiche la liste des périphériques logiques configurés sur le châssis.

  2. Cliquez sur l’icône Définir la version du périphérique logique que vous souhaitez mettre à jour pour ouvrir la boîte de dialogue Mettre à jour la version de l’image.

  3. Pour la nouvelle version, choisissez la version du logiciel vers laquelle vous souhaitez effectuer la mise à jour.

  4. Cliquez sur OK.

Étape 14

Une fois que le processus de mise à niveau est terminé, vérifiez que les applications sont en ligne et ont bien été mises à niveau :

  1. Choisissez Périphériques logiques.

  2. Vérifiez la version de l’application et l’état opérationnel.

Étape 15

Si les groupes de basculement sont configurés avec la préemption activée, ils deviennent automatiquement actifs sur l’unité désignée une fois le délai de préemption écoulé. Si les groupes de basculement ne sont pas configurés avec la préemption activée, vous pouvez les rétablir à l’état actif sur leurs unités désignées à l’aide du volet ASDM Surveillance > Basculement > Groupe de basculement #.

Mettre à niveau FXOS et une paire de basculements ASA actif/actif à l’aide de l’interface de ligne de commande de FXOS

Le processus de mise à niveau peut prendre jusqu’à 45 minutes par châssis. Veuillez planifier vos activités de mise à niveau en conséquence.

Avant de commencer

Avant de commencer votre mise à niveau, assurez-vous d’avoir déjà effectué ce qui suit :

  • Vous devez déterminer quelle unité est principale : connectez-vous à la console ASA sur le châssis et saisissez la commande show failover pour afficher l’état et la priorité de l’unité (principale ou secondaire).

  • Téléchargez les paquets FXOS et ASA vers lesquels vous effectuez la mise à niveau.

  • Sauvegardez vos configurations FXOS et ASA.

  • Chargez les informations suivantes dont vous aurez besoin pour télécharger les images logicielles sur le châssis :

    • L’adresse IP et les informations d’authentification du serveur à partir duquel vous copiez l’image.

    • Nom complet du fichier image.

Procédure

Étape 1

Connectez-vous à l’interface de ligne de commande de FXOS sur l’unité secondaire, à partir du port de console (méthode préférée) ou à l’aide du protocole SSH.

Étape 2

Activez les deux groupes de basculement sur l’unité principale.

  1. Connectez-vous à l’interface de ligne de commande du module à l’aide d’une connexion de console ou d’une connexion Telnet.

    connect module slot_number { console | telnet}

    Pour vous connecter au moteur de sécurité d’un périphérique qui ne prend pas en charge plusieurs modules de sécurité, utilisez toujours 1 comme slot_number .

    Exemple:
    
Firepower# connect module 1 console
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'.

CISCO Serial Over LAN:
Close Network Connection to Exit

Firepower-module1>

  2. Connectez-vous à la console d’application.

    connect asa

    Exemple:
    
Firepower-module1> connect asa
Connecting to asa(asa1) console... hit Ctrl + A + D  to return to bootCLI
[...]
asa>

  3. Activez les deux groupes de basculement sur l’unité principale.

    enable

    Le mot de passe d’activation est vide par défaut.

    no failover active group 1

    no failover active group 2

    Exemple:
    asa> enable
Password: <blank>
asa# no failover active group 1
asa# no failover active group 2

Étape 3

Quittez la console d’application pour accéder à l’interface de ligne de commande du module FXOS.

Saisissez Ctrl-a, d

Étape 4

Revenez au niveau de superviseur du Interface de ligne de commande FXOS.

Quittez la console :

  1. Entrez ~

    Vous quittez l'application Telnet.

  2. Pour quitter l'application Telnet, entrez :

    telnet>quit

Quittez la session Telnet :

  1. Entrez Ctrl-], .

Étape 5

Sur le châssis qui contient le périphérique logique ASA secondaire, téléchargez la nouvelle image groupée de la plateforme FXOS ainsi que l’image logicielle ASA :

  1. Connectez-vous au Interface de ligne de commande FXOS.

  2. Entrez en mode micrologiciel :

    scope firmware

  3. Téléchargez l’image logicielle de l’ensemble de la plateforme FXOS :

    download image URL

    Précisez l'URL du fichier en cours d'importation à l'aide de l'une des syntaxes suivantes :

    • ftp://nom_d_utilisateur@serveur/ chemin/ nom_de_l_image

    • scp://nom_d_utilisateur@serveur/ chemin/ nom_de_l_image

    • sftp://nom_d_utilisateur@serveur/ chemin/ nom_de_l_image

    • tftp://serveur: numéro_de_port/ chemin/ nom_de_l_image

  4. Pour surveiller le processus de téléchargement :

    scope download-task nom_de_l_image

    show detail

Exemple:

L'exemple suivant copie une image à l'aide du protocole SCP : 

Firepower-chassis # scope firmware
Firepower-chassis /firmware # download image scp://user@192.168.1.1/images/fxos-k9.2.3.1.58.SPA
Firepower-chassis /firmware # scope download-task fxos-k9.2.3.1.58.SPA
Firepower-chassis /firmware/download-task # show detail
Download task:
    File Name: fxos-k9.2.3.1.58.SPA
    Protocol: scp
    Server: 192.168.1.1
    Userid:
    Path:
    Downloaded Image Size (KB): 853688
    State: Downloading
    Current Task: downloading image fxos-k9.2.3.1.58.SPA from 192.168.1.1(FSM-STAGE:sam:dme:FirmwareDownloaderDownload:Local)

Étape 6

Une fois que la nouvelle image groupée de la plateforme FXOS a été téléchargée, mettez à niveau l’offre groupée FXOS :

  1. Si nécessaire, revenez au mode micrologiciel :

    top

    scope firmware

  2. Notez le numéro de version de l’ensemble de la plateforme FXOS que vous installez :

    show package

  3. Passez en mode d’installation automatique :

    scope auto-install

  4. Installez l’ensemble de la plateforme FXOS :

    install platform platform-vers version_number

    version_number est le numéro de version de l’ensemble de la plateforme FXOS que vous installez, par exemple, la version 2.3(1.58).

  5. Le système vérifiera d’abord le paquet que vous souhaitez installer. Il vous informera de toute incompatibilité entre les applications actuellement installées et le paquet de plateforme FXOS indiqué. Il vous avertira également que toutes les sessions existantes seront terminées et que le système devra être redémarré dans le cadre de la mise à niveau. Tant que la version de l’ASA est répertoriée comme pouvant être mise à niveau dans le tableau de compatibilité, vous pouvez ignorer ces avertissements.

    Saisissez yes pour confirmer que vous souhaitez procéder à la vérification.

  6. Saisissez yes pour confirmer que vous souhaitez poursuivre l’installation ou saisissez no pour annuler l’installation.

    FXOS décompresse l’ensemble et met à niveau/recharge les composants.

  7. Pour surveiller le processus de mise à niveau, consultez Surveiller l'avancement de la mise à niveau.

Étape 7

Une fois que tous les composants ont bien été mis à niveau, vérifiez l’état des modules de sécurité/du moteur de sécurité et de toutes les applications installées avant de continuer (voir Vérifier l'installation).

Étape 8

Téléchargez la nouvelle image logicielle ASA sur le châssis :

  1. Entrez le mode de services de sécurité :

    top

    scope ssa

  2. Entrez le mode des logiciels d’application :

    scope app-software

  3. Téléchargez l’image logicielle du périphérique logique :

    download image URL

    Précisez l'URL du fichier en cours d'importation à l'aide de l'une des syntaxes suivantes :

    • ftp://nom_d_utilisateur@serveur/chemin

    • scp://nom_d_utilisateur@serveur/chemin

    • sftp://nom_d_utilisateur@serveur/chemin

    • tftp://serveur:numéro_de_port/chemin

  4. Pour surveiller le processus de téléchargement :

    show download-task

  5. Pour afficher les applications téléchargées :

    up

    show app

    Notez la version ASA pour le paquet que vous avez téléchargé. Vous devrez utiliser la chaîne de version exacte pour activer l’application à une étape ultérieure.

Exemple:

L'exemple suivant copie une image à l'aide du protocole SCP : 

Firepower-chassis # scope ssa
Firepower-chassis /ssa # scope app-software
Firepower-chassis /ssa/app-software # download image scp://user@192.168.1.1/images/cisco-asa.9.4.1.65.csp
Firepower-chassis /ssa/app-software # show download-task

Downloads for Application Software:
    File Name                      Protocol   Server               Userid          State
    ------------------------------ ---------- -------------------- --------------- -----
    cisco-asa.9.4.1.65.csp         Scp        192.168.1.1          user            Downloaded

Firepower-chassis /ssa/app-software # up

Firepower-chassis /ssa # show app

Application:
    Name       Version    Description Author     Deploy Type CSP Type    Is Default App
    ---------- ---------- ----------- ---------- ----------- ----------- --------------
    asa        9.4.1.41   N/A                    Native      Application No
    asa        9.4.1.65   N/A                    Native      Application Yes

Étape 9

Mettez à niveau l’image du périphérique logique ASA :

  1. Entrez le mode de services de sécurité :

    top

    scope ssa

  2. Définissez la portée au module de sécurité que vous mettez à jour :

    scope slotslot_number

  3. Définissez la portée de l’application ASA :

    scope app-instance asa instance_name

  4. Définissez la version de démarrage sur la version que vous souhaitez mettre à jour :

    set startup-version version_number

  5. Validez la configuration :

    commit-buffer

    Validez la transaction dans la configuration du système. L’image de l’application est mise à jour et l’application redémarre.

Étape 10

Pour vérifier l’état des modules de sécurité/du moteur de sécurité et de toutes les applications installées, consultez Vérifier l'installation.

Étape 11

Activez les deux groupes de basculement sur l’unité secondaire.

  1. Connectez-vous à l’interface de ligne de commande du module à l’aide d’une connexion de console ou d’une connexion Telnet.

    connect module slot_number { console | telnet}

    Pour vous connecter au moteur de sécurité d’un périphérique qui ne prend pas en charge plusieurs modules de sécurité, utilisez toujours 1 comme slot_number .

    Exemple:
    
Firepower# connect module 1 console
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'.

CISCO Serial Over LAN:
Close Network Connection to Exit

Firepower-module1>

  2. Connectez-vous à la console d’application.

    connect asa

    Exemple:
    
Firepower-module1> connect asa
Connecting to asa(asa1) console... hit Ctrl + A + D  to return to bootCLI
[...]
asa>

  3. Activez les deux groupes de basculement sur l’unité secondaire.

    enable

    Le mot de passe d’activation est vide par défaut.

    failover active group 1

    failover active group 2

    Exemple:
    asa> enable
Password: <blank>
asa# failover active group 1
asa# failover active group 2

Étape 12

Quittez la console d’application pour accéder à l’interface de ligne de commande du module FXOS.

Saisissez Ctrl-a, d

Étape 13

Revenez au niveau de superviseur du Interface de ligne de commande FXOS.

Quittez la console :

  1. Entrez ~

    Vous quittez l'application Telnet.

  2. Pour quitter l'application Telnet, entrez :

    telnet>quit

Quittez la session Telnet :

  1. Entrez Ctrl-], .

Étape 14

Sur le châssis qui contient le périphérique logique ASA principal, téléchargez la nouvelle image groupée de la plateforme FXOS ainsi que l’image logicielle ASA :

  1. Connectez-vous au Interface de ligne de commande FXOS.

  2. Entrez en mode micrologiciel :

    scope firmware

  3. Téléchargez l’image logicielle de l’ensemble de la plateforme FXOS :

    download image URL

    Précisez l'URL du fichier en cours d'importation à l'aide de l'une des syntaxes suivantes :

    • ftp://nom_d_utilisateur@serveur/ chemin/ nom_de_l_image

    • scp://nom_d_utilisateur@serveur/ chemin/ nom_de_l_image

    • sftp://nom_d_utilisateur@serveur/ chemin/ nom_de_l_image

    • tftp://serveur: numéro_de_port/ chemin/ nom_de_l_image

  4. Pour surveiller le processus de téléchargement :

    scope download-task nom_de_l_image

    show detail

Exemple:

L'exemple suivant copie une image à l'aide du protocole SCP : 

Firepower-chassis # scope firmware
Firepower-chassis /firmware # download image scp://user@192.168.1.1/images/fxos-k9.2.3.1.58.SPA
Firepower-chassis /firmware # scope download-task fxos-k9.2.3.1.58.SPA
Firepower-chassis /firmware/download-task # show detail
Download task:
    File Name: fxos-k9.2.3.1.58.SPA
    Protocol: scp
    Server: 192.168.1.1
    Userid:
    Path:
    Downloaded Image Size (KB): 853688
    State: Downloading
    Current Task: downloading image fxos-k9.2.3.1.58.SPA from 192.168.1.1(FSM-STAGE:sam:dme:FirmwareDownloaderDownload:Local)

Étape 15

Une fois que la nouvelle image groupée de la plateforme FXOS a été téléchargée, mettez à niveau l’offre groupée FXOS :

  1. Si nécessaire, revenez au mode micrologiciel :

    up

  2. Notez le numéro de version de l’ensemble de la plateforme FXOS que vous installez :

    show package

  3. Passez en mode d’installation automatique :

    scope auto-install

  4. Installez l’ensemble de la plateforme FXOS :

    install platform platform-vers version_number

    version_number est le numéro de version de l’ensemble de la plateforme FXOS que vous installez, par exemple, la version 2.3(1.58).

  5. Le système vérifiera d’abord le paquet que vous souhaitez installer. Il vous informera de toute incompatibilité entre les applications actuellement installées et le paquet de plateforme FXOS indiqué. Il vous avertira également que toutes les sessions existantes seront terminées et que le système devra être redémarré dans le cadre de la mise à niveau. Tant que la version de l’ASA est répertoriée comme pouvant être mise à niveau dans le tableau de compatibilité, vous pouvez ignorer ces avertissements.

    Saisissez yes pour confirmer que vous souhaitez procéder à la vérification.

  6. Saisissez yes pour confirmer que vous souhaitez poursuivre l’installation ou saisissez no pour annuler l’installation.

    FXOS décompresse l’ensemble et met à niveau/recharge les composants.

  7. Pour surveiller le processus de mise à niveau, consultez Surveiller l'avancement de la mise à niveau.

Étape 16

Une fois que tous les composants ont bien été mis à niveau, vérifiez l’état des modules de sécurité/du moteur de sécurité et de toutes les applications installées avant de continuer (voir Vérifier l'installation).

Étape 17

Téléchargez la nouvelle image logicielle ASA sur le châssis :

  1. Entrez le mode de services de sécurité :

    top

    scope ssa

  2. Entrez le mode des logiciels d’application :

    scope app-software

  3. Téléchargez l’image logicielle du périphérique logique :

    download image URL

    Précisez l'URL du fichier en cours d'importation à l'aide de l'une des syntaxes suivantes :

    • ftp://nom_d_utilisateur@serveur/chemin

    • scp://nom_d_utilisateur@serveur/chemin

    • sftp://nom_d_utilisateur@serveur/chemin

    • tftp://serveur:numéro_de_port/chemin

  4. Pour surveiller le processus de téléchargement :

    show download-task

  5. Pour afficher les applications téléchargées :

    up

    show app

    Notez la version ASA pour le paquet que vous avez téléchargé. Vous devrez utiliser la chaîne de version exacte pour activer l’application à une étape ultérieure.

Exemple:

L'exemple suivant copie une image à l'aide du protocole SCP : 

Firepower-chassis # scope ssa
Firepower-chassis /ssa # scope app-software
Firepower-chassis /ssa/app-software # download image scp://user@192.168.1.1/images/cisco-asa.9.4.1.65.csp
Firepower-chassis /ssa/app-software # show download-task

Downloads for Application Software:
    File Name                      Protocol   Server               Userid          State
    ------------------------------ ---------- -------------------- --------------- -----
    cisco-asa.9.4.1.65.csp         Scp        192.168.1.1          user            Downloaded

Firepower-chassis /ssa/app-software # up

Firepower-chassis /ssa # show app

Application:
    Name       Version    Description Author     Deploy Type CSP Type    Is Default App
    ---------- ---------- ----------- ---------- ----------- ----------- --------------
    asa        9.4.1.41   N/A                    Native      Application No
    asa        9.4.1.65   N/A                    Native      Application Yes

Étape 18

Mettez à niveau l’image du périphérique logique ASA :

  1. Entrez le mode de services de sécurité :

    top

    scope ssa

  2. Définissez la portée au module de sécurité que vous mettez à jour :

    scope slotslot_number

  3. Définissez la portée de l’application ASA :

    scope app-instance asa instance_name

  4. Définissez la version de démarrage sur la version que vous souhaitez mettre à jour :

    set startup-version version_number

  5. Validez la configuration :

    commit-buffer

    Validez la transaction dans la configuration du système. L’image de l’application est mise à jour et l’application redémarre.

Étape 19

Pour vérifier l’état des modules de sécurité/du moteur de sécurité et de toutes les applications installées, consultez Vérifier l'installation.

Étape 20

Si les groupes de basculement sont configurés avec la préemption activée, ils deviennent automatiquement actifs sur l’unité désignée une fois le délai de préemption écoulé. Si les groupes de basculement ne sont pas configurés avec la préemption activée, vous pouvez les rétablir à l’état actif sur leurs unités désignées à l’aide du volet ASDM Surveillance > Basculement > Groupe de basculement #.

Mettre à niveau FXOS et une grappe inter-châssis ASA

Utilisez l’interface de ligne de commande de FXOS ou Firepower Chassis Manager pour mettre à niveau FXOS et ASA sur tous les châssis d’une grappe inter-châssis.

Mettre à niveau FXOS et une grappe inter-châssis ASA à l’aide de Cisco Secure Firewall Chassis Manager

Le processus de mise à niveau peut prendre jusqu’à 45 minutes par châssis. Veuillez planifier vos activités de mise à niveau en conséquence.

Avant de commencer

Avant de commencer votre mise à niveau, assurez-vous d’avoir déjà effectué ce qui suit :

  • Téléchargez les paquets FXOS et ASA vers lesquels vous effectuez la mise à niveau.

  • Sauvegardez vos configurations FXOS et ASA.

Procédure

Étape 1

Déterminez quel châssis comporte le nœud de contrôle. Vous mettrez ce châssis à niveau en dernier.

  1. Connectez-vous à Cisco Secure Firewall chassis manager.

  2. Choisissez Périphériques logiques.

  3. Cliquez sur le signe plus (+) pour afficher les attributs des modules de sécurité inclus dans la grappe.

  4. Vérifiez que le nœud de contrôle se trouve sur ce châssis. Il devrait y avoir une instance d’ASA où le paramètre CLUSTER-ROLE est défini sur « Control ».

Étape 2

Connectez-vous à Cisco Secure Firewall chassis manager sur un châssis de la grappe qui ne comporte pas de nœud de contrôle.

Étape 3

Chargez la nouvelle image groupée de la plateforme FXOS et l’image logicielle ASA :

  1. Dans Cisco Secure Firewall chassis manager, sélectionnez Système > Mises à jour.

    La zone Mises à jour disponibles affiche une liste des paquets disponibles sur le châssis.

  2. Cliquez sur Charger une image.

  3. Cliquez sur Choose File (choisir un fichier) pour accéder à l’image à télécharger et la sélectionner.

  4. Cliquez sur Upload (charger).

    L’image sélectionnée est chargée sur le châssis.

  5. Attendez que les images soient correctement chargées avant de continuer.

Étape 4

Mettez à niveau l’ensemble FXOS :

  1. Sélectionnez Système > Mises à jour.

  2. Cliquez sur l’icône Mise à niveau de l’ensemble de la plateforme FXOS vers laquelle vous souhaitez effectuer la mise à niveau.

    Le système vérifiera d’abord le paquet que vous souhaitez installer. Il vous informera de toute incompatibilité entre les applications actuellement installées et le paquet de plateforme FXOS indiqué. Il vous avertira également que toutes les sessions existantes seront terminées et que le système devra être redémarré dans le cadre de la mise à niveau. Tant que la version de l’ASA est répertoriée comme pouvant être mise à niveau dans le tableau de compatibilité, vous pouvez ignorer ces avertissements.

  3. Cliquez sur Oui pour confirmer que vous souhaitez poursuivre l’installation.

    FXOS décompresse l’ensemble et met à niveau/recharge les composants.

Étape 5

Cisco Secure Firewall chassis manager ne sera pas disponible pendant la mise à niveau. Vous pouvez surveiller le processus de mise à niveau à l’aide de Interface de ligne de commande FXOS (voir Surveiller l'avancement de la mise à niveau).

Étape 6

Une fois que tous les composants ont bien été mis à niveau, vérifiez l’état des modules de sécurité/du moteur de sécurité et de toutes les applications installées avant de continuer (voir Vérifier l'installation).

Étape 7

Mettez à niveau l’image du périphérique logique ASA sur chaque module de sécurité :

  1. Choisissez Périphériques logiques.

    La page Périphériques logiques s’ouvre et affiche la liste des périphériques logiques configurés sur le châssis.

  2. Cliquez sur l’icône Définir la version du périphérique logique que vous souhaitez mettre à jour pour ouvrir la boîte de dialogue Mettre à jour la version de l’image.

  3. Pour la nouvelle version, choisissez la version du logiciel vers laquelle vous souhaitez effectuer la mise à jour.

  4. Cliquez sur OK.

Étape 8

Une fois que le processus de mise à niveau est terminé, vérifiez que les applications sont en ligne et ont bien été mises à niveau :

  1. Choisissez Périphériques logiques.

  2. Vérifiez la version de l’application et l’état opérationnel.

Étape 9

Répétez les étapes Étape 2Étape 8 pour tous les châssis restants de la grappe qui ne disposent pas de nœud de contrôle.

Étape 10

Une fois que tous les châssis de la grappe qui ne disposent pas de nœud de contrôle ont été mis à niveau, répétez les étapes Étape 2Étape 8 sur le châssis avec le nœud de contrôle.

Un nouveau nœud de contrôle sera choisi dans l’un des châssis précédemment mis à niveau.

Étape 11

Pour le mode de mise en grappe VPN distribuée, une fois que la grappe est stable, redistribuez les sessions actives entre tous les modules de la grappe à l’aide de la console ASA sur l’unité de contrôle.

cluster redistribute vpn-sessiondb

Prochaine étape

Définissez l’ID de site de châssis. Pour en savoir plus sur la définition de l’ID de site du châssis, consultez la rubrique sur la mise en grappe intersite dans Déploiement d’une grappe pour ASA sur le Firepower 4100/9300 pour l’évolutivité et la haute disponibilité sur Cisco.com.

Mettre à niveau FXOS et une grappe inter-châssis ASA à l’aide de l'interface de ligne de commande de FXOS

Le processus de mise à niveau peut prendre jusqu’à 45 minutes par châssis. Veuillez planifier vos activités de mise à niveau en conséquence.

Avant de commencer

Avant de commencer votre mise à niveau, assurez-vous d’avoir déjà effectué ce qui suit :

  • Téléchargez les paquets FXOS et ASA vers lesquels vous effectuez la mise à niveau.

  • Sauvegardez vos configurations FXOS et ASA.

  • Chargez les informations suivantes dont vous aurez besoin pour télécharger les images logicielles sur le châssis :

    • L’adresse IP et les informations d’authentification du serveur à partir duquel vous copiez l’image.

    • Nom complet du fichier image.

Procédure

Étape 1

Déterminez quel châssis comporte le nœud de contrôle. Vous mettrez ce châssis à niveau en dernier.

  1. Connectez-vous au Interface de ligne de commande FXOS.

  2. Vérifiez que le nœud de contrôle se trouve sur ce châssis. Il devrait y avoir une instance ASA avec le rôle de grappe défini sur « Control » :

    scope ssa

    show app-instance

Étape 2

Connectez-vous au Interface de ligne de commande FXOS sur un châssis de la grappe qui ne comporte pas de nœud de contrôle.

Étape 3

Téléchargez la nouvelle image groupée de la plateforme FXOS sur le châssis :

  1. Entrez en mode micrologiciel :

    scope firmware

  2. Téléchargez l’image logicielle de l’ensemble de la plateforme FXOS :

    download image URL

    Précisez l'URL du fichier en cours d'importation à l'aide de l'une des syntaxes suivantes :

    • ftp://nom_d_utilisateur@serveur/ chemin/ nom_de_l_image

    • scp://nom_d_utilisateur@serveur/ chemin/ nom_de_l_image

    • sftp://nom_d_utilisateur@serveur/ chemin/ nom_de_l_image

    • tftp://serveur: numéro_de_port/ chemin/ nom_de_l_image

  3. Pour surveiller le processus de téléchargement :

    scope download-task nom_de_l_image

    show detail

Exemple:

L'exemple suivant copie une image à l'aide du protocole SCP : 

Firepower-chassis # scope firmware
Firepower-chassis /firmware # download image scp://user@192.168.1.1/images/fxos-k9.2.3.1.58.SPA
Firepower-chassis /firmware # scope download-task fxos-k9.2.3.1.58.SPA
Firepower-chassis /firmware/download-task # show detail
Download task:
    File Name: fxos-k9.2.3.1.58.SPA
    Protocol: scp
    Server: 192.168.1.1
    Userid:
    Path:
    Downloaded Image Size (KB): 853688
    State: Downloading
    Current Task: downloading image fxos-k9.2.3.1.58.SPA from 192.168.1.1(FSM-STAGE:sam:dme:FirmwareDownloaderDownload:Local)

Étape 4

Mettez à niveau l’ensemble FXOS :

  1. Si nécessaire, revenez au mode micrologiciel :

    top

    scope firmware

  2. Notez le numéro de version de l’ensemble de la plateforme FXOS que vous installez :

    show package

  3. Passez en mode d’installation automatique :

    scope auto-install

  4. Installez l’ensemble de la plateforme FXOS :

    install platform platform-vers version_number

    version_number est le numéro de version de l’ensemble de la plateforme FXOS que vous installez, par exemple, la version 2.3(1.58).

  5. Le système vérifiera d’abord le paquet que vous souhaitez installer. Il vous informera de toute incompatibilité entre les applications actuellement installées et le paquet de plateforme FXOS indiqué. Il vous avertira également que toutes les sessions existantes seront terminées et que le système devra être redémarré dans le cadre de la mise à niveau. Tant que la version de l’ASA est répertoriée comme pouvant être mise à niveau dans le tableau de compatibilité, vous pouvez ignorer ces avertissements.

    Saisissez yes pour confirmer que vous souhaitez procéder à la vérification.

  6. Saisissez yes pour confirmer que vous souhaitez poursuivre l’installation ou saisissez no pour annuler l’installation.

    FXOS décompresse l’ensemble et met à niveau/recharge les composants.

  7. Pour surveiller le processus de mise à niveau, consultez Surveiller l'avancement de la mise à niveau.

Étape 5

Une fois que tous les composants ont bien été mis à niveau, vérifiez l’état des modules de sécurité/du moteur de sécurité et de toutes les applications installées avant de continuer (voir Vérifier l'installation).

Étape 6

Téléchargez la nouvelle image logicielle ASA sur le châssis :

  1. Entrez le mode de services de sécurité :

    top

    scope ssa

  2. Entrez le mode des logiciels d’application :

    scope app-software

  3. Téléchargez l’image logicielle du périphérique logique :

    download image URL

    Précisez l'URL du fichier en cours d'importation à l'aide de l'une des syntaxes suivantes :

    • ftp://nom_d_utilisateur@serveur/chemin

    • scp://nom_d_utilisateur@serveur/chemin

    • sftp://nom_d_utilisateur@serveur/chemin

    • tftp://serveur:numéro_de_port/chemin

  4. Pour surveiller le processus de téléchargement :

    show download-task

  5. Pour afficher les applications téléchargées :

    up

    show app

    Notez la version ASA pour le paquet que vous avez téléchargé. Vous devrez utiliser la chaîne de version exacte pour activer l’application à une étape ultérieure.

Exemple:

L'exemple suivant copie une image à l'aide du protocole SCP : 

Firepower-chassis # scope ssa
Firepower-chassis /ssa # scope app-software
Firepower-chassis /ssa/app-software # download image scp://user@192.168.1.1/images/cisco-asa.9.4.1.65.csp
Firepower-chassis /ssa/app-software # show download-task

Downloads for Application Software:
    File Name                      Protocol   Server               Userid          State
    ------------------------------ ---------- -------------------- --------------- -----
    cisco-asa.9.4.1.65.csp         Scp        192.168.1.1          user            Downloaded

Firepower-chassis /ssa/app-software # up

Firepower-chassis /ssa # show app

Application:
    Name       Version    Description Author     Deploy Type CSP Type    Is Default App
    ---------- ---------- ----------- ---------- ----------- ----------- --------------
    asa        9.4.1.41   N/A                    Native      Application No
    asa        9.4.1.65   N/A                    Native      Application Yes

Étape 7

Mettez à niveau l’image du périphérique logique ASA :

  1. Entrez le mode de services de sécurité :

    top

    scope ssa

  2. Définissez la portée au module de sécurité que vous mettez à jour :

    scope slotslot_number

  3. Définissez la portée de l’application ASA :

    scope app-instance asa instance_name

  4. Définissez la version de démarrage sur la version que vous souhaitez mettre à jour :

    set startup-version version_number

  5. Validez la configuration :

    commit-buffer

    Validez la transaction dans la configuration du système. L’image de l’application est mise à jour et l’application redémarre.

Étape 8

Pour vérifier l’état des modules de sécurité/du moteur de sécurité et de toutes les applications installées, consultez Vérifier l'installation.

Étape 9

Répétez les étapes Étape 2Étape 8 pour tous les châssis restants de la grappe qui ne disposent pas de nœud de contrôle.

Étape 10

Une fois que tous les châssis de la grappe qui ne disposent pas de nœud de contrôle ont été mis à niveau, répétez les étapes Étape 2Étape 8 sur le châssis avec le nœud de contrôle.

Un nouveau nœud de contrôle sera choisi dans l’un des châssis précédemment mis à niveau.

Étape 11

Pour le mode de mise en grappe VPN distribuée, une fois que la grappe est stable, redistribuez les sessions actives entre tous les modules de la grappe à l’aide de la console ASA sur l’unité de contrôle.

cluster redistribute vpn-sessiondb

Prochaine étape

Définissez l’ID de site de châssis. Pour en savoir plus sur la définition de l’ID de site du châssis, consultez la rubrique sur la mise en grappe intersite dans Déploiement d’une grappe pour ASA sur le Firepower 4100/9300 pour l’évolutivité et la haute disponibilité sur Cisco.com.

Surveiller l'avancement de la mise à niveau

Vous pouvez surveiller le processus de mise à niveau à l’aide du Interface de ligne de commande FXOS :

Procédure

Étape 1

Connectez-vous au Interface de ligne de commande FXOS.

Étape 2

Entrez scope system .

Étape 3

Entrez show firmware monitor .

Étape 4

Attendez que tous les composants (FPRM, interconnexion de la trame et châssis) affichent Upgrade-Status: Ready.

Remarque

 

Après la mise à niveau du composant FPRM, le système redémarrera puis poursuivra la mise à niveau des autres composants.

Exemple

Firepower-chassis# scope system
Firepower-chassis /system # show firmware monitor 
FPRM:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Fabric Interconnect A:
    Package-Vers: 2.3(1.58)
    Upgrade-Status: Ready

Chassis 1:
    Server 1:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready
    Server 2:
        Package-Vers: 2.3(1.58)
        Upgrade-Status: Ready

Vérifier l'installation

Saisissez les commandes suivantes pour vérifier l’état des modules de sécurité/du moteur de sécurité et de toutes les applications installées :

Procédure

Étape 1

Connectez-vous au Interface de ligne de commande FXOS.

Étape 2

Entrez top .

Étape 3

Entrez scope ssa .

Étape 4

Entrez show slot .

Étape 5

Vérifiez que l’état d’administration est OK et que l’état d’exploitation est en ligne pour le moteur de sécurité sur un appareil Firepower 4100 ou pour tous les modules de sécurité installés sur un Appareils Cisco Firepower de série 9300.

Exemple:

Étape 6

Entrez show app-instance .

Étape 7

Vérifiez que l’état d’exploitation est en ligne pour tous les périphériques logiques installés sur le châssis et que la bonne version est indiquée.

Si ce châssis fait partie d’une grappe, vérifiez que l’état opérationnel de la grappe est « In-Cluster » pour tous les modules de sécurité installés dans le châssis. Vérifiez également que l’unité de contrôle ne se trouve pas sur le châssis pour lequel vous effectuez la mise à niveau : il ne doit y avoir aucune instance avec le rôle de grappe défini sur « Master ».

Exemple

Firepower-chassis# scope ssa
Firepower-chassis /ssa # show slot

Slot:
    Slot ID    Log Level Admin State  Oper State
    ---------- --------- ------------ ----------
    1          Info      Ok           Online
    2          Info      Ok           Online
    3          Info      Ok           Not Available
Firepower-chassis /ssa #
Firepower-chassis /ssa # show app-instance
App Name   Identifier Slot ID    Admin State Oper State       Running Version Startup Version Cluster State   Cluster Role
---------- ---------- ---------- ----------- ---------------- --------------- --------------- --------------- ------------
asa        asa1       1          Enabled     Online           9.10.0.85       9.10.0.85       Not Applicable  None
asa        asa2       2          Enabled     Online           9.10.0.85       9.10.0.85       Not Applicable  None
Firepower-chassis /ssa #

Mettre à niveau l'ASA Virtual, l'ISA 3000 ou l'ASA 5500-X

Ce document décrit comment planifier et mettre en œuvre une mise à niveau ASA et ASDM pour les déploiements autonomes, de basculement ou de mise en grappe sur les modèles suivants :

  • ASA virtuel

  • ISA 3000

  • ASA 5500-X

Mettre à niveau une unité autonome

Utilisez l’interface de ligne de commande ou ASDM pour mettre à niveau l’unité autonome.

Mettre à niveau une unité autonome à l'aide de l'interface de ligne de commande

Cette section décrit comment installer les images ASDM et ASA, et quand mettre à niveau le module ASA FirePOWER.

Avant de commencer

Cette procédure utilise le protocole FTP. Pour TFTP, HTTP ou d’autres types de serveurs, consultez la commande copy dans la référence de commande ASA.

Procédure

Étape 1

En mode d’exécution privilégié, copiez le logiciel ASA dans la mémoire flash.

copy ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/nom_de_l_image_asa diskn:/[chemin/]nom_de_l_image_asa

Exemple:

ciscoasa# copy ftp://jcrichton:aeryn@10.1.1.1/asa-9-12-1-smp-k8.bin disk0:/asa-9-12-1-smp-k8.bin

Étape 2

Copiez l’image ASDM dans la mémoire flash.

copy ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/asdm_image_name diskn:/[chemin/]asdm_image_name

Exemple:

ciscoasa# copy ftp://jcrichton:aeryn@10.1.1.1/asdm-7121.bin disk0:/asdm-7121.bin

Étape 3

Accédez au mode de configuration globale.

configure terminal

Exemple:

ciscoasa# configure terminal
ciscoasa(config)#

Étape 4

Affichez les images de démarrage actuelles configurées (jusqu’à 4) :

show running-config boot system

L’ASA utilise les images dans l’ordre indiqué; si la première image n’est pas disponible, l’image suivante est utilisée, et ainsi de suite. Vous ne pouvez pas insérer une nouvelle URL d’image en haut de la liste. Pour placer la nouvelle image en première position, vous devez supprimer toutes les entrées existantes et saisir les URL d’image dans l’ordre souhaité, en fonction des étapes suivantes.

Exemple:

ciscoasa(config)# show running-config boot system
boot system disk0:/cdisk.bin
boot system disk0:/asa931-smp-k8.bin

Étape 5

Supprimez toutes les configurations d’image de démarrage existantes afin de pouvoir utiliser la nouvelle image de démarrage comme votre premier choix :

no boot system diskn:/[chemin/]nom_de_l_image_asa

Exemple:

ciscoasa(config)# no boot system disk0:/cdisk.bin
ciscoasa(config)# no boot system disk0:/asa931-smp-k8.bin

Étape 6

Définissez l’image ASA à démarrer (celle que vous venez de charger) :

boot system diskn:/[chemin/]nom_de_l_image_asa

Répétez cette commande pour toutes les images de sauvegarde que vous souhaitez utiliser au cas où cette image ne serait pas disponible. Par exemple, vous pouvez réintroduire les images que vous avez précédemment supprimées.

Exemple:

ciscoasa(config)# boot system disk0:/asa-9-12-1-smp-k8.bin

Étape 7

Définissez l’image ASDM à utiliser (celle que vous venez de charger) :

asdm image diskn:/[chemin/]nom_de_l_image_asdm

Vous ne pouvez configurer qu’une seule image ASDM à utiliser, vous n’avez donc pas besoin de supprimer la configuration existante en premier lieu.

Exemple:

ciscoasa(config)# asdm image disk0:/asdm-7121.bin

Étape 8

Enregistrez les nouveaux paramètres dans la configuration de démarrage :

write memory

Étape 9

Rechargez l’ASA :

reload

Étape 10

Si vous mettez à niveau le module ASA FirePOWER, désactivez l’API REST ASA, sinon la mise à niveau échouera.

no rest-api agent

Vous pouvez la réactiver après la mise à niveau :

rest-api agent

Remarque

 

La série ASA 5506-X ne prend pas en charge l’API REST ASA si vous utilisez la version 6.0 du module FirePOWER ou une version ultérieure.

Étape 11

Mettez à niveau le module ASA FirePOWER.

Mettre à niveau une unité autonome à partir de votre ordinateur local à l'aide d'ASDM

L’outil de mise à niveau du logiciel à partir de l’ordinateur local vous permet de charger un fichier image de votre ordinateur vers le système de fichiers flash pour mettre à niveau l’ASA.

Procédure

Étape 1

Dans la fenêtre d’application ASDM principale, choisissez Outils > Mettre à niveau le logiciel à partir de l’ordinateur local.

La boîte de dialogue Mettre à niveau le logiciel s’affiche.

Étape 2

Dans la liste déroulante Image à charger, sélectionnez ASDM.

Étape 3

Dans le champ Chemin d’accès au fichier local, cliquez sur Parcourir les fichiers locaux pour trouver le fichier sur votre ordinateur.

Étape 4

Dans le champ Chemin d’accès au système de fichiers flash, cliquez sur Parcourir la mémoire flash pour trouver le répertoire ou le fichier dans le système de fichiers flash.

Étape 5

Cliquez sur Charger une image.

Le processus de chargement peut prendre quelques minutes.

Étape 6

Vous êtes invité à définir cette image comme image ASDM. Cliquez sur Yes (Oui).

Étape 7

Il vous est rappellé de quitter ASDM et d’enregistrer la configuration. Cliquez sur OK.

Vous quittez l’outil Mise à niveau. Remarque : Vous enregistrerez la configuration, puis quitterez et vous reconnecterez à ASDM après avoir mis à niveau le logiciel ASA.

Étape 8

Répétez ces étapes, en sélectionnant ASA dans la liste déroulante Image à charger. Vous pouvez également utiliser cette procédure pour charger d’autres types de fichiers.

Étape 9

Choisissez Outils > Rechargement du système pour recharger l’ASA.

Une nouvelle fenêtre s’affiche et vous demande de vérifier les détails du rechargement.

  1. Cliquez sur le bouton radio Enregistrer la configuration en cours d’enregistrement au moment du rechargement.

  2. Choisissez une heure de rechargement (par exemple, Maintenant, la valeur par défaut).

  3. Cliquer sur Planifier le rechargement.

Une fois que le rechargement est en cours, une fenêtre État du rechargement s’affiche pour indiquer qu’un rechargement est en cours. Une option pour quitter ASDM est également fournie.

Étape 10

Après le rechargement de l’ASA, redémarrez ASDM.

Vous pouvez vérifier l’état de rechargement à partir d’un port de console, ou vous pouvez attendre quelques minutes et essayer de vous connecter à l’aide d’ASDM.

Étape 11

Si vous mettez à niveau un module ASA FirePOWER, désactivez l’API REST ASA en sélectionnant Outils > Interface de ligne de commandeet en entrant no rest-api agent .

Si vous ne désactivez pas l’API REST, la mise à niveau du module ASA FirePOWER échouera. Vous pouvez la réactiver après la mise à niveau :

rest-api agent

Remarque

 

La série ASA 5506-X ne prend pas en charge l’API REST ASA si vous utilisez la version 6.0 du module FirePOWER ou une version ultérieure.

Étape 12

Mettez à niveau le module ASA FirePOWER.

Mettre à niveau une unité autonome à l'aide de l'assistant ASDM Cisco.com

L’assistant de mise à niveau du logiciel à partir de Cisco.com vous permet de mettre à niveau automatiquement ASDM et ASA vers des versions plus récentes.

Dans cet assistant, vous pouvez effectuer les opérations suivantes :

  • Choisissez un fichier image ASA ou un fichier image ASDM à mettre à niveau.


    Remarque

    ASDM télécharge la dernière version de l’image, qui comprend le numéro de version. Par exemple, si vous téléchargez la version 9.9(1), le téléchargement peut inclure la version 9.9(1.2). Ce comportement est normal, vous pouvez donc procéder à la mise à niveau prévue.

  • Passez en revue les modifications de mise à niveau que vous avez apportées.

  • Téléchargez l’image ou les images et installez-les.

  • Passez en revue l’état de l’installation.

  • Si l’installation a réussi, rechargez l’ASA pour enregistrer la configuration et terminer la mise à niveau.

Avant de commencer

En raison d’une modification interne, l’assistant est uniquement pris en charge par ASDM 7.10(1) ou les versions ultérieures. De plus, en raison d’une modification de nom d’image, vous devez utiliser ASDM 7.12(1) ou une version ultérieure pour effectuer une mise à niveau vers ASA 9.10(1) ou une version ultérieure. Comme ASDM est rétrocompatible avec les versions d’ASA antérieures, vous pouvez mettre à niveau ASDM, quelle que soit la version d’ASA que vous utilisez.

Procédure

Étape 1

Choisissez Outils > Vérifier la présence de mises à jour ASA/ASDM.

En mode contexte multiple, accédez à ce menu à partir du système.

La boîte de dialogue Authentification de Cisco.com s’affiche.

Étape 2

Saisissez votre nom d’utilisateur et votre mot de passe Cisco.com, puis cliquez sur Connexion.

L’assistant de mise à niveau Cisco.com s’affiche.

Remarque

 

Si aucune mise à niveau n’est disponible, une boîte de dialogue s’affiche. Cliquez sur OK pour quitter l’assistant.

Étape 3

Cliquez sur Suivant pour afficher l’écran Sélectionner un logiciel.

La version d’ASA actuelle et la version d’ASDM s’affichent.

Étape 4

Pour mettre à niveau la version d’ASA et la version d’ASDM, procédez comme suit :

  1. Dans la zone ASA, cochez la case Mettre à niveau vers, puis choisissez une version d’ASA à laquelle vous souhaitez passer dans la liste déroulante.

  2. Dans la zone ASDM, cochez la case Mettre à niveau vers, puis choisissez une version d’ASDM à laquelle vous souhaitez passer dans la liste déroulante.

Étape 5

Cliquez sur Suivant pour afficher l’écran Passer en revue les modifications.

Étape 6

Vérifiez les éléments suivants :

  • Le fichier image ASA ou le fichier image ASDM que vous avez téléchargé est le bon.

  • Le fichier image ASA ou le fichier image ASDM que vous souhaitez charger est le bon.

  • La bonne image de démarrage ASA a été sélectionnée.

Étape 7

Cliquez sur Suivant pour lancer l’installation de la mise à niveau.

Vous pouvez ensuite afficher l’état de l’installation de la mise à niveau à mesure qu’elle progresse.

L’écran Résultats s’affiche, et fournit des détails supplémentaires, comme l’état de l’installation de la mise à niveau (réussite ou échec).

Étape 8

Si l’installation de la mise à niveau a réussi, pour que les versions de mise à niveau prennent effet, cochez la case Enregistrer la configuration et recharger le périphérique maintenant pour redémarrer l’ASA et le redémarrer ASDM.

Étape 9

Cliquez sur Terminer pour quitter l’assistant et enregistrer les modifications de configuration que vous avez apportées.

Remarque

 

Pour passer à la version ultérieure, le cas échéant, vous devez redémarrer l’assistant.

Étape 10

Après le rechargement de l’ASA, redémarrez ASDM.

Vous pouvez vérifier l’état de rechargement à partir d’un port de console, ou vous pouvez attendre quelques minutes et essayer de vous connecter à l’aide d’ASDM.

Étape 11

Si vous mettez à niveau un module ASA FirePOWER, désactivez l’API REST ASA en sélectionnant Outils > Interface de ligne de commandeet en entrant no rest-api agent .

Si vous ne désactivez pas l’API REST, la mise à niveau du module ASA FirePOWER échouera. Vous pouvez la réactiver après la mise à niveau :

rest-api agent

Remarque

 

La série ASA 5506-X ne prend pas en charge l’API REST ASA si vous utilisez la version 6.0 du module FirePOWER ou une version ultérieure.

Étape 12

Mettez à niveau le module ASA FirePOWER.

Mettre à niveau une paire de basculements actif/de secours

Utilisez l’interface de ligne de commande ou ASDM pour mettre à niveau la paire de basculements actif/de secours pour une mise à niveau sans temps d’arrêt.

Mettre à niveau une paire de basculements actif/de secours à l'aide de l'interface de ligne de commande

Pour mettre à niveau la paire de basculements actif/de secours, procédez comme suit.

Avant de commencer

  • Exécutez ces étapes sur l’unité active. Pour l‘accès SSH, connectez-vous à l‘adresse IP active; l’unité active présente toujours cette adresse IP. Lorsque vous vous connectez à l’interface de ligne de commande, déterminez l’état de basculement en examinant l’invite d’ASA; vous pouvez configurer l’invite ASA pour afficher l’état et la priorité de basculement (principal ou secondaire), ce qui est utile pour déterminer à quelle unité vous êtes connecté. Consultez la commande d’invite. Vous pouvez également saisir la commande show failover pour afficher l’état et la priorité de cette unité (principale ou secondaire).

  • Cette procédure utilise le protocole FTP. Pour TFTP, HTTP ou d’autres types de serveurs, consultez la commande copy dans la référence de commande ASA.

Procédure

Étape 1

Sur l’unité active, en mode d’exécution privilégié, copiez le logiciel ASA dans la mémoire flash de l’unité active :

copy ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/nom_de_l_image_asa diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/act# copy ftp://jcrichton:aeryn@10.1.1.1/asa9-15-1-smp-k8.bin disk0:/asa9-15-1-smp-k8.bin

Étape 2

Copiez le logiciel sur l’unité de secours. Assurez-vous de définir le même chemin que pour l’unité active :

failover exec mate copy /noconfirm ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/nom_de_l_image_asa diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/act# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asa9-15-1-smp-k8.bin disk0:/asa9-15-1-smp-k8.bin

Étape 3

Copiez l’image ASDM dans la mémoire flash de l’unité active :

copy ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/asdm_image_name diskn:/[chemin/]asdm_image_name

Exemple:

asa/act# copy ftp://jcrichton:aeryn@10.1.1.1/asdm-77171417151.bin disk0:/asdm-77171417151.bin

Étape 4

Copiez l’image ASDM sur l’unité de secours. Assurez-vous de définir le même chemin que pour l’unité active :

failover exec mate copy /noconfirm ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/asdm_image_name diskn:/[chemin/]asdm_image_name

Exemple:

asa/act# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asdm-77171417151.bin disk0:/asdm-77171417151.bin

Étape 5

Si vous n’êtes pas déjà en mode de configuration globale, accédez-y :

configure terminal

Étape 6

Affichez les images de démarrage actuelles configurées (jusqu’à 4) :

show running-config boot system

Exemple:

asa/act(config)# show running-config boot system
boot system disk0:/cdisk.bin
boot system disk0:/asa931-smp-k8.bin

L’ASA utilise les images dans l’ordre indiqué; si la première image n’est pas disponible, l’image suivante est utilisée, et ainsi de suite. Vous ne pouvez pas insérer une nouvelle URL d’image en haut de la liste. Pour placer la nouvelle image en première position, vous devez supprimer toutes les entrées existantes et saisir les URL d’image dans l’ordre souhaité, en fonction des étapes suivantes.

Étape 7

Supprimez toutes les configurations d’image de démarrage existantes afin de pouvoir utiliser la nouvelle image de démarrage comme votre premier choix :

no boot system diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/act(config)# no boot system disk0:/cdisk.bin
asa/act(config)# no boot system disk0:/asa931-smp-k8.bin

Étape 8

Définissez l’image ASA à démarrer (celle que vous venez de charger) :

boot system diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/act(config)# boot system disk0://asa9-15-1-smp-k8.bin

Répétez cette commande pour toutes les images de sauvegarde que vous souhaitez utiliser au cas où cette image ne serait pas disponible. Par exemple, vous pouvez réintroduire les images que vous avez précédemment supprimées.

Étape 9

Définissez l’image ASDM à utiliser (celle que vous venez de charger) :

asdm image diskn:/[chemin/]nom_de_l_image_asdm

Exemple:

asa/act(config)# asdm image disk0:/asdm-77171417151.bin

Vous ne pouvez configurer qu’une seule image ASDM à utiliser, vous n’avez donc pas besoin de supprimer la configuration existante en premier lieu.

Étape 10

Enregistrez les nouveaux paramètres dans la configuration de démarrage :

write memory

Ces modifications de configuration sont automatiquement enregistrées sur l’unité de secours.

Étape 11

Si vous mettez à niveau des modules ASA FirePOWER, désactivez l’API REST ASA, sinon la mise à niveau échouera.

no rest-api agent

Étape 12

Mettez à niveau le module ASA FirePOWER sur l’unité de secours.

Pour un module ASA FirePOWER géré par ASDM, connectez ASDM à l’adresse IP de gestion de secours. Attendez que la mise à niveau soit terminée.

Étape 13

Rechargez l’unité de secours pour démarrer la nouvelle image :

failover reload-standby

Attendez que l’unité de secours ait terminé le chargement. Utilisez la commande show failover pour vérifier que l’unité de secours est à l’état de secours.

Étape 14

Forcez l’unité active à basculer vers l’unité de secours.

no failover active

Si vous êtes déconnecté de votre session SSH, reconnectez-vous à l’adresse IP principale, maintenant sur la nouvelle unité active/ancienne unité de secours.

Étape 15

Mettez à niveau le module ASA FirePOWER sur l’ancienne unité active.

Pour un module ASA FirePOWER géré par ASDM, connectez ASDM à l’adresse IP de gestion de secours. Attendez que la mise à niveau soit terminée.

Étape 16

À partir de la nouvelle unité active, rechargez l’ancienne unité active (maintenant la nouvelle unité de secours).

failover reload-standby

Exemple:

asa/act# failover reload-standby

Remarque

 

Si vous êtes connecté au port de console de l’ancienne unité active, vous devez plutôt saisir la commande reload pour recharger l’ancienne unité active.

Mettre à niveau une paire de basculements actif/de secours à l’aide d’ASDM

Pour mettre à niveau la paire de basculements actif/de secours, procédez comme suit.

Avant de commencer

Placez les images ASA et ASDM sur votre ordinateur de gestion local.

Procédure

Étape 1

Lancez ASDM sur l’unité de secours en vous connectant à l’adresse IP de secours.

Étape 2

Dans la fenêtre d’application ASDM principale, choisissez Outils > Mettre à niveau le logiciel à partir de l’ordinateur local.

La boîte de dialogue Mettre à niveau le logiciel s’affiche.

Étape 3

Dans la liste déroulante Image à charger, sélectionnez ASDM.

Étape 4

Dans le champ Chemin d’accès au fichier local, saisissez le chemin d’accès local au fichier sur votre ordinateur ou cliquez sur Parcourir les fichiers locaux pour trouver le fichier sur votre ordinateur.

Étape 5

Dans le champ Chemin d’accès au système de fichiers flash, saisissez le chemin d’accès au système de fichiers flash ou cliquez sur Parcourir la mémoire flash pour trouver le répertoire ou le fichier dans le système de fichiers flash.

Étape 6

Cliquez sur Charger une image. Le processus de chargement peut prendre quelques minutes.

Lorsque vous êtes invité à définir cette image comme image ASDM, cliquez sur Non. Vous quittez l’outil Mise à niveau.

Étape 7

Répétez ces étapes, en sélectionnant ASA dans la liste déroulante Image à charger.

Lorsque vous êtes invité à définir cette image comme image ASA, cliquez sur Non. Vous quittez l’outil Mise à niveau.

Étape 8

Connectez ASDM à l’unité active en vous connectant à l’adresse IP principale et chargez le logiciel ASDM en utilisant le même emplacement de fichier que vous avez utilisé sur l’unité de secours.

Étape 9

Lorsque vous êtes invité à définir l’image comme image ASDM, cliquez sur Oui.

Il vous est rappellé de quitter ASDM et d’enregistrer la configuration. Cliquez sur OK. Vous quittez l’outil Mise à niveau. Remarque : Vous enregistrerez la configuration et rechargerez ASDM après avoir mis à niveau le logiciel ASA.

Étape 10

Chargez le logiciel ASA en utilisant le même emplacement de fichier que vous avez utilisé pour l’unité de secours.

Étape 11

Lorsque vous êtes invité à définir l’image comme image ASA, cliquez sur Oui.

Il vous est rappelé de recharger l’ASA pour utiliser la nouvelle image. Cliquez sur OK. Vous quittez l’outil Mise à niveau.

Étape 12

Cliquez sur l’icône Enregistrer dans la barre d’outils pour enregistrer les modifications apportées à la configuration.

Ces modifications de configuration sont automatiquement enregistrées sur l’unité de secours.

Étape 13

Si vous mettez à niveau des modules ASA FirePOWER, désactivez l’API REST ASA en sélectionnant Outils > Interface de ligne de commande et en saisissant no rest-api enable .

Si vous ne désactivez pas l’API REST, la mise à niveau du module ASA FirePOWER échouera.

Étape 14

Mettez à niveau le module ASA FirePOWER sur l’unité de secours.

Pour un module ASA FirePOWER géré par ASDM, connectez ASDM à l’adresse IP de gestion de secours. Attendez que la mise à niveau soit terminée, puis reconnectez ASDM à l’unité active.

Étape 15

Rechargez l’unité de secours en sélectionnant Surveillance > Propriétés > Basculement > État, puis cliquez sur Recharger l’unité de secours.

Restez dans le volet Système pour surveiller le rechargement de l’unité de secours.

Étape 16

Après le rechargement de l’unité de secours, forcez l’unité active à basculer vers l’unité de secours en sélectionnant Surveillance > Propriétés > Basculement > État, puis cliquez sur Faire passer en groupe de secours.

ASDM se reconnectera automatiquement à la nouvelle unité active.

Étape 17

Mettez à niveau le module ASA FirePOWER sur l’ancienne unité active.

Pour un module ASA FirePOWER géré par ASDM, connectez ASDM à l’adresse IP de gestion de secours. Attendez que la mise à niveau soit terminée, puis reconnectez ASDM à l’unité active.

Étape 18

Rechargez l’unité de secours (nouvelle) en sélectionnant Surveillance > Propriétés > Basculement > État, puis cliquez sur Recharger l’unité de secours.

Mettre à niveau une paire de basculements actif/actif

Utilisez l’interface de ligne de commande ou ASDM pour mettre à niveau la paire de basculements actif/actif pour une mise à niveau sans temps d’arrêt.

Mettre à niveau une paire de basculements actif/actif à l’aide de l’interface de ligne de commande

Pour mettre à niveau deux unités dans une configuration de basculement actif/actif, procédez comme suit.

Avant de commencer

  • Exécutez ces étapes sur l’unité principale.

  • Effectuez ces étapes dans l’espace d’exécution du système.

  • Cette procédure utilise le protocole FTP. Pour TFTP, HTTP ou d’autres types de serveurs, consultez la commande copy dans la référence de commande ASA.

Procédure

Étape 1

Sur l’unité principale, en mode d’exécution privilégié, copiez le logiciel ASA dans la mémoire flash :

copy ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/nom_de_l_image_asa diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/act/pri# copy ftp://jcrichton:aeryn@10.1.1.1/asa9-15-1-smp-k8.bin disk0:/asa9-15-1-smp-k8.bin

Étape 2

Copiez le logiciel sur l’unité secondaire. Assurez-vous de définir le même chemin que pour l’unité principale :

failover exec mate copy /noconfirm ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/nom_de_l_image_asa diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/act/pri# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asa9-15-1-smp-k8.bin disk0:/asa9-15-1-smp-k8.bin

Étape 3

Copiez l’image ASDM dans la mémoire flash de l’unité principale :

copy ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/asdm_image_name diskn:/[chemin/]asdm_image_name

Exemple:

asa/act/pri# ciscoasa# copy ftp://jcrichton:aeryn@10.1.1.1/asdm-77171417151.bin disk0:/asdm-77171417151.bin

Étape 4

Copiez l’image ASDM sur l’unité secondaire. Assurez-vous de définir le même chemin que pour l’unité principale :

failover exec mate copy /noconfirm ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/asdm_image_name diskn:/[chemin/]asdm_image_name

Exemple:

asa/act/pri# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asdm-77171417151.bin disk0:/asdm-77171417151.bin

Étape 5

Si vous n’êtes pas déjà en mode de configuration globale, accédez-y :

configure terminal

Étape 6

Affichez les images de démarrage actuelles configurées (jusqu’à 4) :

show running-config boot system

Exemple:

asa/act/pri(config)# show running-config boot system
boot system disk0:/cdisk.bin
boot system disk0:/asa931-smp-k8.bin

L’ASA utilise les images dans l’ordre indiqué; si la première image n’est pas disponible, l’image suivante est utilisée, et ainsi de suite. Vous ne pouvez pas insérer une nouvelle URL d’image en haut de la liste. Pour placer la nouvelle image en première position, vous devez supprimer toutes les entrées existantes et saisir les URL d’image dans l’ordre souhaité, en fonction des étapes suivantes.

Étape 7

Supprimez toutes les configurations d’image de démarrage existantes afin de pouvoir utiliser la nouvelle image de démarrage comme votre premier choix :

no boot system diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/act/pri(config)# no boot system disk0:/cdisk.bin
asa/act/pri(config)# no boot system disk0:/asa931-smp-k8.bin

Étape 8

Définissez l’image ASA à démarrer (celle que vous venez de charger) :

boot system diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/act/pri(config)# boot system disk0://asa9-15-1-smp-k8.bin

Répétez cette commande pour toutes les images de sauvegarde que vous souhaitez utiliser au cas où cette image ne serait pas disponible. Par exemple, vous pouvez réintroduire les images que vous avez précédemment supprimées.

Étape 9

Définissez l’image ASDM à utiliser (celle que vous venez de charger) :

asdm image diskn:/[chemin/]nom_de_l_image_asdm

Exemple:

asa/act/pri(config)# asdm image disk0:/asdm-77171417151.bin

Vous ne pouvez configurer qu’une seule image ASDM à utiliser, vous n’avez donc pas besoin de supprimer la configuration existante en premier lieu.

Étape 10

Enregistrez les nouveaux paramètres dans la configuration de démarrage :

write memory

Ces modifications de configuration sont automatiquement enregistrées sur l’unité secondaire.

Étape 11

Si vous mettez à niveau des modules ASA FirePOWER, désactivez l’API REST ASA, sinon la mise à niveau échouera.

no rest-api agent

Étape 12

Activez les deux groupes de basculement sur l’unité principale :

failover active group 1

failover active group 2

Exemple:

asa/act/pri(config)# failover active group 1
asa/act/pri(config)# failover active group 2

Étape 13

Mettez à niveau le module ASA FirePOWER sur l’unité secondaire.

Pour un module ASA FirePOWER géré par ASDM, connectez ASDM à l’adresse IP de gestion de secours du groupe de basculement 1 ou 2. Attendez que la mise à niveau soit terminée.

Étape 14

Rechargez l’unité secondaire pour démarrer la nouvelle image :

failover reload-standby

Attendez que l’unité secondaire ait terminé le chargement. Utilisez la commande show failover pour vérifier que les deux groupes de basculement sont à l’état de secours.

Étape 15

Forcez les deux groupes de basculement à devenir actifs sur l’unité secondaire :

no failover active group 1

no failover active group 2

Exemple:

asa/act/pri(config)# no failover active group 1
asa/act/pri(config)# no failover active group 2
asa/stby/pri(config)#

Si vous êtes déconnecté de votre session SSH, reconnectez-vous à l’adresse IP du groupe de basculement 1, maintenant sur l’unité secondaire.

Étape 16

Mettez à niveau le module ASA FirePOWER sur l’unité principale.

Pour un module ASA FirePOWER géré par ASDM, connectez ASDM à l’adresse IP de gestion de secours du groupe de basculement 1 ou 2. Attendez que la mise à niveau soit terminée.

Étape 17

Rechargez l’unité principale :

failover reload-standby

Exemple:

asa/act/sec# failover reload-standby

Remarque

 

Si vous êtes connecté au port de console de l’unité principale, vous devez plutôt saisir la commande reload pour recharger l’unité principale.

Il se peut que vous soyez déconnecté de votre session SSH.

Étape 18

Si les groupes de basculement sont configurés avec la commande preempt , ils deviennent automatiquement actifs sur l’unité désignée une fois le délai de préemption écoulé.

Mettre à niveau une paire de basculements actif/actif à l’aide d’ASDM

Pour mettre à niveau deux unités dans une configuration de basculement actif/actif, procédez comme suit.

Avant de commencer

  • Effectuez ces étapes dans l’espace d’exécution du système.

  • Placez les images ASA et ASDM sur votre ordinateur de gestion local.

Procédure

Étape 1

Lancez ASDM sur l’unité secondaire en vous connectant à l’adresse de gestion dans le groupe de basculement 2.

Étape 2

Dans la fenêtre d’application ASDM principale, choisissez Outils > Mettre à niveau le logiciel à partir de l’ordinateur local.

La boîte de dialogue Mettre à niveau le logiciel s’affiche.

Étape 3

Dans la liste déroulante Image à charger, sélectionnez ASDM.

Étape 4

Dans le champ Chemin d’accès au fichier local, saisissez le chemin d’accès local au fichier sur votre ordinateur ou cliquez sur Parcourir les fichiers locaux pour trouver le fichier sur votre ordinateur.

Étape 5

Dans le champ Chemin d’accès au système de fichiers flash, saisissez le chemin d’accès au système de fichiers flash ou cliquez sur Parcourir la mémoire flash pour trouver le répertoire ou le fichier dans le système de fichiers flash.

Étape 6

Cliquez sur Charger une image. Le processus de chargement peut prendre quelques minutes.

Lorsque vous êtes invité à définir cette image comme image ASDM, cliquez sur Non. Vous quittez l’outil Mise à niveau.

Étape 7

Répétez ces étapes, en sélectionnant ASA dans la liste déroulante Image à charger.

Lorsque vous êtes invité à définir cette image comme image ASA, cliquez sur Non. Vous quittez l’outil Mise à niveau.

Étape 8

Connectez ASDM à l’unité principale en vous connectant à l’adresse IP de gestion dans le groupe de basculement 1 et chargez le logiciel ASDM en utilisant le même emplacement de fichier que vous avez utilisé sur l’unité secondaire.

Étape 9

Lorsque vous êtes invité à définir l’image comme image ASDM, cliquez sur Oui.

Il vous est rappellé de quitter ASDM et d’enregistrer la configuration. Cliquez sur OK. Vous quittez l’outil Mise à niveau. Remarque : Vous enregistrerez la configuration et rechargerez ASDM après avoir mis à niveau le logiciel ASA.

Étape 10

Chargez le logiciel ASA en utilisant le même emplacement de fichier que vous avez utilisé pour l’unité secondaire.

Étape 11

Lorsque vous êtes invité à définir l’image comme image ASA, cliquez sur Oui.

Il vous est rappelé de recharger l’ASA pour utiliser la nouvelle image. Cliquez sur OK. Vous quittez l’outil Mise à niveau.

Étape 12

Cliquez sur l’icône Enregistrer dans la barre d’outils pour enregistrer les modifications apportées à la configuration.

Ces modifications de configuration sont automatiquement enregistrées sur l’unité secondaire.

Étape 13

Si vous mettez à niveau des modules ASA FirePOWER, désactivez l’API REST ASA en sélectionnant Outils > Interface de ligne de commande et en saisissant no rest-api enable .

Si vous ne désactivez pas l’API REST, la mise à niveau du module ASA FirePOWER échouera.

Étape 14

Activez les deux groupes de basculement sur l’unité principale en sélectionnant Surveillance > Basculement > Groupe de basculement #, où # est le numéro du groupe de basculement que vous souhaitez déplacer dans l’unité principale, puis cliquez sur Faire passer en groupe actif.

Étape 15

Mettez à niveau le module ASA FirePOWER sur l’unité secondaire.

Pour un module ASA FirePOWER géré par ASDM, connectez ASDM à l’adresse IP de gestion de secours du groupe de basculement 1 ou 2. Attendez que la mise à niveau soit terminée, puis reconnectez ASDM à l’unité principale.

Étape 16

Rechargez l’unité secondaire en sélectionnant Surveillance > Basculement > Système, puis cliquez sur Recharger l’unité de secours.

Restez dans le volet Système pour surveiller le rechargement de l’unité secondaire.

Étape 17

Après le déploiement de l’unité secondaire, activez les deux groupes de basculement sur l’unité secondaire en sélectionnant Surveillance > Basculement > Groupe de basculement #, où # est le numéro du groupe de basculement que vous souhaitez déplacer dans l’unité secondaire, puis cliquez sur Faire passer en groupe de secours.

ASDM se reconnectera automatiquement à l’adresse IP du groupe de basculement 1 sur l’unité secondaire.

Étape 18

Mettez à niveau le module ASA FirePOWER sur l’unité principale.

Pour un module ASA FirePOWER géré par ASDM, connectez ASDM à l’adresse IP de gestion de secours du groupe de basculement 1 ou 2. Attendez que la mise à niveau soit terminée, puis reconnectez ASDM à l’unité secondaire.

Étape 19

Rechargez l’unité principale en sélectionnant Surveillance > Basculement > Système, puis cliquez sur Recharger l’unité de secours.

Étape 20

Si les groupes de basculement sont configurés avec la préemption activée, ils deviennent automatiquement actifs sur l’unité désignée une fois le délai de préemption écoulé. ASDM se reconnectera automatiquement à l’adresse IP du groupe de basculement 1 sur l’unité principale.

Mettre à niveau une grappe ASA

Utilisez l’interface de ligne de commande ou ASDM pour mettre à niveau la grappe ASA pour une mise à niveau sans temps d’arrêt.

Mettre à niveau une grappe ASA à l’aide de l'interface de ligne de commande

Pour mettre à niveau toutes les unités d’une grappe ASA, suivez les étapes suivantes. Cette procédure utilise le protocole FTP. Pour TFTP, HTTP ou d’autres types de serveurs, consultez la commande copy dans la référence de commande ASA.

Avant de commencer

  • Exécutez ces étapes sur l’unité de contrôle. Si vous mettez également à niveau le module ASA FirePOWER, vous avez besoin d’un accès à la console ou à ASDM sur chaque unité de données. Vous pouvez configurer l’invite ASA pour afficher l’unité de la grappe et son état (contrôle ou données), ce qui est utile pour déterminer à quelle unité vous êtes connecté. Consultez la commande d’invite. Vous pouvez également saisir la commande show cluster info pour afficher le rôle de chaque unité.

  • Vous devez utiliser le port de console; vous ne pouvez pas activer ni désactiver la mise en grappe à partir d’une connexion distante d’interface de ligne de commande.

  • Effectuez ces étapes dans l’espace d’exécution du système pour le mode contexte multiple.

Procédure

Étape 1

Sur l’unité de contrôle en mode d‘exécution privilégié, copiez le logiciel ASA sur toutes les unités de la grappe.

cluster exec copy /noconfirm ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/nom_de_l_image_asa diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/unit1/master# cluster exec copy /noconfirm 
ftp://jcrichton:aeryn@10.1.1.1/asa9-15-1-smp-k8.bin disk0:/asa9-15-1-smp-k8.bin

Étape 2

Copiez l’image ASDM sur toutes les unités de la grappe :

cluster exec copy /noconfirm ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/asdm_image_name diskn:/[chemin/]asdm_image_name

Exemple:

asa/unit1/master# cluster exec copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asdm-77171417151.bin disk0:/asdm-77171417151.bin

Étape 3

Si vous n’êtes pas déjà en mode de configuration globale, accédez-y maintenant.

configure terminal

Exemple:

asa/unit1/master# configure terminal
asa/unit1/master(config)#

Étape 4

Affichez les images de démarrage actuelles configurées (jusqu’à 4).

show running-config boot system

Exemple:

asa/unit1/master(config)# show running-config boot system
boot system disk0:/cdisk.bin
boot system disk0:/asa931-smp-k8.bin

L’ASA utilise les images dans l’ordre indiqué; si la première image n’est pas disponible, l’image suivante est utilisée, et ainsi de suite. Vous ne pouvez pas insérer une nouvelle URL d’image en haut de la liste. Pour placer la nouvelle image en première position, vous devez supprimer toutes les entrées existantes et saisir les URL d’image dans l’ordre souhaité, en fonction des étapes suivantes.

Étape 5

Supprimez toutes les configurations d’image de démarrage existantes afin de pouvoir utiliser la nouvelle image de démarrage comme votre premier choix :

no boot system diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/unit1/master(config)# no boot system disk0:/cdisk.bin
asa/unit1/master(config)# no boot system disk0:/asa931-smp-k8.bin

Étape 6

Définissez l’image ASA à démarrer (celle que vous venez de charger) :

boot system diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/unit1/master(config)# boot system disk0://asa9-15-1-smp-k8.bin

Répétez cette commande pour toutes les images de sauvegarde que vous souhaitez utiliser au cas où cette image ne serait pas disponible. Par exemple, vous pouvez réintroduire les images que vous avez précédemment supprimées.

Étape 7

Définissez l’image ASDM à utiliser (celle que vous venez de charger) :

asdm image diskn:/[chemin/]nom_de_l_image_asdm

Exemple:

asa/unit1/master(config)# asdm image disk0:/asdm-77171417151.bin

Vous ne pouvez configurer qu’une seule image ASDM à utiliser, vous n’avez donc pas besoin de supprimer la configuration existante en premier lieu.

Étape 8

Enregistrez les nouveaux paramètres dans la configuration de démarrage :

write memory

Ces modifications de configuration sont automatiquement enregistrées sur les unités de données.

Étape 9

Si vous mettez à niveau des modules ASA FirePOWER, désactivez l’API REST ASA, sinon la mise à niveau du module ASA FirePOWER échouera.

no rest-api agent

Étape 10

Si vous mettez à niveau des modules ASA FirePOWER gérés par ASDM, vous devrez connecter ASDM aux adresses IP de gestion individuelles, vous devez donc noter les adresses IP de chaque unité.

show running-config interface ID_d_interface_de_gestion

Notez le nom de regroupement cluster-pool utilisé.

show ip[v6] local pool nom_de_regroupement

Notez les adresses IP de l’unité de grappe.

Exemple:

asa/unit2/slave# show running-config interface gigabitethernet0/0
!
interface GigabitEthernet0/0
 management-only
 nameif inside
 security-level 100
 ip address 10.86.118.1 255.255.252.0 cluster-pool inside-pool
asa/unit2/slave# show ip local pool inside-pool
Begin           End             Mask            Free     Held     In use
10.86.118.16    10.86.118.17    255.255.252.0       0        0        2

Cluster Unit                    IP Address Allocated
unit2                           10.86.118.16
unit1                           10.86.118.17
asa1/unit2/slave#

Étape 11

Mettez à niveau les unités de données.

Choisissez la procédure ci-dessous selon que vous mettez également à niveau des modules ASA FirePOWER. Les procédures ASA FirePOWER réduisent le nombre de rechargements de l’ASA lors de la mise à niveau du module ASA FirePOWER. Vous pouvez choisir d’utiliser la console de données ou ASDM pour ces procédures. Vous pouvez utiliser le module ASDM à la place de la console si vous n’avez pas accès à tous les ports de la console, mais que vous pouvez atteindre le module ASDM par le réseau.

Remarque

 

Pendant le processus de mise à niveau, n’utilisez jamais la commande cluster master unit pour forcer une unité de données à devenir l’unité de contrôle; vous pouvez causer des problèmes de connectivité au réseau et de stabilité de grappe. Vous devez d’abord mettre à niveau et recharger toutes les unités de données, puis poursuivre cette procédure pour assurer une transition harmonieuse de l’unité de contrôle actuelle vers une nouvelle unité de contrôle.

Si aucune mise à niveau du module ASA FirePOWER ne vous est proposée :

  1. Sur l’unité de contrôle, pour afficher les noms de membre, saisissez cluster exec unit ? , ou saisissez la commande show cluster info .

  2. Rechargez une unité de données.

    cluster exec unit unité_de_données reload noconfirm

    Exemple:
    
asa/unit1/master# cluster exec unit unit2 reload noconfirm

  3. Répétez l’opération pour chaque unité de données.

    Pour éviter les interruptions de connexion et permettre au trafic de se stabiliser, attendez que chaque unité soit de nouveau opérationnelle et rejoigne la grappe (environ 5 minutes) avant de répéter ces étapes pour l’unité suivante. Pour savoir quand une unité rejoint la grappe, saisissez show cluster info .

Si une mise à niveau du module ASA FirePOWER vous est proposée (à l’aide de la console de données) :

  1. Connectez-vous au port de console d’une unité de données et passez en mode de configuration globale.

    enable

    configure terminal

    Exemple:
    
asa/unit2/slave> enable
Password: 
asa/unit2/slave# configure terminal
asa/unit2/slave(config)#

  2. Désactivez la mise en grappe.

    cluster group name

    no enable

    N’enregistrez pas cette configuration; vous voulez que la mise en grappe soit activée lorsque vous rechargez le nœud. Vous devez désactiver la mise en grappe pour éviter plusieurs défaillances et renouvellements pendant le processus de mise à niveau; cette unité ne doit se joindre qu’une fois la mise à niveau et le rechargement terminés.

    Exemple:
    
asa/unit2/slave(config)# cluster group cluster1
asa/unit2/slave(cfg-cluster)# no enable
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either enable clustering or remove cluster group configuration.

Cluster unit unit2 transitioned from SLAVE to DISABLED
asa/unit2/ClusterDisabled(cfg-cluster)#

  3. Mettez à niveau le module ASA FirePOWER sur cette unité de données.

    Pour un module ASA FirePOWER géré par ASDM, connectez ASDM à l’adresse IP de gestion individuelle que vous avez notée plus tôt. Attendez que la mise à niveau soit terminée.

  4. Rechargez l’unité de données.

    reload noconfirm

  5. Répétez l’opération pour chaque unité de données.

    Pour éviter les interruptions de connexion et permettre au trafic de se stabiliser, attendez que chaque unité soit de nouveau opérationnelle et rejoigne la grappe (environ 5 minutes) avant de répéter ces étapes pour l’unité suivante. Pour savoir quand une unité rejoint la grappe, saisissez show cluster info .

Si une mise à niveau du module ASA FirePOWER vous est proposée (à l’aide d’ASDM) :

  1. Connectez ASDM à l’adresse IP de gestion individuelle de cette unité de données que vous avez notée plus tôt.

  2. Choisissez Configuration > Gestion des périphériques Haute disponibilité et évolutivité > Grappe ASA > Configuration de grappe > .

  3. Décochez la case Participer à la grappe ASA.

    Vous devez désactiver la mise en grappe pour éviter plusieurs défaillances et renouvellements pendant le processus de mise à niveau; cette unité ne doit se joindre qu’une fois la mise à niveau et le rechargement terminés.

    Ne décochez pas la case Configurer les paramètres de grappe ASA. Cette action efface toute la configuration de la grappe et désactive également toutes les interfaces, y compris l’interface de gestion à laquelle ASDM est connecté. Pour rétablir la connectivité dans ce cas, vous devez accéder à l’interface de ligne de commande au niveau du port de console.

    Remarque

     

    Certaines anciennes versions d’ASDM ne prennent pas en charge la désactivation de la grappe sur cet écran; dans ce cas, utilisez l’outil Outils > Interface de ligne de commande, cliquez sur le bouton radio Ligne multiple, puis entrez cluster group nom et no enable . Vous pouvez afficher le nom du groupe de grappes dans la zone Accueil > Tableau de bord des périphériques > Renseignements sur les périphériques > Grappe ASA.

  4. Cliquez sur Apply.

  5. Vous êtes invité à quitter ASDM. Reconnectez ASDM à la même adresse IP.

  6. Mettez à niveau le module ASA FirePOWER.

    Attendez que la mise à niveau soit terminée.

  7. Dans ASDM, choisissez Outils > Rechargement du système.

  8. Cliquez sur le bouton radio Recharger sans enregistrer la configuration en cours.

    Il ne faut pas sauvegarder la configuration. Lorsque cette unité sera rechargée, vous voudrez que la mise en grappe soit activée sur cette unité.

  9. Cliquer sur Planifier le rechargement.

  10. Cliquez sur Oui pour poursuivre le rechargement.

  11. Répétez l’opération pour chaque unité de données.

    Pour éviter les interruptions de connexion et permettre au trafic de se stabiliser, attendez que chaque unité soit de nouveau opérationnelle et rejoigne la grappe (environ 5 minutes) avant de répéter ces étapes pour l’unité suivante. Pour savoir quand une unité rejoint la grappe, consultez le volet Surveillance > Grappe ASA > Résumé de la grappede l’unité de contrôle.

Étape 12

Mettez à niveau l’unité de contrôle.

  1. Désactivez la mise en grappe.

    cluster group name

    no enable

    Attendez 5 minutes qu’une nouvelle unité de contrôle soit sélectionnée et que le trafic se stabilise.

    N’enregistrez pas cette configuration; vous voulez que la mise en grappe soit activée lorsque vous rechargez le nœud.

    Nous vous recommandons de désactiver manuellement la grappe sur l’unité de contrôle si possible afin qu’une nouvelle unité de contrôle puisse être choisie aussi rapidement et proprement que possible.

    Exemple:
    
asa/unit1/master(config)# cluster group cluster1
asa/unit1/master(cfg-cluster)# no enable
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either enable clustering or remove cluster group configuration.

Cluster unit unit1 transitioned from MASTER to DISABLED
asa/unit1/ClusterDisabled(cfg-cluster)#

  2. Mettez à niveau le module ASA FirePOWER sur cette unité.

    Pour un module ASA FirePOWER géré par ASDM, connectez ASDM à l’adresse IP de gestion individuelle que vous avez notée plus tôt. L’adresse IP de la grappe principale appartient maintenant à la nouvelle unité de contrôle. Cette ancienne unité de contrôle est toujours accessible sur son adresse IP de gestion individuelle.

    Attendez que la mise à niveau soit terminée.

  3. Rechargez cette unité.

    reload noconfirm

    Lorsque l’ancienne unité de contrôle rejoint la grappe, elle devient une unité de données.

Mettre à niveau une grappe ASA à l’aide d’ASDM

Pour mettre à niveau toutes les unités d’une grappe ASA, suivez les étapes suivantes.

Avant de commencer

  • Exécutez ces étapes sur l’unité de contrôle. Si vous mettez également à niveau le module ASA FirePOWER, vous avez besoin d’un accès à ASDM sur chaque unité de données.

  • Effectuez ces étapes dans l’espace d’exécution du système pour le mode contexte multiple.

  • Placez les images ASA et ASDM sur votre ordinateur de gestion local.

Procédure

Étape 1

Lancez ASDM sur l’unité de contrôle en vous connectant à l’adresse IP principale de la grappe.

Cette adresse IP reste toujours avec l’unité de contrôle.

Étape 2

Dans la fenêtre d’application ASDM principale, choisissez Outils > Mettre à niveau le logiciel à partir de l’ordinateur local.

La boîte de dialogue Mettre à niveau le logiciel à partir de l’ordinateur local s’affiche.

Étape 3

Cliquez sur le bouton radio Tous les périphériques de la grappe.

La boîte de dialogue Mettre à niveau le logiciel s’affiche.

Étape 4

Dans la liste déroulante Image à charger, sélectionnez ASDM.

Étape 5

Dans le champ Chemin d’accès au fichier local, cliquez sur Parcourir les fichiers locaux pour trouver le fichier sur votre ordinateur.

Étape 6

(Facultatif) Dans le champ Chemin d’accès au système de fichiers flash, saisissez le chemin d’accès au système de fichiers flash ou cliquez sur Parcourir la mémoire flash pour trouver le répertoire ou le fichier dans le système de fichiers flash.

Par défaut, ce champ est prérempli avec le chemin suivant : disk0:/filename.

Étape 7

Cliquez sur Charger une image. Le processus de chargement peut prendre quelques minutes.

Étape 8

Vous êtes invité à définir cette image comme image ASDM. Cliquez sur Yes (Oui).

Étape 9

Il vous est rappellé de quitter ASDM et d’enregistrer la configuration. Cliquez sur OK.

Vous quittez l’outil Mise à niveau. Remarque : Vous enregistrerez la configuration et rechargerez ASDM après avoir mis à niveau le logiciel ASA.

Étape 10

Répétez ces étapes, en sélectionnant ASA dans la liste déroulante Image à charger.

Étape 11

Cliquez sur l’icône Enregistrer dans la barre d’outils pour enregistrer les modifications apportées à la configuration.

Ces modifications de configuration sont automatiquement enregistrées sur les unités de données.

Étape 12

Notez les adresses IP de gestion individuelles pour chaque unité dans la section Configuration > Gestion des périphériques > Haute disponibilité et évolutivité > Grappe ASA > Membres de la grappe afin de pouvoir connecter ASDM directement aux unités de données ultérieurement.

Étape 13

Si vous mettez à niveau des modules ASA FirePOWER, désactivez l’API REST ASA en sélectionnant Outils > Interface de ligne de commande et en saisissant no rest-api enable .

Si vous ne désactivez pas l’API REST, la mise à niveau du module ASA FirePOWER échouera.

Étape 14

Mettez à niveau les unités de données.

Choisissez la procédure ci-dessous selon que vous mettez également à niveau des modules ASA FirePOWER. La procédure ASA FirePOWER réduit le nombre de rechargements de l’ASA lors de la mise à niveau du module ASA FirePOWER.

Remarque

 

Pendant le processus de mise à niveau, ne modifiez jamais l’unité de contrôle à l’aide de la page Surveillance > Grappe ASA > Résumé de la grappe pour forcer une unité de données à devenir l’unité de contrôle; vous pouvez causer des problèmes de connectivité au réseau et de stabilité de grappe. Vous devez d’abord recharger toutes les unités de données, puis poursuivre cette procédure pour assurer une transition harmonieuse de l’unité de contrôle actuelle vers une nouvelle unité de contrôle.

Si aucune mise à niveau du module ASA FirePOWER ne vous est proposée :

  1. Sur l’unité de contrôle, choisissez Outils > Rechargement du système.

  2. Choisissez un nom d’unité de données dans la liste déroulante Périphérique.

  3. Cliquer sur Planifier le rechargement.

  4. Cliquez sur Oui pour poursuivre le rechargement.

  5. Répétez l’opération pour chaque unité de données.

    Pour éviter les interruptions de connexion et permettre au trafic de se stabiliser, attendez que chaque unité soit de nouveau opérationnelle et rejoigne la grappe (environ 5 minutes) avant de répéter ces étapes pour l’unité suivante. Pour savoir quand une unité rejoint la grappe, consultez le volet Surveillance > Grappe ASA > Résumé de la grappe.

Si une mise à niveau du module ASA FirePOWER vous est proposée :

  1. Sur l’unité de contrôle, choisissez la section Configuration > Gestion des périphériques > Haute disponibilité et évolutivité > Grappe ASA > Membres de la grappe.

  2. Sélectionnez l’unité de données que vous souhaitez mettre à niveau, et cliquez sur Supprimer.

  3. Cliquez sur Apply.

  4. Quittez ASDM et connectez ASDM à l’unité de données en vous connectant à son adresse IP de gestion individuelle que vous avez notée plus tôt.

  5. Mettez à niveau le module ASA FirePOWER.

    Attendez que la mise à niveau soit terminée.

  6. Dans ASDM, choisissez Outils > Rechargement du système.

  7. Cliquez sur le bouton radio Recharger sans enregistrer la configuration en cours.

    Il ne faut pas sauvegarder la configuration. Lorsque cette unité sera rechargée, vous voudrez que la mise en grappe soit activée sur cette unité.

  8. Cliquer sur Planifier le rechargement.

  9. Cliquez sur Oui pour poursuivre le rechargement.

  10. Répétez l’opération pour chaque unité de données.

    Pour éviter les interruptions de connexion et permettre au trafic de se stabiliser, attendez que chaque unité soit de nouveau opérationnelle et rejoigne la grappe (environ 5 minutes) avant de répéter ces étapes pour l’unité suivante. Pour savoir quand une unité rejoint la grappe, consultez le volet Surveillance > Grappe ASA > Résumé de la grappe.

Étape 15

Mettez à niveau l’unité de contrôle.

  1. Dans ASDM sur l’unité de contrôle, choisissez le volet Configuration > Gestion des périphériques > Haute disponibilité et évolutivité > Grappe ASA > Configuration de grappe.

  2. Décochez la case Participer à la grappe ASA, puis cliquez sur Appliquer.

    Vous êtes invité à quitter ASDM.

  3. Attendez jusqu’à 5 minutes qu’une nouvelle unité de contrôle soit sélectionnée et que le trafic se stabilise.

    Lorsque l’ancienne unité de contrôle rejoint la grappe, elle devient une unité de données.

  4. Reconnectez ASDM à l’ancienne unité de contrôle en vous connectant à son adresse IP de gestion individuelle que vous avez notée plus tôt.

    L’adresse IP de la grappe principale appartient maintenant à la nouvelle unité de contrôle. Cette ancienne unité de contrôle est toujours accessible sur son adresse IP de gestion individuelle.

  5. Mettez à niveau le module ASA FirePOWER.

    Attendez que la mise à niveau soit terminée.

  6. Choisissez Outils > Rechargement du système.

  7. Cliquez sur le bouton radio Recharger sans enregistrer la configuration en cours.

    Il ne faut pas sauvegarder la configuration. Lorsque cette unité sera rechargée, vous voudrez que la mise en grappe soit activée sur cette unité.

  8. Cliquer sur Planifier le rechargement.

  9. Cliquez sur Oui pour poursuivre le rechargement.

    Vous êtes invité à quitter ASDM. Redémarrez ASDM sur l’adresse IP de la grappe principale. Vous vous reconnecterez à la nouvelle unité de contrôle.

Mettre à niveau le Firepower 2100 en mode plateforme

Ce document décrit comment planifier et mettre en œuvre une mise à niveau ASA, FXOS et ASDM pour les déploiements autonomes ou de basculement pour le Firepower 2100 en mode plateforme. Avant la version 9.13, le Firepower 2100 prenait seulement en charge le mode plateforme. Dans les versions 9.14 et ultérieures, le mode appareil est le mode par défaut. Dans la version 9.14 et les versions ultérieures, utilisez la commande show fxos mode sur l’ASA pour déterminer votre mode actuel. Pour les procédures en mode appareil, consultez Mettre à niveau l’appareil ASA.

Mettre à niveau une unité autonome

Utilisez l’interface de ligne de commande de FXOS ou Firepower Chassis Manager pour mettre à niveau l’unité autonome.

Mettre à niveau une unité autonome à l'aide de Firepower Chassis Manager

Cette section décrit comment mettre à niveau l’offre groupée ASA, qui comprend ASA et ASDM, pour une unité autonome. Vous chargerez le paquet à partir de votre ordinateur de gestion.

Procédure

Étape 1

Si vous avez précédemment défini une image ASDM autre que celle par défaut dans la configuration ASA, réinitialisez-la à l’image fournie avec votre ensemble d’images.

L’ensemble d’images inclut l’image ASDM, et lorsque vous mettez à niveau le paquet de l’ASA, l’image ASDM de l’offre groupée remplace l’image du groupe ASDM précédent sur l’ASA après le rechargement, car elles portent le même nom (asdm.bin). Si vous avez choisi manuellement une autre image ASDM que vous avez chargée (par exemple, asdm-7191.bin), vous continuez à utiliser cette image même après une mise à niveau groupée. Pour vous assurer d’utiliser une version compatible d’ASDM, vous devez reconfigurer l’ASA de manière à utiliser l’image ASDM fournie.

  1. Dans la fenêtre principale de l’application ASDM, choisissez Configuration > Device Management > System Image/Configuration > Boot Image/Configuration (Configuration, Gestion de appareils, Image/Configuration du système, Image/Configuration de démarrage).

  2. Pour le chemin d’accès au fichier image ASDM, saisissez disk0:/asdm.bin.

  3. Cliquez sur Appliquer.

  4. Cliquez sur l’icône Enregistrer dans la barre d’outils pour enregistrer les modifications apportées à la configuration.

  5. Quittez ASDM.

Étape 2

Connectez-vous au Firepower Chassis Manager.

Étape 3

Sélectionnez System > Updates.

La zone Mises à jour disponibles affiche une liste des paquets disponibles sur le châssis.

Étape 4

Cliquez sur Charger l’image pour charger le nouveau paquet à partir de votre ordinateur de gestion.

Étape 5

Cliquez sur Choisir un fichier pour accéder au paquet à charger et le sélectionner.

Étape 6

Cliquez sur Charger.

Le paquet sélectionné est chargé sur le châssis. La boîte de dialogue Charger l’image affiche l’état du chargement. Attendez que la boîte de dialogue Réussite s’affiche, puis cliquez sur OK. Une fois que le chargement est terminé, l’intégrité de l’image est automatiquement vérifiée.

Étape 7

Cliquez sur l’icône Mise à niveau à droite du nouveau paquet.

Étape 8

Cliquez sur Oui pour confirmer que vous souhaitez poursuivre l’installation.

Il n’y a aucun indicateur que le nouveau paquet est en cours de chargement. Vous verrez toujours le Firepower Chassis Manager au début du processus de mise à niveau. Lorsque le système redémarrera, vous serez déconnecté. Vous devez attendre que le système redémarre avant de pouvoir vous connecter au Firepower Chassis Manager. Le processus de redémarrage prend environ 20 minutes. Après le redémarrage, vous verrez l’écran de connexion.

Mettre à niveau une unité autonome à l'aide de l'interface de ligne de commande de FXOS

Cette section décrit comment mettre à niveau l’offre groupée ASA, qui comprend ASA et ASDM, pour une unité autonome. Vous pouvez utiliser le protocole FTP, SCP, SFTP ou TFTP pour copier le paquet sur le châssis Firepower 2100.

Procédure

Étape 1

Connectez-vous à l’interface de ligne de commande de FXOS, à partir du port de console (méthode préférée) ou à l’aide du protocole SSH.

Étape 2

Si vous avez précédemment défini une image ASDM autre que celle par défaut dans la configuration ASA, réinitialisez-la à l’image fournie avec votre ensemble d’images.

L’ensemble d’images inclut l’image ASDM, et lorsque vous mettez à niveau le paquet de l’ASA, l’image ASDM de l’offre groupée remplace l’image du groupe ASDM précédent sur l’ASA après le rechargement, car elles portent le même nom (asdm.bin). Si vous avez choisi manuellement une autre image ASDM que vous avez chargée (par exemple, asdm-7191.bin), vous continuez à utiliser cette image même après une mise à niveau groupée. Pour vous assurer d’utiliser une version compatible d’ASDM, vous devez reconfigurer l’ASA de manière à utiliser l’image ASDM fournie.

  1. Connectez-vous à ASA.

    connect asa

    Exemple:
    
firepower-2100# connect asa
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
ciscoasa>

  2. Accédez au mode d’exécution privilégié, puis au mode de configuration globale.

    enable

    configure terminal

  3. Définissez l’image ASDM.

    asdm image disk0:/asdm.bin

  4. Enregistrez la configuration.

    write memory

  5. Revenez à la console FXOS en entrant Ctrl+a, d.

Étape 3

Dans FXOS, téléchargez le paquet sur le châssis.

  1. Entrez en mode micrologiciel.

    scope firmware

    Exemple:
    
firepower-2110# scope firmware
firepower-2110 /firmware#

  2. Téléchargez le paquet.

    download image url

    Précisez l’URL du fichier en cours d’importation en utilisant l’un des modèles suivants :

    • ftp://nom_d_utilisateur@serveur/[chemin_d_accès/]nom_de_l_image

    • scp://nom_d_utilisateur@serveur/[chemin_d_accès/]nom_de_l_image

    • sftp://nom_d_utilisateur@serveur/[chemin_d_accès/]nom_de_l_image

    • tftp://serveur[:port]/[chemin_d_accès/]nom_de_l_image

    Exemple:
    
firepower-2110 /firmware# download image tftp://10.88.29.181/cisco-asa-fp2k.9.8.2.2.SPA
Please use the command 'show download-task' or 'show download-task detail' to check download progress.

  3. Surveillez le processus de téléchargement.

    show download-task

    Exemple:
    
firepower-2110 /firmware # show download

Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    cisco-asa-fp2k.9.8.2.SPA
              Tftp     10.88.29.181             0                 Downloaded
    cisco-asa-fp2k.9.8.2.2.SPA
              Tftp     10.88.29.181             0                 Downloading
firepower-2110 /firmware #

Étape 4

Lorsque le nouveau paquet termine le téléchargement (état Téléchargé), lancez le paquet.

  1. Affichez le numéro de version du nouveau paquet.

    show package

    Exemple:
    
firepower-2110 /firmware # show package
Name                                          Package-Vers
--------------------------------------------- ------------
cisco-asa-fp2k.9.8.2.SPA                      9.8.2
cisco-asa-fp2k.9.8.2.2.SPA                    9.8.2.2
firepower-2110 /firmware #

  2. Installez le paquet.

    scope auto-install

    install security-pack version version

    Dans la sortie show package , copiez la valeur Paquet-Vers pour le numéro security-pack version . Le châssis installe l’image ASA et redémarre.

    Exemple:
    
firepower-2110 /firmware # scope auto-install
firepower-2110 /firmware/auto-install # install security-pack version 9.8.3
 
The system is currently installed with security software package 9.8.2, which has:
   - The platform version: 2.2.2.52
   - The CSP (asa) version: 9.8.2
If you proceed with the upgrade 9.8.3, it will do the following:
   - upgrade to the new platform version 2.2.2.97
   - upgrade to the CSP asa version 9.8.3
During the upgrade, the system will be reboot
 
Do you want to proceed ? (yes/no):yes
 
This operation upgrades firmware and software on Security Platform Components
Here is the checklist of things that are recommended before starting Auto-Install
(1) Review current critical/major faults
(2) Initiate a configuration backup
 
Do you want to proceed? (yes/no):yes
 
Triggered the install of software package version 9.8.3
Install started. This will take several minutes.
For monitoring the upgrade progress, please enter 'show' or 'show detail' command.
firepower-2110 /firmware/auto-install #

Étape 5

Attendez que le châssis ait terminé de redémarrer (de 5 à 10 minutes).

Bien que FXOS soit activé, vous devez toujours attendre que l’ASA s’affiche (5 minutes). Attendez que les messages suivants s’affichent : 


firepower-2110# 
Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Verifying signature for cisco-asa.9.8.2.2 ...
Verifying signature for cisco-asa.9.8.2.2 ... success

Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Cisco ASA starting ...
Registering to process manager ...
Cisco ASA started successfully. 
[…]

Mettre à niveau une paire de basculements actif/de secours

Utilisez l’interface de ligne de commande de FXOS ou Firepower Chassis Manager pour mettre à niveau la paire de basculements actif/de secours pour une mise à niveau sans temps d’arrêt.

Mettre à niveau une paire de basculements actif/de secours à l’aide de Firepower Chassis Manager

Cette section décrit comment mettre à niveau l’offre groupée ASA, qui comprend ASA et ASDM, pour une paire de basculements actif/de secours. Vous chargerez le paquet à partir de votre ordinateur de gestion.

Avant de commencer

Vous devez déterminer quelle unité est active et laquelle est considérée comme étant de secours : connectez ASDM à l’adresse IP ASA active. L’unité active est toujours propriétaire de l’adresse IP active. Ensuite, sélectionnez Surveillance > Propriétés > Basculement > État pour afficher la priorité de cette unité (principale ou secondaire) afin de savoir à quelle unité vous êtes connecté.

Procédure

Étape 1

Si vous avez précédemment défini une image ASDM autre que celle par défaut dans la configuration ASA, réinitialisez-la à l’image fournie avec votre ensemble d’images.

L’ensemble d’images inclut l’image ASDM, et lorsque vous mettez à niveau le paquet de l’ASA, l’image ASDM de l’offre groupée remplace l’image du groupe ASDM précédent sur l’ASA après le rechargement, car elles portent le même nom (asdm.bin). Si vous avez choisi manuellement une autre image ASDM que vous avez chargée (par exemple, asdm-7191.bin), vous continuez à utiliser cette image même après une mise à niveau groupée. Pour vous assurer d’utiliser une version compatible d’ASDM, vous devez reconfigurer l’ASA de manière à utiliser l’image ASDM fournie.

  1. Connectez-vous à ASDM sur l’unité active.

  2. Dans la fenêtre principale de l’application ASDM, choisissez Configuration > Device Management > System Image/Configuration > Boot Image/Configuration (Configuration, Gestion de appareils, Image/Configuration du système, Image/Configuration de démarrage).

  3. Pour le chemin d’accès au fichier image ASDM, saisissez disk0:/asdm.bin.

  4. Cliquez sur Appliquer.

  5. Cliquez sur l’icône Enregistrer dans la barre d’outils pour enregistrer les modifications apportées à la configuration.

  6. Quittez ASDM.

Étape 2

Mettez à niveau l’unité de secours.

  1. Connectez-vous au Firepower Chassis Manager sur l’unité de secours.

  2. Choisissez Système > Mises à jour.

    La zone Mises à jour disponibles affiche une liste des paquets disponibles sur le châssis.

  3. Cliquez sur Charger l’image pour charger le nouveau paquet à partir de votre ordinateur de gestion.

  4. Cliquez sur Choisir un fichier pour accéder au paquet à charger et le sélectionner.

  5. Cliquez sur Charger.

    Le paquet sélectionné est chargé sur le châssis. La boîte de dialogue Charger l’image affiche l’état du chargement. Attendez que la boîte de dialogue Réussite s’affiche, puis cliquez sur OK. Une fois que le chargement est terminé, l’intégrité de l’image est automatiquement vérifiée.

  6. Cliquez sur l’icône Mise à niveau à droite du nouveau paquet.

  7. Cliquez sur Oui pour confirmer que vous souhaitez poursuivre l’installation.

    Il n’y a aucun indicateur que le nouveau paquet est en cours de chargement. Vous verrez toujours le Firepower Chassis Manager au début du processus de mise à niveau. Lorsque le système redémarrera, vous serez déconnecté. Vous devez attendre que le système redémarre avant de pouvoir vous connecter au Firepower Chassis Manager. Le processus de redémarrage prend environ 20 minutes. Après le redémarrage, vous verrez l’écran de connexion.

Étape 3

Faites de l’unité que vous venez de mettre à niveau l’unité active afin que le trafic flux de trafic vers l’unité mise à niveau.

  1. Lancez ASDM sur l’unité de secours en vous connectant à l’adresse IP de l’ASA de secours.

  2. Forcez l’unité de secours à devenir active en sélectionnant Surveillance > Propriétés > Basculement > État, puis cliquez sur Faire passer en groupe actif.

Étape 4

Mettez à niveau l’ancienne unité active.

  1. Connectez-vous au Firepower Chassis Manager sur l’ancienne unité active.

  2. Choisissez Système > Mises à jour.

    La zone Mises à jour disponibles affiche une liste des paquets disponibles sur le châssis.

  3. Cliquez sur Charger l’image pour charger le nouveau paquet à partir de votre ordinateur de gestion.

  4. Cliquez sur Choisir un fichier pour accéder au paquet à charger et le sélectionner.

  5. Cliquez sur Charger.

    Le paquet sélectionné est chargé sur le châssis. La boîte de dialogue Charger l’image affiche l’état du chargement. Attendez que la boîte de dialogue Réussite s’affiche, puis cliquez sur OK. Une fois que le chargement est terminé, l’intégrité de l’image est automatiquement vérifiée.

  6. Cliquez sur l’icône Mise à niveau à droite du nouveau paquet.

  7. Cliquez sur Oui pour confirmer que vous souhaitez poursuivre l’installation.

    Il n’y a aucun indicateur que le nouveau paquet est en cours de chargement. Vous verrez toujours le Firepower Chassis Manager au début du processus de mise à niveau. Lorsque le système redémarrera, vous serez déconnecté. Vous devez attendre que le système redémarre avant de pouvoir vous connecter au Firepower Chassis Manager. Le processus de redémarrage prend environ 20 minutes. Après le redémarrage, vous verrez l’écran de connexion.

Mettre à niveau une paire de basculements actif/de secours à l’aide de l’interface de ligne de commande de FXOS

Cette section décrit comment mettre à niveau l’offre groupée ASA, qui comprend ASA et ASDM, pour une paire de basculements actif/de secours. Vous pouvez utiliser le protocole FTP, SCP, SFTP ou TFTP pour copier le paquet sur le châssis Firepower 2100.

Avant de commencer

Vous devez déterminer quelle unité est active et laquelle est considérée comme étant de secours. Pour déterminer l’état de basculement, examinez l’invite d’ASA; vous pouvez configurer l’invite ASA pour afficher l’état et la priorité de basculement (principal ou secondaire), ce qui est utile pour déterminer à quelle unité vous êtes connecté. Consultez la commande d’invite. Cependant, l’invite FXOS n’est pas au courant du basculement de l’ASA. Vous pouvez également saisir la commande ASA show failover pour afficher l’état et la priorité de cette unité (principale ou secondaire).

Procédure

Étape 1

Si vous avez précédemment défini une image ASDM autre que celle par défaut dans la configuration ASA, réinitialisez-la à l’image fournie avec votre ensemble d’images.

L’ensemble d’images inclut l’image ASDM, et lorsque vous mettez à niveau le paquet de l’ASA, l’image ASDM de l’offre groupée remplace l’image du groupe ASDM précédent sur l’ASA après le rechargement, car elles portent le même nom (asdm.bin). Si vous avez choisi manuellement une autre image ASDM que vous avez chargée (par exemple, asdm-7191.bin), vous continuez à utiliser cette image même après une mise à niveau groupée. Pour vous assurer d’utiliser une version compatible d’ASDM, vous devez reconfigurer l’ASA de manière à utiliser l’image ASDM fournie.

  1. Connectez-vous à l’interface de ligne de commande de FXOS sur l’unité active, à partir du port de console (méthode préférée) ou à l’aide du protocole SSH.

  2. Connectez-vous à ASA.

    connect asa

    Exemple:
    
firepower-2100# connect asa
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
ciscoasa>

  3. Accédez au mode d’exécution privilégié, puis au mode de configuration globale.

    enable

    configure terminal

  4. Définissez l’image ASDM.

    asdm image disk0:/asdm.bin

  5. Enregistrez la configuration.

    write memory

  6. Revenez à la console FXOS en entrant Ctrl+a, d.

Étape 2

Mettez à niveau l’unité de secours.

  1. Connectez-vous à l’interface de ligne de commande de FXOS sur l’unité de secours, à partir du port de console (méthode préférée) ou à l’aide du protocole SSH.

  2. Entrez en mode micrologiciel.

    scope firmware

    Exemple:
    
2110-sec# scope firmware
2110-sec /firmware#

  3. Téléchargez le paquet.

    download image url

    Précisez l’URL du fichier en cours d’importation en utilisant l’un des modèles suivants :

    • ftp://nom_d_utilisateur@serveur/[chemin_d_accès/]nom_de_l_image

    • scp://nom_d_utilisateur@serveur/[chemin_d_accès/]nom_de_l_image

    • sftp://nom_d_utilisateur@serveur/[chemin_d_accès/]nom_de_l_image

    • tftp://serveur[:port]/[chemin_d_accès/]nom_de_l_image

    Exemple:
    
2110-sec /firmware# download image tftp://10.88.29.181/cisco-asa-fp2k.9.8.2.2.SPA
Please use the command 'show download-task' or 'show download-task detail' to check download progress.

  4. Surveillez le processus de téléchargement.

    show download-task

    Exemple:
    
2110-sec /firmware # show download

Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    cisco-asa-fp2k.9.8.2.SPA
              Tftp     10.88.29.181             0                 Downloaded
    cisco-asa-fp2k.9.8.2.2.SPA
              Tftp     10.88.29.181             0                 Downloading
2110-sec /firmware #

  5. Lorsque le nouveau paquet termine le téléchargement (état Téléchargé), lancez le paquet. Affichez le numéro de version du nouveau paquet.

    show package

    Exemple:
    
2110-sec /firmware # show package
Name                                          Package-Vers
--------------------------------------------- ------------
cisco-asa-fp2k.9.8.2.SPA                      9.8.2
cisco-asa-fp2k.9.8.2.2.SPA                    9.8.2.2
2110-sec /firmware #

  6. Installez le paquet.

    scope auto-install

    install security-pack version version

    Dans la sortie show package , copiez la valeur Paquet-Vers pour le numéro security-pack version . Le châssis installe l’image ASA et redémarre.

    Exemple:
    
2110-sec /firmware # scope auto-install
2110-sec /firmware/auto-install # install security-pack version 9.8.3
 
The system is currently installed with security software package 9.8.2, which has:
   - The platform version: 2.2.2.52
   - The CSP (asa) version: 9.8.2
If you proceed with the upgrade 9.8.3, it will do the following:
   - upgrade to the new platform version 2.2.2.97
   - upgrade to the CSP asa version 9.8.3
During the upgrade, the system will be reboot
 
Do you want to proceed ? (yes/no):yes
 
This operation upgrades firmware and software on Security Platform Components
Here is the checklist of things that are recommended before starting Auto-Install
(1) Review current critical/major faults
(2) Initiate a configuration backup
 
Do you want to proceed? (yes/no):yes
 
Triggered the install of software package version 9.8.3
Install started. This will take several minutes.
For monitoring the upgrade progress, please enter 'show' or 'show detail' command.
2110-sec /firmware/auto-install #

  7. Attendez que le châssis ait terminé de redémarrer (de 5 à 10 minutes).

    Bien que FXOS soit activé, vous devez toujours attendre que l’ASA s’affiche (5 minutes). Attendez que les messages suivants s’affichent : 

    
2110-sec# 
Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Verifying signature for cisco-asa.9.8.2.2 ...
Verifying signature for cisco-asa.9.8.2.2 ... success

Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Cisco ASA starting ...
Registering to process manager ...
Cisco ASA started successfully. 
[…]

Étape 3

Faites de l’unité que vous venez de mettre à niveau l’unité active afin que le trafic flux de trafic vers l’unité mise à niveau.

  1. Connectez-vous à l’interface de ligne de commande ASA de secours à partir de FXOS.

    connect asa

    enable

    Exemple:
    
2110-sec# connect asa
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
asa/stby/sec> enable
Password: *****
asa/stby/sec#

  2. Forcez l’unité de secours à devenir active.

    failover active

    Exemple:
    
asa/stby/sec> failover active
asa/act/sec#

  3. Pour revenir à la console FXOS, entrez Ctrl+a, d.

Étape 4

Mettez à niveau l’ancienne unité active.

  1. Connectez-vous à l’interface de ligne de commande de FXOS sur l’ancienne unité active, à partir du port de console (méthode préférée) ou à l’aide du protocole SSH.

  2. Entrez en mode micrologiciel.

    scope firmware

    Exemple:
    
2110-pri# scope firmware
2110-pri /firmware#

  3. Téléchargez le paquet.

    download image url

    Précisez l’URL du fichier en cours d’importation en utilisant l’un des modèles suivants :

    • ftp://nom_d_utilisateur@serveur/[chemin_d_accès/]nom_de_l_image

    • scp://nom_d_utilisateur@serveur/[chemin_d_accès/]nom_de_l_image

    • sftp://nom_d_utilisateur@serveur/[chemin_d_accès/]nom_de_l_image

    • tftp://serveur[:port]/[chemin_d_accès/]nom_de_l_image

    Exemple:
    
2110-pri /firmware# download image tftp://10.88.29.181/cisco-asa-fp2k.9.8.2.2.SPA
Please use the command 'show download-task' or 'show download-task detail' to check download progress.

  4. Surveillez le processus de téléchargement.

    show download-task

    Exemple:
    
2110-pri /firmware # show download

Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    cisco-asa-fp2k.9.8.2.SPA
              Tftp     10.88.29.181             0                 Downloaded
    cisco-asa-fp2k.9.8.2.2.SPA
              Tftp     10.88.29.181             0                 Downloading
2110-pri /firmware #

  5. Lorsque le nouveau paquet termine le téléchargement (état Téléchargé), lancez le paquet. Affichez le numéro de version du nouveau paquet.

    show package

    Exemple:
    
2110-pri /firmware # show package
Name                                          Package-Vers
--------------------------------------------- ------------
cisco-asa-fp2k.9.8.2.SPA                      9.8.2
cisco-asa-fp2k.9.8.2.2.SPA                    9.8.2.2
2110-pri /firmware #

  6. Installez le paquet.

    scope auto-install

    install security-pack version version

    Dans la sortie show package , copiez la valeur Paquet-Vers pour le numéro security-pack version . Le châssis installe l’image ASA et redémarre.

    Exemple:
    
2110-pri /firmware # scope auto-install
2110-pri /firmware/auto-install # install security-pack version 9.8.3
 
The system is currently installed with security software package 9.8.2, which has:
   - The platform version: 2.2.2.52
   - The CSP (asa) version: 9.8.2
If you proceed with the upgrade 9.8.3, it will do the following:
   - upgrade to the new platform version 2.2.2.97
   - upgrade to the CSP asa version 9.8.3
During the upgrade, the system will be reboot
 
Do you want to proceed ? (yes/no):yes
 
This operation upgrades firmware and software on Security Platform Components
Here is the checklist of things that are recommended before starting Auto-Install
(1) Review current critical/major faults
(2) Initiate a configuration backup
 
Do you want to proceed? (yes/no):yes
 
Triggered the install of software package version 9.8.3
Install started. This will take several minutes.
For monitoring the upgrade progress, please enter 'show' or 'show detail' command.
2110-pri /firmware/auto-install #

  7. Attendez que le châssis ait terminé de redémarrer (de 5 à 10 minutes).

    Bien que FXOS soit activé, vous devez toujours attendre que l’ASA s’affiche (5 minutes). Attendez que les messages suivants s’affichent : 

    
2110-pri# 
Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Verifying signature for cisco-asa.9.8.2.2 ...
Verifying signature for cisco-asa.9.8.2.2 ... success

Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Cisco ASA starting ...
Registering to process manager ...
Cisco ASA started successfully. 
[…]

Mettre à niveau une paire de basculements actif/actif

Utilisez l’interface de ligne de commande de FXOS ou Firepower Chassis Manager pour mettre à niveau la paire de basculements actif/actif pour une mise à niveau sans temps d’arrêt.

Mettre à niveau une paire de basculements actif/actif à l’aide de Firepower Chassis Manager

Cette section décrit comment mettre à niveau l’offre groupée ASA, qui comprend ASA et ASDM, pour une paire de basculements actif/actif. Vous chargerez le paquet à partir de votre ordinateur de gestion.

Procédure

Étape 1

Activez les deux groupes de basculement sur l’unité principale.

  1. Lancez ASDM sur l’unité principale (ou l’unité avec le groupe de basculement 1 actif) en vous connectant à l’adresse de gestion dans le groupe de basculement 1.

  2. Choisissez Surveillance > Basculement > Groupe de basculement 2, puis cliquez sur Faire passer en groupe actif.

  3. Restez connecté à ASDM sur cette unité pour les étapes ultérieures.

Étape 2

Si vous avez précédemment défini une image ASDM autre que celle par défaut dans la configuration ASA, réinitialisez-la à l’image fournie avec votre ensemble d’images.

L’ensemble d’images inclut l’image ASDM, et lorsque vous mettez à niveau le paquet de l’ASA, l’image ASDM de l’offre groupée remplace l’image du groupe ASDM précédent sur l’ASA après le rechargement, car elles portent le même nom (asdm.bin). Si vous avez choisi manuellement une autre image ASDM que vous avez chargée (par exemple, asdm-7191.bin), vous continuez à utiliser cette image même après une mise à niveau groupée. Pour vous assurer d’utiliser une version compatible d’ASDM, vous devez reconfigurer l’ASA de manière à utiliser l’image ASDM fournie.

  1. Dans la fenêtre principale de l’application ASDM sur l’unité principale, choisissez Configuration > Gestion des périphériques > Image du système/Configuration > Image de démarrage/Configuration.

  2. Pour le chemin d’accès au fichier image ASDM, saisissez disk0:/asdm.bin.

  3. Cliquez sur Appliquer.

  4. Cliquez sur l’icône Enregistrer dans la barre d’outils pour enregistrer les modifications apportées à la configuration.

Étape 3

Mettez à niveau l’unité secondaire.

  1. Connectez-vous au Firepower Chassis Manager sur l’unité secondaire.

  2. Sélectionnez System > Updates.

    La zone Mises à jour disponibles affiche une liste des paquets disponibles sur le châssis.

  3. Cliquez sur Charger l’image pour charger le nouveau paquet à partir de votre ordinateur de gestion.

  4. Cliquez sur Choisir un fichier pour accéder au paquet à charger et le sélectionner.

  5. Cliquez sur Charger.

    Le paquet sélectionné est chargé sur le châssis. La boîte de dialogue Charger l’image affiche l’état du chargement. Attendez que la boîte de dialogue Réussite s’affiche, puis cliquez sur OK. Une fois que le chargement est terminé, l’intégrité de l’image est automatiquement vérifiée.

  6. Cliquez sur l’icône Mise à niveau à droite du nouveau paquet.

  7. Cliquez sur Oui pour confirmer que vous souhaitez poursuivre l’installation.

    Il n’y a aucun indicateur que le nouveau paquet est en cours de chargement. Vous verrez toujours le Firepower Chassis Manager au début du processus de mise à niveau. Lorsque le système redémarrera, vous serez déconnecté. Vous devez attendre que le système redémarre avant de pouvoir vous connecter au Firepower Chassis Manager. Le processus de redémarrage prend environ 20 minutes. Après le redémarrage, vous verrez l’écran de connexion.

Étape 4

Activez les deux groupes de basculement sur l’unité secondaire. Dans ASDM sur l’unité principale, choisissez Surveillance > Basculement > Groupe de basculement 1, puis cliquez sur Faire passer en groupe de secours.

ASDM se reconnectera automatiquement à l’adresse IP du groupe de basculement 1 sur l’unité secondaire.

Étape 5

Mettez à niveau l’unité principale.

  1. Connectez-vous au Firepower Chassis Manager sur l’unité principale.

  2. Sélectionnez System > Updates.

    La zone Mises à jour disponibles affiche une liste des paquets disponibles sur le châssis.

  3. Cliquez sur Charger l’image pour charger le nouveau paquet à partir de votre ordinateur de gestion.

  4. Cliquez sur Choisir un fichier pour accéder au paquet à charger et le sélectionner.

  5. Cliquez sur Charger.

    Le paquet sélectionné est chargé sur le châssis. La boîte de dialogue Charger l’image affiche l’état du chargement. Attendez que la boîte de dialogue Réussite s’affiche, puis cliquez sur OK. Une fois que le chargement est terminé, l’intégrité de l’image est automatiquement vérifiée.

  6. Cliquez sur l’icône Mise à niveau à droite du nouveau paquet.

  7. Cliquez sur Oui pour confirmer que vous souhaitez poursuivre l’installation.

    Il n’y a aucun indicateur que le nouveau paquet est en cours de chargement. Vous verrez toujours le Firepower Chassis Manager au début du processus de mise à niveau. Lorsque le système redémarrera, vous serez déconnecté. Vous devez attendre que le système redémarre avant de pouvoir vous connecter au Firepower Chassis Manager. Le processus de redémarrage prend environ 20 minutes. Après le redémarrage, vous verrez l’écran de connexion.

Étape 6

Si les groupes de basculement sont configurés avec la préemption activée, ils deviennent automatiquement actifs sur l’unité désignée une fois le délai de préemption écoulé. Si les groupes de basculement ne sont pas configurés avec la préemption activée, vous pouvez les rétablir à l’état actif sur leurs unités désignées à l’aide du volet ASDM Surveillance > Basculement > Groupe de basculement #.

Mettre à niveau une paire de basculements actif/actif à l’aide de l’interface de ligne de commande de FXOS

Cette section décrit comment mettre à niveau l’offre groupée ASA, qui comprend ASA et ASDM, pour une paire de basculements actif/actif. Vous pouvez utiliser le protocole FTP, SCP, SFTP ou TFTP pour copier le paquet sur le châssis Firepower 2100.

Procédure

Étape 1

Si vous avez précédemment défini une image ASDM autre que celle par défaut dans la configuration ASA, réinitialisez-la à l’image fournie avec votre ensemble d’images.

L’ensemble d’images inclut l’image ASDM, et lorsque vous mettez à niveau le paquet de l’ASA, l’image ASDM de l’offre groupée remplace l’image du groupe ASDM précédent sur l’ASA après le rechargement, car elles portent le même nom (asdm.bin). Si vous avez choisi manuellement une autre image ASDM que vous avez chargée (par exemple, asdm-7191.bin), vous continuez à utiliser cette image même après une mise à niveau groupée. Pour vous assurer d’utiliser une version compatible d’ASDM, vous devez reconfigurer l’ASA de manière à utiliser l’image ASDM fournie.

  1. Connectez-vous à l’interface de ligne de commande de FXOS sur l’unité principale, à partir du port de console (méthode préférée) ou à l’aide du protocole SSH.

  2. Connectez-vous à ASA.

    connect asa

    Exemple:
    
firepower-2100# connect asa
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
ciscoasa>

  3. Accédez au mode d’exécution privilégié, puis au mode de configuration globale.

    enable

    configure terminal

  4. Définissez l’image ASDM.

    asdm image disk0:/asdm.bin

  5. Enregistrez la configuration.

    write memory

  6. Revenez à la console FXOS en entrant Ctrl+a, d.

Étape 2

Connectez-vous à l’interface de ligne de commande de FXOS sur l’unité secondaire, à partir du port de console (méthode préférée) ou à l’aide du protocole SSH.

Étape 3

Activez les deux groupes de basculement sur l’unité principale.

  1. Connectez-vous à l’interface de ligne de commande d’ASA à partir de FXOS.

    connect asa

    enable

    Le mot de passe d’activation est vide par défaut.

    Exemple:
    
2110-sec# connect asa
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
asa/act/sec> enable
Password: <blank>
asa/act/sec#

  2. Activez les deux groupes de basculement sur l’unité principale.

    no failover active group 1

    no failover active group 2

    Exemple:
    
asa/act/sec# no failover active group 1
asa/act/sec# no failover active group 2

  3. Pour revenir à la console FXOS, entrez Ctrl+a, d.

Étape 4

Mettez à niveau l’unité secondaire.

  1. Dans FXOS, passez en mode micrologiciel.

    scope firmware

    Exemple:
    
2110-sec# scope firmware
2110-sec /firmware#

  2. Téléchargez le paquet.

    download image url

    Précisez l’URL du fichier en cours d’importation en utilisant l’un des modèles suivants :

    • ftp://nom_d_utilisateur@serveur/[chemin_d_accès/]nom_de_l_image

    • scp://nom_d_utilisateur@serveur/[chemin_d_accès/]nom_de_l_image

    • sftp://nom_d_utilisateur@serveur/[chemin_d_accès/]nom_de_l_image

    • tftp://serveur[:port]/[chemin_d_accès/]nom_de_l_image

    Exemple:
    
2110-sec /firmware# download image tftp://10.88.29.181/cisco-asa-fp2k.9.8.2.2.SPA
Please use the command 'show download-task' or 'show download-task detail' to check download progress.

  3. Surveillez le processus de téléchargement.

    show download-task

    Exemple:
    
2110-sec /firmware # show download

Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    cisco-asa-fp2k.9.8.2.SPA
              Tftp     10.88.29.181             0                 Downloaded
    cisco-asa-fp2k.9.8.2.2.SPA
              Tftp     10.88.29.181             0                 Downloading
2110-sec /firmware #

  4. Lorsque le nouveau paquet termine le téléchargement (état Téléchargé), lancez le paquet. Affichez le numéro de version du nouveau paquet.

    show package

    Exemple:
    
2110-sec /firmware # show package
Name                                          Package-Vers
--------------------------------------------- ------------
cisco-asa-fp2k.9.8.2.SPA                      9.8.2
cisco-asa-fp2k.9.8.2.2.SPA                    9.8.2.2
2110-sec /firmware #

  5. Installez le paquet.

    scope auto-install

    install security-pack version version

    Dans la sortie show package , copiez la valeur Paquet-Vers pour le numéro security-pack version . Le châssis installe l’image ASA et redémarre.

    Exemple:
    
2110-sec /firmware # scope auto-install
2110-sec /firmware/auto-install # install security-pack version 9.8.3
 
The system is currently installed with security software package 9.8.2, which has:
   - The platform version: 2.2.2.52
   - The CSP (asa) version: 9.8.2
If you proceed with the upgrade 9.8.3, it will do the following:
   - upgrade to the new platform version 2.2.2.97
   - upgrade to the CSP asa version 9.8.3
During the upgrade, the system will be reboot
 
Do you want to proceed ? (yes/no):yes
 
This operation upgrades firmware and software on Security Platform Components
Here is the checklist of things that are recommended before starting Auto-Install
(1) Review current critical/major faults
(2) Initiate a configuration backup
 
Do you want to proceed? (yes/no):yes
 
Triggered the install of software package version 9.8.3
Install started. This will take several minutes.
For monitoring the upgrade progress, please enter 'show' or 'show detail' command.
2110-sec /firmware/auto-install #

  6. Attendez que le châssis ait terminé de redémarrer (de 5 à 10 minutes).

    Bien que FXOS soit activé, vous devez toujours attendre que l’ASA s’affiche (5 minutes). Attendez que les messages suivants s’affichent : 

    
2110-sec# 
Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Verifying signature for cisco-asa.9.8.2.2 ...
Verifying signature for cisco-asa.9.8.2.2 ... success

Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Cisco ASA starting ...
Registering to process manager ...
Cisco ASA started successfully. 
[…]

Étape 5

Activez les deux groupes de basculement sur l’unité secondaire.

  1. Connectez-vous à l’interface de ligne de commande d’ASA à partir de FXOS.

    connect asa

    enable

    Le mot de passe d’activation est vide par défaut.

    Exemple:
    
2110-sec# connect asa
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
asa/stby/sec> enable
Password: <blank>
asa/stby/sec#

  2. Activez les deux groupes de basculement sur l’unité secondaire.

    failover active group 1

    failover active group 2

    Exemple:
    
asa/stby/sec# failover active group 1
asa/act/sec# failover active group 2

  3. Pour revenir à la console FXOS, entrez Ctrl+a, d.

Étape 6

Mettez à niveau l’unité principale.

  1. Connectez-vous à l’interface de ligne de commande de FXOS sur l’unité principale, à partir du port de console (méthode préférée) ou à l’aide du protocole SSH.

  2. Entrez en mode micrologiciel.

    scope firmware

    Exemple:
    
2110-pri# scope firmware
2110-pri /firmware#

  3. Téléchargez le paquet.

    download image url

    Précisez l’URL du fichier en cours d’importation en utilisant l’un des modèles suivants :

    • ftp://nom_d_utilisateur@serveur/[chemin_d_accès/]nom_de_l_image

    • scp://nom_d_utilisateur@serveur/[chemin_d_accès/]nom_de_l_image

    • sftp://nom_d_utilisateur@serveur/[chemin_d_accès/]nom_de_l_image

    • tftp://serveur[:port]/[chemin_d_accès/]nom_de_l_image

    Exemple:
    
2110-pri /firmware# download image tftp://10.88.29.181/cisco-asa-fp2k.9.8.2.2.SPA
Please use the command 'show download-task' or 'show download-task detail' to check download progress.

  4. Surveillez le processus de téléchargement.

    show download-task

    Exemple:
    
2110-pri /firmware # show download

Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    cisco-asa-fp2k.9.8.2.SPA
              Tftp     10.88.29.181             0                 Downloaded
    cisco-asa-fp2k.9.8.2.2.SPA
              Tftp     10.88.29.181             0                 Downloading
2110-pri /firmware #

  5. Lorsque le nouveau paquet termine le téléchargement (état Téléchargé), lancez le paquet. Affichez le numéro de version du nouveau paquet.

    show package

    Exemple:
    
2110-pri /firmware # show package
Name                                          Package-Vers
--------------------------------------------- ------------
cisco-asa-fp2k.9.8.2.SPA                      9.8.2
cisco-asa-fp2k.9.8.2.2.SPA                    9.8.2.2
2110-pri /firmware #

  6. Installez le paquet.

    scope auto-install

    install security-pack version version

    Dans la sortie show package , copiez la valeur Paquet-Vers pour le numéro security-pack version . Le châssis installe l’image ASA et redémarre.

    Exemple:
    
2110-pri /firmware # scope auto-install
2110-pri /firmware/auto-install # install security-pack version 9.8.3
 
The system is currently installed with security software package 9.8.2, which has:
   - The platform version: 2.2.2.52
   - The CSP (asa) version: 9.8.2
If you proceed with the upgrade 9.8.3, it will do the following:
   - upgrade to the new platform version 2.2.2.97
   - upgrade to the CSP asa version 9.8.3
During the upgrade, the system will be reboot
 
Do you want to proceed ? (yes/no):yes
 
This operation upgrades firmware and software on Security Platform Components
Here is the checklist of things that are recommended before starting Auto-Install
(1) Review current critical/major faults
(2) Initiate a configuration backup
 
Do you want to proceed? (yes/no):yes
 
Triggered the install of software package version 9.8.3
Install started. This will take several minutes.
For monitoring the upgrade progress, please enter 'show' or 'show detail' command.
2110-pri /firmware/auto-install #

  7. Attendez que le châssis ait terminé de redémarrer (de 5 à 10 minutes).

    Bien que FXOS soit activé, vous devez toujours attendre que l’ASA s’affiche (5 minutes). Attendez que les messages suivants s’affichent : 

    
2110-pri# 
Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Verifying signature for cisco-asa.9.8.2.2 ...
Verifying signature for cisco-asa.9.8.2.2 ... success

Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Cisco ASA starting ...
Registering to process manager ...
Cisco ASA started successfully. 
[…]

Étape 7

Si les groupes de basculement sont configurés avec la commande ASA preempt , ils deviennent automatiquement actifs sur l’unité désignée une fois le délai de préemption écoulé. Si les groupes de basculement ne sont pas configurés avec la commande preempt , vous pouvez les rétablir à l’état actif sur leurs unités désignées en vous connectant à l’interface de ligne de commande d’ASA et en vous servant de la commande failover active group .