Rétrograder l’ASA

Dans de nombreux cas, vous pouvez rétrograder votre logiciel ASA et restaurer une configuration de sauvegarde à partir de la version de logiciel précédemment installée. La méthode de rétrogradation dépend de votre plateforme ASA.

Directives et limites en matière de rétrogradation

Consultez les consignes suivantes avant la rétrogradation :

  • Il n’y a pas de prise en charge officielle de la rétrogradation sans temps d’arrêt pour la mise en grappe. Cependant la rétrogradation sans temps d’arrêt fonctionnera dans certains cas. Consultez les problèmes connus suivants relatifs à la rétrogradation. Veuillez noter que d’autres problèmes peuvent vous obliger à recharger vos unités de grappe, ce qui entraînera un temps d’arrêt.

    • La rétrogradation à une version antérieure à la version 9.9(1) avec mise en grappe: la version 9.9(1) et les versions ultérieures inclut une amélioration de la distribution des sauvegardes. Si vous avez au moins 3 unités dans la grappe, vous devez effectuer les étapes suivantes :

      1. Supprimez toutes les unités secondaires de la grappe (pour que celle-ci ne se compose que de l’unité principale).

      2. Rétrogradez une unité secondaire et réintégrez-la à la grappe.

      3. Désactivez la mise en grappe sur l’unité principale, rétrogradez-la et réintégrez-la à la grappe.

      4. Rétrogradez les unités secondaires restantes et joignez-les à la grappe, une à la fois.

    • Rétrograder à une version antérieure à la version 9.9(1) lorsque vous activez la redondance du site en grappe : vous devez désactiver la redondance de site si vous souhaitez effectuer une rétrogradation (ou si vous souhaitez ajouter à une grappe une unité dont la version est antérieure à la version 9.9(1)). Sinon, vous constaterez des effets secondaires, par exemple des flux de transfert fictifs sur l’unité exécutant l’ancienne version.

    • Rétrogradation à partir de la version 9.8(1) avec mise en grappe et carte de chiffrement : il n’y a pas de prise en charge de la rétrogradation sans temps d’arrêt à partir de la version 9.8(1) lorsqu’une carte de chiffrement est configurée. Vous devez effacer la configuration de la carte de chiffrement avant la rétrogradation, puis réappliquer la configuration après la rétrogradation.

    • Rétrograder de la version 9.8(1) avec un contrôle d’intégrité de l’unité de mise en grappe défini sur 0,3 à 0,7 seconde : si vous rétrogradez votre logiciel ASA après avoir défini le délai de rétention sur 0,3–0,7 (health-check holdtime ), ce paramètre reviendra à la valeur par défaut de 3 secondes, car le nouveau paramètre n’est pas pris en charge.

    • Rétrogradation à partir de la version 9.5(2) ou d’une version ultérieure à la version 9.5(1) ou une version antérieure avec mise en grappe (CSCuv82933) : il n’y a pas de prise en charge de la rétrogradation sans temps d’arrêt à partir de la version 9.5(2). Vous devez recharger toutes les unités à peu près en même temps afin qu’un nouveau cluster se forme lorsque les unités sont de nouveau en ligne. Si vous attendez pour recharger les unités de manière séquentielle, elles ne pourront pas former de grappe.

    • Rétrogradation à partir de la version 9.2(1) ou d’une version ultérieure à la version 9.1 ou une version antérieure avec mise en grappe : la rétrogradation sans temps d’arrêt n’est pas prise en charge.

  • Problème de rétrogradation de la version 9.22 ou de toute version ultérieure : si vous désactivez le port USB à l’aide de la commande USB-port disable, mais que vous le rétrogradez à une version antérieure, le port restera désactivé et vous ne pourrez pas le réactiver sans effacer la NVRAM (la commande erase secure all de la gestion locale FXOS).

  • Problème de rétrogradation de la version 9.18 ou ultérieure : il y a un changement de comportement dans la version 9.18 où la commande access-group sera répertoriée avant ses commandes access-list. Si vous effectuez une rétrogradation, la commande access-group sera rejetée, car elle n’a pas encore chargé les commandes access-list. Ce résultat se produit même si vous avez précédemment activé la commande forward-reference enable , car cette commande est maintenant supprimée. Avant de procéder à la rétrogradation, assurez-vous de copier toutes les commandes access-group manuellement, puis après la rétrogradation, saisissez-les de nouveau.

  • Problème de rétrogradation du Firepower 2100 en mode plateforme à partir de la version 9.13/9.14 à la version 9.12 ou à une version antérieure : pour un Firepower 2100 disposant d’une nouvelle installation de la version 9.13 ou 9.14 que vous avez convertie en mode plateforme : si vous rétrogradez le périphérique à la version 9.12 ou à une version antérieure, vous ne pourrez pas configurer de nouvelles interfaces ni modifier des interfaces existantes dans FXOS (notez que la version 9.12 et les versions antérieures ne prennent en charge que le mode plateforme). Vous devez soit restaurer votre version à la version 9.13 ou à une version ultérieure, soit effacer votre configuration à l’aide de la commande de configuration d’effacement FXOS. Ce problème ne se produit pas si vous avez initialement effectué une mise à niveau vers la version 9.13 ou 9.14 à partir d’une version antérieure. Seules les nouvelles installations sont concernées, comme un nouveau périphérique ou un périphérique recréé. (CSCvr19755)

  • Rétrogradation de la version 9.10(1) pour les licences Smart : en raison de modifications dans l’agent Smart, si vous effectuez une rétrogradation, vous devez réenregistrer votre périphérique auprès de Cisco Smart Software Manager. Le nouvel agent Smart utilise un fichier chiffré. Vous devez donc vous réenregistrer pour utiliser un fichier non chiffré requis par l’ancien agent Smart.

  • Rétrograder à la version 9.5 ou à une version antérieure avec des mots de passe utilisant le hachage PBCDF2 (Password-Based Key Derivation Function 2) : les versions antérieures à la version 9.6 ne prennent pas en charge le hachage PBKDF2. Dans la version 9.6(1), les mots de passe enable et username de plus de 32 caractères utilisent le hachage PBCDF2. Dans la version 9.7(1), les nouveaux mots de passe de toutes les longueurs utilisent le hachage PBCDF2 (les mots de passe existants continuent d’utiliser le hachage MD5). Si vous effectuez une rétrogradation, le mot de passe de enable revient à la valeur par défaut (c’est-à-dire vide). Les noms d’utilisateur ne seront pas analysés correctement, et les commandes username seront supprimées. Vous devez recréer vos utilisateurs locaux.

  • Rétrograder à partir de la version 9.5(2.200) pour le ASA virtuel : le ASA virtuel ne conserve pas l’état d’enregistrement de la licence. Vous devez vous réenregistrer à l’aide de la commande license smart register idtoken id_token force (pour ASDM : consultez la page Configuration > Gestion des périphériques > Licence > Licences Smart et utilisez l’option Forcer l’enregistrement) et obtenir le jeton d’identification auprès de Smart Software Manager.

  • Les tunnels VPN sont répliqués sur l’unité de secours même si cette dernière exécute une version du logiciel qui ne prend pas en charge la suite de chiffrement que le tunnel d’origine a négociée. Ce scénario se produit lors de la rétrogradation. Dans ce cas, déconnectez votre connexion VPN et reconnectez-vous.

Configuration incompatible supprimée après la rétrogradation

Lorsque vous effectuez une rétrogradation à une ancienne version, les commandes qui ont été introduites dans les versions ultérieures seront supprimées de la configuration. Il n’existe aucun moyen automatisé de vérifier la configuration par rapport à la version cible avant de procéder à la rétrogradation. Vous pouvez découvrir quand de nouvelles commandes ont été ajoutées dans les nouvelles fonctionnalités d’ASA par version.

Vous pouvez afficher les commandes rejetées après avoir effectué une rétrogradation en utilisant la commande show startup-config errors . Si vous pouvez rétrograder un périphérique de laboratoire, vous pouvez prévisualiser les effets en utilisant cette commande avant de rétrograder un périphérique de production.

Dans certains cas, l’ASA migre automatiquement les commandes vers de nouveaux formulaires lors de la mise à niveau. Ainsi, selon votre version, même si vous n’avez pas configuré manuellement de nouvelles commandes, la rétrogradation peut être influencée par les migrations de configuration. Nous vous recommandons de sauvegarder votre ancienne configuration logicielle afin de pouvoir l’utiliser lors de la rétrogradation. Dans le cas d’une mise à niveau vers la version 8.3, une sauvegarde est automatiquement créée (<old_version>_startup_cfg.sav). Les autres migrations ne créent pas de sauvegardes. Consultez Directives et migrations propres à la version pour en savoir plus sur les migrations automatiques des commandes qui pourraient avoir une incidence sur la rétrogradation.

Consultez également les problèmes de rétrogradation connus dans Directives et limites en matière de rétrogradation.

Par exemple, un ASA utilisant la version 9.8(2) inclut les commandes suivantes :


access-list acl1 extended permit sctp 192.0.2.0 255.255.255.0 198.51.100.0 255.255.255.0
username test1 password $sha512$1234$abcdefghijklmnopqrstuvwxyz privilege 15
snmp-server user snmpuser1 snmpgroup1 v3 engineID abcdefghijklmnopqrstuvwxyz encrypted auth md5 12:ab:34 priv aes 128 12:ab:34

Lorsque vous rétrogradez le périphérique à la version 9.0(4), les erreurs suivantes s’afficheront au démarrage :


access-list acl1 extended permit sctp 192.0.2.0 255.255.255.0 198.51.100.0 255.255.255.0
                                 ^
ERROR: % Invalid input detected at '^' marker.

username test1 password $sha512$1234$abcdefghijklmnopqrstuvwxyz pbkdf2 privilege 15
                                                                ^
ERROR: % Invalid input detected at '^' marker.

snmp-server user snmpuser1 snmpgroup1 v3 engineID abcdefghijklmnopqrstuvwxyz encrypted auth md5 12:ab:34 priv aes 128 12:ab:34
                                         ^
ERROR: % Invalid input detected at '^' marker.

Dans cet exemple, la prise en charge de sctp dans la commande access-list étendue a été ajoutée dans la version 9.5(2), la prise en charge de pbkdf2 dans la commande username a été ajoutée dans la version 9.6(1) et la prise en charge de engineID dans la commande snmp-server user a été ajouté dans la version 9.5(3).

Rétrograder l’appareil ASA

Vous pouvez rétrograder la version du logiciel de l’ASA en définissant la version de l’ASA sur l’ancienne version, en restaurant la configuration de sauvegarde dans la configuration de démarrage, puis en la rechargeant. Cette procédure s’applique aux modèles suivants :

  • Firepower 1000

  • Secure Firewall 1200

  • Firepower de la série 2100

  • Secure Firewall 3100

  • Secure Firewall 4200

Avant de commencer

Cette procédure requiert une configuration de sauvegarde de l’ASA avant la mise à niveau, afin que vous puissiez restaurer l’ancienne configuration. Si vous ne restaurez pas l’ancienne configuration, vous risquez d’avoir des commandes incompatibles représentant des fonctionnalités nouvelles ou modifiées. Toute nouvelle commande sera rejetée lorsque vous chargerez l’ancienne version du logiciel.

Procédure

Étape 1

Chargez l’ancienne version du logiciel ASA en suivant la procédure de mise à niveau Mettre à niveau l’appareil ASA pour les déploiements autonomes, de basculement ou de mise en grappe. Dans ce cas, précisez l’ancienne version d’ASA au lieu d’une nouvelle version. Important : Ne rechargez pas encore l’ASA.

Étape 2

Au niveau de l’interface de ligne de commande de l’ASA, copiez la configuration de l’ASA de secours dans la configuration de démarrage. Pour le basculement, effectuez cette étape sur l’unité active. Cette étape réplique la commande sur l’unité de secours.

copy ancienne_url_de_configuration startup-config

Il est important que vous n’enregistriez pas la configuration en cours dans la configuration de démarrage à l’aide de write memory ; cette commande remplacera votre configuration de sauvegarde.

Exemple:


ciscoasa# copy disk0:/9.13.1_cfg.sav startup-config

Étape 3

Rechargez l’ASA.

Interface de ligne de commande ASA

reload

ASDM

Choisissez Outils > Rechargement du système.

Rétrograder le Firepower 2100 en mode plateforme

Vous pouvez rétrograder la version du logiciel de l’ASA en restaurant la configuration de sauvegarde à la configuration de lancement, en réglant la version de l’ASA à l’ancienne version, puis en rechargeant l’unité.

Avant de commencer

Cette procédure requiert une configuration de sauvegarde de l’ASA avant la mise à niveau, afin que vous puissiez restaurer l’ancienne configuration. Si vous ne restaurez pas l’ancienne configuration, vous risquez d’avoir des commandes incompatibles représentant des fonctionnalités nouvelles ou modifiées. Toute nouvelle commande sera rejetée lorsque vous chargerez l’ancienne version du logiciel.

Procédure

Étape 1

Au niveau de l’interface de ligne de commande de l’ASA, copiez la configuration de l’ASA de secours dans la configuration de démarrage. Pour le basculement, effectuez cette étape sur l’unité active. Cette étape réplique la commande sur l’unité de secours.

copy ancienne_url_de_configuration startup-config

Il est important que vous n’enregistriez pas la configuration en cours dans la configuration de démarrage à l’aide de write memory ; cette commande remplacera votre configuration de sauvegarde.

Exemple:


ciscoasa# copy disk0:/9.12.4_cfg.sav startup-config

Étape 2

Dans FXOS, utilisez le gestionnaire de châssis ou l’interface de ligne de commande de FXOS pour utiliser l’ancienne version du logiciel ASA en suivant la procédure de mise à niveau Mettre à niveau le Firepower 2100 en mode plateforme pour les déploiements autonomes, de basculement ou de mise en grappe. Dans ce cas, précisez l’ancienne version d’ASA au lieu d’une nouvelle version.

Rétrograder le Firepower 4100/9300

Vous pouvez rétrograder la version du logiciel de l’ASA en restaurant la configuration de sauvegarde à la configuration de lancement, en réglant la version de l’ASA à l’ancienne version, puis en rechargeant l’unité.

Avant de commencer

  • Cette procédure requiert une configuration de sauvegarde de l’ASA avant la mise à niveau, afin que vous puissiez restaurer l’ancienne configuration. Si vous ne restaurez pas l’ancienne configuration, vous risquez d’avoir des commandes incompatibles représentant des fonctionnalités nouvelles ou modifiées. Toute nouvelle commande sera rejetée lorsque vous chargerez l’ancienne version du logiciel.

  • Assurez-vous que l’ancienne version de l’ASA est compatible avec la version de FXOS actuelle. Si ce n’est pas le cas, rétrogradez FXOS en premier lieu avant de restaurer l’ancienne configuration ASA. Assurez-vous que l’instance rétrogradée de FXOS est également compatible avec la version d’ASA actuelle (avant de la rétrograder). Si vous ne parvenez pas à assurer la compatibilité, nous vous conseillons de ne pas procéder à une rétrogradation.

Procédure

Étape 1

Au niveau de l’interface de ligne de commande de l’ASA, copiez la configuration de l’ASA de secours dans la configuration de démarrage. Pour le basculement ou la mise en grappe, effectuez cette étape sur l’unité active/de contrôle. Cette étape réplique la commande sur les unités de secours/de données.

copy ancienne_url_de_configuration startup-config

Il est important que vous n’enregistriez pas la configuration en cours dans la configuration de démarrage à l’aide de write memory ; cette commande remplacera votre configuration de sauvegarde.

Exemple:


ciscoasa# copy disk0:/9.8.4_cfg.sav startup-config

Étape 2

Dans FXOS, utilisez le gestionnaire de châssis ou l’interface de ligne de commande de FXOS pour utiliser l’ancienne version du logiciel ASA en suivant la procédure de mise à niveau Mettre à niveau le Firepower 4100/9300 pour les déploiements autonomes, de basculement ou de mise en grappe. Dans ce cas, précisez l’ancienne version d’ASA au lieu d’une nouvelle version.

Étape 3

Si vous rétrogradez également FXOS, utilisez le gestionnaire de châssis ou l’interface de ligne de commande de FXOS pour définir l’ancienne version du logiciel FXOS pour qu’elle soit la version actuelle en suivant la procédure de mise à niveau Mettre à niveau le Firepower 4100/9300 pour les déploiements autonomes, de basculement ou de mise en grappe.

Rétrograder l’ISA 3000 ou l’ASA 5500-X

La fonctionnalité de rétrogradation fournit un raccourci pour effectuer les fonctions suivantes sur les modèles ISA 3000 :

  • Effacement de la configuration de l’image de démarrage (clear configure boot ).

  • Définition de l’image de démarrage comme étant l’ancienne image (boot system ).

  • (Facultatif) Entrée d’une nouvelle clé d’activation (activation-key ).

  • Enregistrement de la configuration en cours pour le démarrage (write memory ). Cette opération définit la variable d’environnement BOOT sur l’ancienne image, de sorte que lorsque vous rechargez, l’ancienne image est chargée.

  • Copie de l’ancienne sauvegarde de configuration dans la configuration de démarrage (copy ancienne_url_de_configuration startup-config ).

  • Rechargement (reload ).

Avant de commencer

  • Cette procédure requiert une configuration de sauvegarde de l’ASA avant la mise à niveau, afin que vous puissiez restaurer l’ancienne configuration.

Procédure

Étape 1

Interface de ligne de commande d’ASA : rétrogradez le logiciel et restaurez l’ancienne configuration.

downgrade [/noconfirm] ancienne_url_d_image ancienne_url_de_configuration [ activation-key ancienne_clé]

Exemple:



ciscoasa(config)# downgrade /noconfirm disk0:/asa821-k8.bin disk0:/8_2_1_0_startup_cfg.sav

L’option /noconfirm est rétrogradée sans invite. L’url_de_l_image est le chemin d’accès à l’ancienne image sur disk0, disk1, tftp, ftp ou smb. L’ancienne_url_de_configuration est le chemin d’accès à la configuration de pré-migration enregistrée. Si vous devez revenir à une clé d’activation antérieure à la version 8.3, vous pouvez saisir l’ancienne clé d’activation.

Étape 2

ASDM : choisissez Outils > Rétrograder le logiciel.

La boîte de dialogue Rétrograder le logiciel s’affiche.

Étape 3

Pour l’image ASA, cliquez sur Sélectionner un fichier d’image.

La boîte de dialogue Parcourir les emplacements des fichiers s’affiche.

Étape 4

Cliquez sur l’un des boutons radio suivants :

  • Serveur distant : choisissez ftp, smb ou http dans la liste déroulante, puis saisissez le chemin d’accès à l’ancien fichier image.

  • Système de fichiers flash : cliquez sur Parcourir la mémoire flash pour choisir l’ancien fichier image sur le système de fichiers flash local.

Étape 5

Pour la configuration, cliquez sur Parcourir la mémoire flash pour choisir le fichier de configuration de pré-migration.

Étape 6

(Facultatif) Dans le champ Clé d’activation, saisissez l’ancienne clé d’activation si vous devez rétablir une clé d’activation antérieure à la version 8.3.

Étape 7

Cliquez sur Rétrograder.