Mise à niveau d’ASA avec les services FirePOWER

Liste de vérification de mise à niveau : ASA FirePOWER avec FMC

Terminez cette liste de contrôle avant d’effectuer la mise à niveau Pare-feu ASA avec services FirePOWER.


Remarque

En tout temps pendant le processus, assurez-vous de maintenir la communication et l’intégrité de déploiement. Ne pas redémarrer une mise à niveau ASA FirePOWER en cours. Le processus de mise à niveau peut sembler inactif pendant les vérifications préalables, ce qui est normal. Si vous rencontrez des problèmes avec la mise à niveau, comme son échec, ou si un appareil ne répond pas, communiquez avec le Centre d’assistance technique Cisco (TAC)

Planification et faisabilité

Une planification et une préparation rigoureuses peuvent vous aider à éviter les erreurs.

Tableau 1.

Action/Vérification

Planifiez votre chemin de mise à niveau.

Cela est particulièrement important pour les déploiements de plusieurs appareils, les mises à niveau multisauts ou les situations où vous devez mettre à niveau des systèmes d’exploitation ou des environnements d’hébergement, tout en maintenant la compatibilité de déploiement. Sachez toujours quelle mise à niveau vous venez d’effectuer et laquelle vous allez effectuer ensuite.

Remarque

 

Dans les déploiements de FMC, vous mettez généralement à niveau le FMC, puis ses périphériques gérés. Cependant, dans certains cas, vous devrez peut-être d’abord mettre à niveau les périphériques.

Consultez Chemins de mise à niveau.

Lisez toutes les directives de mise à niveau et prévoyez les modifications de configuration.

Surtout avec les mises à niveau majeures, la mise à niveau peut entraîner ou nécessiter des modifications de configuration importantes avant ou après la mise à niveau. Commencez par les notes de mise à jour, qui contiennent des renseignements essentiels et précis sur la version, notamment les avertissements de mise à niveau, les changements de comportement, les fonctionnalités nouvelles et obsolètes, ainsi que les problèmes connus.

Vérifiez l’accès à l’appareil.

Les périphériques peuvent cesser de transmettre du trafic pendant la mise à niveau (en fonction de la configuration des interfaces) ou en cas d’échec de la mise à niveau. Avant d’effectuer la mise à niveau, assurez-vous que le trafic en provenance de votre emplacement n’a pas à traverser le périphérique lui-même pour accéder à l’interface de gestion du périphérique . Dans les déploiements de FMC, vous devriez également pouvoir accéder à l’interface de gestion FMC sans traverser le périphérique.

Vérifiez la bande passante.

Assurez-vous que votre réseau de gestion dispose de la bande passante nécessaire pour effectuer des transferts de données volumineux. Dans les déploiements de FMC, si vous transférez un ensemble de mise à niveau vers un périphérique géré au moment de la mise à niveau, une bande passante insuffisante peut prolonger le délai de mise à niveau ou même entraîner son expiration. Dans la mesure du possible, copiez les paquets de mise à niveau sur les périphériques gérés avant de lancer la mise à niveau de ces derniers.

Consultez les Directives relatives au téléchargement de données du centre de gestion Cisco Firepower Management Center vers des périphériques gérés (Note technique de dépannage).

Planifiez des périodes de maintenance.

Planifiez les périodes de maintenance lorsqu’elles auront le moins d’impact, en tenant compte de tout effet sur le flux de trafic et l’inspection, et le temps que la mise à niveau est susceptible de prendre. Tenez également compte des tâches que vous devez effectuer dans la fenêtre et de celles que vous pouvez effectuer à l’avance. Par exemple, n’attendez pas la période de maintenance pour copier les paquets de mise à niveau sur les périphériques, exécuter des vérifications de la préparation, effectuer des sauvegardes, etc.

Progiciels de mise à niveau

Les paquets de mise à niveau sont disponibles sur le Site d’assistance et de téléchargement Cisco.

Tableau 2.

Action/Vérification

Chargez le paquet de mise à niveau vers le FMC.

Consultez Charger vers Cisco Firepower Management Center.

Copiez le paquet de mise à niveau sur le périphérique.

Si votre instance de FMC utilise la version 6.2.3 ou une version ultérieure, nous vous recommandons de copier (pousser) les paquets sur les périphériques gérés avant de lancer la mise à niveau de ces derniers.

Consultez Copier des données sur les périphériques gérés.

Sauvegardes

La reprise après sinistre est un élément essentiel de tout plan de maintenance de système.

La sauvegarde et la restauration peuvent être des processus complexes. Vous ne voulez sauter aucune étape ou ignorer les problèmes de sécurité ou de licence. Pour en savoir plus sur les exigences, les directives, les limitations et les bonnes pratiques en matière de sauvegarde et de restauration, consultez le guide de configuration de votre déploiement.


Mise en garde

Nous vous recommandons fortement de procéder à une sauvegarde dans un emplacement distant sécurisé et de vérifier la réussite du transfert, avant et après la mise à niveau.

Tableau 3.

Action/Vérification

Sauvegardez l’ASA.

Utilisez ASDM ou l’interface de ligne de commande d’ASA pour sauvegarder les configurations et les autres fichiers critiques avant et après la mise à niveau, en particulier s’il y a une migration de la configuration de l’ASA.

Mises à niveau associées

Étant donné que les mises à niveau de systèmes d’exploitation et d’environnements d’hébergement peuvent avoir une incidence sur le flux de trafic et l’inspection, effectuez-les pendant une période de maintenance.

Tableau 4.

Action/Vérification

Mettez à niveau l’ASA.

Si vous le souhaitez, mettez à niveau l’ASA. Il existe une large compatibilité entre les versions d’ASA et de ASA FirePOWER. Cependant, la mise à niveau vous permet de profiter de nouvelles fonctionnalités et de la résolution de certains problèmes.

Pour les périphériques ASA autonomes, mettez à niveau le module ASA FirePOWER juste après avoir mis à niveau l’ASA et rechargé l’unité.

Dans le cas des grappes ASA et des paires de basculements, pour éviter les interruptions du flux de trafic et de l’inspection, mettez entièrement à niveau ces périphériques un à la fois. Mettez à niveau le module ASA FirePOWER juste avant de recharger chaque unité pour mettre à niveau l’ASA.

Remarque

 

Avant de mettre à niveau ASA, assurez-vous de lire toutes les directives de mise à niveau et de planifier les changements de configuration. Commencez par les notes de mise à jour de l’ASA : Notes de version de Cisco ASA.

Contrôle final

Un ensemble de vérifications finales garantit que vous êtes prêt à effectuer la mise à niveau.

Tableau 5.

Action/Vérification

Vérifiez les configurations.

Assurez-vous d’avoir apporté les modifications de configuration requises avant la mise à niveau et d’être prêt à apporter les modifications de configuration requises après la mise à niveau.

Vérifiez la synchronisation NTP.

Assurez-vous que tous les périphériques sont synchronisés avec le serveur NTP que vous utilisez pour donner l’heure. La désynchronisation peut entraîner l’échec de la mise à niveau. Dans les déploiements de FMC, le moniteur d’intégrité signale si les horloges ne sont pas synchronisées de plus de 10 secondes, mais il convient de toujours vérifier manuellement.

Pour vérifier l’heure :

  • FMC : choisissez Système > Configuration > Temps.

  • Périphériques : utilisez la commande show time de l’interface de ligne de commande.

Vérifiez l’espace disque.

Exécutez une vérification de l’espace disque pour la mise à niveau logicielle. Sans suffisamment d’espace disque libre, la mise à niveau échoue.

Consultez le chapitre Mettre à niveau le logiciel dans les Notes de version de Cisco Firepower de votre version cible.

Déployez des configurations.

Si vous procédez au déploiement des configurations avant la mise à niveau, vous réduisez les risques d’échec. Dans certains déploiements, la mise à niveau peut être bloquée si vous avez des configurations obsolètes. Dans les déploiements FMC à haute disponibilité, il vous suffit de procéder au déploiement à partir de l’homologue actif.

Lorsque vous déployez, les demandes de ressources peuvent entraîner l’abandon d'un petit nombre de paquets sans inspection. En outre, le déploiement de certaines configurations redémarre Snort, ce qui interrompt l’inspection du trafic et, selon la façon dont votre périphérique gère le trafic, peut interrompre le trafic jusqu’à la fin du redémarrage.

Consultez le chapitre Mettre à niveau le logiciel dans le Notes de version de Cisco Firepower de votre version cible.

Désactivez l’API REST ASA sur les anciens périphériques.

Avant de mettre à niveau un module ASA FirePOWER exécutant actuellement la version 6.3.0 ou une version antérieure, assurez-vous que l’API REST ASA est désactivée. Sinon, la mise à niveau peut échouer. À partir de l’interface de ligne de commande d’ASA : no rest api agent. Vous pouvez la réactiver après la mise à niveau : rest-api agent.

Exécutez la vérification de l’état de préparation.

Si votre FMC exécute la version 6.1.0 ou une version ultérieure, nous recommandons de vérifier la compatibilité et l’état de préparation. Ces vérifications évaluent votre degré de préparation à une mise à niveau logicielle.

Consultez Vérification de l’état de préparation du logiciel Firepower.

Vérifiez les tâches en cours.

Assurez-vous que les tâches essentielles sur le périphérique, y compris le déploiement final, sont terminées avant de procéder à la mise à niveau. Les tâches en cours d’exécution au début de la mise à niveau sont arrêtées, deviennent des tâches ayant échoué et ne peuvent pas être repris. Nous vous recommandons également de vérifier les tâches qui sont programmées pour s’exécuter pendant la mise à niveau et de les annuler ou de les reporter.

Mettre à niveau l’ASA

Utilisez les procédures de cette section pour mettre à niveau ASA et ASDM pour les déploiements autonomes, de basculement ou de mise en grappe.

Mettre à niveau une unité autonome

Utilisez l’interface de ligne de commande ou ASDM pour mettre à niveau l’unité autonome.

Mettre à niveau une unité autonome à l'aide de l'interface de ligne de commande

Cette section décrit comment installer les images ASDM et ASA, et quand mettre à niveau le module ASA FirePOWER.

Avant de commencer

Cette procédure utilise le protocole FTP. Pour TFTP, HTTP ou d’autres types de serveurs, consultez la commande copy dans la référence de commande ASA.

Procédure

Étape 1

En mode d’exécution privilégié, copiez le logiciel ASA dans la mémoire flash.

copy ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/nom_de_l_image_asa diskn:/[chemin/]nom_de_l_image_asa

Exemple:

ciscoasa# copy ftp://jcrichton:aeryn@10.1.1.1/asa-9-12-1-smp-k8.bin disk0:/asa-9-12-1-smp-k8.bin

Étape 2

Copiez l’image ASDM dans la mémoire flash.

copy ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/asdm_image_name diskn:/[chemin/]asdm_image_name

Exemple:

ciscoasa# copy ftp://jcrichton:aeryn@10.1.1.1/asdm-7121.bin disk0:/asdm-7121.bin

Étape 3

Accédez au mode de configuration globale.

configure terminal

Exemple:

ciscoasa# configure terminal
ciscoasa(config)#

Étape 4

Affichez les images de démarrage actuelles configurées (jusqu’à 4) :

show running-config boot system

L’ASA utilise les images dans l’ordre indiqué; si la première image n’est pas disponible, l’image suivante est utilisée, et ainsi de suite. Vous ne pouvez pas insérer une nouvelle URL d’image en haut de la liste. Pour placer la nouvelle image en première position, vous devez supprimer toutes les entrées existantes et saisir les URL d’image dans l’ordre souhaité, en fonction des étapes suivantes.

Exemple:

ciscoasa(config)# show running-config boot system
boot system disk0:/cdisk.bin
boot system disk0:/asa931-smp-k8.bin

Étape 5

Supprimez toutes les configurations d’image de démarrage existantes afin de pouvoir utiliser la nouvelle image de démarrage comme votre premier choix :

no boot system diskn:/[chemin/]nom_de_l_image_asa

Exemple:

ciscoasa(config)# no boot system disk0:/cdisk.bin
ciscoasa(config)# no boot system disk0:/asa931-smp-k8.bin

Étape 6

Définissez l’image ASA à démarrer (celle que vous venez de charger) :

boot system diskn:/[chemin/]nom_de_l_image_asa

Répétez cette commande pour toutes les images de sauvegarde que vous souhaitez utiliser au cas où cette image ne serait pas disponible. Par exemple, vous pouvez réintroduire les images que vous avez précédemment supprimées.

Exemple:

ciscoasa(config)# boot system disk0:/asa-9-12-1-smp-k8.bin

Étape 7

Définissez l’image ASDM à utiliser (celle que vous venez de charger) :

asdm image diskn:/[chemin/]nom_de_l_image_asdm

Vous ne pouvez configurer qu’une seule image ASDM à utiliser, vous n’avez donc pas besoin de supprimer la configuration existante en premier lieu.

Exemple:

ciscoasa(config)# asdm image disk0:/asdm-7121.bin

Étape 8

Enregistrez les nouveaux paramètres dans la configuration de démarrage :

write memory

Étape 9

Rechargez l’ASA :

reload

Étape 10

Si vous mettez à niveau le module ASA FirePOWER, désactivez l’API REST ASA, sinon la mise à niveau échouera.

no rest-api agent

Vous pouvez la réactiver après la mise à niveau :

rest-api agent

Remarque

 

La série ASA 5506-X ne prend pas en charge l’API REST ASA si vous utilisez la version 6.0 du module FirePOWER ou une version ultérieure.

Étape 11

Mettez à niveau le module ASA FirePOWER.

Mettre à niveau une unité autonome à partir de votre ordinateur local à l'aide d'ASDM

L’outil de mise à niveau du logiciel à partir de l’ordinateur local vous permet de charger un fichier image de votre ordinateur vers le système de fichiers flash pour mettre à niveau l’ASA.

Procédure

Étape 1

Dans la fenêtre d’application ASDM principale, choisissez Outils > Mettre à niveau le logiciel à partir de l’ordinateur local.

La boîte de dialogue Mettre à niveau le logiciel s’affiche.

Étape 2

Dans la liste déroulante Image à charger, sélectionnez ASDM.

Étape 3

Dans le champ Chemin d’accès au fichier local, cliquez sur Parcourir les fichiers locaux pour trouver le fichier sur votre ordinateur.

Étape 4

Dans le champ Chemin d’accès au système de fichiers flash, cliquez sur Parcourir la mémoire flash pour trouver le répertoire ou le fichier dans le système de fichiers flash.

Étape 5

Cliquez sur Charger une image.

Le processus de chargement peut prendre quelques minutes.

Étape 6

Vous êtes invité à définir cette image comme image ASDM. Cliquez sur Yes (Oui).

Étape 7

Il vous est rappellé de quitter ASDM et d’enregistrer la configuration. Cliquez sur OK.

Vous quittez l’outil Mise à niveau. Remarque : Vous enregistrerez la configuration, puis quitterez et vous reconnecterez à ASDM après avoir mis à niveau le logiciel ASA.

Étape 8

Répétez ces étapes, en sélectionnant ASA dans la liste déroulante Image à charger. Vous pouvez également utiliser cette procédure pour charger d’autres types de fichiers.

Étape 9

Choisissez Outils > Rechargement du système pour recharger l’ASA.

Une nouvelle fenêtre s’affiche et vous demande de vérifier les détails du rechargement.

  1. Cliquez sur le bouton radio Enregistrer la configuration en cours d’enregistrement au moment du rechargement.

  2. Choisissez une heure de rechargement (par exemple, Maintenant, la valeur par défaut).

  3. Cliquer sur Planifier le rechargement.

Une fois que le rechargement est en cours, une fenêtre État du rechargement s’affiche pour indiquer qu’un rechargement est en cours. Une option pour quitter ASDM est également fournie.

Étape 10

Après le rechargement de l’ASA, redémarrez ASDM.

Vous pouvez vérifier l’état de rechargement à partir d’un port de console, ou vous pouvez attendre quelques minutes et essayer de vous connecter à l’aide d’ASDM.

Étape 11

Si vous mettez à niveau un module ASA FirePOWER, désactivez l’API REST ASA en sélectionnant Outils > Interface de ligne de commandeet en entrant no rest-api agent .

Si vous ne désactivez pas l’API REST, la mise à niveau du module ASA FirePOWER échouera. Vous pouvez la réactiver après la mise à niveau :

rest-api agent

Remarque

 

La série ASA 5506-X ne prend pas en charge l’API REST ASA si vous utilisez la version 6.0 du module FirePOWER ou une version ultérieure.

Étape 12

Mettez à niveau le module ASA FirePOWER.

Mettre à niveau une unité autonome à l'aide de l'assistant ASDM Cisco.com

L’assistant de mise à niveau du logiciel à partir de Cisco.com vous permet de mettre à niveau automatiquement ASDM et ASA vers des versions plus récentes.

Dans cet assistant, vous pouvez effectuer les opérations suivantes :

  • Choisissez un fichier image ASA ou un fichier image ASDM à mettre à niveau.


    Remarque

    ASDM télécharge la dernière version de l’image, qui comprend le numéro de version. Par exemple, si vous téléchargez la version 9.9(1), le téléchargement peut inclure la version 9.9(1.2). Ce comportement est normal, vous pouvez donc procéder à la mise à niveau prévue.

  • Passez en revue les modifications de mise à niveau que vous avez apportées.

  • Téléchargez l’image ou les images et installez-les.

  • Passez en revue l’état de l’installation.

  • Si l’installation a réussi, rechargez l’ASA pour enregistrer la configuration et terminer la mise à niveau.

Avant de commencer

En raison d’une modification interne, l’assistant est uniquement pris en charge par ASDM 7.10(1) ou les versions ultérieures. De plus. Comme ASDM est rétrocompatible avec les versions d’ASA antérieures, vous pouvez mettre à niveau ASDM, quelle que soit la version d’ASA que vous utilisez.

Procédure

Étape 1

Choisissez Outils > Vérifier la présence de mises à jour ASA/ASDM.

En mode contexte multiple, accédez à ce menu à partir du système.

La boîte de dialogue Authentification de Cisco.com s’affiche.

Étape 2

Saisissez votre nom d’utilisateur et votre mot de passe Cisco.com, puis cliquez sur Connexion.

L’assistant de mise à niveau Cisco.com s’affiche.

Remarque

 

Si aucune mise à niveau n’est disponible, une boîte de dialogue s’affiche. Cliquez sur OK pour quitter l’assistant.

Étape 3

Cliquez sur Suivant pour afficher l’écran Sélectionner un logiciel.

La version d’ASA actuelle et la version d’ASDM s’affichent.

Étape 4

Pour mettre à niveau la version d’ASA et la version d’ASDM, procédez comme suit :

  1. Dans la zone ASA, cochez la case Mettre à niveau vers, puis choisissez une version d’ASA à laquelle vous souhaitez passer dans la liste déroulante.

  2. Dans la zone ASDM, cochez la case Mettre à niveau vers, puis choisissez une version d’ASDM à laquelle vous souhaitez passer dans la liste déroulante.

Étape 5

Cliquez sur Suivant pour afficher l’écran Passer en revue les modifications.

Étape 6

Vérifiez les éléments suivants :

  • Le fichier image ASA ou le fichier image ASDM que vous avez téléchargé est le bon.

  • Le fichier image ASA ou le fichier image ASDM que vous souhaitez charger est le bon.

  • La bonne image de démarrage ASA a été sélectionnée.

Étape 7

Cliquez sur Suivant pour lancer l’installation de la mise à niveau.

Vous pouvez ensuite afficher l’état de l’installation de la mise à niveau à mesure qu’elle progresse.

L’écran Résultats s’affiche, et fournit des détails supplémentaires, comme l’état de l’installation de la mise à niveau (réussite ou échec).

Étape 8

Si l’installation de la mise à niveau a réussi, pour que les versions de mise à niveau prennent effet, cochez la case Enregistrer la configuration et recharger le périphérique maintenant pour redémarrer l’ASA et le redémarrer ASDM.

Étape 9

Cliquez sur Terminer pour quitter l’assistant et enregistrer les modifications de configuration que vous avez apportées.

Remarque

 

Pour passer à la version ultérieure, le cas échéant, vous devez redémarrer l’assistant.

Étape 10

Après le rechargement de l’ASA, redémarrez ASDM.

Vous pouvez vérifier l’état de rechargement à partir d’un port de console, ou vous pouvez attendre quelques minutes et essayer de vous connecter à l’aide d’ASDM.

Étape 11

Si vous mettez à niveau un module ASA FirePOWER, désactivez l’API REST ASA en sélectionnant Outils > Interface de ligne de commandeet en entrant no rest-api agent .

Si vous ne désactivez pas l’API REST, la mise à niveau du module ASA FirePOWER échouera. Vous pouvez la réactiver après la mise à niveau :

rest-api agent

Remarque

 

La série ASA 5506-X ne prend pas en charge l’API REST ASA si vous utilisez la version 6.0 du module FirePOWER ou une version ultérieure.

Étape 12

Mettez à niveau le module ASA FirePOWER.

Mettre à niveau une paire de basculements actif/de secours

Utilisez l’interface de ligne de commande ou ASDM pour mettre à niveau la paire de basculements actif/de secours pour une mise à niveau sans temps d’arrêt.

Mettre à niveau une paire de basculements actif/de secours à l'aide de l'interface de ligne de commande

Pour mettre à niveau la paire de basculements actif/de secours, procédez comme suit.

Avant de commencer

  • Exécutez ces étapes sur l’unité active. Pour l‘accès SSH, connectez-vous à l‘adresse IP active; l’unité active présente toujours cette adresse IP. Lorsque vous vous connectez à l’interface de ligne de commande, déterminez l’état de basculement en examinant l’invite d’ASA; vous pouvez configurer l’invite ASA pour afficher l’état et la priorité de basculement (principal ou secondaire), ce qui est utile pour déterminer à quelle unité vous êtes connecté. Consultez la commande d’invite. Vous pouvez également saisir la commande show failover pour afficher l’état et la priorité de cette unité (principale ou secondaire).

  • Cette procédure utilise le protocole FTP. Pour TFTP, HTTP ou d’autres types de serveurs, consultez la commande copy dans la référence de commande ASA.

Procédure

Étape 1

Sur l’unité active, en mode d’exécution privilégié, copiez le logiciel ASA dans la mémoire flash de l’unité active :

copy ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/nom_de_l_image_asa diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/act# copy ftp://jcrichton:aeryn@10.1.1.1/asa941-smp-k8.bin disk0:/asa941-smp-k8.bin

Étape 2

Copiez le logiciel sur l’unité de secours. Assurez-vous de définir le même chemin que pour l’unité active :

failover exec mate copy /noconfirm ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/nom_de_l_image_asa diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/act# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asa941-smp-k8.bin disk0:/asa941-smp-k8.bin

Étape 3

Copiez l’image ASDM dans la mémoire flash de l’unité active :

copy ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/asdm_image_name diskn:/[chemin/]asdm_image_name

Exemple:

asa/act# copy ftp://jcrichton:aeryn@10.1.1.1/asdm-741.bin disk0:/asdm-741.bin

Étape 4

Copiez l’image ASDM sur l’unité de secours. Assurez-vous de définir le même chemin que pour l’unité active :

failover exec mate copy /noconfirm ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/asdm_image_name diskn:/[chemin/]asdm_image_name

Exemple:

asa/act# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asdm-741.bin disk0:/asdm-741.bin

Étape 5

Si vous n’êtes pas déjà en mode de configuration globale, accédez-y :

configure terminal

Étape 6

Affichez les images de démarrage actuelles configurées (jusqu’à 4) :

show running-config boot system

Exemple:

asa/act(config)# show running-config boot system
boot system disk0:/cdisk.bin
boot system disk0:/asa931-smp-k8.bin

L’ASA utilise les images dans l’ordre indiqué; si la première image n’est pas disponible, l’image suivante est utilisée, et ainsi de suite. Vous ne pouvez pas insérer une nouvelle URL d’image en haut de la liste. Pour placer la nouvelle image en première position, vous devez supprimer toutes les entrées existantes et saisir les URL d’image dans l’ordre souhaité, en fonction des étapes suivantes.

Étape 7

Supprimez toutes les configurations d’image de démarrage existantes afin de pouvoir utiliser la nouvelle image de démarrage comme votre premier choix :

no boot system diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/act(config)# no boot system disk0:/cdisk.bin
asa/act(config)# no boot system disk0:/asa931-smp-k8.bin

Étape 8

Définissez l’image ASA à démarrer (celle que vous venez de charger) :

boot system diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/act(config)# boot system disk0://asa941-smp-k8.bin

Répétez cette commande pour toutes les images de sauvegarde que vous souhaitez utiliser au cas où cette image ne serait pas disponible. Par exemple, vous pouvez réintroduire les images que vous avez précédemment supprimées.

Étape 9

Définissez l’image ASDM à utiliser (celle que vous venez de charger) :

asdm image diskn:/[chemin/]nom_de_l_image_asdm

Exemple:

asa/act(config)# asdm image disk0:/asdm-741.bin

Vous ne pouvez configurer qu’une seule image ASDM à utiliser, vous n’avez donc pas besoin de supprimer la configuration existante en premier lieu.

Étape 10

Enregistrez les nouveaux paramètres dans la configuration de démarrage :

write memory

Ces modifications de configuration sont automatiquement enregistrées sur l’unité de secours.

Étape 11

Si vous mettez à niveau des modules ASA FirePOWER, désactivez l’API REST ASA, sinon la mise à niveau échouera.

no rest-api agent

Étape 12

Mettez à niveau le module ASA FirePOWER sur l’unité de secours.

Pour un module ASA FirePOWER géré par ASDM, connectez ASDM à l’adresse IP de gestion de secours. Attendez que la mise à niveau soit terminée.

Étape 13

Rechargez l’unité de secours pour démarrer la nouvelle image :

failover reload-standby

Attendez que l’unité de secours ait terminé le chargement. Utilisez la commande show failover pour vérifier que l’unité de secours est à l’état de secours.

Étape 14

Forcez l’unité active à basculer vers l’unité de secours.

no failover active

Si vous êtes déconnecté de votre session SSH, reconnectez-vous à l’adresse IP principale, maintenant sur la nouvelle unité active/ancienne unité de secours.

Étape 15

Mettez à niveau le module ASA FirePOWER sur l’ancienne unité active.

Pour un module ASA FirePOWER géré par ASDM, connectez ASDM à l’adresse IP de gestion de secours. Attendez que la mise à niveau soit terminée.

Étape 16

À partir de la nouvelle unité active, rechargez l’ancienne unité active (maintenant la nouvelle unité de secours).

failover reload-standby

Exemple:

asa/act# failover reload-standby

Remarque

 

Si vous êtes connecté au port de console de l’ancienne unité active, vous devez plutôt saisir la commande reload pour recharger l’ancienne unité active.

Mettre à niveau une paire de basculements actif/de secours à l’aide d’ASDM

Pour mettre à niveau la paire de basculements actif/de secours, procédez comme suit.

Avant de commencer

Placez les images ASA et ASDM sur votre ordinateur de gestion local.

Procédure

Étape 1

Lancez ASDM sur l’unité de secours en vous connectant à l’adresse IP de secours.

Étape 2

Dans la fenêtre d’application ASDM principale, choisissez Outils > Mettre à niveau le logiciel à partir de l’ordinateur local.

La boîte de dialogue Mettre à niveau le logiciel s’affiche.

Étape 3

Dans la liste déroulante Image à charger, sélectionnez ASDM.

Étape 4

Dans le champ Chemin d’accès au fichier local, saisissez le chemin d’accès local au fichier sur votre ordinateur ou cliquez sur Parcourir les fichiers locaux pour trouver le fichier sur votre ordinateur.

Étape 5

Dans le champ Chemin d’accès au système de fichiers flash, saisissez le chemin d’accès au système de fichiers flash ou cliquez sur Parcourir la mémoire flash pour trouver le répertoire ou le fichier dans le système de fichiers flash.

Étape 6

Cliquez sur Charger une image. Le processus de chargement peut prendre quelques minutes.

Lorsque vous êtes invité à définir cette image comme image ASDM, cliquez sur Non. Vous quittez l’outil Mise à niveau.

Étape 7

Répétez ces étapes, en sélectionnant ASA dans la liste déroulante Image à charger.

Lorsque vous êtes invité à définir cette image comme image ASA, cliquez sur Non. Vous quittez l’outil Mise à niveau.

Étape 8

Connectez ASDM à l’unité active en vous connectant à l’adresse IP principale et chargez le logiciel ASDM en utilisant le même emplacement de fichier que vous avez utilisé sur l’unité de secours.

Étape 9

Lorsque vous êtes invité à définir l’image comme image ASDM, cliquez sur Oui.

Il vous est rappellé de quitter ASDM et d’enregistrer la configuration. Cliquez sur OK. Vous quittez l’outil Mise à niveau. Remarque : Vous enregistrerez la configuration et rechargerez ASDM après avoir mis à niveau le logiciel ASA.

Étape 10

Chargez le logiciel ASA en utilisant le même emplacement de fichier que vous avez utilisé pour l’unité de secours.

Étape 11

Lorsque vous êtes invité à définir l’image comme image ASA, cliquez sur Oui.

Il vous est rappelé de recharger l’ASA pour utiliser la nouvelle image. Cliquez sur OK. Vous quittez l’outil Mise à niveau.

Étape 12

Cliquez sur l’icône Enregistrer dans la barre d’outils pour enregistrer les modifications apportées à la configuration.

Ces modifications de configuration sont automatiquement enregistrées sur l’unité de secours.

Étape 13

Si vous mettez à niveau des modules ASA FirePOWER, désactivez l’API REST ASA en sélectionnant Outils > Interface de ligne de commande et en saisissant no rest-api enable .

Si vous ne désactivez pas l’API REST, la mise à niveau du module ASA FirePOWER échouera.

Étape 14

Mettez à niveau le module ASA FirePOWER sur l’unité de secours.

Pour un module ASA FirePOWER géré par ASDM, connectez ASDM à l’adresse IP de gestion de secours. Attendez que la mise à niveau soit terminée, puis reconnectez ASDM à l’unité active.

Étape 15

Rechargez l’unité de secours en sélectionnant Surveillance > Propriétés > Basculement > État, puis cliquez sur Recharger l’unité de secours.

Restez dans le volet Système pour surveiller le rechargement de l’unité de secours.

Étape 16

Après le rechargement de l’unité de secours, forcez l’unité active à basculer vers l’unité de secours en sélectionnant Surveillance > Propriétés > Basculement > État, puis cliquez sur Faire passer en groupe de secours.

ASDM se reconnectera automatiquement à la nouvelle unité active.

Étape 17

Mettez à niveau le module ASA FirePOWER sur l’ancienne unité active.

Pour un module ASA FirePOWER géré par ASDM, connectez ASDM à l’adresse IP de gestion de secours. Attendez que la mise à niveau soit terminée, puis reconnectez ASDM à l’unité active.

Étape 18

Rechargez l’unité de secours (nouvelle) en sélectionnant Surveillance > Propriétés > Basculement > État, puis cliquez sur Recharger l’unité de secours.

Mettre à niveau une paire de basculements actif/actif

Utilisez l’interface de ligne de commande ou ASDM pour mettre à niveau la paire de basculements actif/actif pour une mise à niveau sans temps d’arrêt.

Mettre à niveau une paire de basculements actif/actif à l’aide de l’interface de ligne de commande

Pour mettre à niveau deux unités dans une configuration de basculement actif/actif, procédez comme suit.

Avant de commencer

  • Exécutez ces étapes sur l’unité principale.

  • Effectuez ces étapes dans l’espace d’exécution du système.

  • Cette procédure utilise le protocole FTP. Pour TFTP, HTTP ou d’autres types de serveurs, consultez la commande copy dans la référence de commande ASA.

Procédure

Étape 1

Sur l’unité principale, en mode d’exécution privilégié, copiez le logiciel ASA dans la mémoire flash :

copy ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/nom_de_l_image_asa diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/act/pri# copy ftp://jcrichton:aeryn@10.1.1.1/asa941-smp-k8.bin disk0:/asa941-smp-k8.bin

Étape 2

Copiez le logiciel sur l’unité secondaire. Assurez-vous de définir le même chemin que pour l’unité principale :

failover exec mate copy /noconfirm ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/nom_de_l_image_asa diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/act/pri# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asa941-smp-k8.bin disk0:/asa941-smp-k8.bin

Étape 3

Copiez l’image ASDM dans la mémoire flash de l’unité principale :

copy ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/asdm_image_name diskn:/[chemin/]asdm_image_name

Exemple:

asa/act/pri# ciscoasa# copy ftp://jcrichton:aeryn@10.1.1.1/asdm-741.bin disk0:/asdm-741.bin

Étape 4

Copiez l’image ASDM sur l’unité secondaire. Assurez-vous de définir le même chemin que pour l’unité principale :

failover exec mate copy /noconfirm ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/asdm_image_name diskn:/[chemin/]asdm_image_name

Exemple:

asa/act/pri# failover exec mate copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asdm-741.bin disk0:/asdm-741.bin

Étape 5

Si vous n’êtes pas déjà en mode de configuration globale, accédez-y :

configure terminal

Étape 6

Affichez les images de démarrage actuelles configurées (jusqu’à 4) :

show running-config boot system

Exemple:

asa/act/pri(config)# show running-config boot system
boot system disk0:/cdisk.bin
boot system disk0:/asa931-smp-k8.bin

L’ASA utilise les images dans l’ordre indiqué; si la première image n’est pas disponible, l’image suivante est utilisée, et ainsi de suite. Vous ne pouvez pas insérer une nouvelle URL d’image en haut de la liste. Pour placer la nouvelle image en première position, vous devez supprimer toutes les entrées existantes et saisir les URL d’image dans l’ordre souhaité, en fonction des étapes suivantes.

Étape 7

Supprimez toutes les configurations d’image de démarrage existantes afin de pouvoir utiliser la nouvelle image de démarrage comme votre premier choix :

no boot system diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/act/pri(config)# no boot system disk0:/cdisk.bin
asa/act/pri(config)# no boot system disk0:/asa931-smp-k8.bin

Étape 8

Définissez l’image ASA à démarrer (celle que vous venez de charger) :

boot system diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/act/pri(config)# boot system disk0://asa941-smp-k8.bin

Répétez cette commande pour toutes les images de sauvegarde que vous souhaitez utiliser au cas où cette image ne serait pas disponible. Par exemple, vous pouvez réintroduire les images que vous avez précédemment supprimées.

Étape 9

Définissez l’image ASDM à utiliser (celle que vous venez de charger) :

asdm image diskn:/[chemin/]nom_de_l_image_asdm

Exemple:

asa/act/pri(config)# asdm image disk0:/asdm-741.bin

Vous ne pouvez configurer qu’une seule image ASDM à utiliser, vous n’avez donc pas besoin de supprimer la configuration existante en premier lieu.

Étape 10

Enregistrez les nouveaux paramètres dans la configuration de démarrage :

write memory

Ces modifications de configuration sont automatiquement enregistrées sur l’unité secondaire.

Étape 11

Si vous mettez à niveau des modules ASA FirePOWER, désactivez l’API REST ASA, sinon la mise à niveau échouera.

no rest-api agent

Étape 12

Activez les deux groupes de basculement sur l’unité principale :

failover active group 1

failover active group 2

Exemple:

asa/act/pri(config)# failover active group 1
asa/act/pri(config)# failover active group 2

Étape 13

Mettez à niveau le module ASA FirePOWER sur l’unité secondaire.

Pour un module ASA FirePOWER géré par ASDM, connectez ASDM à l’adresse IP de gestion de secours du groupe de basculement 1 ou 2. Attendez que la mise à niveau soit terminée.

Étape 14

Rechargez l’unité secondaire pour démarrer la nouvelle image :

failover reload-standby

Attendez que l’unité secondaire ait terminé le chargement. Utilisez la commande show failover pour vérifier que les deux groupes de basculement sont à l’état de secours.

Étape 15

Forcez les deux groupes de basculement à devenir actifs sur l’unité secondaire :

no failover active group 1

no failover active group 2

Exemple:

asa/act/pri(config)# no failover active group 1
asa/act/pri(config)# no failover active group 2
asa/stby/pri(config)#

Si vous êtes déconnecté de votre session SSH, reconnectez-vous à l’adresse IP du groupe de basculement 1, maintenant sur l’unité secondaire.

Étape 16

Mettez à niveau le module ASA FirePOWER sur l’unité principale.

Pour un module ASA FirePOWER géré par ASDM, connectez ASDM à l’adresse IP de gestion de secours du groupe de basculement 1 ou 2. Attendez que la mise à niveau soit terminée.

Étape 17

Rechargez l’unité principale :

failover reload-standby

Exemple:

asa/act/sec# failover reload-standby

Remarque

 

Si vous êtes connecté au port de console de l’unité principale, vous devez plutôt saisir la commande reload pour recharger l’unité principale.

Il se peut que vous soyez déconnecté de votre session SSH.

Étape 18

Si les groupes de basculement sont configurés avec la commande preempt , ils deviennent automatiquement actifs sur l’unité désignée une fois le délai de préemption écoulé.

Mettre à niveau une paire de basculements actif/actif à l’aide d’ASDM

Pour mettre à niveau deux unités dans une configuration de basculement actif/actif, procédez comme suit.

Avant de commencer

  • Effectuez ces étapes dans l’espace d’exécution du système.

  • Placez les images ASA et ASDM sur votre ordinateur de gestion local.

Procédure

Étape 1

Lancez ASDM sur l’unité secondaire en vous connectant à l’adresse de gestion dans le groupe de basculement 2.

Étape 2

Dans la fenêtre d’application ASDM principale, choisissez Outils > Mettre à niveau le logiciel à partir de l’ordinateur local.

La boîte de dialogue Mettre à niveau le logiciel s’affiche.

Étape 3

Dans la liste déroulante Image à charger, sélectionnez ASDM.

Étape 4

Dans le champ Chemin d’accès au fichier local, saisissez le chemin d’accès local au fichier sur votre ordinateur ou cliquez sur Parcourir les fichiers locaux pour trouver le fichier sur votre ordinateur.

Étape 5

Dans le champ Chemin d’accès au système de fichiers flash, saisissez le chemin d’accès au système de fichiers flash ou cliquez sur Parcourir la mémoire flash pour trouver le répertoire ou le fichier dans le système de fichiers flash.

Étape 6

Cliquez sur Charger une image. Le processus de chargement peut prendre quelques minutes.

Lorsque vous êtes invité à définir cette image comme image ASDM, cliquez sur Non. Vous quittez l’outil Mise à niveau.

Étape 7

Répétez ces étapes, en sélectionnant ASA dans la liste déroulante Image à charger.

Lorsque vous êtes invité à définir cette image comme image ASA, cliquez sur Non. Vous quittez l’outil Mise à niveau.

Étape 8

Connectez ASDM à l’unité principale en vous connectant à l’adresse IP de gestion dans le groupe de basculement 1 et chargez le logiciel ASDM en utilisant le même emplacement de fichier que vous avez utilisé sur l’unité secondaire.

Étape 9

Lorsque vous êtes invité à définir l’image comme image ASDM, cliquez sur Oui.

Il vous est rappellé de quitter ASDM et d’enregistrer la configuration. Cliquez sur OK. Vous quittez l’outil Mise à niveau. Remarque : Vous enregistrerez la configuration et rechargerez ASDM après avoir mis à niveau le logiciel ASA.

Étape 10

Chargez le logiciel ASA en utilisant le même emplacement de fichier que vous avez utilisé pour l’unité secondaire.

Étape 11

Lorsque vous êtes invité à définir l’image comme image ASA, cliquez sur Oui.

Il vous est rappelé de recharger l’ASA pour utiliser la nouvelle image. Cliquez sur OK. Vous quittez l’outil Mise à niveau.

Étape 12

Cliquez sur l’icône Enregistrer dans la barre d’outils pour enregistrer les modifications apportées à la configuration.

Ces modifications de configuration sont automatiquement enregistrées sur l’unité secondaire.

Étape 13

Si vous mettez à niveau des modules ASA FirePOWER, désactivez l’API REST ASA en sélectionnant Outils > Interface de ligne de commande et en saisissant no rest-api enable .

Si vous ne désactivez pas l’API REST, la mise à niveau du module ASA FirePOWER échouera.

Étape 14

Activez les deux groupes de basculement sur l’unité principale en sélectionnant Surveillance > Basculement > Groupe de basculement #, où # est le numéro du groupe de basculement que vous souhaitez déplacer dans l’unité principale, puis cliquez sur Faire passer en groupe actif.

Étape 15

Mettez à niveau le module ASA FirePOWER sur l’unité secondaire.

Pour un module ASA FirePOWER géré par ASDM, connectez ASDM à l’adresse IP de gestion de secours du groupe de basculement 1 ou 2. Attendez que la mise à niveau soit terminée, puis reconnectez ASDM à l’unité principale.

Étape 16

Rechargez l’unité secondaire en sélectionnant Surveillance > Basculement > Système, puis cliquez sur Recharger l’unité de secours.

Restez dans le volet Système pour surveiller le rechargement de l’unité secondaire.

Étape 17

Après le déploiement de l’unité secondaire, activez les deux groupes de basculement sur l’unité secondaire en sélectionnant Surveillance > Basculement > Groupe de basculement #, où # est le numéro du groupe de basculement que vous souhaitez déplacer dans l’unité secondaire, puis cliquez sur Faire passer en groupe de secours.

ASDM se reconnectera automatiquement à l’adresse IP du groupe de basculement 1 sur l’unité secondaire.

Étape 18

Mettez à niveau le module ASA FirePOWER sur l’unité principale.

Pour un module ASA FirePOWER géré par ASDM, connectez ASDM à l’adresse IP de gestion de secours du groupe de basculement 1 ou 2. Attendez que la mise à niveau soit terminée, puis reconnectez ASDM à l’unité secondaire.

Étape 19

Rechargez l’unité principale en sélectionnant Surveillance > Basculement > Système, puis cliquez sur Recharger l’unité de secours.

Étape 20

Si les groupes de basculement sont configurés avec la préemption activée, ils deviennent automatiquement actifs sur l’unité désignée une fois le délai de préemption écoulé. ASDM se reconnectera automatiquement à l’adresse IP du groupe de basculement 1 sur l’unité principale.

Mettre à niveau une grappe ASA

Utilisez l’interface de ligne de commande ou ASDM pour mettre à niveau la grappe ASA pour une mise à niveau sans temps d’arrêt.

Mettre à niveau une grappe ASA à l’aide de l'interface de ligne de commande

Pour mettre à niveau toutes les unités d’une grappe ASA, suivez les étapes suivantes. Cette procédure utilise le protocole FTP. Pour TFTP, HTTP ou d’autres types de serveurs, consultez la commande copy dans la référence de commande ASA.

Avant de commencer

  • Exécutez ces étapes sur l’unité de contrôle. Si vous mettez également à niveau le module ASA FirePOWER, vous avez besoin d’un accès à la console ou à ASDM sur chaque unité de données. Vous pouvez configurer l’invite ASA pour afficher l’unité de la grappe et son état (contrôle ou données), ce qui est utile pour déterminer à quelle unité vous êtes connecté. Consultez la commande d’invite. Vous pouvez également saisir la commande show cluster info pour afficher le rôle de chaque unité.

  • Vous devez utiliser le port de console; vous ne pouvez pas activer ni désactiver la mise en grappe à partir d’une connexion distante d’interface de ligne de commande.

  • Effectuez ces étapes dans l’espace d’exécution du système pour le mode contexte multiple.

Procédure

Étape 1

Sur l’unité de contrôle en mode d‘exécution privilégié, copiez le logiciel ASA sur toutes les unités de la grappe.

cluster exec copy /noconfirm ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/nom_de_l_image_asa diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/unit1/master# cluster exec copy /noconfirm 
ftp://jcrichton:aeryn@10.1.1.1/asa941-smp-k8.bin disk0:/asa941-smp-k8.bin

Étape 2

Copiez l’image ASDM sur toutes les unités de la grappe :

cluster exec copy /noconfirm ftp://[[utilisateur[:mot de passe]@]serveur[/chemin]/asdm_image_name diskn:/[chemin/]asdm_image_name

Exemple:

asa/unit1/master# cluster exec copy /noconfirm ftp://jcrichton:aeryn@10.1.1.1/asdm-741.bin disk0:/asdm-741.bin

Étape 3

Si vous n’êtes pas déjà en mode de configuration globale, accédez-y maintenant.

configure terminal

Exemple:

asa/unit1/master# configure terminal
asa/unit1/master(config)#

Étape 4

Affichez les images de démarrage actuelles configurées (jusqu’à 4).

show running-config boot system

Exemple:

asa/unit1/master(config)# show running-config boot system
boot system disk0:/cdisk.bin
boot system disk0:/asa931-smp-k8.bin

L’ASA utilise les images dans l’ordre indiqué; si la première image n’est pas disponible, l’image suivante est utilisée, et ainsi de suite. Vous ne pouvez pas insérer une nouvelle URL d’image en haut de la liste. Pour placer la nouvelle image en première position, vous devez supprimer toutes les entrées existantes et saisir les URL d’image dans l’ordre souhaité, en fonction des étapes suivantes.

Étape 5

Supprimez toutes les configurations d’image de démarrage existantes afin de pouvoir utiliser la nouvelle image de démarrage comme votre premier choix :

no boot system diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/unit1/master(config)# no boot system disk0:/cdisk.bin
asa/unit1/master(config)# no boot system disk0:/asa931-smp-k8.bin

Étape 6

Définissez l’image ASA à démarrer (celle que vous venez de charger) :

boot system diskn:/[chemin/]nom_de_l_image_asa

Exemple:

asa/unit1/master(config)# boot system disk0://asa941-smp-k8.bin

Répétez cette commande pour toutes les images de sauvegarde que vous souhaitez utiliser au cas où cette image ne serait pas disponible. Par exemple, vous pouvez réintroduire les images que vous avez précédemment supprimées.

Étape 7

Définissez l’image ASDM à utiliser (celle que vous venez de charger) :

asdm image diskn:/[chemin/]nom_de_l_image_asdm

Exemple:

asa/unit1/master(config)# asdm image disk0:/asdm-741.bin

Vous ne pouvez configurer qu’une seule image ASDM à utiliser, vous n’avez donc pas besoin de supprimer la configuration existante en premier lieu.

Étape 8

Enregistrez les nouveaux paramètres dans la configuration de démarrage :

write memory

Ces modifications de configuration sont automatiquement enregistrées sur les unités de données.

Étape 9

Si vous mettez à niveau des modules ASA FirePOWER, désactivez l’API REST ASA, sinon la mise à niveau du module ASA FirePOWER échouera.

no rest-api agent

Étape 10

Si vous mettez à niveau des modules ASA FirePOWER gérés par ASDM, vous devrez connecter ASDM aux adresses IP de gestion individuelles, vous devez donc noter les adresses IP de chaque unité.

show running-config interface ID_d_interface_de_gestion

Notez le nom de regroupement cluster-pool utilisé.

show ip[v6] local pool nom_de_regroupement

Notez les adresses IP de l’unité de grappe.

Exemple:

asa/unit2/slave# show running-config interface gigabitethernet0/0
!
interface GigabitEthernet0/0
 management-only
 nameif inside
 security-level 100
 ip address 10.86.118.1 255.255.252.0 cluster-pool inside-pool
asa/unit2/slave# show ip local pool inside-pool
Begin           End             Mask            Free     Held     In use
10.86.118.16    10.86.118.17    255.255.252.0       0        0        2

Cluster Unit                    IP Address Allocated
unit2                           10.86.118.16
unit1                           10.86.118.17
asa1/unit2/slave#

Étape 11

Mettez à niveau les unités de données.

Choisissez la procédure ci-dessous selon que vous mettez également à niveau des modules ASA FirePOWER. Les procédures ASA FirePOWER réduisent le nombre de rechargements de l’ASA lors de la mise à niveau du module ASA FirePOWER. Vous pouvez choisir d’utiliser la console de données ou ASDM pour ces procédures. Vous pouvez utiliser le module ASDM à la place de la console si vous n’avez pas accès à tous les ports de la console, mais que vous pouvez atteindre le module ASDM par le réseau.

Remarque

 

Pendant le processus de mise à niveau, n’utilisez jamais la commande cluster master unit pour forcer une unité de données à devenir l’unité de contrôle; vous pouvez causer des problèmes de connectivité au réseau et de stabilité de grappe. Vous devez d’abord mettre à niveau et recharger toutes les unités de données, puis poursuivre cette procédure pour assurer une transition harmonieuse de l’unité de contrôle actuelle vers une nouvelle unité de contrôle.

Si aucune mise à niveau du module ASA FirePOWER ne vous est proposée :

  1. Sur l’unité de contrôle, pour afficher les noms de membre, saisissez cluster exec unit ? , ou saisissez la commande show cluster info .

  2. Rechargez une unité de données.

    cluster exec unit unité_de_données reload noconfirm

    Exemple:
    
asa/unit1/master# cluster exec unit unit2 reload noconfirm

  3. Répétez l’opération pour chaque unité de données.

    Pour éviter les interruptions de connexion et permettre au trafic de se stabiliser, attendez que chaque unité soit de nouveau opérationnelle et rejoigne la grappe (environ 5 minutes) avant de répéter ces étapes pour l’unité suivante. Pour savoir quand une unité rejoint la grappe, saisissez show cluster info .

Si une mise à niveau du module ASA FirePOWER vous est proposée (à l’aide de la console de données) :

  1. Connectez-vous au port de console d’une unité de données et passez en mode de configuration globale.

    enable

    configure terminal

    Exemple:
    
asa/unit2/slave> enable
Password: 
asa/unit2/slave# configure terminal
asa/unit2/slave(config)#

  2. Désactivez la mise en grappe.

    cluster group name

    no enable

    N’enregistrez pas cette configuration; vous voulez que la mise en grappe soit activée lorsque vous rechargez le nœud. Vous devez désactiver la mise en grappe pour éviter plusieurs défaillances et renouvellements pendant le processus de mise à niveau; cette unité ne doit se joindre qu’une fois la mise à niveau et le rechargement terminés.

    Exemple:
    
asa/unit2/slave(config)# cluster group cluster1
asa/unit2/slave(cfg-cluster)# no enable
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either enable clustering or remove cluster group configuration.

Cluster unit unit2 transitioned from SLAVE to DISABLED
asa/unit2/ClusterDisabled(cfg-cluster)#

  3. Mettez à niveau le module ASA FirePOWER sur cette unité de données.

    Pour un module ASA FirePOWER géré par ASDM, connectez ASDM à l’adresse IP de gestion individuelle que vous avez notée plus tôt. Attendez que la mise à niveau soit terminée.

  4. Rechargez l’unité de données.

    reload noconfirm

  5. Répétez l’opération pour chaque unité de données.

    Pour éviter les interruptions de connexion et permettre au trafic de se stabiliser, attendez que chaque unité soit de nouveau opérationnelle et rejoigne la grappe (environ 5 minutes) avant de répéter ces étapes pour l’unité suivante. Pour savoir quand une unité rejoint la grappe, saisissez show cluster info .

Si une mise à niveau du module ASA FirePOWER vous est proposée (à l’aide d’ASDM) :

  1. Connectez ASDM à l’adresse IP de gestion individuelle de cette unité de données que vous avez notée plus tôt.

  2. Choisissez Configuration > Device Management High Availability and Scalability (Gestion des périphériques Haute disponibilité et évolutivité) > ASA Cluster (Grappe ASA) > Cluster Configuration (Configuration de la grappe) > .

  3. Décochez la case Participer à la grappe ASA.

    Vous devez désactiver la mise en grappe pour éviter plusieurs défaillances et renouvellements pendant le processus de mise à niveau; cette unité ne doit se joindre qu’une fois la mise à niveau et le rechargement terminés.

    Ne décochez pas la case Configurer les paramètres de grappe ASA. Cette action efface toute la configuration de la grappe et désactive également toutes les interfaces, y compris l’interface de gestion à laquelle ASDM est connecté. Pour rétablir la connectivité dans ce cas, vous devez accéder à l’interface de ligne de commande au niveau du port de console.

    Remarque

     

    Certaines anciennes versions d’ASDM ne prennent pas en charge la désactivation de la grappe sur cet écran; dans ce cas, utilisez l’outil Outils > Interface de ligne de commande, cliquez sur le bouton radio Ligne multiple, puis entrez cluster group nom et no enable . Vous pouvez afficher le nom du groupe de grappes dans la zone Home (Accueil) > Device Dashboard (Tableau de bord du périphérique) > Device Information (Renseignements sur le périphérique) > ASA Cluster (Grappe ASA).

  4. Cliquez sur Apply.

  5. Vous êtes invité à quitter ASDM. Reconnectez ASDM à la même adresse IP.

  6. Mettez à niveau le module ASA FirePOWER.

    Attendez que la mise à niveau soit terminée.

  7. Dans ASDM, choisissez Outils > Rechargement du système.

  8. Cliquez sur le bouton radio Recharger sans enregistrer la configuration en cours.

    Il ne faut pas sauvegarder la configuration. Lorsque cette unité sera rechargée, vous voudrez que la mise en grappe soit activée sur cette unité.

  9. Cliquer sur Planifier le rechargement.

  10. Cliquez sur Oui pour poursuivre le rechargement.

  11. Répétez l’opération pour chaque unité de données.

    Pour éviter les interruptions de connexion et permettre au trafic de se stabiliser, attendez que chaque unité soit de nouveau opérationnelle et rejoigne la grappe (environ 5 minutes) avant de répéter ces étapes pour l’unité suivante. Pour savoir quand une unité rejoint la grappe, consultez le volet Surveillance > Grappe ASA > Résumé de la grappede l’unité de contrôle.

Étape 12

Mettez à niveau l’unité de contrôle.

  1. Désactivez la mise en grappe.

    cluster group name

    no enable

    Attendez 5 minutes qu’une nouvelle unité de contrôle soit sélectionnée et que le trafic se stabilise.

    N’enregistrez pas cette configuration; vous voulez que la mise en grappe soit activée lorsque vous rechargez le nœud.

    Nous vous recommandons de désactiver manuellement la grappe sur l’unité de contrôle si possible afin qu’une nouvelle unité de contrôle puisse être choisie aussi rapidement et proprement que possible.

    Exemple:
    
asa/unit1/master(config)# cluster group cluster1
asa/unit1/master(cfg-cluster)# no enable
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either enable clustering or remove cluster group configuration.

Cluster unit unit1 transitioned from MASTER to DISABLED
asa/unit1/ClusterDisabled(cfg-cluster)#

  2. Mettez à niveau le module ASA FirePOWER sur cette unité.

    Pour un module ASA FirePOWER géré par ASDM, connectez ASDM à l’adresse IP de gestion individuelle que vous avez notée plus tôt. L’adresse IP de la grappe principale appartient maintenant à la nouvelle unité de contrôle. Cette ancienne unité de contrôle est toujours accessible sur son adresse IP de gestion individuelle.

    Attendez que la mise à niveau soit terminée.

  3. Rechargez cette unité.

    reload noconfirm

    Lorsque l’ancienne unité de contrôle rejoint la grappe, elle devient une unité de données.

Mettre à niveau une grappe ASA à l’aide d’ASDM

Pour mettre à niveau toutes les unités d’une grappe ASA, suivez les étapes suivantes.

Avant de commencer

  • Exécutez ces étapes sur l’unité de contrôle. Si vous mettez également à niveau le module ASA FirePOWER, vous avez besoin d’un accès à ASDM sur chaque unité de données.

  • Effectuez ces étapes dans l’espace d’exécution du système pour le mode contexte multiple.

  • Placez les images ASA et ASDM sur votre ordinateur de gestion local.

Procédure

Étape 1

Lancez ASDM sur l’unité de contrôle en vous connectant à l’adresse IP principale de la grappe.

Cette adresse IP reste toujours avec l’unité de contrôle.

Étape 2

Dans la fenêtre d’application ASDM principale, choisissez Outils > Mettre à niveau le logiciel à partir de l’ordinateur local.

La boîte de dialogue Mettre à niveau le logiciel à partir de l'ordinateur local s'affiche.

Étape 3

Cliquez sur le bouton radio All devices in the cluster (Tous les périphériques de la grappe).

La boîte de dialogue Mettre à niveau le logiciel s’affiche.

Étape 4

Dans la liste déroulante Image à charger, sélectionnez ASDM.

Étape 5

Dans le champ Chemin d’accès au fichier local, cliquez sur Parcourir les fichiers locaux pour trouver le fichier sur votre ordinateur.

Étape 6

(Facultatif) Dans le champ Chemin d’accès au système de fichiers flash, saisissez le chemin d’accès au système de fichiers flash ou cliquez sur Parcourir la mémoire flash pour trouver le répertoire ou le fichier dans le système de fichiers flash.

Par défaut, ce champ est prérempli avec le chemin suivant : disk0:/filename.

Étape 7

Cliquez sur Charger une image. Le processus de chargement peut prendre quelques minutes.

Étape 8

Vous êtes invité à définir cette image comme image ASDM. Cliquez sur Yes (Oui).

Étape 9

Il vous est rappellé de quitter ASDM et d’enregistrer la configuration. Cliquez sur OK.

Vous quittez l’outil Mise à niveau. Remarque : Vous enregistrerez la configuration et rechargerez ASDM après avoir mis à niveau le logiciel ASA.

Étape 10

Répétez ces étapes, en sélectionnant ASA dans la liste déroulante Image à charger.

Étape 11

Cliquez sur l’icône Enregistrer dans la barre d’outils pour enregistrer les modifications apportées à la configuration.

Ces modifications de configuration sont automatiquement enregistrées sur les unités de données.

Étape 12

Notez les adresses IP de gestion individuelles pour chaque unité dans la section Configuration > Device Management (Gestion des périphériques) > High Availability and Scalability (Haute disponibilité et évolutivité) > ASA Cluster (Grappe ASA) > Cluster Members (Membres de la grappe) afin de pouvoir connecter ASDM directement aux unités de données ultérieurement.

Étape 13

Si vous mettez à niveau des modules ASA FirePOWER, désactivez l’API REST ASA en sélectionnant Outils > Interface de ligne de commande et en saisissant no rest-api enable .

Si vous ne désactivez pas l’API REST, la mise à niveau du module ASA FirePOWER échouera.

Étape 14

Mettez à niveau les unités de données.

Choisissez la procédure ci-dessous selon que vous mettez également à niveau des modules ASA FirePOWER. La procédure ASA FirePOWER réduit le nombre de rechargements de l’ASA lors de la mise à niveau du module ASA FirePOWER.

Remarque

 

Pendant le processus de mise à niveau, ne modifiez jamais l’unité de contrôle à l’aide de la page Surveillance > Grappe ASA > Résumé de la grappe pour forcer une unité de données à devenir l’unité de contrôle; vous pouvez causer des problèmes de connectivité au réseau et de stabilité de grappe. Vous devez d’abord recharger toutes les unités de données, puis poursuivre cette procédure pour assurer une transition harmonieuse de l’unité de contrôle actuelle vers une nouvelle unité de contrôle.

Si aucune mise à niveau du module ASA FirePOWER ne vous est proposée :

  1. Sur l’unité de contrôle, choisissez Outils > Rechargement du système.

  2. Choisissez un nom d’unité de données dans la liste déroulante Périphérique.

  3. Cliquer sur Planifier le rechargement.

  4. Cliquez sur Oui pour poursuivre le rechargement.

  5. Répétez l’opération pour chaque unité de données.

    Pour éviter les interruptions de connexion et permettre au trafic de se stabiliser, attendez que chaque unité soit de nouveau opérationnelle et rejoigne la grappe (environ 5 minutes) avant de répéter ces étapes pour l’unité suivante. Pour savoir quand une unité rejoint la grappe, consultez le volet Surveillance > Grappe ASA > Résumé de la grappe.

Si une mise à niveau du module ASA FirePOWER vous est proposée :

  1. Sur l’unité de contrôle, choisissez la section Configuration > Device Management (Gestion des périphériques) > High Availability and Scalability (Haute disponibilité et évolutivité) > ASA Cluster (Grappe ASA) > Cluster Members (Membres de la grappe).

  2. Sélectionnez l’unité de données que vous souhaitez mettre à niveau, et cliquez sur Supprimer.

  3. Cliquez sur Apply.

  4. Quittez ASDM et connectez ASDM à l’unité de données en vous connectant à son adresse IP de gestion individuelle que vous avez notée plus tôt.

  5. Mettez à niveau le module ASA FirePOWER.

    Attendez que la mise à niveau soit terminée.

  6. Dans ASDM, choisissez Outils > Rechargement du système.

  7. Cliquez sur le bouton radio Recharger sans enregistrer la configuration en cours.

    Il ne faut pas sauvegarder la configuration. Lorsque cette unité sera rechargée, vous voudrez que la mise en grappe soit activée sur cette unité.

  8. Cliquer sur Planifier le rechargement.

  9. Cliquez sur Oui pour poursuivre le rechargement.

  10. Répétez l’opération pour chaque unité de données.

    Pour éviter les interruptions de connexion et permettre au trafic de se stabiliser, attendez que chaque unité soit de nouveau opérationnelle et rejoigne la grappe (environ 5 minutes) avant de répéter ces étapes pour l’unité suivante. Pour savoir quand une unité rejoint la grappe, consultez le volet Surveillance > Grappe ASA > Résumé de la grappe.

Étape 15

Mettez à niveau l’unité de contrôle.

  1. Dans ASDM, sur l’unité de contrôle, choisissez le volet Configuration > Device Management (Gestion des périphériques) > High Availability and Scalability (Haute disponibilité et évolutivité) > ASA Cluster (Grappe ASA) > Cluster Configuration (Configuration de grappe).

  2. Décochez la case Participer à la grappe ASA, puis cliquez sur Appliquer.

    Vous êtes invité à quitter ASDM.

  3. Attendez jusqu’à 5 minutes qu’une nouvelle unité de contrôle soit sélectionnée et que le trafic se stabilise.

    Lorsque l’ancienne unité de contrôle rejoint la grappe, elle devient une unité de données.

  4. Reconnectez ASDM à l’ancienne unité de contrôle en vous connectant à son adresse IP de gestion individuelle que vous avez notée plus tôt.

    L’adresse IP de la grappe principale appartient maintenant à la nouvelle unité de contrôle. Cette ancienne unité de contrôle est toujours accessible sur son adresse IP de gestion individuelle.

  5. Mettez à niveau le module ASA FirePOWER.

    Attendez que la mise à niveau soit terminée.

  6. Choisissez Outils > Rechargement du système.

  7. Cliquez sur le bouton radio Recharger sans enregistrer la configuration en cours.

    Il ne faut pas sauvegarder la configuration. Lorsque cette unité sera rechargée, vous voudrez que la mise en grappe soit activée sur cette unité.

  8. Cliquer sur Planifier le rechargement.

  9. Cliquez sur Oui pour poursuivre le rechargement.

    Vous êtes invité à quitter ASDM. Redémarrez ASDM sur l’adresse IP de la grappe principale. Vous vous reconnecterez à la nouvelle unité de contrôle.

Mettre à niveau un module ASA FirePOWER avec FMC

Utilisez cette procédure pour mettre à niveau un Module ASA FirePOWER géré par un FMC. Le moment où vous mettez à niveau le module dépend de la mise à niveau d’ASA et de votre déploiement d’ASA.

  • Périphériques ASA autonomes : si vous mettez également à niveau l’ASA, mettez à niveau le Module ASA FirePOWER juste après avoir mis à niveau l’ASA et rechargé l’unité.

  • Grappes ASA et paires de basculements : pour éviter les interruptions du flux de trafic et de l’inspection, mettez entièrement à niveau ces périphériques un à la fois. Si vous mettez également à niveau l’ASA, mettez à niveau le Module ASA FirePOWER juste avant de recharger chaque unité pour mettre à niveau l’ASA.

Pour en savoir plus, consultez Chemin de mise à niveau : ASA FirePOWER et les procédures de mise à niveau de l’ASA.

Avant de commencer

Remplissez la liste de contrôle avant la mise à niveau. Vérifiez que les périphériques de votre déploiement sont intègres et communiquent correctement.

Procédure

Étape 1

Choisissez Système > Mises à jour.

Étape 2

Cliquez sur l’icône Install (Installer) à côté du paquet de mise à niveau que vous voulez utiliser, puis choisissez les périphériques à mettre à niveau.

Si les périphériques que vous souhaitez mettre à niveau ne sont pas répertoriés, vous avez choisi le mauvais paquet de mise à niveau.

Remarque

 

Nous vous recommandons fortement de mettre à niveau moins de cinq périphériques simultanément à partir de la page de mise à jour du système. Vous ne pouvez pas arrêter la mise à niveau tant que tous les périphériques sélectionnés n’ont pas terminé le processus. S’il y a un problème avec la mise à niveau d’un périphérique, tous les périphériques doivent terminer la mise à niveau avant que vous puissiez résoudre le problème.

Étape 3

Cliquez sur Install (Installer), puis confirmez que vous souhaitez mettre à niveau et redémarrer les périphériques.

Le trafic est abandonné tout au long de la mise à niveau ou traverse le réseau sans inspection, en fonction de la configuration et du déploiement de vos périphériques. Pour en savoir plus, consultez le chapitre Mettre à niveau le logiciel dans le Notes de version de Cisco Firepower de votre version cible.

Étape 4

Surveillez l’avancement de la mise à niveau.

Mise en garde

 

Ne déployez pas de modifications, ne redémarrez pas ou n’éteignez pas manuellement un périphérique pendant l’exécution des vérifications de l’état de préparation. Ne redémarrez pas une mise à niveau de périphérique en cours. Le processus de mise à niveau peut sembler inactif pendant les vérifications préalables, ce qui est normal. Si vous rencontrez des problèmes avec la mise à niveau, comme son échec, ou si un appareil ne répond pas, communiquez avec le Centre d’assistance technique Cisco (TAC)

Étape 5

Vérifiez la réussite de la mise à niveau.

Une fois la mise à niveau terminée, choisissez Devices (Périphériques) > Device Management (Gestion des périphériques) et confirmez que les périphériques que vous avez mis à niveau disposent de la bonne version de logiciel.

Étape 6

Mettez à jour les règles de prévention des intrusions (SRU/LSP) et la base de données des vulnérabilités (VDB).

Si le composant disponible sur Site d’assistance et de téléchargement Cisco est plus récent que la version en cours d’exécution, installez la version la plus récente. Notez que lorsque vous mettez à jour les règles de prévention des intrusions, vous n'avez pas besoin de réappliquer automatiquement les politiques. Vous le ferez ultérieurement.

Étape 7

Apportez toutes les modifications de configuration après la mise à niveau décrites dans les notes de mise à jour.

Étape 8

Redéployez les configurations sur les périphériques que vous venez de mettre à niveau.