ASA/PIX: Como usar a CLI para atualizar a imagem do software em um par de failover

Introdução

Este documento descreve como usar a CLI para atualizar a imagem de software em um par de failover do Cisco ASA 5500 Series Adaptive Security Appliances.

Observação: o Adaptive Security Device Manager (ASDM) não funcionará se você atualizar (ou rebaixar) o software do Security Appliance de 7.0 para 7.2 diretamente ou atualizar (ou rebaixar) o software do ASDM de 5.0 para 5.2 diretamente. Você deve atualizar (ou fazer downgrade) em ordem incremental.

Para obter mais informações sobre como atualizar o ASDM e a imagem de software no ASA, consulte PIX/ASA: Exemplo de Configuração de Upgrade de uma Imagem de Software Usando ASDM ou CLI

Observação: no modo multicontexto, você não pode usar o comando copy tftp flash para atualizar ou fazer downgrade da imagem do PIX/ASA em todos os contextos; ele é suportado apenas no modo System Exec.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco Adaptive Security Appliance (ASA) com versão 7.0 ou posterior

• Cisco ASDM versão 5.0 e posterior

Observação: consulte Permitindo o Acesso HTTPS para ASDM para obter informações sobre como permitir que o ASA seja configurado pelo ASDM.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Essa configuração também pode ser usada com o Software Cisco PIX 500 Series Security Appliance Versão 7.0 e posterior.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter informações sobre convenções de documentos.

Configuração

Execute atualizações sem tempo de inatividade para pares de failover

As duas unidades em uma configuração de failover devem ter a mesma versão de software principal (primeiro número) e secundária (segundo número). No entanto, você não precisa manter a paridade de versão nas unidades durante o processo de atualização; você pode ter versões diferentes do software em execução em cada unidade e ainda manter o suporte a failover. Para garantir compatibilidade e estabilidade a longo prazo, a Cisco recomenda que você atualize ambas as unidades para a mesma versão o mais rápido possível.

Existem 3 tipos de atualizações disponíveis. São os seguintes:

1. Versão de Manutenção—Você pode fazer upgrade de qualquer versão de manutenção para qualquer outra versão de manutenção dentro de uma versão menor. Por exemplo, você pode atualizar do 7.0(1) para o 7.0(4) sem primeiro instalar as versões de manutenção no meio.

2. Versão Secundária — Você pode atualizar de uma versão secundária para a próxima versão secundária. Você não pode pular uma versão secundária. Por exemplo, você pode fazer o upgrade de 7.0 para 7.1. O upgrade de 7.0 diretamente para 7.2 não é suportado para upgrades sem tempo de inatividade; você deve primeiro atualizar para 7.1

3. Versão Principal — Você pode atualizar da última versão secundária da versão anterior para a próxima versão principal. Por exemplo, você pode fazer o upgrade de 7.9 para 8.0, supondo que 7.9 seja a última versão secundária na versão 7.x.

Atualizar uma Configuração de Failover Ativo/Standby

Conclua estes passos para fazer o upgrade de duas unidades em uma configuração de Failover Ativo/Standby:

1. Faça o download do novo software em ambas as unidades e especifique a nova imagem a ser carregada com o comando boot system.

   Consulte Upgrade de uma Imagem de Software e Imagem ASDM usando CLI para obter mais informações.

2. Recarregue a unidade em standby para inicializar a nova imagem inserindo o comando failover reload-standby na unidade ativa, como mostrado abaixo:

   active#failover reload-standby
   

3. Quando a unidade de standby terminar de recarregar e estiver no estado Standby Ready, force a unidade ativa a executar o failover para a unidade de standby inserindo o comando no failover ative na unidade ativa.

   active#no failover active
   

   Observação: use o comando show failover para verificar se a unidade de standby está no estado Standby Ready.

4. Recarregue a unidade ativa anterior (agora a nova unidade de standby) inserindo o comando reload:

   newstandby#reload
   

5. Quando a nova unidade de standby terminar de recarregar e estiver no estado Standby Ready, retorne a unidade ativa original para o status ativo inserindo o comando failover ative:

   newstandby#failover active
   

Isso conclui o processo de atualização de um par de Failover Ativo/Standby.

Atualizar uma Configuração de Failover Ativo/Ativo

Conclua estas etapas para atualizar duas unidades em uma configuração de Failover Ativo/Ativo:

1. Faça o download do novo software em ambas as unidades e especifique a nova imagem a ser carregada com o comando boot system.

   Consulte Upgrade de uma Imagem de Software e Imagem ASDM usando CLI para obter mais informações.

2. Torne ambos os grupos de failover ativos na unidade primária inserindo o comando failover ative no espaço de execução do sistema da unidade primária:

   primary#failover active
   

3. Recarregue a unidade secundária para inicializar a nova imagem inserindo o comando failover reload-standby no espaço de execução do sistema da unidade primária:

   primary#failover reload-standby
   

4. Quando a unidade secundária terminar de ser recarregada e ambos os grupos de failover estiverem no estado Standby Ready nessa unidade, torne ambos os grupos de failover ativos na unidade secundária usando o comando no failover ative no espaço de execução do sistema da unidade primária:

   primary#no failover active
   

   Observação: use o comando show failover para verificar se ambos os grupos de failover estão no estado Standby Ready na unidade secundária.

5. Verifique se ambos os grupos de failover estão no estado Standby Ready na unidade primária e recarregue a unidade primária usando o comando reload:

   primary#reload
   

6. Se os grupos de failover forem configurados com o comando preempt, eles se tornarão automaticamente ativos em sua unidade designada após o atraso de preempt ter passado. Se os grupos de failover não estiverem configurados com o comando preempt, você poderá retorná-los ao status ativo em suas unidades designadas usando o comando failover ative group.

Troubleshooting

%ASA-5-720012: ((VPN-Secundário) Falha na atualização do tempo de execução do IPSec na unidade em espera (ou) %ASA-6-720012: ((VPN-unidade) Falha na atualização do tempo de execução de dados na unidade em espera

Problema

Uma destas Mensagens de Erro aparecem quando você tenta atualizar a Ferramenta de Segurança Adaptável da Cistos (ASA):

%ASA-5-720012: (VPN-Secundário) Falha na atualização do tempo de execução do failover do IPSec na unidade em espera.

%ASA-6-720012: (VPN-unidade) Falha na atualização do tempo de execução do failover do IPsec na unidade em espera.

Solução

Estes Mensagens de Erro são erros informativos. As mensagens não impactam a funcionalidade do ASA ou do VPN.

Estas mensagens aparecem quando o subsistema do failover VPN não pode atualizar os dados do tempo de execução do IPSEC relacionados ao túnel de IPsec correspondente que foi apagado da unidade em pespera. Para resolver isso, execute o comando wr standby na unidade ativa.

Dois bugs foram arquivados para lidar com esse comportamento; você pode atualizar para uma versão de software do ASA onde esses bugs são corrigidos. Refira ao Cisco bug IDs CSCtj58420 (somente clientes registrados) e CSCtn56517 (somente clientes registrados) para mais informação.

Informações Relacionadas

• Dispositivos de segurança adaptáveis Cisco ASA 5500 Series
• Cisco Adaptive Security Device Manager
• Solicitações de Comentários (RFCs)
• Suporte Técnico e Documentação - Cisco Systems