Atualizar o par de failover ativo/em espera do ASA para o firewall seguro

Opções de download

  • PDF     (1.3 MB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:24 de fevereiro de 2025
ID do documento:221618

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como atualizar o ASA para implantações de failover para Secure Firewall 1000, 2100 no modo de dispositivo e Secure Firewall 3100/4200.

    Pré-requisitos

    Requisitos

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Cisco Secure Firewall Threat Defense (FTD).
    • Configuração do Cisco Adaptive Security Appliance (ASA).

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software:

    • Software Cisco Adaptive Security Appliance Versão 9.14(4)
    • Software Cisco Adaptive Security Appliance Versão 9.16(4)

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Verificar os pré-requisitos

    Etapa 1. Execute o comando show fxos mode para verificar se o dispositivo está no modo de dispositivo.

    note-icon

    Note: Para o Secure Firewall 21XX na versão 9.13 e anterior, o suporta apenas o modo de plataforma. Na versão 9.14 e posterior, o modo do equipamento é o padrão.

    ciscoasa# show fxos mode 
    Mode is currently set to appliance

    Etapa 2. Verificar a compatibilidade.

    Consulte o documento de compatibilidade do Cisco Secure Firewall ASA para verificar a compatibilidade entre a plataforma de hardware FTD e o software Secure Firewall ASA. Consulte 

    Compatibilidade com o Cisco Secure Firewall ASA

    Etapa 3. Faça o download do pacote de atualização do Cisco Software Central.

    note-icon

    Note: Para o Secure Firewall 1000/2100 e o Secure Firewall 3100/4200, não é possível instalar o ASA ou o FXOS separadamente; ambas as imagens fazem parte de um pacote.

    Consulte o título vinculado para saber a versão do ASA e do FXOS que fazem parte do pacote. Consulte Secure Firewall 1000/2100 e 3100/4200 ASA e versões do pacote FXOS .

    Atualizar usando CLI

    Etapa 1. Redefinir a imagem do ASDM.

    Conecte-se à unidade primária no modo de configuração global e execute os comandos:

    ciscoasa(config)# asdm image disk0:/asdm.bin
ciscoasa(config)# exit
ciscoasa# copy running-config startup-config

Source filename [running-config]? 
Cryptochecksum: 6beb01d1 b7a3c30f 5e8eb557 a8ebb8ca 

12067 bytes copied in 3.780 secs (4022 bytes/sec)

    Etapa 2. Carregue a imagem do software na unidade primária.

    note-icon

    Note: Neste documento, você está usando um servidor FTP, mas pode usar TFTP, HTTP ou outros tipos de servidor.

    ciscoasa# copy  ftp://calo:calo@10.88.7.12/cisco-asa-fp2k.9.16.4.SPA disk0:/cisco-asa-fp2k.9.16.4.SPA

Address or name of remote host [10.88.7.12]? 

Source username [calo]? 

Source password []? ****

Source filename [cisco-asa-fp2k.9.16.4.SPA]? 

Destination filename [cisco-asa-fp2k.9.16.4.SPA]? 

Accessing  ftp:/calo:@10.88.7.12/cisco-asa-fp2k.9.16.4.SPA...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/cisco-asa-fp2k.9.16.4.SPA...

Writing file disk0:/cisco-asa-fp2k.9.16.4.SPA...

474475840 bytes copied in 843.230 secs (562842 bytes/sec)

    Etapa 3. Carregue a imagem do software na unidade secundária.

    Execute o comando na unidade primária.

    ciscoasa# failover exec mate copy /noconfirm ftp://calo:calo@10.88.7.12/cisco-asa-fp2k.9.16.4.SPA disk0:/cisco-asa-fp2k.9.16.4.SPA

Accessing ftp://calo :@10.88.7.12/cisco-asa-fp2k.9.16.4.SPA...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/cisco-asa-fp2k.9.16.4.SPA...

Writing file disk0:/cisco-asa-fp2k.9.16.4.SPA...

474475840 bytes copied in 843.230 secs (562842 bytes/sec)

    Etapa 4.Verifique se você tem uma imagem de inicialização atual configurada com o show running-config boot system comando.

    note-icon

    Note: Você não pode ter configurado um sistema de inicialização.

    ciscoasa(config)# show running-config boot system
boot system disk0:/cisco-asa-fp2k.9.14.4.SPA

    Etapa 5 (opcional). Caso tenha uma imagem de inicialização configurada, você deve removê-la.

    no boot system diskn:/asa_image_name

    Exemplo:

    ciscoasa(config)# no boot system disk0:/cisco-asa-fp2k.9.14.4.SPA

    Etapa 6. Selecione a imagem a ser inicializada.

    ciscoasa(config)# boot system disk0:/cisco-asa-fp2k.9.16.4.SPA 

The system is currently installed with security software package 9.14.4, which has:
   - The platform version:  2.8.1.172
   - The CSP (asa) version: 9.14.4
Preparing new image for install...
!!!!!!!!!!!!
Image download complete (Successful unpack the image).
Installation of version 9.16.4 will do the following:
   - upgrade to the new platform version 2.10.1.217
   - upgrade to the CSP ASA version 9.16.4
After installation is complete, ensure to do write memory and reload to save this config and apply the new image.
Finalizing image install process...

Install_status: ready............................
Install_status: validating-images....
Install_status: upgrading-npu
Install_status: upgrading-system.
Install_status: update-software-pack-completed

    Etapa 7. Salve a configuração com o comando copy running-config startup-config.

    Etapa 8. Recarregue a unidade secundária para instalar a nova versão.

    ciscoasa(config)# failover reload-standby

    Espere até que a unidade secundária seja carregada.

    Etapa 9. Quando a unidade standby for recarregada, mude a unidade primária do estado ativo para o estado standby.

    ciscoasa# no failover active

    Etapa 10. Recarregue a nova unidade standby para instalar a nova versão. Você deve se conectar à nova unidade ativa.

    ciscoasa(config)# failover reload-standby

    Quando a nova unidade em standby for carregada, a atualização estará concluída.

    Atualizar Usando o ASDM

    Etapa 1. Conectar à unidade secundária com o ASDM.

    Connect to Secondary Unit with ASDM

    Etapa 2. Navegue até Tools > Upgrade Software from Local Computer

    Navigate to Tools and Upgrade Software from Local Computer

    Etapa 3. Selecione ASA na lista suspensa.

    Select ASA from Drop-down List

    Etapa 4. Na janela Upgrade Software, clique em Browse Local Files para carregar a imagem do software para a unidade secundária.

    note-icon

    Note: Por padrão, o Caminho do Sistema de Arquivos Flash é disk0; para alterá-lo, clique em Browse Flash e selecione o novo caminho.

    Click Browse Local Files

    Clique em Upload Image.

    Click Upload Image

    Quando o upload da imagem estiver concluído, clique em Não.

    Once Image Upload is Finished, Click No

    Etapa 5. Redefinir a imagem do ASDM.

    Conecte-se à unidade primária com o ASDM e navegue para Configuration > Device Management > System Image/Configuration > Boot Image/Configuration

    Em Caminho do Arquivo de Imagem ASDM, digite o valor disk0:/asdm.bin e Apply.

    Configure ASDM Filepath

    Etapa 6. Carregue a imagem do software na unidade primária.

    Clique em Browse Local Files e selecione o pacote de atualização em seu dispositivo.

    Clique em Upload Image.

    Under Upgrade Software, Click Upload Image

    Quando o upload da imagem estiver concluído, clique em Sim.

    Once Image Upload is Finished, Click Yes

    Nas janelas de visualização, clique no botão Send para salvar a configuração.

    Click Send Button to Save Configuration

    Etapa 7.Clique em Save para salvar a configuração.

    Click Save to Save Configuration

    Etapa 8. Recarregue a unidade secundária para instalar a nova versão.

    Navegue para Monitoramento > Propriedades > Failover > Status e clique em Recarregar Standby.

    Reload Secondary Unit to Install the New Version

    Aguarde até que a unidade em standby seja carregada.

    Etapa 9. Depois que a unidade standby for recarregada, altere a unidade primária de estado ativo para estado standby.

    Navegue para Monitoramento > Propriedades > Failover > Status e clique em Tornar em espera.

    note-icon

    Note: O ASMD se conecta automaticamente à nova unidade ativa.

    Once the Standby Unit is Loaded, Change the Primary Unit

    Etapa 10. Recarregue a nova unidade standby para instalar a nova versão.

    Navegue para Monitoramento > Propriedades > Failover > Status e clique em Recarregar Standby.

    Reload the New Standby Unit to Install the New Version

    Quando a nova unidade em standby for carregada, a atualização estará concluída.

    Verificar

    Para validar que o upgrade foi concluído em ambas as unidades, verifique o upgrade via CLI e ASDM.

    Usando a CLI

    ciscoasa# show failover 
    Failover On 
    Failover unit Primary
    Failover LAN Interface: folink Ethernet1/1 (up)
    Reconnect timeout 0:00:00
    Unit Poll frequency 1 seconds, holdtime 15 seconds
    Interface Poll frequency 5 seconds, holdtime 25 seconds
    Interface Policy 1
    Monitored Interfaces 1 of 1292 maximum
    MAC Address Move Notification Interval not set
    Version: Ours 9.16(4), Mate 9.16(4)
    Serial Number: Ours JAD25430R73, Mate JAD25430RCG
    Last Failover at: 22:45:48 UTC Jan 31 2024
    This host: Primary - Active 
    Active time: 45 (sec)
    slot 0: FPR-2120 hw/sw rev (1.5/9.16(4)) status (Up Sys)
    Interface management (10.88.15.58): Normal (Monitored)
    Other host: Secondary - Standby Ready 
    Active time: 909 (sec)
    slot 0: FPR-2120 hw/sw rev (1.5/9.16(4)) status (Up Sys)
    Interface management (10.88.15.59): Normal (Monitored)

    Stateful Failover Logical Update Statistics
    Link : folink Ethernet1/1 (up)
    Stateful Obj xmit xerr rcv rerr 
    General 27 0 29 0 
    sys cmd 27 0 27 0 
    up time 0 0 0 0 
    RPC services 0 0 0 0 
    TCP conn 0 0 0 0 
    UDP conn 0 0 0 0 
    ARP tbl 0 0 1 0 
    Xlate_Timeout 0 0 0 0 
    IPv6 ND tbl 0 0 0 0 
    VPN IKEv1 SA 0 0 0 0 
    VPN IKEv1 P2 0 0 0 0 
    VPN IKEv2 SA 0 0 0 0 
    VPN IKEv2 P2 0 0 0 0 
    VPN CTCP upd 0 0 0 0 
    VPN SDI upd 0 0 0 0 
    VPN DHCP upd 0 0 0 0 
    SIP Session 0 0 0 0 
    SIP Tx 0 0 0 0 
    SIP Pinhole 0 0 0 0 
    Route Session 0 0 0 0 
    Router ID 0 0 0 0 
    User-Identity 0 0 1 0 
    CTS SGTNAME 0 0 0 0 
    CTS PAC 0 0 0 0 
    TrustSec-SXP 0 0 0 0 
    IPv6 Route 0 0 0 0 
    STS Table 0 0 0 0 
    Umbrella Device-ID 0 0 0 0

    Logical Update Queue Information
    Cur Max Total
    Recv Q: 0 10 160
    Xmit Q: 0 1 53

    Via ASDM

    Navegue até Monitoring > Properties > Failover > Status. Você pode ver a versão do ASA para ambos os dispositivos.

    Monitoring Status

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    24-Feb-2025
    Texto Alt adicionado. Formatação atualizada.
    1.0
    02-Feb-2024
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Alexis Armando Rivera Garcia
      Engenheiro de consultoria técnica de segurança da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos