Introdução
Este documento descreve como atualizar o ASA para implantações de failover para Secure Firewall 1000, 2100 no modo de dispositivo e Secure Firewall 3100/4200.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Cisco Secure Firewall Threat Defense (FTD).
- Configuração do Cisco Adaptive Security Appliance (ASA).
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software:
- Software Cisco Adaptive Security Appliance Versão 9.14(4)
- Software Cisco Adaptive Security Appliance Versão 9.16(4)
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurar
Verificar os pré-requisitos
Etapa 1. Execute o comando show fxos mode para verificar se o dispositivo está no modo de dispositivo.
Note: Para o Secure Firewall 21XX na versão 9.13 e anterior, o suporta apenas o modo de plataforma. Na versão 9.14 e posterior, o modo do equipamento é o padrão.
ciscoasa# show fxos mode
Mode is currently set to appliance
Etapa 2. Verificar a compatibilidade.
Consulte o documento de compatibilidade do Cisco Secure Firewall ASA para verificar a compatibilidade entre a plataforma de hardware FTD e o software Secure Firewall ASA. Consulte
Compatibilidade com o Cisco Secure Firewall ASA
Etapa 3. Faça o download do pacote de atualização do Cisco Software Central.
Note: Para o Secure Firewall 1000/2100 e o Secure Firewall 3100/4200, não é possível instalar o ASA ou o FXOS separadamente; ambas as imagens fazem parte de um pacote.
Consulte o título vinculado para saber a versão do ASA e do FXOS que fazem parte do pacote. Consulte Secure Firewall 1000/2100 e 3100/4200 ASA e versões do pacote FXOS .
Atualizar usando CLI
Etapa 1. Redefinir a imagem do ASDM.
Conecte-se à unidade primária no modo de configuração global e execute os comandos:
ciscoasa(config)# asdm image disk0:/asdm.bin
ciscoasa(config)# exit
ciscoasa# copy running-config startup-config
Source filename [running-config]?
Cryptochecksum: 6beb01d1 b7a3c30f 5e8eb557 a8ebb8ca
12067 bytes copied in 3.780 secs (4022 bytes/sec)
Etapa 2. Carregue a imagem do software na unidade primária.
Note: Neste documento, você está usando um servidor FTP, mas pode usar TFTP, HTTP ou outros tipos de servidor.
ciscoasa# copy ftp://calo:calo@10.88.7.12/cisco-asa-fp2k.9.16.4.SPA disk0:/cisco-asa-fp2k.9.16.4.SPA
Address or name of remote host [10.88.7.12]?
Source username [calo]?
Source password []? ****
Source filename [cisco-asa-fp2k.9.16.4.SPA]?
Destination filename [cisco-asa-fp2k.9.16.4.SPA]?
Accessing ftp:/calo:@10.88.7.12/cisco-asa-fp2k.9.16.4.SPA...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/cisco-asa-fp2k.9.16.4.SPA...
Writing file disk0:/cisco-asa-fp2k.9.16.4.SPA...
474475840 bytes copied in 843.230 secs (562842 bytes/sec)
Etapa 3. Carregue a imagem do software na unidade secundária.
Execute o comando na unidade primária.
ciscoasa# failover exec mate copy /noconfirm ftp://calo:calo@10.88.7.12/cisco-asa-fp2k.9.16.4.SPA disk0:/cisco-asa-fp2k.9.16.4.SPA
Accessing ftp://calo :@10.88.7.12/cisco-asa-fp2k.9.16.4.SPA...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Verifying file disk0:/cisco-asa-fp2k.9.16.4.SPA...
Writing file disk0:/cisco-asa-fp2k.9.16.4.SPA...
474475840 bytes copied in 843.230 secs (562842 bytes/sec)
Etapa 4.Verifique se você tem uma imagem de inicialização atual configurada com o show running-config boot system
comando.
Note: Você não pode ter configurado um sistema de inicialização.
ciscoasa(config)# show running-config boot system
boot system disk0:/cisco-asa-fp2k.9.14.4.SPA
Etapa 5 (opcional). Caso tenha uma imagem de inicialização configurada, você deve removê-la.
no boot system diskn:/asa_image_name
Exemplo:
ciscoasa(config)# no boot system disk0:/cisco-asa-fp2k.9.14.4.SPA
Etapa 6. Selecione a imagem a ser inicializada.
ciscoasa(config)# boot system disk0:/cisco-asa-fp2k.9.16.4.SPA
The system is currently installed with security software package 9.14.4, which has:
- The platform version: 2.8.1.172
- The CSP (asa) version: 9.14.4
Preparing new image for install...
!!!!!!!!!!!!
Image download complete (Successful unpack the image).
Installation of version 9.16.4 will do the following:
- upgrade to the new platform version 2.10.1.217
- upgrade to the CSP ASA version 9.16.4
After installation is complete, ensure to do write memory and reload to save this config and apply the new image.
Finalizing image install process...
Install_status: ready............................
Install_status: validating-images....
Install_status: upgrading-npu
Install_status: upgrading-system.
Install_status: update-software-pack-completed
Etapa 7. Salve a configuração com o comando copy running-config startup-config.
Etapa 8. Recarregue a unidade secundária para instalar a nova versão.
ciscoasa(config)# failover reload-standby
Espere até que a unidade secundária seja carregada.
Etapa 9. Quando a unidade standby for recarregada, mude a unidade primária do estado ativo para o estado standby.
ciscoasa# no failover active
Etapa 10. Recarregue a nova unidade standby para instalar a nova versão. Você deve se conectar à nova unidade ativa.
ciscoasa(config)# failover reload-standby
Quando a nova unidade em standby for carregada, a atualização estará concluída.
Atualizar Usando o ASDM
Etapa 1. Conectar à unidade secundária com o ASDM.

Etapa 2. Navegue até > .

Etapa 3. Selecione ASA na lista suspensa.

Etapa 4. Na janela Upgrade Software, clique em Browse Local Files para carregar a imagem do software para a unidade secundária.
Note: Por padrão, o Caminho do Sistema de Arquivos Flash é disk0; para alterá-lo, clique em Browse Flash e selecione o novo caminho.

Clique em Upload Image.

Quando o upload da imagem estiver concluído, clique em Não.

Etapa 5. Redefinir a imagem do ASDM.
Conecte-se à unidade primária com o ASDM e navegue para > > > .
Em Caminho do Arquivo de Imagem ASDM, digite o valor disk0:/asdm.bin e Apply.

Etapa 6. Carregue a imagem do software na unidade primária.
Clique em Browse Local Files e selecione o pacote de atualização em seu dispositivo.
Clique em Upload Image.

Quando o upload da imagem estiver concluído, clique em Sim.

Nas janelas de visualização, clique no botão Send para salvar a configuração.

Etapa 7.Clique em Save para salvar a configuração.

Etapa 8. Recarregue a unidade secundária para instalar a nova versão.
Navegue para Monitoramento Failover Status Recarregar Standby

Aguarde até que a unidade em standby seja carregada.
Etapa 9. Depois que a unidade standby for recarregada, altere a unidade primária de estado ativo para estado standby.
Navegue para Monitoramento Failover Status Tornar em espera
Note: O ASMD se conecta automaticamente à nova unidade ativa.

Etapa 10. Recarregue a nova unidade standby para instalar a nova versão.
Navegue para Monitoramento Failover Status Recarregar Standby

Quando a nova unidade em standby for carregada, a atualização estará concluída.
Verificar
Para validar que o upgrade foi concluído em ambas as unidades, verifique o upgrade via CLI e ASDM.
Usando a CLI
ciscoasa# show failover
Failover On
Failover unit Primary
Failover LAN Interface: folink Ethernet1/1 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1292 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.16(4), Mate 9.16(4)
Serial Number: Ours JAD25430R73, Mate JAD25430RCG
Last Failover at: 22:45:48 UTC Jan 31 2024
This host: Primary - Active
Active time: 45 (sec)
slot 0: FPR-2120 hw/sw rev (1.5/9.16(4)) status (Up Sys)
Interface management (10.88.15.58): Normal (Monitored)
Other host: Secondary - Standby Ready
Active time: 909 (sec)
slot 0: FPR-2120 hw/sw rev (1.5/9.16(4)) status (Up Sys)
Interface management (10.88.15.59): Normal (Monitored)
Stateful Failover Logical Update Statistics
Link : folink Ethernet1/1 (up)
Stateful Obj xmit xerr rcv rerr
General 27 0 29 0
sys cmd 27 0 27 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 0 0
UDP conn 0 0 0 0
ARP tbl 0 0 1 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 0 0 0 0
VPN IKEv1 SA 0 0 0 0
VPN IKEv1 P2 0 0 0 0
VPN IKEv2 SA 0 0 0 0
VPN IKEv2 P2 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
SIP Tx 0 0 0 0
SIP Pinhole 0 0 0 0
Route Session 0 0 0 0
Router ID 0 0 0 0
User-Identity 0 0 1 0
CTS SGTNAME 0 0 0 0
CTS PAC 0 0 0 0
TrustSec-SXP 0 0 0 0
IPv6 Route 0 0 0 0
STS Table 0 0 0 0
Umbrella Device-ID 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 10 160
Xmit Q: 0 1 53
Via ASDM
Navegue até > > > .

Informações Relacionadas