PIX/ASA: пример настройки обновления образа программного обеспечения с помощью ASDM или интерфейса командной строки

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Сопутствующие продукты
      Условные обозначения
Обновление образа программного обеспечения с помощью ASDM
Обновление образа ASDM с помощью ASDM
Обновление образа программного обеспечения и образа ASDM с помощью интерфейса командной строки
Проверка
Устранение неполадок
Дополнительные сведения

---

Введение

В данном документе описывается обновление образа программного обеспечения на устройствах защиты серии Cisco ASA 5500 с помощью Cisco Adaptive Security Device Manager (ASDM).

ASDM не работает, если программное обеспечение для устройств защиты с версии 7.0 до 7.2 обновляется (или понижается) напрямую или программное обеспечение ASDM с версии 5.0 до 5.2 обновляется (или понижается) напрямую. Переход с одной версии на другую необходимо выполнять последовательно.

Пример. Чтобы программное обеспечение ASDM обновить с версии 5.0 до 5.2, сначала необходимо с 5.0 обновить до 5.1, а затем с 5.1 — до 5.2. Аналогично для устройства защиты, сначала выполняется обновление с 7.0 до 7.1, а затем с 7.1 до 7.2.

Примечание: Чтобы обновить или понизить версию 7.1.(x) до 7.2(x) и наоборот, сначала необходимо выполнить данную процедуру, так как старые версии образов устройств защиты не распознают новые образы ASDM, а новые образы устройств защиты не распознают старые образы ASDM. Дополнительную информацию о процедурах обновления см. в разделе Обновление до новой версии ПО документа Заметки о выпуске Cisco PIX Security Appliance 7.2(2).

Примечание: Версию программного обеспечения устройства ASA 5550 нельзя понизить до версии ниже 7.1(2). Аналогично, версию программного обеспечения устройства ASA 5505 нельзя понизить до версии ниже 7.2. Дополнительные сведения см. в документе Совместимость аппаратного и программного обеспечения Cisco ASA 5500 Series и PIX 500 Series Security Appliance.

Примечание: В режиме Multicontext команду copy tftp flash нельзя использовать для обновления или понижения версии образа PIX/ASA во всех контекстах; это поддерживается только в режиме System Exec.

Предварительные условия

Требования

Для данного документа нет особых требований.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

• Cisco ASA 5500 7.0 или более поздней версии

• Cisco ASDM 5.0 и более поздней версии

Сведения в этом документе были получены в результате тестирования приборов в специфической лабораторной среде. Все устройства, используемые в этом документе, запускались с чистой конфигурацией (конфигурацией по умолчанию). Если сеть работает в реальных условиях, убедитесь в понимании потенциального воздействия каждой команды.

Сопутствующие продукты

Эта конфигурация также может использоваться вместе с программным обеспечением Cisco PIX 500 Series Security Appliance версии 7.0 или выше.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в статье Cisco Technical Tips Conventions (Условные обозначения, используемые в технической документации Cisco).

Обновление образа программного обеспечения с помощью ASDM

Выполните следующие действия, чтобы обновить образ программного обеспечения на устройстве ASA 5500 с помощью ASDM.

1. Выберите Tools (Инструменты) > Upgrade Software... (Обновить ПО) в окне Home (Домашний) приложения ASDM.

   

2. Выберите тип передаваемого образа из раскрывающегося списка.

   

3. Нажмите кнопку Browse Local... (Локальный обзор) или введите путь в поле "Local File Path" (Путь к локальному файлу), чтобы указать расположение образа программного обеспечения на ПК.

4. Нажмите кнопку Browse Flash... (Обзор флеш-памяти).

   Открывается диалоговое окно "Browse Flash" (Обзор флеш-памяти) с автоматически введенным именем файла. Если имя файла не появляется, введите его вручную в поле "File Name" (Имя файла). По окончании нажмите кнопку ОК.

   

5. После указания имен локального и удаленного файлов, нажмите кнопку Upload Image (Загрузить образ).

   

   Пока приложение ASDM записывает образ во флеш-память, отображается окно "Status (Состояние)".

   

   После завершения открывается окно "Information (Информация)", в котором сообщается об успешной передаче.

   

6. Нажмите кнопку ОК в окне "Information", а затем — кнопку Закрыть в окне "Upload Image from Local PC (Загрузка образа из локального ПК)".

7. Выберите Configuration (Конфигурация) > Properties (Свойства) > Device (Устройство) Administration (Администрирование) > Boot Image/Configuration (Образ загрузки/Конфигурация) > Edit (Изменить), чтобы изменить расположение образа загрузки.

   

   Нажмите кнопку Browse Flash (Обзор флеш-памяти), чтобы выбрать или указать файл образа ASA. Затем нажмите кнопку ОК.

   

8. Выберите File (Файл) > Save Running Configuration to (Сохранить текущую конфигурацию в) Flash (Флеш-память), чтобы сохранить конфигурацию в флеш-памяти.

   

9. Выберите Tools (Инструменты) > System Reload (Перезагрузка системы) в окне "Home (Домашний)", чтобы перезагрузить устройство.

   

10. Открывается новое окно с предложением проверки данных о перезагрузке. Установите флажок Save the running configuration at the time of reload (Сохранить текущую конфигурацию во время перезагрузки), а затем выберите время перезагрузки.

    • Now (Сейчас) — немедленная перезагрузка устройства.

    • Delay By (Отложить на) — указывается, через сколько минут или часов после текущего момента перезагрузится данное устройство.

    • Schedule at (Запланировать в) — указывается время и дата перезагрузки данного устройства.

    Можно также указать, должна ли быть выполнена немедленная принудительная перезагрузка устройства в случае сбоя запланированной перезагрузки. Установите флажок On Reload failure, force an immediate reload after (При сбое перезагрузки немедленно перезагрузить принудительно через), а затем укажите максимальное время задержки. Это промежуток времени перед завершением работы или перезагрузкой, в течение которого устройство защиты ожидает, чтобы оповестить другие подсистемы. По истечении данного промежутка выполняется быстрое (принудительное) завершение работы/перезагрузка.

    

11. В процессе перезагрузки отображается окно "Reload Status (Состояние перезагрузки)", в котором сообщается о выполнении перезагрузки. Также предоставляется возможность завершения работы ASDM.

    Примечание: После перезагрузки ASA снова запустите ASDM.

    

Обновление образа ASDM с помощью ASDM

Выполните следующие действия, чтобы обновить образ ASDM на устройстве ASA 5500 с помощью ASDM.

1. Выберите Tools (Инструменты) > Upgrade Software... (Обновить ПО) в окне Home (Домашний) приложения ASDM.

   

2. Выберите тип передаваемого образа из раскрывающегося списка.

   

3. Нажмите кнопку Browse Local... (Локальный обзор) или введите путь в поле "Local File Path" (Путь к локальному файлу), чтобы указать расположение образа ASDM на ПК.

4. Нажмите кнопку Browse Flash... (Обзор флеш-памяти).

   Открывается диалоговое окно "Browse Flash" (Обзор флеш-памяти) с автоматически введенным именем файла. Если имя файла не появляется, введите его вручную в поле "File Name" (Имя файла). По окончании нажмите кнопку ОК.

   

5. После указания имен локального и удаленного файлов, нажмите кнопку Upload Image (Загрузить образ).

   

   Пока приложение ASDM записывает образ во флеш-память, отображается окно "Status (Состояние)".

   

   После завершения открывается окно "Information (Информация)", в котором сообщается об успешной передаче.

   

6. Нажмите кнопку ОК в окне "Information", а затем — кнопку Закрыть в окне "Upload Image from Local PC (Загрузка образа из локального ПК)".

7. Выберите Configuration > Properties > Device Administration > Boot Image/Configuration > Edit (Конфигурация > Свойства > Администрирование устройств > Образ загрузки/Конфигурация > Изменить) , чтобы изменить имя файла образа ASDM в конфигурации.

   

   Нажмите кнопку Browse Flash (Обзор флеш-памяти), чтобы выбрать или указать файл образа ASDM. Затем нажмите кнопку ОК.

   

8. Выберите File (Файл) > Save Running Configuration to (Сохранить текущую конфигурацию в) Flash (Флеш-память), чтобы сохранить конфигурацию в флеш-памяти.

   

9. Выберите Tools (Инструменты) > System Reload (Перезагрузка системы) в окне "Home (Домашний)", чтобы перезагрузить устройство.

   

10. Открывается новое окно с предложением проверки данных о перезагрузке. Установите флажок Save the running configuration at the time of reload (Сохранить текущую конфигурацию во время перезагрузки), а затем выберите время перезагрузки.

    • Now (Сейчас) — немедленная перезагрузка устройства.

    • Delay By (Отложить на) — указывается, через сколько минут или часов после текущего момента перезагрузится данное устройство.

    • Schedule at (Запланировать в) — указывается время и дата перезагрузки данного устройства.

    Можно также указать, должна ли быть выполнена немедленная принудительная перезагрузка устройства в случае сбоя запланированной перезагрузки. Установите флажок On Reload failure, force an immediate reload after (При сбое перезагрузки немедленно перезагрузить принудительно через), а затем укажите максимальное время задержки. Это промежуток времени перед завершением работы или перезагрузкой, в течение которого устройство защиты ожидает, чтобы оповестить другие подсистемы. По истечении данного промежутка выполняется быстрое (принудительное) завершение работы/перезагрузка.

    

11. В процессе перезагрузки отображается окно "Reload Status (Состояние перезагрузки)", в котором сообщается о выполнении перезагрузки. Также предоставляется возможность завершения работы ASDM.

    Примечание: После перезагрузки ASA снова запустите ASDM.

    

Обновление образа программного обеспечения и образа ASDM с помощью интерфейса командной строки

Для TFTP-сервера требуется обновить или понизить версию образа программного обеспечения, а также образа ASDM для PIX/ASA. Дополнительную информацию о выборе TFTP-сервера см. в документе Выбор и использование TFTP-сервера.

Команда copy tftp flash позволяет загружать образ программного обеспечения во флеш-память брандмауэра по протоколу TFTP. Команду copy tftp flash можно использовать с любой моделью устройства защиты. Загружаемый образ становится доступным устройству защиты после следующей перезагрузки.

Ниже предоставляются выходные данные команды copy tftp flash .

copy tftp[:[[//location] [/tftp_pathname]]] [[flash/disk0][:[image | asdm]]]

Примечание: Для ASA ключевое слово disk0 заменяет flash в команде copy .

Если данная команда используется без необязательных параметров расположения или имени пути, тогда расположение и имя файла запрашиваются у пользователя интерактивно с помощью серии вопросов, аналогичных предлагаемым программным обеспечением Cisco IOS®. Если ввести только двоеточие, параметры берутся из команды tftp-server . Если указываются дополнительные параметры, тогда эти значения используются вместо соответствующих параметров команды tftp-server . Если указаны какие-либо из необязательных параметров (после двоеточия), данная команда выполнятся без обращения к пользователю за вводом данных.

Расположение — это IP-адрес или имя, которое разрешается в IP-адрес с помощью механизма разрешения имен устройства защиты, представляющих собой текущие статические сопоставления, реализованные командами name и names . Устройству защиты должно быть известно, как достичь указанного расположения с помощью данных таблицы маршрутизации. Эта информация определяется по IP-адресу с помощью команды routeили RIP . Она зависит от используемой конфигурации.

Помимо последнего компонента пути к файлу на сервере, имя пути может включать любые имена каталогов. Имя пути не может содержать пробелы. Если имя каталога с пробелами задано каталогу на TFTP-сервере вместо команды copy tftp flash, и если TFTP-сервер настроен на каталог в системе, из которой загружается образ, необходимо использовать только IP-адрес системы и имя файла образа. TFTP-сервер принимает данную команду и определяет действительное положение файла на основе информации о своем корневом каталоге. Затем сервер загружает TFTP-образ в устройство защиты.

Следующие команды нужны, чтобы обновить образ программного обеспечения, а также образ ASDM, и сделать его загрузочным образом при следующей загрузке.

ASA#copy tftp [[flash:/disk0:][имя образа ПО/имя образа ASDM]]
!--- Command to set an image as bootup or specify the !--- ASDM image file. 

ASA(config)#boot system [flash:/disk0:]/[имя образа ПО]
!--- Save active configuration to the Flash.

ASA#write memory
!--- Reboot the security appliance and load !--- with the new boot image as per the configuration file.

ASA#reload

Пример:

ASA5510#copy tftp disk0:

Address or name of remote host []? 172.16.31.1
Source filename []? asa722-k8.bin
Destination filename [asa722-k8.bin]?
Accessing tftp://172.16.31.1/asa722-k8.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asa722-k8.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
8312832 bytes copied in 163.350 secs (50998 bytes/sec)

ASA5510#show disk0:
-#- --length-- -----date/time------ path
  6 5124096    Jan 01 2003 00:06:22 asa702-k8.bin
  7 5623108    Feb 12 2007 00:23:48 asdm-522.bin
 10 5539756    Feb 12 2007 00:14:18 asdm-521.bin
 11 8294400    Dec 07 2006 05:47:20 asa721-24-k8.bin
 12 6002680    Dec 21 2006 03:58:30 asdm-52034.bin
 13 8312832    Feb 12 2007 22:46:30 asa722-k8.bin

23949312 bytes available (38932480 bytes used)
!--- Command to set "asa722-k8.bin" as the boot image.

ASA5510(config)# boot system disk0:/asa722-k8.bin
!--- Command to set "asdm-522.bin" as the ASDM image.

ASA5510(config)# asdm image disk0:/asdm-522.bin
ASA5510# write memory
ASA5510# reload

Проверка

С помощью этого раздела проверьте успешность обновления программного обеспечения.

Интерпретатор выходных данных (registered customers only) (средство OIT) поддерживает некоторые команды show . Используйте средство OIT для анализа выходных данных команды show .

После перезагрузки устройства ASA и успешного повторного входа в ASDM можно проверить версию образа, используемого на данном устройстве. Данную информацию см. на вкладке "General (Общие)" окна "Home (Домашний)".

Устранение неполадок

Для этой конфигурации отсутствуют сведения об устранении неполадок.

Дополнительные сведения

• Руководство по настройке загрузки программного обеспечения или файлов конфигурации во флеш-память устройств защиты Cisco из командной строки
• Служба технической поддержки адаптивных устройств защиты Cisco серии ASA 5500
• Служба технической поддержки Cisco Adaptive Security Device Manager
• Программное обеспечение брандмауэра Cisco PIX
• Справочники по командам брандмауэра Cisco Secure PIX
• Уведомления о дефектах продуктов безопасности (включая PIX) для специалистов
• Выбор и использование TFTP-сервера
• Резервное копирование и восстановление файлов конфигурации PIX
• Документы RFC
• Cisco Systems — техническая поддержка и документация