本文档介绍如何使用CLI升级Cisco ASA 5500系列自适应安全设备故障转移对上的软件映像。
注意:如果直接将安全设备软件从7.0升级(或降级)到7.2,或者直接将ASDM软件从5.0升级(或降级)到5.2,Adaptive Security Device Manager(ASDM)将不起作用。您必须按增量顺序升级(或降级)。
有关如何在ASA上升级ASDM和软件映像的详细信息,请参阅PIX/ASA:使用ASDM或CLI升级软件镜像配置示例
注意:在多情景模式下,不能使用copy tftp flash命令升级或降级PIX/ASA映像在所有情景中;仅在 System Exec 模式下支持此操作。
本文档没有任何特定的要求。
本文档中的信息基于以下软件和硬件版本:
7.0及更高版本的思科自适应安全设备(ASA)
Cisco ASDM 5.0版及更高版本
注意:有关如何允许ASDM配置ASA的信息,请参阅允许ASDM的HTTPS访问。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
此配置还可与 Cisco PIX 500 系列安全设备软件版本 7.0 及更高版本配合使用。
关于文件规则的信息,请参见Cisco技术提示规则。
故障切换配置中的两台设备应具有相同的主要(第一个数字)和次要(第二个数字)软件版本。但是,在升级过程中,您不需要在设备上维护版本奇偶校验;您可以在每台设备上运行的软件上使用不同的版本,同时仍保持故障切换支持。为确保长期兼容性和稳定性,思科建议您尽快将两台设备升级到同一版本。
有3种升级类型可供选择。这些关键字如下:
维护版本 — 您可以从任何维护版本升级到次要版本中的任何其他维护版本。例如,您可以从7.0(1)升级到7.0(4),而无需在中间安装维护版本。
次要版本 — 您可以从次要版本升级到下一个次要版本。您不能跳过次要版本。例如,您可以从7.0升级到7.1。零停机时间升级不支持直接从7.0升级到7.2;您必须首先升级到7.1
Major Release — 您可以将上一个版本的最后一个次要版本升级到下一个主要版本。例如,可以从7.9升级到8.0,假设7.9是7.x版本中的最后一个次要版本。
要升级主用/备用故障切换配置中的两台设备,请完成以下这些步骤:
将新软件下载到两台设备,并使用boot system命令指定要加载的新映像。
有关详细信息,请参阅使用CLI升级软件映像和ASDM映像。
通过在主用设备上输入failover reload-standby命令,重新加载备用设备以启动新映像,如下所示:
active#failover reload-standby
当备用单元完成重新加载并处于“备用就绪”状态时,通过在主用单元上输入no failover active命令强制主用单元故障切换到备用单元。
active#no failover active
注意:使用show failover命令验证备用设备是否处于Standby Ready状态。
通过输入reload命令重新加载以前的主用设备(现在为新的备用设备):
newstandby#reload
当新的备用单元完成重新加载并处于“备用就绪”状态时,输入failover active命令将原始主用单元返回到主用状态:
newstandby#failover active
升级主用/备用故障切换对的过程到此结束。
要升级主用/主用故障切换配置中的两台设备,请完成以下这些步骤:
将新软件下载到两台设备,并使用boot system命令指定要加载的新映像。
有关详细信息,请参阅使用CLI升级软件映像和ASDM映像。
在主设备的系统执行空间中输入failover active命令,使两个故障切换组在主设备上处于活动状态:
primary#failover active
通过在主设备的系统执行空间中输入failover reload-standby命令,重新加载辅助设备以引导新映像:
primary#failover reload-standby
当辅助设备已完成重新加载,并且两个故障切换组在该设备上均处于“备用就绪”状态时,请在主设备的系统执行空间中使用no failover active命令使两个故障切换组在辅助设备上均处于活动状态:
primary#no failover active
注意:使用show failover命令验证辅助设备上两个故障切换组均处于Standby Ready状态。
确保两个故障转移组在主设备上均处于Standby Ready状态,然后使用reload命令重新加载主设备:
primary#reload
如果使用preempt命令配置故障转移组,在抢占延迟过后,故障转移组将自动在其指定设备上变为主用状态。如果未使用preempt命令配置故障切换组,则可以使用failover active group命令在指定设备上将其恢复为活动状态。
问题
当您尝试升级思科自适应安全设备 (ASA) 时,会显示以下错误消息之一:
%ASA-5-720012:(VPN辅助)无法更新备用设备上的IPSec故障转移运行时数据。
%ASA-6-720012:(VPN单元)无法更新备用单元上的IPsec故障转移运行时数据。
解决方案
这些错误消息是告知性错误。这些消息不影响 ASA 或 VPN 的功能。
当由于备用装置上的对应 IPsec 隧道已删除,而导致 VPN 故障切换子系统无法更新与 IPsec 相关的运行时数据时,会显示这些消息。要解决这些问题,请在主用设备上运行wr standby命令。
为解决此行为,已提交两个Bug;您可以升级到已修复这些Bug的ASA软件版本。有关详细信息,请参阅 Cisco Bug ID CSCtj58420 (仅限注册用户)和 CSCtn56517 (仅限注册用户)。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
16-Mar-2010
|
初始版本 |