ASA/PIX：如何使用CLI在故障切换对上升级软件镜像

简介

本文档介绍如何使用CLI升级Cisco ASA 5500系列自适应安全设备故障转移对上的软件映像。

注意：如果直接将安全设备软件从7.0升级（或降级）到7.2，或者直接将ASDM软件从5.0升级（或降级）到5.2,Adaptive Security Device Manager(ASDM)将不起作用。您必须按增量顺序升级（或降级）。

有关如何在ASA上升级ASDM和软件映像的详细信息，请参阅PIX/ASA:使用ASDM或CLI升级软件镜像配置示例

注意：在多情景模式下，不能使用copy tftp flash命令升级或降级PIX/ASA映像在所有情景中；仅在 System Exec 模式下支持此操作。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 7.0及更高版本的思科自适应安全设备(ASA)

• Cisco ASDM 5.0版及更高版本

注意：有关如何允许ASDM配置ASA的信息，请参阅允许ASDM的HTTPS访问。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

相关产品

此配置还可与 Cisco PIX 500 系列安全设备软件版本 7.0 及更高版本配合使用。

规则

关于文件规则的信息，请参见Cisco技术提示规则。

配置

对故障切换对执行零停机时间升级

故障切换配置中的两台设备应具有相同的主要（第一个数字）和次要（第二个数字）软件版本。但是，在升级过程中，您不需要在设备上维护版本奇偶校验；您可以在每台设备上运行的软件上使用不同的版本，同时仍保持故障切换支持。为确保长期兼容性和稳定性，思科建议您尽快将两台设备升级到同一版本。

有3种升级类型可供选择。这些关键字如下：

1. 维护版本 — 您可以从任何维护版本升级到次要版本中的任何其他维护版本。例如，您可以从7.0(1)升级到7.0(4)，而无需在中间安装维护版本。

2. 次要版本 — 您可以从次要版本升级到下一个次要版本。您不能跳过次要版本。例如，您可以从7.0升级到7.1。零停机时间升级不支持直接从7.0升级到7.2;您必须首先升级到7.1

3. Major Release — 您可以将上一个版本的最后一个次要版本升级到下一个主要版本。例如，可以从7.9升级到8.0，假设7.9是7.x版本中的最后一个次要版本。

升级主用/备用故障切换配置

要升级主用/备用故障切换配置中的两台设备，请完成以下这些步骤：

1. 将新软件下载到两台设备，并使用boot system命令指定要加载的新映像。

   有关详细信息，请参阅使用CLI升级软件映像和ASDM映像。

2. 通过在主用设备上输入failover reload-standby命令，重新加载备用设备以启动新映像，如下所示：

   active#failover reload-standby
   

3. 当备用单元完成重新加载并处于“备用就绪”状态时，通过在主用单元上输入no failover active命令强制主用单元故障切换到备用单元。

   active#no failover active
   

   注意：使用show failover命令验证备用设备是否处于Standby Ready状态。

4. 通过输入reload命令重新加载以前的主用设备（现在为新的备用设备）：

   newstandby#reload
   

5. 当新的备用单元完成重新加载并处于“备用就绪”状态时，输入failover active命令将原始主用单元返回到主用状态：

   newstandby#failover active
   

升级主用/备用故障切换对的过程到此结束。

升级主用/主用故障切换配置

要升级主用/主用故障切换配置中的两台设备，请完成以下这些步骤：

1. 将新软件下载到两台设备，并使用boot system命令指定要加载的新映像。

   有关详细信息，请参阅使用CLI升级软件映像和ASDM映像。

2. 在主设备的系统执行空间中输入failover active命令，使两个故障切换组在主设备上处于活动状态：

   primary#failover active
   

3. 通过在主设备的系统执行空间中输入failover reload-standby命令，重新加载辅助设备以引导新映像：

   primary#failover reload-standby
   

4. 当辅助设备已完成重新加载，并且两个故障切换组在该设备上均处于“备用就绪”状态时，请在主设备的系统执行空间中使用no failover active命令使两个故障切换组在辅助设备上均处于活动状态：

   primary#no failover active
   

   注意：使用show failover命令验证辅助设备上两个故障切换组均处于Standby Ready状态。

5. 确保两个故障转移组在主设备上均处于Standby Ready状态，然后使用reload命令重新加载主设备：

   primary#reload
   

6. 如果使用preempt命令配置故障转移组，在抢占延迟过后，故障转移组将自动在其指定设备上变为主用状态。如果未使用preempt命令配置故障切换组，则可以使用failover active group命令在指定设备上将其恢复为活动状态。

故障排除

%ASA-5-720012:（VPN辅助）无法更新备用设备（或）%ASA-6-720012上的IPSec故障转移运行时数据：（VPN单元）无法更新备用单元上的IPsec故障转移运行时数据

问题

当您尝试升级思科自适应安全设备 (ASA) 时，会显示以下错误消息之一：

%ASA-5-720012:（VPN辅助）无法更新备用设备上的IPSec故障转移运行时数据。

%ASA-6-720012:（VPN单元）无法更新备用单元上的IPsec故障转移运行时数据。

解决方案

这些错误消息是告知性错误。这些消息不影响 ASA 或 VPN 的功能。

当由于备用装置上的对应 IPsec 隧道已删除，而导致 VPN 故障切换子系统无法更新与 IPsec 相关的运行时数据时，会显示这些消息。要解决这些问题，请在主用设备上运行wr standby命令。

为解决此行为，已提交两个Bug;您可以升级到已修复这些Bug的ASA软件版本。有关详细信息，请参阅 Cisco Bug ID CSCtj58420 （仅限注册用户）和 CSCtn56517 （仅限注册用户）。

相关信息

• Cisco ASA 5500 系列自适应安全设备
• Cisco 自适应安全设备管理器
• 请求注解 (RFC)
• 技术支持和文档 - Cisco Systems