FXOS 系统恢复

本节包括排除启动问题和执行密码恢复的程序。

设备模式故障安全

如果设备模式下的 Firepower 1100 或 Firepower 2100 无法启动到 ASA,它将引导至 FXOS 故障保护模式。在此模式下,FXOS 允许最少的配置,以诊断和恢复系统。您可以使用 IP 地址、DNS 和 NTP 配置管理接口,以便您可以下载并安装 ASA 映像。仅可在故障保护模式下配置管理接口。当您登录到 FXOS 时,请使用管理员用户和先前设置的 ASA 启用密码。

Firepower 2100 平台模式始终允许 FXOS 配置机箱功能。

本章中的程序说明设备模式和平台模式差异。

无法登录(密码重置)

如果您无法登录 FXOS (因为您忘记了密码,或者 SSD disk1 文件系统已损坏),您可以使用 ROMMON 将 FXOS 配置恢复为出厂默认设置。默认管理员密码为 Admin123。此过程还会重置 ASA 配置。如果您知道密码,并且想要从 FXOS 中恢复出厂默认配置,请参阅 恢复出厂默认配置

开始之前

您必须具有此程序的控制台访问权限。

过程


步骤 1

连接到控制台端口,然后打开 Firepower 设备电源。当系统提示进入 ROMMON 提示符时,需要在启动期间按 Esc 键。

请密切注意显示器显示的内容。

示例:


*******************************************************************************
Cisco System ROMMON, Version 1.0.06, RELEASE SOFTWARE
Copyright (c) 1994-2018  by Cisco Systems, Inc.
Compiled Thu 04/06/2018 12:16:16.21 by builder
*******************************************************************************

Current image running: Boot ROM0
Last reset cause: ResetRequest
DIMM_1/1 : Present
DIMM_2/1 : Present

Platform FPR-2130 with 32768 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: 0c:75:bd:08:c9:80

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.

此时按 Esc 键。

步骤 2

执行恢复出厂设置。

rommon 2 > factory-reset

 

对于 ROMMON 版本 1.0.04,请使用 password_reset 命令;此命令已在更高版本中更改为 factory-reset 。要验证 ROMMON 版本,请输入 show info

rommon 1 > show info

Cisco System ROMMON, Version 1.0.06, RELEASE SOFTWARE
Copyright (c) 1994-2018  by Cisco Systems, Inc.
Compiled Wed 11/01/2018 18:38:59.66 by builder

系统会多次提示您确认是否要清除配置,然后启动映像。

 

如果系统未提示您启动图像,请输入 boot 命令。

示例:

Firepower 2100 平台模式:


rommon 2 > factory-reset
Warning: All configuration will be permanently lost with this operation
         and application will be initialized to default configuration.
         This operation cannot be undone after booting the application image.
 
         Are you sure you would like to continue ? yes/no [no]: yes
         Please type 'ERASE' to confirm the operation or any other value to cancel: ERASE
 
Performing factory reset...
File size is 0x0000001b
Located .boot_string
Image size 27 inode num 16, bks cnt 1 blk size 8*512
 
Rommon will continue to boot disk0: fxos-k8-fp2k-lfbff.2.3.1.132.SSB
Are you sure you would like to continue ? yes/no [no]: yes
File size is 0x0817a870
Located fxos-k8-fp2k-lfbff.2.3.1.132.SSB

Firepower 1000 或 2100 设备模式:

 

在启动过程中,系统会提示您登录 FXOS 并设置管理员密码;虽然您不会通过登录导致任何损害,但您应继续等待,直到它启动 ASA。您应在 ASA 提示时登录,其中会提示您更改启用密码。这是系统用于 FXOS 登录的启用密码。


rommon 2 > factory-reset
Warning: All configuration will be permanently lost with this operation 
         and application will be initialized to default configuration.
         This operation cannot be undone after booting the application image.
 
         Are you sure you would like to continue ? yes/no [no]: yes
         Please type 'ERASE' to confirm the operation or any other value to cancel: ERASE
 
Performing factory reset...
 
 
Execute 'boot' command afterwards for factory-reset to be initiated.
Use of reset/reboot/reload command will cancel the factory-reset request!
rommon 3 > boot
firepower-2140 login:
Cisco ASA: CMD=-start, CSP-ID=cisco-asa.99.13.1.108__asa_001_JAD200900ZRN2001A1, FLAG=''
Cisco ASA starting ...
[...]
firepower-2140 login: admin (automatic login)
Please wait for Cisco ASA to come online...1...
[...]
User enable_1 logged in to ciscoasa
Logins over the last 1 days: 1.  
Failed logins since the last login: 0.  
 Attaching to ASA CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
 
ciscoasa> enable
The enable password is not set.  Please set it now.
Enter  Password: *****
Repeat Password: *****
Note: Save your configuration so that the password can be used for FXOS failsafe access and persists across reboots
("write memory" or "copy running-config startup-config").
ciscoasa# write memory

步骤 3

如果系统未提示您启动图像,请输入 boot 命令。

步骤 4

完成开始指南中的设置任务。


无法启动

如果您无法启动设备,它将引导至 ROMMON,在此,您可以从 USB 或 TFTP 映像启动 FXOS。在启动 FXOS 后,您可以重新格式化 eMMC(存放软件映像的内部闪存设备)。重新格式化后,您需要将映像重新下载到 eMMC。此过程会保留所有配置,存储在单独的 ssd1 上。

由于电源故障或其他极少数情况,eMMC 文件系统可能已损坏。

开始之前

您必须具有此程序的控制台访问权限。

过程


步骤 1

如果您无法启动,系统将引导至 ROMMON。

如果 ROMMON 无法自动启动,当系统提示进入 ROMMON 提示符时,需要在启动期间按 Esc 键。请密切注意显示器显示的内容。

示例:


*******************************************************************************
Cisco System ROMMON, Version 1.0.06, RELEASE SOFTWARE
Copyright (c) 1994-2018  by Cisco Systems, Inc.
Compiled Thu 04/06/2018 12:16:16.21 by builder
*******************************************************************************

Current image running: Boot ROM0
Last reset cause: ResetRequest
DIMM_1/1 : Present
DIMM_2/1 : Present

Platform FPR-2130 with 32768 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: 0c:75:bd:08:c9:80

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.

此时按 Esc 键。

步骤 2

从 USB 驱动器上的映像启动,或使用 TFTP 通过网络进行启动。

 

对于 9.12 及更低版本,如果从 ROMMON 启动 FXOS,并且还启动了当前安装的映像,请确保启动与当前安装的映像相同的版本。否则,FXOS/ASA 版本不匹配将导致 ASA 崩溃。在 9.13 及更高版本中,从 ROMMON 启动 FXOS 可防止 ASA 自动加载。

如果要从 USB 启动,请执行以下操作:

boot disk1:/path/filename

设备启动到 FXOS CLI。使用 dir disk1: 命令查看磁盘内容。

示例:


rommon 1 > dir disk1:

rommon 2 > boot disk1:/cisco-asa-fp2k.9.8.2.SPA

如果要从 TFTP 启动,请执行以下操作:

设置管理 1/1 的网络设置,并使用以下 ROMMON 命令加载 ASA 软件包。

address management_ip_address

netmask subnet_mask

server tftp_ip_address

gateway gateway_ip_address

filepath/filename

set

sync

tftp -b

FXOS 映像随即下载,并启动进入 CLI。

请参阅以下信息:

  • set - 显示网络设置。您还可以使用 ping 命令验证与服务器的连接。

  • sync - 保存网络设置。

  • tftp -b - 加载 FXOS。

示例:


rommon 1 > address 10.86.118.4
rommon 2 > netmask 255.255.252.0
rommon 3 > server 10.86.118.21
rommon 4 > gateway 10.86.118.1
rommon 5 > file cisco-asa-fp2k.9.8.2.SPA
rommon 6 > set
ROMMON Variable Settings:
  ADDRESS=10.86.118.4
  NETMASK=255.255.252.0
  GATEWAY=10.86.118.21
  SERVER=10.86.118.21
  IMAGE=cisco-asa-fp2k.9.8.2.SPA
  CONFIG=
  PS1="rommon ! > "

rommon 7 > sync
rommon 8 > tftp -b
Enable boot bundle: tftp_reqsize = 268435456

             ADDRESS: 10.86.118.4
             NETMASK: 255.255.252.0
             GATEWAY: 10.86.118.21
              SERVER: 10.86.118.1
               IMAGE: cisco-asa-fp2k.9.8.2.SPA
             MACADDR: d4:2c:44:0c:26:00
           VERBOSITY: Progress
               RETRY: 40
          PKTTIMEOUT: 7200
             BLKSIZE: 1460
            CHECKSUM: Yes
                PORT: GbE/1
             PHYMODE: Auto Detect

link up
Receiving cisco-asa-fp2k.9.8.2.SPA from 10.86.118.21!!!!!!!!
[…]

执行 Ping 操作以排除与服务器的连接故障:


rommon 1 > ping 10.86.118.21
Sending 10, 32-byte ICMP Echoes to 10.86.118.21 timeout is 4 seconds
!!!!!!!!!!
Success rate is 100 percent (10/10)
rommon 2 >

步骤 3

使用您当前的管理员密码登录 FXOS。

 

如果您不知道您的凭证,或由于磁盘损坏而无法登录,则应使用 ROMMON factory-reset 命令执行出厂设置(请参阅无法登录(密码重置))。执行恢复出厂设置后,重新启动此程序以引导至 FXOS,并使用默认凭证(admin/Admin123)登录。

步骤 4

重新格式化 eMMC。

connect local-mgmt

format emmc

输入 yes

示例:


firepower-2110# connect local-mgmt 
firepower-2110(local-mgmt)# format emmc
All bootable images will be lost.
Do you still want to format? (yes/no):yes

步骤 5

重新下载并启动 ASA 软件包。

 

如果您以前因无法登录而执行了出厂设置,则您的配置已恢复为出厂默认配置。此重置意味着您的网络设置已更改为默认设置。要恢复网络设置,请根据开始指南执行初始设置。在重新建立网络连接后,请继续执行此过程。

  1. 下载软件包。由于您是从 USB 或 TFTP 暂时启动的,您仍然必须将图像下载到本地磁盘。

    scope firmware

    download image url

    show download-task

    使用以下各项之一,为正在导入的文件指定 URL:

    • ftp://username@server/[path/]image_name

    • scp://username@server/[path/]image_name

    • sftp://username@server/[path/]image_name

    • tftp://server[:port]/[path/]image_name

    • usbA:/path/filename

    示例:

    
    firepower-2110# scope firmware
    firepower-2110 /firmware # download image tftp://10.86.118.21/cisco-asa-fp2k.9.8.2.SPA
    Please use the command 'show download-task' or 'show download-task detail' to check download progress.
    firepower-2110 /firmware # show download-task
    Download task:
        File Name Protocol Server          Port       Userid          State
        --------- -------- --------------- ---------- --------------- -----
        cisco-asa-fp2k.9.8.2.SPA
                  Tftp     10.88.29.21             0                 Downloaded
    
    
  2. 当软件包完成下载(已下载状态)时,启动软件包。

    show package

    scope auto-install

    install security-pack version version

    show package 输出中,复制与 security-pack version 号对应的 Package-Vers 值。机箱会安装 ASA 映像并重新启动。

    示例:

    
    firepower 2110 /firmware # show package
    Name                                          Package-Vers
    --------------------------------------------- ------------
    cisco-asa-fp2k.9.8.2.SPA                      9.8.2
    firepower 2110 /firmware # scope auto-install
    firepower 2110 /firmware/auto-install # install security-pack version 9.8.2
    The system is currently installed with security software package not set, which has:
       - The platform version: not set
    If you proceed with the upgrade 9.8.2, it will do the following:
       - upgrade to the new platform version 2.2.2.52
       - install with CSP asa version 9.8.2
    During the upgrade, the system will be reboot
    
    Do you want to proceed ? (yes/no):yes
    
    This operation upgrades firmware and software on Security Platform Components
    Here is the checklist of things that are recommended before starting Auto-Install
    (1) Review current critical/major faults
    (2) Initiate a configuration backup
    
    Attention:
       If you proceed the system will be re-imaged. All existing configuration will be lost,
       and the default configuration applied.
    Do you want to proceed? (yes/no):yes
    
    Triggered the install of software package version 9.8.2
    Install started. This will take several minutes.
    For monitoring the upgrade progress, please enter 'show' or 'show detail' command.
    
    
步骤 6

等待机箱完成重新启动(5 - 10 分钟)。

虽然 FXOS 已经启动,但您仍然需要等待 ASA 启动(5 分钟)。请等待,直至显示以下消息:


firepower-2110# 
Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Verifying signature for cisco-asa.9.8.2.2 ...
Verifying signature for cisco-asa.9.8.2.2 ... success

Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Cisco ASA starting ...
Registering to process manager ...
Cisco ASA started successfully. 
...


SSD 文件系统损坏(Firepower 2100)

如果您已成功登录 FXOS,但看到磁盘损坏错误消息,则可以重新格式化 SSD1,其中存储 FXOS 和 ASA 配置。此过程将 FXOS 配置恢复为出厂默认值。对于平台模式,管理员密码将重置为默认的 Admin123。此过程还会重置 ASA 配置。

此程序不适用于 Firepower 1000,而不允许您擦除 SSD,同时仍保留启动映像。

过程


步骤 1

从控制台端口连接到 FXOS CLI。

  • 设备模式中的 Firepower 2100 - 您最初在控制台端口连接到 ASA。要连接到 FXOS,请输入 connect fxos admin 命令。

  • Firepower 2100 在平台模式下-您最初在控制台端口连接到 FXOS。使用用户名和用户名密码。

步骤 2

重新格式化 SSD1。

connect local-mgmt

format ssd1

示例:

Firepower 2100 设备模式:

 

在启动过程中,系统会提示您登录 FXOS 并设置管理员密码;虽然您不会通过登录导致任何损害,但您应继续等待,直到它启动 ASA。您应在 ASA 提示时登录,其中会提示您更改启用密码。这是系统用于 FXOS 登录的启用密码。


firepower-2110# connect local-mgmt 
firepower-2110(local-mgmt)# format ssd1
All configuration will be lost.
Do you still want to format? (yes/no):yes
Broadcast message from root@firepower-2140 (Fri Aug 16 19:53:45 2019):
All shells being terminated due to system /sbin/reboot
[  457.119988] reboot: Restarting system

[...]

*******************************************************************************
Cisco System ROMMON, Version 1.0.12, RELEASE SOFTWARE
Copyright (c) 1994-2019  by Cisco Systems, Inc.
Compiled Mon 06/17/2019 16:23:23.36 by builder
*******************************************************************************
 
Current image running: Boot ROM0
Last reset cause: ResetRequest (0x00001000)
DIMM_1/1 : Present
DIMM_2/1 : Present
 
Platform FPR-2140 with 65536 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: 70:7d:b9:75:23:00
 
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Located '.boot_string' @ cluster 98101.

[...]

Primary SSD discovered
Primary SSD has incorrect partitions
Skipping prompt because disk is blank
Formating Primary SSD...
Creating config partition: START: 1MB END: 1001MB

[...]

firepower-2140 login: 
Waiting for Application infrastructure to be ready...
Verifying the signature of the Application image...
Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.13.0.33__asa_001_JMX2134Y38S4F4RBT1, FLAG=''
Cisco ASA starting ...
Cisco ASA started successfully.

[...]

INFO: Unable to read firewall mode from flash
       Writing default firewall mode (single) to flash
 
INFO: Unable to read cluster interface-mode from flash
        Writing default mode "None" to flash
The 3DES/AES algorithms require a Encryption-3DES-AES entitlement.
The 3DES/AES algorithms require a Encryption-3DES-AES entitlement.
Cisco Adaptive Security Appliance Software Version 9.13.0.33
 
User enable_1 logged in to ciscoasa
Logins over the last 1 days: 1.  
Failed logins since the last login: 0.  
firepower-2140 login: admin (automatic login)
 
Successful login attempts for user 'admin' : 1
Attaching to ASA CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
 
ciscoasa> enable
The enable password is not set.  Please set it now.
Enter  Password: *****
Repeat Password: *****

步骤 3

完成开始指南中的设置任务。


恢复出厂默认配置

您可以将 FXOS 配置恢复为出厂默认值。此过程还会重置 ASA 部署和配置。管理员密码也将重置为默认的 Admin123;但是,由于您在 FXOS 中执行此程序,因此必须知道当前的管理员密码。如果您不知道管理员密码,请使用中 无法登录(密码重置) 的过程。

对于设备模式,管理员密码与 ASA 启用密码相同。

开始之前

您必须具有此程序的控制台访问权限。

过程


步骤 1

从控制台端口连接到 FXOS CLI。

步骤 2

连接到本地管理:

connect local-mgmt

示例:


firepower-2120# connect local-mgmt
firepower-2120(local-mgmt)# 

步骤 3

清除所有用户配置,并将机箱恢复到其原始出厂默认配置。

erase configuration

示例:


firepower-2120(local-mgmt)# erase configuration
All configurations will be erased and system will reboot. Are you sure? (yes/no):

步骤 4

通过在命令提示符后输入 yes,确认您想要清除配置。

系统将从您的机箱中清除所有配置,然后重新引导系统。

 

对于设备模式下的 Firepower 1000 和 2100,在启动过程中,系统会提示您登录 FXOS 并设置管理员密码;虽然您不会通过登录导致任何损害,但您应继续等待,直到它启动 ASA。您应在 ASA 提示时登录,其中会提示您更改启用密码。这是系统用于 FXOS 登录的启用密码。


执行安全清除

安全清除功能会清除 SSD 上的所有数据,以便即使在 SSD 本身上使用特殊工具也无法恢复数据。停止使用设备时,应执行安全清除。

对于 Firepower 2100,软件映像不会被清除,因此您仍可以启动到 ASA。对于 Firepower 1000,软件映像会被清除,因此设备将启动 ROMMON,您可以在其中下载新的映像。

开始之前

  • 对于 Firepower 1000,如果从 FTD 重新映像到 ASA,可能需要重新启动设备,以允许安全清除功能。在升级到 FTD 6.5 或更高版本后,或者如果您从 FTD 6.4 重新映像到 ASA,安全清除功能需要重启电源;仅重新引导是不够的。

  • 您必须具有此程序的控制台访问权限。

过程


步骤 1

进入本地管理模式。

local-mgmt

示例:


Firepower# connect local-mgmt
Firepower(local-mgmt)#

步骤 2

安全清除 SSD。

erase secure {all |ssd1 | ssd2}

  • all — 擦除所有 SSD。Firepower 2100 包括2个 SSD,而 Firepower 1000 仅包括 SSD1。

  • ssd1 — 仅擦除 SSD1。

  • ssd2 — 仅擦除 SSD2。

步骤 3

(Firepower 1000)您可以启动 ROMMON。根据 无法启动 启动新映像。


执行完整的重新映像

此程序将重新格式化 Firepower 设备,并将其恢复为出厂默认设置。执行此程序后,您必须下载新的软件映像。如果要重新使用设备,并希望同时删除配置和软件映像,则可能需要执行完整的重新映像。

开始之前

  • 您必须具有此程序的控制台访问权限。

  • 将 ASA 软件包下载到 TFTP 服务器或 USB 驱动器。

过程


步骤 1

无论是通过 ASA CLI/ASDM 还是通过智能软件许可服务器,都可以从智能软件许可服务器注销 ASA。

步骤 2

从控制台端口连接到 FXOS CLI。

  • 设备模式中的 Firepower 1000 和 2100 — 您最初在控制台端口连接到 ASA。要连接到 FXOS,请输入 connect fxos admin 命令。

  • Firepower 2100 在平台模式下-您最初在控制台端口连接到 FXOS。使用用户名和用户名密码。

步骤 3

重新格式化系统。

connect local-mgmt

format everything

输入 yes,Firepower 重新启动。

示例:


firepower-2110# connect local-mgmt 
firepower-2110(local-mgmt)# format everything
All configuration and bootable images will be lost.
Do you still want to format? (yes/no):yes

步骤 4

当系统提示进入 ROMMON 提示符时,需要在启动期间按 Esc 键。请密切注意显示器显示的内容。

示例:


*******************************************************************************
Cisco System ROMMON, Version 1.0.03, RELEASE SOFTWARE
Copyright (c) 1994-2017  by Cisco Systems, Inc.
Compiled Thu 04/06/2017 12:16:16.21 by builder
*******************************************************************************

Current image running: Boot ROM0
Last reset cause: ResetRequest
DIMM_1/1 : Present
DIMM_2/1 : Present

Platform FPR-2130 with 32768 MBytes of main memory
BIOS has been successfully locked !!
MAC Address: 0c:75:bd:08:c9:80

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.

此时按 Esc 键。

步骤 5

从 USB 驱动器上的 ASA 软件包启动,或使用 TFTP 通过网络进行启动。

如果要从 USB 启动,请执行以下操作:

boot disk1:/path/filename

使用 dir disk1: 命令查看磁盘内容。

示例:


rommon 1 > dir disk1:

rommon 2 > boot disk1:/cisco-asa-fp2k.9.8.2.SPA

如果要从 TFTP 启动,请执行以下操作:

设置管理 1/1 的网络设置,并使用以下 ROMMON 命令加载 ASA 软件包。

address management_ip_address

netmask subnet_mask

server tftp_ip_address

gateway gateway_ip_address

filepath/filename

set

sync

tftp -b

请参阅以下信息:

  • set - 显示网络设置。您还可以使用 ping 命令验证与服务器的连接。

  • sync - 保存网络设置。

  • tftp -b — 加载 ASA 包。

示例:


rommon 1 > address 10.86.118.4
rommon 2 > netmask 255.255.252.0
rommon 3 > server 10.86.118.21
rommon 4 > gateway 10.86.118.1
rommon 5 > file cisco-asa-fp2k.9.8.2.SPA
rommon 6 > set
ROMMON Variable Settings:
  ADDRESS=10.86.118.4
  NETMASK=255.255.252.0
  GATEWAY=10.86.118.21
  SERVER=10.86.118.21
  IMAGE=cisco-asa-fp2k.9.8.2.SPA
  CONFIG=
  PS1="rommon ! > "

rommon 7 > sync
rommon 8 > tftp -b
Enable boot bundle: tftp_reqsize = 268435456

             ADDRESS: 10.86.118.4
             NETMASK: 255.255.252.0
             GATEWAY: 10.86.118.21
              SERVER: 10.86.118.1
               IMAGE: cisco-asa-fp2k.9.8.2.SPA
             MACADDR: d4:2c:44:0c:26:00
           VERBOSITY: Progress
               RETRY: 40
          PKTTIMEOUT: 7200
             BLKSIZE: 1460
            CHECKSUM: Yes
                PORT: GbE/1
             PHYMODE: Auto Detect

link up
Receiving cisco-asa-fp2k.9.8.2.SPA from 10.86.118.21!!!!!!!!
[…]

执行 Ping 操作以排除与服务器的连接故障:


rommon 1 > ping 10.86.118.21
Sending 10, 32-byte ICMP Echoes to 10.86.118.21 timeout is 4 seconds
!!!!!!!!!!
Success rate is 100 percent (10/10)
rommon 2 >

步骤 6

使用默认用户名 admin 和密码 Admin123 登录 FXOS。

您的配置已恢复为出厂默认配置。此重置意味着您的网络设置已更改为默认设置。要恢复网络设置,请根据开始指南执行初始设置。在重新建立网络连接后,请继续执行此过程。

步骤 7

下载并启动 ASA 软件包。由于您是从 USB 或 TFTP 暂时启动的,因此您仍必须将图像下载到本地磁盘。

  1. 下载软件包。

    scope firmware

    download image url

    show download-task

    您可以从先前使用的同一 TFTP 服务器或 USB 驱动器,或在管理 1/1 上可访问的其他服务器下载软件包。使用以下各项之一,为正在导入的文件指定 URL:

    • ftp://username@server/[path/]image_name

    • scp://username@server/[path/]image_name

    • sftp://username@server/[path/]image_name

    • tftp://server[:port]/[path/]image_name

    • usbA:/path/filename

    示例:

    
    firepower-2110# scope firmware
    firepower-2110 /firmware # download image tftp://10.86.118.21/cisco-asa-fp2k.9.8.2.SPA
    Please use the command 'show download-task' or 'show download-task detail' to check download progress.
    firepower-2110 /firmware # show download-task
    Download task:
        File Name Protocol Server          Port       Userid          State
        --------- -------- --------------- ---------- --------------- -----
        cisco-asa-fp2k.9.8.2.SPA
                  Tftp     10.88.29.21             0                 Downloaded
    
    
  2. 当软件包完成下载(已下载状态)时,启动软件包。

    show package

    scope auto-install

    install security-pack version version

    show package 输出中,复制与 security-pack version 号对应的 Package-Vers 值。机箱会安装 ASA 安装包并重新启动。

    示例:

    
    firepower 2110 /firmware # show package
    Name                                          Package-Vers
    --------------------------------------------- ------------
    cisco-asa-fp2k.9.8.2.SPA                      9.8.2
    firepower 2110 /firmware # scope auto-install
    firepower 2110 /firmware/auto-install # install security-pack version 9.8.2
    The system is currently installed with security software package not set, which has:
       - The platform version: not set
    If you proceed with the upgrade 9.8.2, it will do the following:
       - upgrade to the new platform version 2.2.2.52
       - install with CSP asa version 9.8.2
    During the upgrade, the system will be reboot
    
    Do you want to proceed ? (yes/no):yes
    
    This operation upgrades firmware and software on Security Platform Components
    Here is the checklist of things that are recommended before starting Auto-Install
    (1) Review current critical/major faults
    (2) Initiate a configuration backup
    
    Attention:
       If you proceed the system will be re-imaged. All existing configuration will be lost,
       and the default configuration applied.
    Do you want to proceed? (yes/no):yes
    
    Triggered the install of software package version 9.8.2
    Install started. This will take several minutes.
    For monitoring the upgrade progress, please enter 'show' or 'show detail' command.
    
    
     

    忽略此消息“所有现有配置均会丢失,且系统将应用默认配置”。系统不会清除配置,并且不会应用默认配置。

步骤 8

等待机箱完成重新启动(5-10 分钟),然后以管理员身份登录 FXOS。

虽然 FXOS 已经启动,但您仍然需要等待 ASA 启动(5 分钟)。请等待,直至显示以下消息:


firepower-2110# 
Cisco ASA: CMD=-install, CSP-ID=cisco-asa.9.8.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Verifying signature for cisco-asa.9.8.2 ...
Verifying signature for cisco-asa.9.8.2 ... success

Cisco ASA: CMD=-start, CSP-ID=cisco-asa.9.8.2__asa_001_JAD20280BW90MEZR11, FLAG=''
Cisco ASA starting ...
Registering to process manager ...
Cisco ASA started successfully. 
[…]


系统恢复历史

特性

版本

详细信息

安全擦除

9.13(1)

安全清除功能会清除 SSD 上的所有数据,以便即使在 SSD 本身上使用特殊工具也无法恢复数据。停止使用设备时,应执行安全清除。

新增/修改的命令:erase secure (local-mgmt)