本文檔介紹如何使用CLI升級Cisco ASA 5500系列自適應安全裝置故障轉移對上的軟體映像。
註:如果您直接將安全裝置軟體從7.0升級(或降級)到7.2,或者直接將ASDM軟體從5.0升級(或降級)到5.2,Adaptive Security Device Manager(ASDM)將不起作用。您必須按增量順序升級(或降級)。
有關如何在ASA上升級ASDM和軟體映像的詳細資訊,請參閱PIX/ASA:使用 ASDM 或 CLI 升級軟體映像的組態範例
注意:在多情景模式下,不能使用copy tftp flash命令在所有情景中升級或降級PIX/ASA映像;僅在系統Exec模式下支援。
本文件沒有特定需求。
本文中的資訊係根據以下軟體和硬體版本:
Cisco Adaptive Security Appliance(ASA)7.0版及更高版本
Cisco ASDM 5.0版及更高版本
註:有關如何允許ASDM配置ASA的資訊,請參閱允許ASDM進行HTTPS訪問。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
此配置還可以與Cisco PIX 500系列安全裝置軟體版本7.0及更高版本配合使用。
請參閱思科技術提示慣例以瞭解有關檔案慣例的資訊。
故障切換配置中的兩個裝置應具有相同的主要(第一個數字)和次要(第二個數字)軟體版本。但是,在升級過程中,您不需要在裝置上維護版本奇偶校驗;您可以在每台裝置上運行的軟體上使用不同的版本,同時仍然保持故障切換支援。為了確保長期相容性和穩定性,思科建議您儘快將兩台裝置升級到同一版本。
有3種升級型別可用。它們如下:
維護版本 — 您可以從任何維護版本升級到次要版本中的任何其它維護版本。例如,您可以從7.0(1)升級到7.0(4),而無需先在二者之間安裝維護版本。
次要版本 — 您可以從次要版本升級到下一個次要版本。您不能跳過次要版本。例如,您可以從7.0升級到7.1。零停機時間升級不支援直接從7.0升級到7.2;必須先升級到7.1
主要版本 — 您可以從上一個版本的最後一個次要版本升級為下一個主要版本。例如,您可以從7.9升級到8.0,假設7.9是7.x版本中的最後一個次要版本。
完成以下步驟,升級主用/備用故障轉移配置中的兩台裝置:
將新軟體下載到兩台裝置,並使用boot system命令指定要載入的新映像。
如需詳細資訊,請參閱使用CLI升級軟體映像和ASDM映像。
通過在主用裝置上輸入failover reload-standby命令,重新載入備用裝置以啟動新映像,如下所示:
active#failover reload-standby
當備用單元完成重新載入並處於「備用就緒」狀態時,通過在主用單元上輸入no failover active命令,強制主用單元故障切換到備用單元。
active#no failover active
注意:使用show failover命令驗證備用裝置是否處於「備用就緒」狀態。
輸入reload 指令,重新載入原來的作用中裝置(現為新的備用裝置):
newstandby#reload
當新的備用單元完成重新載入並處於「備用就緒」狀態時,輸入failover active命令將原始主用單元返回到主用狀態:
newstandby#failover active
這將完成升級主用/備用故障轉移對的過程。
完成以下步驟,升級主用/主用故障轉移配置中的兩個裝置:
將新軟體下載到兩台裝置,並使用boot system命令指定要載入的新映像。
如需詳細資訊,請參閱使用CLI升級軟體映像和ASDM映像。
在主裝置的系統執行空間中輸入failover active命令,使兩個故障切換組在主裝置上處於活動狀態:
primary#failover active
通過在主裝置的系統執行空間中輸入failover reload-standby命令,重新載入輔助裝置以引導新映像:
primary#failover reload-standby
當輔助裝置完成重新載入,並且兩個故障切換組都在該裝置上處於「備用就緒」狀態時,請在主裝置的系統執行空間中使用no failover active 命令使兩個故障切換組在輔助裝置上處於活動狀態:
primary#no failover active
註:使用show failover命令驗證輔助裝置上兩個故障轉移組均處於Standby Ready狀態。
確保兩個故障轉移組在主裝置上均處於備用就緒狀態,然後使用reload 命令重新載入主裝置:
primary#reload
如果使用preempt命令配置故障切換組,則在經過搶佔延遲後,這些故障切換組將自動在其指定裝置上變為活動狀態。如果沒有使用preempt命令配置故障切換組,可以使用failover active group命令將故障切換組在其指定裝置上恢復為活動狀態。
問題
當您嘗試升級思科自適應安全裝置(ASA)時,將出現以下錯誤消息之一:
%ASA-5-720012:(VPN-Secondary)無法更新備用裝置上的IPSec故障轉移運行時資料。
%ASA-6-720012:(VPN單元)無法更新備用單元上的IPsec故障轉移運行時資料。
解決方案
這些錯誤消息是資訊性錯誤。這些消息不會影響ASA或VPN的功能。
當VPN故障切換子系統無法更新與IPsec相關的運行時資料時,這些消息會出現,因為備用裝置上已刪除了相應的IPsec隧道。要解決這些問題,請在主用裝置上運行wr standby命令。
已歸檔兩個錯誤以解決此行為;您可以升級到ASA的軟體版本,在此版本中這些錯誤已修復。如需詳細資訊,請參閱Cisco錯誤ID CSCtj58420(僅限註冊客戶)和CSCtn56517(僅限註冊客戶)。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
16-Mar-2010
|
初始版本 |