ASA/PIX:如何使用CLI升級故障轉移對上的軟體映像

簡介

本文檔介紹如何使用CLI升級Cisco ASA 5500系列自適應安全裝置故障轉移對上的軟體映像。

註：如果您直接將安全裝置軟體從7.0升級（或降級）到7.2，或者直接將ASDM軟體從5.0升級（或降級）到5.2,Adaptive Security Device Manager(ASDM)將不起作用。您必須按增量順序升級（或降級）。

有關如何在ASA上升級ASDM和軟體映像的詳細資訊，請參閱PIX/ASA:使用 ASDM 或 CLI 升級軟體映像的組態範例

注意：在多情景模式下，不能使用copy tftp flash命令在所有情景中升級或降級PIX/ASA映像；僅在系統Exec模式下支援。

必要條件

需求

本文件沒有特定需求。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco Adaptive Security Appliance(ASA)7.0版及更高版本

• Cisco ASDM 5.0版及更高版本

註：有關如何允許ASDM配置ASA的資訊，請參閱允許ASDM進行HTTPS訪問。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

相關產品

此配置還可以與Cisco PIX 500系列安全裝置軟體版本7.0及更高版本配合使用。

慣例

請參閱思科技術提示慣例以瞭解有關檔案慣例的資訊。

組態

對故障轉移對執行零停機時間升級

故障切換配置中的兩個裝置應具有相同的主要（第一個數字）和次要（第二個數字）軟體版本。但是，在升級過程中，您不需要在裝置上維護版本奇偶校驗；您可以在每台裝置上運行的軟體上使用不同的版本，同時仍然保持故障切換支援。為了確保長期相容性和穩定性，思科建議您儘快將兩台裝置升級到同一版本。

有3種升級型別可用。它們如下：

1. 維護版本 — 您可以從任何維護版本升級到次要版本中的任何其它維護版本。例如，您可以從7.0(1)升級到7.0(4)，而無需先在二者之間安裝維護版本。

2. 次要版本 — 您可以從次要版本升級到下一個次要版本。您不能跳過次要版本。例如，您可以從7.0升級到7.1。零停機時間升級不支援直接從7.0升級到7.2;必須先升級到7.1

3. 主要版本 — 您可以從上一個版本的最後一個次要版本升級為下一個主要版本。例如，您可以從7.9升級到8.0，假設7.9是7.x版本中的最後一個次要版本。

升級主用/備用故障切換配置

完成以下步驟，升級主用/備用故障轉移配置中的兩台裝置：

1. 將新軟體下載到兩台裝置，並使用boot system命令指定要載入的新映像。

   如需詳細資訊，請參閱使用CLI升級軟體映像和ASDM映像。

2. 通過在主用裝置上輸入failover reload-standby命令，重新載入備用裝置以啟動新映像，如下所示：

   active#failover reload-standby
   

3. 當備用單元完成重新載入並處於「備用就緒」狀態時，通過在主用單元上輸入no failover active命令，強制主用單元故障切換到備用單元。

   active#no failover active
   

   注意：使用show failover命令驗證備用裝置是否處於「備用就緒」狀態。

4. 輸入reload 指令，重新載入原來的作用中裝置（現為新的備用裝置）：

   newstandby#reload
   

5. 當新的備用單元完成重新載入並處於「備用就緒」狀態時，輸入failover active命令將原始主用單元返回到主用狀態：

   newstandby#failover active
   

這將完成升級主用/備用故障轉移對的過程。

升級主用/主用故障切換配置

完成以下步驟，升級主用/主用故障轉移配置中的兩個裝置：

1. 將新軟體下載到兩台裝置，並使用boot system命令指定要載入的新映像。

   如需詳細資訊，請參閱使用CLI升級軟體映像和ASDM映像。

2. 在主裝置的系統執行空間中輸入failover active命令，使兩個故障切換組在主裝置上處於活動狀態：

   primary#failover active
   

3. 通過在主裝置的系統執行空間中輸入failover reload-standby命令，重新載入輔助裝置以引導新映像：

   primary#failover reload-standby
   

4. 當輔助裝置完成重新載入，並且兩個故障切換組都在該裝置上處於「備用就緒」狀態時，請在主裝置的系統執行空間中使用no failover active 命令使兩個故障切換組在輔助裝置上處於活動狀態：

   primary#no failover active
   

   註：使用show failover命令驗證輔助裝置上兩個故障轉移組均處於Standby Ready狀態。

5. 確保兩個故障轉移組在主裝置上均處於備用就緒狀態，然後使用reload 命令重新載入主裝置：

   primary#reload
   

6. 如果使用preempt命令配置故障切換組，則在經過搶佔延遲後，這些故障切換組將自動在其指定裝置上變為活動狀態。如果沒有使用preempt命令配置故障切換組，可以使用failover active group命令將故障切換組在其指定裝置上恢復為活動狀態。

疑難排解

%ASA-5-720012:（VPN輔助）無法更新備用裝置（或）上的IPSec故障轉移運行時資料%ASA-6-720012:（VPN單元）無法更新備用單元上的IPsec故障轉移運行時資料

問題

當您嘗試升級思科自適應安全裝置(ASA)時，將出現以下錯誤消息之一：

%ASA-5-720012:(VPN-Secondary)無法更新備用裝置上的IPSec故障轉移運行時資料。

%ASA-6-720012:（VPN單元）無法更新備用單元上的IPsec故障轉移運行時資料。

解決方案

這些錯誤消息是資訊性錯誤。這些消息不會影響ASA或VPN的功能。

當VPN故障切換子系統無法更新與IPsec相關的運行時資料時，這些消息會出現，因為備用裝置上已刪除了相應的IPsec隧道。要解決這些問題，請在主用裝置上運行wr standby命令。

已歸檔兩個錯誤以解決此行為；您可以升級到ASA的軟體版本，在此版本中這些錯誤已修復。如需詳細資訊，請參閱Cisco錯誤ID CSCtj58420(僅限註冊客戶)和CSCtn56517(僅限註冊客戶)。

相關資訊

• 思科 ASA 5500 系列調整型安全設備
• 思科調適型資安裝置管理員
• 要求建議 (RFC)
• 技術支援與文件 - Cisco Systems