升级ASA
升级ASA2升级路径、指南和迁移2查看当前版本9从下载软件9升级独立设备15升级主用/备用故障切换对18升级主用/主用故障切换对22升级ASA集群26
Revised:October25,2017,
升级ASA
本文档介绍如何为单机、故障切换或集群部署计划和实施ASA和ASDM升级。
对于Firepower4100和9300,请参阅FXOS版本说明中的升级说明。
升级路径、指南和迁移 在升级之前,请检查您的升级路径、迁移和所有其他指南。
升级路径 请参阅下表以获取您的版本的升级路径。
某些版本需要先进行临时升级,然后才能升级到最新版本。
当前ASA版本8.2(x)及更早版本 首先升级到:8.4
(6) 然后升级到:9.1
(3)及更高版本 8.3(x) 8.4
(6) 9.1
(3)及更高版本 8.4
(1)至8.4
(4) 8.4
(6)或9.0(2+) 9.1
(3)及更高版本 8.4(5+) — 9.1
(3)及更高版本 8.5
(1) 9.0(2+) 9.1
(3)及更高版本 8.6
(1) 9.0(2+) 9.1
(3)及更高版本 9.0
(1) 9.0(2+) 9.1
(3)及更高版本 9.0(2+) — 9.1
(3)及更高版本 9.1
(1) 9.1
(2) 9.1
(3)及更高版本 9.1(2+) — 9.1
(3)及更高版本 9.2(x) - 9.2
(2)及更高版本 9.3(x) - 9.3
(2)及更高版本 9.4(x) - 9.4
(2)及更高版本 9.5(x) — 9.5
(2)及更高版本
2 当前ASA版本9.6(x)9.7(x)9.8(x) 首先升级到:——— 然后升级到:9.6
(2)及更高版本9.7
(2)及更高版本9.8
(2)及更高版本 版本特定的指南和迁移 根据当前的版本,您可能会遇到一次或多次配置迁移,并且在升级时必须考虑适用于起始版本与结束版本之间所有版本的配置指南。
•9.8版指南和迁移,第3页•9.7版指南和迁移,第3页•9.6版指南和迁移,第4页•9.5版指南和迁移,第4页•9.4版指南和迁移,第6页•9.3版指南和迁移,第6页•9.2版指南和迁移,第6页•9.1版指南和迁移,第7页•9.0版指南和迁移,第7页•8.4版指南和迁移,第8页•8.3版指南和迁移,第8页 9.8版指南和迁移•请勿将AmazonWebServices上的ASAv升级到9.8
(1)-由于存在CSCve56153,因此不应升级到9.8
(1)。
升级后,ASAv将无法连接。
请查阅错误状态,了解修补程序何时可用。
9.7版指南和迁移•由于VTI和VXLANVNI从9.7
(1)升级到9.7(1.x)及更高版本的问题-如果同时配置了虚拟隧道接口(VTI)和VXLAN虚拟网络标识符(VNI)接口,则对于故障切换无法执行零停机时间升级;这些接口类型的连接不能复制到备用设备,直到两种设备处于相同版本。
(CSCvc83062)
3 9.6版指南和迁移•(ASA9.6
(2))使用SSH公钥身份验证时的升级影响-由于对SSH身份验证的更新,需要更多配置才能启用SSH公钥身份验证;因此,使用公钥身份验证的现有SSH配置在升级后不再有效。
公钥身份验证默认用于AmazonWebServices(AWS),因此,AWS用户将看到此问题。
要避免丢失SSH连接,您可以在升级前更新您的配置。
或者,您可以在升级后使用ASDM(如果已启用ASDM访问)以修复该配置。
用户名“admin”的原始配置示例: usernameadminnopasswordprivilege15usernameadminattributes sshauthenticationpublickey55:06:47:eb:13:75:fc:5c:a8:c1:2c:bb:07:80:3a:fc:d9:08:a9:1f:34:76:31:ed:ab:bd:3a:9e:03:14:1e:1bhashed 要使用sshauthentication命令,请在升级之前输入以下命令: aaaauthenticationsshconsoleLOCALusernameadminpasswordprivilege15
我们建议为该用户名设置密码,而不是保留nopassword关键字(如果存在)。
nopassword关键字意味着可以输入任何密码,而不是不可输入任何密码。
在9.6
(2)版之前,执行SSH公共密钥身份验证不需要aaa命令,所以不会触发nopassword关键字。
现在则需要使用aaa命令,所以对于username,如果存在password(或nopassword)关键字,还会自动允许普通密码身份验证。
在升级后,username命令不再需要password或nopassword关键字;您可以要求用户不能输入密码。
因此,要强制仅进行公钥身份验证,请重新输入username命令: usernameadminprivilege15 •在Firepower9300上升级ASA时的升级影响-由于在后端进行的许可证授权命名更改,当升级到ASA9.6
(1)/FXOS1.1.4时,启动配置可能在初始重新加载时无法正确解析;对应于追加授权的配置会被拒绝。
对于独立ASA,在设备重新加载新版本后,请等候所有授权均处理完并都处于“已授权”状态(showlicenseall或监控>属性>智能许可证),然后只需重新加载(reload或工具>重新加载系统)而不必保存配置。
在重新加载后,启动配置将被正确解析。
对于故障切换对,如有任何附加授权,请按照FXOS版本说明中的升级过程进行操作,但在重新加载每个设备后重置故障切换(failoverreset或监控>属性>故障切换>状态、监控>故障切换>系统或监控>故障切换>故障切换组,然后点击重置故障切换)。
对于集群,请按照FXOS版本说明中的升级过程进行操作;无需进行其他操作。
9.5版指南和迁移•9.5
(2)新运营商许可证-新运营商许可证将替代现有的GTP/GPRS许可证,并且还支持SCTP和Diameter检测。
对于Firepower9300ASA安全模块,featuremobile-sp命令将自动迁移到featurecarrier命令。
•9.5
(2)弃用了邮件代理命令-在ASA版本9.5
(2)中,不再支持邮件代理命令(imap4s、pop3s、smtps)及其子命令。
4 •9.5
(2)弃用或迁移了CSD命令-在ASA版本9.5
(2)中,不再支持CSD命令(csdimage、showwebvpncsdimage、showwebvpncsd、showwebvpncsdhostscan、showwebvpncsdhostscanimage)。
以下CSD命令将迁移:csdenable迁移到hostscanenable;csdhostscanimage迁移到hostscanimage。
•9.5
(2)弃用了某些AAA命令-在ASA版本9.5
(2)中,不再支持这些AAA命令及其子命令(ount-disable、authenticationcrack)。
•9.5
(1)弃用了以下命令:timeoutgsn •升级至9.5(x)或更高版本时的ASA5508-X和5516-X升级问题-在升级到ASA9.5(x)或更高版本之前,如果您从未启用巨帧预留,则必须检查最大内存空间。
由于制造缺陷,可能应用了错误的软件内存限制。
如果在执行以下修复之前升级到9.5(x)或更高版本,则您的设备将在启动时崩溃;在这种情况下,您必须使用ROMMON降级到9.4(使用ROMMON加载ASA5500-X系列的映像),执行下面的程序,然后再次升级。
1输入以下命令以检查故障条件: ciscoasa#showmemorydetail|includeMaxmemoryfootprint Maxmemoryfootprint =456384512 Maxmemoryfootprint =
0 Maxmemoryfootprint =456384512 如果对于“Maxmemoryfootprint”返回小于456,384,512的值,则表示存在故障条件,您必须在升级之前完成余下的步骤。
如果显示的内存为456,384,512或更大值,则可以跳过此程序的剩余步骤,升级会正常进行。
2进入全局配置模式: ciscoasa#configureterminalciscoasa(config)# 3暂时启用巨帧预留: ciscoasa(config)#jumbo-framereservationWARNING:mandwilltakeeffectaftertherunning-configissavedandthesystemhasbeenrebooted.Commandepted.INFO:InterfaceMTUshouldbeincreasedtoavoidfragmentingjumboframesduringtransmit 注释不要重新加载ASA。
4保存配置: ciscoasa(config)#writememoryBuildingconfiguration...Cryptochecksum:b511ec956c90cadbaaf6b3064157957214437bytescopiedin1.320secs(14437bytes/sec)[OK] 5禁用巨帧预留: ciscoasa(config)#nojumbo-framereservationWARNING:mandwilltakeeffectaftertherunning-configissavedandthesystemhasbeenrebooted.Commandepted.
5 注释不要重新加载ASA。
6再次保存配置: ciscoasa(config)#writememoryBuildingconfiguration...Cryptochecksum:b511ec956c90cadbaaf6b3064157957214437bytescopiedin1.320secs(14437bytes/sec)[OK] 7现在,您可以升级到9.5(x)或更高版本。
9.4版指南和迁移•弃用了9.4
(1)统一通信电话代理和公司间媒体引擎代理-在ASA版本9.4中,不再支持电话代理和IME代理。
9.3版指南和迁移•9.3
(2)传输层安全(TLS)版本1.2的支持-我们现在支持TLS版本1.2用于ASDM、无客户端SSVPN和AnyConnectVPN的安全消息传输。
引入或修改了以下命令:sslclient-version、sslserver-version、sslcipher、ssltrust-point、ssldh-group。
弃用了以下命令:sslencryption•9.3
(1)删除了AAAWindowsNT域身份验证-删除了对远程访问VPN用户的NTLM支持。
弃用了以下命令:aaa-serverprotocolnt 9.2版指南和迁移 自动更新服务器证书验证9.2
(1)自动更新服务器证书验证默认已启用。
现在,默认已启用自动更新服务器证书验证;对于新配置,您必须明确禁用证书验证。
如果您是从较早版本升级且未启用证书验证,则不会启用证书验证,并会显示以下警告: WARNING:Thecertificateprovidedbytheauto-updateserverswillnotbeverified.Inordertoverifythiscertificatepleaseusetheverify-certificateoption. 配置将迁移为明确不配置验证:auto-updateserverno-verification 升级对ASDM登录的影响从9.2(2.4)以前的版本升级到9.2(2.4)版或更高版本时,升级对ASDM登录的影响。
如果从ASA9.2(2.4)以前的版本升级到9.2(2.4)或更高版本,并使用命令授权及ASDM定义的用户角色,则访问权限为只读的用户无法登录ASDM。
您必须在升级之前或之后将more命令更改为5级权限;只有管理员级别的用户才能进行此更改。
请注意,对于定义的用户角色,ASDM7.3
(2)版及更高版本包括权限级别为5的more命令,但先前存在的配置则需要手动修复。
ASDM:
6 1依次选择配置>设备管理>用户/AAA>AAA访问>授权,然后点击配置命令权限。
2选择more,然后点击编辑。
3将权限级别更改为
5,然后点击确定。
4点击确定,然后点击应用。
CLI: ciscoasa(config)#privilegecmdlevel5modemandmore 9.1版指南和迁移•最大MTU现为9198字节-如果您的MTU设置为高于9198的值,则升级后MTU会自动降低。
在某些情况下,这种MTU变化可能导致MTU不匹配;请务必将连接的所有设备设置为使用新的MTU值。
ASA可使用的最大MTU为9198字节(通过CLIhelp可检查型号的确切限制)。
此值不包括第2层标头。
以前,ASA允许将最大MTU指定为65535字节,该值不准确,并可能会引发问题。
9.0版指南和迁移升级到版本9.0时,系统将会迁移以下ACL配置。
IPv6ACLIPv6ACL(ipv6ess-list)将迁移到扩展ACL(ess-listextended);不再支持IPv6ACL。
如果在接口的同一方向应用IPv4和IPv6ACL(ess-group命令),这些ACL将会合并: •如果除ess-group之外,任何地方均未使用IPv4和IPv6ACL,则IPv4ACL的名称将用作合并ACL的名称;IPv6ess-list将被删除。
•如果另一功能至少正在使用其中一个ACL,则会创建一个名为IPv4-ACL-name_IPv6-ACL-name的新ACL;正在使用的ACL将继续用于其他功能。
未使用的ACL将被删除。
如果IPv6ACL正在用于另一功能,该ACL会迁移到同名的扩展ACL。
Any关键字ACL支持IPv4和IPv6后,any关键字现在表示“所有IPv4和IPv6流量”。
使用any关键字的所有现有ACL将改为使用any4关键字,该关键字表示“所有IPv4流量”。
此外,还引入了不同的关键字来表示“所有IPv6流量”:any6。
any4和any6关键字不能用于使用any关键字的任何命令。
例如,NAT功能只能使用any关键字;根据特定NAT命令内的环境,any表示IPv4流量或IPv6流量。
7 8.4版指南和迁移•透明模式的配置迁移-在8.4版中,所有透明模式接口现在都属于网桥组。
升级到8.4版时,现有的两个接口会被放到网桥组1中,而管理IP地址会被分配给网桥组虚拟接口(BVI)。
使用同一个网桥组时,功能保持不变。
现在可以利用网桥组功能,为每个网桥组最多配置四个接口,在单一模式或每个环境中最多创建八个网桥组。
注释请注意,在8.3版及更早版本中,作为不受支持的配置,可以配置不带IP地址的管理接口,并且可以使用设备管理地址访问该接口。
在8.4版中,设备管理地址会被分配到BVI,使用该IP地址不能再访问管理接口;管理接口需要有自己的IP地址。
•从8.3
(1)、8.3
(2)和8.4
(1)升级到8.4
(2)时,所有身份NAT配置现在均包括no-proxy-arp和route-lookup关键字以维持现有功能。
unidirectional关键字被删除。
8.3版指南和迁移请参阅以下指南,了解从8.3版以前的思科ASA5500操作系统(OS)升级到版本8.3时的配置迁移过程:思科ASA5500迁移到版本8.3 集群准则 除以下例外情况,对ASA集群的零停机时间升级没有特殊要求: 注释未正式支持集群的零停机降级。
•从9.0
(1)升级至9.1
(1)(CSCue72961)-不支持零停机时间升级。
•升级至9.5
(2)或更高版本(CSCuv82933)-如果您在升级主设备之前输入showclusterinfo,升级的从设备会显示 “DEPUTY_BULK_SYNC”;其他不匹配的状态也会显示。
您可以忽略此显示;当您升级完所有设备后,状态将正确显示。
•完全限定域名(FQDN)ACL的升级问题-由于CSCuv92371,包含FQDN的ACL可能导致将不完整的ACL复制到集群或故障切换对中的辅助设备。
此漏洞存在于9.1
(7)、9.5
(2)、9.6
(1)和一些临时版本中。
我们建议您升级到包括对CSCuy34265的修复的版本:9.1(7.6)或更高版本、9.5
(3)或更高版本、9.6
(2)或更高版本。
但是,配置复制的性质致使零停机升级不可用。
有关不同升级方法的详细信息,请参阅CSCuy34265。
故障切换准则 对于故障切换,执行零停机时间升级无特殊要求,但以下情况例外:
8 •8.4
(6)、9.0
(2)和9.1
(2)的升级问题-由于存在CSCug88962,因此8.4
(6)、9.0
(2)或9.1
(3)无法执行零停机时间升级。
应改为升级到8.4
(5)或9.0
(3)。
升级9.1
(1)时,由于存在CSCuh25271,无法直接升级到9.1
(3)版本,因此没有解决零停机时间升级的方法;您必须先升级到9.1
(2),再升级到9.1
(3)或更高版本。
•完全限定域名(FQDN)ACL的升级问题-由于CSCuv92371,包含FQDN的ACL可能导致将不完整的ACL复制到集群或故障切换对中的辅助设备。
此漏洞存在于9.1
(7)、9.5
(2)、9.6
(1)和一些临时版本中。
我们建议您升级到包括对CSCuy34265的修复的版本:9.1(7.6)或更高版本、9.5
(3)或更高版本、9.6
(2)或更高版本。
但是,配置复制的性质致使零停机升级不可用。
有关不同升级方法的详细信息,请参阅CSCuy34265。
•由于VTI和VXLANVNI从9.7
(1)升级到9.7(1.x)及更高版本的问题-如果同时配置了虚拟隧道接口(VTI)和VXLAN虚拟网络标识符(VNI)接口,则对于故障切换无法执行零停机时间升级;这些接口类型的连接不能复制到备用设备,直到两种设备处于相同版本。
(CSCvc83062) 其他规定 •思科ASA无客户端SSLVPN门户自定义完整性漏洞-已修复ASA软件中无客户端SSLVPN的多个漏洞,所以您应将软件升级至已修复的版本。
有关漏洞详细信息和已修复的ASA版本列表,请参阅/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141008-asa。
另外,如果您曾运行过以前包含配置漏洞的ASA版本,则无论您当前运行的是哪个版本,均应验证门户自定义功能是否受损。
如果攻击者过去损坏了自定义对象,在将ASA升级到已修复版本后,受损对象将一直存在。
升级ASA可防止此漏洞被进一步利用,但不会修改已受损的任何自定义对象,这些对象仍存在于系统中。
查看当前版本 •CLI-使用showversion命令可验证ASA的软件版本。
•ASDM-软件版本显示在ASDM主页上;查看该主页可验证ASA的软件版本。
从下载软件 如果您正在使用ASDM升级向导,则不必预先下载软件。
如果要手动升级,例如执行故障切换升级,请将映像下载至本地计算机。
对于CLI升级,可将软件放到许多类型的服务器上,包括TFTP、HTTP和FTP。
有关详细信息,请参阅以下网址中有关copy命令的说明:mand-reference/A-H/cmdref1/c4.html#pgfId-2171368。
从中可下载ASA和相关软件。
下表包括ASA和相关软件包的命名约定及信息。
注释需要登录信息和思科服务合同。
9 ASA型号 ASA5506-
X、ASA5508-X和ASA5516-
X 软件包和下载位置 请访问:/go/asa-firepower-sw。
•ASA软件-依次选择型号>自适应安全设备(ASA)软件>版本。
ASA软件文件的文件名类似于asa962-lfbff-k8.SPA。
•ASDM软件-依次选择型号>自适应安全设备(ASA)设备管理器>版本。
ASDM软件文件的文件名类似于asdm-762.bin。
•ASAFirePOWER模块软件-依次选择型号>ASAFirePOWER服务软件>版本。
要安装FirePOWER软件,请参阅《ASA防火墙配置指南》或《Firepower版本说明》。
启动映像-启动映像的文件名类似于asasfr-5500x-boot-6.1.0-330.img。
系统软件安装软件包-系统软件安装软件包的文件名类似于asasfr-sys-6.1.0-330.pkg。
补丁文件-补丁文件名以.sh结尾。
•RESTAPI软件-依次选择型号>自适应安全设备RESTAPI插件>版本。
API软件文件的文件名类似于asa-restapi-132-lfbff-k8.SPA。
要安装RESTAPI,请参阅API快速入门指南。
•ROMMON软件-依次选择型号>ASARommon软件>版本。
ROMMON软件文件的文件名类似于asa5500-firmware-1108.SPA。
10 ASA型号ASA5512-X至ASA5555-
X 软件包和下载位置 •ASA软件-请访问:/go/asa-software。
依次选择型号>机箱中的软件>自适应安全设备(ASA)软件>版本。
ASA软件文件的文件名类似于asa962-smp-k8.bin。
•ASDM软件-请访问:/go/asa-software。
依次选择型号>机箱中运行的软件>自适应安全设备(ASA)设备管理器>版本。
ASDM软件文件的文件名类似于asdm-762.bin。
•ASAFirePOWER模块软件-请访问:/go/asa-firepower-sw。
依次选择型号>ASAFirePOWER服务软件>版本。
要安装FirePOWER软件,请参阅《ASA防火墙配置指南》或《Firepower版本说明》。
启动映像-启动映像的文件名类似于asasfr-5500x-boot-6.1.0-330.img。
系统软件安装软件包-系统软件安装软件包的文件名类似于asasfr-sys-6.1.0-330.pkg。
补丁文件-补丁文件名以.sh结尾。
•RESTAPI软件-请访问:/go/asa-software。
依次选择型号>机箱中的软件>自适应安全设备RESTAPI插件>版本。
API软件文件的文件名类似于asa-restapi-132-lfbff-k8.SPA。
要安装RESTAPI,请参阅API快速入门指南。
•适用于思科应用策略基础设施控制器(APIC)的ASA设备软件包-请参阅:/go/asa-software。
依次选择型号>机箱中的软件>适用于以应用为中心的基础设施(ACI)的ASA设备软件包>版本。
对于APIC1.2
(7)及更高版本,请选择PolicyOrchestrationwithFabricInsertion或FabricInsertion-only软件包。
设备软件包软件文件的文件名类似于asa-device-pkg-1.2.7.10.zip。
要安装ASA设备软件包,请参阅《思科APIC第4-7层服务部署指南》的“导入设备软件包”一章。
11 ASA型号ASA5585-
X 软件包和下载位置 •ASA软件-请访问:/go/asa-software。
依次选择型号>机箱中的软件>自适应安全设备(ASA)软件>版本。
ASA软件文件的文件名类似于asa962-smp-k8.bin。
•ASDM软件-请访问:/go/asa-software。
依次选择型号>机箱中运行的软件>自适应安全设备(ASA)设备管理器>版本。
ASDM软件文件的文件名类似于asdm-762.bin。
•ASAFirePOWER模块软件-请访问:/go/asa-firepower-sw。
依次选择型号>版本。
要安装FirePOWER软件,请参阅《ASA防火墙配置指南》或《Firepower版本说明》。
启动映像-启动映像的文件名类似于asasfr-boot-6.1.0-330.img。
系统软件安装软件包-系统软件安装软件包的文件名类似于asasfr-sys-6.1.0-330.pkg。
补丁文件-补丁文件名以.sh结尾。
•RESTAPI软件-请参阅/go/asa-software。
依次选择型号>机箱中的软件>自适应安全设备RESTAPI插件>版本。
API软件文件的文件名类似于asa-restapi-132-lfbff-k8.SPA。
要安装RESTAPI,请参阅API快速入门指南。
•适用于思科应用策略基础设施控制器(APIC)的ASA设备软件包-请参阅:/go/asa-software。
依次选择型号>机箱中的软件>适用于以应用为中心的基础设施(ACI)的ASA设备软件包>版本。
对于APIC1.2
(7)及更高版本,请选择PolicyOrchestrationwithFabricInsertion或FabricInsertion-only软件包。
设备软件包软件文件的文件名类似于asa-device-pkg-1.2.7.10.zip。
要安装ASA设备软件包,请参阅《思科APIC第4-7层服务部署指南》的“导入设备软件包”一章。
12 ASA型号ASAv 软件包和下载位置 请参阅:/go/asav-software。
•ASA软件-依次选择自适应安全设备(ASA)软件>版本。
选择适合虚拟机监控程序的文件类型。
有关详细信息,请参阅《ASAv快速入门指南》。
•ASDM软件-依次选择自适应安全设备(ASA)设备管理器>版本。
ASDM软件文件的文件名类似于asdm-762.bin。
•RESTAPI软件-依次选择自适应安全设备RESTAPI插件>版本。
API软件文件的文件名类似于asa-restapi-132-lfbff-k8.SPA。
要安装RESTAPI,请参阅API快速入门指南。
•适用于思科应用策略基础设施控制器(APIC)的ASA设备软件包-依次选择适用于以应用为中心的基础设施(ACI)的ASA设备软件包>版本。
对于APIC1.2
(7)及更高版本,请选择PolicyOrchestrationwithFabricInsertion或FabricInsertion-only软件包。
设备软件包软件文件的文件名类似于asa-device-pkg-1.2.7.10.zip。
要安装ASA设备软件包,请参阅《思科APIC第4-7层服务部署指南》的“导入设备软件包”一章。
Firepower4100系列上的ASA 请参阅:/go/firepower4100-software。
•ASA和ASDM软件-ASA软件包包括ASA和ASDM。
依次选择型号>自适应安全设备(ASA)软件>版本。
ASA软件包的文件名类似于cisco-asa.9.6.2.SPA.csp。
要安装ASA软件包,请参阅《FXOS配置指南》的“映像管理”一章。
•ASDM软件(升级)-要使用当前ASDM或ASACLI升级到更高的ASDM版本,请依次选择型号>自适应安全设备(ASA)设备管理器>版本。
ASDM软件文件的文件名类似于asdm-762.bin。
•RESTAPI软件-依次选择型号>自适应安全设备RESTAPI插件>版本。
API软件文件的文件名类似于asa-restapi-132-lfbff-k8.SPA。
要安装RESTAPI,请参阅API快速入门指南。
13 ASA型号Firepower9300系列上的ASA 软件包和下载位置 请参阅:/go/firepower9300-software。
•ASA和ASDM软件-ASA软件包包括ASA和ASDM。
依次选择自适应安全设备(ASA)软件>版本。
ASA软件包的文件名类似于cisco-asa.9.6.2.SPA.csp。
要安装ASA软件包,请参阅《FXOS配置指南》的“映像管理”一章。
•ASDM软件(升级)-要使用当前ASDM或ASACLI升级到更高的ASDM版本,请依次选择自适应安全设备(ASA)设备管理器>版本。
ASDM软件文件的文件名类似于asdm-762.bin。
•RESTAPI软件-选择自适应安全设备RESTAPI插件>版本。
API软件文件的文件名类似于asa-restapi-132-lfbff-k8.SPA。
要安装RESTAPI,请参阅API快速入门指南。
ASA服务模块 •ASA软件-请参阅:/go/asasm-software。
选择版本。
ASA软件文件的文件名类似于asa962-smp-k8.bin。
•ASDM软件-请参阅/go/asdm-software。
依次选择自适应安全设备(ASA)设备管理器>版本。
ASDM软件文件的文件名类似于asdm-762.bin。
ISA3000 请参阅:/go/isa3000-software。
•ASA软件-依次选择型号>自适应安全设备(ASA)软件>版本。
ASA软件文件的文件名类似于asa962-lfbff-k8.SPA。
•ASDM软件-依次选择型号>自适应安全设备(ASA)设备管理器>版本。
ASDM软件文件的文件名类似于asdm-762.bin。
•ASAFirePOWER模块软件-依次选择型号>ASAFirePOWER服务软件>版本。
要安装FirePOWER软件,请参阅《ASA防火墙配置指南》或《Firepower版本说明》。
启动映像-启动映像的文件名类似于asasfr-ISA-3000-boot-5.4.1-213.img。
系统软件安装软件包-系统软件安装软件包的文件名类似于asasfr-sys-5.4.1-213.pkg。
补丁文件-补丁文件名以.sh结尾。
•RESTAPI软件-依次选择型号>自适应安全设备RESTAPI插件>版本。
API软件文件的文件名类似于asa-restapi-132-lfbff-k8.SPA。
要安装RESTAPI,请参阅API快速入门指南。
14 升级独立设备 本节介绍如何安装ASDM和操作系统(OS)映像。
(CLI)使用CLI升级 本节介绍如何安装ASDM和操作系统(OS)映像。
此过程将使用FTP。
有关TFTP或HTTP,请参阅copy命令。
开始之前•如有配置迁移,请备份您的配置文件。
例如:moresystem:running-config复制此命令的输出,然后将配置粘贴到文本文件中。
有关其他备份方法,请参阅常规操作配置指南。
过程 步骤
1 将ASA软件复制到闪存中:copyftp://[[user[:password]@]server[/path]/asa_image_namediskn:/[path/]asa_image_name 步骤
2 示例: ciscoasa#copyftp://jcrichton:aeryn@10.1.1.1/asa981-smp-k8.bindisk0:/asa981-smp-k8.bin 将ASDM映像复制到闪存中:copyftp://[[user[:password]@]server[/path]/asdm_image_namediskn:/[path/]asdm_image_name 步骤3步骤
4 示例: ciscoasa#copyftp://jcrichton:aeryn@10.1.1.1/asdm-771781782783.bindisk0:/asdm-771781782783.bin 如果您当前未处于全局配置模式,请访问全局配置模式:configureterminal 显示当前配置的启动映像(最多4个):showrunning-configbootsystem 示例: ciscoasa(config)#showrunning-configbootsystembootsystemdisk0:/cdisk.binbootsystemdisk0:/asa931-smp-k8.bin ASA按列示顺序使用映像;如果第一个映像不可用,则使用下一个映像,以此类推。
不能在列表顶部插入新映像URL;要将新的映像指定为第一个映像,必须删除所有现有条目,再根据后续步骤按所需顺序输入映像URL。
15 步骤
5 删除所有现有的引导映像配置,以便将新的引导映像作为首选输入:nobootsystemdiskn:/[path/]asa_image_name 步骤
6 示例: ciscoasa(config)#nobootsystemdisk0:/cdisk.binciscoasa(config)#nobootsystemdisk0:/asa931-smp-k8.bin 将ASA映像设置为引导映像(您刚上传的映像):bootsystemdiskn:/[path/]asa_image_name 步骤
7 示例: ciscoasa(config)#bootsystemdisk0:/asa981-smp-k8.bin 如果此映像不可用,请对要使用的任何备份映像重复执行此命令。
例如,您可以重新输入以前删除的映像。
设置要使用的ASDM映像(您刚上传的映像):asdmimagediskn:/[path/]asdm_image_name 步骤8步骤
9 示例: ciscoasa(config)#asdmimagedisk0:/asdm-771781782783.bin 您只能配置一个要使用的ASDM映像,因此您不需要先删除现有配置。
将新设置保存至启动配置:writememory 重新加载ASA:reload (ASDM)从本地计算机升级 使用本地计算机中的升级软件,可将映像文件从计算机上传到闪存文件系统来升级ASA。
过程 步骤1步骤
2 (如果存在配置迁移)在ASDM中,使用工具>备份配置工具备份现有的配置。
在主ASDM应用窗口中,依次选择工具>从本地计算机升级软件。
系统将显示UpgradeSoftware对话框。
16 步骤3步骤4步骤
5 步骤6步骤7步骤
8 步骤9步骤10 从ImagetoUpload下拉列表中选择ASDM。
在本地文件路径字段中,输入指向计算机中文件的本地路径,或者点击浏览本地文件在PC中查找文件。
在FlashFileSystemPath字段中,输入闪存文件系统的路径,或者点击BrowseFlash在闪存文件系统中查找目录或文件。
点击UploadImage。
上传过程可能需要数分钟。
系统会提示您将此映像设置为ASDM映像。
点击Yes。
系统会提示您退出ASDM并保存配置。
点击OK。
您会退出Upgrade工具。
注意:在升级ASA软件之后,您将保存配置并重新加载ASDM。
重复上述步骤,从要上传的映像下拉列表中选择ASA。
您也可以使用此程序上传其他文件类型。
依次选择工具>重新加载系统以重新加载ASA。
系统将显示新窗口,要求您确认重新加载的详细信息。
a)点击Savetherunningconfigurationatthetimeofreload单选按钮(默认)。
b)选择重新加载的时间(例如,默认值Now)。
c)点击ScheduleReload。
重新加载开始后,系统将显示ReloadStatus窗口,指示正在执行重新加载。
系统还提供了退出ASDM的选项。
步骤11在ASA重新加载后,重启ASDM。
(ASDM)使用向导升级 使用向导中的升级软件,可自动将ASDM和ASA升级到更高的版本。
在此向导中,您可以执行以下操作: •选择ASA映像文件和/或ASDM映像文件以执行升级。
注释ASDM会下载最新的映像版本,其版本号包括内部版本号。
例如,如果您要下载9.4
(1),实际下载的可能为9.4(1.2)。
这是预期行为,因此您可以继续执行计划的升级。
•查看您所做的升级更改。
•下载一个或多个映像,并进行安装。
•查看安装的状态。
•如果安装成功完成,请重启ASA以保存配置并完成升级。
17 过程 步骤1步骤
2 步骤
3 步骤4步骤
5 步骤6步骤
7 (如果存在配置迁移)在ASDM中,使用工具>备份配置工具备份现有的配置。
依次选择工具>检查ASA/ASDM更新。
在多情景模式中,从System访问此菜单。
系统将显示Authentication对话框。
输入用户名和密码,然后点击Login。
系统将显示UpgradeWizard。
注释如果无可用升级,系统将显示对话框。
点击OK退出向 导。
点击Next显示SelectSoftware屏幕。
系统将显示当前的ASA版本和ASDM版本。
如要升级ASA版本和ASDM版本,请执行以下步骤:a)在ASA区域,选中Upgradeto复选框,然后从下拉列表中选择要升级的目标ASA版本。
b)在ASDM区域,选中Upgradeto复选框,然后从下拉列表中选择要升级的目标ASDM版本。
点击Next,显示ReviewChanges屏幕。
请验证以下项目: •您已下载的ASA映像文件和/或ASDM映像文件为正确文件。
•您要上传的ASA映像文件和/或ASDM映像文件为正确文件。
•已选择正确的ASA引导映像。
步骤
8 点击Next,开始升级安装。
然后,您可以在升级安装过程中查看其状态。
系统将显示Results屏幕,其中提供详细信息,如升级安装状态(成功或失败)。
步骤9步骤10 如果升级安装成功,要使升级版本生效,请选中立即保存配置并重新加载设备复选框以重启ASA,然后重启ASDM。
点击Finish,退出向导,保存对配置的更改。
注释要升级到更高一级的版本(如有),必须重启向 导。
升级主用/备用故障切换对 使用CLI或ASDM升级主用/备用故障切换对,以实现零停机升级。
18 CLI 要升级主用/备用故障切换对,请执行以下步骤。
此过程将使用FTP。
有关TFTP或HTTP,请参阅copy命令。
开始之前•在主用设备上执行以下步骤。
•如有配置迁移,请备份您的配置文件。
例如:moresystem:running-config复制此命令的输出,然后将配置粘贴到文本文件中。
有关其他备份方法,请参阅常规操作配置指南。
过程 步骤
1 将ASA软件复制至主用设备闪存:copyftp://[[user[:password]@]server[/path]/asa_image_namediskn:/[path/]asa_image_name 步骤
2 示例: asa/act#copyftp://jcrichton:aeryn@10.1.1.1/asa981-smp-k8.bindisk0:/asa981-smp-k8.bin 将软件复制到备用设备;请确保指定与主用设备相同的路径:failoverexecmatecopy/noconfirmftp://[[user[:password]@]server[/path]/asa_image_namediskn:/[path/]asa_image_name 步骤
3 示例: asa/act#failoverexecmatecopy/noconfirmftp://jcrichton:aeryn@10.1.1.1/asa981-smp-k8.bindisk0:/asa981-smp-k8.bin 将ASDM映像复制至主用设备闪存:copyftp://[[user[:password]@]server[/path]/asdm_image_namediskn:/[path/]asdm_image_name 步骤
4 示例: asa/act#copyftp://jcrichton:aeryn@10.1.1.1/asdm-771781782783.bindisk0:/asdm-771781782783.bin 将ASDM映像复制至备用设备;请确保指定与主用设备相同的路径:failoverexecmatecopy/noconfirmftp://[[user[:password]@]server[/path]/asdm_image_namediskn:/[path/]asdm_image_name 示例: asa/act#failoverexecmatecopy/noconfirmftp://jcrichton:aeryn@10.1.1.1/asdm-771781782783.bin 19 步骤5步骤
6 disk0:/asdm-771781782783.bin 如果您当前未处于全局配置模式,请访问全局配置模式:configureterminal 显示当前配置的引导映像(最多4个):showrunning-configbootsystem 步骤
7 示例: asa/act(config)#showrunning-configbootsystembootsystemdisk0:/cdisk.binbootsystemdisk0:/asa931-smp-k8.bin ASA按列示顺序使用映像;如果第一个映像不可用,则使用下一个映像,以此类推。
不能在列表顶部插入新映像URL;要将新的映像指定为第一个映像,必须删除所有现有条目,再根据后续步骤按所需顺序输入映像URL。
删除所有现有的引导映像配置,以便将新的引导映像作为首选输入:nobootsystemdiskn:/[path/]asa_image_name 步骤
8 示例: asa/act(config)#nobootsystemdisk0:/cdisk.binasa/act(config)#nobootsystemdisk0:/asa931-smp-k8.bin 将ASA映像设置为引导映像(您刚才上传的映像):bootsystemdiskn:/[path/]asa_image_name 步骤
9 示例: asa/act(config)#bootsystemdisk0://asa981-smp-k8.bin 如果此映像不可用,请对要使用的任何备份映像重复执行此命令。
例如,您可以重新输入以前删除的映像。
设置要使用的ASDM映像(您刚上传的映像):asdmimagediskn:/[path/]asdm_image_name 示例: asa/act(config)#asdmimagedisk0:/asdm-771781782783.bin 您只能配置一个要使用的ASDM映像,因此您不需要先删除现有配置。
步骤10 将新设置保存至启动配置:writememory 这些配置更改会自动保存到备用设备上。
步骤11 重新加载备用设备,以便引导新映像:failoverreload-standby 等待备用设备完成加载。
使用showfailover命令可验证备用设备是否处于备用就绪状态。
步骤12强行将主用设备故障切换至备用设备: 20 nofailoveractive如果您从SSH会话中断开连接,请重新连接到主IP地址(现位于新的主用/以前的备用设备上)。
步骤13在新的主用设备上,重新加载以前的主用设备(现为新的备用设备):failoverreload-standby 示例: asa/act#failoverreload-standby 注释如果连接到以前的主用设备控制台端口,应改为输入reload命令来重新加载以前的主用设备。
ASDM 要升级主用/备用故障切换对,请执行以下步骤。
开始之前如果存在配置迁移,请在ASDM中使用工具>备份配置工具备份现有的配置。
过程 步骤1步骤
2 步骤3步骤4步骤5步骤
6 步骤
7 步骤8步骤
9 连接到备用IP地址,以此在备用设备上启动ASDM。
在主ASDM应用窗口中,依次选择工具>从本地计算机升级软件。
系统将显示UpgradeSoftware对话框。
从ImagetoUpload下拉列表中选择ASDM。
在本地文件路径字段中,输入指向计算机中文件的本地路径,或者点击浏览本地文件在PC中查找文件。
在FlashFileSystemPath字段中,输入闪存文件系统的路径,或者点击BrowseFlash在闪存文件系统中查找目录或文件。
点击UploadImage。
上传过程可能需要数分钟。
当系统提示您将此映像设置为ASDM映像时,点击否。
您会退出Upgrade工具。
重复上述步骤,从要上传的映像下拉列表中选择ASA。
当系统提示您将此映像设置为ASA映像时,点击否。
您会退出Upgrade工具。
将ASDM连接到主IP地址,从而将其连接到主用设备,然后使用与备用设备上相同的文件位置上传ASDM软件。
当系统提示您将此映像设置为ASDM映像时,点击是。
系统会提示您退出ASDM并保存配置。
点击OK。
您会退出Upgrade工具。
注意:在升级ASA软件之后,您将保存配置并重新加载ASDM。
21 步骤10步骤11 使用与备用设备相同的文件位置上传ASA软件。
当系统提示您将此映像设置为ASA映像时,点击是。
系统会提示您重新加载ASA以使用新映像。
点击OK。
您会退出Upgrade工具。
步骤12点击工具栏上的Save图标,保存配置更改。
这些配置更改会自动保存到备用设备上。
步骤13重新加载备用设备,方法为:选择监控>属性>故障切换>状态,然后点击重新加载备用。
重新加载备用设备时,停留在系统窗格以进行监控。
步骤14 重新加载备用设备后,强制主用设备执行故障切换到备用设备,方法为:选择监控>属性>故障切换>状态,然后点击设为备用。
ASDM将自动重新连接到新的主用设备。
步骤15重新加载(新)备用设备,方法为:选择监控>属性>故障切换>状态,然后点击重新加载备用。
升级主用/主用故障切换对 使用CLI或ASDM升级主用/主用故障切换对,以实现零停机升级。
CLI 要升级主用/主用故障切换配置中的两台设备,请执行以下步骤。
此过程将使用FTP。
有关TFTP或HTTP,请参阅copy命令。
开始之前 •在主设备(或故障切换组1处于活动状态的设备)上执行以下步骤。
•在系统执行空间中执行以下步骤。
•如有配置迁移,请备份您的配置文件。
例如: moresystem:running-config复制此命令的输出,然后将配置粘贴到文本文件中。
有关其他备份方法,请参阅常规操作配置指南。
过程 步骤
1 将ASA软件复制至主设备闪存:copyftp://[[user[:password]@]server[/path]/asa_image_namediskn:/[path/]asa_image_name 22 步骤
2 示例: asa/act/pri#copyftp://jcrichton:aeryn@10.1.1.1/asa981-smp-k8.bindisk0:/asa981-smp-k8.bin 将软件复制至辅助设备;请确保指定与主设备相同的路径:failoverexecmatecopy/noconfirmftp://[[user[:password]@]server[/path]/asa_image_namediskn:/[path/]asa_image_name 步骤
3 示例: asa/act/pri#failoverexecmatecopy/noconfirmftp://jcrichton:aeryn@10.1.1.1/asa981-smp-k8.bindisk0:/asa981-smp-k8.bin 将ASDM映像复制至主设备闪存:copyftp://[[user[:password]@]server[/path]/asdm_image_namediskn:/[path/]asdm_image_name 步骤
4 示例: asa/act/pri#ciscoasa#copyftp://jcrichton:aeryn@10.1.1.1/asdm-771781782783.bindisk0:/asdm-771781782783.bin 将ASDM映像复制到辅助设备;务必指定与主设备相同的路径:failoverexecmatecopy/noconfirmftp://[[user[:password]@]server[/path]/asdm_image_namediskn:/[path/]asdm_image_name 步骤5步骤
6 示例: asa/act/pri#failoverexecmatecopy/noconfirmftp://jcrichton:aeryn@10.1.1.1/asdm-771781782783.bindisk0:/asdm-771781782783.bin 如果您当前未处于全局配置模式,请访问全局配置模式:configureterminal 显示当前配置的引导映像(最多4个):showrunning-configbootsystem 步骤
7 示例: asa/act/pri(config)#showrunning-configbootsystembootsystemdisk0:/cdisk.binbootsystemdisk0:/asa931-smp-k8.bin ASA按列示顺序使用映像;如果第一个映像不可用,则使用下一个映像,以此类推。
不能在列表顶部插入新映像URL;要将新映像指定为第一个映像,必须删除所有现有条目,再根据后续步骤按所需顺序输入映像URL。
删除所有现有的引导映像配置,以便将新的引导映像作为首选输入:nobootsystemdiskn:/[path/]asa_image_name 示例: asa/act/pri(config)#nobootsystemdisk0:/cdisk.bin 23 步骤
8 asa/act/pri(config)#nobootsystemdisk0:/asa931-smp-k8.bin 将ASA映像设置为引导映像(您刚才上传的映像):bootsystemdiskn:/[path/]asa_image_name 步骤
9 示例: asa/act/pri(config)#bootsystemdisk0://asa981-smp-k8.bin 如果此映像不可用,请对要使用的任何备份映像重复执行此命令。
例如,您可以重新输入以前删除的映像。
设置要使用的ASDM映像(您刚上传的映像):asdmimagediskn:/[path/]asdm_image_name 示例: asa/act/pri(config)#asdmimagedisk0:/asdm-771781782783.bin 您只能配置一个要使用的ASDM映像,因此您不需要先删除现有配置。
步骤10 使两个故障切换组在主设备上均处于活动状态:failoveractivegroup1 failoveractivegroup2 示例: asa/act/pri(config)#failoveractivegroup1asa/act/pri(config)#failoveractivegroup2 步骤11 将新设置保存至启动配置:writememory 这些配置更改会自动保存到辅助设备上。
步骤12 重新加载辅助设备,以便引导新映像:failoverreload-standby 等待辅助设备完成加载。
使用showfailover命令可验证两个故障切换组是否都处于备用就绪状态。
步骤13 强行要求两个故障切换组在辅助设备上变为活动状态:nofailoveractivegroup1 nofailoveractivegroup2 示例: asa/act/pri(config)#nofailoveractivegroup1asa/act/pri(config)#nofailoveractivegroup2asa/stby/pri(config)# 如果您从SSH会话中断开连接,请重新连接到故障切换组1IP地址(现位于辅助设备上)。
步骤14重新加载主设备:failoverreload-standby 24 示例: asa/act/sec(config)#failoverreload-standby 注释如果已连接到主设备控制台端口,应改为输入reload命令来重新加载主设备。
您可能从SSH会话中断开连接。
如果故障切换组被配置为使用preempt命令,则在抢占延迟过后,它们会自动在其指定设备上变为主用状态。
如果故障切换组未被配置为使用preempt命令,您可以使用failoveractivegroup命令在其指定设备上将它们恢复为主用状态。
ASDM 要升级主用/主用故障切换配置中的两台设备,请执行以下步骤。
开始之前 •在系统执行空间中执行以下步骤。
•如果存在配置迁移,请在ASDM中使用工具>备份配置工具备份现有的配置。
过程 步骤1步骤
2 步骤3步骤4步骤5步骤
6 步骤
7 步骤8步骤
9 通过连接到故障切换组2的管理地址在辅助设备(或故障切换组1未处于活动状态的设备)上启动ASDM。
在主ASDM应用窗口中,依次选择工具>从本地计算机升级软件。
系统将显示UpgradeSoftware对话框。
从ImagetoUpload下拉列表中选择ASDM。
在本地文件路径字段中,输入指向计算机中文件的本地路径,或者点击浏览本地文件在PC中查找文件。
在FlashFileSystemPath字段中,输入闪存文件系统的路径,或者点击BrowseFlash在闪存文件系统中查找目录或文件。
点击UploadImage。
上传过程可能需要数分钟。
当系统提示您将此映像设置为ASDM映像时,点击否。
您会退出Upgrade工具。
重复上述步骤,从要上传的映像下拉列表中选择ASA。
当系统提示您将此映像设置为ASA映像时,点击否。
您会退出Upgrade工具。
通过连接至故障切换组1中的管理IP地址,将ASDM连接至主设备,并使用辅助设备上所用的相同文件位置上传ASDM软件。
当系统提示您将此映像设置为ASDM映像时,点击是。
系统会提示您退出ASDM并保存配置。
点击OK。
您会退出Upgrade工具。
注意:在升级ASA软件之后,您将保存配置并重新加载ASDM。
25 步骤10步骤11 使用与辅助设备相同的文件位置上传ASA软件。
当系统提示您将此映像设置为ASA映像时,点击是。
系统会提示您重新加载ASA以使用新映像。
点击OK。
您会退出Upgrade工具。
步骤12点击工具栏上的Save图标,保存配置更改。
这些配置更改会自动保存到辅助设备上。
步骤13步骤14 将主设备上的两个故障切换组都设为活动状态,方法为:选择监控>故障切换>故障切换组#(其中号为要移到主设备的故障切换组的编号),然后点击设为主用。
重新加载辅助设备,方法为:选择监控>故障切换>系统,然后点击重新加载备用。
重新加载辅助设备时,停留在系统窗格以进行监控。
步骤15 在辅助设备出现后,将辅助设备上的两个故障切换组都设为活动状态,方法为:选择监控>故障切换>故障切换组号(其中号为要移到辅助设备的故障切换组的编号),然后点击设为备用。
ASDM将自动重新连接到辅助设备上的故障切换组1IP地址。
步骤16 重新加载主设备,方法为:选择监控>故障切换>系统,然后点击重新加载备用。
如果故障切换组被配置为PreemptEnabled,在抢占延迟过后,它们会在其指定设备上自动变为活动状态。
如果故障切换组未被配置为“启用抢占”,可使用监控>故障切换>故障切换组号窗格在其指定设备上将它们恢复为主用状态。
升级ASA集群 使用CLI或ASDM升级ASA集群,以实现零停机升级。
CLI 要升级ASA集群中的所有设备,请执行以下步骤:此过程将使用FTP。
有关TFTP或HTTP,请参阅copy命令。
开始之前 •在主设备上执行以下步骤。
•您必须使用控制台端口;不能通过远程CLI连接启用或禁用集群。
•在系统执行空间中执行以下步骤。
•如有配置迁移,请备份您的配置文件。
例如: moresystem:running-config复制此命令的输出,然后将配置粘贴到文本文件中。
有关其他备份方法,请参阅常规操作配置指南。
26 过程 步骤
1 将ASA软件复制至集群中的所有设备:clusterexeccopy/noconfirmftp://[[user[:password]@]server[/path]/asa_image_namediskn:/[path/]asa_image_name 步骤
2 示例: asa/unit1/master#clusterexeccopy/noconfirmftp://jcrichton:aeryn@10.1.1.1/asa981-smp-k8.bindisk0:/asa981-smp-k8.bin 将ASDM映像复制至集群中的所有设备:clusterexeccopy/noconfirmftp://[[user[:password]@]server[/path]/asdm_image_namediskn:/[path/]asdm_image_name 步骤3步骤
4 示例: asa/unit1/master#clusterexeccopy/noconfirmftp://jcrichton:aeryn@10.1.1.1/asdm-771781782783.bindisk0:/asdm-771781782783.bin 如果您当前未处于全局配置模式,请访问全局配置模式:configureterminal 显示当前配置的引导映像(最多4个):showrunning-configbootsystem 步骤
5 示例: asa/unit1/master(config)#showrunning-configbootsystembootsystemdisk0:/cdisk.binbootsystemdisk0:/asa931-smp-k8.bin ASA按列示顺序使用映像;如果第一个映像不可用,则使用下一个映像,以此类推。
不能在列表顶部插入新映像URL;要将新的映像指定为第一个映像,必须删除所有现有条目,再根据后续步骤按所需顺序输入映像URL。
删除所有现有的引导映像配置,以便将新的引导映像作为首选输入:nobootsystemdiskn:/[path/]asa_image_name 步骤
6 示例: asa/unit1/master(config)#nobootsystemdisk0:/cdisk.binasa/unit1/master(config)#nobootsystemdisk0:/asa931-smp-k8.bin 将ASA映像设置为引导映像(您刚才上传的映像):bootsystemdiskn:/[path/]asa_image_name 步骤
7 示例: asa/unit1/master(config)#bootsystemdisk0://asa981-smp-k8.bin 如果此映像不可用,请对要使用的任何备份映像重复执行此命令。
例如,您可以重新输入以前删除的映像。
设置要使用的ASDM映像(您刚上传的映像): 27 asdmimagediskn:/[path/]asdm_image_name 步骤8步骤
9 示例: asa/unit1/master(config)#asdmimagedisk0:/asdm-771781782783.bin 您只能配置一个要使用的ASDM映像,因此您不需要先删除现有配置。
将新设置保存至启动配置:writememory这些配置更改会自动保存到辅助设备上。
重新加载每个辅助设备(从优先级最低的辅助设备开始);对于每个设备名称重复执行此命令:clusterexecunitsecondary-unitreloadnoconfirm 示例: asa/unit1/master#clusterexecunitunit2reloadnoconfirm 步骤10 如要避免连接中断并保持流量稳定,请在重新加载下一台设备之前,等待每台设备恢复运行(约5分钟)。
要查看成员名称,请输入clusterexecunit?
或showclusterinfo命令。
注释在升级过程中,切勿使用clustermasterunit命令强制将某个辅助设备变为主设备;否则可能导致网络连接和集群稳定相关的问题。
您必须首先升级和重新加载所有辅助设备,然后才能继续执行此过程,从而确保从当前主设备顺利过渡到新的主设备。
在主设备上禁用集群:clustergroupname noenable 等待5分钟,以便选择新的主设备且流量稳定下来。
请勿输入writememory;在主设备重新加载后,您需要在主设备上启用集群。
步骤11 重新加载主设备:reloadnoconfirm 新选择的设备将成为新的主设备。
当以前的主设备重新加入该集群时,它将成为辅助设备。
ASDM 要升级ASA集群中的所有设备,请执行以下步骤:开始之前 •在主设备上执行以下步骤。
•在系统执行空间中执行以下步骤。
•如果存在配置迁移,请在ASDM中使用工具>备份配置工具备份现有的配置。
28 过程 步骤1步骤
2 在主设备上启动ASDM。
在主ASDM应用窗口中,依次选择工具>从本地计算机升级软件。
系统将显示从本地计算机升级软件对话框。
步骤
3 点击集群中的所有设备单选按钮。
系统将显示UpgradeSoftware对话框。
步骤4步骤5步骤
6 步骤7步骤8步骤
9 步骤10步骤11 从ImagetoUpload下拉列表中选择ASDM。
在本地文件路径字段中,输入指向计算机中文件的本地路径,或者点击浏览本地文件在PC中查找文件。
在FlashFileSystemPath字段中,输入闪存文件系统的路径,或者点击BrowseFlash在闪存文件系统中查找目录或文件。
点击UploadImage。
上传过程可能需要数分钟。
系统会提示您将此映像设置为ASDM映像。
点击Yes。
系统会提示您退出ASDM并保存配置。
点击OK。
您会退出Upgrade工具。
注意:在升级ASA软件之后,您将保存配置并重新加载ASDM。
重复上述步骤,从要上传的映像下拉列表中选择ASA。
点击工具栏上的Save图标,保存配置更改。
这些配置更改会自动保存到辅助设备上。
步骤12依次选择工具>重新加载系统。
此时将显示重新加载系统对话框。
步骤13步骤14 重新加载每个辅助设备,每次一个,方法为:从设备下拉列表中选择辅助设备名称,然后点击计划重新加载以立即重新加载该设备。
从优先级最低的辅助设备开始重新加载。
如要避免连接中断并保持流量稳定,请在重新加载下一台设备之前,等待每台设备恢复运行(约5分钟)。
要查看设备重新加入集群的时间,请查看Monitoring>ASACluster>ClusterSummary窗格。
注释在升级过程中,切勿使用监控>ASA集群>集群摘要>将主设备更改为下拉列表强制将某个辅助设备变为主设备;否则可能导致网络连接和集群稳定相关的问题。
您必须首先重新加载所有辅助设备,然后才能继续执行此过程,从而确保从当前主设备顺利过渡到新的主设备。
重新加载所有辅助设备后,依次选择配置>设备管理>高可用性和可扩展性>ASA集群禁用主设备上的集群,取消选中参与ASA集群复选框,然后点击应用。
等待5分钟,以便选择新的主设备且流量稳定下来。
当以前的主设备重新加入集群时,它将成为辅助设备。
请勿保存配置;在主设备重新加载后,您需要在主设备上启用集群。
步骤15步骤16 依次选择工具>重新加载系统并从重新加载系统对话框中重新加载主设备,方法为:从设备下拉列表中选择-本设备--。
退出ASDM并重新启动;您将重新连接到新的主设备。
29 思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。
要查看思科商标列表,请访问此网址:/go/trademarks。
文中提及的第三方商标为其相应所有者的财产。
“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。
(1110R) ©2017CiscoSystems,Inc.Allrightsreserved. 美洲总部CiscoSystems,Inc.SanJose,CA95134-1706USA 亚太区总部CiscoSystems(USA)Pte.Ltd.Singapore 欧洲总部CiscoSystemsInternationalBVAmsterdam,TheNetherlands Cisco在全球拥有200多个办事处。
相关地址、电话和传真号码可见于Cisco位于/go/offices上的网站。
对于Firepower4100和9300,请参阅FXOS版本说明中的升级说明。
升级路径、指南和迁移 在升级之前,请检查您的升级路径、迁移和所有其他指南。
升级路径 请参阅下表以获取您的版本的升级路径。
某些版本需要先进行临时升级,然后才能升级到最新版本。
当前ASA版本8.2(x)及更早版本 首先升级到:8.4
(6) 然后升级到:9.1
(3)及更高版本 8.3(x) 8.4
(6) 9.1
(3)及更高版本 8.4
(1)至8.4
(4) 8.4
(6)或9.0(2+) 9.1
(3)及更高版本 8.4(5+) — 9.1
(3)及更高版本 8.5
(1) 9.0(2+) 9.1
(3)及更高版本 8.6
(1) 9.0(2+) 9.1
(3)及更高版本 9.0
(1) 9.0(2+) 9.1
(3)及更高版本 9.0(2+) — 9.1
(3)及更高版本 9.1
(1) 9.1
(2) 9.1
(3)及更高版本 9.1(2+) — 9.1
(3)及更高版本 9.2(x) - 9.2
(2)及更高版本 9.3(x) - 9.3
(2)及更高版本 9.4(x) - 9.4
(2)及更高版本 9.5(x) — 9.5
(2)及更高版本
2 当前ASA版本9.6(x)9.7(x)9.8(x) 首先升级到:——— 然后升级到:9.6
(2)及更高版本9.7
(2)及更高版本9.8
(2)及更高版本 版本特定的指南和迁移 根据当前的版本,您可能会遇到一次或多次配置迁移,并且在升级时必须考虑适用于起始版本与结束版本之间所有版本的配置指南。
•9.8版指南和迁移,第3页•9.7版指南和迁移,第3页•9.6版指南和迁移,第4页•9.5版指南和迁移,第4页•9.4版指南和迁移,第6页•9.3版指南和迁移,第6页•9.2版指南和迁移,第6页•9.1版指南和迁移,第7页•9.0版指南和迁移,第7页•8.4版指南和迁移,第8页•8.3版指南和迁移,第8页 9.8版指南和迁移•请勿将AmazonWebServices上的ASAv升级到9.8
(1)-由于存在CSCve56153,因此不应升级到9.8
(1)。
升级后,ASAv将无法连接。
请查阅错误状态,了解修补程序何时可用。
9.7版指南和迁移•由于VTI和VXLANVNI从9.7
(1)升级到9.7(1.x)及更高版本的问题-如果同时配置了虚拟隧道接口(VTI)和VXLAN虚拟网络标识符(VNI)接口,则对于故障切换无法执行零停机时间升级;这些接口类型的连接不能复制到备用设备,直到两种设备处于相同版本。
(CSCvc83062)
3 9.6版指南和迁移•(ASA9.6
(2))使用SSH公钥身份验证时的升级影响-由于对SSH身份验证的更新,需要更多配置才能启用SSH公钥身份验证;因此,使用公钥身份验证的现有SSH配置在升级后不再有效。
公钥身份验证默认用于AmazonWebServices(AWS),因此,AWS用户将看到此问题。
要避免丢失SSH连接,您可以在升级前更新您的配置。
或者,您可以在升级后使用ASDM(如果已启用ASDM访问)以修复该配置。
用户名“admin”的原始配置示例: usernameadminnopasswordprivilege15usernameadminattributes sshauthenticationpublickey55:06:47:eb:13:75:fc:5c:a8:c1:2c:bb:07:80:3a:fc:d9:08:a9:1f:34:76:31:ed:ab:bd:3a:9e:03:14:1e:1bhashed 要使用sshauthentication命令,请在升级之前输入以下命令: aaaauthenticationsshconsoleLOCALusernameadminpassword
nopassword关键字意味着可以输入任何密码,而不是不可输入任何密码。
在9.6
(2)版之前,执行SSH公共密钥身份验证不需要aaa命令,所以不会触发nopassword关键字。
现在则需要使用aaa命令,所以对于username,如果存在password(或nopassword)关键字,还会自动允许普通密码身份验证。
在升级后,username命令不再需要password或nopassword关键字;您可以要求用户不能输入密码。
因此,要强制仅进行公钥身份验证,请重新输入username命令: usernameadminprivilege15 •在Firepower9300上升级ASA时的升级影响-由于在后端进行的许可证授权命名更改,当升级到ASA9.6
(1)/FXOS1.1.4时,启动配置可能在初始重新加载时无法正确解析;对应于追加授权的配置会被拒绝。
对于独立ASA,在设备重新加载新版本后,请等候所有授权均处理完并都处于“已授权”状态(showlicenseall或监控>属性>智能许可证),然后只需重新加载(reload或工具>重新加载系统)而不必保存配置。
在重新加载后,启动配置将被正确解析。
对于故障切换对,如有任何附加授权,请按照FXOS版本说明中的升级过程进行操作,但在重新加载每个设备后重置故障切换(failoverreset或监控>属性>故障切换>状态、监控>故障切换>系统或监控>故障切换>故障切换组,然后点击重置故障切换)。
对于集群,请按照FXOS版本说明中的升级过程进行操作;无需进行其他操作。
9.5版指南和迁移•9.5
(2)新运营商许可证-新运营商许可证将替代现有的GTP/GPRS许可证,并且还支持SCTP和Diameter检测。
对于Firepower9300ASA安全模块,featuremobile-sp命令将自动迁移到featurecarrier命令。
•9.5
(2)弃用了邮件代理命令-在ASA版本9.5
(2)中,不再支持邮件代理命令(imap4s、pop3s、smtps)及其子命令。
4 •9.5
(2)弃用或迁移了CSD命令-在ASA版本9.5
(2)中,不再支持CSD命令(csdimage、showwebvpncsdimage、showwebvpncsd、showwebvpncsdhostscan、showwebvpncsdhostscanimage)。
以下CSD命令将迁移:csdenable迁移到hostscanenable;csdhostscanimage迁移到hostscanimage。
•9.5
(2)弃用了某些AAA命令-在ASA版本9.5
(2)中,不再支持这些AAA命令及其子命令(ount-disable、authenticationcrack)。
•9.5
(1)弃用了以下命令:timeoutgsn •升级至9.5(x)或更高版本时的ASA5508-X和5516-X升级问题-在升级到ASA9.5(x)或更高版本之前,如果您从未启用巨帧预留,则必须检查最大内存空间。
由于制造缺陷,可能应用了错误的软件内存限制。
如果在执行以下修复之前升级到9.5(x)或更高版本,则您的设备将在启动时崩溃;在这种情况下,您必须使用ROMMON降级到9.4(使用ROMMON加载ASA5500-X系列的映像),执行下面的程序,然后再次升级。
1输入以下命令以检查故障条件: ciscoasa#showmemorydetail|includeMaxmemoryfootprint Maxmemoryfootprint =456384512 Maxmemoryfootprint =
0 Maxmemoryfootprint =456384512 如果对于“Maxmemoryfootprint”返回小于456,384,512的值,则表示存在故障条件,您必须在升级之前完成余下的步骤。
如果显示的内存为456,384,512或更大值,则可以跳过此程序的剩余步骤,升级会正常进行。
2进入全局配置模式: ciscoasa#configureterminalciscoasa(config)# 3暂时启用巨帧预留: ciscoasa(config)#jumbo-framereservationWARNING:mandwilltakeeffectaftertherunning-configissavedandthesystemhasbeenrebooted.Commandepted.INFO:InterfaceMTUshouldbeincreasedtoavoidfragmentingjumboframesduringtransmit 注释不要重新加载ASA。
4保存配置: ciscoasa(config)#writememoryBuildingconfiguration...Cryptochecksum:b511ec956c90cadbaaf6b3064157957214437bytescopiedin1.320secs(14437bytes/sec)[OK] 5禁用巨帧预留: ciscoasa(config)#nojumbo-framereservationWARNING:mandwilltakeeffectaftertherunning-configissavedandthesystemhasbeenrebooted.Commandepted.
5 注释不要重新加载ASA。
6再次保存配置: ciscoasa(config)#writememoryBuildingconfiguration...Cryptochecksum:b511ec956c90cadbaaf6b3064157957214437bytescopiedin1.320secs(14437bytes/sec)[OK] 7现在,您可以升级到9.5(x)或更高版本。
9.4版指南和迁移•弃用了9.4
(1)统一通信电话代理和公司间媒体引擎代理-在ASA版本9.4中,不再支持电话代理和IME代理。
9.3版指南和迁移•9.3
(2)传输层安全(TLS)版本1.2的支持-我们现在支持TLS版本1.2用于ASDM、无客户端SSVPN和AnyConnectVPN的安全消息传输。
引入或修改了以下命令:sslclient-version、sslserver-version、sslcipher、ssltrust-point、ssldh-group。
弃用了以下命令:sslencryption•9.3
(1)删除了AAAWindowsNT域身份验证-删除了对远程访问VPN用户的NTLM支持。
弃用了以下命令:aaa-serverprotocolnt 9.2版指南和迁移 自动更新服务器证书验证9.2
(1)自动更新服务器证书验证默认已启用。
现在,默认已启用自动更新服务器证书验证;对于新配置,您必须明确禁用证书验证。
如果您是从较早版本升级且未启用证书验证,则不会启用证书验证,并会显示以下警告: WARNING:Thecertificateprovidedbytheauto-updateserverswillnotbeverified.Inordertoverifythiscertificatepleaseusetheverify-certificateoption. 配置将迁移为明确不配置验证:auto-updateserverno-verification 升级对ASDM登录的影响从9.2(2.4)以前的版本升级到9.2(2.4)版或更高版本时,升级对ASDM登录的影响。
如果从ASA9.2(2.4)以前的版本升级到9.2(2.4)或更高版本,并使用命令授权及ASDM定义的用户角色,则访问权限为只读的用户无法登录ASDM。
您必须在升级之前或之后将more命令更改为5级权限;只有管理员级别的用户才能进行此更改。
请注意,对于定义的用户角色,ASDM7.3
(2)版及更高版本包括权限级别为5的more命令,但先前存在的配置则需要手动修复。
ASDM:
6 1依次选择配置>设备管理>用户/AAA>AAA访问>授权,然后点击配置命令权限。
2选择more,然后点击编辑。
3将权限级别更改为
5,然后点击确定。
4点击确定,然后点击应用。
CLI: ciscoasa(config)#privilegecmdlevel5modemandmore 9.1版指南和迁移•最大MTU现为9198字节-如果您的MTU设置为高于9198的值,则升级后MTU会自动降低。
在某些情况下,这种MTU变化可能导致MTU不匹配;请务必将连接的所有设备设置为使用新的MTU值。
ASA可使用的最大MTU为9198字节(通过CLIhelp可检查型号的确切限制)。
此值不包括第2层标头。
以前,ASA允许将最大MTU指定为65535字节,该值不准确,并可能会引发问题。
9.0版指南和迁移升级到版本9.0时,系统将会迁移以下ACL配置。
IPv6ACLIPv6ACL(ipv6ess-list)将迁移到扩展ACL(ess-listextended);不再支持IPv6ACL。
如果在接口的同一方向应用IPv4和IPv6ACL(ess-group命令),这些ACL将会合并: •如果除ess-group之外,任何地方均未使用IPv4和IPv6ACL,则IPv4ACL的名称将用作合并ACL的名称;IPv6ess-list将被删除。
•如果另一功能至少正在使用其中一个ACL,则会创建一个名为IPv4-ACL-name_IPv6-ACL-name的新ACL;正在使用的ACL将继续用于其他功能。
未使用的ACL将被删除。
如果IPv6ACL正在用于另一功能,该ACL会迁移到同名的扩展ACL。
Any关键字ACL支持IPv4和IPv6后,any关键字现在表示“所有IPv4和IPv6流量”。
使用any关键字的所有现有ACL将改为使用any4关键字,该关键字表示“所有IPv4流量”。
此外,还引入了不同的关键字来表示“所有IPv6流量”:any6。
any4和any6关键字不能用于使用any关键字的任何命令。
例如,NAT功能只能使用any关键字;根据特定NAT命令内的环境,any表示IPv4流量或IPv6流量。
7 8.4版指南和迁移•透明模式的配置迁移-在8.4版中,所有透明模式接口现在都属于网桥组。
升级到8.4版时,现有的两个接口会被放到网桥组1中,而管理IP地址会被分配给网桥组虚拟接口(BVI)。
使用同一个网桥组时,功能保持不变。
现在可以利用网桥组功能,为每个网桥组最多配置四个接口,在单一模式或每个环境中最多创建八个网桥组。
注释请注意,在8.3版及更早版本中,作为不受支持的配置,可以配置不带IP地址的管理接口,并且可以使用设备管理地址访问该接口。
在8.4版中,设备管理地址会被分配到BVI,使用该IP地址不能再访问管理接口;管理接口需要有自己的IP地址。
•从8.3
(1)、8.3
(2)和8.4
(1)升级到8.4
(2)时,所有身份NAT配置现在均包括no-proxy-arp和route-lookup关键字以维持现有功能。
unidirectional关键字被删除。
8.3版指南和迁移请参阅以下指南,了解从8.3版以前的思科ASA5500操作系统(OS)升级到版本8.3时的配置迁移过程:思科ASA5500迁移到版本8.3 集群准则 除以下例外情况,对ASA集群的零停机时间升级没有特殊要求: 注释未正式支持集群的零停机降级。
•从9.0
(1)升级至9.1
(1)(CSCue72961)-不支持零停机时间升级。
•升级至9.5
(2)或更高版本(CSCuv82933)-如果您在升级主设备之前输入showclusterinfo,升级的从设备会显示 “DEPUTY_BULK_SYNC”;其他不匹配的状态也会显示。
您可以忽略此显示;当您升级完所有设备后,状态将正确显示。
•完全限定域名(FQDN)ACL的升级问题-由于CSCuv92371,包含FQDN的ACL可能导致将不完整的ACL复制到集群或故障切换对中的辅助设备。
此漏洞存在于9.1
(7)、9.5
(2)、9.6
(1)和一些临时版本中。
我们建议您升级到包括对CSCuy34265的修复的版本:9.1(7.6)或更高版本、9.5
(3)或更高版本、9.6
(2)或更高版本。
但是,配置复制的性质致使零停机升级不可用。
有关不同升级方法的详细信息,请参阅CSCuy34265。
故障切换准则 对于故障切换,执行零停机时间升级无特殊要求,但以下情况例外:
8 •8.4
(6)、9.0
(2)和9.1
(2)的升级问题-由于存在CSCug88962,因此8.4
(6)、9.0
(2)或9.1
(3)无法执行零停机时间升级。
应改为升级到8.4
(5)或9.0
(3)。
升级9.1
(1)时,由于存在CSCuh25271,无法直接升级到9.1
(3)版本,因此没有解决零停机时间升级的方法;您必须先升级到9.1
(2),再升级到9.1
(3)或更高版本。
•完全限定域名(FQDN)ACL的升级问题-由于CSCuv92371,包含FQDN的ACL可能导致将不完整的ACL复制到集群或故障切换对中的辅助设备。
此漏洞存在于9.1
(7)、9.5
(2)、9.6
(1)和一些临时版本中。
我们建议您升级到包括对CSCuy34265的修复的版本:9.1(7.6)或更高版本、9.5
(3)或更高版本、9.6
(2)或更高版本。
但是,配置复制的性质致使零停机升级不可用。
有关不同升级方法的详细信息,请参阅CSCuy34265。
•由于VTI和VXLANVNI从9.7
(1)升级到9.7(1.x)及更高版本的问题-如果同时配置了虚拟隧道接口(VTI)和VXLAN虚拟网络标识符(VNI)接口,则对于故障切换无法执行零停机时间升级;这些接口类型的连接不能复制到备用设备,直到两种设备处于相同版本。
(CSCvc83062) 其他规定 •思科ASA无客户端SSLVPN门户自定义完整性漏洞-已修复ASA软件中无客户端SSLVPN的多个漏洞,所以您应将软件升级至已修复的版本。
有关漏洞详细信息和已修复的ASA版本列表,请参阅/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141008-asa。
另外,如果您曾运行过以前包含配置漏洞的ASA版本,则无论您当前运行的是哪个版本,均应验证门户自定义功能是否受损。
如果攻击者过去损坏了自定义对象,在将ASA升级到已修复版本后,受损对象将一直存在。
升级ASA可防止此漏洞被进一步利用,但不会修改已受损的任何自定义对象,这些对象仍存在于系统中。
查看当前版本 •CLI-使用showversion命令可验证ASA的软件版本。
•ASDM-软件版本显示在ASDM主页上;查看该主页可验证ASA的软件版本。
从下载软件 如果您正在使用ASDM升级向导,则不必预先下载软件。
如果要手动升级,例如执行故障切换升级,请将映像下载至本地计算机。
对于CLI升级,可将软件放到许多类型的服务器上,包括TFTP、HTTP和FTP。
有关详细信息,请参阅以下网址中有关copy命令的说明:mand-reference/A-H/cmdref1/c4.html#pgfId-2171368。
从中可下载ASA和相关软件。
下表包括ASA和相关软件包的命名约定及信息。
注释需要登录信息和思科服务合同。
9 ASA型号 ASA5506-
X、ASA5508-X和ASA5516-
X 软件包和下载位置 请访问:/go/asa-firepower-sw。
•ASA软件-依次选择型号>自适应安全设备(ASA)软件>版本。
ASA软件文件的文件名类似于asa962-lfbff-k8.SPA。
•ASDM软件-依次选择型号>自适应安全设备(ASA)设备管理器>版本。
ASDM软件文件的文件名类似于asdm-762.bin。
•ASAFirePOWER模块软件-依次选择型号>ASAFirePOWER服务软件>版本。
要安装FirePOWER软件,请参阅《ASA防火墙配置指南》或《Firepower版本说明》。
启动映像-启动映像的文件名类似于asasfr-5500x-boot-6.1.0-330.img。
系统软件安装软件包-系统软件安装软件包的文件名类似于asasfr-sys-6.1.0-330.pkg。
补丁文件-补丁文件名以.sh结尾。
•RESTAPI软件-依次选择型号>自适应安全设备RESTAPI插件>版本。
API软件文件的文件名类似于asa-restapi-132-lfbff-k8.SPA。
要安装RESTAPI,请参阅API快速入门指南。
•ROMMON软件-依次选择型号>ASARommon软件>版本。
ROMMON软件文件的文件名类似于asa5500-firmware-1108.SPA。
10 ASA型号ASA5512-X至ASA5555-
X 软件包和下载位置 •ASA软件-请访问:/go/asa-software。
依次选择型号>机箱中的软件>自适应安全设备(ASA)软件>版本。
ASA软件文件的文件名类似于asa962-smp-k8.bin。
•ASDM软件-请访问:/go/asa-software。
依次选择型号>机箱中运行的软件>自适应安全设备(ASA)设备管理器>版本。
ASDM软件文件的文件名类似于asdm-762.bin。
•ASAFirePOWER模块软件-请访问:/go/asa-firepower-sw。
依次选择型号>ASAFirePOWER服务软件>版本。
要安装FirePOWER软件,请参阅《ASA防火墙配置指南》或《Firepower版本说明》。
启动映像-启动映像的文件名类似于asasfr-5500x-boot-6.1.0-330.img。
系统软件安装软件包-系统软件安装软件包的文件名类似于asasfr-sys-6.1.0-330.pkg。
补丁文件-补丁文件名以.sh结尾。
•RESTAPI软件-请访问:/go/asa-software。
依次选择型号>机箱中的软件>自适应安全设备RESTAPI插件>版本。
API软件文件的文件名类似于asa-restapi-132-lfbff-k8.SPA。
要安装RESTAPI,请参阅API快速入门指南。
•适用于思科应用策略基础设施控制器(APIC)的ASA设备软件包-请参阅:/go/asa-software。
依次选择型号>机箱中的软件>适用于以应用为中心的基础设施(ACI)的ASA设备软件包>版本。
对于APIC1.2
(7)及更高版本,请选择PolicyOrchestrationwithFabricInsertion或FabricInsertion-only软件包。
设备软件包软件文件的文件名类似于asa-device-pkg-1.2.7.10.zip。
要安装ASA设备软件包,请参阅《思科APIC第4-7层服务部署指南》的“导入设备软件包”一章。
11 ASA型号ASA5585-
X 软件包和下载位置 •ASA软件-请访问:/go/asa-software。
依次选择型号>机箱中的软件>自适应安全设备(ASA)软件>版本。
ASA软件文件的文件名类似于asa962-smp-k8.bin。
•ASDM软件-请访问:/go/asa-software。
依次选择型号>机箱中运行的软件>自适应安全设备(ASA)设备管理器>版本。
ASDM软件文件的文件名类似于asdm-762.bin。
•ASAFirePOWER模块软件-请访问:/go/asa-firepower-sw。
依次选择型号>版本。
要安装FirePOWER软件,请参阅《ASA防火墙配置指南》或《Firepower版本说明》。
启动映像-启动映像的文件名类似于asasfr-boot-6.1.0-330.img。
系统软件安装软件包-系统软件安装软件包的文件名类似于asasfr-sys-6.1.0-330.pkg。
补丁文件-补丁文件名以.sh结尾。
•RESTAPI软件-请参阅/go/asa-software。
依次选择型号>机箱中的软件>自适应安全设备RESTAPI插件>版本。
API软件文件的文件名类似于asa-restapi-132-lfbff-k8.SPA。
要安装RESTAPI,请参阅API快速入门指南。
•适用于思科应用策略基础设施控制器(APIC)的ASA设备软件包-请参阅:/go/asa-software。
依次选择型号>机箱中的软件>适用于以应用为中心的基础设施(ACI)的ASA设备软件包>版本。
对于APIC1.2
(7)及更高版本,请选择PolicyOrchestrationwithFabricInsertion或FabricInsertion-only软件包。
设备软件包软件文件的文件名类似于asa-device-pkg-1.2.7.10.zip。
要安装ASA设备软件包,请参阅《思科APIC第4-7层服务部署指南》的“导入设备软件包”一章。
12 ASA型号ASAv 软件包和下载位置 请参阅:/go/asav-software。
•ASA软件-依次选择自适应安全设备(ASA)软件>版本。
选择适合虚拟机监控程序的文件类型。
有关详细信息,请参阅《ASAv快速入门指南》。
•ASDM软件-依次选择自适应安全设备(ASA)设备管理器>版本。
ASDM软件文件的文件名类似于asdm-762.bin。
•RESTAPI软件-依次选择自适应安全设备RESTAPI插件>版本。
API软件文件的文件名类似于asa-restapi-132-lfbff-k8.SPA。
要安装RESTAPI,请参阅API快速入门指南。
•适用于思科应用策略基础设施控制器(APIC)的ASA设备软件包-依次选择适用于以应用为中心的基础设施(ACI)的ASA设备软件包>版本。
对于APIC1.2
(7)及更高版本,请选择PolicyOrchestrationwithFabricInsertion或FabricInsertion-only软件包。
设备软件包软件文件的文件名类似于asa-device-pkg-1.2.7.10.zip。
要安装ASA设备软件包,请参阅《思科APIC第4-7层服务部署指南》的“导入设备软件包”一章。
Firepower4100系列上的ASA 请参阅:/go/firepower4100-software。
•ASA和ASDM软件-ASA软件包包括ASA和ASDM。
依次选择型号>自适应安全设备(ASA)软件>版本。
ASA软件包的文件名类似于cisco-asa.9.6.2.SPA.csp。
要安装ASA软件包,请参阅《FXOS配置指南》的“映像管理”一章。
•ASDM软件(升级)-要使用当前ASDM或ASACLI升级到更高的ASDM版本,请依次选择型号>自适应安全设备(ASA)设备管理器>版本。
ASDM软件文件的文件名类似于asdm-762.bin。
•RESTAPI软件-依次选择型号>自适应安全设备RESTAPI插件>版本。
API软件文件的文件名类似于asa-restapi-132-lfbff-k8.SPA。
要安装RESTAPI,请参阅API快速入门指南。
13 ASA型号Firepower9300系列上的ASA 软件包和下载位置 请参阅:/go/firepower9300-software。
•ASA和ASDM软件-ASA软件包包括ASA和ASDM。
依次选择自适应安全设备(ASA)软件>版本。
ASA软件包的文件名类似于cisco-asa.9.6.2.SPA.csp。
要安装ASA软件包,请参阅《FXOS配置指南》的“映像管理”一章。
•ASDM软件(升级)-要使用当前ASDM或ASACLI升级到更高的ASDM版本,请依次选择自适应安全设备(ASA)设备管理器>版本。
ASDM软件文件的文件名类似于asdm-762.bin。
•RESTAPI软件-选择自适应安全设备RESTAPI插件>版本。
API软件文件的文件名类似于asa-restapi-132-lfbff-k8.SPA。
要安装RESTAPI,请参阅API快速入门指南。
ASA服务模块 •ASA软件-请参阅:/go/asasm-software。
选择版本。
ASA软件文件的文件名类似于asa962-smp-k8.bin。
•ASDM软件-请参阅/go/asdm-software。
依次选择自适应安全设备(ASA)设备管理器>版本。
ASDM软件文件的文件名类似于asdm-762.bin。
ISA3000 请参阅:/go/isa3000-software。
•ASA软件-依次选择型号>自适应安全设备(ASA)软件>版本。
ASA软件文件的文件名类似于asa962-lfbff-k8.SPA。
•ASDM软件-依次选择型号>自适应安全设备(ASA)设备管理器>版本。
ASDM软件文件的文件名类似于asdm-762.bin。
•ASAFirePOWER模块软件-依次选择型号>ASAFirePOWER服务软件>版本。
要安装FirePOWER软件,请参阅《ASA防火墙配置指南》或《Firepower版本说明》。
启动映像-启动映像的文件名类似于asasfr-ISA-3000-boot-5.4.1-213.img。
系统软件安装软件包-系统软件安装软件包的文件名类似于asasfr-sys-5.4.1-213.pkg。
补丁文件-补丁文件名以.sh结尾。
•RESTAPI软件-依次选择型号>自适应安全设备RESTAPI插件>版本。
API软件文件的文件名类似于asa-restapi-132-lfbff-k8.SPA。
要安装RESTAPI,请参阅API快速入门指南。
14 升级独立设备 本节介绍如何安装ASDM和操作系统(OS)映像。
(CLI)使用CLI升级 本节介绍如何安装ASDM和操作系统(OS)映像。
此过程将使用FTP。
有关TFTP或HTTP,请参阅copy命令。
开始之前•如有配置迁移,请备份您的配置文件。
例如:moresystem:running-config复制此命令的输出,然后将配置粘贴到文本文件中。
有关其他备份方法,请参阅常规操作配置指南。
过程 步骤
1 将ASA软件复制到闪存中:copyftp://[[user[:password]@]server[/path]/asa_image_namediskn:/[path/]asa_image_name 步骤
2 示例: ciscoasa#copyftp://jcrichton:aeryn@10.1.1.1/asa981-smp-k8.bindisk0:/asa981-smp-k8.bin 将ASDM映像复制到闪存中:copyftp://[[user[:password]@]server[/path]/asdm_image_namediskn:/[path/]asdm_image_name 步骤3步骤
4 示例: ciscoasa#copyftp://jcrichton:aeryn@10.1.1.1/asdm-771781782783.bindisk0:/asdm-771781782783.bin 如果您当前未处于全局配置模式,请访问全局配置模式:configureterminal 显示当前配置的启动映像(最多4个):showrunning-configbootsystem 示例: ciscoasa(config)#showrunning-configbootsystembootsystemdisk0:/cdisk.binbootsystemdisk0:/asa931-smp-k8.bin ASA按列示顺序使用映像;如果第一个映像不可用,则使用下一个映像,以此类推。
不能在列表顶部插入新映像URL;要将新的映像指定为第一个映像,必须删除所有现有条目,再根据后续步骤按所需顺序输入映像URL。
15 步骤
5 删除所有现有的引导映像配置,以便将新的引导映像作为首选输入:nobootsystemdiskn:/[path/]asa_image_name 步骤
6 示例: ciscoasa(config)#nobootsystemdisk0:/cdisk.binciscoasa(config)#nobootsystemdisk0:/asa931-smp-k8.bin 将ASA映像设置为引导映像(您刚上传的映像):bootsystemdiskn:/[path/]asa_image_name 步骤
7 示例: ciscoasa(config)#bootsystemdisk0:/asa981-smp-k8.bin 如果此映像不可用,请对要使用的任何备份映像重复执行此命令。
例如,您可以重新输入以前删除的映像。
设置要使用的ASDM映像(您刚上传的映像):asdmimagediskn:/[path/]asdm_image_name 步骤8步骤
9 示例: ciscoasa(config)#asdmimagedisk0:/asdm-771781782783.bin 您只能配置一个要使用的ASDM映像,因此您不需要先删除现有配置。
将新设置保存至启动配置:writememory 重新加载ASA:reload (ASDM)从本地计算机升级 使用本地计算机中的升级软件,可将映像文件从计算机上传到闪存文件系统来升级ASA。
过程 步骤1步骤
2 (如果存在配置迁移)在ASDM中,使用工具>备份配置工具备份现有的配置。
在主ASDM应用窗口中,依次选择工具>从本地计算机升级软件。
系统将显示UpgradeSoftware对话框。
16 步骤3步骤4步骤
5 步骤6步骤7步骤
8 步骤9步骤10 从ImagetoUpload下拉列表中选择ASDM。
在本地文件路径字段中,输入指向计算机中文件的本地路径,或者点击浏览本地文件在PC中查找文件。
在FlashFileSystemPath字段中,输入闪存文件系统的路径,或者点击BrowseFlash在闪存文件系统中查找目录或文件。
点击UploadImage。
上传过程可能需要数分钟。
系统会提示您将此映像设置为ASDM映像。
点击Yes。
系统会提示您退出ASDM并保存配置。
点击OK。
您会退出Upgrade工具。
注意:在升级ASA软件之后,您将保存配置并重新加载ASDM。
重复上述步骤,从要上传的映像下拉列表中选择ASA。
您也可以使用此程序上传其他文件类型。
依次选择工具>重新加载系统以重新加载ASA。
系统将显示新窗口,要求您确认重新加载的详细信息。
a)点击Savetherunningconfigurationatthetimeofreload单选按钮(默认)。
b)选择重新加载的时间(例如,默认值Now)。
c)点击ScheduleReload。
重新加载开始后,系统将显示ReloadStatus窗口,指示正在执行重新加载。
系统还提供了退出ASDM的选项。
步骤11在ASA重新加载后,重启ASDM。
(ASDM)使用向导升级 使用向导中的升级软件,可自动将ASDM和ASA升级到更高的版本。
在此向导中,您可以执行以下操作: •选择ASA映像文件和/或ASDM映像文件以执行升级。
注释ASDM会下载最新的映像版本,其版本号包括内部版本号。
例如,如果您要下载9.4
(1),实际下载的可能为9.4(1.2)。
这是预期行为,因此您可以继续执行计划的升级。
•查看您所做的升级更改。
•下载一个或多个映像,并进行安装。
•查看安装的状态。
•如果安装成功完成,请重启ASA以保存配置并完成升级。
17 过程 步骤1步骤
2 步骤
3 步骤4步骤
5 步骤6步骤
7 (如果存在配置迁移)在ASDM中,使用工具>备份配置工具备份现有的配置。
依次选择工具>检查ASA/ASDM更新。
在多情景模式中,从System访问此菜单。
系统将显示Authentication对话框。
输入用户名和密码,然后点击Login。
系统将显示UpgradeWizard。
注释如果无可用升级,系统将显示对话框。
点击OK退出向 导。
点击Next显示SelectSoftware屏幕。
系统将显示当前的ASA版本和ASDM版本。
如要升级ASA版本和ASDM版本,请执行以下步骤:a)在ASA区域,选中Upgradeto复选框,然后从下拉列表中选择要升级的目标ASA版本。
b)在ASDM区域,选中Upgradeto复选框,然后从下拉列表中选择要升级的目标ASDM版本。
点击Next,显示ReviewChanges屏幕。
请验证以下项目: •您已下载的ASA映像文件和/或ASDM映像文件为正确文件。
•您要上传的ASA映像文件和/或ASDM映像文件为正确文件。
•已选择正确的ASA引导映像。
步骤
8 点击Next,开始升级安装。
然后,您可以在升级安装过程中查看其状态。
系统将显示Results屏幕,其中提供详细信息,如升级安装状态(成功或失败)。
步骤9步骤10 如果升级安装成功,要使升级版本生效,请选中立即保存配置并重新加载设备复选框以重启ASA,然后重启ASDM。
点击Finish,退出向导,保存对配置的更改。
注释要升级到更高一级的版本(如有),必须重启向 导。
升级主用/备用故障切换对 使用CLI或ASDM升级主用/备用故障切换对,以实现零停机升级。
18 CLI 要升级主用/备用故障切换对,请执行以下步骤。
此过程将使用FTP。
有关TFTP或HTTP,请参阅copy命令。
开始之前•在主用设备上执行以下步骤。
•如有配置迁移,请备份您的配置文件。
例如:moresystem:running-config复制此命令的输出,然后将配置粘贴到文本文件中。
有关其他备份方法,请参阅常规操作配置指南。
过程 步骤
1 将ASA软件复制至主用设备闪存:copyftp://[[user[:password]@]server[/path]/asa_image_namediskn:/[path/]asa_image_name 步骤
2 示例: asa/act#copyftp://jcrichton:aeryn@10.1.1.1/asa981-smp-k8.bindisk0:/asa981-smp-k8.bin 将软件复制到备用设备;请确保指定与主用设备相同的路径:failoverexecmatecopy/noconfirmftp://[[user[:password]@]server[/path]/asa_image_namediskn:/[path/]asa_image_name 步骤
3 示例: asa/act#failoverexecmatecopy/noconfirmftp://jcrichton:aeryn@10.1.1.1/asa981-smp-k8.bindisk0:/asa981-smp-k8.bin 将ASDM映像复制至主用设备闪存:copyftp://[[user[:password]@]server[/path]/asdm_image_namediskn:/[path/]asdm_image_name 步骤
4 示例: asa/act#copyftp://jcrichton:aeryn@10.1.1.1/asdm-771781782783.bindisk0:/asdm-771781782783.bin 将ASDM映像复制至备用设备;请确保指定与主用设备相同的路径:failoverexecmatecopy/noconfirmftp://[[user[:password]@]server[/path]/asdm_image_namediskn:/[path/]asdm_image_name 示例: asa/act#failoverexecmatecopy/noconfirmftp://jcrichton:aeryn@10.1.1.1/asdm-771781782783.bin 19 步骤5步骤
6 disk0:/asdm-771781782783.bin 如果您当前未处于全局配置模式,请访问全局配置模式:configureterminal 显示当前配置的引导映像(最多4个):showrunning-configbootsystem 步骤
7 示例: asa/act(config)#showrunning-configbootsystembootsystemdisk0:/cdisk.binbootsystemdisk0:/asa931-smp-k8.bin ASA按列示顺序使用映像;如果第一个映像不可用,则使用下一个映像,以此类推。
不能在列表顶部插入新映像URL;要将新的映像指定为第一个映像,必须删除所有现有条目,再根据后续步骤按所需顺序输入映像URL。
删除所有现有的引导映像配置,以便将新的引导映像作为首选输入:nobootsystemdiskn:/[path/]asa_image_name 步骤
8 示例: asa/act(config)#nobootsystemdisk0:/cdisk.binasa/act(config)#nobootsystemdisk0:/asa931-smp-k8.bin 将ASA映像设置为引导映像(您刚才上传的映像):bootsystemdiskn:/[path/]asa_image_name 步骤
9 示例: asa/act(config)#bootsystemdisk0://asa981-smp-k8.bin 如果此映像不可用,请对要使用的任何备份映像重复执行此命令。
例如,您可以重新输入以前删除的映像。
设置要使用的ASDM映像(您刚上传的映像):asdmimagediskn:/[path/]asdm_image_name 示例: asa/act(config)#asdmimagedisk0:/asdm-771781782783.bin 您只能配置一个要使用的ASDM映像,因此您不需要先删除现有配置。
步骤10 将新设置保存至启动配置:writememory 这些配置更改会自动保存到备用设备上。
步骤11 重新加载备用设备,以便引导新映像:failoverreload-standby 等待备用设备完成加载。
使用showfailover命令可验证备用设备是否处于备用就绪状态。
步骤12强行将主用设备故障切换至备用设备: 20 nofailoveractive如果您从SSH会话中断开连接,请重新连接到主IP地址(现位于新的主用/以前的备用设备上)。
步骤13在新的主用设备上,重新加载以前的主用设备(现为新的备用设备):failoverreload-standby 示例: asa/act#failoverreload-standby 注释如果连接到以前的主用设备控制台端口,应改为输入reload命令来重新加载以前的主用设备。
ASDM 要升级主用/备用故障切换对,请执行以下步骤。
开始之前如果存在配置迁移,请在ASDM中使用工具>备份配置工具备份现有的配置。
过程 步骤1步骤
2 步骤3步骤4步骤5步骤
6 步骤
7 步骤8步骤
9 连接到备用IP地址,以此在备用设备上启动ASDM。
在主ASDM应用窗口中,依次选择工具>从本地计算机升级软件。
系统将显示UpgradeSoftware对话框。
从ImagetoUpload下拉列表中选择ASDM。
在本地文件路径字段中,输入指向计算机中文件的本地路径,或者点击浏览本地文件在PC中查找文件。
在FlashFileSystemPath字段中,输入闪存文件系统的路径,或者点击BrowseFlash在闪存文件系统中查找目录或文件。
点击UploadImage。
上传过程可能需要数分钟。
当系统提示您将此映像设置为ASDM映像时,点击否。
您会退出Upgrade工具。
重复上述步骤,从要上传的映像下拉列表中选择ASA。
当系统提示您将此映像设置为ASA映像时,点击否。
您会退出Upgrade工具。
将ASDM连接到主IP地址,从而将其连接到主用设备,然后使用与备用设备上相同的文件位置上传ASDM软件。
当系统提示您将此映像设置为ASDM映像时,点击是。
系统会提示您退出ASDM并保存配置。
点击OK。
您会退出Upgrade工具。
注意:在升级ASA软件之后,您将保存配置并重新加载ASDM。
21 步骤10步骤11 使用与备用设备相同的文件位置上传ASA软件。
当系统提示您将此映像设置为ASA映像时,点击是。
系统会提示您重新加载ASA以使用新映像。
点击OK。
您会退出Upgrade工具。
步骤12点击工具栏上的Save图标,保存配置更改。
这些配置更改会自动保存到备用设备上。
步骤13重新加载备用设备,方法为:选择监控>属性>故障切换>状态,然后点击重新加载备用。
重新加载备用设备时,停留在系统窗格以进行监控。
步骤14 重新加载备用设备后,强制主用设备执行故障切换到备用设备,方法为:选择监控>属性>故障切换>状态,然后点击设为备用。
ASDM将自动重新连接到新的主用设备。
步骤15重新加载(新)备用设备,方法为:选择监控>属性>故障切换>状态,然后点击重新加载备用。
升级主用/主用故障切换对 使用CLI或ASDM升级主用/主用故障切换对,以实现零停机升级。
CLI 要升级主用/主用故障切换配置中的两台设备,请执行以下步骤。
此过程将使用FTP。
有关TFTP或HTTP,请参阅copy命令。
开始之前 •在主设备(或故障切换组1处于活动状态的设备)上执行以下步骤。
•在系统执行空间中执行以下步骤。
•如有配置迁移,请备份您的配置文件。
例如: moresystem:running-config复制此命令的输出,然后将配置粘贴到文本文件中。
有关其他备份方法,请参阅常规操作配置指南。
过程 步骤
1 将ASA软件复制至主设备闪存:copyftp://[[user[:password]@]server[/path]/asa_image_namediskn:/[path/]asa_image_name 22 步骤
2 示例: asa/act/pri#copyftp://jcrichton:aeryn@10.1.1.1/asa981-smp-k8.bindisk0:/asa981-smp-k8.bin 将软件复制至辅助设备;请确保指定与主设备相同的路径:failoverexecmatecopy/noconfirmftp://[[user[:password]@]server[/path]/asa_image_namediskn:/[path/]asa_image_name 步骤
3 示例: asa/act/pri#failoverexecmatecopy/noconfirmftp://jcrichton:aeryn@10.1.1.1/asa981-smp-k8.bindisk0:/asa981-smp-k8.bin 将ASDM映像复制至主设备闪存:copyftp://[[user[:password]@]server[/path]/asdm_image_namediskn:/[path/]asdm_image_name 步骤
4 示例: asa/act/pri#ciscoasa#copyftp://jcrichton:aeryn@10.1.1.1/asdm-771781782783.bindisk0:/asdm-771781782783.bin 将ASDM映像复制到辅助设备;务必指定与主设备相同的路径:failoverexecmatecopy/noconfirmftp://[[user[:password]@]server[/path]/asdm_image_namediskn:/[path/]asdm_image_name 步骤5步骤
6 示例: asa/act/pri#failoverexecmatecopy/noconfirmftp://jcrichton:aeryn@10.1.1.1/asdm-771781782783.bindisk0:/asdm-771781782783.bin 如果您当前未处于全局配置模式,请访问全局配置模式:configureterminal 显示当前配置的引导映像(最多4个):showrunning-configbootsystem 步骤
7 示例: asa/act/pri(config)#showrunning-configbootsystembootsystemdisk0:/cdisk.binbootsystemdisk0:/asa931-smp-k8.bin ASA按列示顺序使用映像;如果第一个映像不可用,则使用下一个映像,以此类推。
不能在列表顶部插入新映像URL;要将新映像指定为第一个映像,必须删除所有现有条目,再根据后续步骤按所需顺序输入映像URL。
删除所有现有的引导映像配置,以便将新的引导映像作为首选输入:nobootsystemdiskn:/[path/]asa_image_name 示例: asa/act/pri(config)#nobootsystemdisk0:/cdisk.bin 23 步骤
8 asa/act/pri(config)#nobootsystemdisk0:/asa931-smp-k8.bin 将ASA映像设置为引导映像(您刚才上传的映像):bootsystemdiskn:/[path/]asa_image_name 步骤
9 示例: asa/act/pri(config)#bootsystemdisk0://asa981-smp-k8.bin 如果此映像不可用,请对要使用的任何备份映像重复执行此命令。
例如,您可以重新输入以前删除的映像。
设置要使用的ASDM映像(您刚上传的映像):asdmimagediskn:/[path/]asdm_image_name 示例: asa/act/pri(config)#asdmimagedisk0:/asdm-771781782783.bin 您只能配置一个要使用的ASDM映像,因此您不需要先删除现有配置。
步骤10 使两个故障切换组在主设备上均处于活动状态:failoveractivegroup1 failoveractivegroup2 示例: asa/act/pri(config)#failoveractivegroup1asa/act/pri(config)#failoveractivegroup2 步骤11 将新设置保存至启动配置:writememory 这些配置更改会自动保存到辅助设备上。
步骤12 重新加载辅助设备,以便引导新映像:failoverreload-standby 等待辅助设备完成加载。
使用showfailover命令可验证两个故障切换组是否都处于备用就绪状态。
步骤13 强行要求两个故障切换组在辅助设备上变为活动状态:nofailoveractivegroup1 nofailoveractivegroup2 示例: asa/act/pri(config)#nofailoveractivegroup1asa/act/pri(config)#nofailoveractivegroup2asa/stby/pri(config)# 如果您从SSH会话中断开连接,请重新连接到故障切换组1IP地址(现位于辅助设备上)。
步骤14重新加载主设备:failoverreload-standby 24 示例: asa/act/sec(config)#failoverreload-standby 注释如果已连接到主设备控制台端口,应改为输入reload命令来重新加载主设备。
您可能从SSH会话中断开连接。
如果故障切换组被配置为使用preempt命令,则在抢占延迟过后,它们会自动在其指定设备上变为主用状态。
如果故障切换组未被配置为使用preempt命令,您可以使用failoveractivegroup命令在其指定设备上将它们恢复为主用状态。
ASDM 要升级主用/主用故障切换配置中的两台设备,请执行以下步骤。
开始之前 •在系统执行空间中执行以下步骤。
•如果存在配置迁移,请在ASDM中使用工具>备份配置工具备份现有的配置。
过程 步骤1步骤
2 步骤3步骤4步骤5步骤
6 步骤
7 步骤8步骤
9 通过连接到故障切换组2的管理地址在辅助设备(或故障切换组1未处于活动状态的设备)上启动ASDM。
在主ASDM应用窗口中,依次选择工具>从本地计算机升级软件。
系统将显示UpgradeSoftware对话框。
从ImagetoUpload下拉列表中选择ASDM。
在本地文件路径字段中,输入指向计算机中文件的本地路径,或者点击浏览本地文件在PC中查找文件。
在FlashFileSystemPath字段中,输入闪存文件系统的路径,或者点击BrowseFlash在闪存文件系统中查找目录或文件。
点击UploadImage。
上传过程可能需要数分钟。
当系统提示您将此映像设置为ASDM映像时,点击否。
您会退出Upgrade工具。
重复上述步骤,从要上传的映像下拉列表中选择ASA。
当系统提示您将此映像设置为ASA映像时,点击否。
您会退出Upgrade工具。
通过连接至故障切换组1中的管理IP地址,将ASDM连接至主设备,并使用辅助设备上所用的相同文件位置上传ASDM软件。
当系统提示您将此映像设置为ASDM映像时,点击是。
系统会提示您退出ASDM并保存配置。
点击OK。
您会退出Upgrade工具。
注意:在升级ASA软件之后,您将保存配置并重新加载ASDM。
25 步骤10步骤11 使用与辅助设备相同的文件位置上传ASA软件。
当系统提示您将此映像设置为ASA映像时,点击是。
系统会提示您重新加载ASA以使用新映像。
点击OK。
您会退出Upgrade工具。
步骤12点击工具栏上的Save图标,保存配置更改。
这些配置更改会自动保存到辅助设备上。
步骤13步骤14 将主设备上的两个故障切换组都设为活动状态,方法为:选择监控>故障切换>故障切换组#(其中号为要移到主设备的故障切换组的编号),然后点击设为主用。
重新加载辅助设备,方法为:选择监控>故障切换>系统,然后点击重新加载备用。
重新加载辅助设备时,停留在系统窗格以进行监控。
步骤15 在辅助设备出现后,将辅助设备上的两个故障切换组都设为活动状态,方法为:选择监控>故障切换>故障切换组号(其中号为要移到辅助设备的故障切换组的编号),然后点击设为备用。
ASDM将自动重新连接到辅助设备上的故障切换组1IP地址。
步骤16 重新加载主设备,方法为:选择监控>故障切换>系统,然后点击重新加载备用。
如果故障切换组被配置为PreemptEnabled,在抢占延迟过后,它们会在其指定设备上自动变为活动状态。
如果故障切换组未被配置为“启用抢占”,可使用监控>故障切换>故障切换组号窗格在其指定设备上将它们恢复为主用状态。
升级ASA集群 使用CLI或ASDM升级ASA集群,以实现零停机升级。
CLI 要升级ASA集群中的所有设备,请执行以下步骤:此过程将使用FTP。
有关TFTP或HTTP,请参阅copy命令。
开始之前 •在主设备上执行以下步骤。
•您必须使用控制台端口;不能通过远程CLI连接启用或禁用集群。
•在系统执行空间中执行以下步骤。
•如有配置迁移,请备份您的配置文件。
例如: moresystem:running-config复制此命令的输出,然后将配置粘贴到文本文件中。
有关其他备份方法,请参阅常规操作配置指南。
26 过程 步骤
1 将ASA软件复制至集群中的所有设备:clusterexeccopy/noconfirmftp://[[user[:password]@]server[/path]/asa_image_namediskn:/[path/]asa_image_name 步骤
2 示例: asa/unit1/master#clusterexeccopy/noconfirmftp://jcrichton:aeryn@10.1.1.1/asa981-smp-k8.bindisk0:/asa981-smp-k8.bin 将ASDM映像复制至集群中的所有设备:clusterexeccopy/noconfirmftp://[[user[:password]@]server[/path]/asdm_image_namediskn:/[path/]asdm_image_name 步骤3步骤
4 示例: asa/unit1/master#clusterexeccopy/noconfirmftp://jcrichton:aeryn@10.1.1.1/asdm-771781782783.bindisk0:/asdm-771781782783.bin 如果您当前未处于全局配置模式,请访问全局配置模式:configureterminal 显示当前配置的引导映像(最多4个):showrunning-configbootsystem 步骤
5 示例: asa/unit1/master(config)#showrunning-configbootsystembootsystemdisk0:/cdisk.binbootsystemdisk0:/asa931-smp-k8.bin ASA按列示顺序使用映像;如果第一个映像不可用,则使用下一个映像,以此类推。
不能在列表顶部插入新映像URL;要将新的映像指定为第一个映像,必须删除所有现有条目,再根据后续步骤按所需顺序输入映像URL。
删除所有现有的引导映像配置,以便将新的引导映像作为首选输入:nobootsystemdiskn:/[path/]asa_image_name 步骤
6 示例: asa/unit1/master(config)#nobootsystemdisk0:/cdisk.binasa/unit1/master(config)#nobootsystemdisk0:/asa931-smp-k8.bin 将ASA映像设置为引导映像(您刚才上传的映像):bootsystemdiskn:/[path/]asa_image_name 步骤
7 示例: asa/unit1/master(config)#bootsystemdisk0://asa981-smp-k8.bin 如果此映像不可用,请对要使用的任何备份映像重复执行此命令。
例如,您可以重新输入以前删除的映像。
设置要使用的ASDM映像(您刚上传的映像): 27 asdmimagediskn:/[path/]asdm_image_name 步骤8步骤
9 示例: asa/unit1/master(config)#asdmimagedisk0:/asdm-771781782783.bin 您只能配置一个要使用的ASDM映像,因此您不需要先删除现有配置。
将新设置保存至启动配置:writememory这些配置更改会自动保存到辅助设备上。
重新加载每个辅助设备(从优先级最低的辅助设备开始);对于每个设备名称重复执行此命令:clusterexecunitsecondary-unitreloadnoconfirm 示例: asa/unit1/master#clusterexecunitunit2reloadnoconfirm 步骤10 如要避免连接中断并保持流量稳定,请在重新加载下一台设备之前,等待每台设备恢复运行(约5分钟)。
要查看成员名称,请输入clusterexecunit?
或showclusterinfo命令。
注释在升级过程中,切勿使用clustermasterunit命令强制将某个辅助设备变为主设备;否则可能导致网络连接和集群稳定相关的问题。
您必须首先升级和重新加载所有辅助设备,然后才能继续执行此过程,从而确保从当前主设备顺利过渡到新的主设备。
在主设备上禁用集群:clustergroupname noenable 等待5分钟,以便选择新的主设备且流量稳定下来。
请勿输入writememory;在主设备重新加载后,您需要在主设备上启用集群。
步骤11 重新加载主设备:reloadnoconfirm 新选择的设备将成为新的主设备。
当以前的主设备重新加入该集群时,它将成为辅助设备。
ASDM 要升级ASA集群中的所有设备,请执行以下步骤:开始之前 •在主设备上执行以下步骤。
•在系统执行空间中执行以下步骤。
•如果存在配置迁移,请在ASDM中使用工具>备份配置工具备份现有的配置。
28 过程 步骤1步骤
2 在主设备上启动ASDM。
在主ASDM应用窗口中,依次选择工具>从本地计算机升级软件。
系统将显示从本地计算机升级软件对话框。
步骤
3 点击集群中的所有设备单选按钮。
系统将显示UpgradeSoftware对话框。
步骤4步骤5步骤
6 步骤7步骤8步骤
9 步骤10步骤11 从ImagetoUpload下拉列表中选择ASDM。
在本地文件路径字段中,输入指向计算机中文件的本地路径,或者点击浏览本地文件在PC中查找文件。
在FlashFileSystemPath字段中,输入闪存文件系统的路径,或者点击BrowseFlash在闪存文件系统中查找目录或文件。
点击UploadImage。
上传过程可能需要数分钟。
系统会提示您将此映像设置为ASDM映像。
点击Yes。
系统会提示您退出ASDM并保存配置。
点击OK。
您会退出Upgrade工具。
注意:在升级ASA软件之后,您将保存配置并重新加载ASDM。
重复上述步骤,从要上传的映像下拉列表中选择ASA。
点击工具栏上的Save图标,保存配置更改。
这些配置更改会自动保存到辅助设备上。
步骤12依次选择工具>重新加载系统。
此时将显示重新加载系统对话框。
步骤13步骤14 重新加载每个辅助设备,每次一个,方法为:从设备下拉列表中选择辅助设备名称,然后点击计划重新加载以立即重新加载该设备。
从优先级最低的辅助设备开始重新加载。
如要避免连接中断并保持流量稳定,请在重新加载下一台设备之前,等待每台设备恢复运行(约5分钟)。
要查看设备重新加入集群的时间,请查看Monitoring>ASACluster>ClusterSummary窗格。
注释在升级过程中,切勿使用监控>ASA集群>集群摘要>将主设备更改为下拉列表强制将某个辅助设备变为主设备;否则可能导致网络连接和集群稳定相关的问题。
您必须首先重新加载所有辅助设备,然后才能继续执行此过程,从而确保从当前主设备顺利过渡到新的主设备。
重新加载所有辅助设备后,依次选择配置>设备管理>高可用性和可扩展性>ASA集群禁用主设备上的集群,取消选中参与ASA集群复选框,然后点击应用。
等待5分钟,以便选择新的主设备且流量稳定下来。
当以前的主设备重新加入集群时,它将成为辅助设备。
请勿保存配置;在主设备重新加载后,您需要在主设备上启用集群。
步骤15步骤16 依次选择工具>重新加载系统并从重新加载系统对话框中重新加载主设备,方法为:从设备下拉列表中选择-本设备--。
退出ASDM并重新启动;您将重新连接到新的主设备。
29 思科和思科徽标是思科和/或其附属公司在美国和其他国家/地区的商标或注册商标。
要查看思科商标列表,请访问此网址:/go/trademarks。
文中提及的第三方商标为其相应所有者的财产。
“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。
(1110R) ©2017CiscoSystems,Inc.Allrightsreserved. 美洲总部CiscoSystems,Inc.SanJose,CA95134-1706USA 亚太区总部CiscoSystems(USA)Pte.Ltd.Singapore 欧洲总部CiscoSystemsInternationalBVAmsterdam,TheNetherlands Cisco在全球拥有200多个办事处。
相关地址、电话和传真号码可见于Cisco位于/go/offices上的网站。
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。