ASA升级操作过程详解
一、升级前准备工作
1、准备好所要升级的IOS文件及对应的ASDM文件
2、在一台电脑上架设好tftp,设置好目录,与防火墙进行连接(假设电脑IP为192.168.1.2)
二、升级步骤
1、telnet上ASA
ASA>ena //进入模式 ASA#conf t //进入配置模式
2、查看ASA上的文件、版本信息及启动文件
ASA(config)# dir //查看asa上的文件 Directory of disk0:/
4879 -rw- 8202240 19:18:10 Nov 16 2011 asa721-k8.bin 2391 -rw- 5539756 00:43:38 Nov 05 2007 asdm521.bin 4842 drw- 0 18:51:24 Nov 16 2011 log
4843 drw- 0 18:51:36 Nov 16 2011 crypto_archive 255426560 bytes total (215465984 bytes free)
CISCOASA(config)# show ver //查看版本信息及启动文件 Cisco Adaptive Security Appliance Software Version 7.2(1) Device Manager Version 5.2(1) 。。。。。
System image file is \"disk0:/asa721-k8.bin\" //这就是启动文件和路径 。。。。。
3、备份ASA上现存版本文件、ASDM文件及配置信息
ASA(config)#copy disk0:/asa721-k8.bin tftp://192.168.1.2/asa721-k8.bin //将原有IOS文件备份到TFTP服务器上
ASA(config)# copy disk0:/asdm521.bin tftp://192.168.1.2/asdm521.bin
//将原有asdm文件备份到TFTP服务器上 show run
//显示当前的配置,将此配置复制后备份下来,以免操作失误导致配置丢失
4、将要更新版本文件及ASDM文件上传到tftp
ASA(config)# copy tftp://192.168.1.2/asa821-k8.bin disk0:/asa821-k8.bin
//将新的IOS文件从TFTP服务器上拷贝到ASA中
ASA(config)# copy tftp://192.168.1.2/asdm-621.bin disk0:/asdm-621.bin //将新的IOS文件从TFTP服务器上拷贝到ASA中
ASA(config)# dir //再次显示目录,检查文件是否拷贝成功
5、设置启动文件及ASDM
ASA(config)# no boot system disk0:/asa721-k8.bin //取消之前的启动IOS ASA(config)# boot system disk0:/asa821-k8.bin //设置新的启动IOS ASA(config)# asdm image disk0:/asdm621.bin //设置新的ASDM Device Manager image set, but not a valid image file disk0:/asdm-621.bin //由于新的IOS文件在重新启动前并未生效,所以会提示新的ASDM镜像在设置关联的时候会提示无效。 ASA(config)# exit
ASA# wr //保存配置
ASA# reload //重新启动,使配置生效
三、升级失败后的处理措施
当升级操作失败导致防火墙flash被erase后,设备会因为找不到启动文件而不断地重启
1、进入监控模式
在设备启动时会有提示按某个键进入监控模式。如下: Use BREAK or ESC to interrupt boot. Use SPACE to begin boot immediately. 按“ESC”键进入监控模式。
rommon #1>
2、设置ASA
升级IOS需要对ASA进行一些简单的设置,如设置设备的地址、设置tftp服务器的地址、设置IOS软件的文件名、sync保存、用ping命令测试与tftpserver的连通性、最后执行命令tftpdnld,软件开始装入。
注意:在监控模式下我们需要将电脑和ASA5510的管理接口相连,IP地址也是为管理接口设置的。
rommon #2> ADDRESS=192.168.1.1(路由器地址)
rommon #3> GATEWAY=192.168.1.2(默认网关,设置为本机地址即可) rommon #4> IMAGE=asa821-k8.bin(指定IOS文件名)
rommon #5> SERVER=192.168.1.2(TFTP SERVER 地址,即本机地址) rommon #6> rommon #6> sync
Updating NVRAM Parameters... rommon #7> ping 192.168.1.2 Link is UP
Sending 20, 100-byte ICMP Echoes to 192.168.1.2, timeout is 4 seconds: ?!!!!!!!!!!!!!!!!!!!
Success rate is 95 percent (19/20)
3、执行tftpdnld命令
执行后显示如下: rommon #8> tftpdnld ROMMON Variable Settings: ADDRESS=192.168.1.1 SERVER=192.168.1. GATEWAY=192.168.1.2 PORT=Management0/0 VLAN=untagged IMAGE=asa821-k8.bin
CONFIG= LINKTIMEOUT=20 PKTTIMEOUT=4 RETRY=20
tftp asa821-k8.bin@192.168.1.2 via 192.168.1.2 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
4、将IOS上传到ASA
此时IOS还没有装入ASA,而是从tftp引导启动设备。这一点当设备启动完毕后可以用show version命令看到:
System image file is \"tftp://192.168.1.2/asa821-k8.bin\"
启动完毕后需要将tftp server连接到除管理接口以外的其它接口,然后再升级IOS
注意:必须要将接口配置成 inside口 ASA#conf t
ASA(config)#int e0/0 ASA(config-if)#nameif inside
ASA(config-if)#ip add 192.168.1.1 255.255.255.0 ASA(config-if)#no sh ASA#ping 192.168.1.2 通后就可以升级IOS了 ASA#copy tftp: flash:
Tftp server IP address:192.168.1.2 Source file name:asa821-k8.bin Destination file name:asa821-k8.bin
到这一步并没有结束,此时还需要进行boot system的设置 使用命令
ASA(config)#boot system disk0:/asa821-k8.bin ASA(config)#asdm image disk0:/asdm-621.bin ASA(config)#wr
然后reload一下就可以了
重启之后在dir查看一下,基本上就大功告成了。
IOS恢复以后呢还需要将图形界面管理软件拷贝到ASA,和copy IOS的命令是一样的。
