CiscoASA防火墻升級(jí)IOS版本需注意的問(wèn)題-創(chuàng)新互聯(lián)

引用Cisco官方的公告：

創(chuàng)新互聯(lián)自2013年起，先為上饒等服務(wù)建站，上饒等地企業(yè)，進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為上饒企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問(wèn)題。

在Internet密鑰交換（IKE）1版本的漏洞（V1）和IKE協(xié)議版本2（v2）Cisco ASA軟件代碼可能允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程***者造成的影響重裝系統(tǒng)或遠(yuǎn)程執(zhí)行代碼。

該漏洞是由于受影響的代碼區(qū)緩沖區(qū)溢出。***者可以通過(guò)發(fā)送特制的UDP數(shù)據(jù)包來(lái)利用此漏洞影響的系統(tǒng)。一個(gè)漏洞可能允許***者執(zhí)行任意代碼，獲得系統(tǒng)的完全控制或?qū)е轮匮b系統(tǒng)的影響。

注意：只有流量定向到受影響的系統(tǒng)可以用來(lái)利用此漏洞。這個(gè)漏洞影響配置防火墻模式只在單個(gè)或多個(gè)上下文模式系統(tǒng)。此漏洞可以被觸發(fā)的IPv4和IPv6流量。

思科發(fā)布了軟件更新，解決這個(gè)漏洞。

受影響的Cisco ASA軟件對(duì)以下產(chǎn)品的運(yùn)行可能會(huì)受此漏洞的影響：

Cisco ASA5500系列自適應(yīng)安全設(shè)備

Cisco ASA5500-X系列下一代防火墻

Cisco ASA服務(wù)模塊的Cisco Catalyst 6500系列交換機(jī)和Cisco 7600系列路由器

Cisco ASA1000V云防火墻

Cisco自適應(yīng)安全虛擬設(shè)備（ASAV）

思科火力9300 ASA安全模塊

思科ISA 3000工業(yè)安全設(shè)備

所以，在某大型企業(yè)的出口防火墻Cisco 5520也需要將IOS進(jìn)行升級(jí)。

升級(jí)之前的準(zhǔn)備工作（重要，必須要執(zhí)行）

1、檢查防火墻當(dāng)前運(yùn)行狀態(tài)，包括防火墻面板指示燈，防火墻風(fēng)扇，防火墻CPU、內(nèi)存運(yùn)行狀態(tài)

當(dāng)然，查看防火墻指示燈，風(fēng)扇的運(yùn)行只能是查看現(xiàn)場(chǎng)去查看

查看防火墻CPU、內(nèi)存運(yùn)行狀態(tài)可以使用命令：

CiscoASA#show process cpu-usage
CiscoASA#show process memory

2、一定要注意把配置備份好，這個(gè)需要使用SecureCRT的記錄會(huì)話功能，把show running-config中的內(nèi)容導(dǎo)入到日志文件中

然后再用SecureCRT連接防火墻，輸入show running-config，就可以把配置命令保存在本地的日志文件中了，這樣也就不怕丟了配置到處抓瞎了。

注意：正常情況下，升級(jí)CiscoASA的IOS不會(huì)造成配置丟失，即使你從asa847-k8.bin升級(jí)到asa912-k8.bin，正常也都是命令自動(dòng)會(huì)轉(zhuǎn)換成當(dāng)前version支持的命令。但不排除有命令丟失這種風(fēng)險(xiǎn)。

3、（非常重要）備份CiscoASA的License

在升級(jí)的過(guò)程中，如果丟失了配置或許還能夠補(bǔ)救的話，但如果License弄丟了，那個(gè)可不好找，你需要重新和Cisco公司去聯(lián)系才能找回License。

不過(guò)備份CiscoASA的License非常簡(jiǎn)單，只需要一條命令Show version就可以了

ciscoasa# show version 

*************************************************************************
**                                                                     **
**   *** WARNING *** WARNING *** WARNING *** WARNING *** WARNING ***   **
**                                                                     **
**          ----> Minimum Memory Requirements NOT Met! <----           **
**                                                                     **
**  Installed RAM: 1024 MB                                             **
**  Required  RAM: 2048 MB                                             **
**  Upgrade part#: ASA5520-MEM-2GB=                                    **
**                                                                     **
**  This ASA does not meet the minimum memory requirements needed to   **
**  run this p_w_picpath. Please install additional memory (part number      **
**  listed above) or downgrade to ASA version 8.2 or earlier.          **
**  Continuing to run without a memory upgrade is unsupported, and     **
**  critical system features will not function properly.               **
**                                                                     **
*************************************************************************

Cisco Adaptive Security Appliance Software Version 9.1(2) 
Device Manager Version 7.5(1)

Compiled on Thu 09-May-13 15:37 by builders
System p_w_picpath file is "disk0:/asa912-k8.bin"
Config file at boot was "startup-config"
<--- More --->
              

ciscoasa up 1 min 59 secs

Hardware:   ASA5520, 1024 MB RAM, CPU Pentium 4 Celeron 2000 MHz,
Internal ATA Compact Flash, 256MB
BIOS Flash M50FW016 @ 0xfff00000, 2048KB

Encryption hardware device : Cisco ASA-55xx on-board accelerator (revision 0x0)
                             Boot microcode        : CN1000-MC-BOOT-2.00 
                             SSL/IKE microcode     : CNLite-MC-SSLm-PLUS-2_05
                             IPSec microcode       : CNlite-MC-IPSECm-MAIN-2.08
                             Number of accelerators: 1

 0: Ext: GigabitEthernet0/0  : address is c84c.7561.88fe, irq 9
 1: Ext: GigabitEthernet0/1  : address is c84c.7561.88ff, irq 9
 2: Ext: GigabitEthernet0/2  : address is c84c.7561.8900, irq 9
 3: Ext: GigabitEthernet0/3  : address is c84c.7561.8901, irq 9
 4: Ext: Management0/0       : address is c84c.7561.8902, irq 11
 5: Int: Not used            : irq 11
 6: Int: Not used            : irq 5

Licensed features for this platform:
Maximum Physical Interfaces       : Unlimited      perpetual
Maximum VLANs                     : 150            perpetual
<--- More --->
              
Inside Hosts                      : Unlimited      perpetual
Failover                          : Active/Active  perpetual
Encryption-DES                    : Enabled        perpetual
Encryption-3DES-AES               : Enabled        perpetual
Security Contexts                 : 2              perpetual
GTP/GPRS                          : Disabled       perpetual
AnyConnect Premium Peers          : 2              perpetual
AnyConnect Essentials             : Disabled       perpetual
Other ××× Peers                   : 750            perpetual
Total ××× Peers                   : 750            perpetual
Shared License                    : Disabled       perpetual
AnyConnect for Mobile             : Disabled       perpetual
AnyConnect for Cisco ××× Phone    : Disabled       perpetual
Advanced Endpoint Assessment      : Disabled       perpetual
UC Phone Proxy Sessions           : 2              perpetual
Total UC Proxy Sessions           : 2              perpetual
Botnet Traffic Filter             : Disabled       perpetual
Intercompany Media Engine         : Disabled       perpetual
Cluster                           : Disabled       perpetual

This platform has an ASA 5520 ××× Plus license.

#這里就是防火墻的序列號(hào)與License，具體的號(hào)碼我沒(méi)有提供
Serial Number: J*********hV
Running Permanent Activation Key: 0x1***** 0x4******2 0x08******a8 0x******0 0x4******97 

Configuration register is 0x1
Configuration has not been modified since last system restart.

4、只有把備份工作做好了，才能規(guī)避可能出現(xiàn)的風(fēng)險(xiǎn)，然后就可以準(zhǔn)備IOS鏡像升級(jí)了

你需要準(zhǔn)備的東西是：

FileZilla Server

防火IOS

注意：如果防火墻的型號(hào)是Cisco55xx-X，那你的IOS中必須有“smp”字樣

本次升級(jí)項(xiàng)目使用的防火墻型號(hào)是Cisco5520，原有的IOS版本是asa741-k8.bin，于是，你必須遵照Cisco提供的升級(jí)順序才能完成升級(jí)，最好不要跳級(jí)，否則容易丟失配置或者License

So the upgrade step should be 7.0->7.1->7.2->8.2->8.4(6)->9.1x

所以，必須升級(jí)到8.2，也就是asa821-k8.bin，再升級(jí)到8.4(6)，也就是asa846.k8.bin，然后再升級(jí)到9.1(2)，最后才能升級(jí)到9.1(3)或更高級(jí)，必須這樣逐次提升。

升級(jí)操作其實(shí)比較簡(jiǎn)單，先用FileZilla搭建FTP，設(shè)置用戶名test和密碼haha

然后拷貝IOS鏡像到ASA的閃存中

ciscoasa# copy ftp://test:haha@10.164.12.3/asa847-k8.bin flash:
Address or name of remote host []?10.164.12.3
Source filename []? asa847-k8.bin
Destination filename [asa847-k8.bin]?

拷貝完成后，應(yīng)該能用show flash:看見(jiàn)

ciscoasa# show flash:
-#- --length-- -----date/time------ path
  10          Mar 12 2011 18:52:14crypto_archive
  28515584    Jun 18 2010 05:53:48asa724-k8.bin
  34181246    Jun 18 2010 05:55:04securedesktop-asa-3.2.1.103-k9.pkg
  4398305     Jun 18 2010 05:55:30sslclient-win-1.1.0.154.pkg
 156514852    Mar 12 2011 03:46:24asdm-524.bin
 180          Feb 10 2014 09:27:06 log
 482289       Feb 23 2016 09:42:027_2_4_0_startup_cfg.sav
 490          Feb 10 2014 09:27:24coredumpinfo
 5059         Feb 10 2014 09:27:24coredumpinfo/coredump.cfg
 511138       Jul 04 2014 14:05:58upgrade_startup_errors_201407041405.log
 521138       Feb 23 2016 08:40:18upgrade_startup_errors_201602230840.log
 531138       Feb 23 2016 09:42:04upgrade_startup_errors_201602230942.log
 54 24809472   Feb 23 2016 11:14:52 asa847-k8.bin
 
210485248 bytes available (44818432 bytesused)

拷貝完成后，執(zhí)行升級(jí)命令

ciscoasa# conf t
ciscoasa(config)# boot systemdisk0:/asa847-k8.bin
ciscoasa(config)# no boot systemdisk0:/asa724-k8.bin
ciscoasa(config)# exit
ciscoasa# reload
可以同時(shí)升級(jí)ASDM
ciscoasa(config)#asdm p_w_picpath filedisk0:/asdm-751.bin

升級(jí)操作完成后，必須達(dá)到以下標(biāo)準(zhǔn)

執(zhí)行show vlan查看防火墻上vlan狀態(tài)

執(zhí)行show route查看防火墻路由表

使用ping命令檢查各個(gè)業(yè)務(wù)連通性

要求：防火墻原有配置、策略不丟失，防火墻路由條目不丟失

2、防火墻當(dāng)前運(yùn)行的IOS軟件版本符合升級(jí)后的軟件版本

執(zhí)行show version查看當(dāng)前IOS軟件版本

ASDM能夠正常使用

3、防火墻運(yùn)行狀態(tài)正常，CPU、內(nèi)存使用率未出現(xiàn)明顯偏高的情形

執(zhí)行show process cpu-usage

4、防火墻SSM工作正常

執(zhí)行show module all查看防火墻模塊

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

本文名稱：CiscoASA防火墻升級(jí)IOS版本需注意的問(wèn)題-創(chuàng)新互聯(lián)
新聞來(lái)源：http://www.muchs.cn/article2/cdjjic.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站導(dǎo)航、營(yíng)銷型網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)公司、App設(shè)計(jì)、企業(yè)建站、App開(kāi)發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)