简单说要将防火墙软件升级比如应用软件从2.3升到3.2.需要考虑如下:
第一, 维护软件版本是否支持防火墙应用软件3.2。目前是MP 2.1(2)以上才支持3.2.
庆幸这一点满足要求。
进入维护软件所在分区的命令是.
6509(config)#boot device module 4 cf:1 分区1放置维护软件。是个Linux系统。Root进去看。
第二, 65上IOS的版本12.2(18)SXF以上版本才支持3.2. 庆幸这一点也满足要求。这个查看版本命令就不说了 第三, 如果升级不成功怎样才能退回去。
我们决定将3.2升级软件安装到CF:5分区。原有的2.3软件还保留在CF:4分区(缺省启动分区)。通过更改启动分区的方式,让防火墙在5区启动。 6509(config)#boot device module 4 cf:5
这样如果升级不成功还可以修改分区到4区正常启动。
第四,从老版本的2.3升级到3.2后要考虑license保护的问题。
由于保留了老版本我的压力小多了。这个问题也很轻松了。就是在新升级软件的命令行上
输入KEY就行了。
6509(config)#activation-key 后面是4组共32位十六进制数字。通过AM获得。或者用户
拿到PAK后在思科网站上获得。www.cisco.com/go/license.
过程中间分区切换以及启动分区设定需要小心。
一. 系统配置文件备份及软件升级
1. 本次升级防火墙模块Image至3.2,需高版本交换机IOS Image支持。因此需对交换机的IOS Image和防火墙的Image同时进行升级。
2. 检验6500交换机引擎上的Disk容量,2005年以前购买的SUP720引擎仅带64M Disk(CF类型),无法满足12.2(18)SXF映像文件的容量要求。用户按要求已购买512M CF卡。 3. 备份交换机及原有防火墙模块的配置文件至Disk中。 Running-config Startup-config
4. 拷IOS至Disk,先不重启,正式割接时再重启。 · FWSM 3.1软硬件兼容列表
FWSM 3.1 Switch Hardware and Software Compatibility Table A-1 Support for FWSM 3.1 Cisco IOS 12.2(18)SXF and higher 12.2(18)SXF2 and higher Cisco IOS Software Modularity 12.2(18)SXF4 Catalyst OS2 8.5(3) and higher 2. 720, 32 · 而当前交换机O-6506-Primary上使用的IOS版本太低(Version12.2(18)SXD2),不支持FWSM 3.2 ,需升级。通过show version命令看到: boot system flash sup-bootflash:
720, 32 720, 32 2, 720, 32 Supervisor Engines1 System image file is \ · 将最新的s72033-adventerprisek9_wan-mz.122-18.SXF10.bin IOS拷贝放置在DISK0:内,保持原sup-bootflash:中的旧IOS文件,以便回退。 后续重启时,注意修改配置文件:
1) 删除原:boot system flash sup-bootflash:
2) 增加新:boot system disk0: s72033-adventerprisek9_wan-mz.122-18.SXF10.bin 3) 使用show boot确认开机引导项:
BOOT variable = disk0:s72033-adventerprisek9_wan-mz.122-18.SXF10.bin,12; CONFIG_FILE variable = BOOTLDR variable =
Configuration register is 0x2102
5. 使用show tech保留割接前设备状态信息,以用于未来排错。 例如: show module
O-6506-Secondary# show module 注意查看并保存O-6506-Primary的模块状态 Mod Ports Card Type Model Serial No. --- ----- -------------------------------------- ------------------ -----------
1 24 CEF720 24 port 1000mb SFP WS-X6724-SFP SAL08486F4Q
2 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX SAL08506YSN 3 8 Intrusion Detection System WS-SVC-IDSM-2 SAD084302KN 4 6 Firewall Module WS-SVC-FWM-1 SAD08450CTF 5 2 Supervisor Engine 720 (Active) WS-SUP720-3B SAD08450DL7 6 2 Supervisor Engine 720 (Hot) WS-SUP720-3B SAD084308J6
6. FWSM模块插入交换机中,在正式加载前先升级Image文件。
7. 如果FWSM已在线使用中,直接利用现配置即可升级。如果FWSM没有在线则需先进行简单配置以便加载,然后升级。 步骤一:查看当前引导分区
left#show boot device 第4槽防火墙模块缺省使用的是CF:4,不建议使用分区CF:5
如果想到更改分区至CF:5,则使用下述命令: Router(config)# boot device module mod_num cf:n
例如:left#hw-module module 4 reset cf:4
left#session slot 4 proc 1
left#show firewall module 4 traffic
步骤二:升级FWSM Application映像
方式两种:一:PC应与FWSM inside端口在同一内网网段
配置FWSM inside端口使tftp服务所在PC可以访问FWSM。注意此时的PC应与FWSM inside端口在同一内网网段。
交换机配置
vlan 900 现网中没有用到的一个VLAN ID
no firewall vlan-group 1 2,30,31,33,34,清除原有配置,这样我们可以在白天工作时间做防火墙模块的image升级工作!!
firewall vlan-group 4 900 firewall module 4 vlan-group 4
FWSM防火墙模块配置 session slot 4 proc 1,备份配置后,使用clear config all清配置 nameif vlan900 inside security100
ip address inside 192.168.188.1 255.255.255.0 确认使用的是一个现网没有应用的IP网段地址 interface inside
no shut
access-list acl-inside extended permit ip any any
icmp permit any inside
access-group acl-inside in interface inside
copy tftp flash: 注意,将自己的笔记本直接放在vlan900中。 !!!确认后会重启,如FWSM已在线使用中,切记要选择为后续重启。
show verison 确认版本是否升级成功! Dir flash:
二:如果PC位于FWSM outside端口外侧VLAN内
在交换机上定义interface vlan 900(注意首先要在主交换机上定义VLAN 900,因全网启用了VTP协议)
Ip addr 192.168.188.188 255.255.255.0 No shut
nameif vlan900 outside security0
ip address outside 192.168.188.1 255.255.255.0
route outside 0.0.0.0 0.0.0.0 192.168.188.188 access-list acl-outside extended permit ip any any
icmp permit any outside
access-group acl-outside in interface outside
copy tftp flash:
步骤三:升级FWSM ASDM图形化管理软件映像
请注意需在FWSM启用使用新的image后,才能升级ASDM,主要原因是原为PDM。
?To copy from a TFTP server, enter the following command:
hostname# copy tftp://server[/path]/filename flash:asdm 不用重启。
ASDM登录前,需要在FWSM模块上启动Http 10.10.0.2 255.255.255.255 inside 其中的10.10.0.2为管理PC地址。
启动ASDM软件,用户名为空,口令为enable password上的口令。 步骤四:删除临时配置
no vlan 900!
no firewall module 4 vlan-group 9
no firewall vlan-group 4 900
8. FWSM模块Image从2.1升级至3.2,会有一些老命令无效,但不会影响系统运行。 Step 1 To view deprecated commands, enter the following command: hostname# show startup-config errors
相关推荐:
loading