之前给客户割接,客户额外要求升级两台ASA5520防火墙的IOS。IOS版本842要升级到847。
当然客户什么都不懂,需要和大家说明的是,ASA升级IOS注意点,严重注意:
- 检查防火墙的内存–5520跑8.3以上版本内存要2G,其他型号内存需要都不一样
- 是否做了Failover–做了HA后升级IOS要保证不中断业务
- 明确升级到的版本是多少–有升级顺序讲究,842先升级到845或846再升级到847,其他IOS升级顺序也不一样
知道这些注意点,接下来就开始升级IOS。
1.先在Active的防火墙上导入825的IOS
ASA5520#copy tftp: disk0:
Address or name of remote host []? 10.0.0.1
Source filename []? asa845-k8.bin
Destination filename [disk0]? asa845-k8.bin
完成之后通过Dir命令查看disk0是否已有845的IOS
2.通过Active防火墙将IOS也传一份给Standby防火墙
ASA5520(config) # failover exec mate copy /noconfirm tftp://10.0.0.1/asa845-k8.bin disk0:/asa845-k8.bin
这样主备两个防火墙都有了845的IOS
3.在Active防火墙上更改IOS启动
ASA5520(config)#boot system disk0:/asa845-k8.bin
ASA5520(config)#no boot system disk0:/asa842-k8.bin
ASA5520(config)# write
4.重启Standby防火墙–注意:一定要先重启Standby防火墙!!
ASA5520(config)#failover reload-standby
可以通过show failover观察Standby防火墙是否重启完毕,并保证HA状态正常
5.将Active防火墙状态切换成Standby后重启
ASA5520(config)#no failover active
ASA5520(config)#reload
6.完成重启后再将切回Active
ASA5520(config)#failover active
通过show failover确认主备状态,升级完成!
接下来再升级到827只需重复这些步骤一次即可。
多说一句,在升级过程中,全部操作都在Active防火墙上操作,除了导入IOS使用内网一台TFTP服务器外,其他操作最好通过笔记本console线连接防火墙操作,这样中间主备切换就不会弄乱
另外生产环境下升级IOS风险本来就很大,除了保存配置以外,也要确认上面我所说的1.2.3注意点
只要严格按照我的顺序进行升级肯定就没有问题,排除设备重启起不来的因素。