cisco ASA ios升级或恢复
一、升级前准备工作
1、准备好所要升级的IOS文件及对应的ASDM文件
2、在一台电脑上架设好tftp,设置好目录,与防火墙进行连接(假设电脑IP为192.168.1.2)
二、升级步骤
1、telnet上ASA
ASA>en //进入特权模式
ASA#conft //进入配置模式
2、查看ASA上的文件、版本信息及启动文件
ASA(config)#dir //查看asa上的文件
Directoryof disk0:/
4879 -rw- 8202240 19:18:10 Nov 16 2011 asa721-k8.bin
2391 -rw- 5539756 00:43:38 Nov 05 2007 asdm521.bin
4842 drw- 0 18:51:24 Nov 16 2011 log
4843 drw- 0 18:51:36 Nov 16 2011 crypto_archive
255426560bytes total (215465984 bytes free)
CISCOASA(config)#show ver //查看版本信息及启动文件
CiscoAdaptive Security Appliance Software Version 7.2(1)
DeviceManager Version 5.2(1)
。。。。。
Systemimage file is "disk0:/asa721-k8.bin" //这就是启动文件和路径
。。。。。
3、备份ASA上现存版本文件、ASDM文件及配置信息
ASA(config)#copydisk0:/asa721-k8.bin tftp://192.168.1.2/asa721-k8.bin
//将原有IOS文件备份到TFTP服务器上
ASA(config)#copy disk0:/asdm521.bin tftp://192.168.1.2/asdm521.bin
//将原有asdm文件备份到TFTP服务器上
showrun
//显示当前的配置,将此配置复制后备份下来,以免操作失误导致配置丢失
4、将要更新版本文件及ASDM文件上传到tftp
ASA(config)#copy tftp://192.168.1.2/asa821-k8.bin disk0:/asa821-k8.bin
//将新的IOS文件从TFTP服务器上拷贝到ASA中
ASA(config)#copy tftp://192.168.1.2/asdm-621.bin disk0:/asdm-621.bin
//将新的IOS文件从TFTP服务器上拷贝到ASA中
ASA(config)#dir //再次显示目录,检查文件是否拷贝成功
5、设置启动文件及ASDM
ASA(config)#no boot system disk0:/asa721-k8.bin //取消之前的启动IOS
ASA(config)#boot system disk0:/asa821-k8.bin //设置新的启动IOS
ASA(config)#asdm image disk0:/asdm621.bin //设置新的ASDM
DeviceManager image set, but not a valid image file disk0:/asdm-621.bin
//由于新的IOS文件在重新启动前并未生效,所以会提示新的ASDM镜像在设置关联的时候会提示无效。
ASA(config)#exit
ASA# wr //保存配置
ASA# reload //重新启动,使配置生效
三、升级失败后的处理措施
当升级操作失败导致防火墙flash被erase后,设备会因为找不到启动文件而不断地重启
1、进入监控模式
在设备启动时会有提示按某个键进入监控模式。如下:
Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
按“ESC”键进入监控模式。
rommon #1>
2、设置ASA
升级IOS需要对ASA进行一些简单的设置,如设置设备的地址、设置tftp服务器的地址、设置IOS软件的文件名、sync保存、用ping命令测试与tftpserver的连通性、最后执行命令tftpdnld,软件开始装入。
注意:在监控模式下我们需要将电脑和ASA5510的管理接口相连,IP地址也是为管理接口设置的。
rommon #2> ADDRESS=192.168.1.1(路由器地址)
rommon #3> GATEWAY=192.168.1.2(默认网关,设置为本机地址即可)
rommon #4> IMAGE=asa821-k8.bin(指定IOS文件名)
rommon #5> SERVER=192.168.1.2(TFTP SERVER 地址,即本机地址)
rommon #6>
rommon #6> sync
Updating NVRAM Parameters...
rommon #7> ping 192.168.1.2
Link is UP
Sending 20, 100-byte ICMP Echoes to 192.168.1.2, timeout is 4 seconds:
?!!!!!!!!!!!!!!!!!!!
Success rate is 95 percent (19/20)
3、执行tftpdnld命令
执行后显示如下:
rommon #8> tftpdnld
ROMMON Variable Settings:
ADDRESS=192.168.1.1
SERVER=192.168.1.
GATEWAY=192.168.1.2
PORT=Management0/0
VLAN=untagged
IMAGE=asa821-k8.bin
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20
tftp asa821-k8.bin@192.168.1.2 via 192.168.1.2
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
4、将IOS上传到ASA
此时IOS还没有装入ASA,而是从tftp引导启动设备。这一点当设备启动完毕后可以用show version命令看到:
System image file is "tftp://192.168.1.2/asa821-k8.bin"
启动完毕后需要将tftp server连接到除管理接口以外的其它接口,然后再升级IOS
注意:必须要将接口配置成 inside口
ASA#conf t
ASA(config)#int e0/0
ASA(config-if)#nameif inside
ASA(config-if)#ip add 192.168.1.1 255.255.255.0
ASA(config-if)#no sh
ASA#ping 192.168.1.2
通后就可以升级IOS了
ASA#copy tftp: flash:
Tftp server IP address:192.168.1.2
Source file name:asa821-k8.bin
Destination file name:asa821-k8.bin
到这一步并没有结束,此时还需要进行boot system的设置
使用命令
ASA(config)#boot system disk0:/asa821-k8.bin
ASA(config)#asdm image disk0:/asdm-621.bin
ASA(config)#wr
然后reload一下就可以了
重启之后在dir查看一下,基本上就大功告成了。
IOS恢复以后呢还需要将图形界面管理软件拷贝到ASA,和copy IOS的命令是一样的。