cisco ASA ios升級或恢復

cisco ASA ios升級或恢復

1、升級前準備工做

一、準備好所要升級的IOS文件及對應的ASDM文件

二、在一臺電腦上架設好tftp，設置好目錄，與防火牆進行鏈接（假設電腦IP爲192.168.1.2）

 

2、升級步驟

1、telnet上ASA

ASA>en                  //進入特權模式

ASA#conft                 //進入配置模式

 

2、查看ASA上的文件、版本信息及啓動文件

ASA(config)#dir           //查看asa上的文件

Directoryof disk0:/

4879   -rw- 8202240   19:18:10 Nov 16 2011   asa721-k8.bin

2391   -rw- 5539756   00:43:38 Nov 05 2007   asdm521.bin

4842   drw- 0         18:51:24 Nov 16 2011   log

4843   drw- 0         18:51:36 Nov 16 2011   crypto_archive

255426560bytes total (215465984 bytes free)

 

CISCOASA(config)#show ver      //查看版本信息及啓動文件

CiscoAdaptive Security Appliance Software Version 7.2(1)

DeviceManager Version 5.2(1)

。。。。。

Systemimage file is "disk0:/asa721-k8.bin" //這就是啓動文件和路徑

。。。。。

 

3、備份ASA上現存版本文件、ASDM文件及配置信息

ASA(config)#copydisk0:/asa721-k8.bin tftp://192.168.1.2/asa721-k8.bin

//將原有IOS文件備份到TFTP服務器上

ASA(config)#copy disk0:/asdm521.bin tftp://192.168.1.2/asdm521.bin

//將原有asdm文件備份到TFTP服務器上

showrun    

//顯示當前的配置，將此配置複製後備份下來，以避免操做失誤致使配置丟失

 

4、將要更新版本文件及ASDM文件上傳到tftp

ASA(config)#copy tftp://192.168.1.2/asa821-k8.bin disk0:/asa821-k8.bin

//將新的IOS文件從TFTP服務器上拷貝到ASA中

ASA(config)#copy tftp://192.168.1.2/asdm-621.bin disk0:/asdm-621.bin

//將新的IOS文件從TFTP服務器上拷貝到ASA中

ASA(config)#dir      //再次顯示目錄，檢查文件是否拷貝成功

 

5、設置啓動文件及ASDM

ASA(config)#no boot system disk0:/asa721-k8.bin  //取消以前的啓動IOS

ASA(config)#boot system disk0:/asa821-k8.bin     //設置新的啓動IOS

ASA(config)#asdm image disk0:/asdm621.bin        //設置新的ASDM

DeviceManager image set, but not a valid image file disk0:/asdm-621.bin

//因爲新的IOS文件在從新啓動前並未生效，因此會提示新的ASDM鏡像在設置關聯的時候會提示無效。

ASA(config)#exit

ASA# wr         //保存配置

ASA# reload     //從新啓動，使配置生效

 

 

3、升級失敗後的處理措施

當升級操做失敗致使防火牆flash被erase後，設備會由於找不到啓動文件而不斷地重啓

1、進入監控模式

在設備啓動時會有提示按某個鍵進入監控模式。以下：

Use BREAK or ESC to interrupt boot.

Use SPACE to begin boot immediately.

按「ESC」鍵進入監控模式。

rommon #1>

 

2、設置ASA

升級IOS須要對ASA進行一些簡單的設置，如設置設備的地址、設置tftp服務器的地址、設置IOS軟件的文件名、sync保存、用ping命令測試與tftpserver的連通性、最後執行命令tftpdnld，軟件開始裝入。

注意：在監控模式下咱們須要將電腦和ASA5510的管理接口相連，IP地址也是爲管理接口設置的。

rommon #2> ADDRESS=192.168.1.1（路由器地址）

rommon #3> GATEWAY=192.168.1.2（默認網關，設置爲本機地址便可）

rommon #4> IMAGE=asa821-k8.bin（指定IOS文件名）

rommon #5> SERVER=192.168.1.2（TFTP SERVER 地址，即本機地址）

rommon #6>

rommon #6> sync

Updating NVRAM Parameters...

rommon #7> ping 192.168.1.2

Link is UP

Sending 20, 100-byte ICMP Echoes to 192.168.1.2, timeout is 4 seconds:

?!!!!!!!!!!!!!!!!!!!

Success rate is 95 percent (19/20)

 

3、執行tftpdnld命令

執行後顯示以下：

rommon #8> tftpdnld

ROMMON Variable Settings:

  ADDRESS=192.168.1.1

  SERVER=192.168.1.

  GATEWAY=192.168.1.2

  PORT=Management0/0

  VLAN=untagged

  IMAGE=asa821-k8.bin

  CONFIG=

  LINKTIMEOUT=20

  PKTTIMEOUT=4

  RETRY=20

tftp asa821-k8.bin@192.168.1.2 via 192.168.1.2

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

4、將IOS上傳到ASA

此時IOS尚未裝入ASA，而是從tftp引導啓動設備。這一點當設備啓動完畢後能夠用show version命令看到：

System image file is "tftp://192.168.1.2/asa821-k8.bin"

啓動完畢後須要將tftp server鏈接到除管理接口之外的其它接口，而後再升級IOS

注意：必需要將接口配置成 inside口

ASA#conf t

ASA(config)#int e0/0

ASA(config-if)#nameif inside

ASA(config-if)#ip add 192.168.1.1 255.255.255.0

ASA(config-if)#no sh

ASA#ping 192.168.1.2

通後就能夠升級IOS了

ASA#copy tftp: flash:

Tftp server IP address：192.168.1.2

Source file name:asa821-k8.bin

Destination file name:asa821-k8.bin

到這一步並無結束，此時還須要進行boot system的設置

使用命令

ASA(config)#boot system disk0：/asa821-k8.bin

ASA(config)#asdm image disk0：/asdm-621.bin

ASA(config)#wr

而後reload一下就能夠了

重啓以後在dir查看一下，基本上就大功告成了。

IOS恢復之後呢還須要將圖形界面管理軟件拷貝到ASA，和copy IOS的命令是同樣的。