Actualización de software para el Firewall PIX de seguridad

Anuncio
Actualización de software para el Firewall PIX de seguridad y el
Administrador de dispositivos PIX de Cisco
Nota: En este documento se explica cómo actualizar el software en un dispositivo de seguridad PIX de la serie 500.
Para descargar el software PIX, consulte el Centro de software (solamente clientes registrados). Debe iniciar sesión y
tener un contrato de servicio válido para acceder al software PIX.
Contenidos
Introducción
Antes de comenzar
Requisitos
Componentes utilizados
Convenciones
Determine el procedimiento de actualización
Descarga de software
Actualización del Firewall PIX desde las versiones 4.x.x ó 5.0.x
Dispositivos con una unidad de disquete
Dispositivos sin unidad de disquete (modo de monitor)
Actualización del Firewall PIX desde el modo de monitor o ayuda de inicialización
Actualización de las versiones 5.1.1 o posteriores de Firewall PIX
Uso del comando copy tftp flash para actualizar PIX
Actualización de dispositivos PIX en una configuración de conmutación por error con tiempo mínimo de inactividad
Recuperación tras una actualización con errores
Actualización de la clave de activación
Dispositivos PIX que ejecutan la versión 6.1 y versiones anteriores
Dispositivos PIX que ejecutan las versiones 6.2 y 6.3
Actualización del Administrador de dispositivos de PIX
Obtención de un contrato de servicio válido
Información relacionada
Introducción
En este documento se explica cómo actualizar el software del Firewall PIX y cómo actualizar el Administrador de dispositivos PIX (PDM). Este
documento sirve para todas las versiones del software del Firewall PIX, de la 4.x a la 6.3.x.
Nota: Este documento no incluye las actualizaciones a la versión 7.x. Para obtener más información, consulte Procedimiento de actualización de
software del dispositivo de seguridad Secure PIX 7.x y ASDM de Cisco para la versión 7.x y el Administrador de dispositivos de seguridad
adaptables (ASDM).
Antes de comenzar
Requisitos
Asegúrese de que cumple con los siguientes requisitos antes de utilizar esta configuración.
Configure un servidor TFTP
En la mayoría de los casos, se requiere la utilización de un servidor TFTP para actualizar el software del dispositivo de seguridad PIX.
Cisco recomienda vehementemente que realice una copia de respaldo de la configuración PIX en un servidor TFTP antes de llevar a cabo
la actualización. Ejecute el comando write net para realizar una copia de respaldo de la configuración.
Por ejemplo:
pixfirewall# write net 10.1.1.10:pixconfig
Cisco ya no proporciona un servidor TFTP para la descarga, pero puede encontrar muchas opciones gratuitas y fáciles de usar a través de
un motor de búsqueda.
Recopile la información necesaria
Para determinar la actualización de software adecuada para su dispositivo de seguridad PIX, recopile las especificaciones del dispositivo.
En ocasiones, es necesario tener la clave de activación de PIX a mano durante el procedimiento de actualización. Ejecute el comando show
version para obtener la información necesaria sobre el dispositivo.
Por ejemplo:
pixfirewall# show version
Cisco PIX Firewall Version 6.3(4)
Cisco PIX Device Manager Version 3.0(2)
Compiled on Fri 02-Jul-04 00:07 by morlee
pixfirewall up 29 mins 18 secs
Hardware:
PIX-501, 16 MB RAM, CPU Am5x86 133 MHz
Flash E28F640J3 @ 0x3000000, 8MB
BIOS Flash E28F640J3 @ 0xfffd8000, 128KB
0: ethernet0: address is 0015.2b95.f95c, irq 9
1: ethernet1: address is 0015.2b95.f95e, irq 10
Licensed Features:
Failover:
Disabled
VPN-DES:
Enabled
VPN-3DES-AES:
Enabled
Maximum Physical Interfaces: 2
Maximum Interfaces:
2
Cut-through Proxy:
Enabled
Guards:
Enabled
URL-filtering:
Enabled
Inside Hosts:
Unlimited
Throughput:
Unlimited
IKE peers:
10
This PIX has a Restricted (R) license.
Serial Number: 809324870 (0x303d5146)
Running Activation Key: 0x96cb328a 0x15e9aeaf 0xddb832cf 0xb906199e
Configuration last modified by enable_15 at 07:52:05.707 UTC Tue Jul 11 2006
Además, asegúrese de leer las release notes más relevantes acerca del software PIX en la Documentación sobre dispositivos de seguridad
PIX de Cisco de la serie 500.
Componentes utilizados
La información de este documento se basa en estas versiones de software y hardware:
Software PIX versión 4.4(x) - 2 MB de memoria flash, 16 MB de RAM.
Software PIX versión 5.0(x) - 2 MB de memoria flash, 32 MB de RAM.
Software PIX versión 5.1(x) - 2 MB de memoria flash, 32 MB de RAM.
Software PIX versión 5.2(x) - 8 MB de memoria flash, 32 MB de RAM.
Software PIX versión 5.3(x) - 8 MB de memoria flash, 32 MB de RAM.
Software PIX versión 6.0(x) - 8 MB de memoria flash, 32 MB de RAM.
Software PIX versión 6.1(x) - 8 MB de memoria flash, 32 MB de RAM.
Software PIX versión 6.2(x) - 8 MB de memoria flash, 32 MB de RAM.
Software PIX versión 6.3(x) - 32 MB de RAM (excepto el dispositivo de seguridad Cisco PIX 501, que requiere 16 MB de RAM), 16 MB
de memoria flash (excepto los dispositivos de seguridad Cisco PIX 501, 506 y 506E, que requieren 8 MB de memoria flash)
La información de este documento se ha creado a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos que se
utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en funcionamiento,
asegúrese de que comprende el posible efecto de cualquier comando.
Convenciones
Consulte las Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones de este documento.
Determinación del procedimiento de actualización
Encuentre el modelo del Firewall PIX y la versión de software actual en esta tabla. A continuación, seleccione el enlace para ver las instrucciones
sobre cómo actualizarlo.
Versión actual del software PIX
Modelo
de PIX
4.4(x) y
anteriores,
5.0(x)
PIX
Classic
ayuda de
inicialización
copy tftp copy tftp copy tftp
suspendido suspendido
Flash
Flash
Flash
PIX
10000
ayuda de
inicialización
copy tftp copy tftp copy tftp
suspendido suspendido
Flash
Flash
Flash
5.1(x)
5.2(x)
5.3(x)
6.0(x)
6.1(x),
6.2(x),
6.3(x)
PIX 501 No aplicable
No
No
No
No
aplicable aplicable aplicable aplicable
copy tftp
flash
PIX 506 No aplicable
copy tftp copy tftp copy tftp copy tftp
Flash
Flash
Flash
Flash
copy tftp
flash
PIX 510
ayuda de
inicialización
copy tftp copy tftp copy tftp
Suspendido Suspendido
Flash
Flash
Flash
copy tftp copy tftp copy tftp copy tftp
Flash
Flash
Flash
Flash
copy tftp
flash
copy tftp copy tftp copy tftp copy tftp
Flash
Flash
Flash
Flash
copy tftp
flash
PIX 525 No aplicable
No
copy tftp copy tftp copy tftp
aplicable Flash
Flash
Flash
copy tftp
flash
PIX 535 No aplicable
No
No
copy tftp copy tftp
aplicable aplicable Flash
Flash
copy tftp
flash
PIX 515 monitor
PIX 520
ayuda de
inicialización
Nota: El Firewall PIX Classic, 10000 y 510 están suspendidos y no pueden ejecutar la versión 6.0 o posterior del software Firewall PIX. Si tiene
un PIX Classic, 10000 ó 510, y desea ejecutar el software Firewall PIX 6.0 o posterior, póngase en contacto con su equipo de cuenta de Cisco o
distribuidor local para adquirir una versión más reciente.
Descarga de software
El software de dispositivos de seguridad PIX sólo está disponible para los usuarios con una cuenta CCO y contrato de servicio asociado. Consulte
el Centro de software (solamente clientes registrados) para descargar el software PIX. Debe iniciar sesión para acceder al software PIX.
Actualización del Firewall PIX desde las versiones 4.x.x ó 5.0.x
Dispositivos con una unidad de disquete
Estos pasos sólo se aplican a los dispositivos PIX con unidad de disquete. Específicamente, este grupo se limita al PIX Classic, 10000, 510 y 520.
Creación de un disquete de arranque en Windows.
Siga las instrucciones de la sección Actualización del Firewall PIX desde el modo de ayuda de inicialización o monitor de este documento.
Siga estos pasos para crear un disquete de arranque en Windows:
1. Vaya a la página Descarga de software PIX (solamente clientes registrados) y descargue la utilidad rawrite.exe. Use esta utilidad para escribir la
imagen binaria PIX en un disquete.
2. Descargue la imagen binaria PIX (archivo .bin) que corresponde a la versión de software que desea actualizar. Los nombres de archivo de
la imagen PIX están en el formato pixnnx.bin, donde nn es el número de versión y x es el número de lanzamiento.
Ejemplo: El archivo pix611.bin es para la versión 6.1.1 del software PIX.
3. Si actualiza a la versión 5.2 o posterior del software PIX, también necesita descargar el archivo binario de ayuda de inicialización
correspondiente.
Ejemplo: Si realiza la actualización de la versión 4.4(8) del software PIX a la versión 6.1(1), debe descargar estos tres archivos:
rawrite.exe
pix611.bin
bh61.bin
4. Busque un disquete de alta densidad con formato IBM que no contenga ningún archivo.
Nota: No utilice el disquete de arranque del Firewall PIX que recibió con su Firewall PIX original. Necesita este disquete para la
recuperación del sistema si selecciona volver a instalar la versión original. El programa rawrite.exe borra todos los archivos del disquete.
Si formatea el disquete desde Windows, seleccione la versión larga, no el formateo rápido. El formateo rápido no prepara adecuadamente el
disquete para rawrite. La mejor forma de formatear el disquete es hacerlo desde el mensaje de comando en MS-DOS. Ejecute el comando
format a:, donde a es la letra de la unidad de disquete en la que se encuentra el disquete.
5. Coloque el disquete en blanco en la unidad de disquete de su computadora y aparecerá un mensaje de DOS. Cambie al directorio en el que
ha guardado la utilidad rawrite.exe y los archivos PIX.
6. Ejecute el programa rawrite.exe. Para ello, ejecute el comando rawrite en el mensaje de DOS. Cuando aparezca el mensaje, escriba el
nombre del archivo que usted quiera escribir en el disquete.
Nota: Si actualiza a la versión 5.1 o a una versión anterior del software PIX, especifique el archivo para la imagen PIX en sí. Está en el
formato pixnnx.bin. Si actualiza a las versiones 5.2 o posteriores de PIX, especifique el archivo de ayuda de inicialización de PIX, en el
formato bhnn.bin.
Ejemplo: Creación de un disquete de arranque en Windows
C:\>rawrite
RaWrite 1.2 - Write disk file to raw floppy diskette
Enter source file name: bh61.bin
Enter destination drive: a:
Please insert a formatted diskette into drive A: and press -ENTER- :
Number of sectors per track for this disk is 18.
Writing image to drive A:. Press ^C to abort.
Track: 11 Head: 1 Sector: 16
Listo.
C:\>0
7. Una vez que finalice el proceso rawrite, extraiga el disquete e insértelo en la unidad de disquete de Firewall PIX. Realice una de las
siguientes acciones para que PIX se inicie desde la imagen en el disquete.
Apague y encienda el PIX.
o
Use el interruptor de reinicio de PIX.
o
Ejecute el comando reload desde la consola de PIX.
8. Cuando PIX haya completado el reinicio, realice el paso adecuado mencionado:
Si actualiza a la versión 5.1 o a una versión anterior del software PIX, elimine la unidad de disquete de la unidad y habrá finalizado.
Si actualiza a la versión 5.2 o a una versión posterior del software PIX, cuando cargue el programa de ayuda de inicialización en el
disquete, PIX se iniciará en el modo de ayuda de inicialización. Continúe con la sección Actualización del Firewall PIX desde el
modo de monitor o ayuda de inicialización de este documento para completar la actualización.
Dispositivos sin unidad de disquete (modo de monitor)
Los dispositivos PIX que no tienen una unidad de disquete interna vienen con un programa de monitor de arranque de la memoria ROM utilizado
para la actualización de la imagen del Firewall PIX. Complete estos pasos para entrar en el modo de monitor en los dispositivos que no cuentan
con una unidad de disquete:
1. Inicie el ciclo o recargue el PIX. Durante el inicio, se le solicita que use la tecla PAUSA (BREAK) o ESC para interrumpir el inicio de la
memoria Flash. Tiene diez segundos para interrumpir el proceso de inicio normal.
2. Pulse la tecla ESC o envíe un carácter de interrupción BREAK para ingresar al modo de control.
Si usa Hyperterminal de Windows, puede pulsar la tecla ESC o enviar un carácter de interrupción BREAK pulsando Ctrl+Pausa
(Ctrl+Break) .
Si se ha comunicado vía Telnet a través de un servidor de terminal para obtener acceso al puerto de la consola de PIX, debe presionar
Ctrl ] para obtener el mensaje de comando de Telnet. A continuación, introduzca el comando send break .
3. Aparece el mensaje monitor> .
4. Continúe con la sección Actualización del Firewall PIX desde el modo de monitor o ayuda de inicialización de este documento.
Actualización del Firewall PIX desde el modo de monitor o ayuda de inicialización
Nota: Asegúrese de haber seguido las instrucciones de cada sección presentada, dispositivos de seguridad con una unidad de disquete o
dispositivos de seguridad sin una unidad de disquete, antes de continuar con estos pasos.
Si actualiza la versión 5.0.x o versiones anteriores de PIX a las versiones 5.1.x o posteriores, debe usar el método de modo de monitor o ayuda de
inicialización para la actualización. Esto se debe a que, antes de la versión 5.1, el software Firewall PIX no ofrecía una manera de cargar por
TFTP una imagen directamente en la memoria Flash. Siga estos pasos para actualizar dispositivos de seguridad PIX con o sin unidad de disquete:
1. Copie la imagen binaria de Firewall PIX (pixnnn.bin) en el directorio raíz del servidor TFTP.
2. Para PIX Classic, 10000, 510 y 520, asegúrese de haber utilizado ya el procedimiento para Creación de un disquete de arranque. Utilice el
archivo de ayuda de inicialización que coincida de manera más precisa con la imagen PIX a la que está realizando la actualización. Inicie el
PIX desde el disquete de ayuda de inicialización para entrar en el modo de ayuda de inicialización.
Todos los demás dispositivos PIX (501, 506, 515, 525 y 535) no incluyen una unidad de disquete. En cambio, poseen un modo de monitor
de arranque interno. Consulte las instrucciones de este documento sobre cómo entrar en el modo de monitor en un PIX 501, 506, 515, 525
ó 535.
Una vez en el modo de monitor o ayuda de inicialización, utilice ? para ver una lista de las opciones disponibles.
3. Ejecute el comando interface number. El comando interface especifica la interfaz PIX a la que está conectado el servidor TFTP. La
interfaz predeterminada es la 1 (interna).
Nota: PIX no puede inicializar una interfaz Gigabit Ethernet desde el modo de monitor o ayuda de inicialización. Debe utilizar una interfaz
Fast Ethernet o Token Ring.
4. Ejecute el comando address pix_interface_ip_address. El comando address especifica la dirección IP de la interfaz de la unidad PIX.
5. Ejecute el comando server tftp_server_ip_address. El comando server especifica la dirección IP del servidor TFTP.
6. Ejecute el comando file filename. El comando file especifica el nombre de archivo de la imagen del Firewall PIX.
7. Ejecute el comando ping tftp_server_ip_address. Ejecute el comando ping en el servidor para verificar su accesibilidad. Si este comando
falla, vuelva a verificar los cables, la dirección IP del servidor, la de PIX y la dirección IP de la gateway (si es necesario). Los pings deben
realizarse con éxito para que pueda continuar.
Nota: Ejecute el comando gateway para especificar la dirección IP de una gateway del router a través del cual se obtiene acceso al
servidor.
gateway ip_address of the gateway interface
8. Ejecute el comando tftp para iniciar la descarga de la imagen desde el servidor TFTP.
9. Tras la descarga, se le solicita que instale la nueva imagen. Escriba y (s) para instalar la imagen en la memoria Flash.
10. Cuando se le solicite que introduzca una nueva clave de activación, escriba y (s) si desea ingresar una nueva clave de activación o n para
conservar la clave de activación existente. Consulte la sección Actualización de la clave de activación de este documento para obtener más
información sobre la clave de activación y cómo obtener una nueva.
11. Si utiliza el modo de ayuda de inicialización, se le solicitará que retire el disquete de ayuda de inicialización. Tiene treinta segundos para
extraerlo antes de que PIX se reinicie automáticamente. Retire el disquete ahora. Una vez que se reinicie, PIX cargará la nueva imagen
desde la memoria Flash.
Aquí finaliza el proceso de actualización.
Una vez que se ha actualizado PIX a la versión 5.1 o posterior, ya no es necesario usar una unidad de disquete para cargar nuevas imágenes
en PIX. En la versión 5.1 y las versiones posteriores del software PIX, el comando copy tftp flash permite cargar por TFTP su nueva
imagen PIX directamente en PIX desde un servidor TFTP. Consulte la información que aparece en PIX Command References (Guías de
referencia de comandos PIX) para obtener más detalles.
Ejemplo: Actualización del Firewall PIX desde el modo de monitor o ayuda de inicialización
monitor>interface 1
0: i8255X @ PCI(bus:0 dev:14 irq:10)
1: i8255X @ PCI(bus:0 dev:13 irq:11)
Using 1: i82557 @ PCI(bus:0 dev:13 irq:11), MAC: 0002.b945.a23c
monitor>address 172.18.124.154
address 172.18.124.154
monitor>server 172.18.125.3
server 172.18.125.3
monitor>file pix611.bin
file pix611.bin
monitor>ping 172.18.125.3
Sending 5, 100-byte 0xcde2 ICMP Echoes to 172.18.125.3, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor>tftp
tftp pix611.bin@172.18.125.3..........................................
Received 2562048 bytes
Cisco Secure PIX Firewall admin loader (3.0) #0: Tue Dec
System Flash=E28F128J3 @ 0xfff00000
BIOS Flash=am29f400b @ 0xd8000
Flash version 6.1.1, Install version 6.1.1
Do you wish to copy the install image into flash? [n] y
517:35:46 PST 2000
Installing to flash
Serial Number: 480380761 (0x1ca20759)
Activation Key: 760754d0 39f62229 a4a0245f b5b87e80
Do you want to enter a new activation key? [n] n
Writing 2469944 bytes image into flash...
Actualización de las versiones 5.1.1 o posteriores de Firewall PIX
Si el dispositivo de seguridad PIX ejecuta las versiones 5.1.1 o posteriores del software PIX, puede usar el comando copy tftp flash para
descargar una imagen de software con TFTP. Puede usar el comando copy tftp flash con cualquier modelo de Firewall PIX que ejecute las
versiones 5.1.1 o posteriores del software PIX. La imagen que se descarga está disponible para PIX en la siguiente recarga (reinicio). Consulte la
información que aparece en PIX Command References (Guías de referencia de comandos PIX) para obtener más detalles sobre este comando.
Uso del comando copy tftp flash para actualizar PIX
Siga estos pasos para actualizar PIX mediante el comando copy tftp flash.
1. Copie la imagen binaria del Firewall PIX (pixnnn.bin) en el directorio raíz del servidor TFTP.
2. Ejecute el comando copy tftp flash desde el mensaje PIX.
3. Escriba la dirección IP del host remoto.
4. Escriba el nombre de archivo binario PIX (tiene el formato de nombre pixnnn.bin).
5. Escriba yes.
Ejemplo: Actualización de Firewall PIX con el comando copy tftp flash
pixfirewall#copy tftp flash
Address or name of remote host [127.0.0.1]? 172.18.125.3
Source file name [cdisk]?pix611.bin
copying tftp://172.18.125.3/pix611.bin to flash
[yes|no|again]?yes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 2562048 bytes.
Erasing current image.
Writing 2469944 bytes of image.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Image installed.
pixfirewall#
Actualización de dispositivos PIX en una configuración de conmutación por error con tiempo mínimo de
inactividad
Para utilizar este procedimiento, los dispositivos PIX deben estar ejecutando la versión 5.1.x del software PIX o versiones posteriores. Estas
instrucciones son válidas para todos los dispositivos PIX con capacidad para ejecutarse en una configuración de conmutación por error. Consulte
Funcionamiento de la conmutación por error en el Firewall PIX Secure de Cisco para obtener más información sobre este tema.
Se enumeran dos opciones diferentes para ayudarle a actualizar PIX con un tiempo de inactividad mínimo. La primera opción es la forma más
segura de actualizar la configuración de conmutación por error. Si algo falla durante el proceso de actualización, siempre tiene un PIX operativo
para transmitir el tráfico de la red. La segunda opción es más simple pero implica más riesgo. El riesgo reside en la posibilidad de que la nueva
imagen que se cargue en los dispositivos PIX esté dañada de alguna forma. Ambas opciones se presentan de manera que usted puede elegir el
método mejor para su red específica.
Nota: Si desea actualizar la configuración de conmutación por error de 6.x a 7.x, consulte la sección Actualización de dispositivos PIX en una
configuración de conmutación por error de Procedimiento de actualización de software del dispositivo de seguridad Secure PIX 7.x y ASDM de
Cisco.
Opción 1
Ésta es la forma más segura de actualizar la configuración de conmutación por error:
1. Copie la imagen binaria de Firewall PIX (pixnnn.bin) en el directorio raíz del servidor TFTP.
2. Apague el servidor primario (esto hace que el secundario sea el activo)
3. Desconecte todos los cables del servidor primario (incluso el cable de conmutación por error).
4. Encienda el servidor primario y conecte un PC a un servidor TFTP instalado en él.
5. Ejecute el comando copy tftp flash para actualizar el servidor primario.
6. Vuelva a cargar el servidor primario y verifique la nueva versión y configuración.
7. Apague el servidor primario.
8. Vuelva a conectar todos los cables al servidor primario.
9. Apague rápidamente el servidor secundario y encienda el primario inmediatamente.
Nota: Experimentará un período de tiempo de inactividad mientras se reinicia el servidor primario.
Una vez que el servidor primario se encienda, estará activo y transmitirá el tráfico.
10. Repita los pasos 2 a 7 para el dispositivo PIX secundario.
11. Encienda el servidor secundario. Se activa como servidor en espera.
12. Ambos dispositivos PIX están ejecutando la versión actualizada y regresan a su funcionamiento normal.
Opción 2
Ésta es la forma más rápida de actualizar la configuración de conmutación por error:
1. Copie la imagen binaria del Firewall PIX (pixnnn.bin) en el directorio raíz del servidor TFTP.
2. Ejecute el comando copy tftp flash para para copiar la nueva imagen de PIX en el PIX primario.
3. Ejecute el comando copy tftp flash para copiar la nueva imagen de PIX en el PIX secundario.
4. Apague ambos dispositivos PIX.
5. Encienda el PIX primario.
6. Espere diez segundos. De esta forma se asegurará de que el dispositivo PIX primario sea el PIX activo.
7. Encienda el PIX secundario. Se enciende como dispositivo en espera.
8. Ambos dispositivos PIX están ejecutando la versión actualizada y regresan a su funcionamiento normal.
Recuperación tras una actualización con errores
Siga estos pasos para recuperar los dispositivos PIX cuando haya realizado una actualización de la versión 6.x a 6.x del software PIX que
presente errores:
1. Como se mencionó anteriormente, asegúrese de copiar su clave de activación antes de intentar llevar a cabo este procedimiento.
2. Siga los pasos para iniciar el dispositivo PIX en el modo de monitor.
3. Siga los pasos de actualización del dispositivo PIX desde el modo de monitor para cargar el archivo erasedisk.bin utilizando TFTP. Solicite
este archivo al Soporte técnico de Cisco.
4. Cuando el sistema se reinicie, vuelva a iniciar el dispositivo PIX en el modo de monitor.
5. Siga los pasos sobre cómo actualizar el dispositivo PIX desde el modo de monitor para cargar el archivo de la nueva versión 6.x en el
dispositivo PIX utilizando TFTP.
Actualización de la clave de activación
Existen varias razones por las que deberá actualizar la clave de activación del PIX:
Actualmente, PIX no tiene habilitado el cifrado VPN-DES o VPN-3DES.
Nota: Se debe habilitar el cifrado VPN-DES para poder administrar el dispositivo PIX con PDM. Los usuarios registrados pueden obtener
una clave de activación de VPN-DES de 56 bits al completar el formulario PIX 56-bit License Upgrade Key (Clave de actualización de
licencia de PIX de 56 bits). Complete el Cisco ASA 3DES/AES License Registration (Registro de licencia ASA 3DES/AES de Cisco) para
obtener una clave 3DES/AES.
El dispositivo PIX no tiene activada la conmutación por error.
La actualización desde una licencia basada en la conexión a una licencia basada en las funciones.
Si está incluido en una de estas categorías y ha obtenido una nueva clave de activación para su PIX, el paso siguiente es conectarse al dispositivo
PIX, ejecutar el comando show version y guardar el resultado en un archivo de texto. Éste contiene su versión existente, el número de serie y la
clave de activación. Necesitará esta información si encuentra algún problema con la actualización de la clave de activación.
La clave de activación de PIX está basada en el número de serie de PIX y, por lo tanto, es exclusiva para cada dispositivo PIX. La clave de
activación informa a PIX de las funciones para las que tiene licencias. El número de serie de PIX se guarda en la memoria Flash. Si reemplaza la
tarjeta de memoria Flash del PIX, éste incluirá un nuevo número de serie (diferente de aquél que se muestra en la etiqueta adhesiva de la parte
exterior de la caja). Utilice siempre el número de serie que se muestra en el resultado del comando show version.
Nota: Debe ingresar manualmente las claves de activación. No utilice la función de copiar y pegar, ya que esto puede generar errores que pueden
hacer que la clave de activación falle.
Nota: Agregue números adicionales a los números de serie de 9 dígitos que comiencen con cualquier número del 4 al 8 para convertirlos en
números de 11 dígitos. Por ejemplo, el número 4xxxxxxxx aparece como 444xxxxxxxx en la clave de activación. De igual forma, los números
que comiencen con un 8 requieren que agregue dos 8 adicionales.
Dispositivos PIX que ejecutan la versión 6.1 y versiones anteriores
Siga las instrucciones de la sección Actualización de PIX Firewall desde el modo de ayuda de inicialización o monitor si el dispositivo PIX
ejecuta la versión 6.1 o versiones anteriores. Es en el paso 10 cuando se le solicita que introduzca una nueva clave de activación.
Dispositivos PIX que ejecutan las versiones 6.2 y 6.3
Ejecute el comando activation-key para cambiar su clave de activación si PIX ejecuta las versiones 6.2 ó 6.3. Consulte la información que
aparece en PIX Command References (Guías de referencia de comandos PIX) para obtener más información.
Ejemplo: Actualización de la clave de activación en un dispositivo PIX que ejecuta las versiones 6.2 ó 6.3
pixfirewall(config)#activation-key 54bf4b80 b7237e20 05022c63 f09e3302
Updating flash...Done.
Serial Number: 480490644 (0x1ca3b494)
Flash Activation Key: 0x54bf4b80 0xb7237e20 0x05022c63 0xf09e3302
Licensed Features:
Failover:
Enabled
VPN-DES:
Enabled
VPN-3DES:
Enabled
Maximum Interfaces: 10
Cut-through Proxy: Enabled
Guards:
Enabled
URL-filtering:
Enabled
Inside Hosts:
Unlimited
Throughput:
Unlimited
IKE peers:
Unlimited
The flash activation key has been modified.
The flash activation key is now DIFFERENT from the running key.
The flash activation key will be used when the unit is reloaded.
pixfirewall(config)#
pixfirewall(config)#reload
Actualización del Administrador de dispositivos de PIX
El procedimiento de actualización de PDM es igual que el que se utiliza para una nueva instalación. Para obtener instrucciones detalladas,
consulte la guía de instalación en la documentación del producto PDM para obtener la versión correcta.
Obtención de un contrato de servicio válido
Debe tener un contrato de servicio válido para descargar el software PIX. Para obtener un contrato de servicio, siga estos pasos:
Póngase en contacto con el equipo de cuenta de Cisco si tiene un Acuerdo de compra directo.
Póngase en contacto con un socio o distribuidor de Cisco para adquirir un acuerdo de servicio.
Use el Perfil Administrador de perfiles para actualizar su perfil en Cisco.com y solicitar la asociación a un acuerdo de servicio.
© 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 23 Marzo 2008
http://www.cisco.com/cisco/web/support/LA/7/73/73008_upgrade.html
Descargar