alle Blog Artikel
3 min Lesezeit

Dieser Artikel beschreibt, wie bei einem aktiven Cisco ASA-Firewall-Cluster ein Softwareupdate der Firmware und des ASDM durchgeführt werden kann. Bei dieser Methode wird keine Unterbrechung des eigentlichen Betriebes der Firewall benötigt. Für das Updates sind die folgenden 6 Schritte notwendig.

Upload der Firmware und der ASDM Software auf die Primary-Cluster-Unit
  • Mit den folgenden Schritten wird der Upload der Firmware und der ASDM Software auf die Primary-Cluster-Unit durchgeführt. Ich beschreibe nur die Vorgehensweise für die Befehlszeile. Es wird vorausgesetzt, dass der Administrator mittels ssh sich bereits authentifiziert hat und in den privileged-Modus wechselte. Der Upload der Firmware und der ASDM Software mittels der Befehlszeile unter Verwendung eines TFTP-Server erfolgt mit dem nachfolgenden Befehl.
    copy tftp://"IP-TFTP-Server"/"Path from TFTP-Root"/"Filename" flash:/"Filename"
Firmware und ASDM Software benennen, welche nach einem Reload zu verwenden

Die nächsten Zeilen benennen  die Befehlszeilen mit denen festlegt wird, welche Firmware und ASDM Software nach einem Reload zu verwenden ist. Hinweis: Die Konfiguration muss nur über die Primary-Cluster-Unit-erfolgen. Denn jede Konfigurationsänderung wird automatisch auf die Standby-Cluster-Unit übertragen. 

  • Konfiguration des Boot-Images via CLI und abspeichern der Konfigurationsänderung
    conf t
    boot system disk0:/„asa-firmware“.bin
    asdm image disk0:/„asdm-software“.bin
    end
    write memory
Überprüfen, dass wir auf der aktuell aktiven Cluster-Unit uns per Terminal befinden

Jetzt heißt es zu überprüfen, dass wir via Terminal nur auf der aktiven Cluster-Unit eingeloggt sind. Hinweis: Bevor wir weiterverfahren muss unbedingt sichergestellt werden, dass die Konfiguration auf beiden Cluster-Units gespeichert ist.

  • Der Befehl für die Statusüberprüfung lautet:
    show failover state
Neustart der bisherigen Standby-Unit
  • Neustart der Standby-Cluster-Unit mittels dem Befehl:
    failover reload-standby
Rollenwechsel der aktiven Cluster-Unit

Hinweis: Der folgende Schritt kann erst durchgeführt werden, wenn die Standby-Unit wieder betriebsbereit ist und die Konfiguration entsprechend von der Primary-Unit synchronisiert wurde. 

  • Die Rolle der aktiven (Cluster-Unit) wird an die bisherige Standby-Unit abgetreten:
    no failover active
Neustart der 2. Cluster-Unit
  • Achtung: durch den vorherigen Befehl haben sich die bisherigen Management-IP-Adressen gewechselt. Nun überprüfe ich, dass ich auf der aktiven Cluster-Unit per Terminal eingeloggt bin und führe einen Reload der nun neuen Standby-Cluster-Unit mit den nachfolgenden Befehlen durch:
    show failover state
    failover reload-standby
  • Hinweis: Der folgende Schritt kann erst durchgeführt werden, wenn die Primary-Unit wieder betriebsbereit ist und die Konfiguration entsprechend von der Standby-Unit repliziert wurde. Die Rolle der aktiven (Cluster-Unit) wird an die Primary-Unit zurückgegeben
    no failover active

    Achtung: durch den vorherigen Befehl erfolgte wieder ein Wechsel der Management-IP-Adressen.

Suche
tags-stack
Kategorie
calendar-2
Zeitraum