映像sp2升级sp3补丁

升级ASA升级ASA2升级路径、指南和迁移2查看当前版本9从Cisco.
com下载软件9升级独立设备15升级主用/备用故障切换对18升级主用/主用故障切换对22升级ASA集群26Revised:October25,2017,升级ASA本文档介绍如何为单机、故障切换或集群部署计划和实施ASA和ASDM升级.
对于Firepower4100和9300,请参阅FXOS版本说明中的升级说明.
升级路径、指南和迁移在升级之前,请检查您的升级路径、迁移和所有其他指南.
升级路径请参阅下表以获取您的版本的升级路径.
某些版本需要先进行临时升级,然后才能升级到最新版本.
然后升级到:首先升级到:当前ASA版本9.
1(3)及更高版本8.
4(6)8.
2(x)及更早版本9.
1(3)及更高版本8.
4(6)8.
3(x)9.
1(3)及更高版本8.
4(6)或9.
0(2+)8.
4(1)至8.
4(4)9.
1(3)及更高版本—8.
4(5+)9.
1(3)及更高版本9.
0(2+)8.
5(1)9.
1(3)及更高版本9.
0(2+)8.
6(1)9.
1(3)及更高版本9.
0(2+)9.
0(1)9.
1(3)及更高版本—9.
0(2+)9.
1(3)及更高版本9.
1(2)9.
1(1)9.
1(3)及更高版本—9.
1(2+)9.
2(2)及更高版本-9.
2(x)9.
3(2)及更高版本-9.
3(x)9.
4(2)及更高版本-9.
4(x)9.
5(2)及更高版本—9.
5(x)2然后升级到:首先升级到:当前ASA版本9.
6(2)及更高版本—9.
6(x)9.
7(2)及更高版本—9.
7(x)9.
8(2)及更高版本—9.
8(x)版本特定的指南和迁移根据当前的版本,您可能会遇到一次或多次配置迁移,并且在升级时必须考虑适用于起始版本与结束版本之间所有版本的配置指南.
9.
8版指南和迁移,第3页9.
7版指南和迁移,第3页9.
6版指南和迁移,第4页9.
5版指南和迁移,第4页9.
4版指南和迁移,第6页9.
3版指南和迁移,第6页9.
2版指南和迁移,第6页9.
1版指南和迁移,第7页9.
0版指南和迁移,第7页8.
4版指南和迁移,第8页8.
3版指南和迁移,第8页9.
8版指南和迁移请勿将AmazonWebServices上的ASAv升级到9.
8(1)-由于存在CSCve56153,因此不应升级到9.
8(1).
升级后,ASAv将无法连接.
请查阅错误状态,了解修补程序何时可用.
9.
7版指南和迁移由于VTI和VXLANVNI从9.
7(1)升级到9.
7(1.
x)及更高版本的问题-如果同时配置了虚拟隧道接口(VTI)和VXLAN虚拟网络标识符(VNI)接口,则对于故障切换无法执行零停机时间升级;这些接口类型的连接不能复制到备用设备,直到两种设备处于相同版本.
(CSCvc83062)39.
6版指南和迁移(ASA9.
6(2))使用SSH公钥身份验证时的升级影响-由于对SSH身份验证的更新,需要更多配置才能启用SSH公钥身份验证;因此,使用公钥身份验证的现有SSH配置在升级后不再有效.
公钥身份验证默认用于AmazonWebServices(AWS),因此,AWS用户将看到此问题.
要避免丢失SSH连接,您可以在升级前更新您的配置.
或者,您可以在升级后使用ASDM(如果已启用ASDM访问)以修复该配置.
用户名"admin"的原始配置示例:usernameadminnopasswordprivilege15usernameadminattributessshauthenticationpublickey55:06:47:eb:13:75:fc:5c:a8:c1:2c:bb:07:80:3a:fc:d9:08:a9:1f:34:76:31:ed:ab:bd:3a:9e:03:14:1e:1bhashed要使用sshauthentication命令,请在升级之前输入以下命令:aaaauthenticationsshconsoleLOCALusernameadminpasswordprivilege15我们建议为该用户名设置密码,而不是保留nopassword关键字(如果存在).
nopassword关键字意味着可以输入任何密码,而不是不可输入任何密码.
在9.
6(2)版之前,执行SSH公共密钥身份验证不需要aaa命令,所以不会触发nopassword关键字.
现在则需要使用aaa命令,所以对于username,如果存在password(或nopassword)关键字,还会自动允许普通密码身份验证.
在升级后,username命令不再需要password或nopassword关键字;您可以要求用户不能输入密码.
因此,要强制仅进行公钥身份验证,请重新输入username命令:usernameadminprivilege15在Firepower9300上升级ASA时的升级影响-由于在后端进行的许可证授权命名更改,当升级到ASA9.
6(1)/FXOS1.
1.
4时,启动配置可能在初始重新加载时无法正确解析;对应于追加授权的配置会被拒绝.
对于独立ASA,在设备重新加载新版本后,请等候所有授权均处理完并都处于"已授权"状态(showlicenseall或监控>属性>智能许可证),然后只需重新加载(reload或工具>重新加载系统)而不必保存配置.
在重新加载后,启动配置将被正确解析.
对于故障切换对,如有任何附加授权,请按照FXOS版本说明中的升级过程进行操作,但在重新加载每个设备后重置故障切换(failoverreset或监控>属性>故障切换>状态、监控>故障切换>系统或监控>故障切换>故障切换组,然后点击重置故障切换).
对于集群,请按照FXOS版本说明中的升级过程进行操作;无需进行其他操作.
9.
5版指南和迁移9.
5(2)新运营商许可证-新运营商许可证将替代现有的GTP/GPRS许可证,并且还支持SCTP和Diameter检测.
对于Firepower9300ASA安全模块,featuremobile-sp命令将自动迁移到featurecarrier命令.
9.
5(2)弃用了邮件代理命令-在ASA版本9.
5(2)中,不再支持邮件代理命令(imap4s、pop3s、smtps)及其子命令.
49.
5(2)弃用或迁移了CSD命令-在ASA版本9.
5(2)中,不再支持CSD命令(csdimage、showwebvpncsdimage、showwebvpncsd、showwebvpncsdhostscan、showwebvpncsdhostscanimage).
以下CSD命令将迁移:csdenable迁移到hostscanenable;csdhostscanimage迁移到hostscanimage.
9.
5(2)弃用了某些AAA命令-在ASA版本9.
5(2)中,不再支持这些AAA命令及其子命令(override-account-disable、authenticationcrack).
9.
5(1)弃用了以下命令:timeoutgsn升级至9.
5(x)或更高版本时的ASA5508-X和5516-X升级问题-在升级到ASA9.
5(x)或更高版本之前,如果您从未启用巨帧预留,则必须检查最大内存空间.
由于制造缺陷,可能应用了错误的软件内存限制.
如果在执行以下修复之前升级到9.
5(x)或更高版本,则您的设备将在启动时崩溃;在这种情况下,您必须使用ROMMON降级到9.
4(使用ROMMON加载ASA5500-X系列的映像),执行下面的程序,然后再次升级.
1输入以下命令以检查故障条件:ciscoasa#showmemorydetail|includeMaxmemoryfootprintMaxmemoryfootprint=456384512Maxmemoryfootprint=0Maxmemoryfootprint=456384512如果对于"Maxmemoryfootprint"返回小于456,384,512的值,则表示存在故障条件,您必须在升级之前完成余下的步骤.
如果显示的内存为456,384,512或更大值,则可以跳过此程序的剩余步骤,升级会正常进行.
2进入全局配置模式:ciscoasa#configureterminalciscoasa(config)#3暂时启用巨帧预留:ciscoasa(config)#jumbo-framereservationWARNING:Thiscommandwilltakeeffectaftertherunning-configissavedandthesystemhasbeenrebooted.
Commandaccepted.
INFO:InterfaceMTUshouldbeincreasedtoavoidfragmentingjumboframesduringtransmit不要重新加载ASA.
注释4保存配置:ciscoasa(config)#writememoryBuildingconfiguration.
.
.
Cryptochecksum:b511ec956c90cadbaaf6b3064157957214437bytescopiedin1.
320secs(14437bytes/sec)[OK]5禁用巨帧预留:ciscoasa(config)#nojumbo-framereservationWARNING:Thiscommandwilltakeeffectaftertherunning-configissavedandthesystemhasbeenrebooted.
Commandaccepted.
5不要重新加载ASA.
注释6再次保存配置:ciscoasa(config)#writememoryBuildingconfiguration.
.
.
Cryptochecksum:b511ec956c90cadbaaf6b3064157957214437bytescopiedin1.
320secs(14437bytes/sec)[OK]7现在,您可以升级到9.
5(x)或更高版本.
9.
4版指南和迁移弃用了9.
4(1)统一通信电话代理和公司间媒体引擎代理-在ASA版本9.
4中,不再支持电话代理和IME代理.
9.
3版指南和迁移9.
3(2)传输层安全(TLS)版本1.
2的支持-我们现在支持TLS版本1.
2用于ASDM、无客户端SSVPN和AnyConnectVPN的安全消息传输.
引入或修改了以下命令:sslclient-version、sslserver-version、sslcipher、ssltrust-point、ssldh-group.
弃用了以下命令:sslencryption9.
3(1)删除了AAAWindowsNT域身份验证-删除了对远程访问VPN用户的NTLM支持.
弃用了以下命令:aaa-serverprotocolnt9.
2版指南和迁移自动更新服务器证书验证9.
2(1)自动更新服务器证书验证默认已启用.
现在,默认已启用自动更新服务器证书验证;对于新配置,您必须明确禁用证书验证.
如果您是从较早版本升级且未启用证书验证,则不会启用证书验证,并会显示以下警告:WARNING:Thecertificateprovidedbytheauto-updateserverswillnotbeverified.
Inordertoverifythiscertificatepleaseusetheverify-certificateoption.
配置将迁移为明确不配置验证:auto-updateserverno-verification升级对ASDM登录的影响从9.
2(2.
4)以前的版本升级到9.
2(2.
4)版或更高版本时,升级对ASDM登录的影响.
如果从ASA9.
2(2.
4)以前的版本升级到9.
2(2.
4)或更高版本,并使用命令授权及ASDM定义的用户角色,则访问权限为只读的用户无法登录ASDM.
您必须在升级之前或之后将more命令更改为5级权限;只有管理员级别的用户才能进行此更改.
请注意,对于定义的用户角色,ASDM7.
3(2)版及更高版本包括权限级别为5的more命令,但先前存在的配置则需要手动修复.
ASDM:61依次选择配置>设备管理>用户/AAA>AAA访问>授权,然后点击配置命令权限.
2选择more,然后点击编辑.
3将权限级别更改为5,然后点击确定.
4点击确定,然后点击应用.
CLI:ciscoasa(config)#privilegecmdlevel5modeexeccommandmore9.
1版指南和迁移最大MTU现为9198字节-如果您的MTU设置为高于9198的值,则升级后MTU会自动降低.
在某些情况下,这种MTU变化可能导致MTU不匹配;请务必将连接的所有设备设置为使用新的MTU值.
ASA可使用的最大MTU为9198字节(通过CLIhelp可检查型号的确切限制).
此值不包括第2层标头.
以前,ASA允许将最大MTU指定为65535字节,该值不准确,并可能会引发问题.
9.
0版指南和迁移升级到版本9.
0时,系统将会迁移以下ACL配置.
IPv6ACLIPv6ACL(ipv6access-list)将迁移到扩展ACL(access-listextended);不再支持IPv6ACL.
如果在接口的同一方向应用IPv4和IPv6ACL(access-group命令),这些ACL将会合并:如果除access-group之外,任何地方均未使用IPv4和IPv6ACL,则IPv4ACL的名称将用作合并ACL的名称;IPv6access-list将被删除.
如果另一功能至少正在使用其中一个ACL,则会创建一个名为IPv4-ACL-name_IPv6-ACL-name的新ACL;正在使用的ACL将继续用于其他功能.
未使用的ACL将被删除.
如果IPv6ACL正在用于另一功能,该ACL会迁移到同名的扩展ACL.
Any关键字ACL支持IPv4和IPv6后,any关键字现在表示"所有IPv4和IPv6流量".
使用any关键字的所有现有ACL将改为使用any4关键字,该关键字表示"所有IPv4流量".
此外,还引入了不同的关键字来表示"所有IPv6流量":any6.
any4和any6关键字不能用于使用any关键字的任何命令.
例如,NAT功能只能使用any关键字;根据特定NAT命令内的环境,any表示IPv4流量或IPv6流量.
78.
4版指南和迁移透明模式的配置迁移-在8.
4版中,所有透明模式接口现在都属于网桥组.
升级到8.
4版时,现有的两个接口会被放到网桥组1中,而管理IP地址会被分配给网桥组虚拟接口(BVI).
使用同一个网桥组时,功能保持不变.
现在可以利用网桥组功能,为每个网桥组最多配置四个接口,在单一模式或每个环境中最多创建八个网桥组.
请注意,在8.
3版及更早版本中,作为不受支持的配置,可以配置不带IP地址的管理接口,并且可以使用设备管理地址访问该接口.
在8.
4版中,设备管理地址会被分配到BVI,使用该IP地址不能再访问管理接口;管理接口需要有自己的IP地址.
注释从8.
3(1)、8.
3(2)和8.
4(1)升级到8.
4(2)时,所有身份NAT配置现在均包括no-proxy-arp和route-lookup关键字以维持现有功能.
unidirectional关键字被删除.
8.
3版指南和迁移请参阅以下指南,了解从8.
3版以前的思科ASA5500操作系统(OS)升级到版本8.
3时的配置迁移过程:思科ASA5500迁移到版本8.
3集群准则除以下例外情况,对ASA集群的零停机时间升级没有特殊要求:未正式支持集群的零停机降级.
注释从9.
0(1)升级至9.
1(1)(CSCue72961)-不支持零停机时间升级.
升级至9.
5(2)或更高版本(CSCuv82933)-如果您在升级主设备之前输入showclusterinfo,升级的从设备会显示"DEPUTY_BULK_SYNC";其他不匹配的状态也会显示.
您可以忽略此显示;当您升级完所有设备后,状态将正确显示.
完全限定域名(FQDN)ACL的升级问题-由于CSCuv92371,包含FQDN的ACL可能导致将不完整的ACL复制到集群或故障切换对中的辅助设备.
此漏洞存在于9.
1(7)、9.
5(2)、9.
6(1)和一些临时版本中.
我们建议您升级到包括对CSCuy34265的修复的版本:9.
1(7.
6)或更高版本、9.
5(3)或更高版本、9.
6(2)或更高版本.
但是,配置复制的性质致使零停机升级不可用.
有关不同升级方法的详细信息,请参阅CSCuy34265.
故障切换准则对于故障切换,执行零停机时间升级无特殊要求,但以下情况例外:88.
4(6)、9.
0(2)和9.
1(2)的升级问题-由于存在CSCug88962,因此8.
4(6)、9.
0(2)或9.
1(3)无法执行零停机时间升级.
应改为升级到8.
4(5)或9.
0(3).
升级9.
1(1)时,由于存在CSCuh25271,无法直接升级到9.
1(3)版本,因此没有解决零停机时间升级的方法;您必须先升级到9.
1(2),再升级到9.
1(3)或更高版本.
完全限定域名(FQDN)ACL的升级问题-由于CSCuv92371,包含FQDN的ACL可能导致将不完整的ACL复制到集群或故障切换对中的辅助设备.
此漏洞存在于9.
1(7)、9.
5(2)、9.
6(1)和一些临时版本中.
我们建议您升级到包括对CSCuy34265的修复的版本:9.
1(7.
6)或更高版本、9.
5(3)或更高版本、9.
6(2)或更高版本.
但是,配置复制的性质致使零停机升级不可用.
有关不同升级方法的详细信息,请参阅CSCuy34265.
由于VTI和VXLANVNI从9.
7(1)升级到9.
7(1.
x)及更高版本的问题-如果同时配置了虚拟隧道接口(VTI)和VXLAN虚拟网络标识符(VNI)接口,则对于故障切换无法执行零停机时间升级;这些接口类型的连接不能复制到备用设备,直到两种设备处于相同版本.
(CSCvc83062)其他规定思科ASA无客户端SSLVPN门户自定义完整性漏洞-已修复ASA软件中无客户端SSLVPN的多个漏洞,所以您应将软件升级至已修复的版本.
有关漏洞详细信息和已修复的ASA版本列表,请参阅http://tools.
cisco.
com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141008-asa.
另外,如果您曾运行过以前包含配置漏洞的ASA版本,则无论您当前运行的是哪个版本,均应验证门户自定义功能是否受损.
如果攻击者过去损坏了自定义对象,在将ASA升级到已修复版本后,受损对象将一直存在.
升级ASA可防止此漏洞被进一步利用,但不会修改已受损的任何自定义对象,这些对象仍存在于系统中.
查看当前版本CLI-使用showversion命令可验证ASA的软件版本.
ASDM-软件版本显示在ASDM主页上;查看该主页可验证ASA的软件版本.
从Cisco.
com下载软件如果您正在使用ASDM升级向导,则不必预先下载软件.
如果要手动升级,例如执行故障切换升级,请将映像下载至本地计算机.
对于CLI升级,可将软件放到许多类型的服务器上,包括TFTP、HTTP和FTP.
有关详细信息,请参阅以下网址中有关copy命令的说明:http://www.
cisco.
com/c/en/us/td/docs/security/asa/asa-command-reference/A-H/cmdref1/c4.
html#pgfId-2171368.