ASA Failover业务不中断升级IOS

之前给客户割接,客户额外要求升级两台ASA5520防火墙的IOS。IOS版本842要升级到847。

当然客户什么都不懂,需要和大家说明的是,ASA升级IOS注意点,严重注意:

  1. 检查防火墙的内存--5520跑8.3以上版本内存要2G,其他型号内存需要都不一样
  2. 是否做了Failover--做了HA后升级IOS要保证不中断业务
  3. 明确升级到的版本是多少--有升级顺序讲究,842先升级到845或846再升级到847,其他IOS升级顺序也不一样

知道这些注意点,接下来就开始升级IOS。

1.先在Active的防火墙上导入825的IOS

ASA5520#copy tftp: disk0:

Address or name of remote host []? 10.0.0.1

Source filename []? asa845-k8.bin

Destination filename [disk0]? asa845-k8.bin

完成之后通过Dir命令查看disk0是否已有845的IOS

2.通过Active防火墙将IOS也传一份给Standby防火墙

ASA5520(config) # failover exec mate copy /noconfirm tftp://10.0.0.1/asa845-k8.bin disk0:/asa845-k8.bin

这样主备两个防火墙都有了845的IOS

3.在Active防火墙上更改IOS启动

ASA5520(config)#boot system disk0:/asa845-k8.bin
ASA5520(config)#no boot system disk0:/asa842-k8.bin
ASA5520(config)# write

4.重启Standby防火墙--注意:一定要先重启Standby防火墙!!

ASA5520(config)#failover reload-standby

可以通过show failover观察Standby防火墙是否重启完毕,并保证HA状态正常

5.将Active防火墙状态切换成Standby后重启

ASA5520(config)#no failover active

ASA5520(config)#reload

6.完成重启后再将切回Active

ASA5520(config)#failover active

通过show failover确认主备状态,升级完成!

接下来再升级到827只需重复这些步骤一次即可。

多说一句,在升级过程中,全部操作都在Active防火墙上操作,除了导入IOS使用内网一台TFTP服务器外,其他操作最好通过笔记本console线连接防火墙操作,这样中间主备切换就不会弄乱

另外生产环境下升级IOS风险本来就很大,除了保存配置以外,也要确认上面我所说的1.2.3注意点

只要严格按照我的顺序进行升级肯定就没有问题,排除设备重启起不来的因素。

时间: 2025-01-06 15:41:37

ASA Failover业务不中断升级IOS的相关文章

Cisco asa 5510升级IOS和ASDM

asa asa(config)# dir //显示文件目录 copy disk0:/asa707-k8.bin tftp://192.168.1.149/ asa707-k8.bin //将原有IOS文件备份到TFTP服务器上 copy disk0:/asdm507.bin tftp://192.168.1.149/asdm507.bin //将原有asdm文件备份到TFTP服务器上 copy tftp://192.168.1.149/asa803-k8.bin disk0:/asa803-k8

CCNA学习笔记3---备份和升级IOS

1,备份配置到TFTP 2,从TFTP COPY 到 run 3, 备份IOS 4,升级IOS 5,如果升级失败的解决办法 ◆ 一.备份还原配置 1,保证路由器和电脑(tftp服务器)网络IP可达(直连,同网段) 2,电脑运行tftp软件 3,路由器上设置hostname test1用于验证时看出区别 copy running-config tftp: 4,电脑打开tftp保存路径找到hostname test1名字的文件 5,路由器修改hostname 为test2 6,从tftp服务器上co

cisco ap 1200 升级IOS或恢复

cisco ap 1200 升级IOS 首先打开cisco tftp工具,然后连接console线,重启进入 :模式, ap: ?看是否支持set命令,一般都支持然后如下配置,和router 上类似配置ip 地址ap: set IP_ADDR 1.1.1.1     (配置ap本地地址)ap: set NETMASK 255.255.255.0ap: set DEFAULT_ROUTER 1.1.1.2 (tftp address)ap: tftp_initap: BOOT=tftp://1.1

升级iOS 8,看完不要火大了

摘要:今日凌晨一点,苹果进行了iOS 8正式版的升级推送,众多小伙伴们怀着激动的心情,点开通用进行软件升级,然后被看到的页面搞的火大了-- 如我们之前猜测的一样,苹果在今日进行了iOS 8的升级推送,但是当我们点击软件更新时,我们会发现:所需存储空间未免太大了,iPhone4S上,iOS 8安装包大小为920MB,安装过程,要求至少4.6GB的存储空间,你要用的是4的话,从此果粉转路人,泪啊,因为iOS 8升级是支持iPhone4S及更高版本的,当然8G版iPhone 5C也不例外!(内存太小)

CiscoASA防火墙升级IOS版本需注意的问题

引用Cisco官方的公告: 在Internet密钥交换(IKE)1版本的漏洞(V1)和IKE协议版本2(v2)Cisco ASA软件代码可能允许未经身份验证的远程攻击者造成的影响重装系统或远程执行代码. 该漏洞是由于受影响的代码区缓冲区溢出.攻击者可以通过发送特制的UDP数据包来利用此漏洞影响的系统.一个漏洞可能允许攻击者执行任意代码,获得系统的完全控制或导致重装系统的影响. 注意:只有流量定向到受影响的系统可以用来利用此漏洞.这个漏洞影响配置防火墙模式只在单个或多个上下文模式系统.此漏洞可以被

ASA failover

Active-Standby 1.作用:提供设备冗余 2.物理概念:primary 和 secondary ,需要命令敲得,角色不会切换, 3.虚拟概念:active和standby ,需要选举,角色可以切换. 4.LAN-FO : 专门一个接口做心跳线,同步配置信息,切换的时候交换IP和MAC,健康状况等. 5.选举方式: 当一个ASA启动的时候,它就开始了选举得进程. ○ 如果它检测到了一个正在协商的设备处于FO接口的另一端,此时primary设备会成为Active, Secondary设备

cisco2960升级ios并更新配置

1.  配置IP地址好上传iOS和config.text文件 Switch#conf t Switch(config)#int vlan 1 Switch(config)#ip add 172.16.1.1 255.255.0.0 Switch(config)#no shut Switch(config)#end Switch#ping 172.16.1.2        //电脑上配置的IP,要和上面的地址在一个网段 //ping通后说明网络没问题了,可以上传iOS和配置文件了 //把网线插入

H3C SR6604 升级IOS

1. 如使用ftp方式去上传或下载IOS的话配置如下:[WH-6604-2] ftp ser enable --- 开启FTP功能 [WH-6604-2] local-user ftp --- 建立用户名 [WH-6604-2-luser-ftp] password sim ftp --- 配置用户名密码 [WH-6604-2-luser-ftp] service-type ftp --- 给该用户名服务类型 [WH-6604-2-luser-ftp] authorization-attribu

升级iOS 9之前的注意事项

iOS 9 beta刚刚发布,就下载了官网的升级包, 使用itunes的更新功能,升级 眼看安装过程一番顺利, 升级完开始进入设置操作步骤上, 结果傻眼了 进入了输入手机密码的界面,  无论如何输入不了任何数字 刚开始还以为是下载的升级包有问题,后来一想升级包自身有校验,不应该是数据包的问题 想到iOS 9资料当中说, ios 9密码是6位系统,  ios 8是4位系统,  怀疑问题在此 于是乎恢复备份到8.3, 删除touchid 密码和指纹,  再次更新ios 9 果然一帆风顺 官网发布的升