Como actualizar unos ASA

Tenia claro desde hace mucho que el Karma me iba a jugar una mala pasada con lo de los ASA, y asi ha sido … me toca actualizar una pareja de 5540’s que están en versión 8.3(2). Así que toca ponerse manos a la obra.

Toda la información necesaria esta aqui:
https://www.cisco.com/c/en/us/td/docs/security/asa/upgrade/asa-upgrade/planning.html

Básicamente … hay que mirar el upgrade plan para ver a hasta que versión puedes ir de una vez (o de varias).

upgrade path asa

Primer salto a 8.4.6 y después de eso hacia la ultima.

Después tienes dos formas de hacerlo … con el ASDM (el gui) o a mano. Para no perder la fama de «tio raro» vamos a hacerlo a mano.

Una vez que has descargado la nueva versión y la has subido a tu servidor de tftp favorito:

Entras al ASA por ssh.
copy tftp: disk0:
Te va a pedir la ip del servidor, el nombre del fichero y después empezará a subirlo a los firewalls

Con sh disk0 compruebas que el fichero esta donde debe.

Después hay que modificar el boot para que arranque con la nueva imagen.

boot system disk0:/nombre-de-fichero-que-acabas-de-subir.bin

Y ahora modificar la imagen del ASDM que quieres subir (porque, ya que estas lo actualizas todo).

asdm image disk0:/asdm-741.bin

Grabas … write memory

Y botonazo al canto reload

Ojo si en vez de un firewall tienes una pareja (como nosotros) en ese caso la cosa cambia un poco.

Tienes que subir las imagenes a los dos firewalls
Tienes que cambiar el boot y el ASDM (si fuera necesario) a los dos firewalls.
Tienes que grabar la configuración en los dos firewalls.

Y ahora, en vez de reiniciar a lo bestia.

En el nodo activo haces un failover reload-standby (que reinicia el nodo que esta en stand-by (no hay corte), te saldrá un mensaje avisando de que tienes cada uno de los firewalls en un versión distinta)).

Ahora haces un no failover active en el nodo activo.
Vuelves a entrar en el nodo activo (para ver si estas donde debes sh failover) y haces un failover reload-standby (que reiniciara el otro).

Y después mira a ver que los dos han arrancado en la versión correcta y que se han sincronizado (que debería ser lo normal). Y listo.

https://supportforums.cisco.com/t5/firewalling/asa-active-standby-failover-check/td-p/1777488

Ojo … si los firewalls están configurados en modo context

https://www.cisco.com/c/en/us/td/docs/security/asa/asa90/configuration/guide/asa_90_cli_config/ha_contexts.html#75590

Entonces tienes que entrar en el context admin y hacer un changeto system solo entonces podrás acceder al disco.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.