cisco ASA ios升级或恢复

cisco ASA ios升级或恢复

1、升级前准备工做

一、准备好所要升级的IOS文件及对应的ASDM文件

二、在一台电脑上架设好tftp，设置好目录，与防火墙进行链接（假设电脑IP为192.168.1.2）

 

2、升级步骤

1、telnet上ASA

ASA>en                  //进入特权模式

ASA#conft                 //进入配置模式

 

2、查看ASA上的文件、版本信息及启动文件

ASA(config)#dir           //查看asa上的文件

Directoryof disk0:/

4879   -rw- 8202240   19:18:10 Nov 16 2011   asa721-k8.bin

2391   -rw- 5539756   00:43:38 Nov 05 2007   asdm521.bin

4842   drw- 0         18:51:24 Nov 16 2011   log

4843   drw- 0         18:51:36 Nov 16 2011   crypto_archive

255426560bytes total (215465984 bytes free)

 

CISCOASA(config)#show ver      //查看版本信息及启动文件

CiscoAdaptive Security Appliance Software Version 7.2(1)

DeviceManager Version 5.2(1)

。。。。。

Systemimage file is "disk0:/asa721-k8.bin" //这就是启动文件和路径

。。。。。

 

3、备份ASA上现存版本文件、ASDM文件及配置信息

ASA(config)#copydisk0:/asa721-k8.bin tftp://192.168.1.2/asa721-k8.bin

//将原有IOS文件备份到TFTP服务器上

ASA(config)#copy disk0:/asdm521.bin tftp://192.168.1.2/asdm521.bin

//将原有asdm文件备份到TFTP服务器上

showrun    

//显示当前的配置，将此配置复制后备份下来，以避免操做失误致使配置丢失

 

4、将要更新版本文件及ASDM文件上传到tftp

ASA(config)#copy tftp://192.168.1.2/asa821-k8.bin disk0:/asa821-k8.bin

//将新的IOS文件从TFTP服务器上拷贝到ASA中

ASA(config)#copy tftp://192.168.1.2/asdm-621.bin disk0:/asdm-621.bin

//将新的IOS文件从TFTP服务器上拷贝到ASA中

ASA(config)#dir      //再次显示目录，检查文件是否拷贝成功

 

5、设置启动文件及ASDM

ASA(config)#no boot system disk0:/asa721-k8.bin  //取消以前的启动IOS

ASA(config)#boot system disk0:/asa821-k8.bin     //设置新的启动IOS

ASA(config)#asdm image disk0:/asdm621.bin        //设置新的ASDM

DeviceManager image set, but not a valid image file disk0:/asdm-621.bin

//因为新的IOS文件在从新启动前并未生效，因此会提示新的ASDM镜像在设置关联的时候会提示无效。

ASA(config)#exit

ASA# wr         //保存配置

ASA# reload     //从新启动，使配置生效

 

 

3、升级失败后的处理措施

当升级操做失败致使防火墙flash被erase后，设备会由于找不到启动文件而不断地重启

1、进入监控模式

在设备启动时会有提示按某个键进入监控模式。以下：

Use BREAK or ESC to interrupt boot.

Use SPACE to begin boot immediately.

按“ESC”键进入监控模式。

rommon #1>

 

2、设置ASA

升级IOS须要对ASA进行一些简单的设置，如设置设备的地址、设置tftp服务器的地址、设置IOS软件的文件名、sync保存、用ping命令测试与tftpserver的连通性、最后执行命令tftpdnld，软件开始装入。

注意：在监控模式下咱们须要将电脑和ASA5510的管理接口相连，IP地址也是为管理接口设置的。

rommon #2> ADDRESS=192.168.1.1（路由器地址）

rommon #3> GATEWAY=192.168.1.2（默认网关，设置为本机地址便可）

rommon #4> IMAGE=asa821-k8.bin（指定IOS文件名）

rommon #5> SERVER=192.168.1.2（TFTP SERVER 地址，即本机地址）

rommon #6>

rommon #6> sync

Updating NVRAM Parameters...

rommon #7> ping 192.168.1.2

Link is UP

Sending 20, 100-byte ICMP Echoes to 192.168.1.2, timeout is 4 seconds:

?!!!!!!!!!!!!!!!!!!!

Success rate is 95 percent (19/20)

 

3、执行tftpdnld命令

执行后显示以下：

rommon #8> tftpdnld

ROMMON Variable Settings:

  ADDRESS=192.168.1.1

  SERVER=192.168.1.

  GATEWAY=192.168.1.2

  PORT=Management0/0

  VLAN=untagged

  IMAGE=asa821-k8.bin

  CONFIG=

  LINKTIMEOUT=20

  PKTTIMEOUT=4

  RETRY=20

tftp asa821-k8.bin@192.168.1.2 via 192.168.1.2

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

4、将IOS上传到ASA

此时IOS尚未装入ASA，而是从tftp引导启动设备。这一点当设备启动完毕后能够用show version命令看到：

System image file is "tftp://192.168.1.2/asa821-k8.bin"

启动完毕后须要将tftp server链接到除管理接口之外的其它接口，而后再升级IOS

注意：必需要将接口配置成 inside口

ASA#conf t

ASA(config)#int e0/0

ASA(config-if)#nameif inside

ASA(config-if)#ip add 192.168.1.1 255.255.255.0

ASA(config-if)#no sh

ASA#ping 192.168.1.2

通后就能够升级IOS了

ASA#copy tftp: flash:

Tftp server IP address：192.168.1.2

Source file name:asa821-k8.bin

Destination file name:asa821-k8.bin

到这一步并无结束，此时还须要进行boot system的设置

使用命令

ASA(config)#boot system disk0：/asa821-k8.bin

ASA(config)#asdm image disk0：/asdm-621.bin

ASA(config)#wr

而后reload一下就能够了

重启以后在dir查看一下，基本上就大功告成了。

IOS恢复之后呢还须要将图形界面管理软件拷贝到ASA，和copy IOS的命令是同样的。