IP reference

Referencia Técnica de Redes, Protocolos, Modelo OSI, TCP/IP, y otras tecnologías.

Actualizar el PIX OS en un ASA 5500

Posted by Luis R. en 2009/02/04

Roberto pregunta en un comentario ¿cómo puede cargar el sistema operativo en un ASA 5510 que no tiene imagen?.

Básicamente es el mismo proceso que en un router, y lo primero que debemos hacer es obtener una imagen adecuada para nuestro Adaptive Security Appliance; por ejemplo PIX OS 7.0.8 que es una General Deployment y por tanto debe tener pocos bugs y debe ser muy estable.

El problema con un ASA a diferencia de un router es que involucra licencias; para un router basta con obtener la imagen y si estamos registrados como partners de Cisco, tenemos acceso a ese software, pero para un ASA debemos obtener la imagen y registrarn nuestro ASA para obtener una license key que activa las características de VPN, lo más sencillo sería abrir un caso en el TAC si contamos con el soporte; si no, bajemos la imagen y el ASA básicamente funcionará como firewall, sólo que sin la funcionalidad de SSL por ejemplo.

Ya que tenemos la imagen en nuestra computadora, debemos instalar un tftp server para que de ahí copiemos la imagen.

Ahora ponemos una IP en nuestra PC, nos conectamos al ASA por el puerto de consola, iniciamos nuestra hyperterminal o un programa de telnet de nuestra preferencia y prendemos el ASA; si efectivamente no tiene imagen entrará directo a ROMMON, que es una versión muy básica del PIX OS, y desde ahí vamos a configurar una IP para el puerto fast ethernet que está conectado a nuestra PC con el TFTP server.

Una vez configuradas las IP, y activado el puerto (no shutdown) hacemos un ping entre ambos, y comenzamos con la copia de la imagen:

rommon# copy tftp flash

y el proceso es el mismo que en un router, puedes consultar la descripción en el post original y si hay dudas por favor díganme.

En este link pueden encontrar información sobre como manejar software (imágenes):

http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/mswlicfg.html

Aquí está el procedimiento para instalar una imagen usando la línea de comandos (CLI command line interface):

http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008067e9f9.shtml#maintask2

4 comentarios to “Actualizar el PIX OS en un ASA 5500”

  1. Fátima said

    Hola:
    He cargado una nueva IOS en dos Firewall ASA 5510 configurados en failover activo/activo, y al apagarlos y volverlos a encender, arrancan en modo ROMMON, sin detectar la IOS. El fichero .bin están cargado en la flash, he ejecutado el comando boot system y el registro tiene el valor 0x2102. ¿Podrías ayudarme? Muchas gracias de antemano.

  2. Luis R. said

    ¿Ya revisaste la variable de arranque (bootvar)?
    http://www.ipref.info/2009_08_01_archive.html

  3. Fátima said

    Después de realizar el comando, boot system flash:/asa821-k8.bin, el show bootvar nos muestra lo siguiente:

    BOOT variable =
    Current BOOT variable = disk0:/asa821-k8.bin
    CONFIG_FILE variable =
    Current CONFIG_FILE variable =

    Con show version podemos observar:

    asa/admin# show version

    Cisco Adaptive Security Appliance Software Version 8.2(1)
    Detected an old ASDM version.
    You will need to upgrade it before using ASDM.

    Compiled on Tue 05-May-09 22:45 by builders

    asa up 4 mins 20 secs
    failover cluster up 4 mins 23 secs

    Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
    Internal ATA Compact Flash, 256MB
    BIOS Flash Firmware Hub @ 0xffe00000, 1024KB

    Encryption hardware device : Cisco ASA-55×0 on-board accelerator (revision 0x0)
    Boot microcode : ☻CN1000-MC-BOOT-2.00
    SSL/IKE microcode: ♥CNLite-MC-SSLm-PLUS-2.03
    IPSec microcode : ☺CNlite-MC-IPSECm-MAIN-2.04
    0: Ext: Ethernet0/0 : address is 0026.cba2.dc24, irq 9
    1: Ext: Ethernet0/1 : address is 0026.cba2.dc25, irq 9
    2: Ext: Ethernet0/2 : address is 0026.cba2.dc26, irq 9
    3: Ext: Ethernet0/3 : address is 0026.cba2.dc27, irq 9
    4: Ext: Management0/0 : address is 0026.cba2.dc23, irq 11
    5: Int: Not used : irq 11
    6: Int: Not used : irq 5

    Licensed features for this platform:
    Maximum Physical Interfaces : Unlimited
    Maximum VLANs : 100
    Inside Hosts : Unlimited
    Failover : Active/Active
    VPN-DES : Enabled
    VPN-3DES-AES : Enabled
    Security Contexts : 2
    GTP/GPRS : Disabled
    SSL VPN Peers : 2
    Total VPN Peers : 250
    Shared License : Disabled
    AnyConnect for Mobile : Disabled
    AnyConnect for Linksys phone : Disabled
    AnyConnect Essentials : Disabled
    Advanced Endpoint Assessment : Disabled
    UC Phone Proxy Sessions : 2
    Total UC Proxy Sessions : 2
    Botnet Traffic Filter : Disabled

    This platform has an ASA 5510 Security Plus license.

    Serial Number: JMX1402L09H
    Running Activation Key: 0xe230d557 0x1481fabc 0xdc702534 0x911894e8 0x44133b92
    Configuration register is 0x2102
    Configuration has not been modified since last system restart.

    ¿Alguna idea?

  4. Luis R. said

    Configuration register is 0×2102

    debe ser igual en ambos firewalls.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

 
A %d blogueros les gusta esto: