cisco ASA ios升级或恢复

cisco ASA ios升级或恢复

一、升级前准备工作

1、准备好所要升级的IOS文件及对应的ASDM文件

2、在一台电脑上架设好tftp，设置好目录，与防火墙进行连接（假设电脑IP为192.168.1.2）

二、升级步骤

1、telnet上ASA

ASA>en                  //进入特权模式

ASA#conft                 //进入配置模式

2、查看ASA上的文件、版本信息及启动文件

ASA(config)#dir           //查看asa上的文件

Directoryof disk0:/

4879   -rw- 8202240   19:18:10 Nov 16 2011   asa721-k8.bin

2391   -rw- 5539756   00:43:38 Nov 05 2007   asdm521.bin

4842   drw- 0         18:51:24 Nov 16 2011   log

4843   drw- 0         18:51:36 Nov 16 2011   crypto_archive

255426560bytes total (215465984 bytes free)

CISCOASA(config)#show ver      //查看版本信息及启动文件

CiscoAdaptive Security Appliance Software Version 7.2(1)

DeviceManager Version 5.2(1)

。。。。。

Systemimage file is "disk0:/asa721-k8.bin" //这就是启动文件和路径

。。。。。

3、备份ASA上现存版本文件、ASDM文件及配置信息

ASA(config)#copydisk0:/asa721-k8.bin tftp://192.168.1.2/asa721-k8.bin

//将原有IOS文件备份到TFTP服务器上

ASA(config)#copy disk0:/asdm521.bin tftp://192.168.1.2/asdm521.bin

//将原有asdm文件备份到TFTP服务器上

showrun

//显示当前的配置，将此配置复制后备份下来，以免操作失误导致配置丢失

4、将要更新版本文件及ASDM文件上传到tftp

ASA(config)#copy tftp://192.168.1.2/asa821-k8.bin disk0:/asa821-k8.bin

//将新的IOS文件从TFTP服务器上拷贝到ASA中

ASA(config)#copy tftp://192.168.1.2/asdm-621.bin disk0:/asdm-621.bin

//将新的IOS文件从TFTP服务器上拷贝到ASA中

ASA(config)#dir      //再次显示目录，检查文件是否拷贝成功

5、设置启动文件及ASDM

ASA(config)#no boot system disk0:/asa721-k8.bin  //取消之前的启动IOS

ASA(config)#boot system disk0:/asa821-k8.bin     //设置新的启动IOS

ASA(config)#asdm image disk0:/asdm621.bin        //设置新的ASDM

DeviceManager image set, but not a valid image file disk0:/asdm-621.bin

//由于新的IOS文件在重新启动前并未生效，所以会提示新的ASDM镜像在设置关联的时候会提示无效。

ASA(config)#exit

ASA# wr         //保存配置

ASA# reload     //重新启动，使配置生效

三、升级失败后的处理措施

当升级操作失败导致防火墙flash被erase后，设备会因为找不到启动文件而不断地重启

1、进入监控模式

在设备启动时会有提示按某个键进入监控模式。如下：

Use BREAK or ESC to interrupt boot.

Use SPACE to begin boot immediately.

按“ESC”键进入监控模式。

rommon #1>

2、设置ASA

升级IOS需要对ASA进行一些简单的设置，如设置设备的地址、设置tftp服务器的地址、设置IOS软件的文件名、sync保存、用ping命令测试与tftpserver的连通性、最后执行命令tftpdnld，软件开始装入。

注意：在监控模式下我们需要将电脑和ASA5510的管理接口相连，IP地址也是为管理接口设置的。

rommon #2> ADDRESS=192.168.1.1（路由器地址）

rommon #3> GATEWAY=192.168.1.2（默认网关，设置为本机地址即可）

rommon #4> IMAGE=asa821-k8.bin（指定IOS文件名）

rommon #5> SERVER=192.168.1.2（TFTP SERVER 地址，即本机地址）

rommon #6>

rommon #6> sync

Updating NVRAM Parameters...

rommon #7> ping 192.168.1.2

Link is UP

Sending 20, 100-byte ICMP Echoes to 192.168.1.2, timeout is 4 seconds:

?!!!!!!!!!!!!!!!!!!!

Success rate is 95 percent (19/20)

3、执行tftpdnld命令

执行后显示如下：

rommon #8> tftpdnld

ROMMON Variable Settings:

ADDRESS=192.168.1.1

SERVER=192.168.1.

GATEWAY=192.168.1.2

PORT=Management0/0

VLAN=untagged

IMAGE=asa821-k8.bin

CONFIG=

LINKTIMEOUT=20

PKTTIMEOUT=4

RETRY=20

tftp asa821-k8.bin@192.168.1.2 via 192.168.1.2

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

4、将IOS上传到ASA

此时IOS还没有装入ASA，而是从tftp引导启动设备。这一点当设备启动完毕后可以用show version命令看到：

System image file is "tftp://192.168.1.2/asa821-k8.bin"

启动完毕后需要将tftp server连接到除管理接口以外的其它接口，然后再升级IOS

注意：必须要将接口配置成 inside口

ASA#conf t

ASA(config)#int e0/0

ASA(config-if)#nameif inside

ASA(config-if)#ip add 192.168.1.1 255.255.255.0

ASA(config-if)#no sh

ASA#ping 192.168.1.2

通后就可以升级IOS了

ASA#copy tftp: flash:

Tftp server IP address：192.168.1.2

Source file name:asa821-k8.bin

Destination file name:asa821-k8.bin

到这一步并没有结束，此时还需要进行boot system的设置

使用命令

ASA(config)#boot system disk0：/asa821-k8.bin

ASA(config)#asdm image disk0：/asdm-621.bin

ASA(config)#wr

然后reload一下就可以了

重启之后在dir查看一下，基本上就大功告成了。

IOS恢复以后呢还需要将图形界面管理软件拷贝到ASA，和copy IOS的命令是一样的。