Howto Upgrade FWSM
Jedną z prostszych spraw, ale początkowo wydająca się trudną jest upgrade FWSMów. Poniżej mini HOWTO.
1) Pobieramy nowy software z http://www.cisco.com/kobayashi/sw-center/index.shtml
Security Software -> Cisco Catalyst 6000 Firewall Services Module (FWSM) Strong Cryptographic (3DES) Software -> c6svc-fwm-k9.3-2-4.bin
2) Wrzucamy obraz na MSFC
[root@server ~]# scp c6svc-fwm-k9.3-2-4.bin juggler@sw6500.dc2:c6svc-fwm-k9.3-2-4.bin
3) Uruchamiamy na MSFC serwer TFTP
sw6500-dc2(config)#tftp-server disk0:c6svc-fwm-k9.3-2-4.bin
4) Zakładam, że istnieje wcześniej połączenie MSFC < -> FWSM, jeżeli nie należy takowe utworzyć
5) Kopiujemy obraz z MSFC na FWSMa
fwsm-dc2# copy tftp flash: Address or name of remote host []? 1.1.1.1 Source filename []? c6svc-fwm-k9.3-2-4.bin Destination filename [image]? Accessing tftp://1.1.1.1/c6svc-fwm-k9.3-2 4.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 6062592 bytes copied in 27.820 secs (224540 bytes/sec) fwsm-dc2# [Connection to 127.0.0.11 closed by foreign host]
6) Rebootujemy FWSMa
fwsm-dc2# reload Proceed with reload? [confirm] fwsm-dc2# *** *** --- START GRACEFUL SHUTDOWN --- Shutting down isakmp Shutting down File system [Connection to 127.0.0.11 closed by foreign host]
7) Po rebootcie sprawdzamy wersję
fwsm-dc2# sh version FWSM Firewall Version 3.2(4) Device Manager Version 5.2(2)F Compiled on Tue 08-Jan-08 17:24 by fwsmbld fwsm-dc2 up 2 days 16 hours failover cluster up 85 days 2 hours Hardware: WS-SVC-FWM-1, 1024 MB RAM, CPU Pentium III 1000 MHz Flash STI Flash 7.4.0 @ 0xc321, 20MB 0: Int: Not licensed : irq 5 1: Int: Not licensed : irq 7 2: Int: Not licensed : irq 11 The Running Activation Key is not set, using default settings: Licensed features for this platform: Maximum Interfaces : 256 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Cut-through Proxy : Enabled Guards : Enabled URL Filtering : Enabled Security Contexts : 2 GTP/GPRS : Disabled BGP Stub : Disabled VPN Peers : Unlimited Serial Number: xxxxxxxxxxx Running Activation Key: 0x00000000 0x00000000 0x00000000 0x00000000 Configuration last modified by enable_1 at 10:01:01.000 UTC Fri Jan 25 2008
Jeżeli całość była robiona na standby’owym FWSMie po przełączeniu failoveru, możemy powtórzyć procedurę na drugim FWSMie. Przełączenie failoveru między FWSMami robimy poprzez:
fwsm-dc2# failover active
Oczywiście możemy postawić sobie serwer TFTP z boku, nie musi być uruchamiany z MSFC, ale to już kosmetyka. Osobiście bardziej odpowiada mi taka metoda. Jedna ważna sprawa, przed upgradem i ewentualnym reloadem upewnij się czy na obu Cat6500/7600 masz takie same VLANy terminowane na FWSMie.
firewall module 1 vlan-group 10 firewall vlan-group 10 10-1000
Jeżeli nie będą się zgadzały możesz narobić sobie problemów;).
No Comments, Comment or Ping
Reply to “Howto Upgrade FWSM”