Atualizando o Cisco ASA sem parar os serviços

/ / Published in Cisco, Security

Quando temos um par de firewalls ASA trabalhando em modo Ativo-Backup, podemos fazer a atualização do software sem grande impacto no funcionamento da rede.

Exemplo de Topologia

O processo de atualização é o mesmo usado quando temos um equipamento trabalhando sozinho, mas se observarmos a ordem do script abaixo, podemos atualizar os dois equipamentos que estão em Ativo-Backup sem pararmos a rede.

Atualizando um par de ASA (Ativo-Backup), sem interromper o tráfego.

!Salve a config copiando o output do comando abaixo
active# more system:running-config
!Transfira o novo software para o equipamento ativo
active# copy tftp://10.1.1.1/asa911-smp-k8.bin disk0:/asa911-smp-k8.bin
!Transfira o novo software para o equipamento backup
active# failover exec mate copy /noconfirm tftp://10.1.1.1/asa911-smp-k8.bin disk0:/asa911-smp-k8.bin
!Transfira o novo ASDM para o equipamento ativo
active# copy tftp://10.1.1.1/asdm-711.bin disk0:/asdm-711.bin
!Transfira o novo ASDM para o equipamento backup
active# failover exec mate copy /noconfirm tftp://10.1.1.1/asdm-711.bin disk0:/asdm-711.bin
!Verifique a configuração de boot
active(config)# configure terminal
hostname(config)# show running-config boot system
   boot system disk0:/cdisk.bin
   boot system disk0:/asa841-smp-k8.bin
!Mude a configuração de boot apontando os novos softwares
hostname(config)# no boot system disk0:/cdisk.bin
hostname(config)# no boot system disk0:/asa841-smp-k8.bin
hostname(config)# boot system disk0://asa911-smp-k8.bin
hostname(config)# asdm image disk0:/asdm-711.bin
!Salve a configuração
active(config)# write memory
!Reinicie o equipamento backup
active# failover reload-standby
!Quando o equipamento backup voltar, passe ele para ativo e reinicie o equipamento que era o ativo.
active# no failover active
active# reload

Após reiniciar o ASA backup você pode acomapnhar o status com o comando show failover. Aguarde até ele estar pronto (Standby Ready) antes de torná-lo ativo.

E uma observação importante: Neste exemplo estamos considerando que um upgrade onde não é preciso migrar a configuração.

Mais informações neste link.

Até a próxima.

Tagged under: , , , , ,
Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezenove anos de experiência com redes e segurança.

What you can read next

Backdoor em firewalls Fortinet
Configurando StackWise Virtual no Catalyst 9400
Multicast sobre GRE

5 Comments to “ Atualizando o Cisco ASA sem parar os serviços”

  1. João Victor says :
    05/05/2014 at 10:26

    Muito bom! Ja tentei dessa forma e não chegou a perder nenhum ping. 🙂

    1. André Ortega says :
      05/05/2014 at 10:53

      Pois é João… pra mim a solução de redundância ativo-backup do PIX/ASA é uma das melhores.

  2. Celio Mozart says :
    24/10/2014 at 09:15

    Excelente André! Após a Cisco ter divulgado uma lista de vulnerabilidades no software do ASA resolvi atualizar todos os nossos equipamentos através deste processo e assim como o João Victor, não tive nenhum problema com perca de pacotinhos. Parabéns!

  3. Adriano Bandeira says :
    13/04/2015 at 19:18

    André, sensacional! Funcionou perfeitamente o procedimento no meu ambiente 2 ASAS 5512X. Preciso efetuar o mesmo procedimento em mais 2 Cisco ASA 5525X 8.6(1)2, sabe me dizer se preciso me preocupar com as configurações?

    Abs.

    1. André Ortega says :
      17/04/2015 at 13:31

      Olá Adriano.
      Precisa ver pra qual versão você vai. As vezes tem alguns comandos que precisam ser migrados. Acredito que da versão 8.6 que você usa pra frente não vai ter problema, mas é bom confirmar.