2010
09.29

cisco fuck [Tuto]   Update du firmware de 2 Firewalls Cisco ASA 5500 Series en failover

Comme l’indique explicitement le titre, nous allons voir comment mettre à jour la version du firmware pour deux Firewalls Cisco ASA 5520 configurés en failover.

Sommaire

Petit rappel sur le failover

Préparation

Récapitulatif du bazar

Récupérer les images

Configuration d’un serveur FTP

Backup des images

Upload des images

Mise à Jour

Validation de la migration

**************************************************************************************

**************************************************************************************

Petit rappel sur le failover

Le failover (ou basculement) est la capacité d’un équipement à basculer automatiquement vers un chemin réseau alternatif ou en veille.

Il existe deux modes principaux de basculement :

  • Actif/Actif qui s’apparente plus à de l’équilibrage de charge (load-balancing) ;
  • Actif/Passif, mode le plus couramment répandu, où l’équipement secondaire (passif) est en mode veille tant que l’équipement primaire (actif) ne rencontre aucun problème.

Source Wikipédia

Préparation

Le but de la manip’ est de pouvoir mettre à jour les 2 équipements sans interruption de service, il faudra ainsi jongler entre les 2 firewalls, 1 se mettra à jour tandis que l’autre assurera son rôle de pare-feu. Le mode de failover le plus utilisé est l’actif/passif, c’est donc en toute logique que nous allons effectuer cette manip’ dans un mode actif/actif, sinon c’est pas drôle… \o/

Pour l’exemple, nous partirons d’une version 7.0(8) que nous voulons mettre à jour vers la version 8.2. Ce sont 2 major release, pour une mise à jour propre, il faudra bien prendre soin de respecter les mises à jour intermédiaires constituées de minor releases, afin d’effectuer une montée en version progressive vers la 8.2.

Récapitulatif du bazar

Type d’équipement : Firewall Cisco ASA 5520

Version actuelle du firmware : 7.0(8)

Mise à jour vers la version : 8.2(2)

Images intermédiaires : 7.1(2) et 7.2(5)

Ordonnancement des mises à jour : 7.0 –> 7.1 –> 7.2 –> 8.2

Récupérer les images

Les images peuvent par exemple se récupérer ici si vous avez dans votre entreprise un contrat de service de support technique auprès de Cisco (qui coute un bras évidemment) ou auprès d’une autre boite en partenariat avec Cisco (ça coutera toujours un oeil, rassurez-vous…), soit vous êtes de vilains petits canards et vous les téléchargez illégalement, ce que vous ne ferez pas bien entendu! x)

Dans notre exemple, il faudra récupérer les images suivantes :

  • asa712-k8.bin
  • asa725-k8.bin
  • asa822-k8.bin
  • et si besoin l’image ASDM : asdm-632.bin

Configuration d’un serveur FTP

Prévoyez un petit serveur FTP afin de pouvoir faire des backups des configurations et images existantes, et bien entendu pour pouvoir uploader sur les équipements les images à mettre en place. Vous pouvez par exemple utiliser FileZilla Serveur.

Créez un utilisateur quelconque, par exemple test, avec le mot de passe test.

Allez hop, c’est parti !

Backup des images

Récupérer l’image actuelle (si vous ne l’avez pas) :

FW1# copy disk0:/asa708-k8.bin ftp://test:test@<ip_du_serveur_FTP>/asa708-k8.bin

Récupérer la startup-config (c’est bien entendu la même sur les 2 firewalls…)

FW1# copy startup-config ftp://test:test@<ip_du_serveur_FTP>/startup-config-bck

Upload des images

Toujours en utilisant le FTP, effectuez cette manip’ sur les deux ASA :

FW1(ou 2)# copy ftp://test:test@<ip_du_serveur_FTP>/asa712-k8.bin disk0:/

FW1(ou 2)# copy ftp://test:test@<ip_du_serveur_FTP>/asa725-k8.bin disk0:/

FW1(ou 2)# copy ftp://test:test@<ip_du_serveur_FTP>/asa822-k8.bin disk0:/

FW1(ou 2)# copy ftp://test:test@<ip_du_serveur_FTP>/asdm-632.bin disk0:/

Mise à Jour

7.0(8) –> 7.1(2)

Effectuer ces actions sur le Firewall en mode Actif. La config se répliquera sur le Standby après le write memory. Pour vérifier qui est en Actif et qui est en Standby, vous pouvez effectuer un show failover sur un ASA.

Préparation de l’image

Mise à zéro de la config de boot dans la run.

FW1(config)# clear configure boot

Définition du firmware 7.1 comme nouvelle image de boot.

FW1(config)# boot system disk0:/asa712-k8.bin

Valider le tout

FW1(config)# write memory

Le write-memory sauvegarde la nouvelle configuration, mais permet également à l’autre équipement de calquer cette nouvelle config grâce au failover, nous n’avons donc pas à effectuer cette manip’ sur l’autre firewall icon smile [Tuto]   Update du firmware de 2 Firewalls Cisco ASA 5500 Series en failover

Reboots et mise à jour des équipements

A partir de l’entité Active, rebooter le standby via le failover

FW Active# failover reload-standby

Une fois le standby rebooté, le passer temporairement en Actif

FW Active# no failover active

Redémarrer le vrai Actif (en mode standby pour le moment)

FW Active# reload

Puis ré-inverser les rôles afin de retrouver la configuration normale

FW Active# failover active

La mise à jour du firmware a dû, normalement, être effectuée sur les deux équipements avec succès, et en conservant leurs configurations initiales.

7.1(2) –> 7.2(5)

Reprendre la même procédure, en utilisant l’image asa725-k8.bin en boot system à la place de la 712.

7.2(5) — 8.2(2)

Reprendre la même procédure, en utilisant l’image asa822-k8.bin en boot system à la place de la 725.

Si vous souhaitez utiliser l’outil ASDM, l’image fournie avec le firmware 8.2 est asdm-632.bin.

Si elle n’est pas uppée sur les ASA, faites-le. Quand l’image asdm se trouve sur les ASA, vous devez la configurer en utilisant la commande suivante, lors de la définition des variables de boot :

FW1(config)# clear configure boot

FW1(config)# boot system disk0:/asa822-k8.bin

FW1(config)# asdm image disk0:/adsm-632.bin

FW1(config)# write memory

Validation de la migration

Vérifier le statut des équipements en failover

FW# Show failover

Vérifier la version des équipements

FW # Show version

Vérifier la config de démarrage

FW # Show start

Bon courage !  icon smile [Tuto]   Update du firmware de 2 Firewalls Cisco ASA 5500 Series en failover

Be Sociable, Share!
  • more [Tuto]   Update du firmware de 2 Firewalls Cisco ASA 5500 Series en failover

1 commentaire pour l'instant

Ajoutez votre commentaire
  1. Merci pour ton tuto il m’est très utile !