Actualizar Firewall ASA en cluster con Contextos

Hola,

Acá les traigo el procedimiento de ejecución de una actualización de firewall ASA en cluster con contextos. La importancia de que estos equipos esten en contextos es que se puede ejecutar esta actividad sin la necesidad de botar el servicio.-



Lo primero que se debe de considerar es subir los nuevos archivos del Sistema operativo dentro del contexto System, Esto puede ser hecho por tftp o por ASDM:

NOTA: desde la versión 8.3 en adelante el Firewall debe de tener como mínimo 2GB de ram.-
NOTA2: El paso de la versión 8.2 a una nueva, tiene cambios de sintaxis en las configuraciones, se recomienda migrar a mano los NAT desde la versión antigua a  la nueva.-

Procedimiento


-          Ingresar a Firewall en el contexto System Firewall Primario Activo ( debe ser accedido desde contexto Admin), ya que todas las configuraciones que uno realiza que afecten a todos los contextos debe ser desde ahi.-
o    Enable
o    Changeto context system
-          Revisar que imagen esta booteando el Firewall, esto es para despues cambiar las prioridades de los sistemas operativos que cargaran en el equipo
o    Show running-config | include boot
o    Show version ( veras que sistema operativo esta corriendo ahora)
-          Quitar imágenes previas, pensemos que el equipo tiene estas Imagenes cargadas, asa915-smp-k8.bin, asa912-smp-k8.bin
o    Configure Terminal
o    No boot system disk0:/asa915-smp-k8.bin
o    No boot system disk0:/asa912-smp-k8.bin
-          Configurar nueva imagen de carga, con el backup de imagen anterior
o    boot system disk0:/ asa923-4-smp-k8.bin
o    boot system disk0:/asa915-smp-k8.bin
-          Guardar Cambios
o    Write memory
-          Revisar cambios aplicados
o    Show run | include boot

Revisar FW secundario

-          Ingresar a Firewall en el contexto System Firewall Secundario Standby( debe ser accedido desde contexto Admin)
o    Enable
o    Changeto context system

-          hay que validar que los cambios que hicimos en el Firewall Primario fueron efecutuados en el secundario
  • Show running-config | include boot
  • Show version
  •       Failover Active ( con esto conmutamos el tráfico al firewall secundario)
-          Reiniciar Firewall PRIMARIO desde contexto System

-          Cuando levante Firewall Primario, este arrojará un error de Sistema Operativo que no es el mismo que el Secundario.-
-          Reiniciar Firewall Secundario

Validación de Actualización


-          Ingresar a Firewall en el contexto System Firewall Primario Activo ( debe ser accedido desde contexto Admin)
o    Enable
o    Changeto context system
-          Validar que el sistema operativo este actualizado
o    Show versión
-          Validar que el FailOver esta OK
o    Show Failover

o    En caso de que el Primario este como StandBy se deberá ejecutar el comando “no failover active”