Cisco ASA Firmware Update im Active/Standby Failover Cluster

Firmware auf beide ASAs kopieren, ggf passendes asdm auf die ASA bringen.

Diese beim nächsten Start benutzen
boot system disk0:/asa804-k8.bin
asdm image disk0:/asdm-61551.bin

Abspeichern nicht vergessen !!!:
wr mem

ACHTUNG: die firmwares werden nicht auf die standby Unit gesynct, die Konfiguration schon.. daher müssen die Firmwares auf beide ASAs kopiert werden. einfach geht das per ASDM einmal auf die aktiv einmal auf die passive IP und dann hochladen per Browser alternativ tftp o.ä.

wir vergewissern uns das wir auf der activen ASA sind:

ASA# sh failov state
State Last Failure Reason Date/Time
This host - Primary
Active None
Other host - Secondary
Standby Ready None
====Configuration State===
Sync Done - STANDBY
====Communication State===
Mac set

This host Primary Active.. gut!

Wir starten die stanby unit neu:
failover reload-standby
warten bis die Replikation der Konfig abgeschlossen ist (mit sh failover state vergewissern das die andere standby ready ist) und geben die Active Rolle im Cluster an die neugebootete Kiste ab:
no failover active

Dann starten wir die, jetzt im Standby laufende, Maschine (noch alte Firmware) neu indem wir uns wieder auf die aktive ASA verbinden und dann wieder
failover reload-standby
eingeben.

Generell ist es aber egal welche Maschine gerade aktiv ist, daher braucht man danach nicht wieder zurückzuschwenken (außer man will das immer die aktive ASA in Rack X steht)

6 Gedanken zu „Cisco ASA Firmware Update im Active/Standby Failover Cluster“

  1. Hallo Jan,

    die Anleitung finde ich soweit verständlich und kann sie auch nachvollziehen.

    Nur eines ist mir klar ..

    Es heisst immer auf den Cisco Inet-Seiten, dass das Failover nur funktioniert, wenn beide ASAs den gleichen Software-Stand besitzen.

    Das ist ja aber in dem Moment nicht mehr gegeben, sobald die Standby mit der neueren Version durchgestartet wurde.

    Nimmt diese dann überhaupt noch den „Standby“-Modus an ?

    Oder wechselt sie ebenfalls in den Active Modus, da sich ja aufgrund der verschiedenen Software-Stände die Failover-Kommunikation nicht mehr sauber aufbaut ?

    Vielen Dnak und Grüße,

    Raphael

  2. Das ganze ist wie im Vorgehen „Performing Zero Downtime Upgrades for Failover Pairs“ von Cisoc beschrieben.
    http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/mswlicfg.html#wpxref39028

    Die Kommunikation läuft ja weiter Konfigurationen würde weiter synchronisiert. Natürlich gibt es kein Failover wenn in dem Zeitraum des Updates/Reboots die andere ASA stirbt. Auch ist ein paralleles laufen unterschiedliche (Minor Releases) relativ unkritisch solang man keine neuen Befehle die nur in der einen ASA existieren benutzt -> Das ist aber weder empfohlen, noch übernehme ich dafür irgendeine Verantwortung.

    Man sieht dann auch in der ASDM, das sie standby Einheit eine andere Software hat (und bekommt imho eine Warnung) aber der zustand hält ja i.d.R. nur für Minuten an.

    Man kann aber natürlich auch erstmal nur auf einer Kiste die neue Software testen und die standby Maschiene auf dem alten (getesteten) Stand lassen. im Fehlerfall macht man die neue Kiste dann einfach aus, die alte Software springt dann ein. Aber auch hier: Neue Befehle oder Möglichkeiten sind möglicherweise nicht synchronisiert worden..

  3. Ein kniffliges Problem. Ist nicht einfach zu lösen. Bringt der Besuch von Cisco-Kursen einen hier weiter, um da durchzusteigen? Was haltet Ihr von e-learning wie es z.B. hier angepriesen wird: http://www.***.de Cisco Kurs

  4. Ich denke nicht.. Cisco Kurse bringen einem ein grobes Verständnis und macht Labs zu einigen Szenarien die Cisco für wichtig erachtet. Das normale Doing (Updates wechseln von A/A auf A/P, Fehlersuche) kommt da meist zu kurz.

  5. Hi Jan, ma ne Frage. Du scheinst bei der ASA recht gut Bescheid zu wissen. Benötigt man nach einem Update der Firmware die alten BINs ? Also sind die Komplimentär oder alles in der neuen BIN enthalten, was mir logischer erscheinen würde. Als ich meine ASA upgraden wollte war zuwenig Speicher vorhanden. Also hab ich nicht mehr benötigte BIN Dateien älterer Version gelöscht.Nun ist die ADSM sowie die Maschine nicht mehr erreichbar ….

  6. Die bin braucht man i.d.R. nicht.
    Oft passiert es aber,dass man das asdm ersetzt und vergessen hat die entsprechende Datei anzugeben (asdm image …)
    Auch boot Image Zeilen sollte man überprüfen.
    Im Notfall per sah drauf und schauen was Sache ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.