ASA 8.3 Upgrade

Document

Aug 25, 2011 1:48 PM
Aug 25th, 2011

Primeiramente, deixe-nos certificar que uma coisa está bem esclarecida, atualizar seu ASA da versão 8.2 para a 8.3 não é uma atualização minoritária!  Há mudanças significativas de arquiteturas internas em torno do NAT e das ACL na versão 8.3.  E, o mais importante para você (cliente), são os seguintes pontos:

  1. Os      comandos CLI de NAT são completamente diferentes de todas as versões      anteriores do ASA
  2. Os      endereços IP usados nas ACL são diferentes (as versões anteriores a 8.3      utilizavam IP globais/traduzidos, ao contrário da versão 8.3 que sempre      utiliza os IP reais (não traduzidos)
  3. Um      novo conceito de hosts baseados a objeto foi introduzido, para permitir      que os hosts singulares sejam referenciados por seus nomes (previamente,      nós tinhamos o comando name,      mas isto era mais de uma macro-substituição na saída do comando show running-config).

Pré-Requisitos para Atualização


Muitos modelos do ASA exigem um upgrade de memória antes de atualizar o ASA para versão 8.3.  Os ASAs recém saídos da fábrica (produzidos após fevereiro 2010) já possuem a memória atualizada. Contudo, se seu ASA foi produzido antes de fevereiro de 2010 e está listado entre os modelos abaixo, será necessário um upgrade de memória. Sendo assim, você precisará comprar o upgrade de memória antes de instalar a versão 8.3 em seu ASA.

Plataforma

Licença

Memória Pré-8.3 exigida

Memória 8.3

exigida

Part   Number do upgrade de memória

5505

Ilimitada (hosts internos=Ilimitada)

256 MB

512 MB

ASA5505-MEM-512=

5505

Security Plus (failover=habilitado)

256 MB

512 MB

ASA5505-MEM-512=

5505

Todas licenças restantes

256 MB

256 MB

Nenhuma upgrade de memória necessário

5510

Todas as licenças

256 MB

1024 MB

ASA5510-MEM-1GB=

5520

Todas as licenças

512 MB

2048 MB *

ASA5520-MEM-2GB=

5540

Todas as licenças

1024 MB

2048 MB *

ASA5540-MEM-2GB=

5550

Todas as licenças

4096 MB

4096 MB

Nenhum upgrade de memória necessário

5580

Todas as licenças

8-16 Gb

8-16 Gb

Nenhum upgrade de memória necessário

*Nota:  A memória máxima suportada para o ASA-5520 e o ASA-5540 é 2 Gb.  Se você instalar 4 Gb de memória nestas unidades, as mesmas entrarão em um loop de inicialização.

Como determinar a quantidade de memória do seu ASA

A partir do CLI, você pode utilizar o comando show version | include RAM para verificar a quantidade de memória que seu ASA possui. No exemplo seguinte, é exibido um ASA-5520, com 512 MB de RAM, e conseqüentemente, um ASA que exigiria um upgrade de memória antes de instalar a versão 8.3 nele.

ASA#

show version | include RAM

Hardware:   ASA5520, 512 MB RAM

, CPU Pentium 4 Celeron 2000 MHz

Para usuários ASDM, é possível verificar a quantidade de RAM no ASA através da página principal do ASDM (painel do dispositivo).

Por que o ASA precisa um upgrade de memória?

Esta parece ser uma pergunta razoável e comum feita pelos clientes.  Por que exatamente nós precisamos de um upgrade de memória a fim executar a versão 8.3?  A razão é simples.  A quantidade de memória nos ASA não foi aumentada desde que foram originalmente concebidos. Contudo, com o passar dos anos, novos recursos foram adicionados o que exige uma quantidade de memória adicional para inicialização. Quanto mais memória a imagem básica requerer, menos memória será alocada para recursos como ACL, conexões, túneis IPsec, túneis SSL, etc.  Adicionalmente, como nós introduzimos novos recursos e os clientes adotam tais recursos, um consumo adicional de memória é gerado.

Remova o nat-control da sua configuração do ASA

O nat-control é uma característica legada que foi criada para ajudar usuários a migrar do PIX 6.x para a versão 7.0 ou superiores do PIX/ASA.  No PIX 6.x, se você quis passar tráfego entre duas interfaces, é necessário que se tenha uma configuração de NAT permitindo este tráfego.  A versão 7.0 do PIX/ASA removeu esta limitação, e fez com que o comportamento fosse parecido com o dos roteadores.  Isto é, o controle de ACL no tráfego é permitido ou não.  O NAT torna-se então opcional.  Contudo, a fim preservar o comportamento para os clientes PIX, se um usuário PIX atualizasse a versão de 6.x para a 7,0, o comando nat-control seria adicionado automaticamente à configuração.  O mesmo é verdadeiro para os clientes que utilizam a ferramenta de migração do PIX para o ASA.  Desta forma, ainda pode existir um número de clientes com o nat-control em sua configuração, sem a necessidade de tê-lo.

O que acontece se eu removo o comando nat-control?

Resposta:  Nada de muito relevante.  Remover o comando apenas significa que o tráfego pode fluir entre as interfaces sem exigir uma política nat.  Conseqüentemente, a política de segurança da qual o tráfego é permitido ou negado é definida por suas ACLs de interface.

O que acontece se eu deixo o comando nat-control em minha configuração?

Resposta:  Desde que a versão 8.3 não suporta o comando nat-control, serão adicionados os comandos nat equivalentes para reforçar uma política que exija regras nat explícitas de forma a permitir que o tráfego passe entre as interfaces.  Um exemplo é mostrado abaixo.  Note que o número destas regras aumenta exponencial com o número de interfaces em seu ASA.  Sendo assim, é altamente recomendado que se sua política de segurança (Ex: As ACLs) é utilizada para controlar qual tráfego é permitindo para onde, então você deve garantir que o comando no nat-control seja configurado antes da atualização para a versão ASA 8.3.  Isto impedirá que as seguintes regras de nat sejam criadas – o que bloqueará o tráfego entre interfaces, até que uma política nat mais específica seja definida para esse tráfego.

Configuração Pre-8.3

Configuração 8.3

nat-control

object network obj_any
    subnet 0.0.0.0 0.0.0.0
    nat (inside,outside) dynamic obj-0.0.0.0
object network obj-0.0.0.0
    host 0.0.0.0
object network obj_any-01
    subnet 0.0.0.0 0.0.0.0
    nat (inside,mgmt) dynamic obj-0.0.0.0
object network obj_any-02
    subnet 0.0.0.0 0.0.0.0
    nat (inside,dmz) dynamic obj-0.0.0.0
object network obj_any-03
    subnet 0.0.0.0 0.0.0.0
    nat (mgmt,outside) dynamic obj-0.0.0.0
object network obj_any-04
    subnet 0.0.0.0 0.0.0.0
    nat (dmz,outside) dynamic obj-0.0.0.0
object network obj_any-05
    subnet 0.0.0.0 0.0.0.0
    nat (dmz,mgmt) dynamic obj-0.0.0.0

Se você esquecer de executar o comando no nat-control antes da atualização, então é seguro remover todos os objetos 0s com regras nat associadas após o fato.

Para ver sua configuração atual de nat-control, utilize o comando show run all nat-control.

Como Atualizar seu ASA para a versão 8.3

Atualizar seu ASA para a versão 8.3 é o mesmo processo de todas as atualizações anteriores.  Apenas copie a imagem para a flash, especifique o arquivo para ser inicializado, e re-inicialize então seu ASA.  Baseado no primeiro boot, o ASA converterá automaticamente sua configuração 8.2 em uma nova sintaxe para o NAT e as ACL exigidos pela versão 8.3.  Enquanto seus comandos CLI estão sendo alterados, sua política de segurança dos dispositivos permanecerá a mesma.

Note, por favor, que suportamos somente a atualização da versão 8.3 a partir da 8.2.  Conseqüentemente, você precisa estar executando a versão 8.2 em seu ASA antes da atualização para a 8.3.

Para ASAs configurados no cenário de failover, suportamos a atualização da versão 8.2 para a 8.3 com zero downtime.  Siga o mesmo procedimento que você fez no passado.

Nota: Durante o processo de upgrade, o ASA salvará dois arquivos no disco.

  1. A      configuração atual (antes da atualização) em um arquivo nomeado como <version>_startup_cfg.sav      
    Exemplo: disk0:/8_2_2_0_startup_cfg.sav

Este arquivo será crítico caso você precise realizar um downgrade de seu ASA da versão 8.3 para a 8.2 em uma data futura

  1. As      mensagens de advertência e os erros encontrados durante o processo de conversão      de sua configuração para a versão 8.3 serão salvos em um arquivo nomeado upgrade_startup_errors_<timestamp>.log

Caminhos de upgrade

A Cisco suporta oficialmente a atualização para a versão ASA 8.3 somente a partir da versão ASA 8.2.  Conseqüentemente, se você está executando atualmente uma versão do código ASA anterior a versão 8.2, será necessário executar uma atualização por etapas.  Veja por favor a tabela abaixo:

Versão Atual

Atualizações Intermediárias

Versão Final

8,2

nenhuma

8,3

8,1

8,2

8,3

8,0

8,2

8,3

7,2

8,0   --> 8,2

8,3

7,1

7,2   --> 8,0 --> 8,2

8,3

7,0

7,2   --> 8,0 --> 8,2

8,3

Exemplos de alterações de configuração na versão 8.3

NAT

A configuração CLI de NAT para a versão 8.3 é radicalmente diferente de qualquer coisa que você pode estar acostumado. Conseqüentemente, para usuários CLI, é recomendado a implementação gradual da versão 8.3 com a expectativa que você terá de re-aprender NAT.  Para aqueles que vêem isto como um obstáculo, nós recomendaríamos que utilizem o ASDM ou o CSM ou alguma outra ferramenta GUI para configurar o ASA - porque a configuração GUI para versão 8.3 é amplamente a mesma.

Para usuários CLI, por favor não atualize para a versão 8.3 numa sexta-feira à noite antes de se preparar para sair da cidade durante o final de semana.  Ao invés disto, é recomendável testar este cenário de atualização em um laboratório (caso você possua um), ou atentar para as mudanças (veja a informação adicional abaixo) antes que você atualize.  Vejamos alguns exemplos.

Recursos NAT

Configuração Pre-8.3

Configuração 8.3

NAT Estático

static   (inside,outside) 209.165.201.15 10.1.1.6 netmask 255.255.255.255

Opção 1 (Preferida)

object network obj-10.1.1.6
   host 10.1.1.6
   nat (inside,outside) static 209.165.201.15

Opção 2

object network server_real
host 10.1.1.6
object network server_global
host 209.165.201.15

!

nat (inside,outside) source static   server_real server_global

PAT Dinâmico

nat (inside) 1   10.1.1.0 255.255.255.0
global (outside) 1 209.165.201.254

object network internal_net
   subnet 10.1.1.0 255.255.255.0

!

object network   internal_net
nat (inside,outside) dynamic 209.165.201.254

NAT Dinâmico com Interface Sobrecarregada

nat (inside) 1   10.1.1.0 255.255.255.0
global (outside) 1 interface
global (outside) 1 209.165.201.1-209.165.201.2

object network NAT_Pool
range 209.165.201.2 209.165.201.50
object network internal_net
subnet 10.1.1.0 255.255.255.0

!

object network internal_net
nat (inside,outside) dynamic NAT_Pool interface

Mudanças na ACL

Embora a sintaxe das ACL não tenha mudado muito (apenas capacidades adicionadas para objetos novos), a alteração significativa é que todos os endereços IPs listados nas ACLs que são aplicados a uma interface serão convertidos (durante a atualização) da utilização de endereços IP globais (Ex: traduzido ou post-NAT) para a utilização de endereços IP reais.  Vejamos um exemplo.

Na topologia acima, um servidor de Web interno (com IP 10.1.1.6) está sendo protegido por um ASA.  Clientes na Internet acessam este servidor de Web através de seu endereço IP público:  209.165.201.15. Antes da versão 8.3, a ACL da interface permitiria o tráfego ao IP público 209.165.201.15.  No entanto, começando com a versão 8.3, o IP real 10.1.1.6 é usado na configuração.  Veja por favor os exemplos de configuração abaixo.

Configuração Pre-8.3

static (inside,outside) 209.165.201.15 10.1.1.6 netmask 255.255.255.255

!

access-list outside_in extended permit tcp any host 209.165.201.15

access-group outside_in in interface outside

Configuração 8.3

object network obj-10.1.1.6
   host 10.1.1.6
   nat (inside,outside) static 209.165.201.15

!

access-list outside_in extended permit tcp any host 10.1.1.6

access-group outside_in in interface outside

O Que a fazer se você está com problemas na versão 8.3

  1. Entre em contato com o TAC      para melhor auxiliá-lo
  2. Verifique      o arquivo upgrade_startup_errors_<timestamp>.logon na disk0: utilizando o comando  more      disk0:/upgrade_startup_errors_<timestamp>.log
  3. Faça      o downgrade para a versão 8.2 usando o comando downgrade <image> <config>.       Isto é IMPORTANTE!  Você deve usar o comando de downgrade,      especificando o arquivo de configuração no disco (que o processo de      upgrade da versão 8.3 salvou)

Informações adicionais

Average Rating: 0 (0 ratings)

Actions

Login or Register to take actions

This Document

Posted August 25, 2011 at 1:48 PM
Stats:
Comments:0 Avg. Rating:0
Views:1934 Contributors:0
Shares:0
Tags: upgrade, asa, 8.3
+

Related Content

Documents Leaderboard