Actualización del ASA a la versión 8.3

Actualización ASA 8.3 - Lo que usted necesita saber

Cosas que debemos saber

Primero se debe aclarar algo: actualizar su ASA de la versión 8.2 a 8.3 no es una actualización menor.  Existen cambios internos en la arquitectura  alrededor de NAT y de las ACL en 8.3.  Cambios como son:

  1. Los comandos de NAT en CLI son totalmente diferentes a cualquier versión anterior del ASA.
  2. Las direcciones IP usadas en las ACL son diferentes (las versiones pre-8.3 utilizan las IP globales/traducidas, mientras que 8.3 utiliza siempre las IP reales (sin traducir).
  3. Un concepto nuevo de objetos basados en  host fue introducido, para permitir que los hosts sean referidos por sus nombres (previamente, teníamos el comando name , sin embargo ese era más  una macro al ejecutar el show running-config).

Prerequisitos para poder actualizar

Muchos modelos del ASA requieren una actualización de memoria antes de actualizar a la versión 8.3.  Los ASAs fabricados después de febrero 2010 vienen con la memoria actualizada.  Sin embargo, si su ASA fue fabricado antes de esa fecha, se requiere memoria adicional. Usted necesitará comprar la pieza de la actualización de memoria antes de instalar la versión 8.3 en su ASA.

PlataformaLicenciaMemoria Pre-8.3 requerida8.3 Memoria requeridaNumero de parte de la memoria
5505Unlimited (interior hosts=Unlimited)256 MB512 MBASA5505-MEM-512=
5505Security Plus (failover=enabled)256 MB512 MBASA5505-MEM-512=
5505El resto de las licencias256 MB256 MBNo se requiere actualizar la memoria
5510Todas las licencias256 MB1024 MBASA5510-MEM-1GB=
5520Todas las licencias512 MB2048 MB *ASA5520-MEM-2GB=
5540Todas las licencias1024 MB2048 MB *ASA5540-MEM-2GB=
5550Todas las licencias4096 MB4096 MBNo se requiere actualizar la memoria
5580Todas las licencias8-16 GB8-16 GBNo se requiere actualizar la memoria

*Nota:  La memoria máxima soportada en el ASA-5520 y el ASA-5540 es 2 GB.  Si usted instala una memoria de 4 GB  en estas unidades, entrarán un loop del arranque.

Determinando cuanta memoria tiene el ASA

Del CLI, usted puede ejecutar el comando de show version | in RAM para saber cuánta memoria tiene su ASA.  En el siguiente ejemplo tenemos un ASA-5520, con  512 MB de RAM,  por lo tanto requerirá una actualización de memoria antes de instalar 8.3 en este.

ASA#

show version | incluir el RAM

Hardware   ASA5520, RAM del 512 MB

, MHz de Celeron 2000 del Pentium 4 CPU

Para los usuarios con ASDM, se puede ver la cantidad de RAM en el ASA en la página princial del ASDM (Device Dashboard).

¿Por qué el ASA necesita una actualización de memoria?

Esta parece ser una pregunta bastante común en los clientes. La razón es simple,  la memoria en los ASA no se ha incrementado desde que fueron introducidos originalmente, todos los años se han ido agregado funciones que requieren  memoria adicional en el arranque.

Quitar el nat-control de la configuración del ASA

El nat-control es una característica  que fue creada para ayudar a los usuarios a migrar de PIX 6.x a la versión 7.0 y posterior del PIX/ASA.  En PIX 6.x, si usted quería pasar el tráfico entre dos interfaces, se debía tener una configuración del NAT que lo permitiera.  La versión 7.0 del PIX/ASA quitó esta restricción,  el NAT  llega a ser opcional.  Si tenemos un PIX actualizado de 6.x a 7.0, el comando de nat-control aparecerá automáticamente en la configuración.  Lo mismo sucede cuando se utiliza la herramienta de migración del PIX al ASA.  De esta manera puede haber  clientes con el nat-control en su configuración sin realmente necesitarlo.

¿Qué sucede si quito el comando de nat-control?

Respuesta:  No mucho.  La eliminación del comando  significa que el tráfico puede fluir entre las interfaces sin requerir una traducción.  Por lo tanto, la política de seguridad que permite o niega el tráfico es definida por el ACL en la interfaz.

¿Qué sucede si dejo el comando de nat-control en mi configuración?

Respuesta:  Puesto que la versión 8.3 no soporta  más el comando de nat-control, se agregarán los comandos nat equivalentes para permitir que el tráfico pase entre las interfaces.  Se recomienda  que si  se utilizan ACL para controlar el tráfico de entrada, usted no debe configurar ningún nat-control antes de actualizar a la versión de ASA 8.3.  Esto evitará que se creen reglas de NAT - que bloqueen el tráfico entre las interfaces.

pre-8.3 Configuraiton
8.3 Configuración
nat-controlobject network obj_any
   subnet 0.0.0.0 0.0.0.0
   nat (inside,outside) dynamic obj-0.0.0.0
object network obj-0.0.0.0
   host 0.0.0.0
object network obj_any-01
   subnet 0.0.0.0 0.0.0.0
  nat (inside,mgmt) dynamic obj-0.0.0.0
object network obj_any-02
  subnet 0.0.0.0 0.0.0.0
  nat (inside,dmz) dynamic obj-0.0.0.0
object network obj_any-03
  subnet 0.0.0.0 0.0.0.0
  nat (mgmt,outside) dynamic obj-0.0.0.0
object network obj_any-04
  subnet 0.0.0.0 0.0.0.0
nat (dmz,outside) dynamic obj-0.0.0.0
object network obj_any-05
   subnet 0.0.0.0 0.0.0.0
   nat (dmz,mgmt) dynamic obj-0.0.0.0

Si usted olvida de colocar el comando de no nat-control antes de actualizar, entonces  debe quitar los objetos con 0´s asociados  a las reglas de NAT.

Para ver su configuración actual de nat-control, ejecute el comando de show run all nat-control.

Cómo actualizar su ASA a 8.3

Actualizar su ASA a 8.3 usa el mismo proceso que  en actualizaciones anteriores.  Copiar la imagen  a la memoria flash, especificar el archivo para iniciar, y después reiniciar su ASA.  Sobre el primer arranque, el ASA convertirá su configuración 8.2 en la sintaxis nueva para el NAT y las ACL requiridas en 8.3.

Solo soportamos  actualizar a 8.3 a partir de la versión 8.2.  Por lo tanto, usted necesita correr la versión 8.2 en su ASA antes de actualizar a 8.3.

Para los ASAs en configuración de failover, soportamos actualizar a partir de 8.2 a 8.3 sin tiempo de caída.  Seguir el mismo procedimiento.

Nota: Durante el proceso de actualización, el ASA salvará dos archivos en el disco.

  1. La configuración actual (antes de actualizar) en un archivo con nombre <version>_startup_cfg.sav   
    Ejemplo: disk0:/8_2_2_0_startup_cfg.sav
    Este archivo será crítico si usted necesita regresar la versión del  ASA.
  2. Los mensajes de advertencia y los errores encontrados durante el proceso de actualización al convertir su configuración a 8.3 serán guardados en un archivo nombrado upgrade_startup_errors_<timestamp>.log

Pasos para la  actualización

Cisco soporta  actualizar a la versión de ASA 8.3 solamente a partir de la 8.2.  Por lo tanto, si usted corriendo  una versión de código anterior a la 8.2, usted necesitará realizar una actualización de manera gradual.  Ver cuadro:

Tren actualActualizaciones intermediasTren final
8.2ninguno8.3
8.18.28.3
8.08.28.3
7.28.0 --> 8.28.3
7.17.2 --> 8.0 --> 8.28.3
7.07.2 --> 8.0 --> 8.28.3

Ejemplos de cambios de las configuraciones  en 8.3

NAT

La configuración de CLI NAT para 8.3 es radicalmente diferente. Por lo tanto, para los usuarios que usen CLI, se recomienda familiarizarse con la nueva configuración de NAT.  Para los que ven esto como obstáculo, recomendaríamos que usted utilice el ASDM para configurar el ASA.

Se recomienda que usted haga pruebas con el ASA en un laboratorio (si usted tiene uno) antes de que usted actualice la versión.  Miremos algunos ejemplos.

Función NAT
configuración pre-8.3
8.3 Configuración
NAT estáticonat (inside, outside) 209.165.201.15 10.1.1.6  netmask 255.255.255.255

Opción 1 (preferida)

object network obj-10.1.1.6
  host 10.1.1.6
  nat (inside,outside) static 209.165.201.15

Opción 2

object network server_real 
host 10.1.1.6
object network server_global 
host 209.165.201.15

¡!

nat (inside, outside) source static server_real server_global

Dynamic PATnat (inside) 1 10.1.1.0 255.255.255.0
global (outside) 1 209.165.201.254

object network internal_net
  subnet 10.1.1.0 255.255.255.0

¡!

objet network internal_net
nat (inside, outside) dynamic 209.165.201.254
Dynamic NAT con Interface overloadnat (inside) 1 10.1.1.0 255.255.255.0
global (outside) 1 interface
global (outside) 1 209.165.201.1-209.165.201.2

object network NAT_Pool
range 209.165.201.2 209.165.201.50
object network internal_net
subnet 10.1.1.0 255.255.255.0

¡!

object network internal_net
nat (inside, outside) dynamic NAT_Pool interface


Cambios en las ACL

Aunque la sintaxis de las ACL no cambiaron mucho,  las direcciones IP  en las ACL que se aplican a una interfaz usan la dirección IP  real.  Veamos un ejemplo.

ASA_8_3_ACL_Diagram.jpg

En la topología descrita, se tiene un servidor Web interno (con la IP 10.1.1.6) que está siendo protegido por un ASA. Antes de la versión 8.3,  los clientes acceden a través de  Internet a este servidor Web usando su dirección IP pública:  209.165.201.15. El ACL permitiría el tráfico a la 209.165.201.15.  A partir de la versión 8.3, la IP real 10.1.1.6 se utiliza en la configuración.  Ver ejemplo.

configuración pre-8.3

static (inside, outside) 209.165.201.15 10.1.1.6 netmask 255.255.255.255

¡!

access-list outside_in extended permit tcp any host 209.165.201.15

access-group outside_in in interface outside

8.3 Configuración

object network obj-10.1.1.6
  host 10.1.1.6
  nat (inside,outside) static 209.165.201.15

¡!

access-list outside_in extended permit tcp any host 10.1.1.6

access-group outside_in in interface outside

Qué  hacer si tiene  problemas al realizar la actualización a la versión 8.3

  1. Llamar al TAC, allí le ayudarán.
  2. Revisar el log de upgrade_startup_errors_<timestamp>.log en el disk0: usando el comando de more disk0:/upgrade_startup_errors_<timestamp>.log
  3. Bajar la versión a 8.2 usando el comando del downgrade <image> <config>.  ¡IMPORTANTE!  Usted debe ejecutar el comando downgrade, especificando el archivo de configuración en el disco

Información adicional

Historial de versiones
Revisión n.º
1 de 1
Última actualización:
‎05-20-2011 11:11 AM
Actualizado por:
 
Etiquetas (1)
Comentarios

Hola Izcoatl, para hacer el upgrade a un asa que unicamente tiene VPN´s,  que consideraciones debería tomar???

Saludos