Upgrade ASA 8.x
Páginas: 5 (1217 palabras)
Publicado: 12 de junio de 2014
Actualización del ASA a la versión 8.3
Cosas que debemos saber
Primero se debe aclarar algo: actualizar su ASA de la versión 8.2 a 8.3 no es una
actualización menor. Existen cambios internos en la arquitectura alrededor de NAT y de
las ACL en 8.3. Cambios como son:
1. Los comandos de NAT en CLI son totalmente diferentes a cualquier versión anterior del ASA.
2. Las direcciones IP usadas enlas ACL son diferentes (las versiones pre-8.3 utilizan las IP globales/
traducidas, mientras que 8.3 utiliza siempre las IP reales (sin traducir).
3. Un concepto nuevo de objetos basados en host fue introducido, para permitir que los hosts sean referidos
por sus nombres (previamente, teníamos el comando name , sin embargo ese era más una macro al
ejecutar el show running-config).
Prerequisitospara poder actualizar
Muchos modelos del ASA requieren una actualización de memoria antes de actualizar
a la versión 8.3. Los ASAs fabricados después de febrero 2010 vienen con la memoria
actualizada. Sin embargo, si su ASA fue fabricado antes de esa fecha, se requiere memoria
adicional. Usted necesitará comprar la pieza de la actualización de memoria antes de
instalar la versión 8.3 en suASA.
Plataforma Licencia Memoria Pre-8.3
requerida
8.3 Memoria
requerida
Numero de parte de
la memoria
5505 Unlimited (interior
hosts=Unlimited)
256 MB 512 MB ASA5505-MEM-512=
5505 Security Plus
(failover=enabled)
256 MB 512 MB ASA5505-MEM-512=
5505 El resto de las
licencias
256 MB 256 MB No se requiere
actualizar la memoria
5510 Todas las licencias 256 MB 1024 MB ASA5510-MEM-1GB=
5520 Todas las licencias 512 MB 2048 MB * ASA5520-
MEM-2GB=
5540 Todas las licencias 1024 MB 2048 MB * ASA5540-
MEM-2GB=
5550 Todas las licencias 4096 MB 4096 MB No se requiere
actualizar la memoria
5580 Todas las licencias 8-16 GB 8-16 GB No se requiere
actualizar la memoria
*Nota: La memoria máxima soportada en el ASA-5520 y el ASA-5540 es 2 GB. Si usted
instala una memoria de 4 GBen estas unidades, entrarán un loop del arranque.
Determinando cuanta memoria tiene el ASA
Del CLI, usted puede ejecutar el comando de show version | in RAM para saber cuánta
memoria tiene su ASA. En el siguiente ejemplo tenemos un ASA-5520, con 512 MB de
RAM, por lo tanto requerirá una actualización de memoria antes de instalar 8.3 en este.
ASA#
show version | incluir el RAM
HardwareASA5520, RAM del 512 MB
, MHz de Celeron 2000 del Pentium 4 CPU
Para los usuarios con ASDM, se puede ver la cantidad de RAM en el ASA en la página
princial del ASDM (Device Dashboard).
¿Por qué el ASA necesita una actualización de memoria?
Esta parece ser una pregunta bastante común en los clientes. La razón es simple, la
memoria en los ASA no se ha incrementado desde que fueron introducidosoriginalmente,
todos los años se han ido agregado funciones que requieren memoria adicional en el
arranque.
Quitar el nat-control de la configuración del ASA
El nat-control es una característica que fue creada para ayudar a los usuarios a migrar
de PIX 6.x a la versión 7.0 y posterior del PIX/ASA. En PIX 6.x, si usted quería pasar el
tráfico entre dos interfaces, se debía tener unaconfiguración del NAT que lo permitiera. La
versión 7.0 del PIX/ASA quitó esta restricción, el NAT llega a ser opcional. Si tenemos un
PIX actualizado de 6.x a 7.0, el comando de nat-control aparecerá automáticamente en
la configuración. Lo mismo sucede cuando se utiliza la herramienta de migración del PIX
al ASA. De esta manera puede haber clientes con el nat-control en su configuración sin
realmentenecesitarlo.
¿Qué sucede si quito el comando de nat-control?
Respuesta: No mucho. La eliminación del comando significa que el tráfico puede fluir
entre las interfaces sin requerir una traducción. Por lo tanto, la política de seguridad que
permite o niega el tráfico es definida por el ACL en la interfaz.
¿Qué sucede si dejo el comando de nat-control en mi configuración?
Respuesta: Puesto que...
Cosas que debemos saber
Primero se debe aclarar algo: actualizar su ASA de la versión 8.2 a 8.3 no es una
actualización menor. Existen cambios internos en la arquitectura alrededor de NAT y de
las ACL en 8.3. Cambios como son:
1. Los comandos de NAT en CLI son totalmente diferentes a cualquier versión anterior del ASA.
2. Las direcciones IP usadas enlas ACL son diferentes (las versiones pre-8.3 utilizan las IP globales/
traducidas, mientras que 8.3 utiliza siempre las IP reales (sin traducir).
3. Un concepto nuevo de objetos basados en host fue introducido, para permitir que los hosts sean referidos
por sus nombres (previamente, teníamos el comando name , sin embargo ese era más una macro al
ejecutar el show running-config).
Prerequisitospara poder actualizar
Muchos modelos del ASA requieren una actualización de memoria antes de actualizar
a la versión 8.3. Los ASAs fabricados después de febrero 2010 vienen con la memoria
actualizada. Sin embargo, si su ASA fue fabricado antes de esa fecha, se requiere memoria
adicional. Usted necesitará comprar la pieza de la actualización de memoria antes de
instalar la versión 8.3 en suASA.
Plataforma Licencia Memoria Pre-8.3
requerida
8.3 Memoria
requerida
Numero de parte de
la memoria
5505 Unlimited (interior
hosts=Unlimited)
256 MB 512 MB ASA5505-MEM-512=
5505 Security Plus
(failover=enabled)
256 MB 512 MB ASA5505-MEM-512=
5505 El resto de las
licencias
256 MB 256 MB No se requiere
actualizar la memoria
5510 Todas las licencias 256 MB 1024 MB ASA5510-MEM-1GB=
5520 Todas las licencias 512 MB 2048 MB * ASA5520-
MEM-2GB=
5540 Todas las licencias 1024 MB 2048 MB * ASA5540-
MEM-2GB=
5550 Todas las licencias 4096 MB 4096 MB No se requiere
actualizar la memoria
5580 Todas las licencias 8-16 GB 8-16 GB No se requiere
actualizar la memoria
*Nota: La memoria máxima soportada en el ASA-5520 y el ASA-5540 es 2 GB. Si usted
instala una memoria de 4 GBen estas unidades, entrarán un loop del arranque.
Determinando cuanta memoria tiene el ASA
Del CLI, usted puede ejecutar el comando de show version | in RAM para saber cuánta
memoria tiene su ASA. En el siguiente ejemplo tenemos un ASA-5520, con 512 MB de
RAM, por lo tanto requerirá una actualización de memoria antes de instalar 8.3 en este.
ASA#
show version | incluir el RAM
HardwareASA5520, RAM del 512 MB
, MHz de Celeron 2000 del Pentium 4 CPU
Para los usuarios con ASDM, se puede ver la cantidad de RAM en el ASA en la página
princial del ASDM (Device Dashboard).
¿Por qué el ASA necesita una actualización de memoria?
Esta parece ser una pregunta bastante común en los clientes. La razón es simple, la
memoria en los ASA no se ha incrementado desde que fueron introducidosoriginalmente,
todos los años se han ido agregado funciones que requieren memoria adicional en el
arranque.
Quitar el nat-control de la configuración del ASA
El nat-control es una característica que fue creada para ayudar a los usuarios a migrar
de PIX 6.x a la versión 7.0 y posterior del PIX/ASA. En PIX 6.x, si usted quería pasar el
tráfico entre dos interfaces, se debía tener unaconfiguración del NAT que lo permitiera. La
versión 7.0 del PIX/ASA quitó esta restricción, el NAT llega a ser opcional. Si tenemos un
PIX actualizado de 6.x a 7.0, el comando de nat-control aparecerá automáticamente en
la configuración. Lo mismo sucede cuando se utiliza la herramienta de migración del PIX
al ASA. De esta manera puede haber clientes con el nat-control en su configuración sin
realmentenecesitarlo.
¿Qué sucede si quito el comando de nat-control?
Respuesta: No mucho. La eliminación del comando significa que el tráfico puede fluir
entre las interfaces sin requerir una traducción. Por lo tanto, la política de seguridad que
permite o niega el tráfico es definida por el ACL en la interfaz.
¿Qué sucede si dejo el comando de nat-control en mi configuración?
Respuesta: Puesto que...
Leer documento completo
Regístrate para leer el documento completo.