Upgrade ASA IOS 8.x
Upgrade ASA IOS 8.x
Posiadam ASA5510 z softem w wersji 8.0.5 oraz rozbudowaną pamięcią do 1GB.
1) Do której wersji IOS'a polecacie zrobić mi upgrade softu - do 8.2 czy 8.3?
2) Czy robiąc upgrade z 8.0.5 do 8.2 lub 8.3 będzie miała miejsce jakaś konwersja configa?
3) Czy taki upgrade przebiega gładko? czy może zdarzają się problemy? - pytam bo ASA jest produkcyjna i większa przerwa nie wchodzi w rachubę
1) Do której wersji IOS'a polecacie zrobić mi upgrade softu - do 8.2 czy 8.3?
2) Czy robiąc upgrade z 8.0.5 do 8.2 lub 8.3 będzie miała miejsce jakaś konwersja configa?
3) Czy taki upgrade przebiega gładko? czy może zdarzają się problemy? - pytam bo ASA jest produkcyjna i większa przerwa nie wchodzi w rachubę
Jarek
Re: Upgrade ASA IOS 8.x
Zasadnicze pytanie ponieważ ASA jest produkcyjna , co jest powodem upgrade'u ?jarek pisze:Posiadam ASA5510 z softem w wersji 8.0.5 oraz rozbudowaną pamięcią do 1GB.
1) Do której wersji IOS'a polecacie zrobić mi upgrade softu - do 8.2 czy 8.3?
2) Czy robiąc upgrade z 8.0.5 do 8.2 lub 8.3 będzie miała miejsce jakaś konwersja configa?
3) Czy taki upgrade przebiega gładko? czy może zdarzają się problemy? - pytam bo ASA jest produkcyjna i większa przerwa nie wchodzi w rachubę
Znalazłeś bug , asa nie wspiera jakiegoś ficzera lub działa niestabilnie ?
Czy tylko chcesz zaspokoić swoją ciekawość ?
Problemy zawsze mogą się zdarzyć i dobrze mieć plan awaryjny co będzie gdy ..... się spsuje szczególnie przy bardziej skomplikowanych konfiguracjach.
p.s
Jeżeli ASA działa stabilnie i nie ma z nią problemów , a nie potrzebujesz dodatkowych ficzerów został bym przy 8.0.5. To naprawdę stabilna wersja.
Ogolnie zgadzam sie z gryglasem; najwazniejsze jest odpowiedziec na pytanie dlaczego chcemy ten update robic.
Mam klientow z 8.0.x, ktorzy sa zadowoleni i jakos sie nie spiesza do przeskoku na 8.2 czy 8.3.
A jesli juz robisz migracje, to dla 8.0->8.2 konfiguracja nie musi sie konwertowac, bo struktura komend jest dla wiekszosci rzeczy taka sama, najwyzej dochodza nowe rzeczy.
Przy migracji do 8.3 sprawa jest bardziej "skomplikowana", bo czesc rzeczy poprostu jest konfigurowana inaczej, co z jednej strony utrudni migracje, no i oczywiscie wprowadza zamieszanie w zarzadzaniu... Troche wiecej na ten temat w ponizszych dokumentach:
Release Notes for the Cisco ASA 5500 Series, 8.3(x)
Cisco ASA 5500 Migration Guide for Version 8.3
Mam klientow z 8.0.x, ktorzy sa zadowoleni i jakos sie nie spiesza do przeskoku na 8.2 czy 8.3.
A jesli juz robisz migracje, to dla 8.0->8.2 konfiguracja nie musi sie konwertowac, bo struktura komend jest dla wiekszosci rzeczy taka sama, najwyzej dochodza nowe rzeczy.
Przy migracji do 8.3 sprawa jest bardziej "skomplikowana", bo czesc rzeczy poprostu jest konfigurowana inaczej, co z jednej strony utrudni migracje, no i oczywiscie wprowadza zamieszanie w zarzadzaniu... Troche wiecej na ten temat w ponizszych dokumentach:
Release Notes for the Cisco ASA 5500 Series, 8.3(x)
Cisco ASA 5500 Migration Guide for Version 8.3
"Two things are infinite: the universe and human stupidity; and I'm not sure about the universe."
A. Einstein
A. Einstein
Panowie z TAC zasugerowali, abym nie robił upgrade do 8.3 jeśli nie muszę, bo przy dłuższej konfiguracji część transformacji z 8.x do 8.3 "może" się nie udać.
Jeśli natomiast kupujesz nową ASA, to oczywiście z 8.3.
"Stare" na produkcji działają z 8.0(4) - bo działają bez problemów od ponad roku
"Nowe" wdrażamy z 8.3(2) - z racji na NAT i globalne ACLki.
Jeśli natomiast kupujesz nową ASA, to oczywiście z 8.3.
"Stare" na produkcji działają z 8.0(4) - bo działają bez problemów od ponad roku
"Nowe" wdrażamy z 8.3(2) - z racji na NAT i globalne ACLki.
Jeśli ficzery spełniają twoje oczekiwania, to musisz tylko sprawdzać czy w wersji softu którą masz nie pojawiły się krytyczne podatności.
Musisz sprawdzać
Cisco Security Advisory: Multiple Vulnerabilities in Cisco ASA 5500 Series Adaptive Security Appliances
Dla przykładu lista ostatnich podatności.
LINK
Czyli jak masz jakies vpn to musisz podniesc soft minimum do 8.0(5.1) itp,
Ciekawe podatnosci udokumentowano np we wczesniejszym biuletynie
LINK
Jak widzisz atakujacy generujac pakiet tcp mogl spowodować reload urządzenia.
Podatność we wszystkich rodzinach softu od 7.0 od 8.3
Musisz sprawdzać
Cisco Security Advisory: Multiple Vulnerabilities in Cisco ASA 5500 Series Adaptive Security Appliances
Dla przykładu lista ostatnich podatności.
LINK
Czyli jak masz jakies vpn to musisz podniesc soft minimum do 8.0(5.1) itp,
Ciekawe podatnosci udokumentowano np we wczesniejszym biuletynie
LINK
Jak widzisz atakujacy generujac pakiet tcp mogl spowodować reload urządzenia.
Podatność we wszystkich rodzinach softu od 7.0 od 8.3
"Trust no one"
Dziękuję wszystkim za cenne uwagi
Migracja do wersji 8.2(3) zakończyła się sukcesem.
Na chwilę obecną jak widzę w logach mam tylko jeden problem do rozwiązania:
1 Sep 07 2010 09:16:18 0.0.0.0 0.0.0.0 Deny HOPOPT reverse path check from 0.0.0.0 to 0.0.0.0 on interface Inside
1 Sep 07 2010 09:16:18 0.0.0.0 0.0.0.0 Deny HOPOPT reverse path check from 0.0.0.0 to 0.0.0.0 on interface Inside
1 Sep 07 2010 09:16:18 0.0.0.0 0.0.0.0 Deny HOPOPT reverse path check from 0.0.0.0 to 0.0.0.0 on interface Inside
Pytaliście dlaczego chcę migrować z 8.0 do 8.2.
W skrócie powiem, ze nasza ASA miała problemy z obsługą pamięci.
Po upgrade pamięci do 1GB i zmianie softu do 8.2(3) śmiga aż miło!
Migracja do wersji 8.2(3) zakończyła się sukcesem.
Na chwilę obecną jak widzę w logach mam tylko jeden problem do rozwiązania:
1 Sep 07 2010 09:16:18 0.0.0.0 0.0.0.0 Deny HOPOPT reverse path check from 0.0.0.0 to 0.0.0.0 on interface Inside
1 Sep 07 2010 09:16:18 0.0.0.0 0.0.0.0 Deny HOPOPT reverse path check from 0.0.0.0 to 0.0.0.0 on interface Inside
1 Sep 07 2010 09:16:18 0.0.0.0 0.0.0.0 Deny HOPOPT reverse path check from 0.0.0.0 to 0.0.0.0 on interface Inside
Pytaliście dlaczego chcę migrować z 8.0 do 8.2.
W skrócie powiem, ze nasza ASA miała problemy z obsługą pamięci.
Po upgrade pamięci do 1GB i zmianie softu do 8.2(3) śmiga aż miło!
Jarek
Sprawdz routing - ewentualnie wywal unicast RPF (nie sugeruje)jarek pisze:Dziękuję wszystkim za cenne uwagi
Migracja do wersji 8.2(3) zakończyła się sukcesem.
Na chwilę obecną jak widzę w logach mam tylko jeden problem do rozwiązania:
1 Sep 07 2010 09:16:18 0.0.0.0 0.0.0.0 Deny HOPOPT reverse path check from 0.0.0.0 to 0.0.0.0 on interface Inside
1 Sep 07 2010 09:16:18 0.0.0.0 0.0.0.0 Deny HOPOPT reverse path check from 0.0.0.0 to 0.0.0.0 on interface Inside
1 Sep 07 2010 09:16:18 0.0.0.0 0.0.0.0 Deny HOPOPT reverse path check from 0.0.0.0 to 0.0.0.0 on interface Inside
Pytaliście dlaczego chcę migrować z 8.0 do 8.2.
W skrócie powiem, ze nasza ASA miała problemy z obsługą pamięci.
Po upgrade pamięci do 1GB i zmianie softu do 8.2(3) śmiga aż miło!
"logs indicates that ASA has received a packet
with the source ip for which it does not have a route for and it assumes that it as an
attack."
-
- newbie
- Posty: 1
- Rejestracja: 10 wrz 2010, 20:10
Szczerze polecam upgrade do 8.3(2)
Po pierwsze sugeruje wcześniej zapoznać się z Release Notes.
http://www.cisco.com/en/US/partner/prod ... _list.html
a dokładnie z
http://www.cisco.com/en/US/partner/docs ... arn83.html
To co jest power nowej ASA to Interface-Independent Access Policies oraz NAT Simplification
Choć to drugie to koszmar wdrożeniowy, jesli ktoś stosował grupy to w ramach migracji asa potrafi wygenerować iloczyn kartezjański reguł.
Jednak jak już się przebrnie przez migracje to możliwość umiejętnego użycia Global ACL to po prostu rewelacja.
To samo z NAT, na początku trzeba zmienić paradygmat ale później....
Co do problemow z klientami RAS to ciekawe, jednak sugeruje przejsc na SSL Any connect, szczególnie że Essensial kosztuje grosze.
Praktycznie po wdrożeniu 8.3.2 czułem się jak za starych dobrych czasów na Checkpoint.
Jeszcze gdyby tylko zaimplementowali Policy Based Routing....
Po pierwsze sugeruje wcześniej zapoznać się z Release Notes.
http://www.cisco.com/en/US/partner/prod ... _list.html
a dokładnie z
http://www.cisco.com/en/US/partner/docs ... arn83.html
To co jest power nowej ASA to Interface-Independent Access Policies oraz NAT Simplification
Choć to drugie to koszmar wdrożeniowy, jesli ktoś stosował grupy to w ramach migracji asa potrafi wygenerować iloczyn kartezjański reguł.
Jednak jak już się przebrnie przez migracje to możliwość umiejętnego użycia Global ACL to po prostu rewelacja.
To samo z NAT, na początku trzeba zmienić paradygmat ale później....
Co do problemow z klientami RAS to ciekawe, jednak sugeruje przejsc na SSL Any connect, szczególnie że Essensial kosztuje grosze.
Praktycznie po wdrożeniu 8.3.2 czułem się jak za starych dobrych czasów na Checkpoint.
Jeszcze gdyby tylko zaimplementowali Policy Based Routing....