cisco ASA ios升级或恢复

　　cisco ASA ios升级或恢复
　　一、升级前准备工作
　　1、准备好所要升级的IOS文件及对应的ASDM文件
　　2、在一台电脑上架设好tftp，设置好目录，与防火墙进行连接（假设电脑IP为192.168.1.2）
　　二、升级步骤
　　1、telnet上ASA
　　ASA>en                  //进入特权模式
　　ASA#conft                 //进入配置模式
　　2、查看ASA上的文件、版本信息及启动文件
　　ASA(config)#dir           //查看asa上的文件
　　Directoryof disk0:/
　　4879   -rw- 8202240   19:18:10 Nov 16 2011   asa721-k8.bin
　　2391   -rw- 5539756   00:43:38 Nov 05 2007   asdm521.bin
　　4842   drw- 0         18:51:24 Nov 16 2011   log
　　4843   drw- 0         18:51:36 Nov 16 2011   crypto_archive
　　255426560bytes total (215465984 bytes free)
　　CISCOASA(config)#show ver      //查看版本信息及启动文件
　　CiscoAdaptive Security Appliance Software Version 7.2(1)
　　DeviceManager Version 5.2(1)
　　。。。。。
　　Systemimage file is "disk0:/asa721-k8.bin" //这就是启动文件和路径
　　。。。。。
　　3、备份ASA上现存版本文件、ASDM文件及配置信息
　　ASA(config)#copydisk0:/asa721-k8.bin tftp://192.168.1.2/asa721-k8.bin
　　//将原有IOS文件备份到TFTP服务器上
　　ASA(config)#copy disk0:/asdm521.bin tftp://192.168.1.2/asdm521.bin
　　//将原有asdm文件备份到TFTP服务器上
　　showrun
　　//显示当前的配置，将此配置复制后备份下来，以免操作失误导致配置丢失
　　4、将要更新版本文件及ASDM文件上传到tftp
　　ASA(config)#copy tftp://192.168.1.2/asa821-k8.bin disk0:/asa821-k8.bin
　　//将新的IOS文件从TFTP服务器上拷贝到ASA中
　　ASA(config)#copy tftp://192.168.1.2/asdm-621.bin disk0:/asdm-621.bin
　　//将新的IOS文件从TFTP服务器上拷贝到ASA中
　　ASA(config)#dir      //再次显示目录，检查文件是否拷贝成功
　　5、设置启动文件及ASDM
　　ASA(config)#no boot system disk0:/asa721-k8.bin  //取消之前的启动IOS
　　ASA(config)#boot system disk0:/asa821-k8.bin     //设置新的启动IOS
　　ASA(config)#asdm image disk0:/asdm621.bin        //设置新的ASDM
　　DeviceManager image set, but not a valid image file disk0:/asdm-621.bin
　　//由于新的IOS文件在重新启动前并未生效，所以会提示新的ASDM镜像在设置关联的时候会提示无效。
　　ASA(config)#exit
　　ASA# wr         //保存配置

　　ASA#>　　三、升级失败后的处理措施
　　当升级操作失败导致防火墙flash被erase后，设备会因为找不到启动文件而不断地重启
　　1、进入监控模式
　　在设备启动时会有提示按某个键进入监控模式。如下：
　　Use BREAK or ESC to interrupt boot.
　　Use SPACE to begin boot immediately.
　　按“ESC”键进入监控模式。
　　rommon #1>
　　2、设置ASA
　　升级IOS需要对ASA进行一些简单的设置，如设置设备的地址、设置tftp服务器的地址、设置IOS软件的文件名、sync保存、用ping命令测试与tftpserver的连通性、最后执行命令tftpdnld，软件开始装入。
　　注意：在监控模式下我们需要将电脑和ASA5510的管理接口相连，IP地址也是为管理接口设置的。
　　rommon #2> ADDRESS=192.168.1.1（路由器地址）
　　rommon #3> GATEWAY=192.168.1.2（默认网关，设置为本机地址即可）
　　rommon #4> IMAGE=asa821-k8.bin（指定IOS文件名）
　　rommon #5> SERVER=192.168.1.2（TFTP SERVER 地址，即本机地址）
　　rommon #6>
　　rommon #6> sync
　　Updating NVRAM Parameters...
　　rommon #7> ping 192.168.1.2
　　Link is UP
　　Sending 20, 100-byte ICMP Echoes to 192.168.1.2, timeout is 4 seconds:
　　?!!!!!!!!!!!!!!!!!!!
　　Success rate is 95 percent (19/20)
　　3、执行tftpdnld命令
　　执行后显示如下：
　　rommon #8> tftpdnld
　　ROMMON Variable Settings:
　　ADDRESS=192.168.1.1
　　SERVER=192.168.1.
　　GATEWAY=192.168.1.2
　　PORT=Management0/0
　　VLAN=untagged
　　IMAGE=asa821-k8.bin
　　CONFIG=
　　LINKTIMEOUT=20
　　PKTTIMEOUT=4
　　RETRY=20
　　tftp asa821-k8.bin@192.168.1.2 via 192.168.1.2
　　!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
　　4、将IOS上传到ASA
　　此时IOS还没有装入ASA，而是从tftp引导启动设备。这一点当设备启动完毕后可以用show version命令看到：
　　System image file is "tftp://192.168.1.2/asa821-k8.bin"
　　启动完毕后需要将tftp server连接到除管理接口以外的其它接口，然后再升级IOS
　　注意：必须要将接口配置成 inside口
　　ASA#conf t
　　ASA(config)#int e0/0
　　ASA(config-if)#nameif inside
　　ASA(config-if)#ip add 192.168.1.1 255.255.255.0
　　ASA(config-if)#no sh
　　ASA#ping 192.168.1.2
　　通后就可以升级IOS了
　　ASA#copy tftp: flash:
　　Tftp server IP address：192.168.1.2
　　Source file name:asa821-k8.bin
　　Destination file name:asa821-k8.bin
　　到这一步并没有结束，此时还需要进行boot system的设置
　　使用命令
　　ASA(config)#boot system disk0：/asa821-k8.bin
　　ASA(config)#asdm image disk0：/asdm-621.bin
　　ASA(config)#wr
　　然后reload一下就可以了
　　重启之后在dir查看一下，基本上就大功告成了。
　　IOS恢复以后呢还需要将图形界面管理软件拷贝到ASA，和copy IOS的命令是一样的。