TUTO (Cisco) : Mise à jour ASA5505

Réalisant pas mal de tutoriaux dans le cadre de mon taff je me suis décider à les mettre en lignes, peut-être aiderons t’il certain d’entre veux, ou peut être pas, enfin ça aura toujours de l’intérêt je pense, j’essaierai dans la mesure du possible d’assurer un support sur ce que je sais, mais je n’est pas la prétention d’en savoir énormément donc ne m’en voulez pas si je ne peut pas répondre a toutes vos question. Les tutoriaux seront organiser de la façon suivante : une bref rappel du problème en extrait et la partie complète en complément du billet, j’essaierai aussi de fournir les supports pdf en fichier joint. apparté terminée passons à la suite 😉

Il y’a quelque jours j’ai due procéder à la mise à jour de toute une batterie d’ASA5505 de chez cisco, en fait le problème venait du fait que l’ASDM (Cisco Adaptive Security Device Manager) n’était plus joignable si l’on ne disposait pas d’une version complètement obsolète de JAVA. Alors oui je sais c’est mal d’utiliser l’ASDM, l’interface web c’est de la merde NANANANANA mais bon aller …

CiscoSystems.gif

Ces mises à jour ne sont pas forcement nécessaire, mais dans mon cas j’ai du mettre à jour l’ASDM pour pouvoir l’utilisé avec n’importe quelle version de JAVA. En effet la version 6.02 nécessitait une version totalement obsolète de la machine JAVA. Pour récupérer les fichiers nécessaires à la mise à jour vous devrez vous connecter au site de Cisco.

Dans cet exemple je cherche à mettre à jour:

• le système interne de l’ASA : asa821-11-k8.bin
• l’asdm (device manage/interface web) : asdm-621.bin

Il vous faudra connecter votre ASA par câble console, en HyperTerminal en suivant les paramètres de connexion suivants :

connexion_cisco.png

Une fois la connexion établie nous allons tout d’abord vérifier la version asdm/asa utilisée sur votre système : Tout d’abord passez en mode enable :

ciscoasa> en

Puis pour afficher la version actuelle de votre système :

ciscoasa# show version
Cisco Adaptive Security Appliance Software Version 7.2(3)
Device Manager Version 5.2(3)
Compiled on Wed 15-Aug-07 16:08 by builders
System image file is “disk0:/asa723-k8.bin”
Config file at boot was “startup-config”
ciscoasa up 1 min 48 secs
Hardware: ASA5505, 256 MB RAM, CPU Geode 500 MHz
Internal ATA Compact Flash, 128MB
BIOS Flash M50FW080 @ 0xffe00000, 1024KB
Encryption hardware device : Cisco ASA-5505 on-board accelerator (revision 0x0)
Boot microcode : CNlite-MC-Boot-Cisco-1.2
SSL/IKE microcode: CNlite-MC-IPSEC-Admin-3.03
IPSec microcode : CNlite-MC-IPSECm-MAIN-2.04
0: Int: Internal-Data0/0 : address is 001f.ca8c.8de1, irq 11
1: Ext: Ethernet0/0 : address is 001f.ca8c.8dd9, irq 255
2: Ext: Ethernet0/1 : address is 001f.ca8c.8dda, irq 255
3: Ext: Ethernet0/2 : address is 001f.ca8c.8ddb, irq 255
4: Ext: Ethernet0/3 : address is 001f.ca8c.8ddc, irq 255
5: Ext: Ethernet0/4 : address is 001f.ca8c.8ddd, irq 255
6: Ext: Ethernet0/5 : address is 001f.ca8c.8dde, irq 255
7: Ext: Ethernet0/6 : address is 001f.ca8c.8ddf, irq 255
8: Ext: Ethernet0/7 : address is 001f.ca8c.8de0, irq 255
9: Int: Internal-Data0/1 : address is 0000.0003.0002, irq 255
10: Int: Not used : irq 255
11: Int: Not used : irq 255
Licensed features for this platform:
Maximum Physical Interfaces : 8
VLANs : 3, DMZ Restricted
Inside Hosts : 10
Failover : Disabled
VPN-DES : Enabled
VPN-3DES-AES : Enabled
VPN Peers : 10
WebVPN Peers : 2
Dual ISPs : Disabled
VLAN Trunk Ports : 0
This platform has a Base license.
Serial Number: JMX1213Z2LR
Running Activation Key: 0xee114051 0x9c62615b 0xdc30d9cc 0x8af0ccc0 0x48338299
Configuration register is 0x1
Configuration has not been modified since last system restart.
ciscoasa#

Comme on peut le voir ici la version du système utilisé est asa723-k8.bin

Ensuite pour voir la version de l’ASDM utilisé :

ciscoasa# show asdm image
Device Manager image file, disk0:/asdm-523.bin

Ici la version de l’ASDM utilisée est asdm-523.bin

Pour pouvoir transmettre les fichiers à l’ASA nous allons utiliser un serveur TFTP, personnellement j’utilise tftpd32 disponible gratuitement. Puis nous allons configuré l’interface VLAN1 de l’asa pour établir une connexion DHCP avec notre serveur afin que le poste et l’ASA soit dans le même réseau. (Cette étape n’est pas forcement nécessaire il vous suffit de mettre votre IP en fixe sur votre poste avec une configuration compatible avec l’ASA)

ciscoasa# show ip address
System IP Addresses:
Interface Name IP address Subnet mask
Method
Vlan1 inside 192.168.1.1 255.255.255.0
CONFIG
Vlan2 outside unassigned unassigned
DHCP
Current IP Addresses:
Interface Name IP address Subnet mask
Method
Vlan1 inside 192.168.1.1 255.255.255.0
CONFIG
Vlan2 outside unassigned unassigned
DHCP
ciscoasa#

Par défaut l’interface VLAN1 à pour adresse 192.168.1.1 nous allons changer ce paramètre pour la mettre en client DHCP. Attention, par défaut un serveur DHCP tourne sur l’interface VLAN1 pour fournir des IP à vos poste il faudra le désactiver pour devenir client DHCP.

Passez en configure terminal :

ciscoasa# configure terminal
ciscoasa(config)#

On coupe le serveur DHCP sur l’Inside (VLAN1) :

ciscoasa(config)# no dhcpd enable inside

On passe en conf d’interface :

ciscoasa(config)# interface vlan1
ciscoasa(config-if)#

On active le mode client DHCP pour l’Inside :

ciscoasa(config-if)# ip address dhcp setroute
ciscoasa(config-if)#

On sauvegarde les modifications :

ciscoasa(config-if)# copy running-config startup-config

Et on reload:

ciscoasa(config)# reload
Proceed with reload? confirm

Une fois redémarrer vous devriez obtenir une IP sur l’un des port du VLAN1 (port 1-8) par défaut

ciscoasa(config)# show ip address
System IP Addresses:
Interface Name IP address Subnet mask
Method
Vlan1 inside 10.1.0.73 255.255.0.0
DHCP
Vlan2 outside unassigned unassigned
DHCP
Current IP Addresses:
Interface Name IP address Subnet mask
Method
Vlan1 inside 10.1.0.73 255.255.0.0
DHCP
Vlan2 outside unassigned unassigned
DHCP
ciscoasa(config)#

Une fois l’ip obtenu et que vous parvenez à pinger entre votre poste et l’ASA il vous reste plus qu’a utiliser le transfert TFTP.

ciscoasa(config)# copy tftp: disk0:
Address or name of remote host 10.1.20.2?
Source filename asa821-11-k8.bin?
Destination filename asa821-11-k8.bin?

Accessing tftp://10.1.20.2/asa821-11-k8.bin…!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!
Writing file disk0:/asa821-11-k8.bin…
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
15925248 bytes copied in 191.870 secs (83378 bytes/sec)
ciscoasa(config)#

Et de même pour asdm-621.bin

ciscoasa(config)# copy tftp: disk0:

Address or name of remote host 10.1.20.2?

Source filename asa821-11-k8.bin? asdm-621.bin

Destination filename asdm-621.bin?

Accessing tftp://10.1.20.2/asdm-621.bin…
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asdm-621.bin…
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
11348300 bytes copied in 138.150 secs (82234 bytes/sec)
ciscoasa(config)#

ciscoasa(config)# boot system disk0:/asa821-11-k8.bin
ciscoasa(config)# asdm image disk0:/asdm-621.bin

On sauvegarde le tout et on reload :

ciscoasa(config)# write memory
Building configuration…
Cryptochecksum: f2481fdf b1146157 eb744980 c332be56

2021 bytes copied in 1.640 secs (2021 bytes/sec)
OK
ciscoasa(config)#

On active le serveur http pour notre réseau interne (l’ASDM ne sera joignable que par ce réseau et en interne)

ciscoasa(config)# http server enable
ciscoasa(config)# http 10.1.0.0 255.255.0.0 inside

L’ASDM doit désormais être opérationnel ainsi que le serveur http:

//adresse-ip-ASA

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.