Cisco ASA via TFTP starten

17Cisco-Geräte starten üblicherweise von einer Firmwaredatei, welche auf einem internen Flash-Laufwerk gespeichert ist. Ist der Flash beschädigt oder möchte man nur temporär eine andere Version testen kann es nützlich sein einen anderen Weg einzuschlagen: Über den eingebauten Bootmanager, auch ROMMON genannt, lässt sich eine Firmwaredatei von einem TFTP-Server starten.

Als Voraussetzung sollte im Netz ein TFTP-Server vorbereitet und eine gültige ASA-Firmware dort hinterlegt sein. Unter Windows kann hierzu z.B. TFTPD32 verwendet werden. Auch muss bereits eine serielle Verbindung per COM (9600-8N1) oder USB-Kabel und einem Terminalclient wie PuTTy hergestellt werden.

Um den Bootloader zu starten wird während des Hochfahrens auf die Ausgabe der seriellen Schnittstelle geachtet. Hier erscheint nach kurzer Zeit ein entsprechender Hinweistext mit 10-Sekunden-Countdown. Durch drücken der ESC-Taste lässt sich der Start unterbrechen und in den Bootloader wechseln.

Cisco Systems ROMMON Version xxxxxx
Use BREAK or ESC to interrupt boot.Use SPACE to begin boot immediately.
Boot in 10 seconds.
                                                
Boot interrupted.

Management0/0
Link is DOWN
MAC Address: xxxxxx


Use ? for help.

Als nächstes muss die lokale IP (hier .10), die IP des TFTP-Servers (hier .11) und ein Gateway festgelegt werden. Befinden sich TFTP-Server und Router im selben Netz ist als Gateway der TFTP-Server und nicht der lokale Router einzutragen. Es folgen der Dateiname der Imagedatei und – wenn die Verbindung nicht über den Management-Port hergestellt werden soll – die Passende Netzwerkschnittstelle.

rommon #0> ADDRESS=192.168.0.10
rommon #1> SERVER=192.168.0.11
rommon #2> GATEWAY=192.168.0.11
rommon #3> IMAGE=asa962-smp-k8.bin
rommon #4> PORT=GigabitEthernet0/1
GigabitEthernet0/1
Link is UP
MAC Address: xxxxxx

rommon #5>

Um sicherzugehen, dass alle Einstellungen korrekt sind lassen sich mit set nochmal alle Parameter prüfen.

rommon #5> set
ROMMON Variable Settings:
  ADDRESS=192.168.0.10
  SERVER=192.168.0.11
  GATEWAY=192.168.0.11
  PORT=GigabitEthernet0/1
  VLAN=untagged
  IMAGE=asa962-smp-k8.bin
  CONFIG=
  LINKTIMEOUT=20
  PKTTIMEOUT=4
  RETRY=20

Um den das Laden und Starten der Datei einzuleiten gibt man schlussendlich tftp ein.

rommon #6> tftp
ROMMON Variable Settings:
  ADDRESS=192.168.0.10
  SERVER=192.168.0.11
  GATEWAY=192.168.0.11
  PORT=GigabitEthernet0/1
  VLAN=untagged
  IMAGE=asa962-smp-k8.bin
  CONFIG=
  LINKTIMEOUT=20
  PKTTIMEOUT=4
  RETRY=20

tftp asa962-smp-k8.bin@192.168.0.11 via 192.168.0.11
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
[...]
Received 89837568 bytes

Launching TFTP Image...

Execute image at 0x14000
Cisco Security Appliance admin loader xxxxxx
Platform ASAxxxx

Loading...
IO memory blocks requested from bigphys 64bit: xxxxxx

INIT: version 2.88 bootingStarting udev
Configuring network interfaces... done.
Populating dev cache
dosfsck 2.11, 12 Mar 2005, FAT32, LFN
[...]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert