rằng activation key đang chạy trong hệ thống không tác động đến các version cao hơn trước khi cài đặt version thấp hơn . Nếu có thì ta cần phải thay đôỉ activation key đó cho thích hợp với version thấp hơn trước khi cài đặt và reboot . Nếu không hệ thống có thể không cho phép ta reload lại sau khi đã cài đặt software mới . 4. Password recovery : Để vào chế độ enable trong PIX , cần phải biết password . Password được lưu trong PIX sử dụng mã hóa MD5 , không phải ở dạng clear-text . Trong trường hợp quên hoặc mất password console hoặc telnet vào PIX , giống như hầu hết các sản phẩm của Cisco , PIX cũng cung cấp các thủ tục để khôi phục password . Không giống như Cisco router là khôi phục password bằng cách thay đổi thanh ghi cấu hình , PIX sử dụng một phương pháp khác . Khôi phục password có thể được thực hiện trên PIX firewall bằng cách sử dụng một file khôi phục password đặc biệt . Thực hiện khôi phục password a trên PIX không có xóa cấu hình , chỉ có xóa password . Phụ thuộc vào | các dòng sản phẩm của PIX mà ta có các phương pháp khôi phục password khác nhau . Thủ tục khôi phục pasword trong PIX bằng đĩa mềm khác với khôi phục password ở các thiết bị PIX không có đĩa . Sự khác nhau ở đây là PIX sẽ boot như thế nào với file mà ta sử dụng trong quá trình đó . Đối với PIX có đĩa mềm sẽ boot từ đĩa , còn những PIX không có đĩa (diskless) sẽ boot từ TFTP server . Bên cạnh binary file cần cho khôi phục password , ta còn cần các thành phần sau : - Laptop hoặc là PC - Terminal-emulating software - TFTP software (cần cho các pix boot từ tftp) - Công cụ rawrite.exe (cần cho các pix có đĩa mềm để tạo đĩa boot) a. Khôi phục password cho các PIX 506 , 515 , 525 , 535 bằng TFTP Khôi phục password cho các model này (các model không có đĩa mềm) cần phải có TFTP server . Quá trình khôi phục như sau : Bước 1 : download file npxx.bin với xx là version OS đang chạy trong PIX . Ví dụ PIX đang chạy version 5.3(1) (biết được bằng cách show version) thì file cần down là np53.bin ?Note : file np53.bin làm việc với tất cả các PIX OS 5.3(x) . Bước 2 : chép file đó vào máy có cài TFTP server Bước 3 : reboot PIX firewall , sau khoảng 10giây trong quá trình reboot . Nhấn nút Escape hoặc Ctrl – Break để ngắt quá trình reboot , đưa Pix vào chế độ monitor monitor> Bước 4 : chỉ ra interface của PIX firewall dùng cho TFTP . Để sử dụng interface inside , dùng câu lệnh sau : monitor > interface 1 Bước 5 : chỉ ra địa chỉ của interface PIX firewall monitor> address ip_address Bước 6 : chỉ ra default gateway (điều này chỉ cần thiết trong trường hợp có mô hình là pix-router-TFTP server ) monitor> gateway ip_address Bước 7 : chỉ ra địa chỉ của TFTP server monitor>server ip_address_server Bước 8 : kiểm tra kết nối đển TFTP server bằng cách ping đến TFTP server monitor> ping ip_address_server Bước 9 : chỉ ra filename của file dùng để khôi phuc password mà ta đã download trước đó monitor> file npxx.bin Bước 10 : khởi động chương trình TFTP . monitor> tftp b. khôi phục password cho các pix 510 , 520 bằng đĩa mềm : Bước 1 : Download file npxx.bin (với xx là version của OS đang chạy trong PIX ) . Bước 2 : Chép file rawrite.exe vào cùng đường dẫn với OS version password mà ta đã download trước đó . Bước 3 : Sau khi đã có được 2 file này , mở MS-DOS Window : C :\> rawrite Bước 4 : Reboot PIX firewall với đĩa mềm mà ta vừa tạo ra . Khi có dấu nhắc xuất hiện , sử dụng y để xóa password : Do you wish to erase the passwords? [yn] y Hệ thống sẽ tự động xóa password và bắt đầu reboot . 5. Nâng cấp Cisco PIX OS : Có 3 thủ tục để nâng cấp PIX OS , và việc sử dụng thủ tục nào là do PIX OS đang chạy trong PIX và PIX model quyết định . - Có thể sử dụng copy tftp flash command ( đối với các PIX sử dụng software version 5.1 trở về sau thực hiện command này ở mode privileged ) - Nâng cấp OS ở monitor mode . Thủ tục này giống như thủ tục trên nhưng chỉ khác ở mode mà ta sử dụng khi copy file từ tftp server . Đối với các thiết bị PIX không có đĩa mềm bên trong (501 ,506 , 515 , 525 , 535 ) sẽ thực hiện nâng cấp image từ monitor mode . Đối với các PIX sử dụng version 5.0 trở về trước cần có một đĩa boothelper để tạo ra boothelper mode , tương tự như ROM monitor mode - PIX firewall version 6.2 dùng HTTP client cho phép ta sử dụng câu lệnh copy để lấy thông tin cấu hình , software image , hay là Cisco PDM software từ HTTP server . a. Nâng cấp OS sử dụng copy tftp flash command Bước 1 : Download file pixnnx.bin ( file binary software image , với nn là version number , x là release number . Và chép file này vào tftp server Bước 2 : sử dụng copy tftp flash command Bước 3 : nhập địa chỉ IP của tftp server Bước 4 : nhập source filename (file ta vừa download) Bước 5 : nhập Yes để tiếp tục b. Nâng cấp OS sử dụng monitor mode Nếu PIX được nâng cấp từ version 5.0x hoặc trước đó lên version 5.1x trở về sau , cần sử dụng phương pháp boothelper mode hoặc là monitor mode . Bởi vì các version trước 5.1 , PIX firewall software không có hỗ trợ copy tftp flash command Các bước để nâng cấp PIX firewall sử dụng monitor mode : Bước 1 : download binary software image file pixnnx.bin và chép file này vào tftp server . Bước 2 : reload lại PIX , nhấn Esc key (hoặc là nhấn Break) để vào monitor mode . Đối với PIX firewall chạy version 5.0 trở về trước thì sử dụng boothelper mode Bước 3 : sử dụng interface command để chỉ ra PIX interface nào mà TFTP server kết nối đến . Mặc định là interface 1 (inside) monitor> interface num Bước 4 : chỉ ra địa chỉ của interface monitor> address ip_address Bước 5 : chỉ ra default gateway (nếu cần) monitor> gateway ip_address Bước 6 : chỉ ra địa chỉ tftp server monitor> server ip_address Bước 7 : kiểm tra kết nối đến tftp server monitor>ping server_address Bước 8 : chỉ ra image filename : monitor> file name_file Bước 9 : bắt đầu quá trình tftp monitor> tftp Bước 10 : Khi xuất hiện prompt , gõ y để cài đặt image mới đến Flash . Bước 11 : PIX firewall reboot và bắt đầu install image mới ?Note : Từ monitor hay boothelper mode , pix không sử dụng với Gigabit Ethernet 6. LAB : Scenario : Error! Bài 1 : Upgrade image từ monitor mode Trong bài này ta sẽ thực hiện nâng cấp image từ monitor mode theo thứ tự các bứơc đã đưa ra ở phần trước . Trước khi nâng cấp image , sử dụng show version command để xem version mà pix đang chạy , xem serial number và activation key . ?Note : Để bảo đảm an toàn , ta sẽ sử dụng lại image mà PIX đang chạy để thực hiện bài lab này pixfirewall# sh version Cisco PIX Firewall Version 6.3(1) Cisco PIX Device Manager Version 3.0(1) Compiled on Wed 19-Mar-03 11:49 by morlee pix up 27 mins 25 secs Hardware: PIX-506E, 32 MB RAM, CPU Pentium II 300 MHz Flash E28F640J3 @ 0x300, 8MB BIOS Flash AM29F400B @ 0xfffd8000, 32KB 0: ethernet0: address is 000f.23ac.53f6, irq 10 1: ethernet1: address is 000f.23ac.53f7, irq 11 Licensed Features: Failover: Disabled VPN-DES: Enabled VPN-3DES-AES: Enabled Maximum Interfaces: 2 Cut-through Proxy: Enabled Guards: Enabled URL-filtering: Enabled Inside Hosts: Unlimited Throughput: Unlimited IKE peers: Unlimited This PIX has a Restricted (R) license. Serial Number: 808036792 (0x3029a9b8) Running Activation Key: 0x9a5c6f78 0x67304d0a 0xed4c2329 0x89dd199b