Re: ASA UPGRADE 5555 VPN Client Load Balancing

gustavosamuel · ‎01-16-2020

Hola, tengo dos ASA 5555 con vpn Load Balancing y los voy a upgradear a la vs 9.8.4.15, alguien puede decirme si hay alguna recomendacion que sea necesario saber a fin de que al momento de hacer el upgrade no haya afectacion en los clientes conectados? ademas de un istructivo actualozado para su realizacion.

agradezco cualquier sugerencia, recomendacion y tip.

Gracias!!

Julio E. Moisa · ‎01-16-2020

Hola Gustavo,

Si, debes revisar el siguiente enlace y verificar el path para evitar problemas en la configuracion, te comparto el enlace:

https://www.cisco.com/c/en/us/td/docs/security/asa/upgrade/asa-upgrade/planning.html

Al final veras las versiones que debes actualizar antes de llegar a la que deseas.

Espero esto consteste tu pregunta.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

gustavosamuel · ‎01-17-2020

Hola Julio gracias por tu respuesta, se que estoy saltando al path correcto en cuanto a la version, pero mi pregunta es mas bien dirigida a alguna especificacion especial por la configuracion de load balancing, como upgradearlos? si empezar por el de backup y luego el master? si primero quitar el comando "participate" etc..

No encontre documentacion especifica.

Gracias por tu tiempo!

Saludos

Julio E. Moisa · ‎01-17-2020

Hola Gustavo,

Comprendo, para una configuración active - active (ambos firewalls tienen las mismas contextos pero un firewall es el primario para unas redes y el backup es el primario para otras redes y viceversa los backups) no habría mucho problema, ya que se manejan contextos por separado firewall, ahora bien si quieres paz mental en el momento de la actualizacion haz lo siguiente:

Desconectar el cluster y desconectar de la red el backup, verificar que ambos firewalls tengan la misma configuracion y cargarles a cada uno la imagen, actualizar el primario y verificar que todo funcione correctamente, (ahora, puedes desconectar el primario y conectar el secundario a la red y actualizarlo sino haz lo siguiente via consola) luego aislado configurar el backup, por ultimo volver a conectar el cluster y verificar los roles y funcionamiento.

Si tus firewalls tienen un cluster de active-standby, puedes tambien hacer lo siguiente sin romper el cluster:

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/111867-asa-failover-upgrade.html#zerotime

Saludos.

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

gustavosamuel · ‎01-17-2020

Julio, esta es parte de la config, uno con prioridad 7 y el otro 8, pero no estan cluster, se refiere a quitar la config con "no vpn load-balancing" ?

VPNXX# sh cluster info
Clustering is not configured

VPNXX# sh failover
Failover Off
Failover unit Secondary
Failover LAN Interface: not Configured

sh run:

vpn load-balancing
redirect-fqdn enable
priority 7
cluster key *****
cluster ip address 10.1.2.3
cluster encryption
participate

Julio E. Moisa · ‎01-17-2020

Las prioridades son utilizadas para detectar por medio de ARP el master, en este caso puedes hacer las actualizaciones de manera individual y aislando uno de los equipos para ver el comportamiento despues de actualizado.

Saludos.

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

gustavosamuel · ‎01-17-2020

Julio, entonces de cualquier manera tendria una breve desconexion que afectaria a los usuarios activos verdad?