FWSM为了做Failover降级License实录

 在一次实际的工作中遇到两块防火墙模块的license不同，无法实现防火墙的failover。为了解决这个问题进行了一下尝试：

1、没有license的FWSM的Active-key为八组0x00000000,而有license的FWSM为相应的激活key,所以尝试使用八组0x00000000作为系统的Actice-key来还原FWSM的license

2、修改65系列交换机或者76系列路由器的防火墙模块的启动参数，使用防火墙的不同分区来完成license的降级

 

首先在测试的65上使用show boot device module X 来查看和确认当前FWSM使用的那个分区启动的，发现交换机的IOS不支持上述命令，后续需要升级IOS来解决这个问题；然后尝试第一种方法来进行FWSM的license降级操作，发现无法使用八组0x00000000来进行license的降级处理。

 

然后对两台65交换机进行了IOS版本的升级，然后使用show boot device module X命令查看和确认当前FWSM的启动分区

Router#show boot device module 6

[mod:6]

从而确认交换机第六槽位的FWSM使用默认的第四个分区启动的，然后使用boot device module X cf:5命令强制交换机使用第五个分区来启动FWSM，然后使用hw-module module X reset重新引导FWSM板卡启动，然后不断的使用show module 命令查看交换机所有板卡的状态，发现FWSM始终处于unknown状态无法正常启动；删除交换机的boot device module X cf:5的配置，然后重新插拔FWSM，发现不久后FWSM处于Online状态，可以正常工作。将另外一台笔记本连接至FWSM的Console口，然后重新配置交换机使用cf:5分区来启动FWSM，在console口上发现FWSM停止在BIOS的启动画面，后续无法完成设备的启动，经过分析认为是FWSM的cf:5分区的OS文件损坏导致FWSM无法正常启动，后续需要对cf:5分区进行OS的升级操作。

 

首先给配置交换机的vlan1配置地址，然后让交换机从cf:1分区启动FWSM从而进入FWSM的维护模式。在FWSM的维护模式下使用root账户登录，默认密码为cisco；然后使用ip address x.x.x.x y.y.y.y进行IP地址的配置，并需要确认该地址与交换机的VLAN1处于同一IP地址段，然后使用ip gateway Z.Z.Z.Z将网关设置在交换机的vlan 1的地址上，从而保证FWSM与交换机的通讯正常；然后在电脑连接至交换机上属于VLAN1的接口上，同时配置IP地址和开启FTP服务；最后使用upgrade ftp://[user[:password]@]server[/path]/filename cf:5完成OS的升级，同时使用logout退出FWSM的控制台。

 

完成上述OS升级后再次让交换机从cf:5分区启动FWSM，当FWSM模块重新启动完成后登陆至FWSM模块的控制台使用show version命令查看FWSM的license，发现FWSM的license降级成功，然后再次比对两块FWSM的license，发现其Max interface的数量不一致，但是经过测试，该参数不会影响FWSM的failover.