ASA 5550 - перезавантаження варто?


13

У мене є ASA 5550, який виконує навантаження та навантаження операцій (AnyConnect, NAT, ACL, RADIUS тощо, тощо). Він не особливо перевантажений з точки зору процесора та пам'яті, але він має тривалість роботи понад 3,5 року.

Останнім часом я намагався розгорнути ще один тунель IPSEC (через cryptomap) разом із правилом NAT Exempt, але ASA проявляє дуже дивну поведінку. Іноді, коли я додаю ACE, маса тексту спливає з нізвідки в полі опису. Незалежно від того, що я роблю, мої тести із вбудованим інструментом PacketTracer не дають очікуваних результатів (наприклад, я бачу, що пакет потрапляє в будь-яке правило будь-яке / будь-яке правило в нижній частині ACL, хоча там є спеціально налаштований ACE у верхній частині зазначеного ACL).

У всякому разі, питання таке: чи хтось насправді щось вирішував, перезавантажуючи ASA? Це не мій улюблений варіант, але з дуже дивною поведінкою я бачу, як усунення несправностей стає безрезультатним.

Відповіді:


18

Коротка відповідь: Так.

Більш довга відповідь: :-) У кожній програмі є помилки. Чим довше це працює, тим більше шансів на те, що ви збираєтеся налаштувати магазин у вашій мережі. Але до речі, чим довше пройде без перезавантаження, тим більше маленьких бітів «старої» конфігурації та / або стану залишатиметься затриманими. В IOS no interface fooнадсилатиме попередження про те, що воно не повністю знищене, і елементи конфігурації можуть з’явитися знову, якщо ви відтворите інтерфейс - це не повинно відбуватися в ASA, але в рідкісних випадках це відбувається. Я також бачив фантомні записи NAT після видалення їх з конфігурації. (що насправді є помилкою)

Маючи справу з IPSec / crypto, я виявив, що безліч божевільних може бути усунено a reload. В одному випадку (пікс 6.3.5) вона не відновить тунель VPN, поки я цього не зробив.

[ред.] Слово про перезавантаження в цілому: я схильний перезавантажувати речі просто для того, щоб переконатися, що вони стануть . Я занадто часто у мене працювали різні системи (маршрутизатори, брандмауері, сервери) протягом тривалого періоду - постійно змінюються, і коли щось закінчується, перезавантажуючи їх (як правило, відключення живлення, але "ой, неправильна машина" трапляється) рідко повертаються точно так, як було раніше ... хтось забув зробити X запуск під час завантаження, або якась дивна взаємодія деталей робить щось не запуском, як очікувалося. Зізнаюсь, це менше турбує статичні частини інфраструктури.


1
Чудова відповідь, і я повністю згоден, що вам потрібно переконатися, що ваші пристрої завантажуються, як очікувалося. Я також погоджуюся, що інколи необхідні перезавантаження (насправді це може бути єдиний звернення) і вони можуть відновити послугу швидше. Я просто натрапив на занадто багато випадків, коли перезавантаження сприймається як виправлення, а не крок для усунення поточних симптомів. Ніякого дослідження першопричини не проводиться, і не виробляється тиск на постачальника, щоб усунути проблему, якщо вона є в їх коді. Ще гіршими є випадки, в яких я натрапив, коли "перезавантаження кожного [періоду]" є постійним виправленням, коли відбувається оновлення коду до реального виправлення.
YLearn

7

Як правило, я не рекомендую перезавантаження в якості вирішення проблеми, якщо ви не знаєте, що маєте справу з помилкою, яка вводить щось на зразок витоку пам'яті або стану переповнення кешу.

Якщо ASA працює із зображенням щонайменше 3,5 років, чи перевіряли ви інструментарій помилок Cisco? Шанси полягають у тому, що будь-які помилки на платформі будуть задокументовані, і ви можете побачити, чи потрібно застосувати якийсь вигляд.

Я також рекомендую відкрити справу TAC, якщо у вас є підтримка.

Перезавантажившись, я замислююся над іншими проблемами і може дуже важко (якщо не неможливо) знайти першопричину. Зрештою, не розуміючи першопричини, ви не знаєте, що ви щось виправили, і я вважаю це дуже небезпечним, особливо на платформі "безпеки".

Наприклад, можливо, у вас є вразливість безпеки в коді, який експлуатується стороннім джерелом. Хоча перезавантаження може перервати їх зв’язок і полегшити симптоми, воно нічого не робить для вирішення проблеми.


Я згоден з вами на 100%. Очевидно, що деякі оновлення та виправлення потрібно зробити на пристрої. Я ще не повинен здійснити пошук інструментальної помилки, тому що визначити цю проблему - справа непроста - тож з чого почати пошук? Але, щоб заповнити прогалини, ця конкретна зміна буде тимчасовою, оскільки триває масштабний проект із перепроектування мережі.
BrianK

1
Здається, ти маєш гарну позицію до речей. TAC - не такий, яким він був раніше, але я завжди рекомендую випадок TAC (якщо ви до цього не звикли, інструмент помилок може бути химерним). Нехай вони дізнаються, про яку помилку йдеться, хоча вам, можливо, доведеться їх підштовхнути. Просто переконайтеся, що ви забираєте якомога більше даних перед перезавантаженням, оскільки деякі дані будуть втрачені (запущені процеси, використання пам'яті тощо). "Шоу-тех" повинен отримати більшу частину того, що вам потрібно на платформі Cisco.
YLearn

3

Як вже згадувалося, проблеми з управлінням ризиками та вразливістю повинні бути вашими проблемами. Я б сказав , що є, по крайней мере , 10-20 відомі уразливості для вашої версії програмного забезпечення ASA, припускаючи , що у вас була встановлена остання версія прошивки в той час , представленого безвідмовної роботи.

Посилання Tools.cisco.com із вулканами за останній рік (деякі не є актуальними, але це має дати вам гарну ідею)

Деякі інші інструменти, які можуть вам допомогти:

  • Cisco Security IntelliShield Alert Manager - визначте, чи мережеві, апаратні та програмні ресурси вразливі до нових та існуючих загроз

  • Програма перевірки програмного забезпечення Cisco IOS . Я не знаю, чи є щось подібне для ASA, але, можливо, хтось може задзвонити?

  • Аудит конфігурації маршрутизатора: RedSeal може включати перевірки версій (минуло кілька років, як я працював з ним), а також безліч інших інструментів безпеки для мереж

  • Управління вразливістю: у Nessus є спільні та комерційні версії, і там є багато іншого подібного програмного забезпечення


2

Нещодавно у мене виникли подібні проблеми з ASA під керуванням 8.2 (2) 16 з ~ 2.5 роком часу роботи, внаслідок чого групи об'єктів, зазначені в криптокарті ACL, не відповідали. Додавання заяви ACL про те, що вже включена група об'єктів викликала збіг цікавого трафіку. Дуже засмучує.

Колега повідомив, що вони бачили таку поведінку раніше і що перезавантаження вирішило її в тому випадку.


0

Коли ви говорите, що під час додавання ACE з'являється навантаження "випадкового" тексту, ви вводите вручну ці ACE або вставляєте їх з якогось іншого джерела (наприклад, блокнота).

Я раніше бачив проблеми, коли, якщо ви вставляєте багато рядків у пристрій, він може перевантажуватися, і виникає деяка пошкодження, вставляючи менше рядків, як правило, це виправляє або використовуючи функцію на вашій термінальній програмі, щоб "вставити повільно", щоб дозволити невеликий часовий проміжок між кожним рядком.


Я вручну створюю новий ACE через ASDM. Якщо правило містить конкретну мережу-джерело (я використовую мережевий об’єкт, груповий об'єкт або просто введіть підмережу), з'являється ACE з приблизно 30 рядками опису. Текст не зовсім "випадковий", здається, це коментарі, які колись використовувалися на ACE десь ... Але я ніколи не вводив це все в ...
BrianK
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.