ASA 5550 - перезавантаження варто?

У мене є ASA 5550, який виконує навантаження та навантаження операцій (AnyConnect, NAT, ACL, RADIUS тощо, тощо). Він не особливо перевантажений з точки зору процесора та пам'яті, але він має тривалість роботи понад 3,5 року.

Останнім часом я намагався розгорнути ще один тунель IPSEC (через cryptomap) разом із правилом NAT Exempt, але ASA проявляє дуже дивну поведінку. Іноді, коли я додаю ACE, маса тексту спливає з нізвідки в полі опису. Незалежно від того, що я роблю, мої тести із вбудованим інструментом PacketTracer не дають очікуваних результатів (наприклад, я бачу, що пакет потрапляє в будь-яке правило будь-яке / будь-яке правило в нижній частині ACL, хоча там є спеціально налаштований ACE у верхній частині зазначеного ACL).

У всякому разі, питання таке: чи хтось насправді щось вирішував, перезавантажуючи ASA? Це не мій улюблений варіант, але з дуже дивною поведінкою я бачу, як усунення несправностей стає безрезультатним.

Коротка відповідь: Так.

Більш довга відповідь: :-) У кожній програмі є помилки. Чим довше це працює, тим більше шансів на те, що ви збираєтеся налаштувати магазин у вашій мережі. Але до речі, чим довше пройде без перезавантаження, тим більше маленьких бітів «старої» конфігурації та / або стану залишатиметься затриманими. В IOS no interface fooнадсилатиме попередження про те, що воно не повністю знищене, і елементи конфігурації можуть з’явитися знову, якщо ви відтворите інтерфейс - це не повинно відбуватися в ASA, але в рідкісних випадках це відбувається. Я також бачив фантомні записи NAT після видалення їх з конфігурації. (що насправді є помилкою)

Маючи справу з IPSec / crypto, я виявив, що безліч божевільних може бути усунено a reload. В одному випадку (пікс 6.3.5) вона не відновить тунель VPN, поки я цього не зробив.

[ред.] Слово про перезавантаження в цілому: я схильний перезавантажувати речі просто для того, щоб переконатися, що вони стануть . Я занадто часто у мене працювали різні системи (маршрутизатори, брандмауері, сервери) протягом тривалого періоду - постійно змінюються, і коли щось закінчується, перезавантажуючи їх (як правило, відключення живлення, але "ой, неправильна машина" трапляється) рідко повертаються точно так, як було раніше ... хтось забув зробити X запуск під час завантаження, або якась дивна взаємодія деталей робить щось не запуском, як очікувалося. Зізнаюсь, це менше турбує статичні частини інфраструктури.

Як правило, я не рекомендую перезавантаження в якості вирішення проблеми, якщо ви не знаєте, що маєте справу з помилкою, яка вводить щось на зразок витоку пам'яті або стану переповнення кешу.

Якщо ASA працює із зображенням щонайменше 3,5 років, чи перевіряли ви інструментарій помилок Cisco? Шанси полягають у тому, що будь-які помилки на платформі будуть задокументовані, і ви можете побачити, чи потрібно застосувати якийсь вигляд.

Я також рекомендую відкрити справу TAC, якщо у вас є підтримка.

Перезавантажившись, я замислююся над іншими проблемами і може дуже важко (якщо не неможливо) знайти першопричину. Зрештою, не розуміючи першопричини, ви не знаєте, що ви щось виправили, і я вважаю це дуже небезпечним, особливо на платформі "безпеки".

Наприклад, можливо, у вас є вразливість безпеки в коді, який експлуатується стороннім джерелом. Хоча перезавантаження може перервати їх зв’язок і полегшити симптоми, воно нічого не робить для вирішення проблеми.

Як вже згадувалося, проблеми з управлінням ризиками та вразливістю повинні бути вашими проблемами. Я б сказав , що є, по крайней мере , 10-20 відомі уразливості для вашої версії програмного забезпечення ASA, припускаючи , що у вас була встановлена остання версія прошивки в той час , представленого безвідмовної роботи.

Посилання Tools.cisco.com із вулканами за останній рік (деякі не є актуальними, але це має дати вам гарну ідею)

Деякі інші інструменти, які можуть вам допомогти:

• Cisco Security IntelliShield Alert Manager - визначте, чи мережеві, апаратні та програмні ресурси вразливі до нових та існуючих загроз

• Програма перевірки програмного забезпечення Cisco IOS . Я не знаю, чи є щось подібне для ASA, але, можливо, хтось може задзвонити?

• Аудит конфігурації маршрутизатора: RedSeal може включати перевірки версій (минуло кілька років, як я працював з ним), а також безліч інших інструментів безпеки для мереж

• Управління вразливістю: у Nessus є спільні та комерційні версії, і там є багато іншого подібного програмного забезпечення

Нещодавно у мене виникли подібні проблеми з ASA під керуванням 8.2 (2) 16 з ~ 2.5 роком часу роботи, внаслідок чого групи об'єктів, зазначені в криптокарті ACL, не відповідали. Додавання заяви ACL про те, що вже включена група об'єктів викликала збіг цікавого трафіку. Дуже засмучує.

Колега повідомив, що вони бачили таку поведінку раніше і що перезавантаження вирішило її в тому випадку.

Коли ви говорите, що під час додавання ACE з'являється навантаження "випадкового" тексту, ви вводите вручну ці ACE або вставляєте їх з якогось іншого джерела (наприклад, блокнота).

Я раніше бачив проблеми, коли, якщо ви вставляєте багато рядків у пристрій, він може перевантажуватися, і виникає деяка пошкодження, вставляючи менше рядків, як правило, це виправляє або використовуючи функцію на вашій термінальній програмі, щоб "вставити повільно", щоб дозволити невеликий часовий проміжок між кожним рядком.