ASA 5550 - Değerli misiniz?


13

Yükler ve yükler (AnyConnect, NAT, ACL, RADIUS, vb.) Yükleyen bir ASA 5550 var. Özellikle CPU ve Bellek açısından aşırı yüklenmemiştir, ancak 3.5 yıldan fazla çalışma süresine sahiptir.

Son zamanlarda bir NAT Muafiyet kuralıyla birlikte başka bir IPSEC tüneli (kriptomap aracılığıyla) konuşlandırmaya çalışıyorum, ancak ASA çok garip bir davranış sergiliyor. Bazen ACE'leri eklediğimde, açıklama alanında hiçbir yerden bir metin çıkıyor. Ne yaparsam yapayım, on-box PacketTracer aracıyla yaptığım testler beklediğim sonuçları vermiyor (örneğin - özel olarak yapılandırılmış olsa bile, ACL'nin altındaki Any / Any kuralına isabet eden paketi görüyorum) ACE adı geçen ACL'nin üstünde).

Her neyse, soru şudur: ASA'yı yeniden başlatarak herhangi bir şey çözülmüş mü? Bu benim en sevdiğim seçenek değil, ama garip davranışlarla sorun giderme görüyorum.

Yanıtlar:


18

Kısa cevap: Evet.

Daha uzun cevap: :-) Her yazılım parçasında hatalar var. Ne kadar uzun süre çalışırsa, ağınızda mağaza kurma olasılığı o kadar yüksek olur. Ancak noktaya gelindiğinde, yeniden başlatma olmadan ne kadar uzun süre kalırsa, "eski" yapılandırma ve / veya durumun o kadar az biti kalır. IOS'de, no interface footamamen yok edilmediğine ve arayüzü yeniden oluşturursanız yapılandırma öğelerinin yeniden görünebileceğine dair bir uyarı gönderir - bir ASA'da olmamalı, ancak nadir durumlarda, öyle. Ayrıca yapılandırmadan sildikten sonra hayali NAT girişleri gördüm. (bu aslında bir hata)

IPSec / kripto ile uğraşırken, bir sürü çılgınlığın bir tarafından temizlendiğini gördüm reload. Bir durumda (pix 6.3.5) benden önce bir VPN tüneli tekrar kurmayacaktı.

Genel olarak yeniden önyükleme hakkında bir kelime: Ben sadece emin olmak için şeyleri yeniden başlatmak eğilimindedir . Çoğu zaman uzun süreler boyunca çalışan çeşitli sistemler (yönlendiriciler, güvenlik duvarları, sunucular) vardı - sürekli olarak değiştiriliyor ve bir şey onları yeniden başlattığında (genellikle elektrik kesintisi, ancak "ayy, yanlış makine" de oluyor) nadiren eskisi gibi geri gelir ... birisi X'in önyüklemeyi başlatmasını unuttu ya da parçaların garip etkileşimi beklendiği gibi başlatılmayacak bir şey yapar. İtiraf ediyorum ki, bu, altyapısının daha statik kısımları için daha az endişe kaynağıdır.


1
Harika bir yanıt ve cihazlarınızın beklendiği gibi önyüklendiğinden emin olmanız gerektiğini tamamen kabul ediyorum. Ayrıca, yeniden yüklemelerin bazen gerekli olduğunu (aslında, tek başvuru olabilir) ve hizmeti daha hızlı geri yükleyebileceğini de kabul ediyorum. Sadece mevcut belirtileri çözmek için bir adım yerine yeniden yükleme düzeltmesi olarak algılanan çok sayıda durumla karşılaştım. Kök neden araştırması yapılmaz ve satıcıya, kodundaysa sorunu düzeltmesi için herhangi bir baskı yapılmaz. Daha da kötüsü, gerçek bir düzeltme ile bir kod yükseltme olduğunda "her [dönem] bir yeniden yükleme" daimi düzeltme olduğu durumlarda karşılaştım.
YLearn

7

Genellikle, bellek sızıntısı veya önbellek taşması koşulu gibi bir şey tanıtan bir hatayla uğraştığınızı bilmiyorsanız, sorunu yeniden başlatmanızı önermem.

Bir ASA en az 3,5 yaşında bir görüntü çalıştırırken Cisco hata araç setini kontrol ettiniz mi? Oranlar, platformdaki herhangi bir hatanın belgeleneceği ve uygulanacak herhangi bir görünüm olup olmadığını görebilirsiniz.

Desteğiniz varsa bir TAC davası açmanızı da tavsiye ederim.

Zihnimde yeniden başlatılan diğer problemler üzerinde parlıyor ve kök nedenini bulmayı (imkansız değilse) çok zorlaştırabilir. Nihayetinde temel nedeni anlamadan, hiçbir şeyi düzelttiğinizi bilmiyorsunuz ve ben bunu özellikle "güvenlik" platformunda çok tehlikeli buluyorum.

Örneğin, dış kaynak tarafından kullanılan kodda güvenlik açığı olabilir. Yeniden başlatma bağlantılarını kesebilir ve semptomları hafifletebilirken, sorunu çözmek için hiçbir şey yapmaz.


Sana% 100 katılıyorum. Açıkçası, cihazda bazı güncellemelerin ve yamaların yapılması gerekiyor. Henüz bir hata araç seti araması yapmadım, çünkü bu sorunu belirlemek kolay bir şey değil - bu yüzden nerede aramaya başlıyorsunuz? Ancak, boşlukları doldurmak için, bu özel değişiklik geçici olacaktır, çünkü ağın yeniden tasarlanması için daha büyük bir proje devam etmektedir.
BrianK

1
Kulağa iyi bir duruş sergiliyor gibisin TAC eskiden olduğu gibi değil, ama her zaman bir TAC vakası öneriyorum (eğer alışkın değilseniz, hata aracı ilginç olabilir). Bunu yapmak için onları itmeniz gerekebilse de, hangi hatanın olduğunu öğrenmelerine izin verin. Bazı ayrıntılar kaybolacağından (çalışan işlemler, bellek kullanımı vb.) Yeniden başlatmadan önce mümkün olduğunca fazla veri yakaladığınızdan emin olun. Bir "gösteri teknolojisi", bir Cisco platformunda ihtiyaç duyduğunuz şeylerin çoğunu almalıdır.
YLearn

3

Belirtildiği gibi, risk yönetimi ve güvenlik açığı yönetimi endişeleriniz olmalıdır. ASA yazılım sürümünüz için en az 10-20 bilinen güvenlik açığı olduğunu söyleyebilirim .

Tools.cisco.com bağlantısı, geçen yıl için vulnslarla (bazıları alakalı değil, ancak bu size iyi bir fikir vermeli)

Size yardımcı olabilecek diğer bazı araçlar:

  • Cisco Güvenlik IntelliShield Uyarı Yöneticisi - ağ, donanım ve yazılım varlıklarının yeni ve mevcut tehditlere karşı savunmasız olup olmadığını belirleyin

  • Cisco IOS Yazılım Denetleyicisi . ASA için benzer bir şey olup olmadığını bilmiyorum, ama belki birisi girebilir mi?

  • Yönlendirici Yapılandırma Denetimi: RedSeal sürüm kontrolleri (onunla çalışmamın üzerinden birkaç yıl geçti) ve ağlar için birçok güvenlik aracı içerebilir

  • Güvenlik Açığı Yönetimi: Nessus'un topluluk ve ticari sürümleri vardır ve bunun gibi birçok başka yazılım vardır.


2

Geçenlerde ~ 2.5 yıl çalışma süresi olan 8.2 (2) 16 çalıştıran bir ASA'dan benzer sorunlarla karşılaştım, böylece kripto harita ACL'lerinde belirtilen nesne grupları eşleşmiyordu. Nesne grubunun zaten kapsadığı bir ACL ifadesi eklemek ilginç trafiğin eşleşmesine neden oldu. Çok sinir bozucu.

Bir meslektaşım bu davranışı daha önce gördüklerini ve bu durumda yeniden yükleme işleminin çözdüğünü söyledi.


0

ACE eklerken bir "rastgele" metin yüklendiğini söylediğinizde, bu ACE'leri manuel olarak mı yazıyorsunuz veya başka bir kaynaktan mı (not defteri gibi) yapıştırıyorsunuz.

Bir aygıta çok fazla satır yapıştırıyorsanız ve aşırı bozulma meydana gelebileceği, daha az satır yapıştırarak genellikle düzeltir veya terminal programınızda küçük bir izin vermek için 'yavaş yapıştırmak' için bir işlev kullanarak daha önce sorunlar gördüm her satır arasındaki zaman aralığı.


Manuel olarak ASDM üzerinden yeni bir ACE oluşturuyorum. Kural belirli bir kaynak ağı içeriyorsa (ister ağ nesnesini, ister grup nesnesini kullanın, ister alt ağı yazın) ACE yaklaşık 30 açıklama satırı ile görünür. Metin tamamen "rastgele" değil, bir kez bir yerde bir ACE üzerinde kullanılan yorumlar gibi görünüyor ... Ama ben hepsini hiç
yazmadım
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.