ASA 5550 - стоит перезагрузка?


13

У меня есть ASA 5550, который выполняет загрузку и загрузку операций (AnyConnect, NAT, ACL, RADIUS и т. Д., И т. Д.). Он не особенно перегружен с точки зрения процессора и памяти, но имеет время работы более 3,5 лет.

В последнее время я пытался развернуть еще один туннель IPSEC (через криптовалюту) вместе с правилом NAT Exempt, но ASA демонстрирует очень странное поведение. Иногда, когда я добавляю ACE, масса текста появляется из ниоткуда в поле описания. Независимо от того, что я делаю, мои тесты с помощью встроенного инструмента PacketTracer не дают ожидаемых результатов (например, я вижу, что пакет соответствует правилу Any / Any в нижней части ACL, даже если в нем специально настроен ACE наверху указанного ACL).

В любом случае, вопрос заключается в следующем: кто-нибудь вообще что-то решал путем перезагрузки ASA? Это не мой любимый вариант, но с очень странным поведением, которое я вижу, устранение неполадок становится бесплодным.

Ответы:


18

Краткий ответ: да.

Более длинный ответ: :-) В каждом программном обеспечении есть ошибки. Чем дольше он работает, тем более вероятно, что вы настроите магазин в вашей сети. Но, что более важно, чем дольше он обходится без перезагрузки, тем больше мелких кусочков «старой» конфигурации и / или статуса останется. В IOS no interface fooбудет выводиться предупреждение о том, что он не полностью разрушен, и элементы конфигурации могут появиться снова, если вы воссоздаете интерфейс - не должно происходить в ASA, но в редких случаях это происходит. Я также видел фантомные записи NAT после удаления их из конфигурации. (этот на самом деле является ошибкой)

Имея дело с IPSec / crypto, я обнаружил, что сумасшествие может быть устранено с помощью a reload. В одном случае (пикс 6.3.5) он не восстановит VPN-туннель, пока я это не сделаю.

[править] Слово о перезагрузках в целом: я склонен перезагружать вещи просто чтобы убедиться, что они будут . Слишком часто у меня были различные системы (маршрутизаторы, брандмауэры, серверы), работающие в течение продолжительных периодов времени - постоянно изменяемые, и когда что-то перезагружается (обычно отключение питания, но происходит «упс, неправильный компьютер»), они редко возвращаются точно так, как они были раньше ... кто-то забыл запустить X при загрузке, или какое-то странное взаимодействие частей приводит к тому, что что-то запускается не так, как ожидалось. Я признаю, это меньше заботит о более статичных частях своей инфраструктуры.


1
Отличный ответ, и я полностью согласен с тем, что вам нужно убедиться, что ваши устройства загружаются, как и ожидалось. Я также согласен с тем, что перезагрузки иногда необходимы (на самом деле, это может быть единственным выходом) и могут быстрее восстановить обслуживание. Я просто сталкивался со слишком многими случаями, когда перезагрузка воспринимается как исправление, а не как шаг к устранению текущих симптомов. Никаких исследований первопричины не проводится, и поставщику не нужно давить, чтобы решить проблему, если она есть в его коде. Еще хуже случаи, с которыми я сталкивался, когда «перезагрузка каждые [периоды]» - это постоянное исправление, когда происходит обновление кода с реальным исправлением.
YLearn

7

Как правило, я не рекомендую перезагрузку в качестве решения проблемы, если только вы не знаете, что имеете дело с ошибкой, приводящей к утечке памяти или переполнению кэша.

С ASA, управляющим образом по крайней мере 3,5 лет, вы проверили инструментарий ошибки Cisco? Скорее всего, любые ошибки в платформе будут задокументированы, и вы можете увидеть, если какой-либо взгляд применить.

Я также рекомендовал бы открыть дело TAC, если у вас есть поддержка.

Перезагрузка в моем сознании затуманивает другие проблемы и может очень затруднить (если не невозможно) найти основную причину. В конечном счете, не понимая причину, вы не знаете, что вы что-то исправили, и я считаю это очень опасным, особенно на платформе «безопасности».

Например, может быть, у вас есть уязвимость в коде, который используется внешним источником. Хотя перезагрузка может оборвать их связь и ослабить симптомы, она ничего не делает для решения проблемы.


Я согласен с тобой на 100%. Очевидно, что некоторые обновления и исправления должны быть сделаны на устройстве. Я еще не выполнил поиск инструментария ошибок, потому что выявить эту конкретную проблему нелегко - так с чего начать поиск? Но, чтобы заполнить пробелы, это конкретное изменение будет временным, поскольку в настоящее время ведется более масштабный проект по реорганизации сети.
BrianK

1
Похоже, у вас есть хорошая позиция на вещи. TAC - это не то, что было раньше, но я всегда рекомендую случай TAC (если вы к нему не привыкли, инструмент для ошибок может быть странным). Пусть они выяснят, что это за ошибка, хотя вам, возможно, придется их подтолкнуть. Просто убедитесь, что перед перезагрузкой было собрано как можно больше данных, так как некоторые детали будут потеряны (запущенные процессы, использование памяти и т. Д.). «Технология показа» должна получить большую часть того, что вам нужно на платформе Cisco.
YLearn

3

Как уже упоминалось, управление рисками и управление уязвимостями должны быть вашими заботами. Я бы сказал, что по крайней мере 10-20 известных уязвимостей для вашей версии программного обеспечения ASA, при условии, что вы установили последнюю версию встроенного программного обеспечения в момент времени, представленный временем работы.

Ссылка на Tools.cisco.com с vulns за последний год (некоторые не имеют отношения, но это должно дать вам хорошую идею)

Некоторые другие инструменты, которые могут вам помочь:

  • Cisco Security IntelliShield Alert Manager - определите, уязвимы ли сетевые, аппаратные и программные активы для новых и существующих угроз

  • Cisco IOS Software Checker . Я не знаю, есть ли что-то подобное для ASA, но, возможно, кто-то мог бы вмешаться?

  • Аудит конфигурации маршрутизатора: RedSeal может включать в себя проверки версий (прошло уже несколько лет с тех пор, как я работал с ним), а также множество других инструментов безопасности для сетей

  • Управление уязвимостями: Nessus имеет сообщества и коммерческие версии, и существует множество других подобных программ


2

Недавно я столкнулся с подобными проблемами от ASA, работающего 8.2 (2) 16 с ~ 2,5 годами безотказной работы, в результате чего группы объектов, указанные в ACL криптографической карты, не были сопоставлены. Добавление оператора ACL, который уже охватил объектную группу, вызвал совпадение интересного трафика. Очень расстраивает.

Коллега сообщил, что они видели такое поведение ранее, и перезагрузка разрешила его в этом случае.


0

Когда вы говорите, что при добавлении ACE появляется загрузка «случайного» текста, вводите ли вы эти ACE вручную или вставляете их из какого-то другого источника (например, блокнота).

Ранее я сталкивался с проблемами, когда вы вставляете много строк в устройство, оно может быть перегружено, и происходит некоторое повреждение, вставка меньшего количества строк обычно исправляет это или использование функции в вашей терминальной программе для «медленной вставки», чтобы позволить небольшой промежуток времени между каждой строкой.


Я вручную создаю новый ACE через ASDM. Если правило содержит конкретную исходную сеть (использую ли я сетевой объект, групповой объект или просто набираю подсеть), появляется ACE с примерно 30 строками описания. Текст не является полностью «случайным», это, кажется, комментарии, которые когда-то использовались, где-то на ACE ... Но я никогда не набирал все это ...
BrianK
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.