ASA 5550 - стоит перезагрузка?

У меня есть ASA 5550, который выполняет загрузку и загрузку операций (AnyConnect, NAT, ACL, RADIUS и т. Д., И т. Д.). Он не особенно перегружен с точки зрения процессора и памяти, но имеет время работы более 3,5 лет.

В последнее время я пытался развернуть еще один туннель IPSEC (через криптовалюту) вместе с правилом NAT Exempt, но ASA демонстрирует очень странное поведение. Иногда, когда я добавляю ACE, масса текста появляется из ниоткуда в поле описания. Независимо от того, что я делаю, мои тесты с помощью встроенного инструмента PacketTracer не дают ожидаемых результатов (например, я вижу, что пакет соответствует правилу Any / Any в нижней части ACL, даже если в нем специально настроен ACE наверху указанного ACL).

В любом случае, вопрос заключается в следующем: кто-нибудь вообще что-то решал путем перезагрузки ASA? Это не мой любимый вариант, но с очень странным поведением, которое я вижу, устранение неполадок становится бесплодным.

Краткий ответ: да.

Более длинный ответ: :-) В каждом программном обеспечении есть ошибки. Чем дольше он работает, тем более вероятно, что вы настроите магазин в вашей сети. Но, что более важно, чем дольше он обходится без перезагрузки, тем больше мелких кусочков «старой» конфигурации и / или статуса останется. В IOS no interface fooбудет выводиться предупреждение о том, что он не полностью разрушен, и элементы конфигурации могут появиться снова, если вы воссоздаете интерфейс - не должно происходить в ASA, но в редких случаях это происходит. Я также видел фантомные записи NAT после удаления их из конфигурации. (этот на самом деле является ошибкой)

Имея дело с IPSec / crypto, я обнаружил, что сумасшествие может быть устранено с помощью a reload. В одном случае (пикс 6.3.5) он не восстановит VPN-туннель, пока я это не сделаю.

[править] Слово о перезагрузках в целом: я склонен перезагружать вещи просто чтобы убедиться, что они будут . Слишком часто у меня были различные системы (маршрутизаторы, брандмауэры, серверы), работающие в течение продолжительных периодов времени - постоянно изменяемые, и когда что-то перезагружается (обычно отключение питания, но происходит «упс, неправильный компьютер»), они редко возвращаются точно так, как они были раньше ... кто-то забыл запустить X при загрузке, или какое-то странное взаимодействие частей приводит к тому, что что-то запускается не так, как ожидалось. Я признаю, это меньше заботит о более статичных частях своей инфраструктуры.

Как правило, я не рекомендую перезагрузку в качестве решения проблемы, если только вы не знаете, что имеете дело с ошибкой, приводящей к утечке памяти или переполнению кэша.

С ASA, управляющим образом по крайней мере 3,5 лет, вы проверили инструментарий ошибки Cisco? Скорее всего, любые ошибки в платформе будут задокументированы, и вы можете увидеть, если какой-либо взгляд применить.

Я также рекомендовал бы открыть дело TAC, если у вас есть поддержка.

Перезагрузка в моем сознании затуманивает другие проблемы и может очень затруднить (если не невозможно) найти основную причину. В конечном счете, не понимая причину, вы не знаете, что вы что-то исправили, и я считаю это очень опасным, особенно на платформе «безопасности».

Например, может быть, у вас есть уязвимость в коде, который используется внешним источником. Хотя перезагрузка может оборвать их связь и ослабить симптомы, она ничего не делает для решения проблемы.

Как уже упоминалось, управление рисками и управление уязвимостями должны быть вашими заботами. Я бы сказал, что по крайней мере 10-20 известных уязвимостей для вашей версии программного обеспечения ASA, при условии, что вы установили последнюю версию встроенного программного обеспечения в момент времени, представленный временем работы.

Ссылка на Tools.cisco.com с vulns за последний год (некоторые не имеют отношения, но это должно дать вам хорошую идею)

Некоторые другие инструменты, которые могут вам помочь:

• Cisco Security IntelliShield Alert Manager - определите, уязвимы ли сетевые, аппаратные и программные активы для новых и существующих угроз

• Cisco IOS Software Checker . Я не знаю, есть ли что-то подобное для ASA, но, возможно, кто-то мог бы вмешаться?

• Аудит конфигурации маршрутизатора: RedSeal может включать в себя проверки версий (прошло уже несколько лет с тех пор, как я работал с ним), а также множество других инструментов безопасности для сетей

• Управление уязвимостями: Nessus имеет сообщества и коммерческие версии, и существует множество других подобных программ

Недавно я столкнулся с подобными проблемами от ASA, работающего 8.2 (2) 16 с ~ 2,5 годами безотказной работы, в результате чего группы объектов, указанные в ACL криптографической карты, не были сопоставлены. Добавление оператора ACL, который уже охватил объектную группу, вызвал совпадение интересного трафика. Очень расстраивает.

Коллега сообщил, что они видели такое поведение ранее, и перезагрузка разрешила его в этом случае.

Когда вы говорите, что при добавлении ACE появляется загрузка «случайного» текста, вводите ли вы эти ACE вручную или вставляете их из какого-то другого источника (например, блокнота).

Ранее я сталкивался с проблемами, когда вы вставляете много строк в устройство, оно может быть перегружено, и происходит некоторое повреждение, вставка меньшего количества строк обычно исправляет это или использование функции в вашей терминальной программе для «медленной вставки», чтобы позволить небольшой промежуток времени между каждой строкой.