ASA 5550 - รีบูตเครื่องคุ้มค่าหรือไม่

13

ฉันมี ASA 5550 ที่ทำงานโหลดและโหลดการดำเนินการ (AnyConnect, NAT, ACL, RADIUS และอื่น ๆ ) มันไม่ได้มีภาระมากเกินไปในแง่ของ CPU & หน่วยความจำ แต่มันใช้งานได้นานกว่า 3.5 ปี

เมื่อเร็ว ๆ นี้ฉันได้พยายามปรับใช้ IPSec อื่น (ผ่าน cryptomap) พร้อมกับกฎการยกเว้น NAT แต่ ASA แสดงพฤติกรรมที่แปลกมาก บางครั้งเมื่อฉันเพิ่ม ACE จำนวนมากของข้อความปรากฏขึ้นจากที่ใดก็ได้ในฟิลด์คำอธิบาย ไม่ว่าฉันจะทำอะไรการทดสอบของฉันด้วยเครื่องมือ PacketTracer แบบ on-box ไม่ให้ผลลัพธ์ที่ฉันคาดหวัง (ตัวอย่างเช่น - ฉันเห็นแพ็กเก็ตชนกฎใด ๆ / ใด ๆ ที่ด้านล่างของ ACL แม้ว่าจะมีการกำหนดค่าเฉพาะ ACE ที่ด้านบนสุดของ ACL)

อย่างไรก็ตามคำถามคือสิ่งนี้: มีใครเคยแก้ไขอะไรจริง ๆ โดยการรีบูต ASA หรือไม่? มันไม่ใช่ตัวเลือกที่ฉันโปรดปราน แต่ด้วยพฤติกรรมที่แปลกประหลาดมากที่ฉันเห็นการแก้ไขปัญหากำลังไร้ผล

cisco-asa

— BrianK
แหล่งที่มา

18

คำตอบสั้น ๆ : ใช่

คำตอบอีกต่อไป: :-) มีข้อบกพร่องในซอฟต์แวร์ทุกชิ้น ยิ่งใช้งานนานเท่าไรก็ยิ่งมีโอกาสมากขึ้นเท่านั้นที่จะไปตั้งค่าร้านค้าในเครือข่ายของคุณ แต่ยิ่งไปกว่านั้นอีกต่อไปก็จะหายไปโดยไม่ต้องรีบูตยิ่งการกำหนดค่าและ / หรือสถานะ "เก่า" บิตน้อยมาก ใน IOS no interface fooจะแจ้งเตือนว่ามันไม่ได้ถูกทำลายอย่างสมบูรณ์และองค์ประกอบการกำหนดค่าอาจปรากฏขึ้นอีกครั้งหากคุณสร้างอินเทอร์เฟซขึ้นใหม่ - ไม่ควรเกิดขึ้นใน ASA แต่ในบางกรณีก็เกิดขึ้นได้ยาก ฉันเคยเห็น phantom NAT รายการหลังจากลบออกจากการกำหนดค่า (อันที่จริงข้อผิดพลาด)

เมื่อจัดการกับ IPSec / reloadการเข้ารหัสลับฉันได้พบมากทั้งบ้าสามารถล้างขึ้นโดย ในกรณีหนึ่ง (pix 6.3.5) จะไม่สร้างอุโมงค์ VPN อีกครั้งจนกว่าฉันจะทำ

[แก้ไข] คำเกี่ยวกับการเริ่มต้นใหม่โดยทั่วไป: ฉันมักจะรีบูตสิ่งเพียงเพื่อให้แน่ใจว่าพวกเขาจะ บ่อยครั้งที่ฉันมีระบบต่าง ๆ (เราเตอร์ไฟร์วอลล์เซิร์ฟเวอร์) ที่ใช้งานเป็นระยะเวลานาน - ได้รับการแก้ไขอย่างต่อเนื่องและเมื่อบางสิ่งบางอย่างเริ่มต้นใหม่พวกเขา (โดยปกติแล้วไฟดับ แต่ "โอ๊ะโอเครื่องผิด" เกิดขึ้นด้วย) กลับมาไม่ค่อยเหมือนเดิม ... บางคนลืมที่จะเริ่ม X เมื่อบูตหรือการมีปฏิสัมพันธ์แปลก ๆ ของชิ้นส่วนทำให้บางอย่างไม่เริ่มต้นอย่างที่คาดไว้ ฉันยอมรับว่ามันเป็นเรื่องที่น่ากังวลน้อยกว่าสำหรับชิ้นส่วนโครงสร้างพื้นฐานที่ไม่เปลี่ยนแปลง

— Ricky Beam
แหล่งที่มา

1

คำตอบที่ดีและฉันเห็นด้วยอย่างยิ่งว่าคุณต้องแน่ใจว่าอุปกรณ์ของคุณบูตตามที่คาดไว้ ฉันยังยอมรับว่าบางครั้งการโหลดซ้ำมีความจำเป็น (อันที่จริงอาจเป็นเพียงการขอความช่วยเหลือเท่านั้น) และสามารถคืนค่าบริการได้เร็วขึ้น ฉันเพิ่งพบเจอหลายกรณีที่มีการโหลดซ้ำเป็นวิธีแก้ไขแทนที่จะเป็นขั้นตอนเพื่อแก้ไขอาการปัจจุบัน ไม่มีการสำรวจสาเหตุที่แท้จริงและไม่มีแรงกดดันต่อผู้ขายเพื่อแก้ไขปัญหาหากอยู่ในรหัส ยิ่งแย่ไปกว่านั้นคือกรณีที่ฉันพบว่า "การโหลดซ้ำทุกครั้ง [ช่วงเวลา]" คือการแก้ไขที่มีอยู่เมื่อมีการอัปเกรดรหัสด้วยการแก้ไขจริง

— YLearn

7

โดยทั่วไปฉันไม่แนะนำให้รีบูตเป็นวิธีแก้ปัญหาหากคุณไม่ทราบว่าคุณกำลังเผชิญกับข้อผิดพลาดที่แนะนำบางอย่างเช่นการรั่วไหลของหน่วยความจำหรือสภาพแคชล้น

ด้วย ASA ที่ใช้รูปภาพอย่างน้อย 3.5 ปีคุณได้ตรวจสอบชุดเครื่องมือบั๊กของ Cisco หรือไม่ อัตราต่อรองคือข้อผิดพลาดใด ๆ ในแพลตฟอร์มจะได้รับการบันทึกไว้และคุณสามารถดูได้ว่าจะนำไปใช้หรือไม่

ฉันขอแนะนำให้เปิดกรณี TAC หากคุณมีฝ่ายสนับสนุน

การรีบูตเครื่องในความคิดของฉันขัดกับปัญหาอื่น ๆ และสามารถทำให้ยากมาก (ถ้าไม่เป็นไปไม่ได้) ในการค้นหาสาเหตุที่แท้จริง ในที่สุดโดยไม่เข้าใจสาเหตุของปัญหาคุณไม่รู้ว่าคุณแก้ไขอะไรและฉันพบว่าอันตรายมากโดยเฉพาะในแพลตฟอร์ม "ความปลอดภัย"

ตัวอย่างเช่นคุณอาจมีช่องโหว่ด้านความปลอดภัยในรหัสที่ถูกโจมตีโดยแหล่งภายนอก ในขณะที่การรีบูตอาจตัดการเชื่อมต่อและบรรเทาอาการ แต่ก็ไม่ได้ทำอะไรเพื่อแก้ไขปัญหา

— YLearn
แหล่งที่มา

ฉันเห็นด้วยกับคุณ 100% เห็นได้ชัดว่าจำเป็นต้องมีการอัพเดตและแพตช์บางอย่างบนอุปกรณ์ ฉันยังไม่ได้ทำการค้นหาชุดเครื่องมือบั๊กเนื่องจากการระบุปัญหานี้ไม่ใช่เรื่องง่ายที่จะทำ - ดังนั้นคุณจะเริ่มค้นหาที่ไหน แต่เพื่อเติมช่องว่างการเปลี่ยนแปลงนี้จะเป็นการชั่วคราวเนื่องจากโครงการขนาดใหญ่เพื่อออกแบบเครือข่ายกำลังดำเนินการอยู่

— BrianK

1

เสียงเหมือนคุณมีท่าทางที่ดีในสิ่งต่าง ๆ TAC ไม่ใช่สิ่งที่มันเคยเป็น แต่ฉันแนะนำเสมอกรณี TAC (ถ้าคุณไม่คุ้นเคยกับมันเครื่องมือข้อผิดพลาดสามารถเล่นโวหาร) ปล่อยให้พวกเขารู้ว่าบั๊กมันคืออะไรถึงแม้ว่าคุณอาจจะต้องผลักดันพวกเขา เพียงตรวจสอบให้แน่ใจว่าได้เก็บข้อมูลมากที่สุดก่อนที่จะรีบูตที่สุดเท่าที่จะเป็นไปได้เนื่องจากรายละเอียดบางอย่างจะหายไป (กระบวนการทำงานการใช้หน่วยความจำ ฯลฯ ) "เทคโนโลยีการแสดง" ควรได้รับประโยชน์สูงสุดจากสิ่งที่คุณต้องการบนแพลตฟอร์มของซิสโก้

— YLearn

3

ดังที่กล่าวไว้การจัดการความเสี่ยงและการจัดการความเสี่ยงควรเป็นข้อกังวลของคุณ ฉันจะบอกว่ามีช่องโหว่ที่ทราบอย่างน้อย 10-20 เวอร์ชันสำหรับซอฟต์แวร์ ASA ของคุณโดยสมมติว่าคุณติดตั้งเฟิร์มแวร์ล่าสุดในเวลาที่แสดงสถานะการออนไลน์

ลิงก์ Tools.cisco.com ซึ่งมีคำหยาบในปีที่ผ่านมา (บางอันไม่เกี่ยวข้องกัน แต่สิ่งนี้ควรเป็นความคิดที่ดี)

เครื่องมืออื่น ๆ ที่อาจช่วยคุณ:

Cisco Security IntelliShield Alert Manager - พิจารณาว่าสินทรัพย์เครือข่ายฮาร์ดแวร์และซอฟต์แวร์มีความเสี่ยงต่อภัยคุกคามใหม่และที่มีอยู่หรือไม่
Cisco IOS ซอฟต์แวร์ตรวจสอบ ฉันไม่รู้ว่ามีบางอย่างที่คล้ายกันกับ ASA หรือเปล่า
การตรวจสอบการกำหนดค่าเราเตอร์: RedSealอาจรวมถึงการตรวจสอบเวอร์ชั่น (เป็นเวลาหลายปีแล้วที่ฉันเคยใช้งานมาก่อน) และเครื่องมือรักษาความปลอดภัยอื่น ๆ อีกมากมายสำหรับเครือข่าย
การจัดการช่องโหว่: Nessusมีเวอร์ชั่นชุมชนและเชิงพาณิชย์และมีซอฟต์แวร์อื่น ๆ มากมายเช่นนี้

— lunistorvalds
แหล่งที่มา

2

ฉันเพิ่งพบปัญหาที่คล้ายกันจาก ASA ที่รัน 8.2 (2) 16 กับช่วงเวลาที่ใช้งานได้ 2.5 ปีซึ่งกลุ่มวัตถุที่ระบุใน crypto map ACLs ไม่ได้ถูกจับคู่ การเพิ่มคำสั่ง ACL ที่กลุ่มวัตถุห้อมล้อมทำให้เกิดทราฟฟิกที่น่าสนใจที่จะจับคู่ น่าผิดหวังมาก

เพื่อนร่วมงานแนะนำว่าพวกเขาเคยเห็นพฤติกรรมนี้มาก่อนและการโหลดซ้ำได้แก้ไขในกรณีนั้น

— ดัดใหญ่
แหล่งที่มา

0

เมื่อคุณพูดว่าข้อความ 'สุ่ม' ปรากฏขึ้นเมื่อเพิ่ม ACE คุณกำลังพิมพ์ ACE เหล่านี้ด้วยตนเองหรือคุณวางข้อความเหล่านั้นจากแหล่งอื่น (เช่น Notepad)

ฉันเคยเห็นปัญหามาก่อนแล้วว่าหากคุณวางสายจำนวนมากลงในอุปกรณ์จะสามารถรับข้อมูลมากเกินไปและเกิดความเสียหายบางอย่างการวางสายน้อยลงมักแก้ไขได้หรือใช้ฟังก์ชั่นในโปรแกรมเทอร์มินัลเพื่อ 'วางช้า' ช่องว่างเวลาระหว่างแต่ละบรรทัด

— David Rothera
แหล่งที่มา

ฉันกำลังสร้าง ACE ใหม่ด้วยตนเองด้วย ASDM หากกฎมีเครือข่ายต้นทางเฉพาะ (ไม่ว่าฉันจะใช้วัตถุเครือข่ายวัตถุกลุ่มหรือเพียงพิมพ์เครือข่ายย่อย) ACE จะปรากฏขึ้นพร้อมคำอธิบายประมาณ 30 บรรทัด ข้อความไม่ได้ "สุ่ม" อย่างสมบูรณ์ดูเหมือนว่าเป็นความคิดเห็นที่ใช้เพียงครั้งเดียวบน ACE ที่ไหนสักแห่ง ... แต่ฉันไม่เคยพิมพ์มันทั้งหมดใน ...

— BrianK