ASA 5550 - Khởi động lại đáng giá?


13

Tôi đã có một ASA 5550 đang thực hiện tải và tải hoạt động (AnyConnect, NAT, ACL, RADIUS, v.v.). Nó không quá tải đặc biệt về CPU & Bộ nhớ, nhưng nó có thời gian hoạt động hơn 3,5 năm.

Gần đây tôi đã cố gắng triển khai một đường hầm IPSEC khác (thông qua tiền điện tử) cùng với quy tắc Miễn trừ NAT, nhưng ASA đang thể hiện hành vi rất kỳ lạ. Đôi khi, khi tôi thêm một khối văn bản bật lên từ đâu trong trường mô tả. Bất kể tôi làm gì, các thử nghiệm của tôi với công cụ PacketTracer trên hộp không mang lại kết quả mà tôi mong đợi (ví dụ - tôi thấy gói tin đạt quy tắc Any / Any ở dưới cùng của ACL, mặc dù có một cấu hình cụ thể ACE ở đầu ACL đã nói).

Dù sao, câu hỏi là đây: Đã có ai thực sự giải quyết bất cứ điều gì bằng cách khởi động lại ASA chưa? Đó không phải là lựa chọn yêu thích của tôi, nhưng với những hành vi rất kỳ lạ tôi đang thấy việc khắc phục sự cố đang trở nên vô ích.

Câu trả lời:


18

Câu trả lời ngắn gọn: Có.

Câu trả lời dài hơn :-) Có lỗi trong mỗi phần mềm. Càng chạy lâu, càng có nhiều khả năng người ta sẽ thiết lập cửa hàng trong mạng của bạn. Nhưng quan trọng hơn, nó càng mất nhiều thời gian mà không cần khởi động lại, thì càng ít các cấu hình và / hoặc trạng thái "cũ" sẽ bị bỏ lại. Trong iOS, no interface foosẽ phát ra một cảnh báo rằng nó không bị phá hủy hoàn toàn và các yếu tố cấu hình có thể xuất hiện lại nếu bạn tạo lại giao diện - không nên xảy ra trong ASA nhưng trong một số trường hợp hiếm, thì không. Tôi cũng đã thấy các mục NAT ảo sau khi xóa chúng khỏi cấu hình. (cái đó thực sự là một lỗi)

Khi giao dịch với IPSec / tiền điện tử, tôi đã tìm thấy rất nhiều sự điên rồ có thể được xóa sạch bằng cách reload. Trong một trường hợp (pix 6.3.5), nó sẽ không thiết lập lại đường hầm VPN cho đến khi tôi thực hiện.

[sửa] Nói chung về việc khởi động lại: Tôi có xu hướng khởi động lại mọi thứ chỉ để đảm bảo chúng sẽ hoạt động . Rất thường xuyên, tôi đã có nhiều hệ thống khác nhau (bộ định tuyến, tường lửa, máy chủ) chạy trong thời gian dài - liên tục bị sửa đổi và khi một cái gì đó kết thúc việc khởi động lại chúng (thường là mất điện, nhưng "rất tiếc, máy sai" cũng xảy ra) hiếm khi quay trở lại chính xác như trước đây ... ai đó đã quên làm X khởi động khi khởi động hoặc một số phần tương tác kỳ quặc của các bộ phận làm cho một cái gì đó không khởi động như mong đợi. Tôi thừa nhận, nó ít quan tâm đến các phần tĩnh hơn của cơ sở hạ tầng.


1
Câu trả lời tuyệt vời và tôi hoàn toàn đồng ý rằng bạn cần đảm bảo thiết bị của mình khởi động như mong đợi. Tôi cũng đồng ý rằng tải lại đôi khi là cần thiết (trên thực tế, có thể là truy đòi duy nhất) và có thể khôi phục dịch vụ nhanh hơn. Tôi vừa gặp phải quá nhiều trường hợp trong đó tải lại được coi là sửa chữa thay vì một bước để giải quyết các triệu chứng hiện tại. Không có thăm dò nguyên nhân gốc được thực hiện và không có áp lực nào được đặt ra cho nhà cung cấp để khắc phục vấn đề nếu nó nằm trong mã của họ. Tệ hơn nữa là những trường hợp tôi gặp phải trong đó "tải lại mỗi [thời gian]" là bản sửa lỗi thường trực, khi có một bản nâng cấp mã với bản sửa lỗi thực sự.
YLearn

7

Nói chung, tôi không khuyên bạn nên khởi động lại dưới dạng giải quyết vấn đề trừ khi bạn biết bạn đang xử lý một lỗi gây ra lỗi như rò rỉ bộ nhớ hoặc tình trạng tràn bộ nhớ cache.

Với một ASA đang chạy một hình ảnh ít nhất 3,5 năm tuổi, bạn đã kiểm tra bộ công cụ lỗi của Cisco chưa? Điều lạ lùng là bất kỳ lỗi nào trong nền tảng sẽ được ghi lại và bạn có thể xem nếu có bất kỳ giao diện nào để áp dụng.

Tôi cũng khuyên bạn nên mở trường hợp TAC nếu bạn có hỗ trợ.

Khởi động lại trong tâm trí tôi bóng loáng về các vấn đề khác và có thể làm cho rất khó (nếu không thể) tìm ra nguyên nhân gốc rễ. Cuối cùng mà không hiểu nguyên nhân sâu xa, bạn không biết rằng bạn đã sửa chữa bất cứ điều gì và tôi thấy điều đó rất nguy hiểm, đặc biệt là trên nền tảng "bảo mật".

Chẳng hạn, có thể bạn có một lỗ hổng bảo mật trong mã đang bị khai thác bởi một nguồn bên ngoài. Mặc dù khởi động lại có thể cắt đứt kết nối của họ và làm giảm bớt các triệu chứng, nhưng không có gì để giải quyết vấn đề.


Tôi đồng ý với bạn 100%. Rõ ràng, một số cập nhật và bản vá cần phải được thực hiện trên thiết bị. Tôi vẫn chưa thực hiện tìm kiếm bộ công cụ lỗi, vì xác định vấn đề cụ thể này không phải là điều dễ làm - vậy bạn bắt đầu tìm kiếm ở đâu? Nhưng, để lấp đầy các khoảng trống, sự thay đổi cụ thể này sẽ là tạm thời, vì một dự án lớn hơn để thiết kế lại mạng đang được tiến hành.
BrianK

1
Âm thanh như bạn có một lập trường tốt về mọi thứ. TAC không giống như trước đây, nhưng tôi luôn đề xuất trường hợp TAC (nếu bạn không quen với nó, công cụ lỗi có thể kỳ quặc). Hãy để họ tìm ra lỗi đó là gì, mặc dù bạn có thể phải thúc đẩy họ làm như vậy. Chỉ cần đảm bảo thu thập càng nhiều dữ liệu trước khi khởi động lại càng tốt vì một số chi tiết sẽ bị mất (chạy các quy trình, sử dụng bộ nhớ, v.v.). "Công nghệ hiển thị" sẽ nhận được hầu hết những gì bạn cần trên nền tảng của Cisco.
YLearn

3

Như đã đề cập, quản lý rủi ro và quản lý lỗ hổng nên là mối quan tâm của bạn. Tôi muốn nói rằng có ít nhất 10-20 lỗ hổng đã biết cho phiên bản phần mềm ASA của bạn, giả sử bạn đã cài đặt chương trình cơ sở mới nhất vào thời điểm được biểu thị bằng thời gian hoạt động.

Liên kết Tools.cisco.com, với những lời lẽ thô tục trong năm qua (một số không liên quan, nhưng điều này sẽ cho bạn một ý tưởng hay)

Một số công cụ khác có thể giúp bạn:

  • Cisco Security IntelliShield Alert Manager - xác định xem tài sản mạng, phần cứng và phần mềm có dễ bị tổn thương trước các mối đe dọa mới và hiện có không

  • Trình kiểm tra phần mềm Cisco IOS . Tôi không biết có gì tương tự với ASA không, nhưng có lẽ ai đó có thể kêu vang?

  • Kiểm tra cấu hình bộ định tuyến: RedSeal có thể bao gồm kiểm tra phiên bản (đã vài năm kể từ khi tôi sử dụng nó), cũng như nhiều công cụ bảo mật khác cho mạng

  • Quản lý lỗ hổng: Nessus có các phiên bản cộng đồng và thương mại, và có rất nhiều phần mềm khác như thế này


2

Gần đây tôi đã gặp phải các vấn đề tương tự từ ASA chạy 8.2 (2) 16 với thời gian hoạt động ~ 2,5 năm, theo đó các nhóm đối tượng được chỉ định trong ACL bản đồ mật mã không được khớp. Việc thêm một câu lệnh ACL mà nhóm đối tượng đã bao gồm khiến lưu lượng truy cập thú vị được khớp. Rất bực bội.

Một đồng nghiệp khuyên họ đã thấy hành vi này trước đây và việc tải lại đã giải quyết nó trong trường hợp đó.


0

Khi bạn nói một tải văn bản 'ngẫu nhiên' xuất hiện khi thêm các chữ viết của ACE, bạn có đang tự nhập các chữ cái này vào không hoặc bạn có dán chúng từ một số nguồn khác (như notepad).

Tôi đã thấy các vấn đề trước đây nếu bạn dán nhiều dòng vào thiết bị thì nó có thể bị quá tải và xảy ra một số lỗi, dán ít dòng hơn thường sửa nó hoặc sử dụng một chức năng trên chương trình đầu cuối của bạn để 'dán chậm' để cho phép nhỏ khoảng cách thời gian giữa mỗi dòng.


Tôi đang tự tạo một ACE mới thông qua ASDM. Nếu quy tắc chứa một mạng nguồn cụ thể (cho dù tôi sử dụng đối tượng mạng, đối tượng nhóm hay chỉ đơn giản là gõ mạng con) thì ACE xuất hiện với khoảng 30 dòng mô tả. Văn bản không hoàn toàn "ngẫu nhiên", nó dường như là những bình luận đã được sử dụng một lần, trên một nơi nào đó ... Nhưng tôi chưa bao giờ gõ tất cả vào ...
BrianK
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.