ASA 5550-価値のあるリブート?

13

ロードおよび操作のロード(AnyConnect、NAT、ACL、RADIUSなど)を実行しているASA 5550があります。CPUとメモリの点では特に過負荷ではありませんが、3.5年以上の稼働時間があります。

最近、NAT免除ルールとともに別のIPSECトンネル(cryptomap経由)を展開しようとしましたが、ASAは非常に奇妙な動作を示しています。ACEを追加すると、説明フィールドのどこからでも大量のテキストがポップアップすることがあります。何をしても、オンボックスのPacketTracerツールを使用したテストでは、期待どおりの結果が得られません(たとえば、特別に構成されているにもかかわらず、ACLの下部でパケットがAny / Anyルールにヒットする上記のACLの上部にあるACE)。

とにかく、質問はこれです:誰かがASAを再起動することによって実際に何かを解決したことがありますか?これは私のお気に入りのオプションではありませんが、非常に奇妙な動作のため、トラブルシューティングは実を結ばなくなっています。

cisco-asa 
ブライアン
ソース

回答:

18

簡単な答え:はい。

より長い答え::-)ソフトウェアのすべての部分にバグがあります。実行時間が長いほど、ネットワークでショップをセットアップする可能性が高くなります。しかし、より重要なことは、再起動せずに長くなると、「古い」構成やステータスの小さな部分が残ることです。IOSではno interface foo、インターフェイスが完全に破壊されておらず、インターフェイスを再作成すると構成要素が再表示される可能性があるという警告が表示されます。ASAでは発生しないはずですが、まれに発生します。また、設定から削除した後、幻のNATエントリを見ました。(実際にはバグです)

IPSec / cryptoを扱うとき、狂気の多くはによって解決できることがわかりましたreload。ある場合(pix 6.3.5)は、私がやるまでVPNトンネルを再確立しませんでした。

[編集]一般的な再起動に関する言葉:私は、それらが確実に動作するようにするためだけに再起動する傾向があります。多くの場合、さまざまなシステム(ルーター、ファイアウォール、サーバー)を長期間実行しており、絶えず変更されており、何かがシステムを再起動すると(通常は停電ですが、「おっと、間違ったマシン」も発生します)以前のように正確に復帰することはめったにありません。誰かが起動時にXを起動するのを忘れたり、部品の何らかの奇妙な相互作用が予期したように起動しないことがあります。インフラストラクチャの静的な部分が増えても心配する必要はありません。

リッキービーム
ソース
1
すばらしい答えです。デバイスが期待どおりに起動することを確認する必要があることに完全に同意します。また、リロードが必要になる場合があり(実際、唯一の手段である場合もあります)、サービスをより速く復元できることに同意します。現在の症状を解決するためのステップではなく、修正としてリロードが認識されるケースが多すぎます。根本的な原因の調査は行われず、問題がコード内にある場合、問題を修正するようにベンダーに圧力をかけることはありません。さらに悪いのは、実際の修正を伴うコードのアップグレードがある場合に、「[期間]ごとにリロードする」ことが永続的な修正であるということです。
YLearn
7

一般的に、メモリリークやキャッシュオーバーフロー状態などを引き起こすバグに対処していることがわかっている場合を除き、問題の解決策として再起動はお勧めしません。

少なくとも3.5年前にイメージを実行しているASAで、Ciscoバグツールキットを確認しましたか?おそらく、プラットフォームのバグはすべて文書化され、適用する外観があるかどうかを確認できます。

サポートがある場合は、TACケースを開くこともお勧めします。

私の考えでは、再起動すると他の問題が明らかになり、根本的な原因を見つけることが(不可能ではないにしても)非常に難しくなる可能性があります。最終的に根本原因を理解しないと、あなたは何かを修正したことを知らず、特に「セキュリティ」プラットフォームでは、それが非常に危険であることがわかります。

たとえば、外部ソースによって悪用されているコードにセキュリティ脆弱性がある可能性があります。再起動により接続が切断され、症状が緩和される場合がありますが、問題に対処することはできません。

YLearn
ソース
私はあなたに100%同意します。明らかに、デバイスでいくつかの更新とパッチを実行する必要があります。この特定の問題を特定するのは簡単なことではないため、バグツールキットの検索はまだ行っていません。しかし、ネットワークを再設計するためのより大きなプロジェクトが進行中であるため、ギャップを埋めるために、この特定の変更は一時的なものになります。
ブライアン
1
あなたは物事に良い姿勢を持っているように聞こえます。TACは以前のものではありませんが、TACのケースを常にお勧めします(慣れていない場合、バグツールは風変わりです)。どのバグであるかを彼らに教えてください。一部の詳細(実行中のプロセス、メモリ使用量など)が失われるため、リブート前にできるだけ多くのデータをキャプチャしてください。「show tech」は、Ciscoプラットフォームで必要なもののほとんどを取得するはずです。
YLearn
3

前述のように、リスク管理と脆弱性管理は懸念事項です。稼働時間で表される時間に最新のファームウェアがインストールされていると仮定すると、ASAソフトウェアバージョンには少なくとも10〜20の既知の脆弱性があると思います。

Tools.cisco.comリンク(過去1年間のバルンを含む)(関係のないものもありますが、これは良い考えです)

あなたを助けるかもしれないいくつかの他のツール:

  • Cisco Security IntelliShield Alert Manager-ネットワーク、ハードウェア、およびソフトウェア資産が新規および既存の脅威に対して脆弱かどうかを判断

  • Cisco IOSソフトウェアチェッカー。ASAに似たようなものがあるかどうかはわかりませんが、誰かが鳴り響く可能性がありますか?

  • ルーター構成の監査:RedSealには、バージョンチェック(使用してから数年経っています)、およびネットワーク用のその他のセキュリティツールが含まれている場合があります

  • 脆弱性管理:Nessusにはコミュニティ版と商用版があり、このようなソフトウェアは他にもたくさんあります

Lunistorvalds
ソース
2

8.2(2)16を実行している〜2.5年のアップタイムでASAから同様の問題に最近遭遇しました。これにより、暗号マップACLで指定されたオブジェクトグループが一致しませんでした。オブジェクトグループがすでに含まれているACLステートメントを追加すると、対象トラフィックが一致しました。とてもイライラします。

同僚は、以前にこの振る舞いを見たことがあることと、その場合にリロードで解決したことをアドバイスしました。

ビッグパーマ
ソース
0

ACEを追加するときに「ランダムな」テキストが大量に表示されると言う場合、これらのACEを手動で入力するのですか、それとも他のソース(メモ帳など)から貼り付けるのですか?

多くの行をデバイスに貼り付けると過負荷になる可能性があり、いくつかの破損が発生する前に問題が見られました各ライン間の時間ギャップ。

デビッド・ロテラ
ソース
ASDM経由で新しいACEを手動で作成しています。ルールに特定のソースネットワークが含まれている場合(ネットワークオブジェクトを使用するか、グループオブジェクトを使用するか、単にサブネットを入力するか)、ACEには約30行の説明が表示されます。テキストは完全に「ランダム」ではなく、どこかでACEで一度使用されたコメントのように見えます...しかし、私はすべてを入力したことはありません
...-BrianK
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.