ASA 5550-재 부팅 가치가 있습니까?

13

로드 및로드 작업 (AnyConnect, NAT, ACL, RADIUS 등)을 수행하는 ASA 5550이 있습니다. CPU 및 메모리 측면에서 특히 과부하가 걸리지 않지만 가동 시간은 3.5 년 이상입니다.

최근에 NAT Exempt 규칙과 함께 다른 IPSEC 터널 (cryptomap을 통해)을 배포하려고 시도했지만 ASA는 매우 이상한 행동을 보이고 있습니다. 때로는 ACE를 추가하면 설명 필드의 아무 곳에도 많은 텍스트가 나타납니다. 내가 무엇을하든, 온 박스 PacketTracer 도구를 사용한 테스트는 예상 한 결과를 얻지 못합니다 (예 : 패킷이 ACL의 맨 아래에 Any / Any 규칙을 적용한 것으로 보입니다. 상기 ACL의 상단에있는 ACE).

어쨌든 문제는 이것입니다. 누군가 ASA를 재부팅하여 실제로 어떤 문제를 해결 한 적이 있습니까? 가장 좋아하는 옵션은 아니지만 매우 이상한 동작으로 문제 해결이 효과가 없음을 알 수 있습니다.

cisco-asa 
브라이언
소스

답변:

18

짧은 대답 : 그렇습니다.

더 긴 대답 : :-) 모든 소프트웨어에 버그가 있습니다. 실행 시간이 길수록 네트워크에서 작업장을 설치할 가능성이 높습니다. 그러나 다시 말하면 재부팅하지 않고 오래 갈수록 "오래된"구성 및 / 또는 상태가 조금 더 남아있게됩니다. IOS에서는 no interface foo인터페이스를 다시 만들면 구성 요소가 완전히 손상되지 않았으며 구성 요소가 다시 나타날 수 있다는 경고를 표시합니다. ASA에서는 발생하지 않지만 드물게 발생합니다. 또한 구성에서 팬텀 NAT 항목을 삭제 한 후 보았습니다. (실제로는 버그입니다)

IPSec / crypto를 다룰 때, 나는 많은 미친 짓을 해결할 수 있음을 발견했습니다 reload. 어떤 경우에는 (pix 6.3.5) 내가 할 때까지 VPN 터널을 다시 설정하지 않습니다.

[edit] 일반적으로 재부팅에 관한 단어 : 나는 단지 재부팅을하는 경향 이있다 . 너무나 자주 나는 다양한 시스템 (라우터, 방화벽, 서버)을 오랜 시간 동안 실행하고 있습니다-끊임없이 수정되고 무언가가 다시 시작되면 (보통 정전이지만 "잘못된 시스템"이 발생합니다) 이전과 똑같은 방식으로 돌아 오는 경우는 거의 없습니다. 누군가 부팅 할 때 X를 시작하는 것을 잊었거나 부품의 이상한 상호 작용으로 인해 예상대로 시작되지 않는 것이 있습니다. 본인은 인프라의 더 정적 인 부분에 대한 관심이 적다는 것을 인정합니다.

리키 빔
소스
1
훌륭한 답변입니다. 장치가 예상대로 부팅되는지 확인해야한다는 데 전적으로 동의합니다. 또한 재 장전이 때때로 필요하며 (사실 유일한 유일한 대안 일 수 있음) 서비스를 더 빠르게 복원 할 수 있다는 데 동의합니다. 재로드가 현재 증상을 해결하는 단계가 아니라 수정으로 인식되는 경우가 너무 많습니다. 근본 원인에 대한 탐색은 수행되지 않으며 벤더가 코드에있는 경우 문제점을 수정하도록 압력을 가하지 않습니다. 실제 수정으로 코드를 업그레이드 할 때 "[모든 기간을 다시로드" "가 정식으로 수정되는 경우가 더욱 악화됩니다.
YLearn
7

일반적으로 메모리 누수 또는 캐시 오버플로 조건과 같은 버그를 다루는 것을 알고 있지 않으면 문제의 해결 방법으로 재부팅을 권장하지 않습니다.

ASA에서 3.5 년 이상 이미지를 실행중인 경우 Cisco 버그 툴킷을 확인 했습니까? 이상한 점은 플랫폼의 모든 버그가 문서화되어 있으며 적용 가능한지 확인할 수 있다는 것입니다.

지원이있는 경우 TAC 케이스를 여는 것이 좋습니다.

내 마음 속에서 재부팅하면 다른 문제를 극복하고 근본 원인을 찾기가 매우 어렵습니다 (불가능하지는 않지만). 궁극적으로 근본 원인을 이해하지 못하면, 당신은 당신이 무엇을 고쳤다는 것을 알지 못하며, 특히 "보안"플랫폼에서 매우 위험하다는 것을 알게됩니다.

예를 들어 외부 소스에 의해 악용되는 코드에 보안 취약점이있을 수 있습니다. 다시 부팅하면 연결이 끊어지고 증상이 완화 될 수 있지만 문제를 해결하기위한 조치는 없습니다.

YLearn
소스
100 % 동의합니다. 분명히 일부 업데이트 및 패치는 장치에서 수행해야합니다. 이 특정 문제를 식별하는 것은 쉬운 일이 아니기 때문에 아직 버그 툴킷 검색을 수행하지 않았습니다. 어디서 검색을 시작합니까? 그러나 이러한 차이를 메우기 위해 네트워크를 재 설계하는 더 큰 프로젝트가 진행됨에 따라 이러한 변화는 일시적 일 것입니다.
BrianK
1
사물에 대한 입장이 좋은 것 같습니다. TAC는 예전과는 다르지만 항상 TAC 사례를 권장합니다. 익숙하지 않은 경우 버그 도구가 기발 할 수 있습니다. 그들이 어떤 버그인지 알아 내도록하자. 일부 세부 정보 (프로세스 실행, 메모리 사용량 등)가 손실 될 수 있으므로 재부팅하기 전에 가능한 많은 데이터를 캡처하십시오. "쇼 테크"는 Cisco 플랫폼에서 필요한 대부분을 확보해야합니다.
YLearn
3

언급 한 바와 같이 위험 관리 및 취약성 관리가 귀하의 관심사입니다. 가동 시간으로 표시된 시점에 최신 펌웨어가 설치되어 있다고 가정 할 때 ASA 소프트웨어 버전에 대해 알려진 취약점이 10-20 개 이상이라고 말하고 싶습니다 .

지난 1 년 동안 취약점이있는 Tools.cisco.com 링크 (일부는 관련이 없지만 좋은 아이디어가 될 것입니다)

당신을 도울 수있는 다른 도구들 :

  • Cisco Security IntelliShield Alert Manager- 네트워크, 하드웨어 및 소프트웨어 자산이 새로운 위협과 기존 위협에 취약한 지 확인

  • Cisco IOS 소프트웨어 검사기 . ASA와 비슷한 것이 있는지 모르겠지만 누군가가 차임 할 수 있습니까?

  • 라우터 구성 감사 : RedSeal 에는 버전 확인 (이와 함께 사용 된 지 몇 년이 지났음 ) 및 네트워크를위한 기타 여러 보안 도구가 포함될 수 있습니다.

  • 취약점 관리 : Nessus 에는 커뮤니티 및 상업용 버전이 있으며 이와 같은 다른 소프트웨어가 많이 있습니다.

lunistorvalds
소스
2

최근에 ~ 2.5 년의 가동 시간으로 8.2 (2) 16을 실행하는 ASA에서 비슷한 문제가 발생하여 암호화 맵 ACL에 지정된 객체 그룹이 일치하지 않습니다. 객체 그룹에 이미 포함 된 ACL 문을 추가하면 흥미로운 트래픽이 일치하게됩니다. 매우 실망 스럽습니다.

동료는 이전에이 동작을 보았으며 다시로드하면 해당 상황에서 문제가 해결되었다고 조언했습니다.

큰 파마
소스
0

ACE를 추가 할 때 많은 '무작위'텍스트가 표시되면 수동으로이 ACE를 입력하거나 다른 소스 (메모장과 같은)에서 붙여 넣는 것입니다.

장치에 많은 줄을 붙여 넣을 경우 과부하가 걸리고 일부 손상이 발생하고 줄이 적을수록 일반적으로 문제를 해결하거나 터미널 프로그램의 기능을 사용하여 작은 것을 허용하기 위해 '느리게 붙여 넣기'하는 문제가 발생했습니다. 각 라인 사이의 시간 간격.

데이비드로 데라
소스
ASDM을 통해 새 ACE를 수동으로 생성하고 있습니다. 규칙에 특정 소스 네트워크가 포함 된 경우 (네트워크 개체를 사용하든 그룹 개체를 사용하든 단순히 서브넷을 입력하든) ACE는 약 30 줄의 설명으로 나타납니다. 텍스트는 완전히 "무작위"가 아니며, 어딘가에 ACE에서 한 번 사용 된 주석 인 것 같습니다 ... 그러나 나는 그것을 전혀 입력하지 않았습니다 ...
BrianK
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.