Ruslan_Mammadov Jul 26 2018 at 10:57

Сброс пароля на Cisco ASA без простоя для схемы active/standby failover

3 min

8.8K

Cisco*Network hardwareNetwork technologies*

From sandbox

Comments 17

art0m Jul 26 2018 at 12:08

Странный у вас клиент… додумался выстрелить себе в ногу, но зарядил холостой патрон. Намекните ему, что бы в следующий раз было ещё интереснее добавить авторизацию вводимых команд.

vesper-bot Jul 26 2018 at 12:17

Учитывать надо только задержку при переключении с активной ноды на резервную.

Очень надо. Был прецедент — собрали на асе-5505 локалку помимо hot standby-конфигурации, потом навернули на неё прорву всего, в результате failover выполнялся дольше двух минут, локалка порвалась, вместе с ней упал двухнодовый кластер Microsoft, собранный, естественно, с нарушениями. (Точнее, переехали ресурсы кластера как при катастрофе из-за потери связности внутри кластера).

Ruslan_Mammadov Jul 26 2018 at 13:50

Не встречался с таким, при запланированном переходе не наблюдалось большой задержки или разрыва сессий. Спасибо за замечание, надо быть осторожнее.

Henry7 Jul 26 2018 at 14:33

Failover был дольше двух минут при ручном переключении или при отказе узла?

vesper-bot Jul 26 2018 at 15:04

При ручном переключении через ASDM.

shgurbanov Jul 26 2018 at 13:48

Статья в копилку знаний!

Henry7 Jul 26 2018 at 14:35

Всю статью можно уложить в одно предложение.
«Внимание, перед восстановлением пароля отключите синхронизацию в кластере!»

Ruslan_Mammadov Jul 26 2018 at 14:47

Если отключить, то после рестарта standby возьмет себе активные ip адреса.

Henry7 Jul 26 2018 at 15:28

… и выключите все интерфейсы (кроме консольного).

Ruslan_Mammadov Jul 26 2018 at 15:38

А потом правильно включить сихнронизацию и правильно получить доступ к активной ноде.

Karroplan Jul 26 2018 at 22:42

«никогда не используйте локальную авторизацию на сетевых устройствах, кроме одного локального аккаунта на случай потери связи»

vedburtruba Jul 27 2018 at 13:13

Не на чем сейчас протестировать, но, мне кажется, должна сработать такая процедура:

1) Standby ASA отправляем в ребут и меняет конф регистр.
2) Она загружается без конфига, спокойно заходим в enable
3) Загружаем конфиг в running
4) Теперь у нас опять кластер из двух ASA, для которых мы не знаем пароль, но при этом мы находимся в enable на Standby ASA.
5) Делаем failover active, и вот мы на Active ASA в enable режиме
6) Меняем пароли

Т.е. не очень понятно для чего нужно отключать интерфейсы и делать вторую перезагрузку.

Henry7 Jul 28 2018 at 21:46

С п.3 могут возникнуть проблемы.

Ruslan_Mammadov Jul 30 2018 at 13:57

Ответил ниже. Команда на третьем шаге copy startup-config running-config отрабатывала некорректно при тестированиях.

md3k Jul 30 2018 at 13:54

За статью спасибо, но я не понял зачем создавать пользователя и ребутаться, если попасть в привелигированный режим можно сразу после загрузки через rommon.

Ruslan_Mammadov Jul 30 2018 at 13:57

При тестирование возникли проблемы при горячей загрузке start-up config-a, то есть команда copy startup-config running-config отрабатывала некорректно. Возможно, на различных конфигах отрабатывает по-разному. Но как правильно, всегда лучше забутиться сразу со startup-config-ом.

Henry7 Jul 30 2018 at 14:18

«Copy startup-config running-config» — очень специфическая команда, для которой очень мало практического применения.
В cisco для «горячей» замены конфигурации используют «configure replace».
Но в ASA этот механизм, на сколько мне известно, (ещё) не реализован.