Недавно столкнулся с проблемой: у клиента две Cisco ASA 5512-x, которые работают в режиме active/standby. Клиент забыл обновить пароли, и у всех пользователей истек срок действия пароля. ASA при попытке залогиниться только лишь сообщает об истечении срока действия и не даёт возможности сменить пароль. Так как срок действия истек у всех пользователей, то каким-либо способом подключиться и сменить пароль не представлялось возможным. Всегда был железный вариант сбросить пароль при помощи изменения регистра, но тут без простоя не обойтись. Такой вариант не подходил. Было решено использовать standby ASA, чтоб избежать простоя. Но и там были свои нюансы:
1) Если просто перезагрузить standby ASA, зайти в ROMMON mode, поменять регистр и загрузиться, то мы получим доступ и сможем сменить пароли, но как только выполним
то сразу standby ASA найдет активную ноду и уже будет синхронизировать конфиг оттуда.
2) Если же отключить синхронизацию и только потом загрузить конфигурацию, то standby ASA возьмет себе активные ip адреса и у нас будет конфликт.
После размышлений был придуман следующий план:
1. Перезагружаем standby ASA, заходим в ROMMON, меняем регистр на 0x41 и загружаемся:
1) Если просто перезагрузить standby ASA, зайти в ROMMON mode, поменять регистр и загрузиться, то мы получим доступ и сможем сменить пароли, но как только выполним
copy startup-config running-configто сразу standby ASA найдет активную ноду и уже будет синхронизировать конфиг оттуда.
2) Если же отключить синхронизацию и только потом загрузить конфигурацию, то standby ASA возьмет себе активные ip адреса и у нас будет конфликт.
После размышлений был придуман следующий план:
1. Перезагружаем standby ASA, заходим в ROMMON, меняем регистр на 0x41 и загружаемся:
rommon #1> confreg 0x41rommon #2> boot