Недавно столкнулся с проблемой: у клиента две Cisco ASA 5512-x, которые работают в режиме active/standby. Клиент забыл обновить пароли, и у всех пользователей истек срок действия пароля. ASA при попытке залогиниться только лишь сообщает об истечении срока действия и не даёт возможности сменить пароль. Так как срок действия истек у всех пользователей, то каким-либо способом подключиться и сменить пароль не представлялось возможным. Всегда был железный вариант сбросить пароль при помощи изменения регистра, но тут без простоя не обойтись. Такой вариант не подходил. Было решено использовать standby ASA, чтоб избежать простоя. Но и там были свои нюансы:
1) Если просто перезагрузить standby ASA, зайти в ROMMON mode, поменять регистр и загрузиться, то мы получим доступ и сможем сменить пароли, но как только выполним
то сразу standby ASA найдет активную ноду и уже будет синхронизировать конфиг оттуда.
2) Если же отключить синхронизацию и только потом загрузить конфигурацию, то standby ASA возьмет себе активные ip адреса и у нас будет конфликт.
После размышлений был придуман следующий план:
1. Перезагружаем standby ASA, заходим в ROMMON, меняем регистр на 0x41 и загружаемся:
2. Теперь отключаем все интерфейсы standby ASA (можно на коммутаторе, куда подключена ASA или просто выдернуть все сетевые кабели из самой ASA).
3. Входим в privileged EXEC mode:
и загружаем рабочую конфигурацию:
Тут standby ASA без активных интерфейсов не сможет ни синхронизировать данные, ни навредить конфликтом ip адресов, если посчитает себя активной нодой. Заходим в конфигурацию и добавляем нового пользователя для дальнейшего доступа:
4. Тут можно по-разному поступить, не подключать кабели, лишь в конце физически подключить, отключенные нами кабели, или подключить их, но до этого отключить все интерфейсы из конфигурации. На данном этапе было решено отключить все интерфейсы через конфигурацию и подготовить для включения.
5. Возвращаем регистр по умолчанию, сохраняем конфигурацию и перезагружаемся.
Теперь standby ASA после рестарта загрузится с конфигом и необходимым нам пользователем test. Найти активную ноду для синхронизации standby ASA не сможет, так как интерфейсы выключены, а став активной ничего не испортит по той же причине.
6. Теперь, после загрузки с нужной конфигурацией, мы можем подключиться пользователем test. Подключаемся и входим в privileged EXEC mode. Далее, включаем интерфейс или интерфейсы, которые были предназначены для failover. После чего, наша standby ASA найдет активную ноду, синхронизирует конфиги и перейдет в standby режим. В этом случае, наш пользователь test будет удален, но так как в этот момент мы уже находим в privileged EXEC mode, то наша сессия останется. Если в этот момент выйти, то зайти мы уже не сможем, поэтому здесь надо быть предельно внимательным. Также включатся все остальные интерфейсы из-за синхронизации конфигурации с активной ноды.
Менять пароли пользователей мы можем только на активной ноде, но доступа у нас к ней все еще нет. Выход сделать нашу stanby ASA активной с нашим уже существующим доступом. Когда наша standby ASA перейдет в состояние standby ready после синхронизации с активной нодой, то можно сделать переключение. Посмотреть состояние можно при помощи команды:
А при помощи второй команды переключимся с Active ASA на Standby ASA:
7. Теперь, мы с доступом на активной ноде. Тут уже можно поменять пароли пользователей и при необходимости обратно переключиться ( если это критично).
Таким образом, мы можем сбросить пароли без простоя в данной схеме. Учитывать надо только задержку при переключении с активной ноды на резервную.
1) Если просто перезагрузить standby ASA, зайти в ROMMON mode, поменять регистр и загрузиться, то мы получим доступ и сможем сменить пароли, но как только выполним
copy startup-config running-configто сразу standby ASA найдет активную ноду и уже будет синхронизировать конфиг оттуда.
2) Если же отключить синхронизацию и только потом загрузить конфигурацию, то standby ASA возьмет себе активные ip адреса и у нас будет конфликт.
После размышлений был придуман следующий план:
1. Перезагружаем standby ASA, заходим в ROMMON, меняем регистр на 0x41 и загружаемся:
rommon #1> confreg 0x41rommon #2> boot2. Теперь отключаем все интерфейсы standby ASA (можно на коммутаторе, куда подключена ASA или просто выдернуть все сетевые кабели из самой ASA).
3. Входим в privileged EXEC mode:
hostname> enableи загружаем рабочую конфигурацию:
hostname# copy startup-config running-configТут standby ASA без активных интерфейсов не сможет ни синхронизировать данные, ни навредить конфликтом ip адресов, если посчитает себя активной нодой. Заходим в конфигурацию и добавляем нового пользователя для дальнейшего доступа:
hostname# configure terminal
hostname(config)# username test password test4. Тут можно по-разному поступить, не подключать кабели, лишь в конце физически подключить, отключенные нами кабели, или подключить их, но до этого отключить все интерфейсы из конфигурации. На данном этапе было решено отключить все интерфейсы через конфигурацию и подготовить для включения.
hostname(config)# interface interface_id
hostname(config-if)# shutdown5. Возвращаем регистр по умолчанию, сохраняем конфигурацию и перезагружаемся.
hostname(config)# no config-register
hostname(config)# writeТеперь standby ASA после рестарта загрузится с конфигом и необходимым нам пользователем test. Найти активную ноду для синхронизации standby ASA не сможет, так как интерфейсы выключены, а став активной ничего не испортит по той же причине.
6. Теперь, после загрузки с нужной конфигурацией, мы можем подключиться пользователем test. Подключаемся и входим в privileged EXEC mode. Далее, включаем интерфейс или интерфейсы, которые были предназначены для failover. После чего, наша standby ASA найдет активную ноду, синхронизирует конфиги и перейдет в standby режим. В этом случае, наш пользователь test будет удален, но так как в этот момент мы уже находим в privileged EXEC mode, то наша сессия останется. Если в этот момент выйти, то зайти мы уже не сможем, поэтому здесь надо быть предельно внимательным. Также включатся все остальные интерфейсы из-за синхронизации конфигурации с активной ноды.
Менять пароли пользователей мы можем только на активной ноде, но доступа у нас к ней все еще нет. Выход сделать нашу stanby ASA активной с нашим уже существующим доступом. Когда наша standby ASA перейдет в состояние standby ready после синхронизации с активной нодой, то можно сделать переключение. Посмотреть состояние можно при помощи команды:
hostname(config)# show failover stateА при помощи второй команды переключимся с Active ASA на Standby ASA:
hostname(config)# failover active7. Теперь, мы с доступом на активной ноде. Тут уже можно поменять пароли пользователей и при необходимости обратно переключиться ( если это критично).
Таким образом, мы можем сбросить пароли без простоя в данной схеме. Учитывать надо только задержку при переключении с активной ноды на резервную.
