Комментарии 17
Странный у вас клиент… додумался выстрелить себе в ногу, но зарядил холостой патрон. Намекните ему, что бы в следующий раз было ещё интереснее добавить авторизацию вводимых команд.
Учитывать надо только задержку при переключении с активной ноды на резервную.
Очень надо. Был прецедент — собрали на асе-5505 локалку помимо hot standby-конфигурации, потом навернули на неё прорву всего, в результате failover выполнялся дольше двух минут, локалка порвалась, вместе с ней упал двухнодовый кластер Microsoft, собранный, естественно, с нарушениями. (Точнее, переехали ресурсы кластера как при катастрофе из-за потери связности внутри кластера).
Статья в копилку знаний!
Всю статью можно уложить в одно предложение.
«Внимание, перед восстановлением пароля отключите синхронизацию в кластере!»
«Внимание, перед восстановлением пароля отключите синхронизацию в кластере!»
Если отключить, то после рестарта standby возьмет себе активные ip адреса.
«никогда не используйте локальную авторизацию на сетевых устройствах, кроме одного локального аккаунта на случай потери связи»
Не на чем сейчас протестировать, но, мне кажется, должна сработать такая процедура:
1) Standby ASA отправляем в ребут и меняет конф регистр.
2) Она загружается без конфига, спокойно заходим в enable
3) Загружаем конфиг в running
4) Теперь у нас опять кластер из двух ASA, для которых мы не знаем пароль, но при этом мы находимся в enable на Standby ASA.
5) Делаем failover active, и вот мы на Active ASA в enable режиме
6) Меняем пароли
Т.е. не очень понятно для чего нужно отключать интерфейсы и делать вторую перезагрузку.
1) Standby ASA отправляем в ребут и меняет конф регистр.
2) Она загружается без конфига, спокойно заходим в enable
3) Загружаем конфиг в running
4) Теперь у нас опять кластер из двух ASA, для которых мы не знаем пароль, но при этом мы находимся в enable на Standby ASA.
5) Делаем failover active, и вот мы на Active ASA в enable режиме
6) Меняем пароли
Т.е. не очень понятно для чего нужно отключать интерфейсы и делать вторую перезагрузку.
За статью спасибо, но я не понял зачем создавать пользователя и ребутаться, если попасть в привелигированный режим можно сразу после загрузки через rommon.
При тестирование возникли проблемы при горячей загрузке start-up config-a, то есть команда copy startup-config running-config отрабатывала некорректно. Возможно, на различных конфигах отрабатывает по-разному. Но как правильно, всегда лучше забутиться сразу со startup-config-ом.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Сброс пароля на Cisco ASA без простоя для схемы active/standby failover