Ruslan_Mammadov26 июл 2018 в 07:57

Сброс пароля на Cisco ASA без простоя для схемы active/standby failover

3 мин

10K

Cisco * Сетевое оборудованиеСетевые технологии *

Из песочницы

Комментарии 17

art0m 26 июл 2018 в 09:08

Странный у вас клиент… додумался выстрелить себе в ногу, но зарядил холостой патрон. Намекните ему, что бы в следующий раз было ещё интереснее добавить авторизацию вводимых команд.

vesper-bot 26 июл 2018 в 09:17

Учитывать надо только задержку при переключении с активной ноды на резервную.

Очень надо. Был прецедент — собрали на асе-5505 локалку помимо hot standby-конфигурации, потом навернули на неё прорву всего, в результате failover выполнялся дольше двух минут, локалка порвалась, вместе с ней упал двухнодовый кластер Microsoft, собранный, естественно, с нарушениями. (Точнее, переехали ресурсы кластера как при катастрофе из-за потери связности внутри кластера).

Ruslan_Mammadov 26 июл 2018 в 10:50

Не встречался с таким, при запланированном переходе не наблюдалось большой задержки или разрыва сессий. Спасибо за замечание, надо быть осторожнее.

Henry7 26 июл 2018 в 11:33

Failover был дольше двух минут при ручном переключении или при отказе узла?

vesper-bot 26 июл 2018 в 12:04

При ручном переключении через ASDM.

shgurbanov 26 июл 2018 в 10:48

Статья в копилку знаний!

Henry7 26 июл 2018 в 11:35

Всю статью можно уложить в одно предложение.
«Внимание, перед восстановлением пароля отключите синхронизацию в кластере!»

Ruslan_Mammadov 26 июл 2018 в 11:47

Если отключить, то после рестарта standby возьмет себе активные ip адреса.

Henry7 26 июл 2018 в 12:28

… и выключите все интерфейсы (кроме консольного).

Ruslan_Mammadov 26 июл 2018 в 12:38

А потом правильно включить сихнронизацию и правильно получить доступ к активной ноде.

Karroplan 26 июл 2018 в 19:42

«никогда не используйте локальную авторизацию на сетевых устройствах, кроме одного локального аккаунта на случай потери связи»

vedburtruba 27 июл 2018 в 10:13

Не на чем сейчас протестировать, но, мне кажется, должна сработать такая процедура:

1) Standby ASA отправляем в ребут и меняет конф регистр.
2) Она загружается без конфига, спокойно заходим в enable
3) Загружаем конфиг в running
4) Теперь у нас опять кластер из двух ASA, для которых мы не знаем пароль, но при этом мы находимся в enable на Standby ASA.
5) Делаем failover active, и вот мы на Active ASA в enable режиме
6) Меняем пароли

Т.е. не очень понятно для чего нужно отключать интерфейсы и делать вторую перезагрузку.

Henry7 28 июл 2018 в 18:46

С п.3 могут возникнуть проблемы.

Ruslan_Mammadov 30 июл 2018 в 10:57

Ответил ниже. Команда на третьем шаге copy startup-config running-config отрабатывала некорректно при тестированиях.

md3k 30 июл 2018 в 10:54

За статью спасибо, но я не понял зачем создавать пользователя и ребутаться, если попасть в привелигированный режим можно сразу после загрузки через rommon.

Ruslan_Mammadov 30 июл 2018 в 10:57

При тестирование возникли проблемы при горячей загрузке start-up config-a, то есть команда copy startup-config running-config отрабатывала некорректно. Возможно, на различных конфигах отрабатывает по-разному. Но как правильно, всегда лучше забутиться сразу со startup-config-ом.

Henry7 30 июл 2018 в 11:18

«Copy startup-config running-config» — очень специфическая команда, для которой очень мало практического применения.
В cisco для «горячей» замены конфигурации используют «configure replace».
Но в ASA этот механизм, на сколько мне известно, (ещё) не реализован.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий