تعطيل مراقبة الوحدة النمطية للخدمة على ASA لتجنب أحداث تجاوز الفشل غير المرغوب فيها (SFR/CX/IPS/CSC).
المحتويات
المقدمة
يوضح هذا المستند كيفية تعطيل المراقبة على الوحدات النمطية SourceFire (SFR) و Context Aware (CX) و Intrusion Prevention System (IPS) وأمان المحتوى والتحكم (CSC) في بيئة التغلب على الأعطال الخاصة بجهاز الأمان القابل للتكيف (ASA).
ساهم به سيزار لوبيز، مهندس TAC من Cisco.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- تهيئة أجهزة الأمان المعدلة.
- معرفة تجاوز فشل ASA للحصول على إمكانية توفر عالية.
من الإصدار 9.3(1)، تكون هذه الميزة قابلة للتكوين. وقبل الإصدار المذكور، ستظل الوحدة النمطية خاضعة للمراقبة دائما. يمكن إستخدام حل بديل للإصدارات السابقة الموضحة في هذا المستند.
المكونات المستخدمة
يستند هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco ASA الإصدار 9.3(1) والإصدارات الأحدث.
- السلسلة ASA 5500-X مع خدمات FirePOWER أو الوحدة النمطية ASA CX Context-aware Security أو IPS.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر
معلومات أساسية
بشكل افتراضي، يراقب ASA وحدة خدمة مثبتة. في حالة اكتشاف عطل في الوحدة النمطية للوحدة النشطة، يتم تشغيل تجاوز فشل الجهاز.
قد يكون من المفيد تعطيل هذه الشاشة عندما يكون هناك إعادة تحميل مجدولة لوحدة الخدمة أو حالات فشل متصلة للوحدة النمطية نفسها دون رغبة في إجراء حدث تجاوز فشل ASA.
التكوين
الرسم التخطيطي للشبكة
يستخدم هذا المستند هذا الإعداد:
التكوينات
يتم إستخدام هذا التكوين في أجهزة المختبر لتوضيح ميزة الشاشة المذكورة في هذا المستند. يتم تضمين التكوين ذي الصلة فقط. يتم حذف بعض سطور هذا الإخراج.
ASA Version 9.3(3)
!
hostname ASA-FPWR
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.88.247.5 255.255.255.224 standby 10.88.247.6
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.10.111 255.255.255.0 standby 192.168.10.112
!
...
!
interface GigabitEthernet0/6
description LAN Failover Interface
!
interface GigabitEthernet0/7
description STATE Failover Interface
!
...
failover
failover lan unit primary
failover lan interface folink GigabitEthernet0/6
failover link statelink GigabitEthernet0/7
failover interface ip folink 1.1.1.1 255.255.255.0 standby 1.1.1.2
failover interface ip statelink 2.2.2.1 255.255.255.0 standby 2.2.2.2
!
...
!
class-map SFR
match any
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
class SFR
sfr fail-open
!
service-policy global_policy global
prompt hostname context priority state
no call-home reporting anonymous
Cryptochecksum:b268e0095f175a26aa94d120e9041c29
: end
تحقق من المكونات المراقبة الحالية.
عندما تكون وحدات ASA في وضع تجاوز الفشل، يتم مراقبة وحدة الخدمة النمطية المثبتة بشكل افتراضي، كما هو الحال مع واجهات الجهاز. هذا أمر يستطيع كنت استعملت، in order to رأيت أي المكونات حالي يكون monitore:
ASA-FPWR/pri/act# show run all monitor-interface
monitor-interface outside
monitor-interface inside
monitor-interface service-module
تحقق من حالة وحدة خدمة وحدات ASA.
يوضح إخراج show لتجاوز الفشل الحالة الحالية لكل وحدة:
ASA-FPWR/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: folink GigabitEthernet0/6 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 316 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.3(3), Mate 9.3(3)
Last Failover at: 14:30:44 UTC Aug 6 2015
This host: Primary - Active
Active time: 85 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.5): Normal (Monitored)
Interface inside (192.168.10.111): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Up/Up)
ASA FirePOWER, 5.3.1-152, Up
Other host: Secondary - Standby Ready
Active time: 396 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.6): Normal (Monitored)
Interface inside (192.168.10.112): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
ASA FirePOWER, 5.3.1-155, Up
في حالة تعطل الوحدة النمطية للخدمة الخاصة بوحدة نشطة، يحدث حدث تجاوز فشل. وتصبح الوحدة النشطة في وضع الاستعداد، وتقوم الوحدة الاحتياطية السابقة بالدور النشط. في بعض السيناريوهات، يتسبب ذلك في إعادة تقارب بعض الميزات غير المدعومة بتجاوز الفشل ذي الحالة.
دققت الخدمة وحدة نمطية يفشل أسلوب:
إن استعملت Failed-openPolicy يكون أن يرسل حركة مرور إلى الوحدة نمطية، يستمر حركة مرور يمر عبر ال ASA دون أن يكون أرسلت إلى الخدمة وحدة نمطية. يمكن أن تكون هذه طريقة أكثر شفافية للتغلب على حالة انخفاض الوحدة النمطية المتوقعة.
لمعرفة حالة النهج المستخدمة، قم بتشغيل الأمر show service-policy [sfr|cx|ips|csc] .
ASA-FPWR/pri/act# show service-policy sfr
Global policy:
Service-policy: global_policy
Class-map: SFR
SFR: card status Up, mode fail-open
packet input 0, packet output 0, drop 0, reset-drop 0
وبوسعنا أن نرى نفس الشيء من خلال التحقق من تكوين إطار عمل السياسة النمطية (MPF):
ASA-FPWR/pri/act# show run policy-map
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
class SFR
sfr fail-open
!
ASA-FPWR/pri/act#
تعطيل مراقبة الوحدة النمطية للخدمة.
هذا الأمر، يجعل عملية تجاوز الفشل توقف مراقبة الوحدة النمطية للخدمة. يمكن إجراء أي عملية إعادة تحميل مخطط لها أو أستكشاف أخطاء الوحدة وإصلاحها دون تجاوز الفشل، في حالة خروج الوحدة النمطية "لأسفل" أو "غير مستجيب".
no monitor-interface service-module
التحقق من الصحة
تحقق من تعطيل مراقبة وحدة الخدمة النمطية.
تحت التكوين الجاري تشغيله، يتم رفض الأمر monitor-interface.
ASA-FPWR/pri/act(config)# show run all monitor-interface
monitor-interface outside
monitor-interface inside
no monitor-interface service-module
لاختبار إعادة تحميل الوحدة النمطية المستضافة بواسطة الوحدة النشطة.
لأغراض العرض التوضيحي، يتم إعادة تحميل وحدة FirePOWER الموجودة على هذه الوحدة للتأكد مما إذا كانت وحدة تجاوز الأعطال النشطة ستبقى على هذا الدور.
خرج من وحدة FirePOWER في الوحدة الأساسية/النشطة ل ASA.
Sourcefire ASA5545 v5.3.1 (build 152)
Last login: Thu Aug 6 14:40:46 on ttyS1
>
> system reboot
This command will reboot the system. Continue?
Please enter 'YES' or 'NO': YES
Broadcast message from root (Thu Aug 6 14:40:59 2015):
The system is going down for reboot NOW!
Escape Sequence detected
Console session with module sfr terminated.
إخراج من الوحدة الأساسية/النشطة ل ASA أثناء إعادة تحميل الوحدة النمطية.
تبقى الوحدة في الدور النشط.
ASA-FPWR/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: folink GigabitEthernet0/6 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 316 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.3(3), Mate 9.3(3)
Last Failover at: 14:30:44 UTC Aug 6 2015
This host: Primary - Active
Active time: 616 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.5): Normal (Monitored)
Interface inside (192.168.10.111): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Unresponsive/Down)
ASA FirePOWER, 5.3.1-152, Not Applicable
Other host: Secondary - Standby Ready
Active time: 396 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.6): Normal (Monitored)
Interface inside (192.168.10.112): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
ASA FirePOWER, 5.3.1-155, Up
خرج من الوحدة الثانوية/الاحتياطية ASA أثناء إعادة تحميل الوحدة النمطية:
لا تكشف الوحدة الاحتياطية هذه الحالة كحالة فشل ولا تأخذ الدور النشط.
ASA-FPWR/sec/stby# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: folink GigabitEthernet0/6 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 316 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.3(3), Mate 9.3(3)
Last Failover at: 14:30:59 UTC Aug 6 2015
This host: Secondary - Standby Ready
Active time: 396 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.6): Normal (Monitored)
Interface inside (192.168.10.112): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
ASA FirePOWER, 5.3.1-155, Up
Other host: Primary - Active
Active time: 670 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.5): Normal (Monitored)
Interface inside (192.168.10.111): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Unresponsive/Down)
ASA FirePOWER, 5.3.1-152, Not Applicable
قم بتمكين مراقبة وحدة الخدمة النمطية.
لتمكين مراقبة الوحدة النمطية، قم بتشغيل هذا الأمر:
monitor-interface service-module
تحقق من تمكين الوحدة النمطية للخدمة.
لم يعد أمر الوحدة النمطية للخدمة ملغيا.
ASA-FPWR/pri/act(config)# show run all monitor-interface
monitor-interface outside
monitor-interface inside
monitor-interface service-module
استكشاف الأخطاء وإصلاحها
المسألة 1. يستمر ASAs في الفشل، ويتم عرض هذه الرسالة "لقد فشلت بطاقة الخدمة في وحدة أخرى".
إذا تم الكشف عن حدث واحد أو أكثر من أحداث تجاوز الفشل، يمكن إستخدام محفوظات show لتجاوز الفشل لمعرفة السبب المحتمل.
ASA-FPWR/sec/act# show failover history
==========================================================================
From State To State Reason
==========================================================================
14:38:58 UTC Aug 5 2015
Bulk Sync Standby Ready Detected an Active mate
14:39:05 UTC Aug 5 2015
Standby Ready Bulk Sync No Error
14:39:17 UTC Aug 5 2015
Bulk Sync Standby Ready No Error
14:48:12 UTC Aug 6 2015
Standby Ready Just Active Service card in other unit has failed
14:48:12 UTC Aug 6 2015
Just Active Active Drain Service card in other unit has failed
14:48:12 UTC Aug 6 2015
Active Drain Active Applying Config Service card in other unit has failed
14:48:12 UTC Aug 6 2015
Active Applying Config Active Config Applied Service card in other unit has failed
14:48:12 UTC Aug 6 2015
Active Config Applied Active Service card in other unit has failed
تعرض الوحدة الاحتياطية الآن هذه الرسالة:
14:47:56 UTC Aug 6 2015
Standby Ready Failed Detect service card failure
في حالة ظهور رسالة "فشل بطاقة الخدمة في وحدة أخرى"، حدث تجاوز الفشل لأن الوحدة النشطة اكتشفت أن الوحدة الخاصة بها غير مستجيبة.
إذا بقيت الوحدة النمطية في حالة "عدم الاستجابة"، يبقى ASA المتضرر في الوضع فاشل.
ASA-FPWR/sec/stby# Waiting for the earlier webvpn instance to terminate...
Previous instance shut down. Starting a new one.
Switching to Active
ASA-FPWR/sec/act#
ASA-FPWR/sec/act# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: folink GigabitEthernet0/6 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 316 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.3(3), Mate 9.3(3)
Last Failover at: 14:24:23 UTC Aug 6 2015
This host: Secondary - Active
Active time: 38 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.5): Normal (Waiting)
Interface inside (192.168.10.111): Normal (Waiting)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
ASA FirePOWER, 5.3.1-155, Up
Other host: Primary - Failed
Active time: 182 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.6): Normal (Waiting)
Interface inside (192.168.10.112): Normal (Waiting)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Unresponsive/Down)
ASA FirePOWER, 5.3.1-152, Not Applicable
الحل
يمكن تعطيل مراقبة وحدة الخدمة النمطية بينما يمكن تنفيذ خطوات أخرى لاستكشاف أخطاء المشكلة وإصلاحها من أجل إسترداد الوحدة النمطية.
no monitor-interface service-module
المسألة 2. لا يدعم ASA الخاص بي الإصدار 9.3(1) أو لا يمكنني ترقيته. كيف يمكنني تجنب حوادث تجاوز الفشل؟
لا تدعم سلسلة ASA5500 القديمة إصدار 9.3(1)، وحتى إذا لم تدعم وحدات البرامج، فإن بعضها يحتوي على وحدات أجهزة مثل CSC أو IPS.
حتى مع سلسلة ASA5500-X الجديدة، هناك بعض جهاز مع صيغة تحت الواحد أن يدعم تعطيل المراقبة.
الحل
يراقب ASA الوحدة النمطية فقط إذا كان هناك سياسة تم تكوينها لتمرير حركة المرور إليها.لذلك، لتجنب تجاوز الفشل، يمكن إزالة سياسة الوحدة النمطية.
حدد خريطة الفئة والسياسة المستخدمة.
في هذه الحالة، يستخدم هذا التكوين لإزالة تحويل حركة مرور البيانات لوحدة FirePOWER النمطية.
class-map SFR
match any
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
class SFR
sfr fail-open
!
يمكن إستخدام الأمر show service-policy [csc|cxsc|ips|sfr] لاكتشاف خريطة الفئة والحالة الحالية.
ASA-FPWR/pri/act# show service-policy sfr
Global policy:
Service-policy: global_policy
Class-map: SFR
SFR: card status Up, mode fail-open
packet input 0, packet output 0, drop 0, reset-drop
قم بتعطيل إعادة توجيه حركة المرور إلى الوحدة النمطية.
بعد إزالة النهج، لا يتم إرسال حركة مرور أخرى من ASA إلى الوحدة النمطية.
ASA-FPWR/pri/act# conf t
ASA-FPWR/pri/act(config)# policy-map global_policy
ASA-FPWR/pri/act(config-pmap)# class SFR
ASA-FPWR/pri/act(config-pmap-c)# no sfr fail-open
ASA-FPWR/pri/act(config-pmap-c)# end
ASA-FPWR/pri/act#
دققت أن ال ASA redirection إلى الوحدة نمطية معأق.
يمكن إستخدام الأمر show نفسه للتحقق من أن حركة المرور لم تعد تنتقل إلى الوحدة النمطية. يجب أن يكون الإخراج فارغا.
ASA-FPWR/pri/act# show service-policy sfr
ASA-FPWR/pri/act#
حتى إذا كانت الوحدة غير مستجيبة، تبقى الوحدة النشطة في الدور نفسه.
ASA-FPWR/pri/act# show module sfr
Mod Card Type Model Serial No.
---- -------------------------------------------- ------------------ -----------
sfr FirePOWER Services Software Module ASA5545 FCH18457CNM
Mod MAC Address Range Hw Version Fw Version Sw Version
---- --------------------------------- ------------ ------------ ---------------
sfr 74a0.2fa4.6c7a to 74a0.2fa4.6c7a N/A N/A 5.3.1-152
Mod SSM Application Name Status SSM Application Version
---- ------------------------------ ---------------- --------------------------
sfr ASA FirePOWER Not Applicable 5.3.1-152
Mod Status Data Plane Status Compatibility
---- ------------------ --------------------- -------------
sfr Unresponsive Not Applicable
ASA-FPWR/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: folink GigabitEthernet0/6 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 316 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.3(3), Mate 9.3(3)
Last Failover at: 14:51:20 UTC Aug 6 2015
This host: Primary - Active
Active time: 428 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.5): Normal (Monitored)
Interface inside (192.168.10.111): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Unresponsive/Down)
ASA FirePOWER, 5.3.1-152, Not Applicable
Other host: Secondary - Standby Ready
Active time: 204 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.6): Normal (Monitored)
Interface inside (192.168.10.112): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
ASA FirePOWER, 5.3.1-155, Up
تمكين إعادة توجيه حركة مرور البيانات إلى الوحدة النمطية.
بمجرد أن تحتاج حركة المرور إلى أن يتم إرسالها مرة أخرى إلى الوحدة النمطية، يمكن إضافة نهج فشل-فتح أو فشل-إغلاق مرة أخرى.
ASA-FPWR/pri/act(config)# policy-map global_policy
ASA-FPWR/pri/act(config-pmap)# class SFR
ASA-FPWR/pri/act(config-pmap-c)# sfr fail-open
ASA-FPWR/pri/act(config-pmap-c)# end
ASA-FPWR/pri/act#
التعليقات