スレーブ ASA(RPC_SYSTEMERROR)で無効化されたクラスタリング

ダウンロード オプション

  • PDF     (207.1 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (81.3 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (67.5 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2020 年 8 月 24 日
Document ID:215970

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、新しいスレーブ適応型セキュリティ アプライアンス(ASA)装置を既存の ASA クラスタに追加しようとすると表示されることがあるエラー メッセージの解決方法を説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • クラスタリングの基礎知識
    • ASAでのクラスタリングの設定方法に関する基礎知識
    • Secure Socket Layer(SSL)ハンドシェイクに関する基礎知識

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • ASAソフトウェアバージョン9.0以降
    • ASA 5580またはASA5585-Xシリーズアプライアンス

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

    表記法

    ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

    背景説明

    クラスタリングにより、複数の物理 ASA を組み合わせて 1 つの論理ユニットを作成できます。この論理ユニットにより、スループットと冗長性が向上します。クラスタリングの詳細については、『Cisco ASA シリーズ CLI 構成ガイド, 9.0』を参照してください。

    このシナリオでは、マスター ASA でクラスタリングが設定され、有効になっています。スレーブ ASA ではクラスタリングが設定されていますが、有効になっていません。

    問題

    スレーブ ASA でクラスタリングを有効にすると、クラスタリングが即時に無効にされ、リモート プロシージャ コール(RPC)エラー メッセージが表示されます。次に示すのも、エラー メッセージの例です。

    ASA2/ClusterDisabled(config)# cluster group TEST-Group
    ASA2/ClusterDisabled(cfg-cluster)# enable as-slave
    INFO: This unit will be enabled as a cluster slave without sanity check and confirmation.
    ASA2/ClusterDisabled(cfg-cluster)# cluster_ccp_make_rpc_call failed to clnt_call. msg is CCP_MSG_REGISTER, 
    ret is RPC_SYSTEMERROR
    Cluster disable is performing cleanup..done.
    All data interfaces have been shutdown due to clustering being disabled. To recover either enable clustering 
    or remove cluster group configuration.

    このエラーの原因の 1 つの可能性は、マスター ASA とスレーブ ASA 間での SSL 暗号スイートの不一致です。クラスタリングでは、マスター ユニットと、クラスタに追加されるスレーブ ユニットの間で 1 つ以上の SSL 暗号スイートが一致している必要があります。この要件については、『Cisco ASA シリーズ CLI 構成ガイド, 9.0』を参照してください。

    新しいクラスタメンバーは、マスターユニットと同じSSL暗号化設定(SSL encryptionコマンド)を使用する必要があります。

    不一致が発生している場合、syslog メッセージが記録されます。

    %ASA-7-725014: SSL lib error. Function: SSL23_GET_SERVER_HELLO Reason: sslv3 alert handshake failure

    不一致の例を次に示します。次に示すマスター ASA での暗号化

    ASA1/master# sh run all ssl
    ssl server-version any
    ssl client-version any
    ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1

    とクラスタに追加されるスレーブ ASA での次の暗号化が一致していません。

    ASA2/ClusterDisabled# sh run all ssl
    ssl server-version any
    ssl client-version any
    ssl encryption des-sha1

    このような不一致は、強力な暗号化(3DES/AES)ライセンスがスレーブ ASA にインストールされていない場合によく発生します。デフォルトでは、スレーブ ASA の暗号スイートのリストは des-sha1 ですが、スレーブ ASA に 3DES/AES ライセンスが追加されるときに、このリストが更新されません。

    この不一致には 2 つの解決策があります。

    解決策 1

    マスターASAで、有効なSSL暗号スイートとしてdes-sha1を追加します。

    ASA1/master# configuration terminal
    ASA1/master(config)# ssl encryption des-sha1

    注:des-sha1 は弱い暗号であり、脆弱であると見なされているため、シスコではこの暗号を有効にすることを推奨しません。

    解決策 2

    スレーブ ASA で、次の SSL 暗号スイートの 1 つ以上を追加します:rc4-sha1aes128-sha1aes256-sha1、または3des-sha1:

    ASA2/ClusterDisabled# configuration terminal
    ASA2/ClusterDisabled(config)# ssl encryption rc4-sha1

    関連情報

    TAC Authored

    シスコ エンジニア提供

    • Prapanch Ramamoorthy
      Cisco TAC Engineer

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています