Segurança : Cisco Adaptive Security Appliance (ASA) Software

Aglomerar-se desabilitada no escravo ASA (RPC_SYSTEMERROR)

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve como resolver um Mensagem de Erro que possa aparecer quando você tenta adicionar uma unidade adaptável da ferramenta de segurança do escravo novo (ASA) a um conjunto existente de ASA.

Contribuído por Prapanch Ramamoorthy, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Conhecimento básico da aglomeração.
  • Conhecimento básico de como configurar a aglomeração na ferramenta de segurança adaptável (ASA).
  • Conhecimento básico do aperto de mão do Secure Socket Layer (SSL).

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão de software 9.0 ASA ou mais atrasado.
  • ASA 5580 ou dispositivos do ASA5585-X Series.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter informações sobre convenções de documentos.

Informações de Apoio

Aglomerar-se deixa-o combinar o físico múltiplo ASA em uma unidade lógica, que fornece a taxa de transferência e a Redundância aumentadas. Para obter mais informações sobre da aglomeração, refira o guia de configuração de CLI da série de Cisco ASA, 9.0.

Nesta encenação, aglomerando-se foi configurado e permitido no mestre ASA; no escravo ASA, aglomerando-se foi configurado mas não permitido.

Problema

Quando você permite a aglomeração no escravo ASA, está desabilitado imediatamente com um Mensagem de Erro da chamada de procedimento remoto (RPC). Este é um exemplo do Mensagem de Erro:

ASA2/ClusterDisabled(config)# cluster group TEST-Group
ASA2/ClusterDisabled(cfg-cluster)# enable as-slave
INFO: This unit will be enabled as a cluster slave without sanity check and confirmation.
ASA2/ClusterDisabled(cfg-cluster)# cluster_ccp_make_rpc_call failed to clnt_call. msg is
CCP_MSG_REGISTER, ret is RPC_SYSTEMERROR
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either
enable clustering or remove cluster group configuration.

Uma razão possível para este erro é uma má combinação da série da cifra SSL entre o mestre e o escravo ASA. Aglomerar-se exige que haja pelo menos uma série de harmonização da cifra SSL entre o mestre e a unidade do escravo a ser adicionados ao conjunto. Refira esta exigência no guia de configuração de CLI da série de Cisco ASA, 9.0:

New cluster members must use the same SSL encryption setting (the ssl encryption command) as 
the master unit.

Na encenação da má combinação, um mensagem do syslog é registrado:

%ASA-7-725014: SSL lib error. Function: SSL23_GET_SERVER_HELLO Reason: sslv3 alert 
handshake failure

Um exemplo de uma má combinação é esta criptografia no mestre ASA:

ASA1/master# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1

e esta criptografia no escravo ASA a ser adicionado ao conjunto:

ASA2/ClusterDisabled# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption des-sha1

Esta má combinação ocorre geralmente quando uma licença da criptografia forte (3DES/AES) não foi instalada no escravo ASA. A lista de séries da cifra no escravo ASA opta o des-sha1 e não é atualizada quando a licença 3DES/AES é adicionada ao escravo ASA.

Há duas soluções para esta má combinação.

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Solução 1

No mestre ASA, adicionar o des-sha1 como uma série válida da cifra SSL:

ASA1/master# configuration terminal
ASA1/master(config)# ssl encryption des-sha1

Nota: Cisco não recomenda que você permite o des-sha1 porque é uma cifra fraca e é considerado vulnerável.

Solução 2

No escravo ASA, adicionar pelo menos uma destas séries da cifra SSL: rc4-sha1, aes128-sha1, aes256-sha1, ou 3des-sha1:

ASA2/ClusterDisabled# configuration terminal
ASA2/ClusterDisabled(config)# ssl encryption rc4-sha1

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116108