Sécurité : Logiciel Cisco Adaptive Security Appliance (ASA)

Groupement désactivé sur l'esclave ASA (RPC_SYSTEMERROR)

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment résoudre un message d'erreur qui pourrait apparaître quand vous tentez d'ajouter une nouvelle unité slave de l'appliance de sécurité adaptable (ASA) à un cluster existant des ASA.

Contribué par Prapanch Ramamoorthy, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Connaissance de base du groupement.
  • Connaissance de base de la façon configurer le groupement sur l'appliance de sécurité adaptable (ASA).
  • Connaissance de base de la prise de contact de Protocole SSL (Secure Socket Layer).

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version de logiciel 9.0 ASA ou plus tard.
  • Appliances de gamme 5580 ou ASA5585-X ASA.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Groupant vous permet de combiner le plusieurs examen médical ASA dans une unité logique, qui fournit le débit et la Redondance accrus. Pour plus d'informations sur le groupement, référez-vous au guide de configuration CLI de gamme de Cisco ASA, 9.0.

Dans ce scénario, groupant a été configuré et activé sur le maître ASA ; sur l'esclave ASA, groupant a été configuré mais pas activé.

Problème

Quand vous activez le groupement sur l'esclave ASA, il est désactivé immédiatement avec un message d'erreur du protocole RPC (RPC). Voici un exemple du message d'erreur :

ASA2/ClusterDisabled(config)# cluster group TEST-Group
ASA2/ClusterDisabled(cfg-cluster)# enable as-slave
INFO: This unit will be enabled as a cluster slave without sanity check and confirmation.
ASA2/ClusterDisabled(cfg-cluster)# cluster_ccp_make_rpc_call failed to clnt_call. msg is
CCP_MSG_REGISTER, ret is RPC_SYSTEMERROR
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either
enable clustering or remove cluster group configuration.

Un possible raison pour cette erreur est une non-concordance de suite de chiffrement SSL entre le maître et l'esclave ASA. Le groupement exige qu'il y ait au moins une suite assortie de chiffrement SSL entre le maître et l'unité slave à ajouter à la batterie. Référez-vous à cette condition requise dans le guide de configuration CLI de gamme de Cisco ASA, 9.0 :

New cluster members must use the same SSL encryption setting (the ssl encryption command) as 
the master unit.

Dans le scénario de non-concordance, un message de Syslog est enregistré :

%ASA-7-725014: SSL lib error. Function: SSL23_GET_SERVER_HELLO Reason: sslv3 alert 
handshake failure

Un exemple d'une non-concordance est ce cryptage sur le maître ASA :

ASA1/master# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1

et ce cryptage sur l'esclave ASA à ajouter à la batterie :

ASA2/ClusterDisabled# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption des-sha1

Cette non-concordance se produit généralement quand un permis du cryptage fort (3DES/AES) n'a pas été installé sur l'esclave ASA. La liste de suites de chiffrement sur l'esclave ASA se transfère sur des-sha1 et n'est pas mise à jour quand le permis 3DES/AES est ajouté à l'esclave ASA.

Il y a deux solutions pour cette non-concordance.

Remarque: Utilisez l'Outil de recherche de commande (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Solution 1

Sur le maître ASA, ajoutez des-sha1 comme suite valide de chiffrement SSL :

ASA1/master# configuration terminal
ASA1/master(config)# ssl encryption des-sha1

Remarque: Cisco ne recommande pas que vous activiez des-sha1 parce que c'est un chiffrement faible et est considéré vulnérable.

Solution 2

Sur l'esclave ASA, ajoutez au moins une de ces suites de chiffrement SSL : rc4-sha1, aes128-sha1, aes256-sha1, ou 3des-sha1 :

ASA2/ClusterDisabled# configuration terminal
ASA2/ClusterDisabled(config)# ssl encryption rc4-sha1

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 116108