安全 : 思科自适应安全设备 (ASA) 软件

在从ASA禁用的集群(RPC_SYSTEMERROR)

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述如何解决也许出现的错误消息,当您尝试添加每新的从属可适应安全工具(ASA)时单元对ASA现有的集群。

贡献用Prapanch Ramamoorthy, Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题:

  • 基础知识集群。
  • 基础知识如何配置集群在可适应安全工具(ASA)。
  • 安全套接字层SSL握手的基础知识。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • ASA软件版本9.0或以上。
  • ASA 5580或ASA5585-X系列设备。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的信息,请参阅 Cisco 技术提示规则

背景信息

集群让您结合多物理ASA到一个逻辑单元,提供增加吞吐量和冗余。关于集群的更多信息,参考思科ASA系列CLI配置指南, 9.0

在此方案中,集群在主控ASA配置并且启用;在从ASA,集群配置,但是不已启用。

问题

当您启用集群在从ASA时,立即禁用与Remote Procedure Call (RPC)错误消息。下面是错误消息的示例:

ASA2/ClusterDisabled(config)# cluster group TEST-Group
ASA2/ClusterDisabled(cfg-cluster)# enable as-slave
INFO: This unit will be enabled as a cluster slave without sanity check and confirmation.
ASA2/ClusterDisabled(cfg-cluster)# cluster_ccp_make_rpc_call failed to clnt_call. msg is
CCP_MSG_REGISTER, ret is RPC_SYSTEMERROR
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either
enable clustering or remove cluster group configuration.

此错误的一个可能的来源是重要和从ASA之间的一SSL密码器套件不匹配。集群要求有在重要和从属单元之间的至少一个匹配的SSL密码器套件将被添加到集群。参考在思科ASA系列CLI配置指南的此需求, 9.0

New cluster members must use the same SSL encryption setting (the ssl encryption command) as 
the master unit.

在不匹配方案中,系统消息被记录:

%ASA-7-725014: SSL lib error. Function: SSL23_GET_SERVER_HELLO Reason: sslv3 alert 
handshake failure

不匹配的示例是在主控ASA的此加密:

ASA1/master# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1

并且在将被添加的从ASA的此加密到集群:

ASA2/ClusterDisabled# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption des-sha1

此不匹配通常发生,当强加密(3DES/AES)时许可证在从ASA未安装。当3DES/AES许可证被添加到从ASA时,密码器套件列表从ASA的默认为des-sha1和没有更新。

有此不匹配的两解决方案。

注意:使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

解决方案 1

在主控ASA,请添加des-sha1作为一个有效SSL密码器套件:

ASA1/master# configuration terminal
ASA1/master(config)# ssl encryption des-sha1

注意:Cisco不建议您启用des-sha1,因为它是一弱密码器和被认为易受攻击。

解决方案 2

在从ASA,请添加这些SSL密码器套件之至少一:rc4-sha1aes128-sha1aes256-sha1或者3des-sha1

ASA2/ClusterDisabled# configuration terminal
ASA2/ClusterDisabled(config)# ssl encryption rc4-sha1

相关信息


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 116108