セキュリティ : Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェア

スレーブ ASA(RPC_SYSTEMERROR)で無効化されたクラスタリング

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に ASA の実在するクラスタに新しいスレーブ適応性があるセキュリティ アプライアンス モデル(ASA)ユニットを追加するように試みるとき現われるかもしれないエラーメッセージを解決する方法を記述されています。

Prapanch Ramamoorthy(Cisco TAC エンジニア)著。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • クラスタ処理の基本的な知識。
  • 適応性があるセキュリティ アプライアンス モデル(ASA)のクラスタ処理を設定する方法の基本的な知識。
  • Secure Socket Layer (SSL) ハンドシェイクの基本的な知識。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ASA ソフトウェア バージョン 9.0 またはそれ以降。
  • ASA 5580 または 5580 シリーズ アプライアンス。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

クラスタ処理は増加されたスループットおよび冗長性を提供する 1 つの論理ユニットに複数の物理的 な ASA を結合することを可能にします。 クラスタ処理に関する詳細については、Cisco ASA シリーズ CLI コンフィギュレーション ガイドを、9.0 参照して下さい。

このシナリオでは、クラスタ化することはマスター ASA で設定され、有効に なりました; スレーブ ASA で、クラスタ化することはイネーブルにならなかった設定されました。

問題

スレーブ ASA のクラスタ処理を有効に するとき、Remote Procedure Call (RPC) エラーメッセージとすぐにディセーブルにされます。 次に示すのも、エラー メッセージの例です。

ASA2/ClusterDisabled(config)# cluster group TEST-Group
ASA2/ClusterDisabled(cfg-cluster)# enable as-slave
INFO: This unit will be enabled as a cluster slave without sanity check and confirmation.
ASA2/ClusterDisabled(cfg-cluster)# cluster_ccp_make_rpc_call failed to clnt_call. msg is
CCP_MSG_REGISTER, ret is RPC_SYSTEMERROR
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either
enable clustering or remove cluster group configuration.

このエラーのための 1 つの考えられる原因はマスターとスレーブ ASA 間の SSL 暗号スイート ミスマッチです。 クラスタ処理はクラスタに追加されるべきマスターおよびスレーブ ユニット間に少なくとも 1 一致する SSL 暗号スイートがあることを必要とします。 Cisco ASA シリーズ CLI コンフィギュレーション ガイドのこの要件を、9.0 参照して下さい:

New cluster members must use the same SSL encryption setting (the ssl encryption command) as 
the master unit.

ミスマッチ シナリオでは、syslog メッセージは記録 されます:

%ASA-7-725014: SSL lib error. Function: SSL23_GET_SERVER_HELLO Reason: sslv3 alert 
handshake failure

ミスマッチの例はマスター ASA のこの暗号化です:

ASA1/master# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1

そしてクラスタに追加されるべきスレーブ ASA のこの暗号化:

ASA2/ClusterDisabled# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption des-sha1

このミスマッチは強化暗号化(3DES/AES)ライセンスがスレーブ ASA でインストールされていなかった場合一般に起ります。 スレーブ ASA の暗号スイートのリストは des-sha1 に 3DES/AES ライセンスがスレーブ ASA に追加されるときデフォルトで設定され、更新済ではないです。

このミスマッチのための 2 つのソリューションがあります。

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

解決策 1

マスター ASA で、有効な SSL 暗号スイートとして des-sha1 を追加して下さい:

ASA1/master# configuration terminal
ASA1/master(config)# ssl encryption des-sha1

: Cisco はそれが弱い暗号で、脆弱考慮されるので des-sha1 を有効に することを推奨しません。

解決策 2

スレーブ ASA で、これらの SSL 暗号スイートの少なくとも 1 つを追加して下さい: rc4-sha1aes128-sha1aes256-sha1、または 3des-sha1:

ASA2/ClusterDisabled# configuration terminal
ASA2/ClusterDisabled(config)# ssl encryption rc4-sha1

関連情報



Document ID: 116108