Seguridad : Software Cisco Adaptive Security Appliance (ASA)

El agrupar inhabilitado en el esclavo ASA (RPC_SYSTEMERROR)

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe cómo resolver un mensaje de error que pudo aparecer cuando usted intenta agregar una nueva unidad adaptante auxiliar del dispositivo de seguridad (ASA) a un clúster existente de los ASA.

Contribuido por Prapanch Ramamoorthy, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Conocimientos básicos del clúster.
  • Conocimientos básicos de cómo configurar el clúster en el dispositivo de seguridad adaptante (ASA).
  • Conocimientos básicos del apretón de manos del Secure Socket Layer (SSL).

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versión de software 9.0 ASA o más adelante.
  • ASA 5580 o dispositivos de las ASA5585-X Series.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener información sobre las convenciones sobre documentos.

Antecedentes

El clúster le deja combinar el múltiple físico ASA en una unidad lógica, que proporciona la producción y la Redundancia crecientes. Para más información sobre el clúster, refiera a la guía de configuración CLI de la serie de Cisco ASA, 9.0.

En este escenario, agrupando se ha configurado y se ha habilitado en el master ASA; en el esclavo ASA, agrupando se ha configurado pero no habilitado.

Problema

Cuando usted habilita el clúster en el esclavo ASA, se inhabilita inmediatamente con un mensaje de error de la llamada a procedimiento remoto (RPC). Éste es un ejemplo del mensaje de error:

ASA2/ClusterDisabled(config)# cluster group TEST-Group
ASA2/ClusterDisabled(cfg-cluster)# enable as-slave
INFO: This unit will be enabled as a cluster slave without sanity check and confirmation.
ASA2/ClusterDisabled(cfg-cluster)# cluster_ccp_make_rpc_call failed to clnt_call. msg is
CCP_MSG_REGISTER, ret is RPC_SYSTEMERROR
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either
enable clustering or remove cluster group configuration.

Una razón posible de este error es una discordancía de la habitación de la cifra SSL entre el master y el esclavo ASA. El clúster requiere que haya por lo menos una habitación de la cifra SSL que corresponde con entre el master y la unidad auxiliar que se agregarán al cluster. Refiera a este requisito en la guía de configuración CLI de la serie de Cisco ASA, 9.0:

New cluster members must use the same SSL encryption setting (the ssl encryption command) as 
the master unit.

En el escenario de la discordancía, se registra un mensaje de Syslog:

%ASA-7-725014: SSL lib error. Function: SSL23_GET_SERVER_HELLO Reason: sslv3 alert 
handshake failure

Un ejemplo de una discordancía es este cifrado en el master ASA:

ASA1/master# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1

y este cifrado en el esclavo ASA que se agregará al cluster:

ASA2/ClusterDisabled# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption des-sha1

Esta discordancía ocurre comúnmente cuando una licencia de la encripción fuerte (3DES/AES) no ha estado instalada en el esclavo ASA. La lista de habitaciones de la cifra en el esclavo ASA omite el des-sha1 y no es actualizada cuando la licencia 3DES/AES se agrega al esclavo ASA.

Hay dos soluciones para esta discordancía.

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Solución 1

En el master ASA, agregue el des-sha1 como habitación válida de la cifra SSL:

ASA1/master# configuration terminal
ASA1/master(config)# ssl encryption des-sha1

Nota: Cisco no recomienda que usted habilita el des-sha1 porque es una cifra débil y se considera vulnerable.

Solución 2

En el esclavo ASA, agregue por lo menos una de estas habitaciones de la cifra SSL: rc4-sha1, aes128-sha1, aes256-sha1, o 3des-sha1:

ASA2/ClusterDisabled# configuration terminal
ASA2/ClusterDisabled(config)# ssl encryption rc4-sha1

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 116108