Безопасность : программное обеспечение для адаптивных устройств обеспечения безопасности Cisco ASA

Кластеризация, отключенная на ведомом ASA (RPC_SYSTEMERROR)

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает, как решить сообщение об ошибках, которое могло бы появиться, когда вы пытаетесь добавить новый ведомый модуль Устройства адаптивной защиты (ASA) к существующему кластеру ASA.

Внесенный Prapanch Ramamoorthy, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Базовые знания об объединении в кластеры.
  • Базовые знания о том, как настроить объединение в кластеры на Устройстве адаптивной защиты (ASA).
  • Базовые знания о квитировании Протокола SSL.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Версия программного обеспечения 9.0 ASA или позже.
  • ASA 5580 или устройства серии ASA5585-X.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

Кластеризация позволяет вам объединить ASA несколька физических каналов в один логический модуль, который предоставляет увеличенную пропускную способность и резервирование. Для получения дополнительной информации об объединении в кластеры обратитесь к руководству по настройке интерфейса командной строки для Cisco ASA, 9.0.

В этом сценарии объединение в кластеры было настроено и включено на основном ASA; на ведомом ASA объединение в кластеры было настроено, но не включено.

Проблема

Когда вы позволяете кластеризовать на ведомом ASA, он сразу отключен с сообщением об ошибках вызова удаленной процедуры (RPC). Пример сообщения об ошибке:

ASA2/ClusterDisabled(config)# cluster group TEST-Group
ASA2/ClusterDisabled(cfg-cluster)# enable as-slave
INFO: This unit will be enabled as a cluster slave without sanity check and confirmation.
ASA2/ClusterDisabled(cfg-cluster)# cluster_ccp_make_rpc_call failed to clnt_call. msg is
CCP_MSG_REGISTER, ret is RPC_SYSTEMERROR
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either
enable clustering or remove cluster group configuration.

Одна возможная причина для этой ошибки является несоответствием набора шифров SSL между ведущим устройством и ведомыми ASA. Кластеризация требует, чтобы был по крайней мере один соответствующий набор шифров SSL между ведущим устройством и ведомым модулем, который будет добавлен к кластеру. См. это требование в руководстве по настройке интерфейса командной строки для Cisco ASA, 9.0:

New cluster members must use the same SSL encryption setting (the ssl encryption command) as 
the master unit.

В сценарии несоответствия зарегистрировано сообщение системного журнала:

%ASA-7-725014: SSL lib error. Function: SSL23_GET_SERVER_HELLO Reason: sslv3 alert 
handshake failure

Примером несоответствия является это шифрование на основном ASA:

ASA1/master# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1

и это шифрование на ведомом ASA, который будет добавлен к кластеру:

ASA2/ClusterDisabled# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption des-sha1

Когда строгое шифрование (3DES/AES) лицензия не было установлено на ведомом ASA, это несоответствие обычно происходит. Когда лицензия 3DES/AES добавлена к ведомому ASA, список наборов шифров на ведомых настройках по умолчанию ASA к des-sha1 и не обновлен.

Существует два решения для этого несоответствия.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Решение 1

На основном ASA добавьте des-sha1 как допустимый набор шифров SSL:

ASA1/master# configuration terminal
ASA1/master(config)# ssl encryption des-sha1

Примечание: Cisco не рекомендует включить des-sha1, потому что это - слабый шифр и считается уязвимым.

Решение 2

На ведомом ASA добавьте по крайней мере один из этих наборов шифров SSL: rc4-sha1, aes128-sha1, aes256-sha1, или 3des-sha1:

ASA2/ClusterDisabled# configuration terminal
ASA2/ClusterDisabled(config)# ssl encryption rc4-sha1

Дополнительные сведения



Document ID: 116108