원치 않는 장애 조치 이벤트(SFR/CX/IPS/CSC)를 방지하려면 ASA에서 서비스 모듈 모니터링을 비활성화하십시오.
목차
소개
이 문서에서는 SFR(SourceFire), CX(Context Aware), IPS(Intrusion Prevention System), CSC(Content Security and Control) 모듈에서 ASA(Adaptive Security Appliance) 페일오버 환경에서 모니터링을 비활성화하는 방법에 대해 설명합니다.
기고자: Cesar Lopez, Cisco TAC 엔지니어.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Adaptive Security Appliance의 컨피그레이션
- 고가용성을 위한 ASA 장애 조치에 대한 지식.
버전 9.3(1)에서 이 기능을 구성할 수 있습니다. 언급된 버전 이전에는 모듈이 항상 모니터링되어야 합니다. 이 문서에 설명된 이전 버전에서는 해결 방법을 사용할 수 있습니다.
사용되는 구성 요소
이 문서는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Cisco ASA 버전 9.3(1) 이상
- Firepower 서비스가 포함된 ASA 5500-X 시리즈, ASA CX Context-Aware Security 또는 IPS 모듈.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
기본적으로 ASA는 설치된 서비스 모듈을 모니터링합니다. 액티브 유닛 모듈에서 장애가 탐지되면 어플라이언스 장애 조치가 트리거됩니다.
ASA 장애 조치 이벤트를 수행하려는 의향이 없는 상태에서 예약된 서비스 모듈 다시 로드 또는 연속되는 모듈 오류가 발생할 경우 이 모니터를 비활성화하는 것이 좋습니다.
구성
네트워크 다이어그램
이 문서에서는 다음 설정을 사용합니다.
설정
이 컨피그레이션은 실습 디바이스에서 이 문서에 언급된 모니터 기능을 시연하는 데 사용됩니다. 관련 컨피그레이션만 포함됩니다. 이 출력의 일부 행은 생략됩니다.
ASA Version 9.3(3)
!
hostname ASA-FPWR
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.88.247.5 255.255.255.224 standby 10.88.247.6
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.10.111 255.255.255.0 standby 192.168.10.112
!
...
!
interface GigabitEthernet0/6
description LAN Failover Interface
!
interface GigabitEthernet0/7
description STATE Failover Interface
!
...
failover
failover lan unit primary
failover lan interface folink GigabitEthernet0/6
failover link statelink GigabitEthernet0/7
failover interface ip folink 1.1.1.1 255.255.255.0 standby 1.1.1.2
failover interface ip statelink 2.2.2.1 255.255.255.0 standby 2.2.2.2
!
...
!
class-map SFR
match any
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
class SFR
sfr fail-open
!
service-policy global_policy global
prompt hostname context priority state
no call-home reporting anonymous
Cryptochecksum:b268e0095f175a26aa94d120e9041c29
: end
현재 모니터링되는 구성 요소를 확인합니다.
ASA가 장애 조치 모드에 있는 경우 어플라이언스 인터페이스와 마찬가지로 설치된 서비스 모듈이 기본적으로 모니터링됩니다. 모니터링되는 현재 구성 요소를 확인하기 위해 이 명령을 사용할 수 있습니다.
ASA-FPWR/pri/act# show run all monitor-interface
monitor-interface outside
monitor-interface inside
monitor-interface service-module
ASA 유닛 서비스 모듈 상태를 확인합니다.
show failover 출력은 각 유닛 모듈의 현재 상태를 표시합니다.
ASA-FPWR/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: folink GigabitEthernet0/6 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 316 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.3(3), Mate 9.3(3)
Last Failover at: 14:30:44 UTC Aug 6 2015
This host: Primary - Active
Active time: 85 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.5): Normal (Monitored)
Interface inside (192.168.10.111): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Up/Up)
ASA FirePOWER, 5.3.1-152, Up
Other host: Secondary - Standby Ready
Active time: 396 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.6): Normal (Monitored)
Interface inside (192.168.10.112): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
ASA FirePOWER, 5.3.1-155, Up
액티브 유닛의 서비스 모듈이 다운되면 장애 조치 이벤트가 발생합니다. 액티브 유닛은 스탠바이 유닛이 되며, 이전 스탠바이 유닛은 액티브 역할을 수행합니다. 일부 시나리오에서는 스테이트풀 장애 조치에서 지원되지 않는 일부 기능이 다시 통합됩니다.
서비스 모듈 실패 모드 정책을 확인합니다.
Fail-openpolicy를 사용하여 트래픽을 모듈로 전송하는 경우, 트래픽은 서비스 모듈로 전송되지 않고 ASA를 통해 계속 전달됩니다. 이는 예상되는 모듈 중단 상태를 극복할 수 있는 더욱 투명한 방법이 될 수 있다.
사용된 정책 상태를 확인하려면 show service-policy [sfr|cx|ips|csc] 명령을 실행합니다.
ASA-FPWR/pri/act# show service-policy sfr
Global policy:
Service-policy: global_policy
Class-map: SFR
SFR: card status Up, mode fail-open
packet input 0, packet output 0, drop 0, reset-drop 0
MPF(Modular Policy Framework) 컨피그레이션을 확인해도 동일한 내용을 확인할 수 있습니다.
ASA-FPWR/pri/act# show run policy-map
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
class SFR
sfr fail-open
!
ASA-FPWR/pri/act#
서비스 모듈 모니터링을 비활성화합니다.
이 명령을 사용하면 장애 조치 프로세스에서 서비스 모듈의 모니터링을 중지합니다. 모듈이 "작동 중단" 또는 "응답하지 않음"으로 전환되는 경우 계획된 재로드 또는 문제 해결을 장애 조치 없이 모듈에 수행할 수 있습니다.
no monitor-interface service-module
다음을 확인합니다.
서비스 모듈 모니터링이 비활성화되어 있는지 확인합니다.
실행 중인 컨피그레이션에서 monitor-interface 명령은 무효화됩니다.
ASA-FPWR/pri/act(config)# show run all monitor-interface
monitor-interface outside
monitor-interface inside
no monitor-interface service-module
활성 유닛에서 호스팅하는 모듈 다시 로드를 테스트합니다.
데모를 위해 이 유닛의 Firepower 모듈을 다시 로드하여 액티브 장애 조치 유닛이 이 역할에 계속 남아 있는지 확인합니다.
ASA Primary/Active 유닛의 Firepower 모듈에서 출력됩니다.
Sourcefire ASA5545 v5.3.1 (build 152)
Last login: Thu Aug 6 14:40:46 on ttyS1
>
> system reboot
This command will reboot the system. Continue?
Please enter 'YES' or 'NO': YES
Broadcast message from root (Thu Aug 6 14:40:59 2015):
The system is going down for reboot NOW!
Escape Sequence detected
Console session with module sfr terminated.
모듈이 다시 로드되는 동안 ASA Primary/Active 유닛에서 출력됩니다.
장치는 활성 역할을 유지합니다.
ASA-FPWR/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: folink GigabitEthernet0/6 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 316 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.3(3), Mate 9.3(3)
Last Failover at: 14:30:44 UTC Aug 6 2015
This host: Primary - Active
Active time: 616 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.5): Normal (Monitored)
Interface inside (192.168.10.111): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Unresponsive/Down)
ASA FirePOWER, 5.3.1-152, Not Applicable
Other host: Secondary - Standby Ready
Active time: 396 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.6): Normal (Monitored)
Interface inside (192.168.10.112): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
ASA FirePOWER, 5.3.1-155, Up
모듈이 다시 로드되는 동안 ASA 보조/대기 유닛의 출력:
스탠바이 유닛에서는 이 상태를 실패로 감지하지 않으며 액티브 역할을 수행하지 않습니다.
ASA-FPWR/sec/stby# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: folink GigabitEthernet0/6 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 316 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.3(3), Mate 9.3(3)
Last Failover at: 14:30:59 UTC Aug 6 2015
This host: Secondary - Standby Ready
Active time: 396 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.6): Normal (Monitored)
Interface inside (192.168.10.112): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
ASA FirePOWER, 5.3.1-155, Up
Other host: Primary - Active
Active time: 670 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.5): Normal (Monitored)
Interface inside (192.168.10.111): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Unresponsive/Down)
ASA FirePOWER, 5.3.1-152, Not Applicable
서비스 모듈 모니터링을 활성화합니다.
모듈 모니터링을 활성화하려면 다음 명령을 실행합니다.
monitor-interface service-module
서비스 모듈이 활성화되었는지 확인합니다.
서비스 모듈 명령이 더 이상 무효화되지 않습니다.
ASA-FPWR/pri/act(config)# show run all monitor-interface
monitor-interface outside
monitor-interface inside
monitor-interface service-module
문제 해결
문제 1. ASA가 계속 장애 조치되고 "다른 유닛의 서비스 카드가 실패했습니다"라는 메시지가 표시됩니다.
하나 이상의 장애 조치 이벤트가 탐지되면 show failover history를 사용하여 가능한 이유를 알 수 있습니다.
ASA-FPWR/sec/act# show failover history
==========================================================================
From State To State Reason
==========================================================================
14:38:58 UTC Aug 5 2015
Bulk Sync Standby Ready Detected an Active mate
14:39:05 UTC Aug 5 2015
Standby Ready Bulk Sync No Error
14:39:17 UTC Aug 5 2015
Bulk Sync Standby Ready No Error
14:48:12 UTC Aug 6 2015
Standby Ready Just Active Service card in other unit has failed
14:48:12 UTC Aug 6 2015
Just Active Active Drain Service card in other unit has failed
14:48:12 UTC Aug 6 2015
Active Drain Active Applying Config Service card in other unit has failed
14:48:12 UTC Aug 6 2015
Active Applying Config Active Config Applied Service card in other unit has failed
14:48:12 UTC Aug 6 2015
Active Config Applied Active Service card in other unit has failed
현재 대기 유닛에는 다음 메시지가 표시됩니다.
14:47:56 UTC Aug 6 2015
Standby Ready Failed Detect service card failure
"다른 유닛의 서비스 카드가 실패했습니다." 메시지가 표시되면 액티브 유닛이 자체 모듈에 응답하지 않음을 감지했기 때문에 장애 조치가 발생합니다.
모듈이 "Unresponsive(응답 없음)" 상태로 유지되면 해당 ASA는 Failed(실패) 모드로 유지됩니다.
ASA-FPWR/sec/stby# Waiting for the earlier webvpn instance to terminate...
Previous instance shut down. Starting a new one.
Switching to Active
ASA-FPWR/sec/act#
ASA-FPWR/sec/act# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: folink GigabitEthernet0/6 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 316 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.3(3), Mate 9.3(3)
Last Failover at: 14:24:23 UTC Aug 6 2015
This host: Secondary - Active
Active time: 38 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.5): Normal (Waiting)
Interface inside (192.168.10.111): Normal (Waiting)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
ASA FirePOWER, 5.3.1-155, Up
Other host: Primary - Failed
Active time: 182 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.6): Normal (Waiting)
Interface inside (192.168.10.112): Normal (Waiting)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Unresponsive/Down)
ASA FirePOWER, 5.3.1-152, Not Applicable
솔루션
모듈을 복구하기 위해 문제를 해결하기 위한 추가 단계를 수행하는 동안 서비스 모듈 모니터링을 비활성화할 수 있습니다.
no monitor-interface service-module
문제 2. My ASA가 9.3(1)을 지원하지 않거나 업그레이드할 수 없습니다. 장애 조치 이벤트를 방지하려면 어떻게 해야 합니까?
레거시 ASA5500 시리즈는 9.3(1) 버전을 지원하지 않으며, 소프트웨어 모듈을 지원하지 않더라도 일부 ASA 시리즈에는 CSC 또는 IPS와 같은 하드웨어 모듈이 있습니다.
새로운 ASA5500-X Series를 사용하더라도 모니터링 비활성화를 지원하는 일부 어플라이언스 버전 이하의 어플라이언스가 있습니다.
솔루션
ASA는 트래픽을 전달하도록 구성된 정책이 있는 경우에만 모듈을 모니터링합니다. 따라서 장애 조치를 방지하기 위해 모듈 정책을 제거할 수 있습니다.
사용된 클래스 맵 및 정책을 식별합니다.
이 경우 이 컨피그레이션은 Firepower 모듈의 트래픽 전환을 제거하는 데 사용됩니다.
class-map SFR
match any
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
class SFR
sfr fail-open
!
show service-policy [csc|cxsc|ips|sfr] 명령을 사용하여 클래스 맵 및 현재 상태를 탐지할 수 있습니다.
ASA-FPWR/pri/act# show service-policy sfr
Global policy:
Service-policy: global_policy
Class-map: SFR
SFR: card status Up, mode fail-open
packet input 0, packet output 0, drop 0, reset-drop
모듈에 대한 트래픽 리디렉션을 비활성화합니다.
정책이 제거된 후에는 ASA에서 모듈로 추가 트래픽이 전송되지 않습니다.
ASA-FPWR/pri/act# conf t
ASA-FPWR/pri/act(config)# policy-map global_policy
ASA-FPWR/pri/act(config-pmap)# class SFR
ASA-FPWR/pri/act(config-pmap-c)# no sfr fail-open
ASA-FPWR/pri/act(config-pmap-c)# end
ASA-FPWR/pri/act#
모듈에 대한 ASA 리디렉션이 비활성화되어 있는지 확인합니다.
동일한 show 명령을 사용하여 트래픽이 더 이상 모듈로 이동하지 않음을 확인할 수 있습니다. 출력은 비어 있어야 합니다.
ASA-FPWR/pri/act# show service-policy sfr
ASA-FPWR/pri/act#
모듈이 응답하지 않는 경우에도 액티브 유닛은 동일한 역할에 유지됩니다.
ASA-FPWR/pri/act# show module sfr
Mod Card Type Model Serial No.
---- -------------------------------------------- ------------------ -----------
sfr FirePOWER Services Software Module ASA5545 FCH18457CNM
Mod MAC Address Range Hw Version Fw Version Sw Version
---- --------------------------------- ------------ ------------ ---------------
sfr 74a0.2fa4.6c7a to 74a0.2fa4.6c7a N/A N/A 5.3.1-152
Mod SSM Application Name Status SSM Application Version
---- ------------------------------ ---------------- --------------------------
sfr ASA FirePOWER Not Applicable 5.3.1-152
Mod Status Data Plane Status Compatibility
---- ------------------ --------------------- -------------
sfr Unresponsive Not Applicable
ASA-FPWR/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: folink GigabitEthernet0/6 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 316 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.3(3), Mate 9.3(3)
Last Failover at: 14:51:20 UTC Aug 6 2015
This host: Primary - Active
Active time: 428 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.5): Normal (Monitored)
Interface inside (192.168.10.111): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Unresponsive/Down)
ASA FirePOWER, 5.3.1-152, Not Applicable
Other host: Secondary - Standby Ready
Active time: 204 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.6): Normal (Monitored)
Interface inside (192.168.10.112): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
ASA FirePOWER, 5.3.1-155, Up
모듈로 트래픽 리디렉션을 활성화합니다.
트래픽을 모듈로 다시 전송해야 할 경우, fail-open 또는 fail-close 정책을 다시 추가할 수 있습니다.
ASA-FPWR/pri/act(config)# policy-map global_policy
ASA-FPWR/pri/act(config-pmap)# class SFR
ASA-FPWR/pri/act(config-pmap-c)# sfr fail-open
ASA-FPWR/pri/act(config-pmap-c)# end
ASA-FPWR/pri/act#
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
25-Jan-2017
|
최초 릴리스 |
피드백