Schakel de bewaking van de servicemodule op ASA uit om ongewenste failover-gebeurtenissen (SFR/CX/IPS/CSC) te voorkomen.
Inhoud
Inleiding
In dit document wordt beschreven hoe u de controle kunt uitschakelen op de modules SourceFire (SFR), Context Aware (CX), Intrusion Prevention System (IPS), Content Security and Control (CSC) op een failoveromgeving voor Adaptive Security Appliance (ASA).
Bijgedragen door Cesar Lopez, Cisco TAC Engineer.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Configuratie van Adaptive Security Appliance.
- Kennis van ASA Failover voor hoge beschikbaarheid.
Vanaf versie 9.3(1) is deze functie configureerbaar. Vóór de genoemde versie moet de module altijd worden gecontroleerd. Een tijdelijke oplossing kan worden gebruikt voor eerdere versies die in dit document worden beschreven.
Gebruikte componenten
Dit document is gebaseerd op deze software- en hardwareversies:
- Cisco ASA versie 9.3(1) en hoger.
- ASA 5500-X serie met FirePOWER services, ASA CX Context-Aware Security of IPS module.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Standaard bewaakt de ASA een geïnstalleerde servicemodule. Als er een fout wordt gedetecteerd in de actieve eenheid, wordt de failover van het toestel geactiveerd.
Het kan nuttig zijn om deze monitor uit te schakelen wanneer er een geplande herlaadbeurt van de servicemodule of continue modulestoringen van hetzelfde zijn zonder dat u een ASA-failover-gebeurtenis wilt hebben.
Configureren
Netwerkdiagram
In dit document wordt deze installatie gebruikt:
Configuraties
Deze configuratie wordt gebruikt in laboratoriumapparaten om de in dit document genoemde monitorfunctie aan te tonen. Alleen de relevante configuratie is opgenomen. Sommige lijnen van deze uitvoer zijn weggelaten.
ASA Version 9.3(3)
!
hostname ASA-FPWR
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.88.247.5 255.255.255.224 standby 10.88.247.6
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.10.111 255.255.255.0 standby 192.168.10.112
!
...
!
interface GigabitEthernet0/6
description LAN Failover Interface
!
interface GigabitEthernet0/7
description STATE Failover Interface
!
...
failover
failover lan unit primary
failover lan interface folink GigabitEthernet0/6
failover link statelink GigabitEthernet0/7
failover interface ip folink 1.1.1.1 255.255.255.0 standby 1.1.1.2
failover interface ip statelink 2.2.2.1 255.255.255.0 standby 2.2.2.2
!
...
!
class-map SFR
match any
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
class SFR
sfr fail-open
!
service-policy global_policy global
prompt hostname context priority state
no call-home reporting anonymous
Cryptochecksum:b268e0095f175a26aa94d120e9041c29
: end
Controleer de huidige bewaakte onderdelen.
Wanneer de ASA's zich in de failover-modus bevinden, wordt de geïnstalleerde servicemodule standaard bewaakt, net zoals de toestelinterfaces. Deze opdracht kan worden gebruikt om te zien welke huidige componenten worden bewaakt:
ASA-FPWR/pri/act# show run all monitor-interface
monitor-interface outside
monitor-interface inside
monitor-interface service-module
Controleer de status van de servicemodule van de ASA-eenheden.
De failover-uitvoer toont de huidige status van elke eenheidsmodule:
ASA-FPWR/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: folink GigabitEthernet0/6 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 316 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.3(3), Mate 9.3(3)
Last Failover at: 14:30:44 UTC Aug 6 2015
This host: Primary - Active
Active time: 85 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.5): Normal (Monitored)
Interface inside (192.168.10.111): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Up/Up)
ASA FirePOWER, 5.3.1-152, Up
Other host: Secondary - Standby Ready
Active time: 396 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.6): Normal (Monitored)
Interface inside (192.168.10.112): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
ASA FirePOWER, 5.3.1-155, Up
Als de servicemodule van een actieve eenheid uitvalt, treedt een failover-gebeurtenis op. De actieve eenheid wordt stand-by en de vorige stand-by-eenheid neemt de actieve rol op zich. In sommige scenario's zorgt dit ervoor dat sommige functies die niet worden ondersteund door een stateful failover, opnieuw convergeren.
Controleer het faalmodusbeleid van de servicemodule:
Als een fail-openbeleid wordt gebruikt om verkeer naar de module te verzenden, gaat het verkeer door de ASA zonder naar de servicemodule te worden verzonden. Dit kan een transparantere manier zijn om een verwachte status van module down te overwinnen.
Voer de opdracht show service-policy [sfr|cx|ips|csc] uit om te weten welke beleidsstatus is gebruikt.
ASA-FPWR/pri/act# show service-policy sfr
Global policy:
Service-policy: global_policy
Class-map: SFR
SFR: card status Up, mode fail-open
packet input 0, packet output 0, drop 0, reset-drop 0
Hetzelfde kan worden gezien door de configuratie van het Modular Policy Framework (MPF) te controleren:
ASA-FPWR/pri/act# show run policy-map
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
class SFR
sfr fail-open
!
ASA-FPWR/pri/act#
Bewaking van servicemodules uitschakelen.
Met deze opdracht wordt het failover-proces gestopt en wordt de bewaking van de servicemodule gestopt. Elke geplande herlading of probleemoplossing kan zonder een failover naar de module worden uitgevoerd, in het geval dat de module "Down" of "Unresponsive" gaat.
no monitor-interface service-module
Verifiëren
Controleer of de bewaking van de servicemodule is uitgeschakeld.
Onder de actieve configuratie wordt de opdracht monitor-interface genegeerd.
ASA-FPWR/pri/act(config)# show run all monitor-interface
monitor-interface outside
monitor-interface inside
no monitor-interface service-module
Om te testen herlaad de module gehost door de actieve eenheid.
Voor demonstratiedoeleinden wordt de FirePOWER-module op deze eenheid opnieuw geladen om te bevestigen of de actieve failover-eenheid deze rol blijft vervullen.
Uitvoer van de FirePOWER-module in de primaire/actieve eenheid van ASA.
Sourcefire ASA5545 v5.3.1 (build 152)
Last login: Thu Aug 6 14:40:46 on ttyS1
>
> system reboot
This command will reboot the system. Continue?
Please enter 'YES' or 'NO': YES
Broadcast message from root (Thu Aug 6 14:40:59 2015):
The system is going down for reboot NOW!
Escape Sequence detected
Console session with module sfr terminated.
Uitvoer van de primaire/actieve ASA-eenheid terwijl de module opnieuw wordt geladen.
De eenheid blijft in de actieve rol.
ASA-FPWR/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: folink GigabitEthernet0/6 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 316 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.3(3), Mate 9.3(3)
Last Failover at: 14:30:44 UTC Aug 6 2015
This host: Primary - Active
Active time: 616 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.5): Normal (Monitored)
Interface inside (192.168.10.111): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Unresponsive/Down)
ASA FirePOWER, 5.3.1-152, Not Applicable
Other host: Secondary - Standby Ready
Active time: 396 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.6): Normal (Monitored)
Interface inside (192.168.10.112): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
ASA FirePOWER, 5.3.1-155, Up
Uitvoer van de ASA Secondary/Standby-eenheid terwijl de module opnieuw wordt geladen:
De stand-by-eenheid detecteert deze status niet als een storing en neemt de actieve rol niet op.
ASA-FPWR/sec/stby# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: folink GigabitEthernet0/6 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 316 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.3(3), Mate 9.3(3)
Last Failover at: 14:30:59 UTC Aug 6 2015
This host: Secondary - Standby Ready
Active time: 396 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.6): Normal (Monitored)
Interface inside (192.168.10.112): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
ASA FirePOWER, 5.3.1-155, Up
Other host: Primary - Active
Active time: 670 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.5): Normal (Monitored)
Interface inside (192.168.10.111): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Unresponsive/Down)
ASA FirePOWER, 5.3.1-152, Not Applicable
Bewaking van servicemodules inschakelen.
Voer deze opdracht uit om modulebewaking in te schakelen:
monitor-interface service-module
Controleer of de servicemodule is ingeschakeld.
Het commando van de servicemodule wordt niet meer genegeerd.
ASA-FPWR/pri/act(config)# show run all monitor-interface
monitor-interface outside
monitor-interface inside
monitor-interface service-module
Problemen oplossen
Aflevering 1. ASA's blijven falen en dit bericht "Servicekaart in andere eenheid is mislukt" wordt weergegeven.
Als een of meer failover-gebeurtenissen worden gedetecteerd, kan de failover-geschiedenis van de show worden gebruikt om de mogelijke reden te kennen.
ASA-FPWR/sec/act# show failover history
==========================================================================
From State To State Reason
==========================================================================
14:38:58 UTC Aug 5 2015
Bulk Sync Standby Ready Detected an Active mate
14:39:05 UTC Aug 5 2015
Standby Ready Bulk Sync No Error
14:39:17 UTC Aug 5 2015
Bulk Sync Standby Ready No Error
14:48:12 UTC Aug 6 2015
Standby Ready Just Active Service card in other unit has failed
14:48:12 UTC Aug 6 2015
Just Active Active Drain Service card in other unit has failed
14:48:12 UTC Aug 6 2015
Active Drain Active Applying Config Service card in other unit has failed
14:48:12 UTC Aug 6 2015
Active Applying Config Active Config Applied Service card in other unit has failed
14:48:12 UTC Aug 6 2015
Active Config Applied Active Service card in other unit has failed
De nu stand-by-eenheid geeft dit bericht weer:
14:47:56 UTC Aug 6 2015
Standby Ready Failed Detect service card failure
Als het bericht "Servicekaart in andere eenheid is mislukt" wordt weergegeven, is de failover opgetreden omdat de actieve eenheid de eigen module als niet-reagerend heeft gedetecteerd.
Als de module in de status "Niet-reagerend" blijft, blijft de betreffende ASA in de modus Mislukt.
ASA-FPWR/sec/stby# Waiting for the earlier webvpn instance to terminate...
Previous instance shut down. Starting a new one.
Switching to Active
ASA-FPWR/sec/act#
ASA-FPWR/sec/act# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: folink GigabitEthernet0/6 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 316 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.3(3), Mate 9.3(3)
Last Failover at: 14:24:23 UTC Aug 6 2015
This host: Secondary - Active
Active time: 38 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.5): Normal (Waiting)
Interface inside (192.168.10.111): Normal (Waiting)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
ASA FirePOWER, 5.3.1-155, Up
Other host: Primary - Failed
Active time: 182 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.6): Normal (Waiting)
Interface inside (192.168.10.112): Normal (Waiting)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Unresponsive/Down)
ASA FirePOWER, 5.3.1-152, Not Applicable
Oplossing
De bewaking van de servicemodule kan worden uitgeschakeld terwijl verdere stappen om het probleem op te lossen kunnen worden uitgevoerd om de module te herstellen.
no monitor-interface service-module
Uitgave 2. Mijn ASA ondersteunt 9.3(1) niet of ik kan het niet upgraden. Hoe voorkom ik failover events?
Legacy ASA5500-series ondersteunen versie 9.3(1) niet en, zelfs als ze geen softwaremodules ondersteunen, hebben sommige van hen hardwaremodules zoals CSC of de IPS.
Zelfs met de nieuwe ASA5500-X-serie zijn er enkele apparaten met versies onder de versie die ondersteuning biedt voor het uitschakelen van de bewaking.
Oplossing
De ASA bewaakt de module alleen als er een beleid is geconfigureerd om verkeer naar de module door te geven.Dus, om een failover te voorkomen, kan het modulebeleid worden verwijderd.
Identificeer de klassenkaart en het gebruikte beleid.
In dit geval wordt deze configuratie gebruikt om verkeersverlegging van een FirePOWER-module te verwijderen.
class-map SFR
match any
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
class SFR
sfr fail-open
!
De opdracht show service-policy [csc|cxsc|ips|sfr] kan worden gebruikt om de klassentoewijzing en de huidige status te detecteren.
ASA-FPWR/pri/act# show service-policy sfr
Global policy:
Service-policy: global_policy
Class-map: SFR
SFR: card status Up, mode fail-open
packet input 0, packet output 0, drop 0, reset-drop
Schakel omleiding van verkeer naar de module uit.
Nadat het beleid is verwijderd, wordt er geen verder verkeer van de ASA naar de module verzonden.
ASA-FPWR/pri/act# conf t
ASA-FPWR/pri/act(config)# policy-map global_policy
ASA-FPWR/pri/act(config-pmap)# class SFR
ASA-FPWR/pri/act(config-pmap-c)# no sfr fail-open
ASA-FPWR/pri/act(config-pmap-c)# end
ASA-FPWR/pri/act#
Controleer of de ASA-omleiding naar de module is uitgeschakeld.
Dezelfde show-opdracht kan worden gebruikt om te controleren of het verkeer niet langer naar de module gaat. De uitvoer moet leeg zijn.
ASA-FPWR/pri/act# show service-policy sfr
ASA-FPWR/pri/act#
Zelfs als de module niet reageert, blijft de actieve eenheid in dezelfde rol.
ASA-FPWR/pri/act# show module sfr
Mod Card Type Model Serial No.
---- -------------------------------------------- ------------------ -----------
sfr FirePOWER Services Software Module ASA5545 FCH18457CNM
Mod MAC Address Range Hw Version Fw Version Sw Version
---- --------------------------------- ------------ ------------ ---------------
sfr 74a0.2fa4.6c7a to 74a0.2fa4.6c7a N/A N/A 5.3.1-152
Mod SSM Application Name Status SSM Application Version
---- ------------------------------ ---------------- --------------------------
sfr ASA FirePOWER Not Applicable 5.3.1-152
Mod Status Data Plane Status Compatibility
---- ------------------ --------------------- -------------
sfr Unresponsive Not Applicable
ASA-FPWR/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: folink GigabitEthernet0/6 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 316 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.3(3), Mate 9.3(3)
Last Failover at: 14:51:20 UTC Aug 6 2015
This host: Primary - Active
Active time: 428 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.5): Normal (Monitored)
Interface inside (192.168.10.111): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Unresponsive/Down)
ASA FirePOWER, 5.3.1-152, Not Applicable
Other host: Secondary - Standby Ready
Active time: 204 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.6): Normal (Monitored)
Interface inside (192.168.10.112): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
ASA FirePOWER, 5.3.1-155, Up
Schakel verkeer om te leiden naar de module.
Zodra het verkeer naar de module moet worden teruggestuurd, kan het beleid voor fail-open of fail-close worden toegevoegd.
ASA-FPWR/pri/act(config)# policy-map global_policy
ASA-FPWR/pri/act(config-pmap)# class SFR
ASA-FPWR/pri/act(config-pmap-c)# sfr fail-open
ASA-FPWR/pri/act(config-pmap-c)# end
ASA-FPWR/pri/act#
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
25-Jan-2017
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)