المقدمة
يوضح هذا المستند كيفية حل رسالة خطأ قد تظهر عند محاولة إضافة وحدة جديدة من وحدات أجهزة الأمان المعدلة (ASA) إلى مجموعة موجودة من وحدات ASA.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- معرفة أساسية بالمجموعات
- معرفة أساسية بكيفية تكوين المجموعات على ASA
- معرفة أساسية بمصافحة طبقة مأخذ التوصيل الآمنة (SSL)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- برنامج ASA الإصدار 9.0 أو إصدار أحدث
- أجهزة سلسلة ASA 5580 أو ASA5585-X
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الاصطلاحات
أحلت cisco فني طرف إتفاق لمعلومة على وثيقة إتفاق.
معلومات أساسية
تتيح لك ميزة التجميع إمكانية دمج وحدات ASA مادية متعددة في وحدة منطقية واحدة، مما يوفر سعة معالجة فائقة ووحدة إحتياطية مذهلة. لمزيد من المعلومات حول التجميع، ارجع إلى دليل تكوين واجهة سطر الأوامر من السلسلة Cisco ASA Series، 9.0.
في هذا السيناريو، تم تكوين المجموعات وتمكينها على ASA الرئيسي؛ في Slave ASA، تم تكوين المجموعات ولكن لم يتم تمكينها.
المشكلة
عندما تقوم بتمكين التجميع على ASA الخاص بالتبعية، يتم تعطيله على الفور باستخدام رسالة خطأ إستدعاء الإجراء البعيد (RPC). هذا مثال على رسالة الخطأ:
ASA2/ClusterDisabled(config)# cluster group TEST-Group
ASA2/ClusterDisabled(cfg-cluster)# enable as-slave
INFO: This unit will be enabled as a cluster slave without sanity check and confirmation.
ASA2/ClusterDisabled(cfg-cluster)# cluster_ccp_make_rpc_call failed to clnt_call. msg is CCP_MSG_REGISTER,
ret is RPC_SYSTEMERROR
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either enable clustering
or remove cluster group configuration.
أحد الأسباب المحتملة لهذا الخطأ هو عدم تطابق مجموعة تشفير SSL بين مدير ASAs والتابع. تتطلب عملية التجميع وجود مجموعة تشفير SSL واحدة مطابقة على الأقل بين الوحدة الرئيسية ووحدة العبيد لإضافتها إلى نظام المجموعة. ارجع إلى هذا المتطلب في دليل تكوين واجهة سطر الأوامر من السلسلة Cisco ASA Series، 9.0:
يجب أن يستخدم أعضاء نظام المجموعة الجدد نفس إعداد تشفير SSL (أمر تشفير SSL) للوحدة الرئيسية.
في سيناريو عدم التطابق، يتم تسجيل رسالة syslog :
%ASA-7-725014: SSL lib error. Function: SSL23_GET_SERVER_HELLO Reason: sslv3 alert handshake failure
مثال على حالة عدم توافق هذا تشفير على ال ASA أساسي:
ASA1/master# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
وهذا التشفير على عهد ASA لإضافته إلى نظام المجموعة:
ASA2/ClusterDisabled# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption des-sha1
يحدث عدم التطابق هذا بشكل عام عندما لا يكون قد تم تثبيت ترخيص تشفير قوي (3DES/AES) على Slave ASA. لا يتم تحديث قائمة مجموعات التشفير على إعدادات Slave ASA الافتراضية إلى DES-SHA1 عند إضافة ترخيص 3DES/AES إلى Slave ASA.
هناك حلان لعدم التطابق هذا.
الحل 1
على ASA الرئيسي، أضف des-SHA1 كمجموعة تشفير SSL صالحة:
ASA1/master# configuration terminal
ASA1/master(config)# ssl encryption des-sha1
ملاحظة: لا توصي Cisco بتمكين DES-SHA1 لأنها تشفير ضعيف وتعتبر ضعيفة.
الحل 2
على Slave ASA، أضف على الأقل واحدة من مجموعات تشفير SSL هذه: RC4-SHA1، أو AES128-SHA1، أو AES256-SHA1، أو 3des-SHA1:
ASA2/ClusterDisabled# configuration terminal
ASA2/ClusterDisabled(config)# ssl encryption rc4-sha1
معلومات ذات صلة
التعليقات