Deaktivieren Sie die Service-Modulüberwachung auf ASA, um unerwünschte Failover-Ereignisse (SFR/CX/IPS/CSC) zu vermeiden.
Inhalt
Einführung
In diesem Dokument wird beschrieben, wie die Überwachung auf den Modulen SourceFire (SFR), Context Aware (CX), Intrusion Prevention System (IPS), Content Security and Control (CSC) in einer Adaptive Security Appliance (ASA)-Failover-Umgebung deaktiviert wird.
Unterstützt von Cesar Lopez, Cisco TAC Engineer.
Voraussetzungen
Anforderungen
Cisco empfiehlt, die folgenden Themen zu kennen:
- Konfiguration der Adaptive Security Appliance
- Kenntnis der ASA-Failover für Hochverfügbarkeit.
Ab Version 9.3(1) ist diese Funktion konfigurierbar. Vor der genannten Version wird das Modul immer überwacht. Für die in diesem Dokument beschriebenen früheren Versionen kann eine Problemumgehung verwendet werden.
Verwendete Komponenten
Dieses Dokument basiert auf den folgenden Software- und Hardwareversionen:
- Cisco ASA Version 9.3(1) und höher
- Serie ASA 5500-X mit FirePOWER-Services, ASA CX Context-Aware Security oder IPS-Modul.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines beliebigen Befehls verstehen.
Hintergrundinformationen
Standardmäßig überwacht die ASA ein installiertes Servicemodul. Wenn im aktiven Einheitenmodul ein Ausfall erkannt wird, wird das Appliance-Failover ausgelöst.
Es kann hilfreich sein, diesen Monitor zu deaktivieren, wenn ein geplantes Servicemodul neu geladen wird oder ein kontinuierlicher Modulausfall desselben auftritt, ohne dass ein ASA-Failover-Ereignis vorliegt.
Konfigurieren
Netzwerkdiagramm
Dieses Dokument verwendet die folgende Konfiguration:
Konfigurationen
Diese Konfiguration wird in Übungsgeräten verwendet, um die in diesem Dokument erwähnte Überwachungsfunktion zu demonstrieren. Es ist nur die entsprechende Konfiguration enthalten. Einige Zeilen dieser Ausgabe werden weggelassen.
ASA Version 9.3(3)
!
hostname ASA-FPWR
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.88.247.5 255.255.255.224 standby 10.88.247.6
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.10.111 255.255.255.0 standby 192.168.10.112
!
...
!
interface GigabitEthernet0/6
description LAN Failover Interface
!
interface GigabitEthernet0/7
description STATE Failover Interface
!
...
failover
failover lan unit primary
failover lan interface folink GigabitEthernet0/6
failover link statelink GigabitEthernet0/7
failover interface ip folink 1.1.1.1 255.255.255.0 standby 1.1.1.2
failover interface ip statelink 2.2.2.1 255.255.255.0 standby 2.2.2.2
!
...
!
class-map SFR
match any
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
class SFR
sfr fail-open
!
service-policy global_policy global
prompt hostname context priority state
no call-home reporting anonymous
Cryptochecksum:b268e0095f175a26aa94d120e9041c29
: end
Überprüfen Sie die aktuell überwachten Komponenten.
Wenn sich die ASAs im Failover-Modus befinden, wird das installierte Servicemodul standardmäßig genau wie die Appliance-Schnittstellen überwacht. Dieser Befehl kann verwendet werden, um zu sehen, welche aktuellen Komponenten überwacht werden:
ASA-FPWR/pri/act# show run all monitor-interface
monitor-interface outside
monitor-interface inside
monitor-interface service-module
Überprüfen Sie den Status des Dienstmoduls der ASA-Einheiten.
Der Failover-Ausgabe show zeigt den aktuellen Status jedes Moduls an:
ASA-FPWR/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: folink GigabitEthernet0/6 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 316 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.3(3), Mate 9.3(3)
Last Failover at: 14:30:44 UTC Aug 6 2015
This host: Primary - Active
Active time: 85 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.5): Normal (Monitored)
Interface inside (192.168.10.111): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Up/Up)
ASA FirePOWER, 5.3.1-152, Up
Other host: Secondary - Standby Ready
Active time: 396 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.6): Normal (Monitored)
Interface inside (192.168.10.112): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
ASA FirePOWER, 5.3.1-155, Up
Wenn das Dienstmodul einer aktiven Einheit ausfällt, tritt ein Failover-Ereignis auf. Das aktive Gerät wird zum Standby-Gerät, und das vorherige Standby-Gerät übernimmt die aktive Rolle. In einigen Szenarien führt dies dazu, dass einige Funktionen, die von einem Stateful Failover nicht unterstützt werden, neu konvergiert werden.
Überprüfen Sie die Richtlinie für den Ausfallmodus des Dienstmoduls:
Wenn zum Senden von Datenverkehr an das Modul eine Fail-Open-Richtlinie verwendet wird, wird der Datenverkehr über die ASA weitergeleitet, ohne an das Servicemodul gesendet zu werden. Dies kann eine transparentere Methode sein, um den Status eines erwarteten Modulausfalls zu überwinden.
Um den verwendeten Richtlinienstatus zu erfahren, führen Sie den Befehl show service-policy [sfr|cx|ips|csc] aus.
ASA-FPWR/pri/act# show service-policy sfr
Global policy:
Service-policy: global_policy
Class-map: SFR
SFR: card status Up, mode fail-open
packet input 0, packet output 0, drop 0, reset-drop 0
Dasselbe gilt für die MPF-Konfiguration (Modular Policy Framework):
ASA-FPWR/pri/act# show run policy-map
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
class SFR
sfr fail-open
!
ASA-FPWR/pri/act#
Deaktivieren Sie die Dienstmodul-Überwachung.
Mit diesem Befehl wird der Failover-Prozess die Überwachung des Dienstmoduls beenden. Alle geplanten Neuladungen oder Fehlerbehebungen können ohne Failover am Modul durchgeführt werden, falls das Modul ausfällt oder nicht reagiert.
no monitor-interface service-module
Überprüfen
Überprüfen Sie, ob die Dienstmodul-Überwachung deaktiviert ist.
In der aktuellen Konfiguration wird der Befehl für die Überwachungsschnittstelle abgelehnt.
ASA-FPWR/pri/act(config)# show run all monitor-interface
monitor-interface outside
monitor-interface inside
no monitor-interface service-module
So testen Sie das vom aktiven Gerät gehostete Modul neu.
Zu Demonstrationszwecken wird das FirePOWER-Modul auf dieser Einheit neu geladen, um zu überprüfen, ob die aktive Failover-Einheit für diese Rolle beibehalten wird.
Ausgabe vom FirePOWER-Modul in der primären/aktiven ASA-Einheit.
Sourcefire ASA5545 v5.3.1 (build 152)
Last login: Thu Aug 6 14:40:46 on ttyS1
>
> system reboot
This command will reboot the system. Continue?
Please enter 'YES' or 'NO': YES
Broadcast message from root (Thu Aug 6 14:40:59 2015):
The system is going down for reboot NOW!
Escape Sequence detected
Console session with module sfr terminated.
Ausgabe von der primären/aktiven ASA-Einheit während des erneuten Ladens des Moduls.
Die Einheit bleibt aktiv.
ASA-FPWR/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: folink GigabitEthernet0/6 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 316 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.3(3), Mate 9.3(3)
Last Failover at: 14:30:44 UTC Aug 6 2015
This host: Primary - Active
Active time: 616 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.5): Normal (Monitored)
Interface inside (192.168.10.111): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Unresponsive/Down)
ASA FirePOWER, 5.3.1-152, Not Applicable
Other host: Secondary - Standby Ready
Active time: 396 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.6): Normal (Monitored)
Interface inside (192.168.10.112): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
ASA FirePOWER, 5.3.1-155, Up
Ausgabe von der Sekundär-/Standby-ASA-Einheit beim erneuten Laden des Moduls:
Die Standby-Einheit erkennt diesen Status nicht als Fehler und übernimmt nicht die aktive Rolle.
ASA-FPWR/sec/stby# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: folink GigabitEthernet0/6 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 316 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.3(3), Mate 9.3(3)
Last Failover at: 14:30:59 UTC Aug 6 2015
This host: Secondary - Standby Ready
Active time: 396 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.6): Normal (Monitored)
Interface inside (192.168.10.112): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
ASA FirePOWER, 5.3.1-155, Up
Other host: Primary - Active
Active time: 670 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.5): Normal (Monitored)
Interface inside (192.168.10.111): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Unresponsive/Down)
ASA FirePOWER, 5.3.1-152, Not Applicable
Aktivieren Sie die Servicemodul-Überwachung.
Um die Modulüberwachung zu aktivieren, führen Sie folgenden Befehl aus:
monitor-interface service-module
Überprüfen Sie, ob das Dienstmodul aktiviert ist.
Dienstmodul-Befehl wird nicht mehr vernachlässigt.
ASA-FPWR/pri/act(config)# show run all monitor-interface
monitor-interface outside
monitor-interface inside
monitor-interface service-module
Fehlerbehebung
Ausgabe 1 ASAs versagen weiter, und die Meldung "Service Card in other unit has failed" (Servicekarte in anderer Einheit ist fehlgeschlagen) wird angezeigt.
Wenn ein oder mehrere Failover-Ereignisse erkannt werden, kann der Failover-Verlauf anzeigen verwendet werden, um den möglichen Grund zu ermitteln.
ASA-FPWR/sec/act# show failover history
==========================================================================
From State To State Reason
==========================================================================
14:38:58 UTC Aug 5 2015
Bulk Sync Standby Ready Detected an Active mate
14:39:05 UTC Aug 5 2015
Standby Ready Bulk Sync No Error
14:39:17 UTC Aug 5 2015
Bulk Sync Standby Ready No Error
14:48:12 UTC Aug 6 2015
Standby Ready Just Active Service card in other unit has failed
14:48:12 UTC Aug 6 2015
Just Active Active Drain Service card in other unit has failed
14:48:12 UTC Aug 6 2015
Active Drain Active Applying Config Service card in other unit has failed
14:48:12 UTC Aug 6 2015
Active Applying Config Active Config Applied Service card in other unit has failed
14:48:12 UTC Aug 6 2015
Active Config Applied Active Service card in other unit has failed
Die jetzt Standby-Einheit zeigt folgende Meldung an:
14:47:56 UTC Aug 6 2015
Standby Ready Failed Detect service card failure
Wenn die Meldung "Service card in other unit has failed" (Servicekarte in einer anderen Einheit ist ausgefallen) angezeigt wird, ist das Failover erfolgt, da die aktive Einheit ihr eigenes Modul als nicht reagierend erkannt hat.
Wenn das Modul den Status "Nicht reagiert" hat, bleibt die betroffene ASA im ausgefallenen Modus.
ASA-FPWR/sec/stby# Waiting for the earlier webvpn instance to terminate...
Previous instance shut down. Starting a new one.
Switching to Active
ASA-FPWR/sec/act#
ASA-FPWR/sec/act# show failover
Failover On
Failover unit Secondary
Failover LAN Interface: folink GigabitEthernet0/6 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 316 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.3(3), Mate 9.3(3)
Last Failover at: 14:24:23 UTC Aug 6 2015
This host: Secondary - Active
Active time: 38 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.5): Normal (Waiting)
Interface inside (192.168.10.111): Normal (Waiting)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
ASA FirePOWER, 5.3.1-155, Up
Other host: Primary - Failed
Active time: 182 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.6): Normal (Waiting)
Interface inside (192.168.10.112): Normal (Waiting)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Unresponsive/Down)
ASA FirePOWER, 5.3.1-152, Not Applicable
Lösung
Die Servicemodul-Überwachung kann deaktiviert werden, während weitere Schritte zur Fehlerbehebung ausgeführt werden können, um das Modul wiederherzustellen.
no monitor-interface service-module
Ausgabe 2: Meine ASA unterstützt 9.3(1) nicht oder ich kann kein Upgrade durchführen. Wie kann ich Failover-Ereignisse vermeiden?
Die ältere ASA5500-Serie unterstützt die Version 9.3(1) nicht, und selbst wenn sie keine Softwaremodule unterstützen, verfügen einige von ihnen über Hardwaremodule wie CSC oder IPS.
Sogar bei der neuen ASA5500-X-Serie gibt es einige Appliances mit einer niedrigeren Version, die die Deaktivierung der Überwachung unterstützen.
Lösung
Die ASA überwacht das Modul nur, wenn eine Richtlinie konfiguriert ist, die den Datenverkehr an das Modul weiterleitet. Um ein Failover zu vermeiden, kann die Modulrichtlinie entfernt werden.
Identifizieren Sie die verwendete Klassenzuordnung und Richtlinie.
In diesem Fall wird diese Konfiguration verwendet, um die Umleitung des Datenverkehrs eines FirePOWER-Moduls zu entfernen.
class-map SFR
match any
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
class SFR
sfr fail-open
!
Der Befehl show service-policy [csc|cxsc|ips|sfr] kann zum Erkennen der Klassenzuordnung und des aktuellen Status verwendet werden.
ASA-FPWR/pri/act# show service-policy sfr
Global policy:
Service-policy: global_policy
Class-map: SFR
SFR: card status Up, mode fail-open
packet input 0, packet output 0, drop 0, reset-drop
Deaktivieren Sie die Umleitung des Datenverkehrs zum Modul.
Nachdem die Richtlinie entfernt wurde, wird kein weiterer Datenverkehr von der ASA an das Modul gesendet.
ASA-FPWR/pri/act# conf t
ASA-FPWR/pri/act(config)# policy-map global_policy
ASA-FPWR/pri/act(config-pmap)# class SFR
ASA-FPWR/pri/act(config-pmap-c)# no sfr fail-open
ASA-FPWR/pri/act(config-pmap-c)# end
ASA-FPWR/pri/act#
Überprüfen Sie, ob die ASA-Umleitung zum Modul deaktiviert ist.
Mit demselben show-Befehl kann überprüft werden, ob der Datenverkehr nicht mehr zum Modul geht. Die Ausgabe muss leer sein.
ASA-FPWR/pri/act# show service-policy sfr
ASA-FPWR/pri/act#
Auch wenn das Modul nicht reagiert, bleibt die aktive Einheit in derselben Rolle.
ASA-FPWR/pri/act# show module sfr
Mod Card Type Model Serial No.
---- -------------------------------------------- ------------------ -----------
sfr FirePOWER Services Software Module ASA5545 FCH18457CNM
Mod MAC Address Range Hw Version Fw Version Sw Version
---- --------------------------------- ------------ ------------ ---------------
sfr 74a0.2fa4.6c7a to 74a0.2fa4.6c7a N/A N/A 5.3.1-152
Mod SSM Application Name Status SSM Application Version
---- ------------------------------ ---------------- --------------------------
sfr ASA FirePOWER Not Applicable 5.3.1-152
Mod Status Data Plane Status Compatibility
---- ------------------ --------------------- -------------
sfr Unresponsive Not Applicable
ASA-FPWR/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: folink GigabitEthernet0/6 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 316 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.3(3), Mate 9.3(3)
Last Failover at: 14:51:20 UTC Aug 6 2015
This host: Primary - Active
Active time: 428 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.5): Normal (Monitored)
Interface inside (192.168.10.111): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Unresponsive/Down)
ASA FirePOWER, 5.3.1-152, Not Applicable
Other host: Secondary - Standby Ready
Active time: 204 (sec)
slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
Interface outside (10.88.247.6): Normal (Monitored)
Interface inside (192.168.10.112): Normal (Monitored)
slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
ASA FirePOWER, 5.3.1-155, Up
Aktivieren Sie die Umleitung des Datenverkehrs zum Modul.
Wenn der Datenverkehr an das Modul zurückgesendet werden muss, kann die Richtlinie für Fail-Open oder Fail-Close wieder hinzugefügt werden.
ASA-FPWR/pri/act(config)# policy-map global_policy
ASA-FPWR/pri/act(config-pmap)# class SFR
ASA-FPWR/pri/act(config-pmap-c)# sfr fail-open
ASA-FPWR/pri/act(config-pmap-c)# end
ASA-FPWR/pri/act#
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)