슬레이브 ASA에서 클러스터링이 비활성화됨(RPC_SYSTEMERROR)

다운로드 옵션

  • PDF     (140.8 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (82.1 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (68.3 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2020년 8월 24일
문서 ID:215970

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 기존 ASA 클러스터에 새 슬레이브 ASA(Adaptive Security Appliance) 유닛을 추가하려고 할 때 나타날 수 있는 오류 메시지를 해결하는 방법에 대해 설명합니다.

    사전 요구 사항

    요구 사항

    다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

    • 클러스터링에 대한 기본 지식
    • ASA에서 클러스터링을 구성하는 방법에 대한 기본 지식
    • SSL(Secure Socket Layer) 핸드셰이크에 대한 기본 지식

    사용되는 구성 요소

    이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

    • ASA 소프트웨어 버전 9.0 이상
    • ASA 5580 또는 ASA5585-X Series 어플라이언스

    이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

    표기 규칙

    문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.

    배경 정보

    클러스터링을 사용하면 여러 물리적 ASA를 하나의 논리적 유닛으로 결합할 수 있으므로 처리량과 이중화가 향상됩니다.클러스터링에 대한 자세한 내용은 Cisco ASA Series CLI 컨피그레이션 가이드 9.0을 참조하십시오.

    이 시나리오에서 클러스터링은 마스터 ASA에서 구성 및 활성화되었습니다.슬레이브 ASA에서 클러스터링이 구성되었지만 활성화되지 않았습니다.

    문제

    슬레이브 ASA에서 클러스터링을 활성화하면 RPC(원격 프로시저 호출) 오류 메시지와 함께 즉시 비활성화됩니다.다음은 오류 메시지의 예입니다.

    ASA2/ClusterDisabled(config)# cluster group TEST-Group
    ASA2/ClusterDisabled(cfg-cluster)# enable as-slave
    INFO: This unit will be enabled as a cluster slave without sanity check and confirmation.
    ASA2/ClusterDisabled(cfg-cluster)# cluster_ccp_make_rpc_call failed to clnt_call. msg is CCP_MSG_REGISTER, 
    ret is RPC_SYSTEMERROR
    Cluster disable is performing cleanup..done.
    All data interfaces have been shutdown due to clustering being disabled. To recover either enable clustering 
    or remove cluster group configuration.

    이 오류의 가능한 원인 중 하나는 마스터와 슬레이브 ASA가 일치하지 않는 SSL 암호 그룹입니다.클러스터링에서는 마스터와 슬레이브 유닛 사이에 하나 이상의 일치하는 SSL 암호 그룹이 클러스터에 추가되어야 합니다.Cisco ASA Series CLI 컨피그레이션 가이드, 9.0에서 이 요구 사항을 참조하십시오.

    새 클러스터 멤버는 마스터 유닛과 동일한 SSL 암호화 설정(SSL encryption 명령)을 사용해야 합니다.

    불일치 시나리오에서는 syslog 메시지가 기록됩니다.

    %ASA-7-725014: SSL lib error. Function: SSL23_GET_SERVER_HELLO Reason: sslv3 alert handshake failure

    불일치의 예는 마스터 ASA에서 다음 암호화를 사용하는 것입니다.

    ASA1/master# sh run all ssl
    ssl server-version any
    ssl client-version any
    ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1

    클러스터에 추가할 슬레이브 ASA의 이 암호화:

    ASA2/ClusterDisabled# sh run all ssl
    ssl server-version any
    ssl client-version any
    ssl encryption des-sha1

    이러한 불일치는 일반적으로 슬레이브 ASA에 강력한 암호화(3DES/AES) 라이센스가 설치되지 않은 경우 발생합니다.슬레이브 ASA의 암호 그룹 목록은 기본적으로 des-sha1이며 3DES/AES 라이센스가 슬레이브 ASA에 추가될 때 업데이트되지 않습니다.

    이러한 불일치를 위한 두 가지 솔루션이 있습니다.

    솔루션 1

    마스터 ASA에서 des-sha1을 유효한 SSL 암호 그룹으로 추가합니다.

    ASA1/master# configuration terminal
    ASA1/master(config)# ssl encryption des-sha1

    참고:Cisco는 des-sha1이 취약한 암호이며 취약한 것으로 간주되기 때문에 활성화를 권장하지 않습니다.

    솔루션 2

    슬레이브 ASA에서 다음 SSL 암호 그룹 중 하나 이상을 추가합니다.rc4-sha1, aes128-sha1, aes256-sha1 또는 3des-sha1:

    ASA2/ClusterDisabled# configuration terminal
    ASA2/ClusterDisabled(config)# ssl encryption rc4-sha1

    관련 정보

    TAC Authored

    Cisco 엔지니어가 작성

    • Prapanch Ramamoorthy
      Cisco TAC 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품