简介
本文档介绍如何解决在尝试将新的从属自适应安全设备(ASA)设备添加到现有ASA集群时可能出现的错误消息。
先决条件
要求
Cisco 建议您了解以下主题:
- 聚类基础知识
- 有关如何在ASA上配置集群的基本知识
- 安全套接字层(SSL)握手的基本知识
使用的组件
本文档中的信息基于以下软件和硬件版本:
- ASA软件9.0版或更高版本
- ASA 5580或ASA5585-X系列设备
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
规则
有关文档规则的信息,请参阅 Cisco 技术提示规则。
背景信息
集群允许您将多个物理ASA合并到一个逻辑单元中,从而提高吞吐量和冗余。有关集群的详细信息,请参阅《Cisco ASA系列CLI配置指南9.0》。
在此场景中,已在主ASA上配置并启用集群;在从属ASA上,集群已配置,但未启用。
问题
在从ASA上启用集群时,会立即禁用集群,并显示远程过程调用(RPC)错误消息。下面是错误消息的示例:
ASA2/ClusterDisabled(config)# cluster group TEST-Group
ASA2/ClusterDisabled(cfg-cluster)# enable as-slave
INFO: This unit will be enabled as a cluster slave without sanity check and confirmation.
ASA2/ClusterDisabled(cfg-cluster)# cluster_ccp_make_rpc_call failed to clnt_call. msg is CCP_MSG_REGISTER,
ret is RPC_SYSTEMERROR
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either enable clustering
or remove cluster group configuration.
出现此错误的一个可能原因是主ASA和从ASA之间的SSL密码套件不匹配。集群要求主设备和从设备之间至少有一个匹配的SSL密码套件要添加到集群。请参阅《Cisco ASA系列CLI配置指南9.0》中的此要求:
新集群成员必须使用与主设备相同的SSL加密设置(SSL encryption命令)。
在不匹配场景中,记录系统日志消息:
%ASA-7-725014: SSL lib error. Function: SSL23_GET_SERVER_HELLO Reason: sslv3 alert handshake failure
例如,主ASA上的此加密不匹配:
ASA1/master# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
在要添加到集群的从ASA上的此加密:
ASA2/ClusterDisabled# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption des-sha1
当从ASA上未安装强加密(3DES/AES)许可证时,通常会发生这种不匹配。从ASA上的密码套件列表默认为des-sha1,并且在3DES/AES许可证添加到从ASA时不会更新。
这种不匹配有两种解决方案。
解决方案 1
在主ASA上,添加des-sha1作为有效的SSL密码套件:
ASA1/master# configuration terminal
ASA1/master(config)# ssl encryption des-sha1
注意:思科不建议您启用des-sha1,因为它是弱密码且被视为易受攻击。
解决方案 2
在从属ASA上,至少添加以下SSL密码套件之一:rc4-sha1、aes128-sha1、aes256-sha1或3des-sha1:
ASA2/ClusterDisabled# configuration terminal
ASA2/ClusterDisabled(config)# ssl encryption rc4-sha1
相关信息
反馈