簡介
本文檔介紹如何解決嘗試將新的從自適應安全裝置(ASA)裝置新增到現有ASA集群時可能出現的錯誤消息。
必要條件
需求
思科建議您瞭解以下主題:
- 聚類基礎知識
- 有關如何在ASA上配置集群的基本知識
- 安全通訊端層(SSL)交握的基本知識
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- ASA軟體9.0版或更高版本
- ASA 5580或ASA5585-X系列裝置
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
慣例
如需檔案慣例的相關資訊,請參閱思科技術提示慣例。
背景資訊
通過集群,您可以將多個物理ASA合併到一個邏輯單元中,從而增加吞吐量和冗餘。有關集群的詳細資訊,請參閱Cisco ASA系列CLI配置指南9.0。
在此場景中,已在主ASA上配置並啟用集群;在從ASA上,集群已配置但尚未啟用。
問題
在從ASA上啟用集群時,會立即禁用該集群並顯示遠端過程呼叫(RPC)錯誤消息。以下是錯誤訊息範例:
ASA2/ClusterDisabled(config)# cluster group TEST-Group
ASA2/ClusterDisabled(cfg-cluster)# enable as-slave
INFO: This unit will be enabled as a cluster slave without sanity check and confirmation.
ASA2/ClusterDisabled(cfg-cluster)# cluster_ccp_make_rpc_call failed to clnt_call. msg is CCP_MSG_REGISTER,
ret is RPC_SYSTEMERROR
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either enable clustering
or remove cluster group configuration.
此錯誤的一個可能原因是主和從ASA之間的SSL密碼套件不匹配。集群要求要新增到集群的主裝置和從裝置之間至少有一個匹配的SSL密碼套件。請參閱《Cisco ASA系列CLI配置指南9.0:
新的集群成員必須使用與主裝置相同的SSL加密設定(SSL encryption命令)。
在不相符的情況下,會記錄系統日誌訊息:
%ASA-7-725014: SSL lib error. Function: SSL23_GET_SERVER_HELLO Reason: sslv3 alert handshake failure
主ASA上的此加密是一個不匹配的示例:
ASA1/master# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
在要新增到群集的從ASA上執行此加密:
ASA2/ClusterDisabled# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption des-sha1
當從屬ASA上未安裝強加密(3DES/AES)許可證時,通常會發生這種不匹配。從屬ASA上的密碼套件清單預設設定為des-sha1,在將許可證新增到從屬ASA時不會更新。
此不相符有兩個解決方案。
解決方案1
在主ASA上,將des-sha1新增為有效的SSL密碼套件:
ASA1/master# configuration terminal
ASA1/master(config)# ssl encryption des-sha1
附註:思科建議您不要啟用des-sha1,因為它是弱密碼,且被視為易受攻擊。
解決方案2
在從ASA上,新增至少一個SSL密碼套件:rc4-sha1、aes128-sha1、aes256-sha1或3des-sha1:
ASA2/ClusterDisabled# configuration terminal
ASA2/ClusterDisabled(config)# ssl encryption rc4-sha1
相關資訊
意見