Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

El agrupar inhabilitado en el esclavo ASA

Anuncio 
El agrupar inhabilitado en el esclavo ASA (RPC_SYSTEMERROR)
Contenido
Introducción
prerrequisitos
Requisitos
Componentes Utilizados
Convenciones
Antecedentes
Problema
Solución 1
Solución 2
Información Relacionada
Introducción
Este documento describe cómo resolver un mensaje de error que pudo aparecer cuando usted intenta agregar una nueva unidad adaptante auxiliar
del dispositivo de seguridad (ASA) a un clúster existente de los ASA.
Contribuido por Prapanch Ramamoorthy, ingeniero de Cisco TAC.
Prerrequisitos
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
Conocimiento básico del clúster.
Conocimiento básico de cómo configurar el clúster en el dispositivo de seguridad adaptante (ASA).
Conocimiento básico del apretón de manos del Secure Socket Layer (SSL).
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Versión de software 9.0 ASA o más adelante.
ASA 5580 o dispositivos de las ASA5585-X Series.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos
que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando,
asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Convenciones
Consulte Convenciones de Consejos Técnicos de Cisco para obtener información sobre las convenciones sobre documentos.
Antecedentes
El clúster le deja combinar el múltiple físico ASA en una unidad lógica, que proporciona la producción y la Redundancia crecientes. Para más
información sobre el clúster, refiera a la guía de configuración CLI de la serie de Cisco ASA, 9.0.
En este escenario, agrupando se ha configurado y se ha habilitado en el master ASA; en el esclavo ASA, agrupando se ha configurado pero no
habilitado.
Problema
Cuando usted habilita el clúster en el esclavo ASA, se inhabilita inmediatamente con un mensaje de error de la llamada a procedimiento remoto
(RPC). Éste es un ejemplo del mensaje de error:
ASA2/ClusterDisabled(config)# cluster group TEST-Group
ASA2/ClusterDisabled(cfg-cluster)# enable as-slave
INFO: This unit will be enabled as a cluster slave without sanity check and confirmation.
ASA2/ClusterDisabled(cfg-cluster)# cluster_ccp_make_rpc_call failed to clnt_call. msg is
CCP_MSG_REGISTER, ret is RPC_SYSTEMERROR
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either
enable clustering or remove cluster group configuration.
Una razón posible de este error es una discordancía de la habitación de la cifra SSL entre el master y el esclavo ASA. El clúster requiere que haya
por lo menos una habitación de la cifra SSL que corresponde con entre el master y la unidad auxiliar que se agregarán al cluster. Refiera a este
requisito en la guía de configuración CLI de la serie de Cisco ASA, 9.0:
New cluster members must use the same SSL encryption setting (the ssl encryption command) as
the master unit.
En el escenario de la discordancía, se registra un mensaje de Syslog:
%ASA-7-725014: SSL lib error. Function: SSL23_GET_SERVER_HELLO Reason: sslv3 alert
handshake failure
Un ejemplo de una discordancía es este cifrado en el master ASA:
ASA1/master# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
y este cifrado en el esclavo ASA que se agregará al cluster:
ASA2/ClusterDisabled# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption des-sha1
Esta discordancía ocurre comúnmente cuando una licencia de la encripción fuerte (3DES/AES) no ha estado instalada en el esclavo ASA. La lista
de habitaciones de la cifra en el esclavo ASA omite el des-sha1 y no es actualizada cuando la licencia 3DES/AES se agrega al esclavo ASA.
Hay dos soluciones para esta discordancía.
Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta
sección.
Solución 1
En el master ASA, agregue el des-sha1 como habitación válida de la cifra SSL:
ASA1/master# configuration terminal
ASA1/master(config)# ssl encryption des-sha1
Nota: Cisco no recomienda que usted habilita el des-sha1 porque es una cifra débil y se considera vulnerable.
Solución 2
En el esclavo ASA, agregue por lo menos una de estas habitaciones de la cifra SSL: rc4-sha1, aes128-sha1, aes256-sha1, o 3des-sha1:
ASA2/ClusterDisabled# configuration terminal
ASA2/ClusterDisabled(config)# ssl encryption rc4-sha1
Información Relacionada
Guía de configuración CLI de la serie de Cisco ASA, 9.0
Soporte Técnico y Documentación - Cisco Systems
© 1992-2016 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 17 Octubre 2016
http://www.cisco.com/cisco/web/support/LA/111/1118/1118215_116108-problem-slave-asa-00.html
Documentos relacionados
La actualización ASA a la versión 9.1.3 falla con “ninguna estructura
La actualización ASA a la versión 9.1.3 falla con “ninguna estructura
VIDAS DE CARRERAS LARGAS Por Yoandys López
VIDAS DE CARRERAS LARGAS Por Yoandys López
Empresa u Organización /Company or Organization: Nombre
Empresa u Organización /Company or Organization: Nombre
Resumen de Protocolos: El servidor del registro se identifica
Resumen de Protocolos: El servidor del registro se identifica
Mccarty Sarah - Promesas Que Unen - M
Mccarty Sarah - Promesas Que Unen - M
Hallan cuatro nuevos campos petroleros
Hallan cuatro nuevos campos petroleros
Como limpiar mi casa
Como limpiar mi casa
SISTEMA DE CLASIFICACIÓN ASA
SISTEMA DE CLASIFICACIÓN ASA
Relación de demandas especificas y áreas usuarias, Convocatoria
Relación de demandas especificas y áreas usuarias, Convocatoria
Descargar
Anuncio
Anuncio