我有一个正在执行负载和操作负载(AnyConnect,NAT,ACL,RADIUS等)的ASA 5550。在CPU和内存方面,它并没有特别重载,但是正常运行时间超过3.5年。
最近,我一直在尝试部署另一个IPSEC隧道(通过密码映射)以及NAT免除规则,但是ASA表现出非常奇怪的行为。有时,当我添加ACE时,描述字段中的任何地方都会弹出大量文本。不管我做什么,使用现成的PacketTracer工具进行的测试都不会产生预期的结果(例如-尽管有一个专门配置的包,但我看到该包达到了ACL底部的Any / Any规则) ACE在上述ACL的顶部)。
无论如何,问题是这样的:是否有人通过重启ASA实际解决了任何问题?这不是我最喜欢的选项,但是由于出现了非常奇怪的行为,我发现故障排除变得毫无结果。
Answers:
简短的回答:是的。
更长的答案::-)每个软件中都有bug。它运行的时间越长,越有可能在您的网络中开设商店。但更重要的是,无需重新启动就可以使用的时间越长,“旧”配置和/或状态的点点滴滴就会留下来。在IOS中,no interface foo将发出一条警告,提示您该接口并未完全销毁,并且如果您重新创建接口,则配置元素可能会重新出现-在ASA中不应该发生,但在极少数情况下会发生。从配置中删除虚拟NAT条目后,我还看到了它们。(实际上是一个错误)
在处理IPSec /加密时,我发现可以通过清除很多疯狂的东西reload。在一种情况下(像素6.3.5),直到我这样做,它才会重新建立VPN隧道。
[edit]关于重新启动的一般说法:我倾向于重新启动事物,只是为了确保它们会重新启动。我经常使各种系统(路由器,防火墙,服务器)运行很长时间-不断地被修改,并且当某些事情最终导致它们重新启动时(通常是断电,但也会发生“糟糕的错误机器”),很少像以前一样完全恢复原状...有人忘记使X在启动时启动,或者部件之间有些奇怪的相互作用使某些事情无法按预期启动。我承认,对于一个基础架构的更多静态部分而言,它不再是一个问题。
通常,除非您知道自己要处理的错误会引起诸如内存泄漏或缓存溢出情况之类的错误,否则我不建议您重启作为解决问题的方法。
如果ASA运行的图像至少具有3.5年的历史,您是否检查了Cisco Bug工具箱?可能会记录该平台中的所有错误,并且您可以查看是否有任何适用的外观。
如果您有支持,我也建议您打开TAC案件。
在我的脑海里重新启动掩盖了其他问题,并且可能使找到根本原因非常困难(即使不是不可能)。最终,在不了解根本原因的情况下,您不知道您已修复任何问题,而且我发现这非常危险,尤其是在“安全”平台上。
例如,也许您的代码中存在一个安全漏洞,该漏洞正在被外部来源利用。虽然重新启动可能会切断它们的连接并减轻症状,但是它无济于事。
如前所述,风险管理和漏洞管理应该是您的关注点。我想说的是,假设您在正常运行时间所代表的时间已安装了最新固件,则ASA软件版本至少存在10-20个已知漏洞。
Tools.cisco.com链接,其中包含过去一年的外伤(有些无关紧要,但这应该可以给您一个好主意)
其他一些可以帮助您的工具:
思科安全IntelliShield Alert Manager-确定网络,硬件和软件资产是否容易受到新的和现有的威胁
Cisco IOS软件检查器。我不知道ASA是否也有类似功能,但也许有人可以插话?
路由器配置审核:RedSeal可能包括版本检查(自从我使用它以来已经有好几年了),以及许多其他的网络安全工具
漏洞管理:Nessus具有社区和商业版本,并且还有很多其他这样的软件
当您说添加ACE时出现一堆“随机”文本时,您是手动输入这些ACE还是从其他来源(如记事本)粘贴它们。
我之前看到过一些问题,如果您将很多行粘贴到设备中,它可能会过载并且会发生一些损坏,粘贴较少的行通常会解决该问题,或者在终端程序上使用函数“缓慢粘贴”以允许一小段每行之间的时间间隔。