एएसए 5550 - रिबूट सार्थक?

मुझे एएसए 5550 मिला है जो लोड और संचालन के भार (AnyConnect, NAT, ACL, RADIUS, आदि, आदि) कर रहा है। यह विशेष रूप से सीपीयू और मेमोरी के संदर्भ में अतिभारित नहीं है, लेकिन इसमें 3.5 साल से अधिक का समय है।

हाल ही में मैं एक NAT Iempt नियम के साथ एक और IPSEC सुरंग (क्रिप्टोमैप के माध्यम से) को तैनात करने का प्रयास कर रहा हूं, लेकिन एएसए बहुत ही अजीब व्यवहार प्रदर्शित कर रहा है। कभी-कभी जब मैं ऐस जोड़ता हूं तो टेक्स्ट का एक द्रव्यमान विवरण क्षेत्र में कहीं से भी पॉप अप होता है। कोई फर्क नहीं पड़ता कि मैं क्या करता हूं, ऑन-बॉक्स पैकेटट्रैसर टूल के साथ मेरे परीक्षण मेरे द्वारा अपेक्षित परिणामों का परिणाम नहीं देते हैं (उदाहरण के लिए - मुझे एसीएल के तल पर किसी भी / किसी भी नियम को मारते हुए पैकेट दिखाई देता है, भले ही विशेष रूप से कॉन्फ़िगर किया गया हो उक्त ACL के शीर्ष पर ACE)।

वैसे भी, सवाल यह है: क्या किसी ने वास्तव में एएसए को रिबूट करके कुछ भी हल किया है? यह मेरा पसंदीदा विकल्प नहीं है, लेकिन बहुत अजीब व्यवहार के साथ मैं देख रहा हूं कि समस्या निवारण फलदायी हो रहा है।

संक्षिप्त उत्तर: हां।

लंबा उत्तर: :-) सॉफ्टवेयर के हर टुकड़े में कीड़े होते हैं। यह जितना लंबा चलता है, आपके नेटवर्क में दुकान सेटअप करने की संभावना उतनी ही अधिक होती है। लेकिन इस बिंदु पर अधिक, अब यह एक रिबूट के बिना चला गया है, "पुराने" कॉन्फ़िगरेशन और / या स्थिति के अधिक कम बिट्स को छोड़ दिया जाएगा। आईओएस में, no interface fooएक चेतावनी का उत्सर्जन करेगा कि यह पूरी तरह से नष्ट नहीं हुआ है और कॉन्फ़िगरेशन तत्व फिर से प्रकट हो सकते हैं यदि आप इंटरफ़ेस को फिर से बनाते हैं - एक एएसए में नहीं होना चाहिए, लेकिन दुर्लभ मामलों में, ऐसा होता है। मैंने फैंटम एनएटी प्रविष्टियों को कॉन्फिगरेशन से हटाने के बाद भी देखा है। (यह वास्तव में एक बग है)

IPSec / क्रिप्टो के साथ काम करते समय, मैंने पाया है कि बहुत सारे पागल एक से साफ हो सकते हैं reload। जब तक मैंने नहीं किया एक मामले में (Pix 6.3.5) यह वीपीएन सुरंग को फिर से स्थापित नहीं करेगा।

[संपादित करें] सामान्य रूप से रिबूट पर एक शब्द: मैं केवल यह सुनिश्चित करने के लिए चीजों को रिबूट करता हूं । सभी में अक्सर मेरे पास विभिन्न सिस्टम (राउटर, फायरवॉल, सर्वर) होते हैं जो विस्तारित अवधि के लिए चल रहे हैं - लगातार संशोधित किए जा रहे हैं, और जब कुछ उन्हें समाप्त होता है (आमतौर पर एक पावर आउटेज, लेकिन "उफ़, गलत मशीन" भी होता है) शायद ही कभी वापस आते हैं जैसा कि वे पहले थे ... कोई व्यक्ति बूट पर एक्स स्टार्ट करना भूल गया, या कुछ अजीब तरीके से बातचीत करना स्टार्टअप को अपेक्षित नहीं बनाता है। मैं मानता हूं, यह किसी के बुनियादी ढांचे के अधिक स्थिर भागों के लिए एक चिंता का विषय है।

आम तौर पर, मैं एक समस्या के समाधान के रूप में एक रिबूट की सिफारिश नहीं करता हूं जब तक कि आप नहीं जानते कि आप एक बग से निपट रहे हैं जो स्मृति रिसाव या कैश ओवरफ़्लो स्थिति जैसी किसी चीज़ का परिचय देता है।

कम से कम 3.5 साल पुरानी एक एएसए छवि के साथ, क्या आपने सिस्को बग टूलकिट की जांच की है? ऑड्स यह है कि प्लेटफ़ॉर्म के किसी भी बग को प्रलेखित किया जाएगा और आप देख सकते हैं कि कोई भी आवेदन करना है या नहीं।

यदि आपके पास समर्थन है तो मैं टीएसी मामला खोलने की भी सिफारिश करूंगा।

मेरे दिमाग में रिबूट अन्य समस्याओं पर चमकता है और मूल कारण खोजने के लिए इसे बहुत मुश्किल (यदि असंभव नहीं है) कर सकता है। अंततः मूल कारण को समझने के बिना, आप नहीं जानते कि आपने कुछ भी तय किया है और मुझे लगता है कि यह बहुत खतरनाक है, खासकर "सुरक्षा" प्लेटफॉर्म पर।

उदाहरण के लिए, हो सकता है कि आपके पास उस कोड में सुरक्षा भेद्यता हो जो किसी बाहरी स्रोत द्वारा शोषित किया जा रहा हो। हालांकि रिबूट उनके कनेक्शन को काट सकता है और लक्षणों को कम कर सकता है, यह समस्या को संबोधित करने के लिए कुछ भी नहीं करता है।

जैसा कि उल्लेख किया गया है, जोखिम प्रबंधन और भेद्यता प्रबंधन आपकी चिंताएं होनी चाहिए। मैं कहता हूं कि आपके एएसए सॉफ्टवेयर संस्करण के लिए कम से कम 10-20 ज्ञात कमजोरियां हैं, यह मानते हुए कि आपके पास अपटाइम का प्रतिनिधित्व करने वाले नवीनतम फर्मवेयर स्थापित थे।

Tools.cisco.com लिंक, पिछले एक साल के वल्नों के साथ (कुछ प्रासंगिक नहीं हैं, लेकिन यह आपको एक अच्छा विचार देना चाहिए)

कुछ अन्य उपकरण जो आपकी मदद कर सकते हैं:

• सिस्को सुरक्षा IntelliShield चेतावनी प्रबंधक - यह निर्धारित करें कि क्या नेटवर्क, हार्डवेयर और सॉफ़्टवेयर परिसंपत्तियाँ नए और मौजूदा खतरों के प्रति संवेदनशील हैं

• सिस्को IOS सॉफ्टवेयर चेकर । मुझे नहीं पता कि एएसए के लिए भी ऐसा ही कुछ है, लेकिन शायद कोई इसमें झंकार कर सकता है?

• राउटर कॉन्फ़िगरेशन ऑडिटिंग: RedSeal में संस्करण जांच शामिल हो सकती है (यह कई वर्षों से है जब मैंने इसके साथ काम किया है), साथ ही साथ नेटवर्क के लिए अन्य सुरक्षा उपकरण भी खूब हैं।

• भेद्यता प्रबंधन: नेसस के पास सामुदायिक और वाणिज्यिक संस्करण हैं, और इस तरह के अन्य सॉफ्टवेयर बहुत हैं

मुझे हाल ही में up.२ (२) १६ ~ २.५ साल के अपटाइम के साथ इसी तरह की समस्याओं का सामना करना पड़ा है, जिससे क्रिप्टो मैप एसीएल में निर्दिष्ट ऑब्जेक्ट-समूहों का मिलान नहीं हो रहा था। एक एसीएल बयान जोड़ना कि ऑब्जेक्ट-समूह पहले से ही शामिल है, जिससे दिलचस्प ट्रैफ़िक का मिलान किया जा सके। अधिक निराश।

एक सहकर्मी ने सलाह दी कि वे इस व्यवहार को पहले देख चुके हैं और एक पुनः लोड ने उस उदाहरण में इसे हल किया है।

जब आप कहते हैं कि ACE जोड़ते समय 'यादृच्छिक' पाठ का भार दिखाई दे रहा है, तो क्या आप मैन्युअल रूप से इन ACE को टाइप कर रहे हैं या आप उन्हें किसी अन्य स्रोत (जैसे नोटपैड) से चिपका रहे हैं।

मैंने पहले मुद्दों को देखा है जहां यदि आप एक डिवाइस में बहुत सारी लाइनें चिपका रहे हैं तो यह ओवरलोड हो सकता है और कुछ भ्रष्टाचार होता है, कम लाइनें चिपकाना आमतौर पर इसे ठीक करता है या आपके टर्मिनल प्रोग्राम पर एक फ़ंक्शन का उपयोग करके एक छोटे के लिए अनुमति देता है प्रत्येक पंक्ति के बीच समय अंतराल।