更换故障 ASA 硬件的清单

网络工程 思科-ASA 硬件
2022-02-28 04:33:16

我有一个失败的 Cisco ASA,正在根据支持合同进行更换。这是可以容忍停机时间的分支机构生产中的单点故障。我将亲自在该站点实际更换设备。在硬件故障之前,配置很好。我的目标是恢复到硬件故障之前的工作状态。

虽然我在 ASA 上工作了很多,但我从来不需要更换硬件,所以这对我来说是一个新领域。我正在寻找的是用于以下目的的清单、操作手册或程序:

  • 帮助确保我不会错过一些关键的配置步骤
  • 有助于避免一些关键的配置错误
  • 在进行硬件交换时帮助提前准备以减少停机时间
  • 提前了解这可能需要多长时间

在我的脑海中,我应该考虑以下几点:

  • 记录电缆连接
  • 导出当前running-config
  • 记录旧 ASA 的固件版本
  • 将新 ASA 的固件更改为与旧版本相同的版本
  • 管理员密码是否需要与配置分开设置?
  • VPN 用户密码存储在哪里?
  • 证书呢?

在该列表的底部附近,事情开始变得非常模糊。我也觉得我可能完全错过了一些重要的项目。

更换发生故障的 Cisco ASA 硬件时需要做哪些事情?

3个回答

要添加到收集的内容中的一件事是许可功能 ( show activation-key detail)

这一切都取决于 asa 模型和运行版本。有些部分将在配置中,其他部分在 flash 文件中,还有一些在“私有”flash 文件中。最快和最完整的过程是更换紧凑型闪存。请记住,激活密钥也存储在那里,所以在交换之前从新系统中获取它。

例如,我的 ASA 具有不在运行配置或可见闪存文件系统中的 webvpn 配置组件。

对于所有型号,您都必须打开机箱才能获得 CF。ASA5505,它位于板的边缘,从外面可见,但在掀开盖子之前不可拆卸。ASA5510/20/... CF 位于外部 CF 附近的板上。

我选择使用思科支持方法来更换我的 ASA。您还可以考虑Ricky Beam 建议交换思科不支持的CF 卡

我刚刚完成了交换,并且对优雅地交换 ASA5505 需要发生的事情有了更清晰的认识。当然,会有特定于站点的考虑因素,但我试图提及任何可能普遍适用的内容。

设置和预配置

这些任务都可以在旧 ASA 停止服务之前完成。

  • 寻找第二个 ASA 电源- AFAICT 思科不会向您发送第二个电源来帮助您更换故障硬件。如果您的 ASA 需要外部电源而您只有一个,则在配置新 ASA 时,您将不得不拆除旧 ASA。这会造成不必要的停机时间。
  • 记录电缆连接- 您将使用相同的方式进行翻录和替换。如果替换为 DOA,则也有可能恢复为原始 ASA。当您启动并运行替换 ASA 时,您还可能需要执行部分连接,因此您需要一种非常清晰的方法来将电缆与旧 ASA 和新 ASA 上的端口匹配。
  • Diffshow activation-key detail - 连接到新 ASA 的控制台并转储show activation-key detail到文件。在旧 ASA 上执行相同操作。比较这两个文件,看看有什么突出的。我收到的替换 ASA 被激活到错误的许可证,等待获取新的激活密钥。
  • 从 Cisco.com 和旧 ASA 下载二进制文件- 从 cisco.com 和旧 ASA 下载固件和 ASDM 的相同版本二进制文件。比较每个新旧二进制文件的校验和。如果问题的原因是文件损坏,则校验和将不匹配,这可能会提供线索。
  • 保存旧 ASA 的各种命令的输出- 有许多必需或可能派上用场的项目只能从旧 ASA 获得。我建议运行并保存以下命令的输出:
    • show version
    • show activation-key detail
    • show asdm image
    • show running-config
  • 确认工作站/ASA 连接- 您几乎可以肯定需要控制台和 SSH 访问来设置新的 ASA。在将旧 ASA 替换为新 ASA 之前,您不妨确保这些连接与旧 ASA 一起工作。
  • 设置具有独立网络连接的工作站- 您很可能需要通过 SSH 连接到新的未配置 ASA,同时您需要 google。因此,您需要一个不依赖于有问题的 ASA 的互联网连接。
  • 使用正确的二进制文件加载新的 ASA - 我认为有几种方法可以实现这一点。我使用新 ASA 的控制台来更改其运行配置,使其足以启用适当固件的 TFTP 和 ASDM 二进制文件到新 ASA 的闪存。
  • 更改新 ASA 的固件版本- 使用控制台发出boot system、、wr memreload命令将固件版本切换到与旧 ASA 相同的版本
  • 更改新 ASA 的 ASDM 映像- 使用控制台发出命令asdm image并使用wr mem命令将 asdm 映像更改为与旧 ASA 相同。
  • 在运行配置上应用和迭代- 我确定需要一些迭代才能让新 ASA 接受旧 ASA 运行配置的所有方面。以下是该迭代的步骤:
    1. 将旧 ASA 的运行配置粘贴到新 ASA 的控制台中。
    2. 将输出保存show running-config到文件中。
    3. 将该文件与旧 ASA 的配置进行比较,以便您了解有什么不同。
    4. 发出纠正命令以尝试纠正差异。返回第 2 步并重复,直到新旧运行配置相同。
  • 生成新的加密密钥- 使用控制台发出crypto key generate rsa命令。如果不发出该命令,您将无法通过 SSH 连接到 ASA。

翻录和替换

完成所有设置和配置任务后,只需更换硬件即可。这应该只需要几分钟。

  • 删除旧的 ASA
  • 将任何支架和模块转移到新的 ASA
  • 安装新的 ASA
  • 将除电源外的所有电缆连接到新的 ASA(您应该将控制台端口连接到终端,以便观看启动)
  • 将电源连接到新的 ASA
  • 监控启动顺序是否成功

更换后测试

此时,至少基本连接应该在 ASA 上正常工作。为了证明工作的不同方面,至少做以下事情:

  • 从控制台,ping 以下:
    • 8.8.8.8
    • 将通过 SSH 连接的管理工作站
    • 任何其他可以帮助您测试新硬件是否按预期工作的节点
  • 通过 SSH 连接到新的 ASA
  • 使用 ASDM 连接到新的 ASA
  • 测试任何 VPN 连接

您需要使用命令“show module all”检查 asa 上安装了哪个模块(硬件或软件)。硬件模块可以是IDS/IPS、SSM、CX或FIREpower,软件模块可以是CX或FIREpower。每个模块都需要特定的备份。

对于 asa 的备份:

  • 从 9.3 版开始,您可以使用命令“备份”
  • 在 9.3 版之前,您可以使用图形化 asdm 备份功能工具 -> 备份配置或使用 cli 备份 asdm 备份中存在的所有选项。

参考

其它你可能感兴趣的问题
上一篇将多播流量过滤到 WiFi SSID 下一篇OSPF 中的 2 路状态