我有一个 ASA 5550 正在执行负载和操作负载(AnyConnect、NAT、ACL、RADIUS 等)。它在 CPU 和内存方面并不是特别过载,但它的正常运行时间超过 3.5 年。
最近,我一直在尝试部署另一个 IPSEC 隧道(通过加密映射)以及 NAT 豁免规则,但 ASA 表现出非常奇怪的行为。有时,当我添加 ACE 时,描述字段中会突然出现大量文本。无论我做什么,我使用内置 PacketTracer 工具的测试都不会产生我期望的结果(例如 - 我看到数据包符合 ACL 底部的 Any/Any 规则,即使有专门配置的ACE 位于上述 ACL 的顶部)。
无论如何,问题是这样的:有没有人通过重新启动 ASA 来解决任何问题?这不是我最喜欢的选项,但由于我看到的非常奇怪的行为,故障排除变得毫无结果。
简短的回答:是的。
更长的答案::-) 每个软件都有错误。它运行的时间越长,人们就越有可能在您的网络中开店。但更重要的是,在没有重新启动的情况下它消失的时间越长,“旧”配置和/或状态的点点滴滴就会留下来。在 IOS 中,no interface foo将发出警告,指出它没有完全销毁,如果您重新创建接口,配置元素可能会重新出现——在 ASA 中不应该发生,但在极少数情况下,它会发生。从配置中删除它们后,我还看到了幻像 NAT 条目。(那个实际上是一个错误)
在处理 IPSec/crypto 时,我发现reload. 在一种情况下(pix 6.3.5),在我这样做之前它不会重新建立 VPN 隧道。
[编辑] 关于重启的一句话:我倾向于重启东西只是为了确保它们会。我经常让各种系统(路由器、防火墙、服务器)长时间运行——不断地被修改,当某些事情最终重新启动它们时(通常是停电,但“哎呀,错误的机器”也会发生)它们很少像以前一样恢复原样......有人忘记在启动时让 X 启动,或者部件的一些奇怪的交互使某些东西不能按预期启动。我承认,对于一个人的基础设施中更静态的部分,这不是一个问题。
通常,我不建议将重新启动作为问题的解决方案,除非您知道您正在处理引入内存泄漏或缓存溢出情况等问题的错误。
如果 ASA 运行的映像至少有 3.5 年的历史,您是否检查过 Cisco Bug 工具包?可能平台中的任何错误都会被记录下来,您可以查看是否有任何应用。
如果您有支持,我还建议您开立 TAC 案例。
在我的脑海中重新启动掩盖了其他问题,并且可能使找到根本原因变得非常困难(如果不是不可能的话)。最终,在不了解根本原因的情况下,您不知道您修复了任何东西,我发现这非常危险,尤其是在“安全”平台上。
例如,您的代码中可能存在一个被外部来源利用的安全漏洞。虽然重新启动可能会切断它们的连接并缓解症状,但它并不能解决问题。
如前所述,您应该关注风险管理和漏洞管理。我会说您的 ASA 软件版本至少有 10-20 个已知漏洞,假设您在正常运行时间表示的时间安装了最新的固件。
Tools.cisco.com 链接,包含过去一年的漏洞(有些不相关,但这应该给你一个好主意)
其他一些可能对您有所帮助的工具:
Cisco Security IntelliShield Alert Manager - 确定网络、硬件和软件资产是否容易受到新的和现有的威胁
Cisco IOS 软件检查器。我不知道 ASA 是否有类似的东西,但也许有人可以插话?
路由器配置审计:RedSeal可能包括版本检查(自从我使用它已经好几年了),以及许多其他网络安全工具
漏洞管理:Nessus有社区版和商业版,还有很多其他类似的软件
我最近遇到了来自运行 8.2(2)16 的 ASA 的类似问题,正常运行时间约为 2.5 年,其中加密映射 ACL 中指定的对象组未匹配。添加对象组已包含的 ACL 语句会导致匹配感兴趣的流量。非常令人沮丧。
一位同事表示,他们之前已经看到过这种行为,并且在这种情况下重新加载解决了这个问题。