واجهت مشكلة مؤخرًا: لدى العميل جهازي Cisco ASA 5512-x ، اللذين يعملان في الوضع النشط / وضع الاستعداد. نسي العميل تحديث كلمات المرور ، وانتهت صلاحية جميع المستخدمين لكلمة المرور. عند محاولة تسجيل الدخول ، تقوم ASA بالإبلاغ فقط عن تاريخ انتهاء الصلاحية ولا تسمح لك بتغيير كلمة المرور. نظرًا لانتهاء صلاحية جميع المستخدمين ، لم يكن من الممكن الاتصال وتغيير كلمة المرور بأي طريقة. لطالما كان هناك خيار ساخر لإعادة تعيين كلمة المرور عن طريق تغيير التسجيل ، ولكن هنا لا يمكنك الاستغناء عن وقت التعطل. هذا الخيار لا يصلح. تقرر استخدام ASA في وضع الاستعداد لتجنب فترة التوقف عن العمل. ولكن كانت هناك بعض الفروق الدقيقة:
1) إذا قمت ببساطة بإعادة تشغيل ASA في وضع الاستعداد ، فانتقل إلى وضع ROMMON ، وقم بتغيير الحالة والتمهيد ، فسوف نتمكن من الوصول وسنكون قادرين على تغيير كلمات المرور ، ولكن بمجرد تنفيذ
copy startup-config running-config
ثم ستجد ASA في وضع الاستعداد على الفور العقدة النشطة وستقوم بالفعل بمزامنة التكوين من هناك.
2) إذا قمت بإيقاف تشغيل المزامنة ثم قمت فقط بتنزيل التكوين ، فستأخذ ASA في وضع الاستعداد عناوين IP نشطة وسيكون لدينا تعارض.
بعد التفكير ، تم اختراع الخطة التالية:
1. إعادة تشغيل وضع الاستعداد ASA ، انتقل إلى ROMMON ، قم بتغيير التسجيل إلى 0x41 والتمهيد:
rommon
rommon
2. الآن نقوم بفصل جميع واجهات ASA الاحتياطية (من الممكن عند التبديل حيث يكون ASA متصلاً أو مجرد سحب جميع كابلات الشبكة من ASA نفسها).
3. ندخل وضع EXEC ذي الامتيازات:
hostname> enable
وتحميل تكوين العمل:
hostname# copy startup-config running-config
هنا الاستعداد ASA بدون واجهات نشطة لا يمكن مزامنة البيانات ولا تضر تضاربات عنوان IP إذا اعتبرت نفسها عقدة نشطة. نذهب إلى التكوين وإضافة مستخدم جديد لمزيد من الوصول:
hostname# configure terminal hostname(config)# username test password test
4. هنا يمكنك القيام بأشياء بشكل مختلف ، لا تقم بتوصيل الكابلات ، فقط في النهاية قم بتوصيل الكابلات التي قطعناها أو وصلها ، ولكن قبل ذلك افصل جميع الواجهات من التكوين. في هذه المرحلة ، تقرر تعطيل جميع الواجهات من خلال التكوين والتحضير للتضمين.
hostname(config)# interface interface_id hostname(config-if)# shutdown
5. إعادة السجل الافتراضي ، وحفظ التكوين وإعادة التشغيل.
hostname(config)# no config-register hostname(config)# write
الآن سيتم تشغيل ASA الاستعداد بعد إعادة التشغيل مع التكوين واختبار المستخدم الذي نحتاجه. لن تتمكن ASA من العثور على العقدة النشطة للمزامنة من خلال وضع الاستعداد ، نظرًا لأن الواجهات متوقفة عن التشغيل ، ولن تصبح نشطة بعد أن تدمر أي شيء لنفس السبب.
6. الآن ، بعد التحميل بالتهيئة المطلوبة ، يمكننا التواصل مع مستخدم الاختبار. نحن متصلون ودخلنا وضع EXEC ذي الامتيازات. بعد ذلك ، قم بتمكين الواجهة أو الواجهات التي كان الغرض منها تجاوز الفشل. بعد ذلك ، سيجد ASA في وضع الاستعداد العقدة النشطة ومزامنة التكوينات والتبديل إلى وضع الاستعداد. في هذه الحالة ، سيتم حذف اختبار المستخدم لدينا ، ولكن نظرًا لأننا في تلك اللحظة في وضع EXEC ذي الامتيازات ، فستظل جلستنا. إذا غادرنا في هذه اللحظة ، فلن نتمكن من الدخول ، لذا يجب أن نكون حذرين للغاية هنا. سيتم أيضًا تشغيل جميع الواجهات الأخرى بسبب مزامنة التكوين من العقدة النشطة.
لا يمكننا تغيير كلمات مرور المستخدم إلا على العقدة النشطة ، ولكن لا يزال لا يمكننا الوصول إليها. المخرج هو جعل ASA stanby نشطًا من خلال وصولنا الحالي. عندما يدخل ASA في وضع الاستعداد ، في وضع الاستعداد في وضع الاستعداد بعد المزامنة مع العقدة النشطة ، يمكننا إجراء التبديل. يمكنك عرض الحالة باستخدام الأمر:
hostname(config)# show failover state
ومع الأمر الثاني ، ننتقل من Active ASA إلى Standby ASA:
hostname(config)# failover active
7. الآن ، نحن مع إمكانية الوصول إلى العقدة النشطة. هنا من الممكن بالفعل تغيير كلمات مرور المستخدم والتبديل إذا لزم الأمر (إذا كان ذلك ضروريًا).
وبالتالي ، يمكننا إعادة تعيين كلمات المرور دون توقف في هذا المخطط. ما عليك سوى مراعاة التأخير عند التبديل من العقدة النشطة إلى العقدة الاحتياطية.