Kürzlich bin ich auf ein Problem gestoßen: Der Client verfügt über zwei Cisco ASA 5512-x, die im Aktiv- / Standby-Modus arbeiten. Der Client hat vergessen, die Kennwörter zu aktualisieren, und alle Benutzer haben das Kennwort abgelaufen. Beim Versuch, sich anzumelden, meldet der ASA nur das Ablaufdatum und erlaubt Ihnen nicht, das Kennwort zu ändern. Da alle Benutzer abgelaufen sind, war es nicht möglich, eine Verbindung herzustellen und das Passwort in irgendeiner Weise zu ändern. Es gab immer eine ironische Option, das Passwort durch Ändern des Registers zurückzusetzen, aber hier können Sie nicht auf Ausfallzeiten verzichten. Diese Option passte nicht. Es wurde beschlossen, Standby-ASA zu verwenden, um Ausfallzeiten zu vermeiden. Aber es gab einige Nuancen:
1) Wenn Sie nur den Standby-ASA neu starten, in den ROMMON-Modus wechseln, Groß- und Kleinschreibung ändern und booten, erhalten wir Zugriff und können Kennwörter ändern, aber sobald wir ausgeführt werden
copy startup-config running-config
Dann findet der Standby-ASA sofort den aktiven Knoten und synchronisiert die Konfiguration bereits von dort aus.
2) Wenn Sie die Synchronisierung deaktivieren und erst dann die Konfiguration herunterladen, nimmt der Standby-ASA aktive IP-Adressen an und es kommt zu einem Konflikt.
Nach Überlegungen wurde folgender Plan erfunden:
1. Starten Sie den Standby-ASA neu, gehen Sie zu ROMMON, ändern Sie das Register in 0x41 und starten Sie:
rommon
rommon
2. Jetzt trennen wir alle Standby-ASA-Schnittstellen (es ist möglich, an dem Switch, an dem der ASA angeschlossen ist, alle Netzwerkkabel vom ASA selbst abzuziehen).
3. Wir wechseln in den privilegierten EXEC-Modus:
hostname> enable
und laden Sie die Arbeitskonfiguration:
hostname# copy startup-config running-config
Hier kann ein Standby-ASA ohne aktive Schnittstellen weder Daten synchronisieren noch IP-Adresskonflikte schädigen, wenn er sich selbst als aktiven Knoten betrachtet. Wir gehen in die Konfiguration und fügen einen neuen Benutzer für den weiteren Zugriff hinzu:
hostname# configure terminal hostname(config)# username test password test
4. Hier können Sie die Dinge anders machen, die Kabel nicht anschließen, nur am Ende die von uns getrennten Kabel physisch anschließen oder verbinden, aber vorher alle Schnittstellen von der Konfiguration trennen. Zu diesem Zeitpunkt wurde beschlossen, alle Schnittstellen über die Konfiguration zu deaktivieren und die Aufnahme vorzubereiten.
hostname(config)# interface interface_id hostname(config-if)# shutdown
5. Geben Sie das Standardregister zurück, speichern Sie die Konfiguration und starten Sie den Computer neu.
hostname(config)# no config-register hostname(config)# write
Jetzt startet der Standby-ASA nach dem Neustart mit der Konfiguration und dem Benutzertest, den wir benötigen. ASA kann den aktiven Knoten für die Synchronisation im Standby-Modus nicht finden, da die Schnittstellen ausgeschaltet sind und das Aktivieren aus demselben Grund nichts ruiniert.
6. Nachdem wir die gewünschte Konfiguration geladen haben, können wir uns jetzt mit dem Testbenutzer verbinden. Wir sind verbunden und wechseln in den privilegierten EXEC-Modus. Aktivieren Sie als Nächstes die Schnittstelle oder Schnittstellen, für die ein Failover vorgesehen war. Danach findet unser Standby-ASA den aktiven Knoten, synchronisiert die Konfigurationen und wechselt in den Standby-Modus. In diesem Fall wird unser Benutzertest gelöscht, aber da wir uns zu diesem Zeitpunkt bereits im privilegierten EXEC-Modus befinden, bleibt unsere Sitzung bestehen. Wenn wir in diesem Moment gehen, können wir nicht eintreten, deshalb müssen wir hier äußerst vorsichtig sein. Alle anderen Schnittstellen werden aufgrund der Synchronisierung der Konfiguration vom aktiven Knoten ebenfalls aktiviert.
Wir können Benutzerkennwörter nur auf dem aktiven Knoten ändern, haben jedoch noch keinen Zugriff darauf. Der Ausweg besteht darin, unsere Standard-ASA mit unserem vorhandenen Zugang aktiv zu machen. Wenn unser Standby-ASA nach der Synchronisation mit dem aktiven Knoten in den Standby-Bereitschaftszustand wechselt, können wir einen Wechsel vornehmen. Sie können den Status mit dem folgenden Befehl anzeigen:
hostname(config)# show failover state
Und mit dem zweiten Befehl wechseln wir von Active ASA zu Standby ASA:
hostname(config)# failover active
7. Jetzt haben wir Zugriff auf den aktiven Knoten. Hier ist es bereits möglich, Benutzerkennwörter zu ändern und bei Bedarf zurückzuschalten (falls dies kritisch ist).
Somit können wir Passwörter in diesem Schema ohne Ausfallzeiten zurücksetzen. Sie müssen nur die Verzögerung berücksichtigen, wenn Sie vom aktiven zum Backup-Knoten wechseln.