Recientemente me encontré con un problema: el cliente tiene dos Cisco ASA 5512-x, que funcionan en modo activo / en espera. El cliente olvidó actualizar las contraseñas y todos los usuarios han caducado la contraseña. Al intentar iniciar sesión, el ASA solo informa la fecha de vencimiento y no le permite cambiar la contraseña. Como todos los usuarios expiraron, no fue posible conectarse y cambiar la contraseña de ninguna manera. Siempre ha habido una opción irónica para restablecer la contraseña cambiando el registro, pero aquí no puede prescindir del tiempo de inactividad. Esta opción no encajaba. Se decidió utilizar ASA en espera para evitar el tiempo de inactividad. Pero hubo algunos matices:
1) Si solo reinicia el ASA en espera, ingrese al modo ROMMON, cambie el caso y arranque, entonces obtendremos acceso y podremos cambiar las contraseñas, pero tan pronto como lo ejecutemos
copy startup-config running-config
luego, el ASA en espera inmediatamente encontrará el nodo activo y ya sincronizará la configuración desde allí.
2) Si desactiva la sincronización y solo luego descarga la configuración, el ASA en espera tomará direcciones IP activas y tendremos un conflicto.
Después de reflexionar, se inventó el siguiente plan:
1. Reinicie ASA en espera, vaya a ROMMON, cambie el registro a 0x41 y arranque:
rommon
rommon
2. Ahora desconectamos todas las interfaces ASA en espera (es posible en el conmutador donde está conectado el ASA o simplemente extraemos todos los cables de red del propio ASA).
3. Ingresamos al modo EXEC privilegiado:
hostname> enable
y cargar la configuración de trabajo:
hostname# copy startup-config running-config
Aquí, el ASA en espera sin interfaces activas no puede sincronizar datos ni dañar conflictos de direcciones IP si se considera un nodo activo. Entramos en la configuración y agregamos un nuevo usuario para un mayor acceso:
hostname# configure terminal hostname(config)# username test password test
4. Aquí puede hacer las cosas de manera diferente, no conecte los cables, solo al final conecte físicamente los cables que desconectamos o conecte, pero antes de eso desconecte todas las interfaces de la configuración. En esta etapa, se decidió deshabilitar todas las interfaces a través de la configuración y prepararse para la inclusión.
hostname(config)# interface interface_id hostname(config-if)# shutdown
5. Devuelva el registro predeterminado, guarde la configuración y reinicie.
hostname(config)# no config-register hostname(config)# write
Ahora el ASA en espera después del reinicio arrancará con la configuración y la prueba de usuario que necesitamos. ASA no podrá encontrar el nodo activo para la sincronización en espera, ya que las interfaces están apagadas, y al activarse no arruinará nada por la misma razón.
6. Ahora, después de cargar con la configuración deseada, podemos conectarnos con el usuario de prueba. Estamos conectados y entramos en modo EXEC privilegiado. A continuación, habilite la interfaz o interfaces destinadas a la conmutación por error. Después de eso, nuestro ASA en espera encontrará el nodo activo, sincronizará las configuraciones y cambiará al modo en espera. En este caso, nuestra prueba de usuario será eliminada, pero dado que en ese momento ya estamos en modo EXEC privilegiado, nuestra sesión permanecerá. Si nos vamos en este momento, entonces no podremos entrar, por lo que debemos ser extremadamente cuidadosos aquí. Todas las demás interfaces también se activarán debido a la sincronización de la configuración desde el nodo activo.
Podemos cambiar las contraseñas de los usuarios solo en el nodo activo, pero aún no tenemos acceso a ellas. La salida es hacer que nuestro ASA en espera esté activo con nuestro acceso existente. Cuando nuestro ASA en espera entra en estado de espera en espera después de la sincronización con el nodo activo, podemos hacer un cambio. Puede ver el estado con el comando:
hostname(config)# show failover state
Y con el segundo comando, cambiamos de ASA activo a ASA en espera:
hostname(config)# failover active
7. Ahora, estamos con acceso en el nodo activo. Aquí ya es posible cambiar las contraseñas de los usuarios y volver a cambiar si es necesario (si esto es crítico).
Por lo tanto, podemos restablecer las contraseñas sin tiempo de inactividad en este esquema. Solo necesita considerar el retraso al cambiar del nodo activo al de respaldo.