Récemment, j'ai rencontré un problème: le client a deux Cisco ASA 5512-x, qui fonctionnent en mode actif / veille. Le client a oublié de mettre à jour les mots de passe et tous les utilisateurs ont expiré le mot de passe. Lorsque vous essayez de vous connecter, l'ASA ne signale que la date d'expiration et ne vous permet pas de changer le mot de passe. Étant donné que tous les utilisateurs ont expiré, il n'était pas possible de se connecter et de modifier le mot de passe de quelque manière que ce soit. Il y a toujours eu une option ironique pour réinitialiser le mot de passe en modifiant le registre, mais ici, vous ne pouvez pas vous passer de temps d'arrêt. Cette option ne convenait pas. Il a été décidé d'utiliser l'ASA de secours pour éviter les temps d'arrêt. Mais il y avait quelques nuances:
1) Si vous venez de redémarrer l'ASA de secours, passez en mode ROMMON, changez la casse et démarrez, alors nous aurons accès et nous pourrons changer les mots de passe, mais dès que nous exécuterons
copy startup-config running-config
puis immédiatement en attente ASA trouvera le nœud actif et synchronisera déjà la configuration à partir de là .
2) Si vous désactivez la synchronisation et que vous téléchargez ensuite la configuration, l'ASA de secours prendra les adresses IP actives et nous aurons un conflit.
Après réflexion, le plan suivant a été inventé:
1. Redémarrez l'ASA de secours, allez à ROMMON, changez le registre en 0x41 et démarrez:
rommon
rommon
2. Maintenant, nous déconnectons toutes les interfaces ASA de secours (c'est possible sur le commutateur où l'ASA est connecté ou retirez simplement tous les câbles réseau de l'ASA elle-même).
3. Nous entrons en mode EXEC privilégié:
hostname> enable
et chargez la configuration de travail:
hostname# copy startup-config running-config
Ici, l'ASA de secours sans interfaces actives ne peut ni synchroniser les données ni endommager les conflits d'adresses IP s'il se considère comme un nœud actif. Nous entrons dans la configuration et ajoutons un nouvel utilisateur pour un accès supplémentaire:
hostname# configure terminal hostname(config)# username test password test
4. Ici, vous pouvez faire les choses différemment, ne connectez pas les câbles, seulement à la fin, connectez physiquement les câbles que nous avons déconnectés, ou connectez-les, mais avant cela, déconnectez toutes les interfaces de la configuration. À ce stade, il a été décidé de désactiver toutes les interfaces via la configuration et de préparer l'inclusion.
hostname(config)# interface interface_id hostname(config-if)# shutdown
5. Renvoyez le registre par défaut, enregistrez la configuration et redémarrez.
hostname(config)# no config-register hostname(config)# write
Maintenant, l'ASA de secours après le redémarrage démarrera avec la configuration et le test utilisateur dont nous avons besoin. L'ASA ne pourra pas trouver le noeud actif pour la synchronisation en mode veille, car les interfaces sont désactivées, et devenir actif ne gâchera rien pour la même raison.
6. Maintenant, après avoir chargé avec la configuration souhaitée, nous pouvons nous connecter avec l'utilisateur de test. Nous sommes connectés et nous entrons en mode EXEC privilégié. Ensuite, activez l'interface ou les interfaces qui étaient destinées au basculement. Après cela, notre ASA de secours trouvera le nœud actif, synchronisera les configurations et passera en mode de veille. Dans ce cas, notre test utilisateur sera supprimé, mais comme à ce moment nous sommes déjà en mode EXEC privilégié, notre session restera. Si nous partons en ce moment, nous ne pourrons pas entrer, nous devons donc être extrêmement prudents ici. Toutes les autres interfaces seront également activées en raison de la synchronisation de la configuration à partir du nœud actif.
Nous ne pouvons modifier les mots de passe des utilisateurs que sur le nœud actif, mais nous n'y avons toujours pas accès. La solution consiste à rendre notre ASA stable actif avec notre accès existant. Lorsque notre ASA de secours entre en état de veille prêt après la synchronisation avec le nœud actif, nous pouvons effectuer un changement. Vous pouvez afficher l'état à l'aide de la commande:
hostname(config)# show failover state
Et avec la deuxième commande, nous passons de Active ASA à Standby ASA:
hostname(config)# failover active
7. Maintenant, nous avons accès au nœud actif. Ici, il est déjà possible de changer les mots de passe des utilisateurs et de revenir en arrière si nécessaire (si cela est critique).
Ainsi, nous pouvons réinitialiser les mots de passe sans interruption dans ce schéma. Il vous suffit de prendre en compte le délai lors du passage du nœud actif au nœud de sauvegarde.