最近,我遇到了一个问题:客户端有两个以活动/待机模式运行的Cisco ASA 5512-x。 客户端忘记更新密码,所有用户密码均已过期。 尝试登录时,ASA仅报告到期日期,并且不允许您更改密码。 由于所有用户均已过期,因此无法以任何方式连接和更改密码。 一直存在一个具有讽刺意味的选项,可以通过更改寄存器来重置密码,但是在这里您不能没有停机时间。 此选项不适合。 决定使用备用ASA以避免停机。 但是有些细微差别:
1)如果您仅重新启动备用ASA,进入ROMMON模式,更改大小写并启动,那么我们将获得访问权限并能够更改密码,但是只要执行
copy startup-config running-config
然后立即备用ASA将找到活动节点,并且已经从那里同步了配置。
2)如果您关闭同步并且仅然后下载配置,则备用ASA将使用活动IP地址,并且我们会有冲突。
经过反思,发明了以下计划:
1.重新启动备用ASA,转到ROMMON,将寄存器更改为0x41并启动:
rommon
rommon
2.现在,我们断开所有备用ASA接口的连接(可以在连接ASA的交换机上,也可以从ASA本身拔出所有网络电缆)。
3.我们进入特权执行模式:
hostname> enable
并加载工作配置:
hostname# copy startup-config running-config
如果没有活动接口的备用ASA认为自己是活动节点,则既无法同步数据也不会损害IP地址冲突。 我们进入配置并添加一个新用户以进一步访问:
hostname# configure terminal hostname(config)# username test password test
4.在这里您可以做不同的事情,不要连接电缆,仅在最后物理地连接我们断开的电缆或进行连接,而在此之前,将所有接口从配置中断开。 在此阶段,已决定通过配置禁用所有接口并准备将其包含在内。
hostname(config)# interface interface_id hostname(config-if)# shutdown
5.返回默认寄存器,保存配置并重新启动。
hostname(config)# no config-register hostname(config)# write
现在,重新启动后的备用ASA将使用配置和我们需要的用户测试启动。 由于接口已关闭,因此ASA将无法找到备用节点进行同步的活动节点,并且由于相同的原因而变为活动状态不会破坏任何内容。
6.现在,在加载所需的配置后,我们可以与测试用户连接。 我们已连接,并进入特权EXEC模式。 接下来,启用要进行故障转移的一个或多个接口。 之后,我们的备用ASA将找到活动节点,同步配置并切换到备用模式。 在这种情况下,我们的用户测试将被删除,但是由于那时我们已经处于特权EXEC模式,因此我们的会话将保留。 如果我们此时离开,那么我们将无法进入,因此在这里我们必须格外小心。 由于来自活动节点的配置同步,所有其他接口也将打开。
我们只能在活动节点上更改用户密码,但是我们仍然无法访问它。 出路是通过我们现有的访问权限使stanby ASA处于活动状态。 当我们的备用ASA与活动节点同步后进入备用就绪状态时,我们可以进行切换。 您可以使用以下命令查看状态:
hostname(config)# show failover state
使用第二个命令,我们从活动ASA切换到备用ASA:
hostname(config)# failover active
7.现在,我们可以在活动节点上进行访问了。 在这里已经可以更改用户密码,并在必要时切换回去(如果这很关键)。
因此,在此方案中,我们可以在不停机的情况下重置密码。 从活动节点切换到备用节点时,只需考虑延迟。