ASA 5550-重新启动是否值得？

#1 楼

简短的答案：是的。

更长的答案：:-)每个软件中都有bug。它运行的时间越长，越有可能在您的网络中开设商店。但更重要的是，无需重新启动就可以使用的时间越长，“旧”配置和/或状态的点点滴滴就会留下来。在IOS中，no interface foo会发出一条警告，警告您它并未完全销毁，并且如果您重新创建接口，则配置元素可能会重新出现-在ASA中不应该发生，但在极少数情况下会发生。从配置中删除幻影NAT条目后，我还看到了它们。 （实际上是一个错误）

处理IPSec /加密时，我发现可以通过reload消除很多疯狂。在一种情况下（像素6.3.5），直到我做完，它才会重新建立VPN隧道。他们会的。我经常使各种各样的系统（路由器，防火墙，服务器）运行很长时间-不断地被修改，并且当某些事情最终导致它们重新启动时（通常是断电，但也会发生“糟糕的错误机器”）很少像以前一样完全恢复原状...有人忘记使X在启动时启动，或者部件之间有些奇怪的相互作用使某些事情无法按预期启动。我承认，对于一个基础架构的更多静态部分而言，这不再是一个问题。

#2 楼

通常，除非您知道自己要处理的错误会引起诸如内存泄漏或缓存溢出情况之类的错误，否则我不建议您重启以解决问题。图像至少3.5岁，您是否检查过Cisco Bug工具箱？可能会记录该平台中的所有错误，并且可以查看是否有任何适用的外观。在我的脑海中重新启动掩盖了其他问题，并且可能使找到根本原因非常困难（即使不是不可能）。最终，在根本不了解根本原因的情况下，您不知道自己已修复任何问题，而且我发现这非常危险，尤其是在“安全”平台上。外部源正在利用的代码。虽然重新启动可能会切断它们的连接并减轻症状，但是它无济于事。

#3 楼

如前所述，风险管理和漏洞管理应该是您的关注点。我想说的是，假设您在正常运行时间表示已安装最新固件，则ASA软件版本至少存在10-20个已知漏洞。

Tools.cisco.com链接，其中包含过去一年的外伤（有些无关紧要，但这应该给您带来一个好主意）

其他一些帮助您：


Cisco Security IntelliShield Alert Manager-确定网络，硬件和软件资产是否容易受到新的和现有的威胁
Cisco IOS软件检查器。我不知道ASA是否有类似的功能，但也许有人可以听到吗？以及用于网络的许多其他安全工具
：Nessus具有社区和商业版本，并且那里还有许多其他类似软件

#4 楼

我最近在运行8.2（2）16且运行时间约为2.5年的ASA中遇到了类似的问题，从而无法匹配密码映射ACL中指定的对象组。添加该对象组已包含的ACL语句会导致有趣的流量被匹配。非常沮丧。

一位同事建议他们以前已经看到这种行为，并且重新加载可以解决该问题。

#5 楼

当您说添加ACE时出现一堆“随机”文本时，是您手动输入这些ACE还是从其他来源（例如记事本）粘贴它们。如果将大量行粘贴到设备中，可能会导致过载，并且会发生损坏，因此粘贴较少的行通常会解决问题，或者在终端程序上使用函数“粘贴缓慢”，以使每行之间的时间间隔较小。