无论如何,问题是这样的:有人通过重启ASA实际解决任何问题吗?这不是我最喜欢的选项,但是由于出现了非常奇怪的行为,我发现故障排除变得无济于事。
#1 楼
简短的答案:是的。更长的答案::-)每个软件中都有bug。它运行的时间越长,越有可能在您的网络中开设商店。但更重要的是,无需重新启动就可以使用的时间越长,“旧”配置和/或状态的点点滴滴就会留下来。在IOS中,
no interface foo
会发出一条警告,警告您它并未完全销毁,并且如果您重新创建接口,则配置元素可能会重新出现-在ASA中不应该发生,但在极少数情况下会发生。从配置中删除幻影NAT条目后,我还看到了它们。 (实际上是一个错误)处理IPSec /加密时,我发现可以通过
reload
消除很多疯狂。在一种情况下(像素6.3.5),直到我做完,它才会重新建立VPN隧道。他们会的。我经常使各种各样的系统(路由器,防火墙,服务器)运行很长时间-不断地被修改,并且当某些事情最终导致它们重新启动时(通常是断电,但也会发生“糟糕的错误机器”)很少像以前一样完全恢复原状...有人忘记使X在启动时启动,或者部件之间有些奇怪的相互作用使某些事情无法按预期启动。我承认,对于一个基础架构的更多静态部分而言,这不再是一个问题。#2 楼
通常,除非您知道自己要处理的错误会引起诸如内存泄漏或缓存溢出情况之类的错误,否则我不建议您重启以解决问题。图像至少3.5岁,您是否检查过Cisco Bug工具箱?可能会记录该平台中的所有错误,并且可以查看是否有任何适用的外观。在我的脑海中重新启动掩盖了其他问题,并且可能使找到根本原因非常困难(即使不是不可能)。最终,在根本不了解根本原因的情况下,您不知道自己已修复任何问题,而且我发现这非常危险,尤其是在“安全”平台上。外部源正在利用的代码。虽然重新启动可能会切断它们的连接并减轻症状,但是它无济于事。评论
我100%同意你。显然,一些更新和补丁需要在设备上完成。我尚未进行错误工具包搜索,因为识别此特定问题并非易事-那么您从哪里开始搜索?但是,为了填补这些空白,由于正在进行重新设计网络的大型项目,因此这一特定更改将是暂时的。
– BrianK
13年5月21日在1:50
听起来您对事物有很好的立场。 TAC不再是以前的样子,但我始终建议您使用TAC案例(如果您不习惯这种情况,则该错误工具可能很古怪)。让他们找出是哪个错误,尽管您可能必须迫使他们这样做。只要确保在重新启动之前捕获尽可能多的数据,就会丢失一些详细信息(运行进程,内存使用情况等)。 “展示技术”应该可以在Cisco平台上满足您的大部分需求。
– YLearn♦
13年5月21日在2:14
#3 楼
如前所述,风险管理和漏洞管理应该是您的关注点。我想说的是,假设您在正常运行时间表示已安装最新固件,则ASA软件版本至少存在10-20个已知漏洞。Tools.cisco.com链接,其中包含过去一年的外伤(有些无关紧要,但这应该给您带来一个好主意)
其他一些帮助您:
Cisco Security IntelliShield Alert Manager-确定网络,硬件和软件资产是否容易受到新的和现有的威胁
Cisco IOS软件检查器。我不知道ASA是否有类似的功能,但也许有人可以听到吗?以及用于网络的许多其他安全工具
:Nessus具有社区和商业版本,并且那里还有许多其他类似软件
#4 楼
我最近在运行8.2(2)16且运行时间约为2.5年的ASA中遇到了类似的问题,从而无法匹配密码映射ACL中指定的对象组。添加该对象组已包含的ACL语句会导致有趣的流量被匹配。非常沮丧。一位同事建议他们以前已经看到这种行为,并且重新加载可以解决该问题。
#5 楼
当您说添加ACE时出现一堆“随机”文本时,是您手动输入这些ACE还是从其他来源(例如记事本)粘贴它们。如果将大量行粘贴到设备中,可能会导致过载,并且会发生损坏,因此粘贴较少的行通常会解决问题,或者在终端程序上使用函数“粘贴缓慢”,以使每行之间的时间间隔较小。评论
我正在通过ASDM手动创建新的ACE。如果规则包含特定的源网络(无论是使用网络对象,组对象还是简单地键入子网),ACE就会显示约30行描述。文本不是完全“随机”的,似乎是在ACE某个地方曾经使用过的注释...但是我从未在其中输入过所有...
– BrianK
13年5月23日在4:43
评论
很好的答案,我完全同意您需要确保设备按预期启动。我也同意有时需要重新加载(实际上,这可能是唯一的手段),并且可以更快地恢复服务。我只是遇到过很多情况,重新加载被认为是解决方法,而不是解决当前症状的步骤。如果根本原因没有解决,也不会对厂商施加压力以解决问题。更糟糕的是,我遇到的情况是“每次重装”都是固定的解决方案,而实际上是在进行代码升级并带有实际的解决方案。
– YLearn♦
13年5月21日在1:06