Inleiding
Dit document beschrijft hoe een foutmelding wordt opgelost die kan worden weergegeven wanneer u een nieuwe adaptieve security applicatie (ASA) probeert toe te voegen aan een bestaand cluster van ASA's.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Basiskennis van clustering
- Basiskennis van het configureren van clustering op de ASA
- Basiskennis van de Secure Socket Layer (SSL) handshake
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- ASA-softwareversie 9.0 of hoger
- ASA 5580 of ASA 5585-X Series toestellen
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Conventies
Raadpleeg Cisco Technical Tips Convention voor informatie over documentconventies.
Achtergrondinformatie
Dankzij clusteren kunt u meerdere fysieke ASA's in één logische eenheid combineren, wat een hogere doorvoersnelheid en redundantie oplevert. Raadpleeg voor meer informatie over clustering de Cisco ASA Series CLI Configuration Guide, 9.0.
In dit scenario is clustering in de ASA-masteropleiding ingesteld en ingeschakeld; op de slaaf ASA is clustering geconfigureerd maar niet ingeschakeld.
Probleem
Wanneer u clustering op de slaaf ASA toelaat, wordt het onmiddellijk uitgeschakeld met een RPC (Remote Procedure call) foutmelding. Dit is een voorbeeld van de foutmelding:
ASA2/ClusterDisabled(config)# cluster group TEST-Group
ASA2/ClusterDisabled(cfg-cluster)# enable as-slave
INFO: This unit will be enabled as a cluster slave without sanity check and confirmation.
ASA2/ClusterDisabled(cfg-cluster)# cluster_ccp_make_rpc_call failed to clnt_call. msg is CCP_MSG_REGISTER,
ret is RPC_SYSTEMERROR
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either enable clustering
or remove cluster group configuration.
Eén mogelijke oorzaak van deze fout is een SSL algoritme van het algoritme van de SSL tussen de meester en de slaaf ASA. Voor het bundelen van clusters is vereist dat er ten minste één overeenkomende SSL-algoritme tussen de master en de slaveneenheid aanwezig is die aan het cluster moet worden toegevoegd. Raadpleeg dit vereiste in de Cisco ASA Series CLI Configuration Guide, 9.0:
Nieuwe clusterleden moeten dezelfde SSL-encryptie-instelling (de SSL-encryptie-opdracht) gebruiken als de master-unit.
Bij een foutief scenario wordt een syslogbericht ingelogd:
%ASA-7-725014: SSL lib error. Function: SSL23_GET_SERVER_HELLO Reason: sslv3 alert handshake failure
Een voorbeeld van een mismatch is deze encryptie op de master ASA:
ASA1/master# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
En deze encryptie op de slaaf ASA die aan het cluster wordt toegevoegd:
ASA2/ClusterDisabled# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption des-sha1
Dit verschil doet zich vaak voor wanneer een sterke encryptie (3DES/AES) licentie niet op de harde ASA is geïnstalleerd. De lijst met algoritmische reeksen op de slaaf-ASA standaardinstellingen van des-sha1 en wordt niet bijgewerkt wanneer de 3DES/AES-licentie wordt toegevoegd aan de slaaf-ASA.
Er zijn twee oplossingen voor deze mismatch.
Oplossing 1
Voeg des-sha1 toe als een geldig SSL-algoritme in de ASA-master:
ASA1/master# configuration terminal
ASA1/master(config)# ssl encryption des-sha1
Opmerking: Cisco raadt niet aan om des-sha1 in te schakelen omdat het een zwak algoritme is en kwetsbaar wordt geacht.
Oplossing 2
Voeg aan de slaaf ASA ten minste één van deze SSL-algoritmen toe: rc4-sha1, aes128-sha1, aes256-sha1 of 3des-sha1:
ASA2/ClusterDisabled# configuration terminal
ASA2/ClusterDisabled(config)# ssl encryption rc4-sha1
Gerelateerde informatie