Introduction
Este documento descreve como resolver uma mensagem de erro que pode aparecer quando você tenta adicionar uma nova unidade ASA (Adaptive Security Appliance) escrava a um cluster existente de ASAs.
Prerequisites
Requirements
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Conhecimento básico do agrupamento
- Conhecimento básico de como configurar o clustering no ASA
- Conhecimento básico do handshake SSL (Secure Socket Layer)
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- Software ASA versão 9.0 ou posterior
- Dispositivos ASA 5580 ou ASA5585-X series
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Conventions
Consulte as Convenções de Dicas Técnicas da Cisco para obter informações sobre convenções de documentos.
Informações de Apoio
O cluster permite combinar vários ASAs físicos em uma unidade lógica, o que proporciona maior produtividade e redundância. Para obter mais informações sobre clustering, consulte o Cisco ASA Series CLI Configuration Guide, 9.0.
Neste cenário, o clustering foi configurado e ativado no ASA mestre; no ASA escravo, o cluster foi configurado, mas não habilitado.
Problema
Quando você habilita o clustering no ASA escravo, ele é desabilitado imediatamente com uma mensagem de erro de chamada de procedimento remoto (RPC). Este é um exemplo da mensagem de erro:
ASA2/ClusterDisabled(config)# cluster group TEST-Group
ASA2/ClusterDisabled(cfg-cluster)# enable as-slave
INFO: This unit will be enabled as a cluster slave without sanity check and confirmation.
ASA2/ClusterDisabled(cfg-cluster)# cluster_ccp_make_rpc_call failed to clnt_call. msg is CCP_MSG_REGISTER,
ret is RPC_SYSTEMERROR
Cluster disable is performing cleanup..done.
All data interfaces have been shutdown due to clustering being disabled. To recover either enable clustering
or remove cluster group configuration.
Um possível motivo para esse erro é uma incompatibilidade de conjunto de cifras SSL entre os ASAs mestre e escravo. O agrupamento exige que haja pelo menos um conjunto de cifras SSL correspondente entre a unidade mestre e a unidade escrava a ser adicionada ao cluster. Consulte este requisito no Cisco ASA Series CLI Configuration Guide, 9.0:
Os novos membros do cluster devem usar a mesma configuração de criptografia SSL (o comando de criptografia SSL) da unidade mestre.
No cenário de incompatibilidade, uma mensagem de syslog é registrada:
%ASA-7-725014: SSL lib error. Function: SSL23_GET_SERVER_HELLO Reason: sslv3 alert handshake failure
Um exemplo de incompatibilidade é essa criptografia no ASA mestre:
ASA1/master# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1
E essa criptografia no ASA escravo a ser adicionada ao cluster:
ASA2/ClusterDisabled# sh run all ssl
ssl server-version any
ssl client-version any
ssl encryption des-sha1
Essa incompatibilidade geralmente ocorre quando uma licença de criptografia forte (3DES/AES) não foi instalada no ASA escravo. A lista de suites cifrados no ASA escravo assume como padrão des-sha1 e não é atualizada quando a licença 3DES/AES é adicionada ao ASA escravo.
Há duas soluções para essa incompatibilidade.
Solução 1
No ASA principal, adicione des-sha1 como um pacote de cifras SSL válido:
ASA1/master# configuration terminal
ASA1/master(config)# ssl encryption des-sha1
Note: A Cisco não recomenda que você ative des-sha1 porque é uma cifra fraca e é considerada vulnerável.
Solução 2
No ASA escravo, adicione pelo menos um desses conjuntos de cifras SSL: rc4-sha1, aes128-sha1, aes256-sha1 ou 3des-sha1:
ASA2/ClusterDisabled# configuration terminal
ASA2/ClusterDisabled(config)# ssl encryption rc4-sha1
Informações Relacionadas
Feedback