Отсутствие Сброса Пароля Во Время Простоя На Cisco Asa Для Схемы Аварийного Переключения «Активный/Резервный»

Недавно столкнулся с проблемой: у клиента есть два Cisco ASA 5512-x, которые работают в режиме активный/резервный.

Клиент забыл обновить свои пароли, а срок действия паролей всех пользователей истек.

Когда вы пытаетесь войти в систему, ASA лишь сообщает вам, что срок действия пароля истек, и не дает возможности сменить пароль.

Поскольку срок действия у всех пользователей истек, подключиться и сменить пароль никак не удалось.

Всегда был понятный вариант сбросить пароль путем смены реестра, но без простоя сделать это невозможно.

Этот вариант не подходил.

Было решено использовать резервный ASA, чтобы избежать простоев.

Но были и некоторые нюансы: 1) Если мы просто перезагрузим резервный ASA, перейдем в режим ROMMON, изменим реестр и загрузимся, то мы получим доступ и сможем менять пароли, но как только выполним

   

 copy startup-config running-config

   

2) Если отключить синхронизацию и только потом загружать конфигурацию, то резервная ASA заберет активные IP-адреса и у нас возникнет конфликт. После недолгих раздумий был придуман следующий план: 1. Перезагрузите резервный ASA, зайдите в ROMMON, измените регистр на 0x41 и загрузитесь:

rommon #1> confreg 0x41



rommon #2> boot

2. Теперь отключаем все резервные интерфейсы ASA (можно на коммутаторе, где подключена ASA или просто выдергиваем все сетевые кабели из самой ASA).

3. Войдите в привилегированный режим EXEC:

hostname> enable

и загрузим рабочую конфигурацию:

hostname# copy startup-config running-config

Здесь резервный ASA без активных интерфейсов не сможет ни синхронизировать данные, ни нанести вред из-за конфликта IP-адресов, если он считает себя активным узлом.

Заходим в конфигурацию и добавляем нового пользователя для дальнейшего доступа:

hostname# configure terminal hostname(config)# username test password test

4. Здесь можно поступить по-другому, не подключать кабели, только в конце физически подключить отключенные нами кабели, либо подключить их, но перед этим отключить все интерфейсы из конфигурации.

На этом этапе было принято решение отключить все интерфейсы через конфигурацию и подготовить их к включению.

hostname(config)# interface interface_id hostname(config-if)# shutdown

5. Верните реестр в дефолтный, сохраните конфигурацию и перезагрузитесь.

hostname(config)# no config-register hostname(config)# write

Теперь резервная ASA после перезапуска будет загружаться с нужным нам конфигом и тестовым пользователем.

Резервная ASA не сможет найти активную ноду для синхронизации, так как интерфейсы отключены, и активация ничего не испортит по той же причине.

6. Теперь, после загрузки с необходимой конфигурацией, можем подключиться в качестве пользовательского теста.

Подключаемся и входим в привилегированный EXEC-режим.

Далее мы включаем интерфейс или интерфейсы, предназначенные для аварийного переключения.

После чего наша резервная ASA найдет активную ноду, синхронизирует конфиги и перейдет в режим ожидания.

В этом случае наш тестовый пользователь будет удален, но поскольку в этот момент мы уже находимся в привилегированном EXEC-режиме, наша сессия останется.

Если мы выйдем в этот момент, то больше не сможем войти, поэтому здесь надо быть предельно осторожными.

Все остальные интерфейсы также будут включены благодаря синхронизации конфигурации с активным узлом.

Мы можем менять пароли пользователей только на активном узле, но доступа к нему у нас всё равно нет. Решение состоит в том, чтобы сделать наш резервный ASA активным с уже существующим доступом.

Когда наш резервный ASA переходит в состояние готовности к работе после синхронизации с активным узлом, мы можем выполнить переключение.

Посмотреть статус можно с помощью команды:

hostname(config)# show failover state

А второй командой мы переключимся с Active ASA на Standby ASA:

hostname(config)# failover active

7. Теперь у нас есть доступ к активному узлу.

Здесь вы можете изменить пароли пользователей и при необходимости переключиться обратно (если это критично).

Таким образом, мы можем сбросить пароли без простоев в этой схеме.

Нужно только учитывать задержку при переключении с активного узла на резервный.

Теги: #cisco #cisco #Сетевые технологии #сетевое оборудование #cisco asa аварийное переключение #cisco asa сброс пароля

• Советы По Поддержанию Производительности Устройств Apple

  19 Oct, 24

• Обновление Диска Восстановления Касперского

  19 Oct, 24

• Секретные Коды, Или Как Я Писал Свое Приложение Для Android

  19 Oct, 24

• Сталкер. 2 — Bethesda Продолжает Проект

  19 Oct, 24

• Расширение Google Chrome Хабрахабр.ру-Инструменты-Исправлено

  19 Oct, 24

• История Изменения Размера Главной Страницы Google

  19 Oct, 24

• Сэндвич Всегда Падает Маслом Вниз.

  19 Oct, 24

• Нердский Ужин. Шаг 1: Новый Проект

  19 Oct, 24

• Синхронизация Структуры Mysql

  19 Oct, 24

• Ваш Браузер Обычно Развернут На Весь Экран?

  19 Oct, 24