×

Предупреждение

  • Cisco Support Forums is in Read Only mode while the site is being migrated.
  • Cisco Support Forums is in Read Only mode while the site is being migrated.

Cisco ASA не заливается новый образ

Answered Question
фев 2nd, 2015
User Badges:

Добрый день.

Есть failover cluster Active-Standby из 2 asa 5520, версия сейчас asa844-6.
Планируем обновиться до 9.1(5) - последняя версия для этой модели. Согласно документации, нужно сначала обновится до 9.1(2) http://www.cisco.com/c/en/us/td/docs/security/asa/asa91/upgrade/upgrade91.html#pgfId-56089

%ASA-1-104001: (ASA) Switching to ACTIVE - HELLO not heard from mate.
: %ASA-1-103001: (ASA) No response from other firewall (reason code = 4).
%ASA-4-711004: Task ran for 1936 msec, Process = ssh, PC = 8a8d325, Call stack =
%ASA-4-711004: Task ran for 1936 msec, Process = ssh, PC = 8a8d325, Call stack =   0x08a8d325  0x095df658  0x08540b6e  0x08540f2a  0x08545c5e  0x0854ff34  0x08b7bc29  0x08b7bd91  0x08a96429  0x08a978ca  0x080dde0f  0x080e0750  0x080e156c  0x080689cc
%ASA-1-105005: (Primary) Lost Failover communications with mate on interface OUTSIDE
%ASA-1-105005: (Primary) Lost Failover communications with mate on interface INSIDE

ну и все в таком духе по другим интерфейсам.
Пробовал заливать образ через asdm - тоже самое. Место на диске есть, что за косяк такой?

I have this problem too.
0 голоса
Correct Answer by Oleg Tipisov about 2 года 6 месяцев назад

Последние две строки - это таймеры. Поставьте, например:

failover polltime unit 1 5

failover polltime interface 1 5

Correct Answer by Oleg Tipisov about 2 года 6 месяцев назад

Это вариация бага

 

CSCuj35086    Cluster gets destabilize after copying image in cluster Spyker units

 

Исправлен в 9.1(5), 8.4(7.8) и т.д. Не надо зажимать таймеры failover и failover interface monitoring до миллисекундных значений. Как показывает практика, это создает больше проблем, чем пользы.

Loading.
Maxim Bezzubov пн, 02/02/2015 - 19:13
User Badges:

Делаю

copy tftp://server[/path]/asa_image_name disk0:/[path/]asa_image_name

Начинается копирование и через минуту-две ssh сессия рвется, а в логах происходи failover - сообщения, что выше, пробовал через asdm - тоже самое: рвется соединение с asdm и failover. Ума не приложу, что такое. Текущая конфигурация с текущей версией работает долгое время и все нормально. Может такой баг в данной версии ПО?

Correct Answer
Oleg Tipisov вт, 02/03/2015 - 01:21
User Badges:
  • Cisco Employee,
  • Events Top Contributors,

    Cisco, 2014

Это вариация бага

 

CSCuj35086    Cluster gets destabilize after copying image in cluster Spyker units

 

Исправлен в 9.1(5), 8.4(7.8) и т.д. Не надо зажимать таймеры failover и failover interface monitoring до миллисекундных значений. Как показывает практика, это создает больше проблем, чем пользы.

Maxim Bezzubov вт, 02/03/2015 - 02:11
User Badges:

скажите, какие значения лучше? Выходит в моей ситуации, чтобы обновиться я правильно сделал, что закинул на secondary девайс образ (как еще, ну кроме изменения таймеров, про них не знал)?

не нахожу строк failover и failover interface monitoring со значениями таймеров. Вот что есть

monitor-interface OUTSIDE
monitor-interface INSIDE

icmp unreachable rate-limit 1 burst-size 1
arp timeout 14400
no arp permit-nonconnected

failover polltime unit msec 200 holdtime msec 800
failover polltime interface msec 500 holdtime 5

 

Correct Answer
Oleg Tipisov вт, 02/03/2015 - 03:25
User Badges:
  • Cisco Employee,
  • Events Top Contributors,

    Cisco, 2014

Последние две строки - это таймеры. Поставьте, например:

failover polltime unit 1 5

failover polltime interface 1 5

Maxim Bezzubov пн, 02/02/2015 - 22:41
User Badges:

в итоге проверил свою догадку с standby. попробовал залить образ на secondary, тот же самый образ bin - в итоге в логах следующее:
 

 %ASA-1-103001: (Primary) No response from other firewall (reason code = 1).
 %ASA-1-103001: (Primary) No response from other firewall (reason code = 4).
 %ASA-1-105003: (Primary) Monitoring on interface OUTSIDE waiting
 %ASA-1-105003: (Primary) Monitoring on interface INSIDE waiting

 %ASA-1-105004: (Primary) Monitoring on interface OUTSIDE normal
 %ASA-1-105004: (Primary) Monitoring on interface INSIDE normal


файл в итоге передался корректно - сверил md5 - и переключение failover не было.
что интересно, закинул еще файл ASDM новый и там в логах этих сообщений не было.

затем закинул версию 9.1(5) и сообщения вновь были. выходит косяк именно при копировании файла образа ASA, хотя и тот и тот bin.
ерунда какая-то.

Действия

Информация о дискуссии