Cisco Support Community
отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
Community Member

Cisco ASA не заливается новый образ

Добрый день.

Есть failover cluster Active-Standby из 2 asa 5520, версия сейчас asa844-6.
Планируем обновиться до 9.1(5) - последняя версия для этой модели. Согласно документации, нужно сначала обновится до 9.1(2) http://www.cisco.com/c/en/us/td/docs/security/asa/asa91/upgrade/upgrade91.html#pgfId-56089

%ASA-1-104001: (ASA) Switching to ACTIVE - HELLO not heard from mate.
: %ASA-1-103001: (ASA) No response from other firewall (reason code = 4).
%ASA-4-711004: Task ran for 1936 msec, Process = ssh, PC = 8a8d325, Call stack =
%ASA-4-711004: Task ran for 1936 msec, Process = ssh, PC = 8a8d325, Call stack =   0x08a8d325  0x095df658  0x08540b6e  0x08540f2a  0x08545c5e  0x0854ff34  0x08b7bc29  0x08b7bd91  0x08a96429  0x08a978ca  0x080dde0f  0x080e0750  0x080e156c  0x080689cc
%ASA-1-105005: (Primary) Lost Failover communications with mate on interface OUTSIDE
%ASA-1-105005: (Primary) Lost Failover communications with mate on interface INSIDE

ну и все в таком духе по другим интерфейсам.
Пробовал заливать образ через asdm - тоже самое. Место на диске есть, что за косяк такой?

Теги (1)
2 УТВЕРЖДЕН. РЕШЕН.

Утвержденные решения
Cisco Employee

Это вариация бага CSCuj35086 

Это вариация бага

 

CSCuj35086    Cluster gets destabilize after copying image in cluster Spyker units

 

Исправлен в 9.1(5), 8.4(7.8) и т.д. Не надо зажимать таймеры failover и failover interface monitoring до миллисекундных значений. Как показывает практика, это создает больше проблем, чем пользы.

Cisco Employee

Последние две строки - это

Последние две строки - это таймеры. Поставьте, например:

failover polltime unit 1 5

failover polltime interface 1 5

6 ОТВЕТ.
Cisco Employee

Поподробнее: в какой момент

Поподробнее: в какой момент это выдается?

Community Member

Делаюcopy tftp://server[/path

Делаю

copy tftp://server[/path]/asa_image_name disk0:/[path/]asa_image_name

Начинается копирование и через минуту-две ssh сессия рвется, а в логах происходи failover - сообщения, что выше, пробовал через asdm - тоже самое: рвется соединение с asdm и failover. Ума не приложу, что такое. Текущая конфигурация с текущей версией работает долгое время и все нормально. Может такой баг в данной версии ПО?

Cisco Employee

Это вариация бага CSCuj35086 

Это вариация бага

 

CSCuj35086    Cluster gets destabilize after copying image in cluster Spyker units

 

Исправлен в 9.1(5), 8.4(7.8) и т.д. Не надо зажимать таймеры failover и failover interface monitoring до миллисекундных значений. Как показывает практика, это создает больше проблем, чем пользы.

Community Member

скажите, а что за таймеры и

скажите, какие значения лучше? Выходит в моей ситуации, чтобы обновиться я правильно сделал, что закинул на secondary девайс образ (как еще, ну кроме изменения таймеров, про них не знал)?

не нахожу строк failover и failover interface monitoring со значениями таймеров. Вот что есть

monitor-interface OUTSIDE
monitor-interface INSIDE

icmp unreachable rate-limit 1 burst-size 1
arp timeout 14400
no arp permit-nonconnected

failover polltime unit msec 200 holdtime msec 800
failover polltime interface msec 500 holdtime 5

 

Cisco Employee

Последние две строки - это

Последние две строки - это таймеры. Поставьте, например:

failover polltime unit 1 5

failover polltime interface 1 5

Community Member

в итоге проверил свою догадку

в итоге проверил свою догадку с standby. попробовал залить образ на secondary, тот же самый образ bin - в итоге в логах следующее:
 

 %ASA-1-103001: (Primary) No response from other firewall (reason code = 1).
 %ASA-1-103001: (Primary) No response from other firewall (reason code = 4).
 %ASA-1-105003: (Primary) Monitoring on interface OUTSIDE waiting
 %ASA-1-105003: (Primary) Monitoring on interface INSIDE waiting

 %ASA-1-105004: (Primary) Monitoring on interface OUTSIDE normal
 %ASA-1-105004: (Primary) Monitoring on interface INSIDE normal


файл в итоге передался корректно - сверил md5 - и переключение failover не было.
что интересно, закинул еще файл ASDM новый и там в логах этих сообщений не было.

затем закинул версию 9.1(5) и сообщения вновь были. выходит косяк именно при копировании файла образа ASA, хотя и тот и тот bin.
ерунда какая-то.

199
Просмотры
0
Полезный материал
6
Ответы
СоздатьДля создания публикации, пожалуйста в систему