хотите прикол?

2019-Sep-13, Friday 16:18
ypq: (Default)
в продолжение темы о программерских косяках.
прошлым летом мы открывали кейс в cisco на тему косяков в ASA-5506. у нас более сотни ASA по области, которые мониторятся некой системой. там не только ASA, разумеется. система периодически пингует оборудование, чтобы проверить доступен ли хост.
у нас раньше стояли ASA-5505, но они постепенно выгорают, так что с прошлого года мы меняем из на 5506. а с 5506 прошлым летом был замечен глюк: пропадают пинги. так что система мониторинга начинает слать алерты, мол оборудование недоступно. стали разбираться - оказалось, что такое случается, если на пингуемом порту ASA-5506 трафик падает до нуля. если порт нагружен, то пинги не теряются.
открыли кейс. год cisco не может разобраться с проблемой. хотя мы уже даже вычислили, что глючат ASA c конкретными software ver 9.8(2), hardware ver 2.0, firmware ver 1.1.15.

а тут сгорела очередная ASA-5505, сижу, жду, когда выдадут 5506 со склада, чтобы отвезти на замену (уже неделю жду), и вдруг система мониторинга сообщает: "Host UP alert! RECOVERY. State: UP. Ping OK, packet loss = 87%"
представляете: то у них пинги теряются на работающем ненагруженном оборудовании, то начинают приходить от ВЫКЛЮЧЕННОГО оборудования!!! ну да, не все 100%, однако же 13% как-то умудрились проскочить спустя неделю.

скажете это предыдущий по трейсу хост ответил на пинг? ладно, но это все равно Cisco-1841...
Tags:
  • Add Memory
  • Share This Entry

СЯУ, что у циско-рутеров есть куки для CF

2019-Jun-03, Monday 12:21
ypq: (Default)
погорела одна 1841. блок питания. наши люди с паяльниками его починили - отдали мне.

я смотрю, там флешка на 64Mb, а в сгоревших ASA-5505 полно CF на 128Mb. решил сделать апгрейд. КАК ОБЫЧНО загрузился, флешку на 64 вынул на "горячую", на 128 вставил. а 1841 взяла да повесилась и все лампочки зажгла. что за хитрая CF попалась - я так и не понял. 100500 раз так уже делал - всё ок было.

ну ладно, вставил обратно на 64 - не грузится!
в другой 1841 ДРУГУЮ CF на 128 отформатировал, залил IOS какой надо, вставляю в ту, что не грузится - нет, все равно не грузится. полез в интернет с симптомами. и тут впервые за 20 лет работы с cisco узнаю, что у них там есть в прошивке cookies, где прописывается MAC, где прописываются серийники материнки и всей 1841 в целом. и если они не совпадают с прописями где-то еще, то наступает вот такой трындец, как у меня. типа, защита такая. чтоб Хуавей не украл. глянул в эти куки - точно: MAC исчез, и в полях, где должно быть ff какая-то фигня.

ну вот починил... теперь мне интересно: что это была за CF из ASA-5505, что повредила куки?!
Tags:
  • Add Memory
  • Share This Entry

лучшее - враг хорошего

2018-May-29, Tuesday 11:43
ypq: (Default)
когда-то Cisco выпускало PIX'ы. у нас было штук сто 506E. 5 лет назад прекратилась их поддержка - перешли на ASA 5505. а теперь уже и 5505 не сыщешь - принесли мне 5506 на замену. а тут как раз 5505 выгорел в отделении. настроил я 5506, поставил - нет связи с центром.
достал из списанных PIX 506E, поставил временно - прекрасно завелся!
пошел разбираться с 5506. вроде всё по букварю сделано, а связи нет. погуглил ругань из логов - давно народ с этим бьется. и каждый раз кто-то что-то забыл прописать. ну и я следом: проверил 100500 раз свои настройки - нет, всё на месте, ничего не забыл.
в инсайде стоит ноут с пингом в сеть HQ. пинги не проходят.
ASA 5506 пишет:
IKEv1 was unsuccessful at setting up a tunnel. Map Tag = map. Map Sequence Number = 1.
Tunnel Manager has failed to establish an L2L SA.
All configured IKE versions failed to establish the tunnel.
смотришь на туннель, пишет: Type: user, а должно быть L2L.
может простоять так час, а потом вдруг тип становится как надо: L2L, но пинги все равно не идут. и к ругани в логах, которая выше, еще добавляется:
IP = (HQ-tun-IP), Header invalid, missing SA payload! (next payload = 4)
sh conn показывает при этом, что есть соединение.
ACL на туннеле показывает счетчик в 2 раза больший, чем на инсайдовом интерфейсе.
NAT аналогично:
translate_hits = 9719, untranslate_hits = 3981

решил я попробовать ASDM. может я отстал от жизни, и в CLI чего-то не хватает? а ASDM требует JAVA. день бился с ней на линуксе - ни в какую не запускается. решил притащить из дома ноут с виндой - Cisco же винду обожает. дома включил ноут - он у меня всю ночь обновлялся! стал на нем JAVA ставить - а она человеческим языком пишет: Хром не поддерживает, Сафари не поддерживает. т.е. ТОЛЬКО винду. да и винду-то - ТОЛЬКО лохматый IE! ладно хоть в Edge есть режим IE...

ну вот зашел на эту ASA 5506 через ASDM - хрентотам: ничего нового для себя не обнаружил. только дополнительные глюки: выполнил по шагам то что визард велел, нажимаю "сохранить", а оно мне говорит: вы не разрешили доступ через порт "inside", если сохраните эту конфигурацию, то не сможете зайти через существующее подключение. блин! ну ладно, добавил разрешение для inside. сохраняю конфиг, а оно ругается уже из самой ASA: нет такого порта inside. суть в том, что порт-то такой есть, но он не физический, а BVI. и через CLI - да, оно мне не давало inside прописывать. плюнул на ругань ASDM, сохранил, доступ не пропал. сравнил конфиги: мой, и который визард от ASDM наваял - никаких отличий! зря время потратил на траходром с виндой и ADSM!

щас сижу, не знаю что делать - на поставщиков наезжать? что за хрень у них там происходит?

вообще, с момента прекращения поддержки PIX у них (у cisco) каждый год правила для ASA менялись! но до такого ступора, как щас, никогда не доходило.
Tags:
  • Add Memory
  • Share This Entry

про cisco

2013-Aug-12, Monday 17:01
ypq: (boo)
Cisco ASA 5505. новая. версия ИОСа - 9.0(1). загружаюсь:
длинно! не сисадминам - не интересно. )
фигассе! чистый линукс! :)
Tags:
  • Add Memory
  • Share This Entry
Page generated 2026-Jan-04, Sunday 15:54
Powered by Dreamwidth Studios