- Spikes im Grafana mit recoding_rules aus Prometheus
- Neue Geschäftsbedingungen bei WhatsApp - Panik?
- TCAM full - Überraschender Totalausfall
- Alle Räder stehen still, wenn Dein starker Arm das will
- Aprilscherz oder was?
- Telekom, wie heißt gleich das Produkt mit BGP?
- Flexible Netflow mit Voraggregation im Router
ASA Update und kein Ende
Der Bug mit fragmentieren IPSec Paketen in der ASA war ja laut genug durch die Presse gegangen. Aber nicht alle Systeme lassen sich so einfach aktualisieren.
Wo's klappt und wo nicht
Kein Problem stellen die Failover-Systeme da, die noch in der 8er Reihe verharren. Der Update des erfolgt ganz planmäßig
- Software auf Standby-Gerät spielen
- Standby booten
- Failover tiggern
- Testen, ob alles geht
- Software auf (nun anderes) Standby-Gerät spielen
- (anderes) Standby booten
Kunde merkt davon gar nichts. Das war machbar, sobald die neue Firmware zur Verfügung stand.
Schwieriger wurde es bei Geräten, für die keine Software mehr existiert (PIX) oder noch die neue Software nicht korrekt funktionierte (CSCuy28710).
Als Notlösung wurde dort die ACL auf der Control-Plane so gesetzt, dass UDP/500 und UDP/4500 nicht mehr schaden konnten:
object-group service ike-udp service-object udp destination eq isakmp service-object udp destination eq 4500 ! object-group network ike-peers network-object host b.c.d.e ! access-list to_cpu extended permit object-group ike-udp object-group ike-peers any access-list to_cpu extended deny object-group ike-udp any any log warnings access-list to_cpu extended permit ip any any log warnings ! access-group to_cpu in interface outside control-plane
In der Object-group iks-peers stehen die bekannten Gegenstellen, die noch VPN-Tunnel aufbauen dürfen. Das skaliert natürlich nicht besonders gut für VPN-Einwahl, reicht aber für alles aus, was nur Lan2Lan-Tunnel hat. In jedem Fall nimmt es Druck aus dem Problem.
Schrittweiser Upgrade
Cisco empfiehlt bestimmte Versionenpfade einzuhalten, um automatische Übernahmen der alten Konfigurationen zu ermöglichen. Da das Ergebnis dieser Übernahmen meist zu schrecklich ist, um es so zu lassen, ziehe ich es vor, eine minimale Konfiguration zum Upgrade zu verwenden. Diese lässt auch größere Sprünge zu, solange nur die IP Konfiguration der Interfaces und der SSH Zugang erhalten bleiben.
Beim Versuch von 9.1(1) auf 9.1(7) zu springen, scheitert das an der Fehlermeldung
asa# copy /noconfirm tftp://2001:db8::67/asa917-smp-k8.bin flash: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! No Cfg structure found in downloaded image file
Diese Meldung kommt also, bevor das Image aufs Flash geschrieben werden soll. Da er das Image nicht in den Flash legt, kann er auch nicht davon booten.
Dieses Problem ist aber wohl dokumentiert, man muss eben einen bestimmten Upgrade-Pfad einhalten.
asa# copy /noconfirm tftp://2001:db8::67/asa912-smp-k8.bin flash: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! No Cfg structure found in downloaded image file
Was jetzt? Das ist genau das Image, das verwendet werden soll, um diesen Fehler nicht zu bekommen. Auch andere Versuche mit neueren Images führen zu keinem Erfolg: Das aktuell laufende System weigert sich, ein neues Image abzuspeichern! Der Fehler ist seit gestern auch bei Cisco bekannt: CSCuh25271
Aber Moment mal: Das aktuell laufende Image?
Was wäre denn, wenn ich das Image einfach so laden würde. Also irgendwie in die Box reinmogeln (per USB?) und dann davon booten. Das sollte doch gehen?!
Konkreter gefragt: Was wäre, wenn das aktuell laufende Image nicht da wäre? Dann würde sich auch niemand darüber aufregen, dass irgendwelche Strukturen fehlen. Oder etwa doch?
Wenn kein laufendes Image da ist, fällt man auf den ROMMON zurück. Aber den kann man beim Booten auch direkt aufrufen und dann ein Image vom TFTP laden und starten.
Gesagt getan: Es funktioniert.
Einfach so. Und dann kann man auch alle anderen Images aufs Flash installieren.
https://www.cisco.com/public/technotes/smbsa/en/us/remote/5500_image_rcvry.pdf
Total 1 comments