1) Если просто перезагрузить standby ASA, зайти в ROMMON mode, поменять регистр и загрузиться, то мы получим доступ и сможем сменить пароли, но как только выполним
copy startup-config running-configто сразу standby ASA найдет активную ноду и уже будет синхронизировать конфиг оттуда.
2) Если же отключить синхронизацию и только потом загрузить конфигурацию, то standby ASA возьмет себе активные ip адреса и у нас будет конфликт.
После размышлений был придуман следующий план:
1. Перезагружаем standby ASA, заходим в ROMMON, меняем регистр на 0x41 и загружаемся:
rommon #1> confreg 0x41
rommon #2> boot
2. Теперь отключаем все интерфейсы standby ASA (можно на коммутаторе, куда подключена ASA или просто выдернуть все сетевые кабели из самой ASA).
3. Входим в privileged EXEC mode:
hostname> enableи загружаем рабочую конфигурацию:
hostname# copy startup-config running-configТут standby ASA без активных интерфейсов не сможет ни синхронизировать данные, ни навредить конфликтом ip адресов, если посчитает себя активной нодой. Заходим в конфигурацию и добавляем нового пользователя для дальнейшего доступа:
hostname# configure terminal hostname(config)# username test password test4. Тут можно по-разному поступить, не подключать кабели, лишь в конце физически подключить, отключенные нами кабели, или подключить их, но до этого отключить все интерфейсы из конфигурации. На данном этапе было решено отключить все интерфейсы через конфигурацию и подготовить для включения.
hostname(config)# interface interface_id hostname(config-if)# shutdown5. Возвращаем регистр по умолчанию, сохраняем конфигурацию и перезагружаемся.
hostname(config)# no config-register hostname(config)# writeТеперь standby ASA после рестарта загрузится с конфигом и необходимым нам пользователем test. Найти активную ноду для синхронизации standby ASA не сможет, так как интерфейсы выключены, а став активной ничего не испортит по той же причине.
6. Теперь, после загрузки с нужной конфигурацией, мы можем подключиться пользователем test. Подключаемся и входим в privileged EXEC mode. Далее, включаем интерфейс или интерфейсы, которые были предназначены для failover. После чего, наша standby ASA найдет активную ноду, синхронизирует конфиги и перейдет в standby режим. В этом случае, наш пользователь test будет удален, но так как в этот момент мы уже находим в privileged EXEC mode, то наша сессия останется. Если в этот момент выйти, то зайти мы уже не сможем, поэтому здесь надо быть предельно внимательным. Также включатся все остальные интерфейсы из-за синхронизации конфигурации с активной ноды.
Менять пароли пользователей мы можем только на активной ноде, но доступа у нас к ней все еще нет. Выход сделать нашу stanby ASA активной с нашим уже существующим доступом. Когда наша standby ASA перейдет в состояние standby ready после синхронизации с активной нодой, то можно сделать переключение. Посмотреть состояние можно при помощи команды:
hostname(config)# show failover stateА при помощи второй команды переключимся с Active ASA на Standby ASA:
hostname(config)# failover active7. Теперь, мы с доступом на активной ноде. Тут уже можно поменять пароли пользователей и при необходимости обратно переключиться ( если это критично).
Таким образом, мы можем сбросить пароли без простоя в данной схеме. Учитывать надо только задержку при переключении с активной ноды на резервную.
ссылка на оригинал статьи https://habr.com/post/418279/
Добавить комментарий