Проблема с Cisco PIX Firewall 515

[Uncertainty]

Прембула:

Пограничная киска - Cisco PIX Firewall 515 R-BUN.

Внешний канал на 10 мегабит до прова. Внутренняя сетка - 100 мегабит к внутреннему коммутатору. От коммутатора расходятся на VPN сервер (FreeBSD), почтовый сервер (FreeBSD), шлюз для внутренней сетки с сотней машин (Squid, NAT, FreeBSD), сервер спутникового резервного инета (W2KAS), SysLog сервер (FreeBSD). Киска, как и должно быть, фаерволит дуступ как снаружи, так и изнутри. Снимаю с неё логи с помошью syslog на syslog сервер. Средняя загрузка процессора киски - 4-5%.

 

Амбула.

Около двух месяцев назад инет стал переодически пропадать. Ругался на провайдера от души, говорил, что кабель его барахлит или что подобное (т.к. через прозрачную дверь стойки видел, что пропадал линк на киске). Но в один момент, используя ASDM заметил, что загрузка процессора плавно (в течении полуминуты) поднялась до 90%, затем киска отрубилась, ушла в рестарт. Я проверил логи на syslog сервере - тишина... Т.е. логи конечно есть, но последняя запись стандартная - кого-то снаружи "отшили" на вход по 445 порту, а далее только записи типа "Line protocol on interface inside change state to up".

 

Такая проблема (перезагрузка) случается то раз в день, то пару раз в час. С температурой в стойке порядок, другое оборудование проблем не вызывает. Что бы удостовериться, несколько держал открытой стойку (в кабинете климат-контроль на 24 градуса) - всё равно были перезагрузки.

 

Уважаемые гуру, у кого есть идеи, в чём проблема??

Спасибо всем заранее :)

[Uncertainty]

Неужели нет ни у кого идей??

 

Я уже менял различные модули памяти, результат аналогичный.

 

Дополнение. Судя по логике, на SYSLOG сервер логи сваливаются не сразу, а при заполнении определённого буфера. Поэтому я поставил максимальный debug-level и врубил консоль в виндовую машину. Там установил Hiper Terminal и стал записывать ВСЕ логи, что валятся. Появилась интересная картинка... Надеюсь меня админы флорума простят, если я сюда выволоку часть лога (в пару кил). Смотри след. сообщение.

[Uncertainty]

К сожалению лог слишком большой, поэтому ссылкой:

http://wgint.pwt.ru/files/cisco.txt

 

Надеюсь ничего секретного там нет, надеюсь на помощь понимающих!

[SergeiK]

Судя по всему - cisco падает по ошибке в ПО.

sh ver пришли, может что найдется.

 

Правда с PIX-ами я не очень.

Рекомндую также обратится к продавцу, так или иначе, большинство из разумных продавцов готово помогать своим клиентам, иногда и без денег.

[f13]

покопайся на циско.сом, кучу пиксов циска отзывала из-зи аппаратных проблем

[Uncertainty]

Прошивка самая последняя, насколько я знаю. В ЛОГе видно как она рестартанула и там все детали по версии.

 

На киска-ком был уже, но к сожалению ничего подобного не заметил. Сам пикс у меня в эксплуатации уже более трёх лет, прекрасно работал и ничто беды не предвещало. Климатические условия оптимальные для её работы..

 

Вот сам в шоке, без понятия что делать.

[SergeiK]

Прошивка самая последняя, насколько я знаю. В ЛОГе видно как она рестартанула и там все детали по версии.

 

На киска-ком был уже, но к сожалению ничего подобного не заметил. Сам пикс у меня в эксплуатации уже более трёх лет, прекрасно работал и ничто беды не предвещало. Климатические условия оптимальные для её работы..

 

Вот сам в шоке, без понятия что делать.

 

Не понял? Отработал более 3-х лет и прошивка самая распоследняя?

То есть прошивка менялась.

Откатиться обратно пробовал?

Вполне вероятно, глюк в новом софте.

 

Но cisco.com есть tools, где есть анализатор этой вот фигни.

Мне сказал - принеси еще sh ver, тогда продолжим разговор.

[Uncertainty]

SergeiK,

Если я правильно понял - надо это:

Result of the command: "show version"

 

Cisco PIX Security Appliance Software Version 7.0(1)

Device Manager Version 5.0(1)

 

Compiled on Thu 31-Mar-05 14:37 by builders

System image file is "flash:/pix701.bin"

Config file at boot was "startup-config"

 

gw up 4 hours 47 mins

 

Hardware: PIX-515, 128 MB RAM, CPU Pentium 200 MHz

Flash i28F640J5 @ 0x300, 16MB

BIOS Flash AT29C257 @ 0xfffd8000, 32KB

 

0: Ext: Ethernet0 : media index 0: irq 11

1: Ext: Ethernet1 : media index 1: irq 10

 

Licensed features for this platform:

Maximum Physical Interfaces : 3

Maximum VLANs : 10

Inside Hosts : Unlimited

Failover : Disabled

VPN-DES : Enabled

VPN-3DES-AES : Enabled

Cut-through Proxy : Enabled

Guards : Enabled

URL Filtering : Enabled

Security Contexts : 0

GTP/GPRS : Disabled

VPN Peers : Unlimited

 

This platform has a Restricted ® license.

 

Serial Number: XXXXXXXXXXX

Running Activation Key: 0x8c3d5462 0x914bce3b 0x700177b6 0x8d1d1d3d

Configuration has not been modified since last system restart.

 

Киске более трёх лет, прошивку менял более полугода назад. Месяца три-четыре система замечательно работала.

[Uncertainty]

Откатиться не могу, т.к. и на этой прекрасно работало (и долго!), и старой уже нет.

[SergeiK]

Хм. Не помогло.

Открывается ссылка? http://www.cisco.com/cgi-bin/Support/Bugto...ct=PIX+Firewall

 

Там несколько ошибок в твоем ПО, которые могут привести к ребуту.

Например:

CSCei02443 Bug Details

With Cisco PIX or ASA release 7.0.1, there may be a crash during CRL retrieval

in Thread Name: Crypto CA.

Workaround:

Upgrade to PIX or ASA interim release 7.0.1.4

 

Symptom:

PIX reloads due to checkheaps error.

 

CSCeh60887 Bug Details

Condition:

This happens due to a memory corruption when inspect h323 ras or inspect h323 h225 is configured and H323 packets are received. These inspects are turned on by default.

Workaround:

Disable these two inspects if they are not needed.

 

Так что думаю, софт надо обновить.

[Uncertainty]

SergeiK,

Error #403: Forbidden

URL: http://www.cisco.com/msgs/403.html

 

НО! Дружище, я сейчас отрублю инспектирование и посмотрим. Если за ночь он ни разу не рестартанёт, то будем радоваться. А вот как новый IOS получить - понятия я не имею. Мне ранее знакомые высылали, но сейчас такой возможности уже нет.

[SergeiK]

Ясно. Без регистрации не пускает.

Ну, если отключение h323 не поможет, может что-нибудь придумаем.

[Uncertainty]

SergeiK,

14 часов 11 минут аптайма (а раньше я месяцами считал) - полёт нормальный!

 

Вот ещё что - вчера ночью достал последний IOS с сайта Cisco (через знакомых), так же под него новый ASDM, Увы, мануалов по обновлению с 7.0 на 7.1 я не нашёл и пробовал обновить пользуясь мануалом обновления с 6.2 на 7.0. Увы, не сработало. НАчало замечательно, запускаю с консоли, даю адрес интерфейса и сервера, название файла и команду выкачки. ПИКс начинает грузить с TFTP сервера новый IOS, но... после выкачивания он должен был его распаковать и выдать кучку вопросов, а он, такое чувство, буд-то просто останавливается в середине закачки и ничего не распаковывает. TFTP сервер надёжный, IOS тоже... Может, уважаемый, есть идеи и на этот счёт? :)

Не уверен, что алгоритм обновления отличается...

 

На всякий случай вот порядок комманд обновления, которые я использовал:

#ESC to cancel flash loader.

#interface 1

#address 10.10.10.1

#server 10.10.10.2

#file pix711.bin

#tftp

 

После поледней комманды он начинает показывать море точек, что обозначает загрузку файла с TFTP сервера. Но в итоге поток точек прекращается и... тишина. Я ждал около получаса - всё равно тишина. Путём CTRL-BREAK отрубается последняя ком***, т.е. пикс вроде как не зависает...

[SergeiK]

Не, насчет обновления ПО на PIX-ах я пас. Ни разу не занимался, не пришлось :).

[Uncertainty]

Господа!

Выражаю огромную длагодарность уважаемому SergeiK за помошь в решении проблем. Действительно, отключение инспектирования h323 ras и h323 h225 помогло исключить случайные перезагрузки PIX-а. Такой вариант решения проблемы удовлетворительный в случае отсутствия источника получения более новой версии IOS. А для тех, у кого такой источник есть, рекомендуется обновить версию IOS до 7.1(1). Обращаю внимание, что с новой версией IOS необходимо также обновить версию ASDM до 5.1(1), если он используется.

 

Также хочу заметить, что существуют серьёзные проблемы в обновлении предыдущей версии Cisco PIX 515 Firewall (не путать с Cisco PIX 515E Firewall). Увы, описания решения проблемы на сайте Cisco найдено небыло, поэтому система обновлялась методом проб и ошибок. Но результат успешный. Если потребуется информация по данному поводо, несомненно, обращайтесь.

 

Ещё раз спасибо тем, кто принял участие в решении вопроса :)

[SergeiK]

Спасибо, не за что :).