キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
6203
閲覧回数
30
いいね!
0
コメント
Taisuke Nakamura
Cisco Employee
Cisco Employee

 

1365日再起動問題の影響をうける製品とバージョン

以下機器とバージョンを利用の場合、起動し1365日(=3年270日)後に再起動、もしくは、CPU高負荷が発生する可能性があります。

対象製品:
・ASA5500-X
・ASA5585-X

ソフトウェアバージョン
・ASA 9.2.x もしくは ASA 9.3.x のみ

補足:
・ASA5505は影響を受けません
・ASA5506-X/ASA5508-X/ASA5516-Xは影響を受けません (*ミニマムのASAバージョンが9.3.2以降のモデルのため)
・ASA5500-X/ASA5585-X利用時も、ASA 9.1以前を利用時は影響を受けません


本問題は以下不具合管理IDで公開しております。
CSCvm15584 ASA traceback or high CPU stuck by reaching 1365 days uptime

ASAの稼働時間は shwo versionや ASDMのHome画面のDevice Informationから確認可能です。

ASA5555# show version

Cisco Adaptive Security Appliance Software Version 9.6(3)3
Device Manager Version 7.8(2)151

Compiled on Tue 25-Apr-17 13:19 PDT by builders
System image file is "disk0:/asa963-3-smp-k8.bin"
Config file at boot was "startup-config"

ASA5555 up 178 days 23 hours <--- THIS
failover cluster up 181 days 12 hours 

     

問題発生時の症状

ASA5500-X/ASA5585-Xで影響を受けるバージョンを利用時、稼働し1365日(=3年270日)経過したタイミングで、以下のシスログの生成を伴い、クラッシュによる再起動、もしくは CPU高負荷問題が発生します。通常、クラッシュが発生し、CPU高負荷問題が発生するケースは非常に稀です。

%ASA-3-402148: CRYPTO: Random Number Generator error" syslog messages.

クラッシュ発生時は、show crashinfoコマンドにて、暗号処理のTimer処理に関連する"CTM Daemon"のThreadによるクラッシュの発生であることを確認できます。及び、show crashinfo内のshow version出力より、クラッシュ発生時の対象機の稼働時間が 3 years 270 days (=1365日)であることを確認できます。

ASA/act# show crashinfo 
: Saved_Crash

Thread Name: CTM Daemon  <--- THIS
Abort: Unknown
        r8 0x0000000000000001
        r9 0x0000000000000000
       r10 0x0000000000000001
       r11 0x0000000000000006
  --- 略 ---

Cisco Adaptive Security Appliance Software Version 9.2(2)4 <system>
Device Manager Version 7.1(3)

Compiled on Tue 29-Jul-14 23:41 PDT by builders
System image file is "disk0:/asa922-4-smp-k8.bin"
Config file at boot was "startup-config"

ASA up 3 years 270 days    <--- THIS
failover cluster up 3 years 274 days

 
CPU高負荷問題は、ASDMやSSH、AnyConnectなど暗号処理関係の設定/機能を使ってないASAで 発生する可能性があります。暗号関連設定を利用しないASAの場合、1365日稼働後にクラッシュが発生せず、代わりにCPU負荷が80%以上と高い状態が続くことがあります。CPU高負荷問題が発生後の回復には、手動再起動による復旧が必要です。

 

原因

ASAバージョン 9.2(1)以降の暗号処理関連の実装変更が起因です。 ASA内部の暗号処理関係のカウンタが、1365日経過時に溢れることにより、主に暗号関係の内部Timer処理において不整合を引き起こし クラッシュなどの問題が発生します。

 

回避策

影響バージョンの場合、1365日(=3年270日)経過前に対象機器を再起動することで、内部カウンタをリセットが可能です。稼働し1300日を超える機器、かつ、即座にアップグレードの難しい機器は、速やかな手動での再起動をおすすめします。

冗長構成の場合、以下ドキュメント手順を参考に片側ずつ再起動することで、通信影響を抑えることが可能です。

ASA: 冗長構成(Act/Stby)で Active機とStandby機の再起動方法 (CLI)
https://community.cisco.com/t5/-/-/ta-p/3166724

 

恒久対応策

ASAバージョン 9.3(2)以降、もしくは、9.4(1)以降にて、暗号関係の実装変更に伴い CSCvm15584の問題コードは改修済みです。

なお、2019年8月現在、9.2と9.3トレインは既にソフトウェアメンテナンスは終了済みとなり、9.4トレインも 2019年8月28日にソフトウェアメンテアンスが終了します。ソフトウェアメンテナンス終了後は、原則 不具合や脆弱性の修正バージョンはリリースされません。

そのため、影響を受ける製品とバージョンをご利用時は、ソフトウェアメンテナンス中のASAバージョン 9.6.xや9.8.xなどの 最新のInterimバージョンなどへのアップグレードをお勧めします。

[End-of-Life and End-of-Sale Notices]
https://www.cisco.com/c/en/us/products/security/asa-firepower-services/eos-eol-notice-listing.html

 

参考情報

ASA: Crash原因の調査方法
https://community.cisco.com/t5/-/-/ta-p/3163170

ファイアウォール トラブルシューティング
https://supportforums.cisco.com/ja/document/12725841

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします