Problem ASA Firepower 5508X

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
tomii2
member
member
Posty: 23
Rejestracja: 15 sty 2009, 07:35

Problem ASA Firepower 5508X

#1

#1 Post autor: tomii2 »

Witam, od kilku dni mam problem z ASA 5508-X polegający na tym, że ASA się restartuje dwa-trzy razy dziennie. Może ktoś mi podpowiedzieć gdzie szukać problemu. W logach nic nie znalazłem poza tym
Jul 29 2020 03:37:54 firepower SF-IMS[5539]: Reload thread started, thread 0x7f68ce0b4700 (5897)
Jul 29 2020 03:37:54 firepower SF-IMS[5539]: Reload thread starting...
Jul 29 2020 03:37:54 firepower SF-IMS[5538]: Reload thread started, thread 0x7fede7225700 (5889)
Jul 29 2020 03:37:54 firepower SF-IMS[5538]: Reload thread starting...
Jul 29 2020 03:37:43 firepower SF-IMS[5723]: [5840] SFDataCorrelator:FileProcessing [INFO] FileProcessReconfigure: Preclass Engine Reloaded Successfully
Jul 29 2020 03:37:18 firepower SF-IMS[5479]: [5479] S99sensor:CLI Reload [INFO] No PM running
Jul 28 2020 23:24:25 firepower SF-IMS[736]: Reload thread started, thread 0x7f9381c45700 (822)
Jul 28 2020 23:24:25 firepower SF-IMS[736]: Reload thread starting...

lbromirs
CCIE
CCIE
Posty: 4088
Rejestracja: 30 lis 2006, 08:44

Re: Problem ASA Firepower 5508X

#2

#2 Post autor: lbromirs »

Otwórz case'a w TAC, zostaniesz poprowadzony za rękę. Rozumiem, że jesteś na 6.4.0.9 albo 6.6?

tomii2
member
member
Posty: 23
Rejestracja: 15 sty 2009, 07:35

Re: Problem ASA Firepower 5508X

#3

#3 Post autor: tomii2 »

Jestem na 6.2.2

lbromirs
CCIE
CCIE
Posty: 4088
Rejestracja: 30 lis 2006, 08:44

Re: Problem ASA Firepower 5508X

#4

#4 Post autor: lbromirs »

No to... rób upgrade ASAP :)

tomii2
member
member
Posty: 23
Rejestracja: 15 sty 2009, 07:35

Re: Problem ASA Firepower 5508X

#5

#5 Post autor: tomii2 »

Jak wersja 6.4.0 potrzebuje 11,5 GB a w ASA 5508-X wewnętrznej pamięci jest 8GB to da się to jakoś zainstalować?

lbromirs
CCIE
CCIE
Posty: 4088
Rejestracja: 30 lis 2006, 08:44

Re: Problem ASA Firepower 5508X

#6

#6 Post autor: lbromirs »

5508-X/5516-X wspierają nawet FTD 6.6: https://www.cisco.com/c/en/us/td/docs/s ... #id_107242

tomii2
member
member
Posty: 23
Rejestracja: 15 sty 2009, 07:35

Re: Problem ASA Firepower 5508X

#7

#7 Post autor: tomii2 »

NIe mam FTD tylko ASDM i on wspiera 6.6 ale jak to zainstalować?

lbromirs
CCIE
CCIE
Posty: 4088
Rejestracja: 30 lis 2006, 08:44

Re: Problem ASA Firepower 5508X

#8

#8 Post autor: lbromirs »

ASDM to narzędzie do zarządzania ASA OS. FDM i FMC to narzędzia do zarządzania FTD. Możesz używać generalnie trzech modeli softu:

- czysta ASA OS, zarządzana przez CLI, API, ASDM lub CSM - tylko stateful firewall/etc
- ASA OS (jak powyżej) z zainstalowanym osobno FirePOWER Services (zarządzanym przez FMC) - stateful firewall + przekierowanie do NGIPSa
- FTD, zintegrowany obraz, zarządzany przez FDM, FMC lub CDO - NGFW/NGIPS

chunkpunk
member
member
Posty: 45
Rejestracja: 31 mar 2011, 10:40

Re: Problem ASA Firepower 5508X

#9

#9 Post autor: chunkpunk »

Tak sie zastanawiam czy ktos wogole pracuje na FTD w wersjii z dyskiem czyli np. 5525-X . przeszedl z ASA+ Firepower i nie narzeka :)
:)

lbromirs
CCIE
CCIE
Posty: 4088
Rejestracja: 30 lis 2006, 08:44

Re: Problem ASA Firepower 5508X

#10

#10 Post autor: lbromirs »

chunkpunk pisze: 09 wrz 2020, 07:34 Tak sie zastanawiam czy ktos wogole pracuje na FTD w wersjii z dyskiem czyli np. 5525-X . przeszedl z ASA+ Firepower i nie narzeka :)
FTD na sprzęcie ASA 55xx jest wolniejszy - ma zdecydowanie mniej CPU i pamięci do dyspozycji niż na sprzęcie Firepower. Ale że pracuje z EMEAR i całym światem mogę spokojnie powiedzieć, że tak - są klienci którzy używają dzisiaj 5508/16/25/45/55 i są zadowoleni. Większość ma FMC już na 6.6.x.x, część jedzie z sensorami nadal na 6.4.0.x.

Pamiętajcie, że jako 5525/45/55 są już EoS, ostatnią wersją dla nich będzie FTD 6.6. Dla ASA 5508/5516 jeszcze nie ogłosiliśmy zakończenia sprzedaży, ale weźcie pod uwagę, że ich możliwości sprzętowe nie są większe, więc o ile wspierane będą w sofcie dłużej, migracja na FP1k jest zdecydowanie dobrym pomysłem (jeśli nawet nie na 2k).

chunkpunk
member
member
Posty: 45
Rejestracja: 31 mar 2011, 10:40

Re: Problem ASA Firepower 5508X

#11

#11 Post autor: chunkpunk »

Sporo wolniejszy ?
u mnie stoja 5525-x z moduem Firepower . caly czas sie zatstanawiam czy reimage do FTD i czy nie strzele sobie w kolano.
Ale bardziej martwi mnie lekka 'ubogosc' funkcji lub ich brak ' w porownaniu do starej asy (wprawdzie ocenialem 6.2.3 tam mi sporo brakowale i nie wiem jak jest teraz przy 6.6)
:)

lbromirs
CCIE
CCIE
Posty: 4088
Rejestracja: 30 lis 2006, 08:44

Re: Problem ASA Firepower 5508X

#12

#12 Post autor: lbromirs »

Jeśli masz już dzisiaj SFR to różnicy w wydajności nie będzie wprost - poza tym, że 6.6 to niebo a ziemia w porównaniu do 6.2.3 :) Możesz zapomnieć o swoich doświadczeniach z tą wersją - od 6.4 zmieniła się w ogóle strategia i koncepcja wydawania softu (można poczytać tutaj: https://www.cisco.com/c/en/us/products/ ... 43178.html), 6.6 przyniósł masę usprawnień, znaczne przyśpieszenie zarówno całego interfejsu FMC jak i deploymentów (całkowicie nowy silnik FMC<>FTD) i oczywiście masę nowych funkcji.

chunkpunk
member
member
Posty: 45
Rejestracja: 31 mar 2011, 10:40

Re: Problem ASA Firepower 5508X

#13

#13 Post autor: chunkpunk »

Przenioslem na FTD na dwa dni :) troche problemow jednak jest. nawet z anyconnectem ktorego nie przenisolem kilka lat temu na smarta i teraz trzeba zabupic . i z gre po ispecu mam jakies hoski klicki z juniperami .
Na razie jednak asa + sfr zostanie :) Moze jak zrezygnuja ze starego softu a FTD bedzie super superancki to wtedy . na ta chwile stable musi byc. :)
Poczekam na EOL i zamienie na jakiegos 2110 albo przejde na konkurencje
:)

ODPOWIEDZ