Восстановление Cisco ASA из режима ROMMON

Июль 6, 2015

Read the article CISCO ASA RECOVERY USING ROMMON MODE in English

К сожалению, иногда случается так, что оборудование выходит из строя. Конечно же, это происходит в самый неподходящий момент. В большинстве случаев, встречавшихся в моей практике, происходит следующее: по какой-либо причине (работы с электрооборудованием, гроза, плановое или аварийное отключение электричества) Cisco ASA выключается или перезагружается, а при запуске каналы связи, VPN и другие сервисы не восстанавливаются. Вариант, когда перестают моргать даже лампочки индикаторов на корпусе, я не рассматриваю –почти точно устройство направляется в утиль или на замену по гарантии. Рассмотрю вариант, когда Cisco ASA все еще работает, но не загружается до конца, а именно: не может загрузить образ операционной системы Cisco IOS. Есть шанс реанимировать устройство, как минимум на время, до замены на полностью исправное.

Первым делом подключаемся к межсетевому экрану с помощью консольного кабеля . Если устройство не отзывается ни на какие действия, то дело плохо – поблагодарите его за долгий и плодотворный труд и положите в шкаф на полку. Если же увидите некую активность, то попытайтесь понять, что происходит. Межсетевой экран может сразу находиться в технологическом режиме ROMMON (в обычных условиях режим вызывается нажатием клавиши ESC во время загрузки) с ограниченным функционалом или же в процессе загрузки образа системы постоянно перезагружаться.

Выглядит этот режим примерно так:
Use ? for help. ROMMON #0>
Попав в ROMMON, стоит попробовать запустить процесс загрузки системы командой boot.
ROMMON #0> boot
Cisco ASA попытается загрузить тот образ своей операционной системы, который находится во встроенной Flash памяти. Сразу скажу, что за несколько лет практики был только один раз, когда мне повезло и устройство загрузилось. В большинстве же своем попытки оказывались неудачными.

В этом случае стоит вспомнить принцип работы устройств Cisco:
Операционная система находится на неком носителе и загружается с него в оперативную память единожды при включении устройства. После этого система работает до следующей перезагрузки. В качестве носителя почти всегда используется внутренняя Flash память (Вероятнее всего вы читаете эту статью как раз потому, что этот модуль и вышел из строя), однако также возможно указать в качестве источника внешний ресурс, например — TFTP сервер.
Задача по восстановлению межсетевого экрана сводится к:

установке TFTP сервера на какой-либо рабочей станции. Подойдет обычный ноутбук.

размещения на нем образа операционной системы Cisco IOS

подключения этой рабочей станции с TFTP сервером напрямую в один из интерфейсов Cisco ASA

указания этого хоста в качестве источника образа на самом межсетевом экране и загрузка образа

Восстановление Cisco ASA из режима ROMMON

Для установки TFTP сервера достаточно скачать дистрибутив, запустить программу и выложить образ операционной системы в папку, указанную в окне приложения. Посоветую простой и бесплатный TFTPD. Скачать можно здесь.
Интерфейс программы прост и понятен и не должен вызвать какие-либо дополнительные трудности.

tftp

В папку C:\Program Files\Tftpd64, указанную в поле Current Directory, выкладываем образ IOS для межсетевого экрана. Советую при восстановлении использовать тот же, что был на момент выхода устройства из строя. Устанавливать более новую версию стоит не раньше, чем будет уверенность в надежной работе межсетевого экрана.

Важно!
Обратите внимание на интерфейс сервера. Если ip адрес сетевой карты ноутбука будет изменен, то в поле Server interfaces останутся старые настройки. Проверьте корректность этого поля и, если там указан старый адрес, перезагрузите TFTP сервер. Для примера будем использовать 192.168.1.2
Далее нужно соединить прямым патч кордом интерфейс ноутбука с TFTP сервером и интерфейс Ethernet 0/0 межсетевого экрана.
В консоли устройства (в режиме ROMMON) задается ip адрес (ADDRESS), порт (PORT), TFTP сервер (SERVER) с файлом образа (IMAGE).

Важно!
При вводе команд придется печатать их полностью — будьте аккуратны и внимательны.
rommon #1> ADDRESS=192.168.1.1 rommon #2> PORT=Ethernet0/0 rommon #3> SERVER=192.168.1.2 rommon #4> IMAGE=asa803-k8.bin

Важно!
В примере Cisco ASA и TFTP сервер с образом IOS подключены напрямую друг к другу и шлюз по умолчанию не требуется. Однако, если доступна внутренняя корпоративная сеть, то TFTP сервер можно поднять на любой доступной рабочей станции сети. В этом случае на Cisco ASA дополнительно потребуется указать шлюз по умолчанию(GATEWAY) и/или номер Vlan (VLAN).
rommon #5> GATEWAY=Х.Х.Х.Х rommon #6> VLAN=Y
Вместо Х.Х.Х.Х введите значения ip адреса шлюза для сети, в которой находится межсетевой экран. Вместо Y – номер Vlan этой сети.
Проверить введенные данные можно проверить командой set
rommon #6> set
Доступность TFTP сервера проверяется командой ping server
rommon #7> ping server
Убедившись, что рабочая станция и Cisco ASA подключены и настроены корректно, введите команду tftp для загрузки IOS.
rommon #8> tftp

Важно!
При удачной загрузке советую тут же озаботиться заменой проблемного оборудования, так как его надежность остается под вопросом.
Напомню еще раз, что рассматривается случай аварийного восстановления Cisco ASA, успешность которого зависит от конкретного случая и степени повреждения компонентов устройства. Все вышеописанное будет работать в 100% случаев, если аппаратная часть исправна.