爱华网某天下午下班,大家都忙着整理繁忙的思绪,拖着疲倦的身体准备回家。突然,收到alert关于ASA01当机的mail。作为一个network admin,最讨厌的事情来。接下来的事情是这样的:
1. 放下背包,打开电脑。第一件事先ping ASA01的ip address 不通;
2. 连接Core Switch 和DMZ Switch看到这个两个接口down;感觉不妙,这是使用10年的设备哇,挂了可没有备机哦。不管怎样,还要接着往下搞。
3. 立马拿着电脑和console线,冲进机房;
4. ASA01之亮一个power 和 Status 灯。 赶紧插上console线,敲击着电脑,没有任何反应。
5.报告老板,问题和现象。需要老板下指令,(这是一个处理问题的绝对执行流程,谁都不例外)。等待老板下一步的指令,否则我这个networkadmin,你擅自做主张,会死的很惨。
6. Ring..... call boss!@#$%^&*()*&^%$#@!$%^&*()_(*&^%$#@!$%^&*()_+)(*&^%$#@!
7. 汇报完毕后,决定了。重启设备。
8. 开关,电源边上的小按钮,设备开启后,SecurcCRT 上没有任何反应。指示灯:Power 亮,Status一直闪烁;interface 指示灯闪烁;
9. 连续尝试了好几次,都没有反应。
10. 笔者直接拔掉电源,等待10s钟,在插上。总算看到####################################这个符号在跑。太兴奋。
11. 以为这只是简单的死机,这么搞搞就ok了。不然,大约观察了15分钟,突然有不通了,console口误任何反应;
12. 继续尝试把电源的动作。结果还是一样。15分钟左右就死机。
13. CAll Boss, reported result。and thengotreply"please uninstall ASA and then clear upthe dust"
14. 找螺丝刀,六六角螺丝刀,小十字螺丝刀,拆机。
15. 清理玩灰尘上电之后,大约10分钟左右死机。卧槽,你让我情何以堪啊。
16.无语了,ASA01是中国和美国的主要电路。这要是断了,影响时间太长,大家都要被批。路漫漫其修远兮,吾将上下而求索。
17. 给Boss建议,对调设备。将ASA01和ASA02对调。当然,这是历史遗留问题,切不要去谈什么loadblance和redundancy.他就是一个简单的ASA防火墙和VPN拨号连接;
18. 所以就对调吧;
19. clear coniguration all 在ASA02 上 清除所有的配置;
20. copy paste ASA01的配置。完成后,webmail,主电路 都OK了。
21. test VPN 拨号,失败;我操悲剧了;
22. boss called by other manager.!@#$%^&*()*&^%
23. 现在是晚上7:30,我们已经工作了1小时30分钟了。老板指令:搞不定VPN,不要下班。
24. bullshit !!!!!!!
25. 帮忙的兄弟,都还没有吃晚饭啊。悲剧~!@#¥%……&*()——+
26. 继续troublebooting
27.又是比对之前的配置,又是在查看VPN配置手册,又是打电话给回家的IT帮助测试。这样搞了30分钟。问题没有解决。只怪自己,技术不过硬啊。慢慢的折腾吧,还能怎样啊。
28. 突然眼睛一亮,看到配置档最后一条命令:
pre-shared-key*
29. 感觉这个星号,很奇怪哦。百度,google。总算找到了。原来这是VPN client的加密密码。bullshit,就为这个星号,整了1个小时。
30. 在路由器上到这密码。重新配置pre-shared-key 1234567。VPN拨号ok了。
具体位置,Crypto isakmp client configuration group VPNCLT
Key 1234567
dns 10.x.x.x
domain company
pool vpnpool
笔者最后建议,当你在做配置回复的时候,尽量不要使用copy &paste。最好使用tftp恢复配置。这样导入就很少出现问题。
