记一次ASA固件被误删除后应急故障响应预案的修复思路与过程

Posted 2020-08-31

又是一个周末，在不断提升自己的语言能力和技术能力的每天，我都会非常的苛刻要求自己保持学习的劲头，保持清醒。今天我相信我的目标清单能指引我努力完成很多我想做的事情。不管未来转型做集成，还是深入下去做网工，我都希望有那么一天能不曾后悔自己曾经努力而为之付出了一整个青春的东西--技术。

今天同样也带来一个非常基础但是又极其使用的场景应用的思路与操作方案。ASA固件被误操作丢失以及dir目录下所有文件丢失修复思路与方法。

写在前面：

我在遇到此场景的时候，确实在百度和Google上查过资料，但实际情况是：基本没什么帮助，但是思路是给到了。对于有经验的工程师还算是有作用的。

但考虑到很多新入行的同事，其实这些文章就很难引导他们独立完成这一项工作了。

所以，我花了俩个小时，进行了反复的推导和配置练习特意准备了这一次的文章撰写，希望能给看到这篇文章的同事带来效率上的提高和思路上的引导

好了，废话少说。如题，在我们误操作或者被其他同事误操作删除所有目录文件后，我们常见的应对思路

1. 查文档找固件进行修复

2. 找“老司机”帮忙（开车），带自己飞

3. 电话产商，远程协助修复

 

三种方法，我采用的第一个方案，确实琢磨了点时间，大约两个小时（包括事后的总结），也就是此篇文档的篇幅的来源。第二种现在在中国这个强调竞争“闭门造车”的年代，很难有人愿意主动帮你，第三种若你没有购买售后，或者通过代理商购买的设备，那基本可以不要考虑了。

 

先介绍我处理的思路：

在思科asa的固件被清除后，可以确认一件事情，我们在reload后，设备一直在反复boot。即：没有操作系统。

所以第一步，我们要进入到思科特有模式下：ronmon。

Asa不像路由器和交换机，需要console界面上按住ctral+break键位3-5S，而是asa可以直接在console界面上按ESC进入rommon：

 

进入后，我们就进入了rommon界面和目前网络上看到的文章的第一步就对上了。

rommon #1>

rommon #1>show info（查看目前接口状态）

rommon #1> show info

Cisco Systems ROMMON Version (1.0(11)2) #0:Thu Jan 26 10:43:08 PST 2006

Platform Identification and BootInformation:

        Controller Type: 0x04d7

        Platform Name: ASA5510

 Configuration Register: 0x00000041

Interface Device Information:

 Ethernet0/0: i82546GB, PCI: bus-3, slot-3, fct-1, rev-3, irq-9

 Ethernet0/1: i82546GB, PCI: bus-3, slot-3, fct-0, rev-3, irq-9

 Ethernet0/2: i82546GB, PCI: bus-3, slot-2, fct-1, rev-3, irq-9

 Ethernet0/3: i82546GB, PCI: bus-3, slot-2, fct-0, rev-3, irq-9

 Management0/0: i82551ER, PCI: bus-4, slot-2, fct-0, rev-16, irq-11

ROMMON Variable Settings:

 ADDRESS=0.0.0.0

 SERVER=0.0.0.0

 GATEWAY=0.0.0.0

 PORT=Management0/0

 VLAN=untagged

 IMAGE=

 CONFIG=

 LINKTIMEOUT=20

 PKTTIMEOUT=4

 RETRY=20

 

这里做一个简单的说明，asa都会配有一个单独的带外管理口（Management0/0），所以我们在所有flies被误操作remove后，配置文件还有等等都有没有的情况下，管理口默认是在这个情况下可以使用的，找到这个接口，用网线把你的笔记本直连起来。

 

接着就是我们今天最重要的步骤了，配置IP，使asa管理口与笔记本正常通信

配置ip：rommon #2> address 192.168.106.2522

配置server（tftpserver）：rommon #3> server 192.168.106.253【自己笔记本配置的ip】

配置gw：rommon #4> gateway 192.168.106.253

配置需要上传的ios文件名：rommon #5> IMAGE=asa842-k8.bin

同步配置：

rommon #6> sync

Updating NVRAM Parameters...

PS：相当于目前很多高端交换机和防火墙中的commit

 

查看当前配置：

 

在asa上测试ping笔记本（tftp服务器）直连物理接口地址：

学过思科CCNA都知道第一个为什么不通，这里不说明了，反正上面那么多感叹号就是证明直连链路ok了。

 

接下来就是在asa上下载我们tftp服务器上的镜像文件了。

这里补充一句，tftp服务器的设置一定要提前设置好，比如文件放在哪个目录，比如根目录是哪个？参考下我的设置，如下。

我把此次需要使用的镜像asa842-k8.bin放在了\3CDaemon\的目录中，我的tftp的设置也是同样的设置即可。

执行：tftpdnld 开始灌ios，输出图如下:

tftpdnld命令是asa在rommon下面的一种你可以？或者help出来查看详细的注释。若你执行后，没有出现如上图，请检查前面几步的配置，反正多show info看看就对了。

 

Asa在执行tftpdnld期间，我本地笔记本的tftp软件上的操作日式显示如下：

 

上传完成后，你可以执行boot启动，也可以等待他自己启动，我这里是asa在上传完成后自己启动了。然后一切就像我预料当中，我的asa镜像恢复好了，设备可以继续的做实验了。

但此时我show version时发现ios的启动文件是在tftp服务器里面，即：这一次正常启动的ios是在tftp里面启动的,参考如下

上面这个是什么意思呢？

回答：就相当于你自己外接了一块移动硬盘，移动硬盘上面上面有个windows2008R2的操作系统，你这个时候在bios里面的boot选项中选择的是USB最优先启动而非本地disk启动。

 

不要慌，兄弟们，兵来将挡水来土掩，自然有招来解决这个问题。

思路：我们把这个IOS copy到本地disk0中就可以了。即：copy进去本地存储中。执行如下命令即可

ciscoasa# copytftp://192.168.106.253/asa842-k8.bin disk0:/asa842-k8.bin

 

这个时候注意保持asa和tftp服务器的正常通信的情况，因为上面这个操作还需要tftp服务。等到一切全部完成后，类似如下感叹号结束后。

Write memory（保存）

执行reload重启

 

完成后，我们再次show version，看到的就是如下令人很爽的一幕：

 

好了，到这里，我们的asa防火墙固件被误操作删除后，应急故障响应预案的操作手册就这样诞生了。感谢耐心的阅读，谢谢，与大家共勉。

技术来自于工作场景，证书不代表能力，千万别让培训机构误导了你，实践是检验真理的唯一标准，同样也是你自己证明自己价值和动手能力的唯一途径。

四个关键词：

细心、耐心、发现、总结

                                                             ——————来自一家二级运营商的网工的工作分享 

QQ:549675970

QZONE:http://user.qzone.qq.com/549675970

E-mail：[email protected]

             [email protected]

人生格言：越努力、越幸运

本文出自 “Allen在路上-从零到壹” 博客，转载请与作者联系！