Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

ASA: Pesquise defeitos AIP-SSM

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (19 Agosto 2008) | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve como resolver problemas de estado sem resposta do Advanced Inspection and Prevention Security Services Module (AIP-SSM) no Adaptive Security Appliance (ASA) da série Cisco 5500.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada no AIP-SSM no Cisco 5500 Series ASA.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Troubleshooting

Estado sem resposta

Problema:

O AIP-SSM entra em um estado sem resposta, não responde ao acesso HTTP ou ASDM mas é acessível do CLI, como mostrado:

show module

Mod Card Type                                    Model              Serial No. 
--- -------------------------------------------- ------------------ -----------
  0 ASA 5510 Adaptive Security Appliance         ASA5510            JMX0934K021
  1 ASA 5500 Series Security Services Module-10  ASA-SSM-10         JAB093203S3

Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
--- --------------------------------- ------------ ------------ ---------------
  0 0013.c480.a11d to 0013.c480.a121  1.0          1.0(10)0     7.0(2)
  1 0013.c480.b204 to 0013.c480.b204  1.0          1.0(10)0     5.0(2)S152.0

Mod Status            
--- ------------------
  0 Up Sys            
  1 Unresponsive

Solução:

Emita o comando reset do módulo 1 do módulo HW em seu ASA. Este comando executa uma reinicialização de hardware do AIP-SSM. É aplicável quando o cartão está em qualquens um estados:

  • up

  • para baixo

  • sem resposta

  • recupere

Se você recarrega o ASA em um estado sem resposta, seu SS deve ser criar nova imagem. Refira a instalação da seção da imagem do sistema AIP-SSM de promover, de degradar, e de instalar imagens do sistema para mais informação e etapas em como criar nova imagem o AIP-SSM.

Nota: Refira o recarregamento, fechar, restaurar, e recuperar da seção AIP-SSM de configurar ASA-SSM para obter mais informações sobre dos vários comandos disponíveis para pesquisar defeitos o AIP-SSM.

Este problema é devido à identificação de bug Cisco CSCts58648 (clientes registrados somente).

Incapaz de alcançar o AIP SS com o ASDM

Problema:

Este Mensagem de Erro é considerado no GUI.

Error connecting to sensor. Error Loading Sensor error

Solução:

Verifique a interface de gerenciamento IPS SS é up/down, e verificam seus endereço IP configurado, máscara de sub-rede e gateway padrão. Esta é a relação para alcançar o software do Cisco Adaptive Security Device Manager (ASDM) da máquina local. Tente sibilar o endereço IP de Um ou Mais Servidores Cisco ICM NT da interface de gerenciamento de IPS SS da máquina local que você quer alcançar o ASDM. Se incapaz de sibilar a verificação os ACL no sensor.

Problema:

Não pode comunicar-se com o Mensagem de Erro principal do app aparece quando você tentar conectar ao módulo AIP SS.

Solução:

Recarregue o ASA ou o módulo AIP SS a fim resolver este erro.

Promover incapaz/atualização o IPS SS

Problema:

O erro: o Mensagem de Erro falhado conexão do execUpgradeSoftware é considerado no CLI.

Solução:

Certifique-se da interface de gerenciamento IPS SS esteja up/down e que é a relação através de que o ASA-IPS tenta contactar a fim transferir o software. Esta não é uma conexão da placa-mãe entre o ASA e o IPS-SSM; é a conexão Ethernet no módulo AIP-SSM própria, que precisa de ser conectado a uma porta de switch e de ser configurado com um endereço IP de Um ou Mais Servidores Cisco ICM NT, uma máscara de sub-rede e um gateway padrão. Se o HTTP ainda não trabalha, tente usar a opção FTP ou SCP com o comando upgrade.

Erro da elevação: execUpgradeSoftware

Problema:

O erro: o execUpgradeSoftware a atualização exige 60340 KB em /usr/cids/idsRoot/var/updates, lá tem somente 57253 KB disponível. o Mensagem de Erro é considerado durante a elevação.

Solução 1:

A fim fixar esta edição, você precisa de registrar no CLI do sensor com uma conta de serviço. Se você não tem uma conta de serviço, você pode criar um com estes comandos:

configure terminal 
user (username) priv service password (pass)
 exit

Uma vez que você registra na conta de serviço, emita estes comandos do *pmz de /usr/cids/idsRoot/var/ do rm e saída da conta de serviço. Certifique-se de então a elevação termine.

Solução 2:

Este erro ocorre devido a menos espaço disponível no módulo ips desde que os arquivos de recuperação ocupam mais espaço no módulo. Termine estas etapas a fim remover os arquivos de recuperação e resolver este erro:

bash-2.05b# cd /usr/cids/idsRoot/var/updates/

bash-2.05b# ls -l

drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 backups
drwxr-xr-x    2 cids     cids         1024 Oct 19 15:26 download
drwxrwxr-x    2 cids     cids         1024 Oct 19 15:26 logs
-rw-r--r--    1 root     root          183 Sep  6 21:54 package
-rw-r--r--    1 cids     cids     27587840 Jul  9  2009 recovery.gz
drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 scripts

bash-2.05b# rm recovery.gz

Incapaz de conectar ao IPS com o visualizador de eventos IPS (IEV)

Problema:

Este Mensagem de Erro aparece:

Cannot send xml document to sensor.
java.security.cert.CertificateExpiredException: NotAfter:

Solução:

Esta edição pode ser resolved se você regenera o certificado dos tls com este comando:

sensor(config)#tls generate-key

Incapaz de alcançar AIP-SSM

Problema:

Quando você tenta alcançar o SS, este Mensagem de Erro está indicado.

Opening command session with slot 1.
Card in slot 1 did not respond to session request

Solução:

Emita o módulo 1 do módulo HW recuperam o comando a fim resolver este problema. Refira a recuperação de AIP-SSM para obter mais informações sobre deste comando.

Erro quando o módulo AIP-SSM for obstruído no ASA

Problema:

Quando você tenta introduzir o módulo AIP SS no ASA, este Mensagem de Erro está indicado.

module in slot 1 experienced a channel communication failure

Solução:

Recarregue o ASA a fim resolver a edição. Se a edição ainda existe, contacte o TAC para uma ajuda mais adicional.

AIP-SSM falha após a atualização de assinatura

Problema:

AIP-SSM falha depois que a assinatura é atualizada. A atualização de assinatura faz com que o AIP-SSM seja executado fora da memória e torne-se sem resposta quando o número de assinaturas permitidas é alto.

Solução:

Restaure a definição da assinatura a fim resolver a edição. Se assinaturas demais são permitidas, a seguir tente restaurar a definição da assinatura. O SSH ao sensor e usa estes comandos:

configure terminal

service signature-definition sig0

default signatures

exit

exit

Edições da latência com sensor IPS

Problema:

A edição da latência ocorre com o sensor IPS.

Solução:

A edição da latência ocorrer quando a ação da negação inline e negar o pacote é permitida para cada assinatura em VS0. Se você permite todas as assinaturas, este conduz à latência enquanto o IPS inspeciona cada pacote único através de que esse passa. É bom permitir somente a assinatura específica exigida conforme o fluxo de tráfego de rede a fim resolver a edição da latência.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 97405