Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

ASA: Troubleshooting do AIP-SSM

19 Agosto 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (9 Outubro 2007) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Convenções
Troubleshooting
      Estado sem Resposta
      Não é Possível Acessar o IPS SSM pelo ASDM
      Não é Possível Atualizar o IPS SSM
      Não é Possível se Conectar ao IPS com o Visualizador de Eventos IPS (IEV)
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento descreve como fazer o troubleshooting do estado sem resposta do AIP-SSM (Advanced Inspection and Prevention Security Services Module) no Cisco 5500 series Adaptive Security Appliance (ASA).

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações deste documento têm como base o AIP-SSM no Cisco 5500 Series ASA.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções usadas no documento.

Troubleshooting

Estado sem Resposta

Problema:

O AIP-SSM entra em um estado sem resposta, conforme abaixo:

show module

Mod Card Type                                    Model              Serial No.
--- -------------------------------------------- ------------------ -----------
  0 ASA 5510 Adaptive Security Appliance         ASA5510            JMX0934K021
  1 ASA 5500 Series Security Services Module-10  ASA-SSM-10         JAB093203S3

Mod MAC Address Range                 Hw Version   Fw Version   Sw Version
--- --------------------------------- ------------ ------------ ---------------
  0 0013.c480.a11d to 0013.c480.a121  1.0          1.0(10)0     7.0(2)
  1 0013.c480.b204 to 0013.c480.b204  1.0          1.0(10)0     5.0(2)S152.0

Mod Status
--- ------------------
  0 Up Sys
  1 Unresponsive

Solução:

Emita o comando hw-module module 1 reset no ASA. Esse comando executa uma reinicialização do hardware do AIP-SSM. É aplicável quando a placa está em um dos seguintes estados:

  • up

  • down

  • unresponsive

  • recover

Se você reinicializar o ASA em um estado unresponsive, será necessário fazer novamente uma imagem do SSM. Consulte a seção Installing the AIP-SSM System Image de Upgrading, Downgrading, and Installing System Images para ver as etapas sobre como fazer novamente uma imagem do AIP-SSM.

Observação: consulte a seção Reloading, Shutting Down, Resetting, and Recovering AIP-SSM de Configuring ASA-SSM para obter mais informações sobre os vários comandos disponíveis para fazer o troubleshooting do AIP-SSM.

Não é Possível Acessar o IPS SSM pelo ASDM

Problema:

A mensagem de erro Error connecting to sensor. Error Loading Sensor é exibida na GUI.

Solução:

Verifique se a interface de gerenciamento do IPS SSM é up/down e verifique o endereço IP, a máscara da sub-rede e o gateway padrão configurados. Essa é a interface para acessar o Cisco Adaptive Security Device Manager (ASDM) Software da máquina local. Tente executar o ping no endereço IP da interface de gerenciamento do IPS SSM da máquina local na qual você deseja acessar o ASDM.

Não é Possível Atualizar o IPS SSM

Problema:

A mensagem de erro Error: execUpgradeSoftware : Connection failed é exibida no CLI.

Solução:

Verifique se a interface de gerenciamento do IPS SSM é up/down e se é a mesma interface através da qual o ASA-IPS tenta entrar em contato para fazer o download do software. Não é uma conexão de placa-mãe entre ASA e IPS-SSM, mas sim uma conexão de Ethernet no próprio módulo do AIP-SSM, o qual precisa ser conectado a uma porta de comutador e configurado com um endereço IP, uma máscara de sub-rede e um gateway padrão. Se mesmo assim o http não funcionar, tente usar a opção do FTP ou do SCP com o comando upgrade.

Não é Possível se Conectar ao IPS com o Visualizador de Eventos do IPS (IEV)

Problema:

A seguinte mensagem de erro é exibida:

Cannot send xml document to sensor.
java.security.cert.CertificateExpiredException: NotAfter:

Solução:

Esse problema pode ser resolvido regenerando o certificado tls com o seguinte comando:

sensor(config)#tls generate-key

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 97405