Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

ASA : Dépannage d'AIP-SSM

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment effectuer le dépannage de l'état de non réponse de l'Advanced Inspection and Prevention Security Services Module (AIP SSM) dans le dispositif de sécurité adaptatif dédié de la gamme Cisco 5500 (ASA).

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur l'AIP SSM dans la gamme Cisco 5500 ASA.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Dépannage

État insensible

Problème :

L'AIP SSM entre dans un état insensible, ne répond pas à l'accès de HTTP ou ASDM mais est accessible du CLI, comme affiché :

show module

Mod Card Type                                    Model              Serial No. 
--- -------------------------------------------- ------------------ -----------
  0 ASA 5510 Adaptive Security Appliance         ASA5510            JMX0934K021
  1 ASA 5500 Series Security Services Module-10  ASA-SSM-10         JAB093203S3

Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
--- --------------------------------- ------------ ------------ ---------------
  0 0013.c480.a11d to 0013.c480.a121  1.0          1.0(10)0     7.0(2)
  1 0013.c480.b204 to 0013.c480.b204  1.0          1.0(10)0     5.0(2)S152.0

Mod Status            
--- ------------------
  0 Up Sys            
  1 Unresponsive

Solution :

Émettez la commande remise à l'état initial du module 1 de hw-module sur votre ASA. Cette commande exécute une réinitialisation du matériel de l'AIP SSM. Il s'applique quand la carte est dans l'un de ces états :

  • vers le haut de

  • vers le bas

  • insensible

  • récupérez

Si vous redémarrez l'ASA dans un état insensible, votre SSM doit être re-reflètent. Référez-vous à installer la section d'image de système d'AIP SSM d'améliorer, de déclassifier, et d'installer le pour en savoir plus et les étapes d'images de système sur la façon dont sur la re-image l'AIP SSM.

Remarque: Référez-vous à recharger, à arrêter, à remettre à l'état initial, et à récupérer la section d'AIP SSM de configurer ASA-SSM pour plus d'informations sur les diverses commandes disponibles pour dépanner l'AIP SSM.

Ce problème est dû à l'ID de bogue Cisco CSCts58648 (clients enregistrés seulement).

Incapable d'accéder à l'AIP SSM par l'ASDM

Problème :

Ce message d'erreur est vu sur le GUI.

Error connecting to sensor. Error Loading Sensor error

Solution :

Vérifiez l'interface de gestion de SSM IPS est haut/bas, et vérifie son adresse IP, masque de sous-réseau et passerelle par défaut configurés. C'est l'interface pour accéder au logiciel du Cisco Adaptive Security Device Manager (ASDM) de l'ordinateur local. Essayez de cingler l'adresse IP d'interface de gestion du SSM IPS de l'ordinateur local que vous voulez accéder à l'ASDM. S'incapable de cingler le contrôle l'ACLs sur le capteur.

Problème :

Ne peut pas communiquer avec le message d'erreur principal d'app apparaît tandis que vous tentez de se connecter au module d'AIP SSM.

Solution :

Rechargez l'ASA ou le module d'AIP SSM afin de résoudre cette erreur.

Pour améliorer incapable/mise à jour le SSM IPS

Problème :

L'erreur : la connexion d'execUpgradeSoftware a manqué message d'erreur est vue sur le CLI.

Solution :

Vérifiez que l'interface de gestion de SSM IPS est haut/bas et que c'est l'interface par laquelle l'ASA-IPS tente d'entrer en contact afin de télécharger le logiciel. Ce n'est pas une connexion du fond de panier entre l'ASA et l'IPS-SSM ; c'est la connexion Ethernet sur le module d'AIP SSM elle-même, qui doit être connecté à un port de commutateur et être configuré avec une adresse IP, un masque de sous-réseau et une passerelle par défaut. Si le HTTP ne fonctionne pas, essaye toujours pour utiliser l'option de FTP ou SCP avec la commande de mise à jour.

Erreur de mise à jour : execUpgradeSoftware

Problème :

L'erreur : l'execUpgradeSoftware la mise à jour exige 60340 KO dans /usr/cids/idsRoot/var/updates, là sont seulement 57253 KO disponibles. le message d'erreur est vu pendant la mise à jour.

Solution 1 :

Afin de réparer cette question, vous devez se connecter dans le CLI du capteur avec un compte des services. Si vous n'avez pas un compte des services, vous pouvez créer un avec ces commandes :

configure terminal 
user (username) priv service password (pass)
 exit

Une fois que vous vous connectez dans le compte des services, émettez ces commandes de *pmz de /usr/cids/idsRoot/var/ de rm et déconnectez de-vous le compte des services. Vérifiez alors que la mise à jour se termine.

Solution 2 :

Cette erreur se produit en raison de moins d'espace disponible sur le module IPS puisque les fichiers d'images Avant occupent plus d'espace sur le module. Terminez-vous ces étapes afin de retirer des fichiers d'images Avant et résoudre cette erreur :

bash-2.05b# cd /usr/cids/idsRoot/var/updates/

bash-2.05b# ls -l

drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 backups
drwxr-xr-x    2 cids     cids         1024 Oct 19 15:26 download
drwxrwxr-x    2 cids     cids         1024 Oct 19 15:26 logs
-rw-r--r--    1 root     root          183 Sep  6 21:54 package
-rw-r--r--    1 cids     cids     27587840 Jul  9  2009 recovery.gz
drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 scripts

bash-2.05b# rm recovery.gz

Incapable de se connecter à l'IPS au visualisateur d'événements IPS (IEV)

Problème :

Ce message d'erreur apparaît :

Cannot send xml document to sensor.
java.security.cert.CertificateExpiredException: NotAfter:

Solution :

Cette question peut être résolue si vous régénérez le certificat de tls avec cette commande :

sensor(config)#tls generate-key

Incapable d'accéder à l'AIP SSM

Problème :

Quand vous essayez d'accéder au SSM, ce message d'erreur est affiché.

Opening command session with slot 1.
Card in slot 1 did not respond to session request

Solution :

Émettez le module 1 de hw-module récupèrent la commande afin de résoudre ce problème. Référez-vous à récupérer l'AIP SSM pour plus d'informations sur cette commande.

Erreur quand le module d'AIP SSM est branché à l'ASA

Problème :

Quand vous essayez d'insérer le module d'AIP SSM dans l'ASA, ce message d'erreur est affiché.

module in slot 1 experienced a channel communication failure

Solution :

Rechargez l'ASA afin de résoudre le problème. Si la question existe toujours, entrez en contact avec le TAC pour davantage d'aide.

L'AIP SSM échoue après mise à jour de signature

Problème :

L'AIP SSM échoue après que la signature soit mise à jour. La mise à jour de signature fait manquer de mémoire et devenir l'AIP SSM insensible quand le nombre de signatures activées est élevé.

Solution :

Remettez à l'état initial la définition de signature afin de résoudre le problème. Si trop de signatures sont activées, alors essayez de remettre à l'état initial la définition de signature. Le SSH au capteur et utilisent ces commandes :

configure terminal

service signature-definition sig0

default signatures

exit

exit

Questions de latence avec le capteur IPS

Problème :

La question de latence se produit avec le capteur IPS.

Solution :

La question de latence se produit quand l'en ligne d'action de refuser et refuse le paquet sont activées pour chaque signature dans VS0. Si vous activez toutes les signatures, ceci a comme conséquence la latence pendant que l'IPS examine le paquet chaque par lequel ce passe. Il est bon d'activer seulement la signature spécifique exigée selon l'écoulement du trafic réseau afin de résoudre le problème de latence.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 97405