Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

ASA 5500-X : Effacez une connexion de console à un module installé IPS/CX

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit un problème courant que les utilisateurs qui gèrent les appliances de sécurité adaptable Cisco (ASA) pourraient rencontrer. Les appliances de gamme 5500-X de Cisco ASA procurent aux services de la deuxième génération de Pare-feu facultatif d'installer un module articulé autour d'un logiciel de Système de prévention d'intrusion (IPS) ou un module de Cisco ASA CX (contexte averti). 

Contribué par Prapanch Ramamoorthy, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Interface de ligne de commande de Cisco ASA (CLI).
  • Modules IPS ou de la CX pour des appliances de gamme 5500-X ASA

Composants utilisés

Les informations dans ce document sont basées sur les appliances de la deuxième génération de Pare-feu de gamme 5500-X de Cisco ASA.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Problème

Quand vous essayez d'établir une connexion de console au logiciel IPS ou au module de la CX installé, vous pourriez rencontrer un message d'erreur qui suggère que quelqu'un soit déjà connecté dans la console. Exemple :

ciscoasa# session cxsc console
ERROR: An existing console session is in progress with module cxsc.
Only one is allowed at any point in time.

La sortie de commande précédente indique qu'une connexion de console au module de la CX existe déjà. La commande équivalente pour le module IPS est la console IPS de session, qui affiche cette sortie une fois utilisé :

ciscoasa# session ips console
ERROR: An existing console session is in progress with module ips.
Only one is allowed at any point in time.

Solution

La seule manière d'effacer une connexion de console au module du logiciel IPS/CX sur une appliance de gamme 5500-X ASA est de dégagé la connexion CLI à l'ASA où la session de console est en activité. Cette section fournit un scénario simulé, semblable à celui précédemment décrit, que les demonsrates la procédure ont utilisé afin d'effacer une telle connexion.

Considérez une ASA 5525-X avec les services de la deuxième génération de Pare-feu (également connus sous le nom de la CX) activée.

ciscoasa# show module cxsc

Mod  Card Type                                    Model              Serial No.
---- -------------------------------------------- ------------------ -----------
cxsc ASA CX5525 Security Appliance                ASA CX5525         FCH1719J569

Mod  MAC Address Range                 Hw Version   Fw Version   Sw Version
---- --------------------------------- ------------ ------------ ---------------
cxsc 6c41.6aa1.31d4 to 6c41.6aa1.31d4  N/A          N/A          9.1.1

Mod  SSM Application Name           Status           SSM Application Version
---- ------------------------------ ---------------- --------------------------
cxsc ASA CX                         Up               9.1.1

Mod  Status             Data Plane Status     Compatibility
---- ------------------ --------------------- -------------
cxsc Up                 Up

Il y a une session de Protocole Secure Shell (SSH) établie avec l'ASA en plus d'une connexion de console.

ciscoasa# show asp table socket

Protocol  Socket     State     Local Address        Foreign Address
SSL       000069e8   LISTEN    10.106.44.101:443    0.0.0.0:*
TCP       00009628   LISTEN    10.106.44.101:22     0.0.0.0:*
TCP       0000da58   ESTAB     10.106.44.101:22     64.103.226.139:52565

La connexion bolded affichée dans la sortie est la session de SSH où la connexion de console au module de la CX est en activité. Tentatives d'accéder à la console d'un autre échouer de connexion CLI (telle qu'une connexion de console à l'ASA) avec l'erreur précédemment mentionnée. La sortie du show conn toute la commande est utilisée afin de découvrir la connexion SSH à l'ASA, qui est effacée avec l'utilisation du clear conn toute la commande.

ciscoasa# show conn all | in 52565
1 in use, 4 most used
TCP mgmt 64.103.226.139:52565 NP Identity Ifc 10.106.44.101:22,
 idle 0:04:16, bytes 10284, flags UOB

ciscoasa#
ciscoasa#
ciscoasa# clear conn all port 52565
1 connection(s) deleted.

ciscoasa# show conn all | i 52565
0 in use, 4 most used
ciscoasa# show asp table socket

Protocol  Socket    State      Local Address        Foreign Address
SSL       000069e8  LISTEN     10.106.44.101:443    0.0.0.0:*
TCP       00009628  LISTEN     10.106.44.101:22     0.0.0.0:*

ciscoasa#
ciscoasa# session cxsc console
Opening console session with module cxsc.
Connected to module cxsc. Escape character sequence is 'CTRL-^X'.

asacx>

ID de bogue Cisco CSCuh65249 (ASA 5500-X : Ayez besoin d'une manière d'effacer la connexion de console au module IPS/CX) a été classé afin d'introduire une manière plus gracieuse d'effacer une telle connexion de console.

L'ID de bogue Cisco CSCud27214 (ne peut pas quitter de la console IPS de session une fois connecté au serveur de terminaux) a été classé afin de résoudre l'incapacité de quitter d'une console une fois relié par l'intermédiaire d'un serveur de terminaux avec une séquence d'échappement de Ctrl^x.

Solution alternative

Alternativement, s'il n'est pas possible de détruire la connexion de console qui existe avec l'utilisation de la méthode précédemment mentionnée, utilisez la session IPS ou la session CX commandent afin d'accéder aux modules IPS ou de la CX, respectivement. Ce n'est pas une connexion de console. Par conséquent, il est possible pour avoir des plusieurs sessions établies simultanément au module logiciel.

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 116404