安全 : Cisco ASA 5500 系列自适应安全设备

ASA :AIP-SSM故障排除

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文描述如何排除故障先进的检查和预防安全服务模块(AIP-SSM)的无答复的状态在Cisco 5500系列可适应安全工具(ASA)。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息根据在Cisco 5500系列ASA的AIP-SSM。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

排除故障

无答复的状态

问题:

AIP-SSM进入一无答复的状态,不能响应到HTTP或ASDM访问,但是从CLI是可访问,如显示:

show module

Mod Card Type                                    Model              Serial No. 
--- -------------------------------------------- ------------------ -----------
  0 ASA 5510 Adaptive Security Appliance         ASA5510            JMX0934K021
  1 ASA 5500 Series Security Services Module-10  ASA-SSM-10         JAB093203S3

Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
--- --------------------------------- ------------ ------------ ---------------
  0 0013.c480.a11d to 0013.c480.a121  1.0          1.0(10)0     7.0(2)
  1 0013.c480.b204 to 0013.c480.b204  1.0          1.0(10)0     5.0(2)S152.0

Mod Status            
--- ------------------
  0 Up Sys            
  1 Unresponsive

解决方案:

发出hw-module模块1 reset命令在您的ASA。此命令执行AIP-SSM的硬件重启。当卡在任何这些状态时,它是可适用的:

  • 下来

  • 无答复

  • 恢复

如果在一无答复的状态重新启动ASA,您的SSM必须是重新镜像的。参考安装升级,降级和安装系统镜像的AIP-SSM System Image部分欲知更多信息和步骤关于如何再镜像AIP-SSM。

注意: 参考重新载入,关闭,重置和恢复配置ASA-SSM的AIP-SSM部分关于多种可以使用的命令的更多信息排除故障AIP-SSM。

此问题归结于Cisco Bug ID CSCts58648 (仅限注册用户)。

无法通过ASDM访问AIP SSM

问题:

此错误消息在GUI被看到。

Error connecting to sensor. Error Loading Sensor error

解决方案:

检查IPS SSM管理接口up/down,并且检查其配置的IP地址、子网掩码和默认网关。这是访问从本地设备的Cisco Adaptive Security Device Manager (ASDM)软件的接口。设法ping IPS SSM的管理接口IP地址从本地设备的您要访问ASDM。如果无法ping检查ACL在传感器。

问题:

当您尝试连接到AIP SSM模块时,不能通信与主要app错误消息出现。

解决方案:

重新加载ASA或AIP SSM模块为了解决此错误。

无法升级/更新IPS SSM

问题:

错误::execUpgradeSoftware连接失败的错误消息在CLI被看到。

解决方案:

检查IPS SSM管理接口up/down,并且它是ASA-IPS尝试接触为了下载软件的接口。这不是ASA和IPS-SSM之间的一个底板连接;它是在AIP-SSM模块的以太网连接,需要连接到交换机端口和配置用IP地址、子网掩码和默认网关。如果http仍然不作动,请设法以upgrade命令使用FTP或SCP选项。

Upgrade错误:execUpgradeSoftware

问题:

错误::execUpgradeSoftware更新只要求在/usr/cids/idsRoot/var/updates的60340 KB,那里是57253 KB联机。在升级期间,错误消息被看到。

解决方案 1:

为了调整此问题,您需要登录传感器的CLI有服务帐户的。如果没有一个服务帐户,您能创建一用这些命令:

configure terminal 
user (username) priv service password (pass)
 exit

一旦登录服务帐户,请发出这些rm /usr/cids/idsRoot/var/ *pmz服务帐户的命令和注销。然后请检查升级完成。

解决方案 2:

因为恢复文件占用在模块的更多空间此错误出现由于在IPS模块的较少空间联机。完成这些步骤为了删除恢复文件和解决此错误:

bash-2.05b# cd /usr/cids/idsRoot/var/updates/

bash-2.05b# ls -l

drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 backups
drwxr-xr-x    2 cids     cids         1024 Oct 19 15:26 download
drwxrwxr-x    2 cids     cids         1024 Oct 19 15:26 logs
-rw-r--r--    1 root     root          183 Sep  6 21:54 package
-rw-r--r--    1 cids     cids     27587840 Jul  9  2009 recovery.gz
drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 scripts

bash-2.05b# rm recovery.gz

无法连接到IPS用IPS事件查看器(IEV)

问题:

显示以下错误消息:

Cannot send xml document to sensor.
java.security.cert.CertificateExpiredException: NotAfter:

解决方案:

如果重新生成tls证书用此命令,此问题可以是解决的:

sensor(config)#tls generate-key

无法访问AIP-SSM

问题:

当您设法访问SSM时,此错误消息显示。

Opening command session with slot 1.
Card in slot 1 did not respond to session request

解决方案:

发出hw-module模块1恢复命令为了解决此问题。参考恢复AIP-SSM关于此命令的更多信息。

错误,当AIP-SSM模块插入ASA

问题:

当您设法插入AIP SSM模块到ASA时,此错误消息显示。

module in slot 1 experienced a channel communication failure

解决方案:

重新加载ASA为了解决问题。如果问题仍然存在,请与进一步帮助的TAC联系。

AIP-SSM在签名更新以后失效

问题:

在签名更新后, AIP-SSM发生故障。当启用的签名数量高时,签名更新造成AIP-SSM用尽内存和变得无答复。

解决方案:

重置签名定义为了解决问题。如果许多签名启用,则请设法重置签名定义。对传感器的SSH和使用这些命令:

configure terminal

service signature-definition sig0

default signatures

exit

exit

延迟问题用IPS传感器

问题:

延时问题发生在IPS传感器。

解决方案:

延时问题发生,当拒绝操作线型并且丢弃数据包为在VS0的每个签名启用。如果启用所有签名,这导致延迟,当IPS检查该通过的每一数据包。启用根据网络流量运输流量要求的仅特定签名为了解决延时问题是好的。


相关信息


Document ID: 97405