安全 : Cisco ASA 5500 系列自适应安全设备

ASA 5500-X :清除对一个已安装IPS/CX模块的一个控制台连接

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

简介

本文描述用户管理思科可适应安全工具的常见问题(ASA)也许遇到。Cisco ASA 5500-X系列设备提供下一代防火墙服务以可选能力安装一个基于软件的入侵防御系统(IPS)模块或Cisco ASA CX (意识的上下文)模块。 

贡献用Prapanch Ramamoorthy, Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题:

  • Cisco ASA命令行界面(CLI)。
  • ASA 5500-X系列设备的IPS或CX模块

使用的组件

本文档中的信息根据Cisco ASA 5500-X系列下一代防火墙设备。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

问题

当您设法建立对安装时的软件IPS或CX模块的一个控制台连接,您也许遇到建议的错误消息某人已经登录控制台。例如:

ciscoasa# session cxsc console
ERROR: An existing console session is in progress with module cxsc.
Only one is allowed at any point in time.

前面的命令输出表明对CX模块的一个控制台连接已经存在。IPS模块的等效命令是会话ips控制台,显示此输出,当使用:

ciscoasa# session ips console
ERROR: An existing console session is in progress with module ips.
Only one is allowed at any point in time.

解决方案

清除对软件IPS/CX模块的一个控制台连接的唯一方法在ASA 5500-X系列设备是清除对控制台会话是活跃的ASA的CLI连接。此部分提供一个被模拟的方案,类似于以前描述的那个, demonsrates步骤使用为了清除这样连接。

考虑与下一代防火墙服务(亦称CX)的ASA 5525-X启用。

ciscoasa# show module cxsc

Mod  Card Type                                    Model              Serial No.
---- -------------------------------------------- ------------------ -----------
cxsc ASA CX5525 Security Appliance                ASA CX5525         FCH1719J569

Mod  MAC Address Range                 Hw Version   Fw Version   Sw Version
---- --------------------------------- ------------ ------------ ---------------
cxsc 6c41.6aa1.31d4 to 6c41.6aa1.31d4  N/A          N/A          9.1.1

Mod  SSM Application Name           Status           SSM Application Version
---- ------------------------------ ---------------- --------------------------
cxsc ASA CX                         Up               9.1.1

Mod  Status             Data Plane Status     Compatibility
---- ------------------ --------------------- -------------
cxsc Up                 Up

有安全壳SSH会话建立与ASA除控制台连接之外。

ciscoasa# show asp table socket

Protocol  Socket     State     Local Address        Foreign Address
SSL       000069e8   LISTEN    10.106.44.101:443    0.0.0.0:*
TCP       00009628   LISTEN    10.106.44.101:22     0.0.0.0:*
TCP       0000da58   ESTAB     10.106.44.101:22     64.103.226.139:52565

在输出中表示的粗体的连接是对CX模块的控制台连接是活跃的SSH会话。尝试访问从另一CLI连接(例如一个控制台连接对ASA)失效的控制台与以前被提及的错误。all命令的show conn的输出用于为了发现对ASA的SSH连接,清除与all命令使用的clear conn

ciscoasa# show conn all | in 52565
1 in use, 4 most used
TCP mgmt 64.103.226.139:52565 NP Identity Ifc 10.106.44.101:22,
 idle 0:04:16, bytes 10284, flags UOB

ciscoasa#
ciscoasa#
ciscoasa# clear conn all port 52565
1 connection(s) deleted.

ciscoasa# show conn all | i 52565
0 in use, 4 most used
ciscoasa# show asp table socket

Protocol  Socket    State      Local Address        Foreign Address
SSL       000069e8  LISTEN     10.106.44.101:443    0.0.0.0:*
TCP       00009628  LISTEN     10.106.44.101:22     0.0.0.0:*

ciscoasa#
ciscoasa# session cxsc console
Opening console session with module cxsc.
Connected to module cxsc. Escape character sequence is 'CTRL-^X'.

asacx>

Cisco Bug ID CSCuh65249 (ASA 5500-X :需要方式清除对IPS/CX模块的控制台连接)被归档为了引入一个更加优美的方式清除这样控制台连接。

(不能从会话ips控制台退出,当连接对终端服务器)归档Cisco Bug ID CSCud27214为了决心无法从控制台退出,当附加通过有Ctrl^x转义序列的一个终端服务器。

备选解决方案

或者,如果杀害存在与以前被提及的使用方法的控制台连接是不可能的,请使用cx发出命令为了访问IPS或CX模块的会话ips会话,分别。这不是控制台连接。所以,是可能的有多个会话同时建立对软件模块。

相关信息



Document ID: 116404