セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA: AIP-SSM のトラブルシューティング

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2011 年 3 月 29 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Cisco 5500 シリーズ Adaptive Security Appliance(ASA)の Advanced Inspection and Prevention Security Services Module(AIP-SSM)の応答しない状態をトラブルシューティングする方法を説明しています。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、Cisco 5500 シリーズ ASA の AIP-SSM に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

トラブルシューティング

応答しない状態

問題:

AIP-SSM は無理解な状態に入りましたり、HTTP または ASDM アクセスに応答しませんが、です示されているように CLI からアクセス可能、:

show module

Mod Card Type                                    Model              Serial No. 
--- -------------------------------------------- ------------------ -----------
  0 ASA 5510 Adaptive Security Appliance         ASA5510            JMX0934K021
  1 ASA 5500 Series Security Services Module-10  ASA-SSM-10         JAB093203S3

Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
--- --------------------------------- ------------ ------------ ---------------
  0 0013.c480.a11d to 0013.c480.a121  1.0          1.0(10)0     7.0(2)
  1 0013.c480.b204 to 0013.c480.b204  1.0          1.0(10)0     5.0(2)S152.0

Mod Status            
--- ------------------
  0 Up Sys            
  1 Unresponsive

解決策:

ASA で hw-module module 1 reset コマンドを発行します。 このコマンドは AIP-SSM のハードウェア リセットを実行します。 カードが次のいずれかの状態である場合に適用されます。

  • アップ

  • ダウン

  • unresponsive

  • recover

応答しない状態の ASA をリブートすると、SSM のイメージが再作成されます。 AIP-SSM のイメージ再作成手順の詳細については、『システム イメージのアップグレード、ダウンロード、およびインストール』の「AIP-SSM システム イメージのインストール」セクションを参照してください。

注: AIP-SSM のトラブルシューティングに使用できる各種のコマンドの詳細については、『ASA-SSM の設定』の「AIP-SSM のリロード、シャットダウン、リセット、および回復」セクションを参照してください。

この問題は Cisco バグ ID CSCts58648登録ユーザのみ)が原因です。

ASDM を経由して AIP SSM にアクセスできない

問題:

GUI に、次のエラー メッセージが表示されます。

Error connecting to sensor. Error Loading Sensor error

解決策:

IPS SSM 管理インターフェイスの up/down を確認し、設定済みの IP アドレス、サブネット マスク、およびデフォルト ゲートウェイを確認します。 これは、ローカル マシンから、Cisco Adaptive Security Device Manager(ASDM)ソフトウェアにアクセスするインターフェイスです。 ASDM にアクセスするローカル マシンから、IPS SSM の管理インターフェイス IP アドレスに ping を実行してみます。 ping ができない場合は、センサーの ACL を確認します。

問題:

AIP SSM モジュールに接続しようとすると、「cannot communicate with main app」というエラー メッセージが表示されます。

解決策:

このエラーを解決するには、ASA または AIP SSM モジュールをリロードします。

IPS SSM のアップグレードまたはアップデートができない

問題:

[Error: execUpgradeSoftware Connection failed」というエラー メッセージが表示されます。

解決策:

IPS SSM 管理インターフェイスの up/down を確認し、ソフトウェアをダウンロードするために接続しようとする ASA-IPS へのインターフェイスであることを確認します。 これは、ASA と IPS-SSM の間のバックプレーン接続ではありません。 AIP-SSM モジュール自身の Ethernet 接続であり、スイッチ ポートに接続され、IP アドレス、サブネット マスク、およびデフォルト ゲートウェイを設定される必要があります。 http がまだ動作していない場合は、upgrade コマンドで FTP または SCP オプションを使用してみます。

アップグレード エラー: execUpgradeSoftware

問題:

[Error: execUpgradeSoftware The update requires 60340 KB in /usr/cids/idsRoot/var/updates, there are only 57253 KB available.」 というエラー メッセージが表示されます。

解決策 1

この問題を修正するには、サービス アカウントを使用して CLI にログインする必要があります。 サービス アカウントを保有していない場合は、次のコマンドを使用して作成できます。

configure terminal 
user (username) priv service password (pass)
 exit

サービス アカウントでログインした後、rm /usr/cids/idsRoot/var/*pmz コマンドを発行し、サービス アカウントをログアウトします。 アップグレードが完了したことを確認します。

解決策 2:

このエラーは、回復ファイルが IPS モジュールの領域の多くを占め、使用可能な領域が少ないために発生します。 回復ファイルを削除するために、次の手順を実行し、このエラーを解決します。

bash-2.05b# cd /usr/cids/idsRoot/var/updates/

bash-2.05b# ls -l

drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 backups
drwxr-xr-x    2 cids     cids         1024 Oct 19 15:26 download
drwxrwxr-x    2 cids     cids         1024 Oct 19 15:26 logs
-rw-r--r--    1 root     root          183 Sep  6 21:54 package
-rw-r--r--    1 cids     cids     27587840 Jul  9  2009 recovery.gz
drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 scripts

bash-2.05b# rm recovery.gz

IPS Event Viewer(IEV; IPS イベント ビューア)を使用して IPS に接続できない

問題:

次のエラー メッセージが表示されます。

Cannot send xml document to sensor.
java.security.cert.CertificateExpiredException: NotAfter:

解決策:

次のコマンドを使用して tls 証明書を再作成すると、この問題を解決できます。

sensor(config)#tls generate-key

AIP-SSM にアクセスできない

問題:

SSM にアクセスしようとするときに、次のエラー メッセージが表示されます。

Opening command session with slot 1.
Card in slot 1 did not respond to session request

解決策:

この問題を解決するには、hw-module module 1 recover コマンドを発行します。 このコマンドの詳細については、「AIP-SSM の回復」を参照してください。

AIP-SSM モジュールが ASA にプラグインされる場合のエラー

問題:

ASA に AIP SSM モジュールを挿入することを試みるときこのエラーメッセージは表示する。

module in slot 1 experienced a channel communication failure

解決策:

問題を解決するために ASA をリロードして下さい。 それ以上のヘルプに関しては TAC がそれでも存在 する問題によってが接触すれば。

AIP-SSM はシグニチャアップデートの後で失敗します

問題:

AIP-SSM はシグニチャが更新済だった後失敗します。 有効に なる シグニチャの数が高いときシグニチャアップデートにより AIP-SSM はメモリを使い果たし、無理解になります。

解決策:

問題を解決するためにシグニチャ 定義をリセットして下さい。 余りにも多くのシグニチャが有効に なる場合、シグニチャ 定義をリセットすることを試みて下さい。 センサーへの SSH はこれらのコマンドを使用し、:

configure terminal

service signature-definition sig0

default signatures

exit

exit

IPS センサーにおいてのレイテンシー問題

問題:

レイテンシー問題は IPS センサーによって発生します。

解決策:

遅延の問題は、インライン拒否動作と拒否パケットが、VS0 のすべてのシグニチャに対して有効になっている場合に発生します。 すべてのシグニチャを有効に する場合、これはレイテンシーという結果に IPS がその通るひとつひとつのパケットを検査すると同時に終ります。 遅延の問題を解決するには、ネットワーク トラフィック フローに従って、必要な特定のシグニチャのみを有効にすることをお勧めします。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 97405