セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA:AIP-SSM のトラブルシューティング

2011 年 3 月 29 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2007 年 10 月 9 日) | フィードバック


概要

このドキュメントでは、Cisco 5500 シリーズ Adaptive Security Appliance(ASA)の Advanced Inspection and Prevention Security Services Module(AIP-SSM)の応答しない状態をトラブルシューティングする方法を説明しています。



前提条件

要件

このドキュメントに関する特別な要件はありません。



使用するコンポーネント

このドキュメントの情報は、Cisco 5500 シリーズ ASA の AIP-SSM に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



トラブルシューティング

応答しない状態

問題:

次に示すように、AIP-SSM は応答しない状態になります。

show module

Mod Card Type                                    Model              Serial No. 
--- -------------------------------------------- ------------------ -----------
  0 ASA 5510 Adaptive Security Appliance         ASA5510            JMX0934K021
  1 ASA 5500 Series Security Services Module-10  ASA-SSM-10         JAB093203S3

Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
--- --------------------------------- ------------ ------------ ---------------
  0 0013.c480.a11d to 0013.c480.a121  1.0          1.0(10)0     7.0(2)
  1 0013.c480.b204 to 0013.c480.b204  1.0          1.0(10)0     5.0(2)S152.0

Mod Status            
--- ------------------
  0 Up Sys            
  1 Unresponsive

解決策:

ASA で hw-module module 1 reset コマンドを発行します。このコマンドは AIP-SSM のハードウェア リセットを実行します。カードが次のいずれかの状態である場合に適用されます。

  • up

  • down

  • unresponsive

  • recover

応答しない状態の ASA をリブートすると、SSM のイメージが再作成されます。AIP-SSM のイメージ再作成手順の詳細については、『システム イメージのアップグレード、ダウンロード、およびインストール』の「AIP-SSM システム イメージのインストール」セクションを参照してください。

注:AIP-SSM のトラブルシューティングに使用できる各種のコマンドの詳細については、『ASA-SSM の設定』の「AIP-SSM のリロード、シャットダウン、リセット、および回復」セクションを参照してください。



ASDM を経由して AIP SSM にアクセスできない

問題:

GUI に、次のエラー メッセージが表示されます。

Error connecting to sensor. Error Loading Sensor error

解決策:

IPS SSM 管理インターフェイスの up/down を確認し、設定済みの IP アドレス、サブネット マスク、およびデフォルト ゲートウェイを確認します。これは、ローカル マシンから、Cisco Adaptive Security Device Manager(ASDM)ソフトウェアにアクセスするインターフェイスです。ASDM にアクセスするローカル マシンから、IPS SSM の管理インターフェイス IP アドレスに ping を実行してみます。ping ができない場合は、センサーの ACL を確認します。

問題:

AIP SSM モジュールに接続しようとすると、「cannot communicate with main app」というエラー メッセージが表示されます。

解決策:

このエラーを解決するには、ASA または AIP SSM モジュールをリロードします。



IPS SSM のアップグレードまたはアップデートができない

問題:

CLI に「Error:execUpgradeSoftware Connection failed」というエラー メッセージが表示されます。

解決策:

IPS SSM 管理インターフェイスの up/down を確認し、ソフトウェアをダウンロードするために接続しようとする ASA-IPS へのインターフェイスであることを確認します。これは、ASA と IPS-SSM の間のバックプレーン接続ではありません。AIP-SSM モジュール自身の Ethernet 接続であり、スイッチ ポートに接続され、IP アドレス、サブネット マスク、およびデフォルト ゲートウェイを設定される必要があります。http がまだ動作していない場合は、upgrade コマンドで FTP または SCP オプションを使用してみます。



アップグレード エラー:execUpgradeSoftware

問題:

アップグレード中に、「Error:execUpgradeSoftware The update requires 60340 KB in /usr/cids/idsRoot/var/updates, there are only 57253 KB available.」というエラー メッセージが表示されます。

解決策 1:

この問題を修正するには、サービス アカウントを使用して CLI にログインする必要があります。サービス アカウントを保有していない場合は、次のコマンドを使用して作成できます。

configure terminal 
user (username) priv service password (pass)
 exit

サービス アカウントでログインした後、rm /usr/cids/idsRoot/var/*pmz コマンドを発行し、サービス アカウントをログアウトします。アップグレードが完了したことを確認します。

解決策 2:

このエラーは、回復ファイルが IPS モジュールの領域の多くを占め、使用可能な領域が少ないために発生します。回復ファイルを削除するために、次の手順を実行し、このエラーを解決します。

bash-2.05b# cd /usr/cids/idsRoot/var/updates/

bash-2.05b# ls -l

drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 backups
drwxr-xr-x    2 cids     cids         1024 Oct 19 15:26 download
drwxrwxr-x    2 cids     cids         1024 Oct 19 15:26 logs
-rw-r--r--    1 root     root          183 Sep  6 21:54 package
-rw-r--r--    1 cids     cids     27587840 Jul  9  2009 recovery.gz
drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 scripts

bash-2.05b# rm recovery.gz


IPS Event Viewer(IEV; IPS イベント ビューア)を使用して IPS に接続できない

問題:

次のエラー メッセージが表示されます。

Cannot send xml document to sensor.
java.security.cert.CertificateExpiredException: NotAfter:

解決策:

次のコマンドを使用して tls 証明書を再作成すると、この問題を解決できます。

sensor(config)#tls generate-key


AIP-SSM にアクセスできない

問題:

SSM にアクセスしようとするときに、次のエラー メッセージが表示されます。

Opening command session with slot 1.
Card in slot 1 did not respond to session request

解決策:

この問題を解決するには、hw-module module 1 recover コマンドを発行します。このコマンドの詳細については、「AIP-SSM の回復」を参照してください。




関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 97405