Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

ASA: Troubleshoot AIP-SSM

23 Julio 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (9 Octubre 2007) | Comentarios

Introducción

Este documento describe cómo resolver problemas relacionados con el estado sin respuesta del módulo Advanced Inspection and Prevention Security Services (AIP-SSSM) de Cisco 5500 series Adaptive Security Appliance (ASA).

Requisitos Previos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información de este documento se basa en el AIP-SSM de ASA del Cisco 5500 Series ASA.

La información que contiene este documento se creó a partir de los dispositivos en un entorno específico de laboratorio. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración vacía (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte la sección Cisco Technical Tips Conventions para obtener más información sobre las convenciones del documento.

Troubleshooting

Estado sin Respuesta

Problema:

El AIP-SSM deja de responder (estado sin respuesta), tal como se muestra:

show module

Mod Card Type                                    Model              Serial No.
--- -------------------------------------------- ------------------ -----------
  0 ASA 5510 Adaptive Security Appliance         ASA5510            JMX0934K021
  1 ASA 5500 Series Security Services Module-10  ASA-SSM-10         JAB093203S3

Mod MAC Address Range                 Hw Version   Fw Version   Sw Version
--- --------------------------------- ------------ ------------ ---------------
  0 0013.c480.a11d to 0013.c480.a121  1.0          1.0(10)0     7.0(2)
  1 0013.c480.b204 to 0013.c480.b204  1.0          1.0(10)0     5.0(2)S152.0

Mod Status
--- ------------------
  0 Up Sys
  1 Unresponsive

Solución:

Ejecute el comando hw-module module 1 reset en el ASA. Este comando realiza un reinicio de hardware del AIP-SSM. Se aplica cuando la tarjeta se encuentra en cualquiera de estos estados:

  • en funcionamiento (up)

  • inactivo (down)

  • sin respuesta (unresponsive)

  • recuperación (recover)

Si reinicia el ASA en estado unresponsive, es necesario volver a cargar la imagen del SSM. Consulte la sección Instalación de la Imagen del Sistema AIP-SSM en Actualización (Upgrading), Retorno a una Versión Anterior (Downgrading) e Instalación de Imágenes del Sistema para los pasos de cómo reinstalar la imagen del AIP-SSM.

Nota: Consulte la sección Recarga (Reloading), Apagado (Shutting Down), Reinicio (Resetting) y Recuperación (Recovering) del AIP-SSM en Configuración de ASA-SSM para obtener más información sobre los distintos comandos disponibles para la resolución de problemas del AIP-SSM.

No se puede acceder a IPS SSM a través de ASDM

Problema:

El mensaje de error al conectarse al sensor. Error Loading Sensor aparece en la interfaz gráfica de usuario (GUI).

Solución:

Verifique que la interfaz de administración del IPS SSM se encuentre up/down y compruebe la configuración de la dirección IP, la máscara de subred y el gateway predeterminado. Esta es la interfaz para acceder al software Cisco Adaptive Security Device Manager (ASDM) desde la máquina local. Intente hacer ping a la dirección IP de la interfaz de administración del IPS SSM en la máquina local desde la que desea acceder al ASDM.

No se puede actualizar el IPS SSM

Problema:

El mensaje de error Error: execUpgradeSoftware : Connection failed aparece en la CLI.

Solución:

Verifique que la interfaz de administración del IPS SSM se encuentre up/down y que ésta sea la interfaz a través de la cual el ASA-IPS intenta contactarse para descargar el software. Esta no es una conexión backplane entre el ASA y el IPS-SSM; es la conexión Ethernet en el propio módulo AIP-SSM, que debe conectarse a un puerto de un switch y configurarse con una dirección IP, máscara de subred y gateway predeterminado. Si http sigue sin funcionar, intente utilizar la opción FTP o SCP con el comando upgrade.

No se puede conectar al IPS con el visor de eventos IPS (IEV)

Problema:

Aparece este mensaje de error:

Cannot send xml document to sensor.
java.security.cert.CertificateExpiredException: NotAfter:

Solución:

Este problema se puede resolver si vuelve a generar el certificado tls con este comando:

sensor(config)#tls generate-key

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 97405