Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

ASA: Troubleshooting AIP-SSM

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (23 Julio 2008) | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento describe cómo resolver problemas del estado sin respuesta del módulo Advanced Inspection and Prevention Security Services (AIP-SSM) en Cisco 5500 series Adaptive Security Appliance (ASA).

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en el AIP-SSM en las Cisco 5500 Series ASA.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Resolución de problemas

Estado insensible

Problema:

El AIP-SSM entra un estado insensible, no puede responder al acceso HTTP o del ASDM pero es accesible del CLI, como se muestra:

show module

Mod Card Type                                    Model              Serial No. 
--- -------------------------------------------- ------------------ -----------
  0 ASA 5510 Adaptive Security Appliance         ASA5510            JMX0934K021
  1 ASA 5500 Series Security Services Module-10  ASA-SSM-10         JAB093203S3

Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
--- --------------------------------- ------------ ------------ ---------------
  0 0013.c480.a11d to 0013.c480.a121  1.0          1.0(10)0     7.0(2)
  1 0013.c480.b204 to 0013.c480.b204  1.0          1.0(10)0     5.0(2)S152.0

Mod Status            
--- ------------------
  0 Up Sys            
  1 Unresponsive

Solución:

Publique el comando reset del módulo 1 del módulo del hw en su ASA. Este comando realiza un reinicio de hardware del AIP-SSM. Es aplicable cuando el indicador luminoso LED amarillo de la placa muestra gravedad menor está en ninguno de estos estados:

  • en funcionamiento

  • abajo

  • insensible

  • recupérese

Si usted reinicia el ASA en un estado insensible, su SS debe ser rehecho la imagen. Refiera a instalar la sección de la imagen del sistema AIP-SSM de actualizar, de retroceder, y de instalar las imágenes del sistema para más información y pasos en cómo rehacer la imagen el AIP-SSM.

Nota: Refiera a recargar, a apagar, a reajustar, y a recuperar la sección AIP-SSM de configurar ASA-SSM para más información sobre los diversos comandos disponibles para resolver problemas el AIP-SSM.

Este problema es debido al Id. de bug Cisco CSCts58648 (clientes registrados solamente).

Incapaz de acceder el AIP SS con el ASDM

Problema:

Este mensaje de error se considera en el GUI.

Error connecting to sensor. Error Loading Sensor error

Solución:

Marque la interfaz de administración IPS SS es arriba/abajo, y marca su IP Address configurado, máscara de subred y default gateway. Ésta es la interfaz para acceder el software del Cisco Adaptive Security Device Manager (ASDM) de la máquina local. Intente hacer ping la dirección IP de la interfaz de administración de IPS SS de la máquina local que usted quiere acceder el ASDM. Si es incapaz de hacer ping el control los ACL en el sensor.

Problema:

No puede comunicar con el mensaje de error principal del app aparece mientras que usted intenta conectar con el módulo AIP SS.

Solución:

Recargue el ASA o el módulo AIP SS para resolver este error.

Actualizar incapaz/actualización el IPS SS

Problema:

El error: el mensaje de error fallado conexión del execUpgradeSoftware se considera en el CLI.

Solución:

Marque que la interfaz de administración IPS SS es arriba/abaja y que es la interfaz a través de la cual el ASA-IPS intenta entrar en contacto para descargar el software. Esto no es una conexión de backplane entre el ASA y el IPS-SSM; es la conexión de Ethernet en el módulo AIP-SSM sí mismo, que necesita ser conectado con un puerto del switch y ser configurado con una dirección IP, una máscara de subred y un default gateway. Si el HTTP todavía no trabaja, intente utilizar la opción FTP o de SCP con el comando upgrade.

Error de la actualización: execUpgradeSoftware

Problema:

El error: el execUpgradeSoftware la actualización requiere 60340 KB en /usr/cids/idsRoot/var/updates, allí es solamente 57253 KB de disponible. el mensaje de error se considera durante la actualización.

Solución 1:

Para reparar este problema, usted necesita registrar en el CLI del sensor con una Cuenta de servicio. Si usted no tiene una Cuenta de servicio, usted puede crear uno con estos comandos:

configure terminal 
user (username) priv service password (pass)
 exit

Una vez que usted registra en la Cuenta de servicio, publique estos comandos del *pmz de /usr/cids/idsRoot/var/ del rm y el logout de la Cuenta de servicio. Entonces marque que la actualización completa.

Solución 2:

Este error ocurre debido al menos espacio disponible en el módulo ips puesto que los archivos de recuperación ocupan más espacio en el módulo. Complete estos pasos para quitar los archivos de recuperación y resolver este error:

bash-2.05b# cd /usr/cids/idsRoot/var/updates/

bash-2.05b# ls -l

drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 backups
drwxr-xr-x    2 cids     cids         1024 Oct 19 15:26 download
drwxrwxr-x    2 cids     cids         1024 Oct 19 15:26 logs
-rw-r--r--    1 root     root          183 Sep  6 21:54 package
-rw-r--r--    1 cids     cids     27587840 Jul  9  2009 recovery.gz
drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 scripts

bash-2.05b# rm recovery.gz

Incapaz de conectar con el IPS con el visor de eventos IPS (IEV)

Problema:

Este mensaje de error aparece:

Cannot send xml document to sensor.
java.security.cert.CertificateExpiredException: NotAfter:

Solución:

Este problema puede ser resuelto si usted regenera el certificado de los tls con este comando:

sensor(config)#tls generate-key

Incapaz de acceder AIP-SSM

Problema:

Cuando usted intenta acceder el SS, se visualiza este mensaje de error.

Opening command session with slot 1.
Card in slot 1 did not respond to session request

Solución:

Publique el módulo 1 del módulo del hw recuperan el comando para resolver este problema. Refiera a recuperar AIP-SSM para más información sobre este comando.

Error cuando el módulo AIP-SSM está conectado en el ASA

Problema:

Cuando usted intenta insertar el módulo AIP SS en el ASA, se visualiza este mensaje de error.

module in slot 1 experienced a channel communication failure

Solución:

Recargue el ASA para resolver el problema. Si todavía existe el problema, entre en contacto TAC para la ayuda adicional.

AIP-SSM falla después de la actualización de firma

Problema:

AIP-SSM falla después de que la firma sea actualizada. La actualización de firma hace el AIP-SSM ejecutarse de la memoria y llegar a ser insensible cuando el número de firmas habilitadas es alto.

Solución:

Reajuste la definición de la firma para resolver el problema. Si se habilitan demasiadas firmas, después intente reajustar la definición de la firma. SSH al sensor y utiliza estos comandos:

configure terminal

service signature-definition sig0

default signatures

exit

exit

Problemas del tiempo de espera con el sensor IPS

Problema:

El problema del tiempo de espera ocurre con el sensor IPS.

Solución:

El problema del tiempo de espera ocurre cuando la acción de la negación en línea y niega el paquete se habilita para cada firma en VS0. Si usted habilita todas las firmas, esto da lugar al tiempo de espera mientras que el IPS examina cada paquete a través del cual ese pase. Es bueno habilitar solamente la firma específica requerida según el flujo del tráfico de la red para resolver el problema del tiempo de espera.


Información Relacionada


Document ID: 97405