Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

ASA 5500-X: Borre una conexión de consola a un módulo instalado IPS/CX

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe un problema común que los usuarios que manejan Cisco los dispositivos de seguridad adaptantes (ASA) pudieron encontrar. Los dispositivos de las 5500-X Series de Cisco ASA proporcionan los servicios del Firewall de la última generación con la capacidad opcional de instalar un módulo basado en software del Sistema de prevención de intrusiones (IPS) o un módulo de Cisco ASA CX (contexto enterado). 

Contribuido por Prapanch Ramamoorthy, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Comando line interface(cli) de Cisco ASA.
  • Módulos IPS o CX para los dispositivos de las 5500-X Series ASA

Componentes Utilizados

La información en este documento se basa en los dispositivos del Firewall de la última generación de las 5500-X Series de Cisco ASA.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Problema

Cuando usted intenta establecer una conexión de consola al software IPS o al módulo CX instalado, usted puede ser que encuentre un mensaje de error que sugiere que registren alguien ya en la consola. Por ejemplo:

ciscoasa# session cxsc console
ERROR: An existing console session is in progress with module cxsc.
Only one is allowed at any point in time.

La salida de comando anterior indica que existe una conexión de consola al módulo CX ya. El comando equivalente para el módulo ips es la consola IPS de la sesión, que muestra esta salida cuando está utilizado:

ciscoasa# session ips console
ERROR: An existing console session is in progress with module ips.
Only one is allowed at any point in time.

Solución

La única forma de borrar una conexión de consola al módulo del software IPS/CX en un dispositivo de las 5500-X Series ASA está borrar la conexión CLI al ASA donde está activa la sesión de consola. Esta sección proporciona un escenario simulado, similar al que está descrito previamente, que los demonsrates el procedimiento utilizaron para borrar tal conexión.

Considere un ASA 5525-X con la última generación que los servicios del Firewall (también conocidos como CX) habilitaron.

ciscoasa# show module cxsc

Mod  Card Type                                    Model              Serial No.
---- -------------------------------------------- ------------------ -----------
cxsc ASA CX5525 Security Appliance                ASA CX5525         FCH1719J569

Mod  MAC Address Range                 Hw Version   Fw Version   Sw Version
---- --------------------------------- ------------ ------------ ---------------
cxsc 6c41.6aa1.31d4 to 6c41.6aa1.31d4  N/A          N/A          9.1.1

Mod  SSM Application Name           Status           SSM Application Version
---- ------------------------------ ---------------- --------------------------
cxsc ASA CX                         Up               9.1.1

Mod  Status             Data Plane Status     Compatibility
---- ------------------ --------------------- -------------
cxsc Up                 Up

Hay una sesión del Secure Shell (SSH) establecida con el ASA además de una conexión de consola.

ciscoasa# show asp table socket

Protocol  Socket     State     Local Address        Foreign Address
SSL       000069e8   LISTEN    10.106.44.101:443    0.0.0.0:*
TCP       00009628   LISTEN    10.106.44.101:22     0.0.0.0:*
TCP       0000da58   ESTAB     10.106.44.101:22     64.103.226.139:52565

La conexión en negrita mostrada en la salida es la sesión SSH donde está activa la conexión de consola al módulo CX. Tentativas de acceder la consola de otro fall de la conexión CLI (tal como una conexión de consola al ASA) con el error mencionado previamente. La salida del comando all del show conn se utiliza para descubrir la conexión SSH al ASA, que se borra con el uso del comando all claro conec.

ciscoasa# show conn all | in 52565
1 in use, 4 most used
TCP mgmt 64.103.226.139:52565 NP Identity Ifc 10.106.44.101:22,
 idle 0:04:16, bytes 10284, flags UOB

ciscoasa#
ciscoasa#
ciscoasa# clear conn all port 52565
1 connection(s) deleted.

ciscoasa# show conn all | i 52565
0 in use, 4 most used
ciscoasa# show asp table socket

Protocol  Socket    State      Local Address        Foreign Address
SSL       000069e8  LISTEN     10.106.44.101:443    0.0.0.0:*
TCP       00009628  LISTEN     10.106.44.101:22     0.0.0.0:*

ciscoasa#
ciscoasa# session cxsc console
Opening console session with module cxsc.
Connected to module cxsc. Escape character sequence is 'CTRL-^X'.

asacx>

Id. de bug Cisco CSCuh65249 (ASA 5500-X: Necesite una manera de vaciar la conexión de consola al módulo IPS/CX) fue clasifiado para introducir una manera más agraciada de borrar tal conexión de consola.

El Id. de bug Cisco CSCud27214 (no puede salir de la consola IPS de la sesión cuando está conectado con el servidor terminal) fue clasifiado para resolver la incapacidad para salir de una consola cuando estaba asociado vía un servidor terminal con una secuencia de escape de Ctrl^x.

Solución alternativa

Alternativamente, si no es posible matar a la conexión de consola que existe con el uso del método mencionado previamente, utilice la sesión IPS o la sesión CX ordenan para acceder los módulos IPS o CX, respectivamente. Esto no es una conexión de consola. Por lo tanto, es posible tener las sesiones múltiples establecidas simultáneamente al módulo de software.

Información Relacionada



Document ID: 116404