Безопасность : Система предотвращения вторжений Cisco (IPS)

IPS повторно захватывает образ процесс для модулей в примере конфигурации пары аварийного переключения ASA

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает процесс, требуемый повторно захватывать образ аппаратные средства или модуль Системы предотвращения вторжений (IPS) программного обеспечения в паре аварийного переключения Устройства адаптивной защиты (ASA). Этот процесс может быть применен к Cisco ASA 5500 и 5500-X Series межсетевых экранов. Примеры конфигурации в этом документе для активной/резервной конфигурации аварийного переключения. Подобный процесс может придерживаться в активном / активной конфигурации; однако, необходимо гарантировать, что нет никаких активных контекстов, работающих, прежде чем будет выполнена повторная загрузка.

Внесенный Тоддом Пулой, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Использование интерфейса командной строки (CLI) для обновлений программного обеспечения IPS
  • Использование CLI для конфигурации аварийного переключения ASA

Используемые компоненты

Сведения в этом документе основываются на модуле служб безопасности (SSM), Процессоре сервисов безопасности (SSP) и Модулях ips программного обеспечения на ASA 5500 и серии 5500-X из межсетевых экранов.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

В определенных ситуациях могло бы быть необходимо повторно захватить образ аппаратные средства IPS или модуль ПО в развертываниях пары аварийного переключения ASA. Например, понижение от Выпуска 7.1 (7) до Выпуска 7.0 (8) требует повторно захватывания образ, поскольку нет никакой формальной опции перехода на более ранние версии для операционной системы IPS. Эти шаги используются для сведения к минимуму вероятности выхода сети из строя или ложного аварийного переключения во время повторно захватывания образ.

  1. Завершите повторно захватывать образ процесс на Модуле ips в резервном ASA.
  2. Сделайте резервный ASA активным ASA.
  3. Завершите повторно захватывать образ процесс на новом устройстве ASA в режиме ожидания (прежний активный).
  4. Восстановите новое устройство ASA в режиме ожидания к активному состоянию при желании.

Примечание: В нераспространенная ситуациях, где оба модуля находятся в неисправном состоянии, первый модуль принес онлайновым причинам ASA для вытеснения состояния аварийного переключения. Например, основной ASA имеет активное состояние и имеет дочерний модуль в нерабочем состоянии. IPS в резервном ASA находится также в нерабочем состоянии. IPS тогда перезапущен на резервном ASA. С IPS в неисправном состоянии на основном активном ASA процесс аварийного переключения считает резерв более выбираемым, и вынуждает его стать активным.

Настройка

Первые шаги

  1. Резервное копирование текущая рабочая конфигурация обоих датчиков к внешнему серверу при помощи CLI (например: текущая конфигурация копии ftp://cisco123:cisco123@10.10.10.10/ips1-backup).
  2. Расположите файл образа системы IPS на внешний сервер TFTP (например: IPS-SSM_40-K9-sys-1.1-a-7.0-8-E4.img).

Повторно захватите образ IPS на Текущем Резервном ASA (только серия 5500 ASA)

  1. Соединитесь с CLI резервного ASA через консоль, Telnet или Secure Shell (SSH).
  2. Введите команду show failover, чтобы проверить, что ASA является резервным модулем.
  3. Войдите модуль 1 hw-module восстанавливают команду настройки на ASA и настраивают соответствующие параметры настройки IP/TFTP.
  4. Войдите модуль 1 hw-module восстанавливают команду загрузки на ASA, чтобы передать образ и перезапустить Модуль ips.
  5. Введите команду "show module" 1 подробная команда в ASA для мониторинга статуса восстановления.
  6. После того, как завершенный, введите сеанс 1 команда в ASA для соединения с Модулем ips.
  7. На IPS введите команду настройки и настройте Маску/шлюз/ACL IP/Подсети.
  8. С Модулем ips назад в сети, восстановите предыдущую конфигурацию через CLI (например: скопируйте ftp://cisco123:cisco123@10.10.10.10/ips1-backup текущая конфигурация).
  9. Чтобы проверить, что рабочая конфигурация IPS обновлена, введите команду show config.
  10. Повторно установите лицензию подписи и обновите определения подписи как требуется.
  11. На резервном ASA введите команду failover active для создания резервного модуля активным.

Повторно захватите образ IPS на Новом устройстве ASA в режиме ожидания (только серия 5500 ASA)

  1. Соединитесь с CLI нового устройства ASA в режиме ожидания через консоль, Telnet или SSH.
  2. Введите команду show failover, чтобы проверить, что ASA является новым резервным модулем.
  3. Войдите модуль 1 hw-module восстанавливают команду настройки на ASA и настраивают соответствующие параметры настройки IP/TFTP.
  4. Войдите модуль 1 hw-module восстанавливают команду загрузки на ASA, чтобы передать образ и перезапустить Модуль ips.
  5. Введите команду "show module" 1 подробная команда в ASA для мониторинга статуса восстановления.
  6. После того, как завершенный, введите сеанс 1 команда в ASA для соединения с Модулем ips.
  7. На IPS введите команду настройки и настройте Маску/шлюз/ACL IP/Подсети.
  8. С Модулем ips назад в сети, восстановите предыдущую конфигурацию через CLI (например: скопируйте ftp://cisco123:cisco123@10.10.10.10/ips1-backup текущая конфигурация).
  9. Чтобы проверить, что рабочая конфигурация IPS обновлена, введите команду show config.
  10. Повторно установите лицензию подписи и обновите определения подписи как требуется.
  11. При желании введите команду failover active в новый резервный модуль для восстановления его к активному состоянию.

Повторно захватите образ IPS на Текущем Резервном ASA (ASA, серии 5500-X только)

  1. Соединитесь с CLI резервного ASA через консоль, Telnet или SSH.
  2. Введите команду show failover, чтобы проверить, что ASA является резервным модулем.
  3. Войдите ips коротковолнового module module восстанавливают команду настройки на ASA и настраивают соответствующие параметры настройки IP/TFTP.
  4. Войдите ips коротковолнового module module восстанавливают команду загрузки на ASA, чтобы передать образ и перезапустить Модуль ips.
  5. Войдите ips команды "show module" детализирует команду на ASA для мониторинга статуса восстановления.
  6. После того, как завершенный, введите команду ips сеанса  в ASA для соединения с Модулем ips.
  7. На IPS введите команду настройки и настройте Маску/шлюз/ACL IP/Подсети.
  8. С Модулем ips назад в сети, восстановите предыдущий config через CLI (например: скопируйте ftp://cisco123:cisco123@10.10.10.10/ips1-backup текущая конфигурация).
  9. Чтобы проверить, что рабочая конфигурация IPS обновлена, введите команду show config.
  10. Повторно установите лицензию подписи и обновите определения подписи как требуется.
  11. На резервном ASA введите команду failover active для создания резервного модуля активным.

Повторно захватите образ IPS на Новом устройстве ASA в режиме ожидания (ASA, серии 5500-X только)

  1. Соединитесь с CLI нового устройства ASA в режиме ожидания через консоль, Telnet или SSH.
  2. Введите команду show failover, чтобы проверить, что ASA является новым резервным модулем.
  3. Войдите ips коротковолнового module module восстанавливают команду настройки на ASA и настраивают соответствующие параметры настройки IP/TFTP.
  4. Войдите ips коротковолнового module module восстанавливают команду загрузки на ASA, чтобы передать образ и перезапустить Модуль ips.
  5. Войдите ips команды "show module" детализирует команду на ASA для мониторинга статуса восстановления.
  6. После того, как завершенный, введите команду ips сеанса  в ASA для соединения с Модулем ips.
  7. На IPS введите команду настройки и настройте Маску/шлюз/ACL IP/Подсети.
  8. С Модулем ips назад в сети, восстановите предыдущую конфигурацию через CLI (например: скопируйте ftp://cisco123:cisco123@10.10.10.10/ips1-backup текущая конфигурация).
  9. Чтобы проверить, что рабочая конфигурация IPS обновлена, введите команду show config.
  10. Повторно установите лицензию подписи и обновите определения подписи как требуется.
  11. При желании введите команду failover active в новый резервный модуль для восстановления его к активному состоянию.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

Проверка

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство интерпретации выходных данных (только зарегистрированные клиенты) поддерживает некоторые команды show. Используйте Средство интерпретации выходных данных для просмотра анализа выходных данных команды show.

  • show failover - Когда введено ASA, команда show failover отображает текущий статус аварийного переключения, интерфейсное состояние и версии операционной системы.
  • покажите историю аварийного переключения - команда history аварийного переключения показа отображает список событий аварийного переключения с меткой времени на ASA.
  • команда "show module" 1 подробные данные - команда "show module", 1 подробная команда используется на серии 5500 ASA для отображения операционной системы, настроек сети и состояния контроля/канала данных Модуля ips.
  • подробные данные ips команды "show module" - ips команды "show module" detials команда используется на ASA, серии 5500-X для отображения операционной системы, настроек сети и состояния контроля/канала данных Модуля ips.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

  • загрузка модуля отладки [уровень] - Отображает сообщения отладки, отнесенные к процессу загрузки Модуля ips.
  • никакая загрузка модуля отладки [уровень] - Не Отключает отладку.

Средство интерпретации выходных данных (только зарегистрированные клиенты) поддерживает некоторые команды show. Используйте Средство интерпретации выходных данных для просмотра анализа выходных данных команды show.

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.

Дополнительные сведения



Document ID: 116155