Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

5500-X ASA: очистите консольное соединение к установленному модулю IPS/CX

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает типичную проблему, с которой могли бы встретиться пользователи, которые управляют устройствами адаптивной защиты Cisco (ASA). Устройства Cisco ASA 5500-X Series предоставляют сервисы межсетевого экрана следующего поколения дополнительной возможностью установить программный модуль Системы предотвращения вторжений (IPS) или CX Cisco ASA модуль (С учетом контекста). 

Внесенный Prapanch Ramamoorthy, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Интерфейс командной строки (CLI) Cisco ASA.
  • IPS или модули CX для ASA устройства серии 5500-X

Используемые компоненты

Сведения в этом документе основываются на Cisco ASA 5500-X Series межсетевые экраны следующего поколения.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Проблема

Когда вы пытаетесь установить консольное соединение к IPS программного обеспечения или установленному модулю CX, вы могли бы встретиться с сообщением об ошибках, которое предполагает, что кто-то уже зарегистрирован в консоль. Например: :

ciscoasa# session cxsc console
ERROR: An existing console session is in progress with module cxsc.
Only one is allowed at any point in time.

Предыдущие выходные данные command указывают, что уже существует консольное соединение к модулю CX. Аналогичная команда для Модуля ips является консолью ips сеанса, которая показывает эти выходные данные, когда используется:

ciscoasa# session ips console
ERROR: An existing console session is in progress with module ips.
Only one is allowed at any point in time.

Решение

Единственный способ очистить консольное соединение к модулю IPS/CX программного обеспечения на ASA, устройство серии 5500-X должно очистить соединение CLI с ASA, где сеанс консоли активен. Этот раздел предоставляет моделируемый сценарий, подобный тому, ранее описанному, что demonsrates, который процедура использовала для очистки такого соединения.

Полагайте, что ASA, 5525-X с сервисами межсетевого экрана следующего поколения (также известный как CX), включил.

ciscoasa# show module cxsc

Mod Card Type                                   Model             Serial No.
---- -------------------------------------------- ------------------ -----------
cxsc ASA CX5525 Security Appliance               ASA CX5525        FCH1719J569

Mod MAC Address Range                Hw Version  Fw Version  Sw Version
---- --------------------------------- ------------ ------------ ---------------
cxsc 6c41.6aa1.31d4 to 6c41.6aa1.31d4 N/A         N/A         9.1.1

Mod SSM Application Name          Status          SSM Application Version
---- ------------------------------ ---------------- --------------------------
cxsc ASA CX                        Up              9.1.1

Mod Status            Data Plane Status    Compatibility
---- ------------------ --------------------- -------------
cxsc Up                Up

Существует сеанс Secure Shell (SSH), установленный с ASA в дополнение к консольному соединению.

ciscoasa# show asp table socket

Protocol  Socket     State     Local Address        Foreign Address
SSL       000069e8   LISTEN    10.106.44.101:443    0.0.0.0:*
TCP       00009628   LISTEN    10.106.44.101:22     0.0.0.0:*
TCP       0000da58   ESTAB     10.106.44.101:22     64.103.226.139:52565

 Полужирное  соединение, показанное в выходных данных, является сеансом SSH, где консольное соединение к модулю CX активно. Пытается обратиться к консоли от другого соединения CLI (такого как консольное соединение к ASA) сбой с ошибкой, ранее упомянутой. Выходные данные show conn, вся команда используется для обнаружения SSH - подключения к ASA, который очищен с использованием clear conn вся команда.

ciscoasa# show conn all | in 52565
1 in use, 4 most used
TCP mgmt 64.103.226.139:52565 NP Identity Ifc 10.106.44.101:22,
 idle 0:04:16, bytes 10284, flags UOB

ciscoasa#
ciscoasa#
ciscoasa# clear conn all port 52565
1 connection(s) deleted.

ciscoasa# show conn all | i 52565
0 in use, 4 most used
ciscoasa# show asp table socket

Protocol  Socket    State      Local Address        Foreign Address
SSL       000069e8  LISTEN     10.106.44.101:443    0.0.0.0:*
TCP       00009628  LISTEN     10.106.44.101:22     0.0.0.0:*

ciscoasa#
ciscoasa# session cxsc console
Opening console session with module cxsc.
Connected to module cxsc. Escape character sequence is 'CTRL-^X'.

asacx>

Идентификатор ошибки Cisco CSCuh65249 (5500-X ASA: Требую способа убрать консольное соединение к модулю IPS/CX), был подан для представления более постепенного способа очистить такое консольное соединение.

 CSCud27214 идентификатора ошибки Cisco  (Не может выйти от консоли ips сеанса, когда связано с сервером терминала) был подан для решения неспособности выйти от консоли, когда подключено через сервер терминала с escape-последовательностью Ctrl^x.

Альтернативное решение

Также, если не возможно уничтожить консольное соединение, которое существует с использованием метода, ранее упомянутого, используйте ips сеанса или откройте сеанс команду cx для доступа к IPS или модулям CX, соответственно. Это не консольное соединение. Поэтому возможно установить несколька сеансов одновременно к модулю ПО.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 116404