Este documento describe cómo resolver problemas del estado sin respuesta del módulo Advanced Inspection and Prevention Security Services (AIP-SSM) en Cisco 5500 series Adaptive Security Appliance (ASA).
No hay requisitos específicos para este documento.
La información en este documento se basa en el AIP-SSM en las Cisco 5500 Series ASA.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.
El AIP-SSM entra un estado insensible, no puede responder al acceso HTTP o ASDM pero es accesible del CLI, como se muestra:
show module Mod Card Type Model Serial No. --- -------------------------------------------- ------------------ ----------- 0 ASA 5510 Adaptive Security Appliance ASA5510 JMX0934K021 1 ASA 5500 Series Security Services Module-10 ASA-SSM-10 JAB093203S3 Mod MAC Address Range Hw Version Fw Version Sw Version --- --------------------------------- ------------ ------------ --------------- 0 0013.c480.a11d to 0013.c480.a121 1.0 1.0(10)0 7.0(2) 1 0013.c480.b204 to 0013.c480.b204 1.0 1.0(10)0 5.0(2)S152.0 Mod Status --- ------------------ 0 Up Sys 1 Unresponsive
Solución:
Publique el comando reset del módulo 1 del hw-módulo en su ASA. Este comando realiza un reinicio de hardware del AIP-SSM. Es aplicable cuando el indicador luminoso LED amarillo de la placa muestra gravedad menor está en ninguno de estos estados:
encima de
abajo
insensible
recupérese
Si usted reinicia el ASA en un estado insensible, sus SSM deben ser re-reflejados. Refiera a instalar la sección de la imagen del sistema AIP-SSM de actualizar, de retroceder, y de instalar las imágenes del sistema para más información y pasos en cómo a la re-imagen el AIP-SSM.
Nota: Refiera a recargar, a cerrar, a reajustar, y a recuperar la sección AIP-SSM de configurar ASA-SSM para más información sobre los diversos comandos disponibles para resolver problemas el AIP-SSM.
Este problema es debido al ID de bug CSCts58648 (clientes registrados de Cisco solamente).
Este mensaje de error se considera en el GUI.
Error connecting to sensor. Error Loading Sensor error
Solución:
Controle la interfaz de administración SSM IPS es arriba/abajo, y controla su gateway configurado de la dirección IP, de la máscara de subred y de valor por defecto. Éste es el interfaz para tener acceso al software del Cisco Adaptive Security Device Manager (ASDM) de la máquina local. Intente hacer ping la dirección IP de la interfaz de administración de los SSM IPS de la máquina local que usted quiere para tener acceso al ASDM. Si es incapaz de hacer ping el control los ACL en el sensor.
No puede comunicar con el mensaje de error principal del app aparece mientras que usted intenta conectar con los SSM AIP el módulo.
Solución:
Recargue el ASA o el módulo SSM AIP para resolver este error.
El error: el mensaje de error fallado conexión del execUpgradeSoftware se considera en el CLI.
Solución:
Controle que la interfaz de administración SSM IPS es arriba/abaja y que es el interfaz a través del cual el ASA-IPS intenta entrar en contacto con para descargar el software. Esto no es una conexión de backplane entre el ASA y el IPS-SSM; es la conexión en el módulo AIP-SSM sí mismo de los Ethernetes, que necesita ser conectado con un puerto del switch y ser configurado con un gateway de la dirección IP, de la máscara de subred y de valor por defecto. Si el HTTP todavía no trabaja, intente utilizar la opción FTP o de SCP con el comando upgrade.
El error: el execUpgradeSoftware la actualización requiere 60340 KB en /usr/cids/idsRoot/var/updates, allí es solamente 57253 KB de disponible. el mensaje de error se considera durante la mejora.
Solución 1:
Para fijar este problema, usted necesita registrar en el CLI del sensor con una Cuenta de servicio. Si usted no tiene una Cuenta de servicio, usted puede crear uno con estos comandos:
configure terminal user (username) priv service password (pass) exit
Una vez que usted registra en la Cuenta de servicio, publique estos comandos del *pmz de /usr/cids/idsRoot/var/ del rm y la fin de comunicación de la Cuenta de servicio. Entonces controle que la mejora completa.
Solución 2:
Este error ocurre debido al menos espacio disponible en el módulo ips puesto que los ficheros de recuperación ocupan más espacio en el módulo. Complete estos pasos para quitar los ficheros de recuperación y resolver este error:
bash-2.05b# cd /usr/cids/idsRoot/var/updates/ bash-2.05b# ls -l drwxr-xr-x 2 cids cids 1024 Jul 1 22:35 backups drwxr-xr-x 2 cids cids 1024 Oct 19 15:26 download drwxrwxr-x 2 cids cids 1024 Oct 19 15:26 logs -rw-r--r-- 1 root root 183 Sep 6 21:54 package -rw-r--r-- 1 cids cids 27587840 Jul 9 2009 recovery.gz drwxr-xr-x 2 cids cids 1024 Jul 1 22:35 scripts bash-2.05b# rm recovery.gz
Este mensaje de error aparece:
Cannot send xml document to sensor. java.security.cert.CertificateExpiredException: NotAfter:
Solución:
Este problema puede ser resuelto si usted regenera el certificado de los tls con este comando:
sensor(config)#tls generate-key
Cuando usted intenta tener acceso a los SSM, se visualiza este mensaje de error.
Opening command session with slot 1. Card in slot 1 did not respond to session request
Solución:
Publique el módulo 1 del hw-módulo recuperan el comando para resolver este problema. Refiera a recuperar AIP-SSM para más información sobre este comando.
Cuando usted intenta insertar el módulo SSM AIP en el ASA, se visualiza este mensaje de error.
module in slot 1 experienced a channel communication failure
Solución:
Recargue el ASA para resolver el problema. Si todavía existe el problema, entre en contacto con TAC para la ayuda adicional.
AIP-SSM falla después de que la firma sea actualizada. La actualización de firma hace el AIP-SSM ejecutarse de la memoria y llegar a ser insensible cuando el número de firmas activadas es alto.
Solución:
Reajuste la definición de la firma para resolver el problema. Si se activan demasiadas firmas, después intente reajustar la definición de la firma. SSH al sensor y utiliza estos comandos:
configure terminal service signature-definition sig0 default signatures exit exit
El problema del tiempo de espera ocurre con el sensor IPS.
Solución:
El problema del tiempo de espera ocurre cuando la acción de la negación en línea y niega el paquete se activa para cada firma en VS0. Si usted activa todas las firmas, esto da lugar al tiempo de espera mientras que el IPS examina cada paquete a través del cual ese pase. Es bueno activar solamente la firma específica requerida según el flujo del tráfico de la red para resolver el problema del tiempo de espera.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
09-Oct-2007 |
Versión inicial |