Avez-vous un compte?
Ce document décrit un problème courant que les utilisateurs qui gèrent les appliances de sécurité adaptable Cisco (ASA) pourraient rencontrer. Les appliances de gamme 5500-X de Cisco ASA procurent aux services de la deuxième génération de Pare-feu facultatif d'installer un module articulé autour d'un logiciel de Système de prévention d'intrusion (IPS) ou un module de Cisco ASA CX (contexte averti).
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations dans ce document sont basées sur les appliances de la deuxième génération de Pare-feu de gamme 5500-X de Cisco ASA.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.
Quand vous essayez d'établir une connexion de console au logiciel IPS ou au module de la CX installé, vous pourriez rencontrer un message d'erreur qui suggère que quelqu'un soit déjà connecté dans la console. Exemple :
ciscoasa# session cxsc console
ERROR: An existing console session is in progress with module cxsc.
Only one is allowed at any point in time.
La sortie de commande précédente indique qu'une connexion de console au module de la CX existe déjà. La commande équivalente pour le module IPS est la console IPS de session, qui affiche cette sortie une fois utilisé :
ciscoasa# session ips console
ERROR: An existing console session is in progress with module ips.
Only one is allowed at any point in time.
La seule manière d'effacer une connexion de console au module du logiciel IPS/CX sur une appliance de gamme 5500-X ASA est de dégagé la connexion CLI à l'ASA où la session de console est en activité. Cette section fournit un scénario simulé, semblable à celui précédemment décrit, que les demonsrates la procédure ont utilisé afin d'effacer une telle connexion.
Considérez une ASA 5525-X avec les services de la deuxième génération de Pare-feu (également connus sous le nom de la CX) activée.
ciscoasa# show module cxsc
Mod Card Type Model Serial No.
---- -------------------------------------------- ------------------ -----------
cxsc ASA CX5525 Security Appliance ASA CX5525 FCH1719J569
Mod MAC Address Range Hw Version Fw Version Sw Version
---- --------------------------------- ------------ ------------ ---------------
cxsc 6c41.6aa1.31d4 to 6c41.6aa1.31d4 N/A N/A 9.1.1
Mod SSM Application Name Status SSM Application Version
---- ------------------------------ ---------------- --------------------------
cxsc ASA CX Up 9.1.1
Mod Status Data Plane Status Compatibility
---- ------------------ --------------------- -------------
cxsc Up Up
Il y a une session de Protocole Secure Shell (SSH) établie avec l'ASA en plus d'une connexion de console.
ciscoasa# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 000069e8 LISTEN 10.106.44.101:443 0.0.0.0:*
TCP 00009628 LISTEN 10.106.44.101:22 0.0.0.0:*
TCP 0000da58 ESTAB 10.106.44.101:22 64.103.226.139:52565
La connexion bolded affichée dans la sortie est la session de SSH où la connexion de console au module de la CX est en activité. Tentatives d'accéder à la console d'un autre échouer de connexion CLI (telle qu'une connexion de console à l'ASA) avec l'erreur précédemment mentionnée. La sortie du show conn toute la commande est utilisée afin de découvrir la connexion SSH à l'ASA, qui est effacée avec l'utilisation du clear conn toute la commande.
ciscoasa# show conn all | in 52565
1 in use, 4 most used
TCP mgmt 64.103.226.139:52565 NP Identity Ifc 10.106.44.101:22,
idle 0:04:16, bytes 10284, flags UOB
ciscoasa#
ciscoasa#
ciscoasa# clear conn all port 52565
1 connection(s) deleted.
ciscoasa# show conn all | i 52565
0 in use, 4 most used
ciscoasa# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 000069e8 LISTEN 10.106.44.101:443 0.0.0.0:*
TCP 00009628 LISTEN 10.106.44.101:22 0.0.0.0:*
ciscoasa#
ciscoasa# session cxsc console
Opening console session with module cxsc.
Connected to module cxsc. Escape character sequence is 'CTRL-^X'.
asacx>
ID de bogue Cisco CSCuh65249 (ASA 5500-X : Ayez besoin d'une manière d'effacer la connexion de console au module IPS/CX) a été classé afin d'introduire une manière plus gracieuse d'effacer une telle connexion de console.
L'ID de bogue Cisco CSCud27214 (ne peut pas quitter de la console IPS de session une fois connecté au serveur de terminaux) a été classé afin de résoudre l'incapacité de quitter d'une console une fois relié par l'intermédiaire d'un serveur de terminaux avec une séquence d'échappement de Ctrl^x.
Alternativement, s'il n'est pas possible de détruire la connexion de console qui existe avec l'utilisation de la méthode précédemment mentionnée, utilisez la session IPS ou la session CX commandent afin d'accéder aux modules IPS ou de la CX, respectivement. Ce n'est pas une connexion de console. Par conséquent, il est possible pour avoir des plusieurs sessions établies simultanément au module logiciel.