Ce document décrit un problème courant auquel les utilisateurs qui gèrent les appliances de sécurité adaptatives Cisco (ASA) peuvent être confrontés. Les appareils de la gamme Cisco ASA 5500-X fournissent des services de pare-feu de nouvelle génération avec la possibilité d'installer en option un module IPS (Intrusion Prevention System) logiciel ou un module Cisco ASA CX (Context Aware).
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations de ce document sont basées sur les appliances de pare-feu de nouvelle génération Cisco ASA 5500-X.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Lorsque vous essayez d'établir une connexion console au module IPS ou CX du logiciel installé, vous risquez de rencontrer un message d'erreur indiquant que quelqu'un est déjà connecté à la console. Exemple :
ciscoasa# session cxsc console
ERROR: An existing console session is in progress with module cxsc.
Only one is allowed at any point in time.
La sortie de la commande précédente indique qu'une connexion console au module CX existe déjà. La commande équivalente pour le module IPS est session ips console, qui affiche cette sortie lorsqu'elle est utilisée :
ciscoasa# session ips console
ERROR: An existing console session is in progress with module ips.
Only one is allowed at any point in time.
La seule façon de supprimer une connexion console au module IPS/CX du logiciel sur un appareil de la gamme ASA 5500-X consiste à effacer la connexion CLI à l'ASA où la session de console est active. Cette section présente un scénario simulé, similaire à celui décrit précédemment, qui illustre la procédure utilisée pour effacer une telle connexion.
Prenons l'exemple d'un ASA 5525-X avec des services de pare-feu de nouvelle génération (également appelés CX) activés.
ciscoasa# show module cxsc
Mod Card Type Model Serial No.
---- -------------------------------------------- ------------------ -----------
cxsc ASA CX5525 Security Appliance ASA CX5525 FCH1719J569
Mod MAC Address Range Hw Version Fw Version Sw Version
---- --------------------------------- ------------ ------------ ---------------
cxsc 6c41.6aa1.31d4 to 6c41.6aa1.31d4 N/A N/A 9.1.1
Mod SSM Application Name Status SSM Application Version
---- ------------------------------ ---------------- --------------------------
cxsc ASA CX Up 9.1.1
Mod Status Data Plane Status Compatibility
---- ------------------ --------------------- -------------
cxsc Up Up
Une session Secure Shell (SSH) est établie avec l'ASA en plus d'une connexion console.
ciscoasa# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 000069e8 LISTEN 10.106.44.101:443 0.0.0.0:*
TCP 00009628 LISTEN 10.106.44.101:22 0.0.0.0:*
TCP 0000da58 ESTAB 10.106.44.101:22 64.103.226.139:52565
La connexion verrouillée affichée dans le résultat est la session SSH où la connexion console au module CX est active. Les tentatives d'accès à la console à partir d'une autre connexion CLI (telle qu'une connexion console à l'ASA) échouent avec l'erreur précédemment mentionnée. La sortie de la commande show conn all est utilisée afin de découvrir la connexion SSH à l'ASA, qui est effacée avec l'utilisation de la commande clear conn all.
ciscoasa# show conn all | in 52565
1 in use, 4 most used
TCP mgmt 64.103.226.139:52565 NP Identity Ifc 10.106.44.101:22,
idle 0:04:16, bytes 10284, flags UOB
ciscoasa#
ciscoasa#
ciscoasa# clear conn all port 52565
1 connection(s) deleted.
ciscoasa# show conn all | i 52565
0 in use, 4 most used
ciscoasa# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 000069e8 LISTEN 10.106.44.101:443 0.0.0.0:*
TCP 00009628 LISTEN 10.106.44.101:22 0.0.0.0:*
ciscoasa#
ciscoasa# session cxsc console
Opening console session with module cxsc.
Connected to module cxsc. Escape character sequence is 'CTRL-^X'.
asacx>
ID de bogue Cisco CSCuh65249 (ASA 5500-X : Nécessité d'un moyen d'effacer la connexion console au module IPS/CX) a été déposée afin d'introduire une manière plus gracieuse d'effacer une telle connexion console.
L'ID de bogue Cisco CSCud27214 (Impossible de quitter la console ips de session lorsqu'elle est connectée au serveur de terminal) a été classé afin de résoudre l'incapacité de quitter une console lorsqu'elle est connectée via un serveur de terminal avec une séquence d'échappement Ctrl^x.
Sinon, s'il n'est pas possible de supprimer la connexion console qui existe avec l'utilisation de la méthode précédemment mentionnée, utilisez la commande session ips ou session cx afin d'accéder respectivement aux modules IPS ou CX. Il ne s'agit pas d'une connexion console. Il est donc possible d'établir plusieurs sessions simultanément sur le module logiciel.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
20-Aug-2013 |
Première publication |