Connectiviteitsproblemen met Content Security Appliance

Inleiding

Dit document beschrijft hoe u een probleem kunt oplossen dat zich voordoet wanneer u geen verbinding kunt maken met de Cisco e-mail security applicatie (ESA) of de Cisco Security Management-applicatie (SMA) via het netwerk.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Cisco ESA
• Cisco SMA
• AsyncOS

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco ESA Async OS, alle versies
• Cisco SMA asynchrone/synchrone OS - alle versies

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Probleem

U kunt geen verbinding maken met de ESA of SMA via het netwerk. U probeert via de webinterface en de CLI via Secure Shell (SSH) te verbinden, maar het apparaat lijkt geen antwoord op de verzoeken te geven.

Voorzichtig: Het is heel belangrijk dat u het systeem niet op stroom zet, tenzij u daartoe geadviseerd wordt door Cisco Technical Support. Als u het apparaat van stroom voorziet, kan dit gegevenscorruptie veroorzaken die kan leiden tot verloren berichten, databases, corruptie, verloren loggegevens of schade aan het bestandssysteem. Wanneer u het apparaat van stroom voorziet, kan u de bestandssystemen niet schoon uitzetten. Om deze reden raadt Cisco u aan de opdracht shutdown of herstart van de CLI te gebruiken, of de shutdown/Rebooster optie die in het tabblad systeembeheer van de GUI van het apparaat staat vermeld.

Oplossing

In de meeste gevallen is het apparaat eigenlijk niet vergrendeld. Het kan simpelweg in een staat zijn die het niet toestaat om op de gebruikelijke wijze te reageren op netwerkverzoeken. Deze sectie verschaft richtlijnen die u kunt gebruiken om het probleem te diagnosticeren en mogelijk het systeem te herstellen zodat het draait of werkt.

Als u het apparaat opnieuw op de juiste manier start en u nog steeds geen toegang via het netwerk kunt krijgen, dient u de indicatielampjes en de bijbehorende geluidscodes op het apparaat te controleren:

• Controleer de indicatielampjes op het apparaat. Is er licht aan?
  
  
• Zijn de lampen voor de harde schijven ingeschakeld? Knipperen ze?
  
  
• Zijn er statuscodes aan de voorkant van het apparaat?
  
  
• Heeft het apparaat geluidscodes afgegeven toen het apparaat in gebruik werd genomen (piepen)?
  
  

In veel gevallen kunt u de netwerkkabel eenvoudig vervangen of naar een andere poort op de schakelaar verplaatsen om het aansluitingsprobleem op te lossen:

• Controleer de status van de indicatielampjes op de switchpoort als deze beschikbaar zijn.
  
  
• Controleer de status van de lichten op het apparaat. Zijn ze aan? Knipperen ze?
  
  
• Kunt u rechtstreeks met het apparaat verbinden met een netwerkkruiskabel?
  
  

Met een netwerkkruiskabel kunt u rechtstreeks verbinding maken met de Ethernet-poorten van het apparaat. U dient echter de verbindingshost te configureren zodat deze op dezelfde mate aanwezig is als de interface waartoe u zich verbindt. Het gebruik van een kabel van een netwerkkruisschakeling kan behulpzaam zijn bij de diagnose van situaties die aan uw LAN gerelateerd zijn, zoals wanneer een andere host hetzelfde IP-adres op hetzelfde subtype heeft. Controleer of uw apparaat reageert op netwerkverzoeken:

• Beantwoord uw apparaat niet op netwerkverzoeken of geeft het simpelweg geen antwoord op serviceaanvragen? U kunt een ping gebruiken om dit te bepalen: Als u het apparaat kunt pingelen maar u kunt er niet op SSH werken, dan weet u dat de applicatie via Internet Control Message Protocol (ICMP) luistert en dat de SSH-service niet reageert of niet toegankelijk is.
  
  
• Heb je alle netwerkinterfaces getest? Controleer of u met de eerder beschreven procedure verbinding kunt maken met een van de andere interfaces op het apparaat.
  
  

Als uw systeem niet reageert op netwerkaanvragen en onmiddellijke toegang vereist is, kunt u deze aansluiten op de seriële poort die zich achter in uw apparaat bevindt. Deze poort is een standaard DB9-connector en kan worden gebruikt met de seriekabel die bij uw apparaat kwam. Als u niet de seriekabel hebt die bij uw apparaat is meegeleverd, moet u een kabel verkrijgen die is geconfigureerd als een ongeldige modemkabel.

Optioneel, kunt u een standaard seriekabel met een nul modemadapter gebruiken. Nadat u de kabel op het apparaat heeft aangesloten, kunt u het andere uiteinde van de kabel vervolgens aansluiten op een ander systeem, zoals een laptop. U moet een terminalprogramma gebruiken, zoals Hyperterm of Procom. U moet ook uw terminalprogramma voor 9600 Baud 8N1 configureren. Zodra u uw terminalprogramma start, dient u verbinding te kunnen maken en in te loggen. Als de seriële poort niet reageert, kunt u controleren of de kabel is aangesloten en of de unit is ingeschakeld. Als u nog steeds niet kunt inloggen, raadt Cisco u aan contact op te nemen met Customer Support voor verdere assistentie.

Netwerkverwante opdrachten

Als u toegang via de seriële poort kunt verkrijgen, voert u de opdracht statusdetails in om te controleren of de status van het apparaat online wordt weergegeven:

     mail.example.com > status detail

     Status as of:                  Mon Jan 04 12:48:31 2010 CST
     Up since:                      Tue Jul 14 16:50:50 2009 CDT (173d 20h 57m 41s)
     Last counter reset:            Never
     System status:                 Online
     Oldest Message:                24 weeks 16 hours 30 mins 48 secs
     Feature - Centralized Tracking: 833 days
     Feature - Centralized Reporting: 833 days
     Feature - IronPort Centralized Configuration Manager: 60 days
     Feature - Incoming Mail Handling: Perpetual
     Feature - Centralized Spam Quarantine: 833 days

Opmerking: Als de opdracht voor de statusdetails niet reageert of een fout veroorzaakt, neemt u contact op met Cisco Customer Support.

Voer de opdracht Versie in om de BANK-status te controleren:

     mail.example.com > version

     Current Version
     ===============
     Model: M660
     Version: 6.5.2-101
     Build Date: 2009-05-28
     Install Date: 2009-07-14 17:04:32
     Serial #: 002C999999-J999999
     BIOS: 2.4.3I
     RAID: 1.21.02-0528, 2.01.00, 1.02-014B
     RAID Status: Optimal
     RAID Type: 10
     BMC: 1.77

Als de aërosol beschadigd is, is het mogelijk dat het apparaat een andere fout heeft ondervonden die mogelijk niet verband houdt met de schijnbare vergrendeling.

Opmerking: Als de opdracht Versie niet reageert of geen gegevens verstrekt, neemt u contact op met Cisco Customer Support.

Voer het bevel etherfig in om uw netwerkconfiguratie te verifiëren:

     mail.example.com > etherconfig

     Choose the operation you want to perform:
     - MEDIA - View and edit ethernet media settings.
     - VLAN - View and configure VLANs.
     - LOOPBACK - View and configure Loopback.
     - MTU - View and configure MTU.
     []> media

     Ethernet interfaces:
     1. Data 1 (Autoselect: <link is down>)) 00:22:19:b0:03:c4
     2. Data 2 (Autoselect: <link is down>)) 00:22:19:b0:03:c6
     3. Management (Autoselect: <1000baseTX full-duplex>) 00:10:18:4e:29:88

     Choose the operation you want to perform:
     - EDIT - Edit an ethernet interface.
     []>

     Choose the operation you want to perform:
     - MEDIA - View and edit ethernet media settings.
     - VLAN - View and configure VLANs.
     - LOOPBACK - View and configure Loopback.
     - MTU - View and configure MTU.
     []> MTU

     Ethernet interfaces:
     1. Data 1 default mtu 1500
     2. Data 2 default mtu 1500
     3. Management default mtu 1500

     Choose the operation you want to perform:
     - EDIT - Edit an ethernet interface.
     []>

Recente netwerkwijzigingen kunnen van invloed zijn op de aansluitingen van het apparaat. Voer de opdracht interfaceconfig in om de instellingen van de interface te controleren:

     mail.example.com > interfaceconfig


     Currently configured interfaces:
     1. Management (192.168.1.33/24 on Management: downside.hometown.net)
     2. outbound_gloop_ISQ_notify (192.168.1.34/24 on Management: inside.hometown.net)

     Choose the operation you want to perform:
     - NEW - Create a new interface.
     - EDIT - Modify an interface.
     - GROUPS - Define interface groups.
     - DELETE - Remove an interface.

     []>

Voer de diagnostische opdracht in om alle netwerk-gerelateerde cache op te spoelen:

     mail.example.com > diagnostic


     Choose the operation you want to perform:
     - RAID - Disk Verify Utility.
     - DISK_USAGE - Check Disk Usage.
     - NETWORK - Network Utilities.
     - REPORTING - Reporting Utilities.
     - TRACKING - Tracking Utilities.
    []> network


    Choose the operation you want to perform:
    - FLUSH - Flush all network related caches.
    - ARPSHOW - Show system ARP cache.
    - SMTPPING - Test a remote SMTP server.
    - TCPDUMP - Dump ethernet packets.
    []> flush

    Flushing LDAP cache.
    Flushing DNS cache.
    Flushing system ARP cache.
    10.92.152.1 (10.92.152.1) deleted
    10.92.152.18 (10.92.152.18) deleted

    Network reset complete.

    Choose the operation you want to perform:
    - FLUSH - Flush all network related caches.
    - ARPSHOW - Show system ARP cache.
    - SMTPPING - Test a remote SMTP server.
    - TCPDUMP - Dump ethernet packets.
    []>

Opmerking: Als een van de opdrachten die op het netwerk betrekking hebben, niet reageert, neemt u contact op met Cisco Customer Support. Als u de stappen voor het oplossen van problemen uitvoert die in dit document worden beschreven en nog steeds niet via het netwerk kunnen toegang krijgen, neem dan contact op met Cisco Customer Support voor verdere assistentie.