Este documento descreve um problema comum que os usuários que gerenciam os Cisco Adaptive Security Appliances (ASAs) podem encontrar. Os dispositivos Cisco ASA 5500-X Series fornecem serviços de firewall de próxima geração com a capacidade opcional de instalar um módulo IPS (Intrusion Prevention System) baseado em software ou um módulo Cisco ASA CX (Context Aware).
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nos dispositivos de firewall de próxima geração Cisco ASA 5500-X Series.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Ao tentar estabelecer uma conexão de console com o software IPS ou o módulo CX instalado, você poderá encontrar uma mensagem de erro que sugira que alguém já está conectado ao console. Por exemplo:
ciscoasa# session cxsc console
ERROR: An existing console session is in progress with module cxsc.
Only one is allowed at any point in time.
A saída do comando anterior indica que já existe uma conexão de console com o módulo CX. O comando equivalente para o módulo IPS é session ips console, que mostra esta saída quando usada:
ciscoasa# session ips console
ERROR: An existing console session is in progress with module ips.
Only one is allowed at any point in time.
A única maneira de limpar uma conexão de console para o módulo IPS/CX do software em um dispositivo ASA 5500-X Series é limpar a conexão CLI para o ASA onde a sessão de console está ativa. Esta seção fornece um cenário simulado, semelhante ao descrito anteriormente, que demonstra o procedimento usado para limpar tal conexão.
Considere um ASA 5525-X com serviços de firewall de próxima geração (também conhecido como CX).
ciscoasa# show module cxsc
Mod Card Type Model Serial No.
---- -------------------------------------------- ------------------ -----------
cxsc ASA CX5525 Security Appliance ASA CX5525 FCH1719J569
Mod MAC Address Range Hw Version Fw Version Sw Version
---- --------------------------------- ------------ ------------ ---------------
cxsc 6c41.6aa1.31d4 to 6c41.6aa1.31d4 N/A N/A 9.1.1
Mod SSM Application Name Status SSM Application Version
---- ------------------------------ ---------------- --------------------------
cxsc ASA CX Up 9.1.1
Mod Status Data Plane Status Compatibility
---- ------------------ --------------------- -------------
cxsc Up Up
Há uma sessão Secure Shell (SSH) estabelecida com o ASA, além de uma conexão de console.
ciscoasa# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 000069e8 LISTEN 10.106.44.101:443 0.0.0.0:*
TCP 00009628 LISTEN 10.106.44.101:22 0.0.0.0:*
TCP 0000da58 ESTAB 10.106.44.101:22 64.103.226.139:52565
A conexão em negrito mostrada na saída é a sessão SSH onde a conexão do console com o módulo CX está ativa. As tentativas de acessar o console a partir de outra conexão CLI (como uma conexão de console com o ASA) falham com o erro mencionado anteriormente. A saída do comando show conn all é usada para descobrir a conexão SSH com o ASA, que é apagada com o uso do comando clear conn all.
ciscoasa# show conn all | in 52565
1 in use, 4 most used
TCP mgmt 64.103.226.139:52565 NP Identity Ifc 10.106.44.101:22,
idle 0:04:16, bytes 10284, flags UOB
ciscoasa#
ciscoasa#
ciscoasa# clear conn all port 52565
1 connection(s) deleted.
ciscoasa# show conn all | i 52565
0 in use, 4 most used
ciscoasa# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 000069e8 LISTEN 10.106.44.101:443 0.0.0.0:*
TCP 00009628 LISTEN 10.106.44.101:22 0.0.0.0:*
ciscoasa#
ciscoasa# session cxsc console
Opening console session with module cxsc.
Connected to module cxsc. Escape character sequence is 'CTRL-^X'.
asacx>
ID de bug da Cisco CSCuh65249 (ASA 5500-X: Precisava de uma maneira de limpar a conexão do console com o módulo IPS/CX) para introduzir uma maneira mais simples de limpar essa conexão de console.
O bug da Cisco ID CSCud27214 (Não é possível sair do console ips da sessão quando conectado ao servidor terminal) foi arquivado para resolver a incapacidade de sair de um console quando conectado por um servidor terminal com uma sequência de escape Ctrl^x.
Como alternativa, se não for possível matar a conexão do console existente com o uso do método mencionado anteriormente, use o comando session ips ou session cx para acessar os módulos IPS ou CX, respectivamente. Esta não é uma conexão de console. Portanto, é possível ter várias sessões estabelecidas simultaneamente no módulo de software.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
20-Aug-2013 |
Versão inicial |