Este documento descreve um problema comum que os usuários que controlam Cisco as ferramentas de segurança adaptáveis (ASA) possam encontrar. Os dispositivos do 5500-X Series de Cisco ASA proporcionam serviços de firewall da próxima geração com a capacidade opcional para instalar um módulo com base no software do Intrusion Prevention System (IPS) ou um módulo de Cisco ASA CX (contexto ciente).
A Cisco recomenda que você tenha conhecimento destes tópicos:
A informação neste documento é baseada em dispositivos do Firewall da próxima geração do 5500-X Series de Cisco ASA.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Quando você tenta estabelecer uma conexão de console ao software IPS ou ao módulo CX instalado, você pôde encontrar um Mensagem de Erro que sugerisse que alguém estivesse registrado já no console. Por exemplo:
ciscoasa# session cxsc console
ERROR: An existing console session is in progress with module cxsc.
Only one is allowed at any point in time.
A saída precedente do comando indica que uma conexão de console ao módulo CX já existe. O comando equivalente para o módulo ips é o console da sessão IP, que mostra esta saída quando usado:
ciscoasa# session ips console
ERROR: An existing console session is in progress with module ips.
Only one is allowed at any point in time.
A única maneira de cancelar uma conexão de console ao módulo do software IPS/CX em um dispositivo do 5500-X Series ASA é cancelar a conexão CLI ao ASA onde a sessão de console é ativa. Esta seção fornece uma encenação simulada, similar a essa descrita previamente, que os demonsrates o procedimento usaram a fim cancelar tal conexão.
Considere um ASA 5525-X com os serviços de firewall da próxima geração (igualmente conhecidos como o CX) permitido.
ciscoasa# show module cxsc
Mod Card Type Model Serial No.
---- -------------------------------------------- ------------------ -----------
cxsc ASA CX5525 Security Appliance ASA CX5525 FCH1719J569
Mod MAC Address Range Hw Version Fw Version Sw Version
---- --------------------------------- ------------ ------------ ---------------
cxsc 6c41.6aa1.31d4 to 6c41.6aa1.31d4 N/A N/A 9.1.1
Mod SSM Application Name Status SSM Application Version
---- ------------------------------ ---------------- --------------------------
cxsc ASA CX Up 9.1.1
Mod Status Data Plane Status Compatibility
---- ------------------ --------------------- -------------
cxsc Up Up
Há uma sessão do Shell Seguro (ssh) estabelecida com o ASA além do que uma conexão de console.
ciscoasa# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 000069e8 LISTEN 10.106.44.101:443 0.0.0.0:*
TCP 00009628 LISTEN 10.106.44.101:22 0.0.0.0:*
TCP 0000da58 ESTAB 10.106.44.101:22 64.103.226.139:52565
A conexão negrito mostrada na saída é a sessão SSH onde a conexão de console ao módulo CX é ativa. Tentativas de alcançar o console de uma outra falha da conexão CLI (tal como uma conexão de console ao ASA) com o erro mencionado previamente. A saída do comando all do show conn é usada a fim descobrir a conexão de SSH ao ASA, que é cancelado com uso do comando all claro conexão.
ciscoasa# show conn all | in 52565
1 in use, 4 most used
TCP mgmt 64.103.226.139:52565 NP Identity Ifc 10.106.44.101:22,
idle 0:04:16, bytes 10284, flags UOB
ciscoasa#
ciscoasa#
ciscoasa# clear conn all port 52565
1 connection(s) deleted.
ciscoasa# show conn all | i 52565
0 in use, 4 most used
ciscoasa# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 000069e8 LISTEN 10.106.44.101:443 0.0.0.0:*
TCP 00009628 LISTEN 10.106.44.101:22 0.0.0.0:*
ciscoasa#
ciscoasa# session cxsc console
Opening console session with module cxsc.
Connected to module cxsc. Escape character sequence is 'CTRL-^X'.
asacx>
Identificação de bug Cisco CSCuh65249 (ASA 5500-X: Precise uma maneira de cancelar para fora a conexão de console ao módulo IPS/CX) foi arquivado a fim introduzir uma maneira mais graciosa de cancelar tal conexão de console.
A identificação de bug Cisco CSCud27214 (não pode retirar do console da sessão IP quando conectado ao servidor terminal) foi arquivada a fim resolver a incapacidade retirar de um console quando anexada através de um servidor terminal com uma sequência de escape de Ctrl^x.
Alternativamente, se não é possível matar a conexão de console que existe com uso do método mencionado previamente, use a sessão IP ou a sessão CX comandam a fim alcançar os módulos IPS ou CX, respectivamente. Esta não é uma conexão de console. Consequentemente, é possível ter as sessões múltiplas estabelecidas simultaneamente ao módulo de software.