本文档介绍管理思科自适应安全设备(ASA)的用户可能遇到的常见问题。Cisco ASA 5500-X系列设备提供下一代防火墙服务,可选安装基于软件的入侵防御系统(IPS)模块或Cisco ASA CX(情景感知)模块。
Cisco 建议您了解以下主题:
本文档中的信息基于Cisco ASA 5500-X系列下一代防火墙设备。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
当您尝试建立与已安装的软件IPS或CX模块的控制台连接时,可能会遇到错误消息,提示已有人登录到控制台。例如:
ciscoasa# session cxsc console
ERROR: An existing console session is in progress with module cxsc.
Only one is allowed at any point in time.
以前的命令输出表明到CX模块的控制台连接已存在。IPS模块的等效命令是session ips console,该命令在使用时显示以下输出:
ciscoasa# session ips console
ERROR: An existing console session is in progress with module ips.
Only one is allowed at any point in time.
要清除与ASA 5500-X系列设备上软件IPS/CX模块的控制台连接,唯一的方法是清除与控制台会话处于活动状态的ASA的CLI连接。本部分提供与前面介绍的类似的模拟场景,演示用于清除此类连接的过程。
假设ASA 5525-X启用了下一代防火墙服务(也称为CX)。
ciscoasa# show module cxsc
Mod Card Type Model Serial No.
---- -------------------------------------------- ------------------ -----------
cxsc ASA CX5525 Security Appliance ASA CX5525 FCH1719J569
Mod MAC Address Range Hw Version Fw Version Sw Version
---- --------------------------------- ------------ ------------ ---------------
cxsc 6c41.6aa1.31d4 to 6c41.6aa1.31d4 N/A N/A 9.1.1
Mod SSM Application Name Status SSM Application Version
---- ------------------------------ ---------------- --------------------------
cxsc ASA CX Up 9.1.1
Mod Status Data Plane Status Compatibility
---- ------------------ --------------------- -------------
cxsc Up Up
除了控制台连接外,还与ASA建立了安全外壳(SSH)会话。
ciscoasa# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 000069e8 LISTEN 10.106.44.101:443 0.0.0.0:*
TCP 00009628 LISTEN 10.106.44.101:22 0.0.0.0:*
TCP 0000da58 ESTAB 10.106.44.101:22 64.103.226.139:52565
输出中粗体连接是SSH会话,在该会话中,与CX模块的控制台连接处于活动状态。尝试从另一个CLI连接(如到ASA的控制台连接)访问控制台失败,并出现前面提到的错误。show conn all命令的输出用于发现与ASA的SSH连接,该SSH连接使用clear conn all命令清除。
ciscoasa# show conn all | in 52565
1 in use, 4 most used
TCP mgmt 64.103.226.139:52565 NP Identity Ifc 10.106.44.101:22,
idle 0:04:16, bytes 10284, flags UOB
ciscoasa#
ciscoasa#
ciscoasa# clear conn all port 52565
1 connection(s) deleted.
ciscoasa# show conn all | i 52565
0 in use, 4 most used
ciscoasa# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 000069e8 LISTEN 10.106.44.101:443 0.0.0.0:*
TCP 00009628 LISTEN 10.106.44.101:22 0.0.0.0:*
ciscoasa#
ciscoasa# session cxsc console
Opening console session with module cxsc.
Connected to module cxsc. Escape character sequence is 'CTRL-^X'.
asacx>
Cisco Bug ID CSCuh65249(ASA 5500-X:需要一种方法来清除与IPS/CX模块的控制台连接),以便引入一种更流畅的方法来清除此类控制台连接。
Cisco Bug ID CSCud27214(连接到终端服务器时无法从会话ips控制台退出)已归档,以解决在通过终端服务器以Ctrl^x转义序列连接时无法退出控制台。
或者,如果无法使用前面提到的方法终止现有的控制台连接,请分别使用session ips或session cx命令访问IPS或CX模块。这不是控制台连接。因此,可以同时建立到软件模块的多个会话。