本文描述如何排除故障先进的检查和预防安全服务模块(AIP-SSM)的无答复的状态在Cisco 5500系列可适应安全工具(ASA)。
本文档没有任何特定的要求。
本文档中的信息根据在Cisco 5500系列ASA的AIP-SSM。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
AIP-SSM进入一无答复的状态,不能响应到HTTP或ASDM访问,但是从CLI是可访问,如显示:
show module Mod Card Type Model Serial No. --- -------------------------------------------- ------------------ ----------- 0 ASA 5510 Adaptive Security Appliance ASA5510 JMX0934K021 1 ASA 5500 Series Security Services Module-10 ASA-SSM-10 JAB093203S3 Mod MAC Address Range Hw Version Fw Version Sw Version --- --------------------------------- ------------ ------------ --------------- 0 0013.c480.a11d to 0013.c480.a121 1.0 1.0(10)0 7.0(2) 1 0013.c480.b204 to 0013.c480.b204 1.0 1.0(10)0 5.0(2)S152.0 Mod Status --- ------------------ 0 Up Sys 1 Unresponsive
解决方案:
发出hw-module模块1 reset命令在您的ASA。此命令执行AIP-SSM的硬件重启。当卡在任何这些状态时,它是可适用的:
下来
无答复
恢复
如果在一无答复的状态重新启动ASA,您的SSM必须是重新镜像的。参考安装升级,降级和安装系统镜像的AIP-SSM System Image部分欲知更多信息和步骤关于如何再镜像AIP-SSM。
注意: 参考重新载入,关闭,重置和恢复配置ASA-SSM的AIP-SSM部分关于多种可以使用的命令的更多信息排除故障AIP-SSM。
此问题归结于Cisco Bug ID CSCts58648 (仅限注册用户)。
此错误消息在GUI被看到。
Error connecting to sensor. Error Loading Sensor error
解决方案:
检查IPS SSM管理接口up/down,并且检查其配置的IP地址、子网掩码和默认网关。这是访问从本地设备的Cisco Adaptive Security Device Manager (ASDM)软件的接口。设法ping IPS SSM的管理接口IP地址从本地设备的您要访问ASDM。如果无法ping检查ACL在传感器。
当您尝试连接到AIP SSM模块时,不能通信与主要app错误消息出现。
解决方案:
重新加载ASA或AIP SSM模块为了解决此错误。
错误::execUpgradeSoftware连接失败的错误消息在CLI被看到。
解决方案:
检查IPS SSM管理接口up/down,并且它是ASA-IPS尝试接触为了下载软件的接口。这不是ASA和IPS-SSM之间的一个底板连接;它是在AIP-SSM模块的以太网连接,需要连接到交换机端口和配置用IP地址、子网掩码和默认网关。如果http仍然不作动,请设法以upgrade命令使用FTP或SCP选项。
错误::execUpgradeSoftware更新只要求在/usr/cids/idsRoot/var/updates的60340 KB,那里是57253 KB联机。在升级期间,错误消息被看到。
解决方案 1:
为了调整此问题,您需要登录传感器的CLI有服务帐户的。如果没有一个服务帐户,您能创建一用这些命令:
configure terminal user (username) priv service password (pass) exit
一旦登录服务帐户,请发出这些rm /usr/cids/idsRoot/var/ *pmz服务帐户的命令和注销。然后请检查升级完成。
解决方案 2:
因为恢复文件占用在模块的更多空间此错误出现由于在IPS模块的较少空间联机。完成这些步骤为了删除恢复文件和解决此错误:
bash-2.05b# cd /usr/cids/idsRoot/var/updates/ bash-2.05b# ls -l drwxr-xr-x 2 cids cids 1024 Jul 1 22:35 backups drwxr-xr-x 2 cids cids 1024 Oct 19 15:26 download drwxrwxr-x 2 cids cids 1024 Oct 19 15:26 logs -rw-r--r-- 1 root root 183 Sep 6 21:54 package -rw-r--r-- 1 cids cids 27587840 Jul 9 2009 recovery.gz drwxr-xr-x 2 cids cids 1024 Jul 1 22:35 scripts bash-2.05b# rm recovery.gz
显示以下错误消息:
Cannot send xml document to sensor. java.security.cert.CertificateExpiredException: NotAfter:
解决方案:
如果重新生成tls证书用此命令,此问题可以是解决的:
sensor(config)#tls generate-key
当您设法访问SSM时,此错误消息显示。
Opening command session with slot 1. Card in slot 1 did not respond to session request
解决方案:
发出hw-module模块1恢复命令为了解决此问题。参考恢复AIP-SSM关于此命令的更多信息。
当您设法插入AIP SSM模块到ASA时,此错误消息显示。
module in slot 1 experienced a channel communication failure
解决方案:
重新加载ASA为了解决问题。如果问题仍然存在,请与进一步帮助的TAC联系。
在签名更新后, AIP-SSM发生故障。当启用的签名数量高时,签名更新造成AIP-SSM用尽内存和变得无答复。
解决方案:
重置签名定义为了解决问题。如果许多签名启用,则请设法重置签名定义。对传感器的SSH和使用这些命令:
configure terminal service signature-definition sig0 default signatures exit exit
延时问题发生在IPS传感器。
解决方案:
延时问题发生,当拒绝操作线型并且丢弃数据包为在VS0的每个签名启用。如果启用所有签名,这导致延迟,当IPS检查该通过的每一数据包。启用根据网络流量运输流量要求的仅特定签名为了解决延时问题是好的。