ASA: أستكشاف أخطاء AIP-SSM وإصلاحها

خيارات التنزيل

  • PDF     (293.0 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (83.7 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (70.6 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٩ أكتوبر ٢٠٠٧
معرّف المستند:97405

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المقدمة

يصف هذا وثيقة كيف أن يتحرى الحالة غير المستجيبة من التفتيش المتقدم و منع خدمات الأمان وحدة (AIP-SSM) في ال cisco 5500 sery Adaptive Security Appliance (ASA).

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى AIP-SSM في Cisco 5500 Series ASA.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

استكشاف الأخطاء وإصلاحها

حالة غير مستجيبة

المشكلة:

تدخل AIP-SSM في حالة عدم إستجابة، وتفشل في الاستجابة للوصول إلى HTTP أو ASDM لكنها يمكن الوصول إليها من CLI، كما هو موضح:

show module

Mod Card Type                                    Model              Serial No. 
--- -------------------------------------------- ------------------ -----------
  0 ASA 5510 Adaptive Security Appliance         ASA5510            JMX0934K021
  1 ASA 5500 Series Security Services Module-10  ASA-SSM-10         JAB093203S3

Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
--- --------------------------------- ------------ ------------ ---------------
  0 0013.c480.a11d to 0013.c480.a121  1.0          1.0(10)0     7.0(2)
  1 0013.c480.b204 to 0013.c480.b204  1.0          1.0(10)0     5.0(2)S152.0

Mod Status            
--- ------------------
  0 Up Sys            
  1 Unresponsive

الحل:

قم بإصدار الأمر hw-module 1 reset على ASA الخاص بك. يقوم هذا الأمر بإعادة ضبط جهاز AIP-SSM. يمكن تطبيقه عندما تكون البطاقة في أي من هذه الحالات:

  • يعمل

  • تعطل

  • غير إستجابي

  • نسترد

إذا قمت بإعادة تمهيد ASA في حالة عدم الاستجابة، فيجب إعادة تصوير SSM الخاص بك. ارجع إلى قسم تثبيت AIP-SSM System Image في الترقية والتخفيض وتثبيت صور النظام للحصول على مزيد من المعلومات والخطوات حول كيفية إعادة تكوين AIP-SSM.

ملاحظة: راجع قسم إعادة التحميل وإيقاف التشغيل وإعادة التعيين والاسترداد AIP-SSM في تكوين ASA-SSM للحصول على مزيد من المعلومات حول مختلف الأوامر المتاحة لاستكشاف أخطاء AIP-SSM وإصلاحها.

يرجع هذا مشكلة إلى cisco بق id CSCts58648 (يسجل زبون فقط).

يتعذر الوصول إلى SSM لدليل AIP من خلال ASDM

المشكلة:

رأيت هذا خطأ رسالة على ال gui.

Error connecting to sensor. Error Loading Sensor error

الحل:

تحقق من واجهة إدارة IPS SSM up/down، وتحقق من عنوان IP الذي تم تكوينه وقناع الشبكة الفرعية والبوابة الافتراضية. هذه هي الواجهة للوصول إلى برنامج مدير أجهزة الأمان المعدلة (ASDM) من الجهاز المحلي من Cisco. حاول إختبار اتصال عنوان IP لواجهة الإدارة ل IPS SSM من الجهاز المحلي الذي تريد الوصول إلى ASDM. إذا تعذر إختبار الاتصال، فتحقق من قوائم التحكم في الوصول (ACL) الموجودة على المستشعر.

المشكلة:

تظهر رسالة خطأ التطبيق الرئيسية أثناء محاولة الاتصال بوحدة AIP SSM النمطية.

الحل:

أعد تحميل الوحدة النمطية ASA أو AIP SSM module لحل هذا الخطأ.

يتعذر ترقية/تحديث IPS SSM

المشكلة:

تظهر رسالة الخطأ : execUpgradeSoftware Connection failed على CLI.

الحل:

تحقق من أن واجهة إدارة IPS SSM عبارة عن up/down وأن هذه الواجهة هي التي يحاول ASA-IPS من خلالها الاتصال لتنزيل البرنامج. لا يعد هذا اتصال لوحة توصيل خلفية بين ASA و IPS-SSM، بل اتصال إيثرنت على وحدة AIP-SSM النمطية نفسها، والتي يلزم توصيلها بمنفذ محول وتكوينها باستخدام عنوان IP وقناع شبكة فرعية وبوابة افتراضية. إذا كان HTTP لا يعمل بعد، فحاول إستخدام خيار FTP أو SCP باستخدام الأمر upgrade.

خطأ في الترقية: execUpgradeSoftware

المشكلة:

الخطأ : execUpgradeSoftware يتطلب التحديث 60340 كيلوبايت في /usr/cids/idsRoot/var/update، هناك فقط 57253 كيلوبايت متوفرة. تظهر رسالة الخطأ أثناء الترقية.

الحل 1:

in order to صححت هذا إصدار، أنت تحتاج أن يدون داخل ال CLI من المستشعر مع خدمة حساب. إذا لم يكن لديك حساب خدمة، فيمكنك إنشاء حساب باستخدام الأوامر التالية:

configure terminal 
user (username) priv service password (pass)
 exit

بمجرد تسجيل الدخول إلى حساب الخدمة، قم بإصدار أوامر rm /usr/cids/idsRoot/var/*pmz هذه وتسجيل الخروج من حساب الخدمة. ثم تحقق من اكتمال الترقية.

الحل 2:

يحدث هذا الخطأ بسبب المساحة الأقل المتاحة على وحدة IPS النمطية نظرا لأن ملفات الاسترداد تشغل مساحة أكبر على الوحدة النمطية. أتمت هذا steps in order to أزلت إستعادة مبرد وحل هذا خطأ:

bash-2.05b# cd /usr/cids/idsRoot/var/updates/

bash-2.05b# ls -l

drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 backups
drwxr-xr-x    2 cids     cids         1024 Oct 19 15:26 download
drwxrwxr-x    2 cids     cids         1024 Oct 19 15:26 logs
-rw-r--r--    1 root     root          183 Sep  6 21:54 package
-rw-r--r--    1 cids     cids     27587840 Jul  9  2009 recovery.gz
drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 scripts

bash-2.05b# rm recovery.gz

تعذر الاتصال ب IPS باستخدام عارض أحداث IPS (IEV)

المشكلة:

تظهر رسالة الخطأ هذه:

Cannot send xml document to sensor.
java.security.cert.CertificateExpiredException: NotAfter:

الحل:

يمكن حل هذه المشكلة إذا قمت بإعادة إنشاء شهادة TLS باستخدام هذا الأمر:

sensor(config)#tls generate-key

يتعذر الوصول إلى AIP-SSM

المشكلة:

عند محاولة الوصول إلى SSM، يتم عرض رسالة الخطأ هذه.

Opening command session with slot 1.
Card in slot 1 did not respond to session request

الحل:

قم بإصدار الأمر hw-module 1 recovery لحل هذه المشكلة. راجع إستعادة AIP-SSM للحصول على مزيد من المعلومات حول هذا الأمر.

حدث خطأ عند توصيل وحدة AIP-SSM النمطية في ASA

المشكلة:

عندما تحاول إدراج وحدة AIP SSM النمطية في ASA، يتم عرض رسالة الخطأ هذه.

module in slot 1 experienced a channel communication failure

الحل:

أعدت ال ASA in order to حللت الإصدار. إذا كانت المشكلة لا تزال موجودة، فاتصل ب TAC للحصول على مزيد من المساعدة.

يفشل AIP-SSM بعد تحديث التوقيع

المشكلة:

يفشل AIP-SSM بعد تحديث التوقيع. يسبب تحديث التوقيع أن تنفد ذاكرة AIP-SSM وتصبح غير مستجيبة عندما يكون عدد التوقيعات الممكنة مرتفعا.

الحل:

قم بإعادة ضبط تعريف التوقيع لحل المشكلة. إذا تم تمكين عدد كبير جدا من التواقيع، فحاول إعادة ضبط تعريف التوقيع. SSH إلى المستشعر واستخدام هذه الأوامر:

configure terminal

service signature-definition sig0

default signatures

exit

exit

مشكلات زمن الوصول مع مستشعر IPS

المشكلة:

تحدث مشكلة زمن الوصول مع مستشعر IPS.

الحل:

تحدث مشكلة زمن الوصول عندما يتم تمكين إجراء الرفض المضمن ورفض الحزمة لكل توقيع في VS0. إذا قمت بتمكين جميع التوقيعات، فهذا ينتج عنه زمن وصول حيث يقوم IPS بفحص كل حزمة واحدة يمر خلالها ذلك. من الجيد تمكين التوقيع المحدد المطلوب فقط وفقا لتدفق حركة مرور الشبكة لحل مشكلة زمن الوصول.

معلومات ذات صلة

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
1.0
12-Jul-2007
الإصدار الأولي

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات