يصف هذا وثيقة كيف أن يتحرى الحالة غير المستجيبة من التفتيش المتقدم و منع خدمات الأمان وحدة (AIP-SSM) في ال cisco 5500 sery Adaptive Security Appliance (ASA).
لا توجد متطلبات خاصة لهذا المستند.
تستند المعلومات الواردة في هذا المستند إلى AIP-SSM في Cisco 5500 Series ASA.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
المشكلة:
تدخل AIP-SSM في حالة عدم إستجابة، وتفشل في الاستجابة للوصول إلى HTTP أو ASDM لكنها يمكن الوصول إليها من CLI، كما هو موضح:
show module Mod Card Type Model Serial No. --- -------------------------------------------- ------------------ ----------- 0 ASA 5510 Adaptive Security Appliance ASA5510 JMX0934K021 1 ASA 5500 Series Security Services Module-10 ASA-SSM-10 JAB093203S3 Mod MAC Address Range Hw Version Fw Version Sw Version --- --------------------------------- ------------ ------------ --------------- 0 0013.c480.a11d to 0013.c480.a121 1.0 1.0(10)0 7.0(2) 1 0013.c480.b204 to 0013.c480.b204 1.0 1.0(10)0 5.0(2)S152.0 Mod Status --- ------------------ 0 Up Sys 1 Unresponsive
الحل:
قم بإصدار الأمر hw-module 1 reset على ASA الخاص بك. يقوم هذا الأمر بإعادة ضبط جهاز AIP-SSM. يمكن تطبيقه عندما تكون البطاقة في أي من هذه الحالات:
يعمل
تعطل
غير إستجابي
نسترد
إذا قمت بإعادة تمهيد ASA في حالة عدم الاستجابة، فيجب إعادة تصوير SSM الخاص بك. ارجع إلى قسم تثبيت AIP-SSM System Image في الترقية والتخفيض وتثبيت صور النظام للحصول على مزيد من المعلومات والخطوات حول كيفية إعادة تكوين AIP-SSM.
ملاحظة: راجع قسم إعادة التحميل وإيقاف التشغيل وإعادة التعيين والاسترداد AIP-SSM في تكوين ASA-SSM للحصول على مزيد من المعلومات حول مختلف الأوامر المتاحة لاستكشاف أخطاء AIP-SSM وإصلاحها.
يرجع هذا مشكلة إلى cisco بق id CSCts58648 (يسجل زبون فقط).
المشكلة:
رأيت هذا خطأ رسالة على ال gui.
Error connecting to sensor. Error Loading Sensor error
الحل:
تحقق من واجهة إدارة IPS SSM up/down، وتحقق من عنوان IP الذي تم تكوينه وقناع الشبكة الفرعية والبوابة الافتراضية. هذه هي الواجهة للوصول إلى برنامج مدير أجهزة الأمان المعدلة (ASDM) من الجهاز المحلي من Cisco. حاول إختبار اتصال عنوان IP لواجهة الإدارة ل IPS SSM من الجهاز المحلي الذي تريد الوصول إلى ASDM. إذا تعذر إختبار الاتصال، فتحقق من قوائم التحكم في الوصول (ACL) الموجودة على المستشعر.
المشكلة:
تظهر رسالة خطأ التطبيق الرئيسية أثناء محاولة الاتصال بوحدة AIP SSM النمطية.
الحل:
أعد تحميل الوحدة النمطية ASA أو AIP SSM module لحل هذا الخطأ.
المشكلة:
تظهر رسالة الخطأ : execUpgradeSoftware Connection failed على CLI.
الحل:
تحقق من أن واجهة إدارة IPS SSM عبارة عن up/down وأن هذه الواجهة هي التي يحاول ASA-IPS من خلالها الاتصال لتنزيل البرنامج. لا يعد هذا اتصال لوحة توصيل خلفية بين ASA و IPS-SSM، بل اتصال إيثرنت على وحدة AIP-SSM النمطية نفسها، والتي يلزم توصيلها بمنفذ محول وتكوينها باستخدام عنوان IP وقناع شبكة فرعية وبوابة افتراضية. إذا كان HTTP لا يعمل بعد، فحاول إستخدام خيار FTP أو SCP باستخدام الأمر upgrade.
المشكلة:
الخطأ : execUpgradeSoftware يتطلب التحديث 60340 كيلوبايت في /usr/cids/idsRoot/var/update، هناك فقط 57253 كيلوبايت متوفرة. تظهر رسالة الخطأ أثناء الترقية.
الحل 1:
in order to صححت هذا إصدار، أنت تحتاج أن يدون داخل ال CLI من المستشعر مع خدمة حساب. إذا لم يكن لديك حساب خدمة، فيمكنك إنشاء حساب باستخدام الأوامر التالية:
configure terminal user (username) priv service password (pass) exit
بمجرد تسجيل الدخول إلى حساب الخدمة، قم بإصدار أوامر rm /usr/cids/idsRoot/var/*pmz هذه وتسجيل الخروج من حساب الخدمة. ثم تحقق من اكتمال الترقية.
الحل 2:
يحدث هذا الخطأ بسبب المساحة الأقل المتاحة على وحدة IPS النمطية نظرا لأن ملفات الاسترداد تشغل مساحة أكبر على الوحدة النمطية. أتمت هذا steps in order to أزلت إستعادة مبرد وحل هذا خطأ:
bash-2.05b# cd /usr/cids/idsRoot/var/updates/ bash-2.05b# ls -l drwxr-xr-x 2 cids cids 1024 Jul 1 22:35 backups drwxr-xr-x 2 cids cids 1024 Oct 19 15:26 download drwxrwxr-x 2 cids cids 1024 Oct 19 15:26 logs -rw-r--r-- 1 root root 183 Sep 6 21:54 package -rw-r--r-- 1 cids cids 27587840 Jul 9 2009 recovery.gz drwxr-xr-x 2 cids cids 1024 Jul 1 22:35 scripts bash-2.05b# rm recovery.gz
المشكلة:
تظهر رسالة الخطأ هذه:
Cannot send xml document to sensor. java.security.cert.CertificateExpiredException: NotAfter:
الحل:
يمكن حل هذه المشكلة إذا قمت بإعادة إنشاء شهادة TLS باستخدام هذا الأمر:
sensor(config)#tls generate-key
المشكلة:
عند محاولة الوصول إلى SSM، يتم عرض رسالة الخطأ هذه.
Opening command session with slot 1. Card in slot 1 did not respond to session request
الحل:
قم بإصدار الأمر hw-module 1 recovery لحل هذه المشكلة. راجع إستعادة AIP-SSM للحصول على مزيد من المعلومات حول هذا الأمر.
المشكلة:
عندما تحاول إدراج وحدة AIP SSM النمطية في ASA، يتم عرض رسالة الخطأ هذه.
module in slot 1 experienced a channel communication failure
الحل:
أعدت ال ASA in order to حللت الإصدار. إذا كانت المشكلة لا تزال موجودة، فاتصل ب TAC للحصول على مزيد من المساعدة.
المشكلة:
يفشل AIP-SSM بعد تحديث التوقيع. يسبب تحديث التوقيع أن تنفد ذاكرة AIP-SSM وتصبح غير مستجيبة عندما يكون عدد التوقيعات الممكنة مرتفعا.
الحل:
قم بإعادة ضبط تعريف التوقيع لحل المشكلة. إذا تم تمكين عدد كبير جدا من التواقيع، فحاول إعادة ضبط تعريف التوقيع. SSH إلى المستشعر واستخدام هذه الأوامر:
configure terminal service signature-definition sig0 default signatures exit exit
المشكلة:
تحدث مشكلة زمن الوصول مع مستشعر IPS.
الحل:
تحدث مشكلة زمن الوصول عندما يتم تمكين إجراء الرفض المضمن ورفض الحزمة لكل توقيع في VS0. إذا قمت بتمكين جميع التوقيعات، فهذا ينتج عنه زمن وصول حيث يقوم IPS بفحص كل حزمة واحدة يمر خلالها ذلك. من الجيد تمكين التوقيع المحدد المطلوب فقط وفقا لتدفق حركة مرور الشبكة لحل مشكلة زمن الوصول.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
12-Jul-2007 |
الإصدار الأولي |