In diesem Dokument wird die Fehlerbehebung im nicht reagierenden Zustand des Advanced Inspection and Prevention Security Services Module (AIP-SSM) der Cisco Adaptive Security Appliance (ASA) der Serie 5500 beschrieben.
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Die Informationen in diesem Dokument basieren auf dem AIP-SSM in der Cisco ASA der Serie 5500.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
Problem:
Das AIP-SSM reagiert nicht mehr, reagiert nicht mehr auf HTTP- oder ASDM-Zugriff und kann über die CLI darauf zugreifen:
show module Mod Card Type Model Serial No. --- -------------------------------------------- ------------------ ----------- 0 ASA 5510 Adaptive Security Appliance ASA5510 JMX0934K021 1 ASA 5500 Series Security Services Module-10 ASA-SSM-10 JAB093203S3 Mod MAC Address Range Hw Version Fw Version Sw Version --- --------------------------------- ------------ ------------ --------------- 0 0013.c480.a11d to 0013.c480.a121 1.0 1.0(10)0 7.0(2) 1 0013.c480.b204 to 0013.c480.b204 1.0 1.0(10)0 5.0(2)S152.0 Mod Status --- ------------------ 0 Up Sys 1 Unresponsive
Lösung:
Geben Sie den Rücksetzbefehl hw-module module 1 für Ihre ASA ein. Mit diesem Befehl wird die Hardware des AIP-SSM zurückgesetzt. Sie ist anwendbar, wenn sich die Karte in einem der folgenden Zustände befindet:
aufstehen
hinuntergehen
unempfänglich
wiederherstellen
Wenn Sie die ASA in einem nicht reagierenden Zustand neu starten, muss Ihr SSM erneut abgebildet werden. Weitere Informationen und Schritte zum erneuten Abbilden des AIP-SSM finden Sie im Abschnitt Installieren des AIP-SSM-System-Images unter Aktualisieren, Downgraden und Installieren von System-Images.
Hinweis: Im Abschnitt Neuladen, Herunterfahren, Zurücksetzen und Wiederherstellen von AIP-SSM unter Konfigurieren von ASA-SSM finden Sie weitere Informationen zu den verschiedenen Befehlen, die zur Fehlerbehebung für AIP-SSM verfügbar sind.
Dieses Problem liegt an der Cisco Bug-ID CSCts58648 (nur für registrierte Kunden) .
Problem:
Diese Fehlermeldung wird in der GUI angezeigt.
Error connecting to sensor. Error Loading Sensor error
Lösung:
Überprüfen Sie, ob die IPS SSM-Verwaltungsschnittstelle aktiv/inaktiv ist, und überprüfen Sie die konfigurierte IP-Adresse, Subnetzmaske und das Standardgateway. Dies ist die Schnittstelle, über die vom lokalen System auf die Cisco Adaptive Security Device Manager (ASDM)-Software zugegriffen werden kann. Versuchen Sie, einen Ping an die IP-Adresse der Verwaltungsschnittstelle von IPS SSM von dem lokalen Computer aus zu senden, auf den Sie auf den ASDM zugreifen möchten. Wenn der Ping-Befehl nicht ausgeführt werden kann, überprüfen Sie die ACLs auf dem Sensor.
Problem:
Die Fehlermeldung "Kann nicht mit der Haupt-App kommunizieren" wird angezeigt, wenn Sie versuchen, eine Verbindung zum AIP SSM-Modul herzustellen.
Lösung:
Laden Sie die ASA oder das AIP SSM-Modul neu, um diesen Fehler zu beheben.
Problem:
Die Fehlermeldung "Fehler: execUpgradeSoftware Connection failed" (Fehler: execUpgradeSoftware-Verbindung ist fehlgeschlagen) wird in der CLI angezeigt.
Lösung:
Stellen Sie sicher, dass die IPS SSM-Verwaltungsschnittstelle aktiv/inaktiv ist und dass dies die Schnittstelle ist, über die das ASA-IPS versucht, eine Verbindung herzustellen, um die Software herunterzuladen. Dabei handelt es sich nicht um eine Backplane-Verbindung zwischen ASA und IPS-SSM. Es handelt sich um die Ethernet-Verbindung auf dem AIP-SSM-Modul selbst, die mit einem Switch-Port verbunden und mit einer IP-Adresse, einer Subnetzmaske und einem Standard-Gateway konfiguriert werden muss. Wenn HTTP immer noch nicht funktioniert, verwenden Sie die Option FTP oder SCP mit dem Befehl upgrade (Aktualisieren).
Problem:
Der Fehler: execUpgradeSoftware Das Update erfordert 60340 KB in /usr/cids/idsRoot/var/updates, es sind nur 57253 KB verfügbar. Fehlermeldung wird während des Upgrades angezeigt.
Lösung 1:
Um dieses Problem zu beheben, müssen Sie sich mit einem Dienstkonto bei der CLI des Sensors anmelden. Wenn Sie kein Dienstkonto haben, können Sie eines mit den folgenden Befehlen erstellen:
configure terminal user (username) priv service password (pass) exit
Wenn Sie sich beim Dienstkonto angemeldet haben, geben Sie die folgenden rm /usr/cids/idsRoot/var/*pmz-Befehle ein, und melden Sie sich vom Dienstkonto ab. Überprüfen Sie anschließend, ob das Upgrade abgeschlossen ist.
Lösung 2:
Dieser Fehler tritt auf, weil auf dem IPS-Modul weniger Speicherplatz verfügbar ist, da die Wiederherstellungsdateien auf dem Modul mehr Speicherplatz belegen. Führen Sie diese Schritte aus, um Wiederherstellungsdateien zu entfernen und diesen Fehler zu beheben:
bash-2.05b# cd /usr/cids/idsRoot/var/updates/ bash-2.05b# ls -l drwxr-xr-x 2 cids cids 1024 Jul 1 22:35 backups drwxr-xr-x 2 cids cids 1024 Oct 19 15:26 download drwxrwxr-x 2 cids cids 1024 Oct 19 15:26 logs -rw-r--r-- 1 root root 183 Sep 6 21:54 package -rw-r--r-- 1 cids cids 27587840 Jul 9 2009 recovery.gz drwxr-xr-x 2 cids cids 1024 Jul 1 22:35 scripts bash-2.05b# rm recovery.gz
Problem:
Diese Fehlermeldung wird angezeigt:
Cannot send xml document to sensor. java.security.cert.CertificateExpiredException: NotAfter:
Lösung:
Dieses Problem kann behoben werden, wenn Sie das tls-Zertifikat mit dem folgenden Befehl neu generieren:
sensor(config)#tls generate-key
Problem:
Wenn Sie versuchen, auf SSM zuzugreifen, wird diese Fehlermeldung angezeigt.
Opening command session with slot 1. Card in slot 1 did not respond to session request
Lösung:
Führen Sie den Befehl hw-module module 1 recover aus, um dieses Problem zu beheben. Weitere Informationen zu diesem Befehl finden Sie unter Recovering AIP-SSM (Wiederherstellen von AIP-SSM).
Problem:
Wenn Sie versuchen, das AIP SSM-Modul in die ASA einzufügen, wird diese Fehlermeldung angezeigt.
module in slot 1 experienced a channel communication failure
Lösung:
Laden Sie die ASA neu, um das Problem zu beheben. Wenn das Problem weiterhin besteht, wenden Sie sich an das TAC.
Problem:
AIP-SSM schlägt fehl, nachdem die Signatur aktualisiert wurde. Das Signaturupdate führt dazu, dass dem AIP-SSM der Arbeitsspeicher ausgeht und er nicht mehr reagiert, wenn die Anzahl der aktivierten Signaturen hoch ist.
Lösung:
Setzen Sie die Signaturdefinition zurück, um das Problem zu beheben. Wenn zu viele Signaturen aktiviert sind, setzen Sie die Signaturdefinition zurück. SSH auf den Sensor anwenden und die folgenden Befehle verwenden:
configure terminal service signature-definition sig0 default signatures exit exit
Problem:
Beim IPS-Sensor tritt ein Latenzproblem auf.
Lösung:
Das Latenzproblem tritt auf, wenn die deny-Aktion inline und deny-Paket für jede Signatur in VS0 aktiviert sind. Wenn Sie alle Signaturen aktivieren, führt dies zu einer Latenz, da IPS jedes einzelne Paket prüft, das von dieser Signatur durchlaufen wird. Es empfiehlt sich, zur Behebung des Latenzproblems nur die spezifische Signatur zu aktivieren, die entsprechend dem Netzwerkverkehrsfluss erforderlich ist.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
12-Jul-2007 |
Erstveröffentlichung |