ASA: Fehlerbehebung bei AIP-SSM

Download-Optionen

  • PDF     (266.2 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (83.5 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (69.3 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:9. Oktober 2007
Dokument-ID:97405

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird die Fehlerbehebung im nicht reagierenden Zustand des Advanced Inspection and Prevention Security Services Module (AIP-SSM) der Cisco Adaptive Security Appliance (ASA) der Serie 5500 beschrieben.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf dem AIP-SSM in der Cisco ASA der Serie 5500.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Fehlerbehebung

Nicht reagierender Zustand

Problem:

Das AIP-SSM reagiert nicht mehr, reagiert nicht mehr auf HTTP- oder ASDM-Zugriff und kann über die CLI darauf zugreifen:

show module

Mod Card Type                                    Model              Serial No. 
--- -------------------------------------------- ------------------ -----------
  0 ASA 5510 Adaptive Security Appliance         ASA5510            JMX0934K021
  1 ASA 5500 Series Security Services Module-10  ASA-SSM-10         JAB093203S3

Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
--- --------------------------------- ------------ ------------ ---------------
  0 0013.c480.a11d to 0013.c480.a121  1.0          1.0(10)0     7.0(2)
  1 0013.c480.b204 to 0013.c480.b204  1.0          1.0(10)0     5.0(2)S152.0

Mod Status            
--- ------------------
  0 Up Sys            
  1 Unresponsive

Lösung:

Geben Sie den Rücksetzbefehl hw-module module 1 für Ihre ASA ein. Mit diesem Befehl wird die Hardware des AIP-SSM zurückgesetzt. Sie ist anwendbar, wenn sich die Karte in einem der folgenden Zustände befindet:

  • aufstehen

  • hinuntergehen

  • unempfänglich

  • wiederherstellen

Wenn Sie die ASA in einem nicht reagierenden Zustand neu starten, muss Ihr SSM erneut abgebildet werden. Weitere Informationen und Schritte zum erneuten Abbilden des AIP-SSM finden Sie im Abschnitt Installieren des AIP-SSM-System-Images unter Aktualisieren, Downgraden und Installieren von System-Images.

Hinweis: Im Abschnitt Neuladen, Herunterfahren, Zurücksetzen und Wiederherstellen von AIP-SSM unter Konfigurieren von ASA-SSM finden Sie weitere Informationen zu den verschiedenen Befehlen, die zur Fehlerbehebung für AIP-SSM verfügbar sind.

Dieses Problem liegt an der Cisco Bug-ID CSCts58648 (nur für registrierte Kunden) .

Zugriff auf AIP SSM über ASDM nicht möglich

Problem:

Diese Fehlermeldung wird in der GUI angezeigt.

Error connecting to sensor. Error Loading Sensor error

Lösung:

Überprüfen Sie, ob die IPS SSM-Verwaltungsschnittstelle aktiv/inaktiv ist, und überprüfen Sie die konfigurierte IP-Adresse, Subnetzmaske und das Standardgateway. Dies ist die Schnittstelle, über die vom lokalen System auf die Cisco Adaptive Security Device Manager (ASDM)-Software zugegriffen werden kann. Versuchen Sie, einen Ping an die IP-Adresse der Verwaltungsschnittstelle von IPS SSM von dem lokalen Computer aus zu senden, auf den Sie auf den ASDM zugreifen möchten. Wenn der Ping-Befehl nicht ausgeführt werden kann, überprüfen Sie die ACLs auf dem Sensor.

Problem:

Die Fehlermeldung "Kann nicht mit der Haupt-App kommunizieren" wird angezeigt, wenn Sie versuchen, eine Verbindung zum AIP SSM-Modul herzustellen.

Lösung:

Laden Sie die ASA oder das AIP SSM-Modul neu, um diesen Fehler zu beheben.

IPS SSM kann nicht aktualisiert werden

Problem:

Die Fehlermeldung "Fehler: execUpgradeSoftware Connection failed" (Fehler: execUpgradeSoftware-Verbindung ist fehlgeschlagen) wird in der CLI angezeigt.

Lösung:

Stellen Sie sicher, dass die IPS SSM-Verwaltungsschnittstelle aktiv/inaktiv ist und dass dies die Schnittstelle ist, über die das ASA-IPS versucht, eine Verbindung herzustellen, um die Software herunterzuladen. Dabei handelt es sich nicht um eine Backplane-Verbindung zwischen ASA und IPS-SSM. Es handelt sich um die Ethernet-Verbindung auf dem AIP-SSM-Modul selbst, die mit einem Switch-Port verbunden und mit einer IP-Adresse, einer Subnetzmaske und einem Standard-Gateway konfiguriert werden muss. Wenn HTTP immer noch nicht funktioniert, verwenden Sie die Option FTP oder SCP mit dem Befehl upgrade (Aktualisieren).

Upgrade-Fehler: execUpgradeSoftware

Problem:

Der Fehler: execUpgradeSoftware Das Update erfordert 60340 KB in /usr/cids/idsRoot/var/updates, es sind nur 57253 KB verfügbar. Fehlermeldung wird während des Upgrades angezeigt.

Lösung 1:

Um dieses Problem zu beheben, müssen Sie sich mit einem Dienstkonto bei der CLI des Sensors anmelden. Wenn Sie kein Dienstkonto haben, können Sie eines mit den folgenden Befehlen erstellen:

configure terminal 
user (username) priv service password (pass)
 exit

Wenn Sie sich beim Dienstkonto angemeldet haben, geben Sie die folgenden rm /usr/cids/idsRoot/var/*pmz-Befehle ein, und melden Sie sich vom Dienstkonto ab. Überprüfen Sie anschließend, ob das Upgrade abgeschlossen ist.

Lösung 2:

Dieser Fehler tritt auf, weil auf dem IPS-Modul weniger Speicherplatz verfügbar ist, da die Wiederherstellungsdateien auf dem Modul mehr Speicherplatz belegen. Führen Sie diese Schritte aus, um Wiederherstellungsdateien zu entfernen und diesen Fehler zu beheben:

bash-2.05b# cd /usr/cids/idsRoot/var/updates/

bash-2.05b# ls -l

drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 backups
drwxr-xr-x    2 cids     cids         1024 Oct 19 15:26 download
drwxrwxr-x    2 cids     cids         1024 Oct 19 15:26 logs
-rw-r--r--    1 root     root          183 Sep  6 21:54 package
-rw-r--r--    1 cids     cids     27587840 Jul  9  2009 recovery.gz
drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 scripts

bash-2.05b# rm recovery.gz

Verbindung mit dem IPS Event Viewer (IEV) nicht möglich

Problem:

Diese Fehlermeldung wird angezeigt:

Cannot send xml document to sensor.
java.security.cert.CertificateExpiredException: NotAfter:

Lösung:

Dieses Problem kann behoben werden, wenn Sie das tls-Zertifikat mit dem folgenden Befehl neu generieren:

sensor(config)#tls generate-key

Zugriff auf AIP-SSM nicht möglich

Problem:

Wenn Sie versuchen, auf SSM zuzugreifen, wird diese Fehlermeldung angezeigt.

Opening command session with slot 1.
Card in slot 1 did not respond to session request

Lösung:

Führen Sie den Befehl hw-module module 1 recover aus, um dieses Problem zu beheben. Weitere Informationen zu diesem Befehl finden Sie unter Recovering AIP-SSM (Wiederherstellen von AIP-SSM).

Fehler beim Anschließen des AIP-SSM-Moduls an die ASA

Problem:

Wenn Sie versuchen, das AIP SSM-Modul in die ASA einzufügen, wird diese Fehlermeldung angezeigt.

module in slot 1 experienced a channel communication failure

Lösung:

Laden Sie die ASA neu, um das Problem zu beheben. Wenn das Problem weiterhin besteht, wenden Sie sich an das TAC.

AIP-SSM schlägt nach Signaturaktualisierung fehl

Problem:

AIP-SSM schlägt fehl, nachdem die Signatur aktualisiert wurde. Das Signaturupdate führt dazu, dass dem AIP-SSM der Arbeitsspeicher ausgeht und er nicht mehr reagiert, wenn die Anzahl der aktivierten Signaturen hoch ist.

Lösung:

Setzen Sie die Signaturdefinition zurück, um das Problem zu beheben. Wenn zu viele Signaturen aktiviert sind, setzen Sie die Signaturdefinition zurück. SSH auf den Sensor anwenden und die folgenden Befehle verwenden:

configure terminal

service signature-definition sig0

default signatures

exit

exit

Latenzprobleme mit IPS-Sensor

Problem:

Beim IPS-Sensor tritt ein Latenzproblem auf.

Lösung:

Das Latenzproblem tritt auf, wenn die deny-Aktion inline und deny-Paket für jede Signatur in VS0 aktiviert sind. Wenn Sie alle Signaturen aktivieren, führt dies zu einer Latenz, da IPS jedes einzelne Paket prüft, das von dieser Signatur durchlaufen wird. Es empfiehlt sich, zur Behebung des Latenzproblems nur die spezifische Signatur zu aktivieren, die entsprechend dem Netzwerkverkehrsfluss erforderlich ist.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
12-Jul-2007
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.