Questo documento descrive come risolvere i problemi relativi allo stato di mancata risposta del modulo AIP-SSM (Advanced Inspection and Prevention Security Services Module) in Cisco serie 5500 Adaptive Security Appliance (ASA).
Nessun requisito specifico previsto per questo documento.
Le informazioni fornite in questo documento si basano sull'AIP-SSM nell'appliance ASA Cisco serie 5500.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.
Problema:
AIP-SSM passa in uno stato di mancata risposta, non risponde all'accesso HTTP o ASDM ma è accessibile dalla CLI, come mostrato:
show module Mod Card Type Model Serial No. --- -------------------------------------------- ------------------ ----------- 0 ASA 5510 Adaptive Security Appliance ASA5510 JMX0934K021 1 ASA 5500 Series Security Services Module-10 ASA-SSM-10 JAB093203S3 Mod MAC Address Range Hw Version Fw Version Sw Version --- --------------------------------- ------------ ------------ --------------- 0 0013.c480.a11d to 0013.c480.a121 1.0 1.0(10)0 7.0(2) 1 0013.c480.b204 to 0013.c480.b204 1.0 1.0(10)0 5.0(2)S152.0 Mod Status --- ------------------ 0 Up Sys 1 Unresponsive
Soluzione:
Eseguire il comando reset dell'hw-module modulo 1 sull'appliance ASA. Questo comando esegue un reset dell'hardware di AIP-SSM. È applicabile quando la scheda si trova in uno dei seguenti stati:
verso l'alto
giù
non risponde
recuperare
Se l'appliance ASA viene riavviata quando lo stato non risponde, è necessario ricreare l'immagine dell'SSM. Per ulteriori informazioni e istruzioni su come ricreare l'immagine del sistema AIP-SSM, consultare la sezione Installazione dell'immagine del sistema AIP-SSM in Aggiornamento, downgrade e installazione delle immagini del sistema.
Nota: per ulteriori informazioni sui vari comandi disponibili per risolvere il problema di AIP-SSM, consultare la sezione Ricaricamento, arresto, reimpostazione e recupero di AIP-SSM in Configurazione di ASA-SSM.
Il problema è dovuto all'ID bug Cisco CSCts58648 (solo utenti registrati).
Problema:
Questo messaggio di errore viene visualizzato sulla GUI.
Error connecting to sensor. Error Loading Sensor error
Soluzione:
Verificare che l'interfaccia di gestione IPS SSM sia attiva/inattiva e controllare l'indirizzo IP configurato, la subnet mask e il gateway predefinito. Questa è l'interfaccia per accedere al software Cisco Adaptive Security Device Manager (ASDM) dal computer locale. Eseguire il ping dell'indirizzo IP dell'interfaccia di gestione di SSM IPS dal computer locale a cui si desidera accedere ad ASDM. Se non è possibile eseguire il ping, controllare gli ACL sul sensore.
Problema:
Durante il tentativo di connessione al modulo SSM AIP viene visualizzato il messaggio di errore Impossibile comunicare con l'app principale.
Soluzione:
Per risolvere il problema, ricaricare l'ASA o il modulo SSM AIP.
Problema:
Il messaggio di errore Error: execUpgradeSoftware Connection failed viene visualizzato nella CLI.
Soluzione:
Verificare che l'interfaccia di gestione IPS SSM sia attiva/inattiva e che sia l'interfaccia tramite la quale l'ASA-IPS tenta di contattare per scaricare il software. Questa non è una connessione backplane tra l'ASA e l'IPS-SSM; è la connessione Ethernet sul modulo AIP-SSM stesso che deve essere connessa a una porta dello switch e configurata con un indirizzo IP, una subnet mask e un gateway predefinito. Se il comando http non funziona, provare a utilizzare l'opzione FTP o SCP con il comando upgrade.
Problema:
L'errore: execUpgradeSoftware L'aggiornamento richiede 60340 KB in /usr/cids/idsRoot/var/updates, sono disponibili solo 57253 KB. Durante l'aggiornamento viene visualizzato un messaggio di errore.
Soluzione 1:
Per risolvere il problema, è necessario accedere alla CLI del sensore con un account del servizio. Se non si dispone di un account del servizio, è possibile crearne uno con i seguenti comandi:
configure terminal user (username) priv service password (pass) exit
Dopo aver effettuato l'accesso all'account del servizio, eseguire i seguenti comandi rm /usr/cids/idsRoot/var/*pmz e disconnettersi dall'account del servizio. Verificare quindi che l'aggiornamento sia stato completato.
Soluzione 2:
Questo errore si verifica a causa dello spazio inferiore disponibile sul modulo IPS, in quanto i file di ripristino occupano più spazio sul modulo. Per rimuovere i file di ripristino e risolvere l'errore, completare la procedura seguente:
bash-2.05b# cd /usr/cids/idsRoot/var/updates/ bash-2.05b# ls -l drwxr-xr-x 2 cids cids 1024 Jul 1 22:35 backups drwxr-xr-x 2 cids cids 1024 Oct 19 15:26 download drwxrwxr-x 2 cids cids 1024 Oct 19 15:26 logs -rw-r--r-- 1 root root 183 Sep 6 21:54 package -rw-r--r-- 1 cids cids 27587840 Jul 9 2009 recovery.gz drwxr-xr-x 2 cids cids 1024 Jul 1 22:35 scripts bash-2.05b# rm recovery.gz
Problema:
Viene visualizzato questo messaggio di errore:
Cannot send xml document to sensor. java.security.cert.CertificateExpiredException: NotAfter:
Soluzione:
Per risolvere il problema, è possibile rigenerare il certificato tls con questo comando:
sensor(config)#tls generate-key
Problema:
Quando si tenta di accedere a SSM, viene visualizzato questo messaggio di errore.
Opening command session with slot 1. Card in slot 1 did not respond to session request
Soluzione:
Per risolvere il problema, usare il comando hw-module modulo 1 recovery. Per ulteriori informazioni sul comando, consultare il documento sul recupero di AIP-SSM.
Problema:
Quando si tenta di inserire il modulo SSM AIP nell'appliance ASA, viene visualizzato questo messaggio di errore.
module in slot 1 experienced a channel communication failure
Soluzione:
Ricaricare l'appliance ASA per risolvere il problema. Se il problema persiste, contattare TAC per ulteriore assistenza.
Problema:
AIP-SSM non riuscito dopo l'aggiornamento della firma. L'aggiornamento della firma provoca l'esaurimento della memoria di AIP-SSM e la mancata risposta quando il numero di firme abilitate è elevato.
Soluzione:
Per risolvere il problema, reimpostare la definizione della firma. Se sono abilitate troppe firme, provare a reimpostare la definizione della firma. SSH al sensore e usare questi comandi:
configure terminal service signature-definition sig0 default signatures exit exit
Problema:
Si verifica un problema di latenza con il sensore IPS.
Soluzione:
Il problema di latenza si verifica quando l'azione di negazione inline e il pacchetto di negazione sono abilitati per ogni firma in VS0. Se si attivano tutte le firme, si ottiene una latenza in quanto IPS controlla ogni singolo pacchetto attraversato. È consigliabile abilitare solo la firma specifica richiesta in base al flusso del traffico di rete per risolvere il problema di latenza.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
12-Jul-2007 |
Versione iniziale |