ASA: risoluzione dei problemi di AIP-SSM

Opzioni per il download

  • PDF     (264.2 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (84.1 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (69.8 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:9 ottobre 2007
ID documento:97405

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

Questo documento descrive come risolvere i problemi relativi allo stato di mancata risposta del modulo AIP-SSM (Advanced Inspection and Prevention Security Services Module) in Cisco serie 5500 Adaptive Security Appliance (ASA).

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Le informazioni fornite in questo documento si basano sull'AIP-SSM nell'appliance ASA Cisco serie 5500.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Convenzioni

Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.

Risoluzione dei problemi

Stato che non risponde

Problema:

AIP-SSM passa in uno stato di mancata risposta, non risponde all'accesso HTTP o ASDM ma è accessibile dalla CLI, come mostrato:

show module

Mod Card Type                                    Model              Serial No. 
--- -------------------------------------------- ------------------ -----------
  0 ASA 5510 Adaptive Security Appliance         ASA5510            JMX0934K021
  1 ASA 5500 Series Security Services Module-10  ASA-SSM-10         JAB093203S3

Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
--- --------------------------------- ------------ ------------ ---------------
  0 0013.c480.a11d to 0013.c480.a121  1.0          1.0(10)0     7.0(2)
  1 0013.c480.b204 to 0013.c480.b204  1.0          1.0(10)0     5.0(2)S152.0

Mod Status            
--- ------------------
  0 Up Sys            
  1 Unresponsive

Soluzione:

Eseguire il comando reset dell'hw-module modulo 1 sull'appliance ASA. Questo comando esegue un reset dell'hardware di AIP-SSM. È applicabile quando la scheda si trova in uno dei seguenti stati:

  • verso l'alto

  • giù

  • non risponde

  • recuperare

Se l'appliance ASA viene riavviata quando lo stato non risponde, è necessario ricreare l'immagine dell'SSM. Per ulteriori informazioni e istruzioni su come ricreare l'immagine del sistema AIP-SSM, consultare la sezione Installazione dell'immagine del sistema AIP-SSM in Aggiornamento, downgrade e installazione delle immagini del sistema.

Nota: per ulteriori informazioni sui vari comandi disponibili per risolvere il problema di AIP-SSM, consultare la sezione Ricaricamento, arresto, reimpostazione e recupero di AIP-SSM in Configurazione di ASA-SSM.

Il problema è dovuto all'ID bug Cisco CSCts58648 (solo utenti registrati).

Impossibile accedere a AIP SSM tramite ASDM

Problema:

Questo messaggio di errore viene visualizzato sulla GUI.

Error connecting to sensor. Error Loading Sensor error

Soluzione:

Verificare che l'interfaccia di gestione IPS SSM sia attiva/inattiva e controllare l'indirizzo IP configurato, la subnet mask e il gateway predefinito. Questa è l'interfaccia per accedere al software Cisco Adaptive Security Device Manager (ASDM) dal computer locale. Eseguire il ping dell'indirizzo IP dell'interfaccia di gestione di SSM IPS dal computer locale a cui si desidera accedere ad ASDM. Se non è possibile eseguire il ping, controllare gli ACL sul sensore.

Problema:

Durante il tentativo di connessione al modulo SSM AIP viene visualizzato il messaggio di errore Impossibile comunicare con l'app principale.

Soluzione:

Per risolvere il problema, ricaricare l'ASA o il modulo SSM AIP.

Impossibile aggiornare IPS SSM

Problema:

Il messaggio di errore Error: execUpgradeSoftware Connection failed viene visualizzato nella CLI.

Soluzione:

Verificare che l'interfaccia di gestione IPS SSM sia attiva/inattiva e che sia l'interfaccia tramite la quale l'ASA-IPS tenta di contattare per scaricare il software. Questa non è una connessione backplane tra l'ASA e l'IPS-SSM; è la connessione Ethernet sul modulo AIP-SSM stesso che deve essere connessa a una porta dello switch e configurata con un indirizzo IP, una subnet mask e un gateway predefinito. Se il comando http non funziona, provare a utilizzare l'opzione FTP o SCP con il comando upgrade.

Errore di aggiornamento : execUpgradeSoftware

Problema:

L'errore: execUpgradeSoftware L'aggiornamento richiede 60340 KB in /usr/cids/idsRoot/var/updates, sono disponibili solo 57253 KB. Durante l'aggiornamento viene visualizzato un messaggio di errore.

Soluzione 1:

Per risolvere il problema, è necessario accedere alla CLI del sensore con un account del servizio. Se non si dispone di un account del servizio, è possibile crearne uno con i seguenti comandi:

configure terminal 
user (username) priv service password (pass)
 exit

Dopo aver effettuato l'accesso all'account del servizio, eseguire i seguenti comandi rm /usr/cids/idsRoot/var/*pmz e disconnettersi dall'account del servizio. Verificare quindi che l'aggiornamento sia stato completato.

Soluzione 2:

Questo errore si verifica a causa dello spazio inferiore disponibile sul modulo IPS, in quanto i file di ripristino occupano più spazio sul modulo. Per rimuovere i file di ripristino e risolvere l'errore, completare la procedura seguente:

bash-2.05b# cd /usr/cids/idsRoot/var/updates/

bash-2.05b# ls -l

drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 backups
drwxr-xr-x    2 cids     cids         1024 Oct 19 15:26 download
drwxrwxr-x    2 cids     cids         1024 Oct 19 15:26 logs
-rw-r--r--    1 root     root          183 Sep  6 21:54 package
-rw-r--r--    1 cids     cids     27587840 Jul  9  2009 recovery.gz
drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 scripts

bash-2.05b# rm recovery.gz

Impossibile connettersi all'IPS con il Visualizzatore eventi IPS (IEV)

Problema:

Viene visualizzato questo messaggio di errore:

Cannot send xml document to sensor.
java.security.cert.CertificateExpiredException: NotAfter:

Soluzione:

Per risolvere il problema, è possibile rigenerare il certificato tls con questo comando:

sensor(config)#tls generate-key

Impossibile accedere a AIP-SSM

Problema:

Quando si tenta di accedere a SSM, viene visualizzato questo messaggio di errore.

Opening command session with slot 1.
Card in slot 1 did not respond to session request

Soluzione:

Per risolvere il problema, usare il comando hw-module modulo 1 recovery. Per ulteriori informazioni sul comando, consultare il documento sul recupero di AIP-SSM.

Errore quando il modulo AIP-SSM è collegato all'appliance ASA

Problema:

Quando si tenta di inserire il modulo SSM AIP nell'appliance ASA, viene visualizzato questo messaggio di errore.

module in slot 1 experienced a channel communication failure

Soluzione:

Ricaricare l'appliance ASA per risolvere il problema. Se il problema persiste, contattare TAC per ulteriore assistenza.

Errore di AIP-SSM dopo l'aggiornamento della firma

Problema:

AIP-SSM non riuscito dopo l'aggiornamento della firma. L'aggiornamento della firma provoca l'esaurimento della memoria di AIP-SSM e la mancata risposta quando il numero di firme abilitate è elevato.

Soluzione:

Per risolvere il problema, reimpostare la definizione della firma. Se sono abilitate troppe firme, provare a reimpostare la definizione della firma. SSH al sensore e usare questi comandi:

configure terminal

service signature-definition sig0

default signatures

exit

exit

Problemi di latenza con il sensore IPS

Problema:

Si verifica un problema di latenza con il sensore IPS.

Soluzione:

Il problema di latenza si verifica quando l'azione di negazione inline e il pacchetto di negazione sono abilitati per ogni firma in VS0. Se si attivano tutte le firme, si ottiene una latenza in quanto IPS controlla ogni singolo pacchetto attraversato. È consigliabile abilitare solo la firma specifica richiesta in base al flusso del traffico di rete per risolvere il problema di latenza.

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
12-Jul-2007
Versione iniziale

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti