このドキュメントでは、Cisco 5500 シリーズ適応型セキュリティ アプライアンス(ASA)の Advanced Inspection and Prevention Security Services Module(AIP-SSM)が応答しない状態をトラブルシューティングする方法を説明します。
このドキュメントに関する固有の要件はありません。
このドキュメントの情報は、Cisco 5500 シリーズ ASA の AIP-SSM に基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
問題:
次に示すように、AIP-SSMは無応答状態になり、HTTPまたはASDMアクセスへの応答に失敗しますが、CLIからアクセスできます。
show module Mod Card Type Model Serial No. --- -------------------------------------------- ------------------ ----------- 0 ASA 5510 Adaptive Security Appliance ASA5510 JMX0934K021 1 ASA 5500 Series Security Services Module-10 ASA-SSM-10 JAB093203S3 Mod MAC Address Range Hw Version Fw Version Sw Version --- --------------------------------- ------------ ------------ --------------- 0 0013.c480.a11d to 0013.c480.a121 1.0 1.0(10)0 7.0(2) 1 0013.c480.b204 to 0013.c480.b204 1.0 1.0(10)0 5.0(2)S152.0 Mod Status --- ------------------ 0 Up Sys 1 Unresponsive
ソリューション:
ASA で hw-module module 1 reset コマンドを発行します。このコマンドは AIP-SSM のハードウェア リセットを実行します。カードが次のいずれかの状態である場合に適用されます。
up
down
unresponsive
recover
応答しない状態の ASA をリブートすると、SSM のイメージが再作成されます。AIP-SSM のイメージ再作成手順の詳細については、『システム イメージのアップグレード、ダウンロード、およびインストール』の「AIP-SSM システム イメージのインストール」セクションを参照してください。
注:AIP-SSMのトラブルシューティングに使用できる各種のコマンドの詳細については、『ASA-SSMの設定』の「AIP-SSMのリロード、シャットダウン、リセット、および回復」セクションを参照してください。
これは、Cisco Bug ID CSCts58648(登録ユーザ専用)によるものです。
問題:
GUI に、次のエラー メッセージが表示されます。
Error connecting to sensor. Error Loading Sensor error
ソリューション:
IPS SSM 管理インターフェイスの up/down を確認し、設定済みの IP アドレス、サブネット マスク、およびデフォルト ゲートウェイを確認します。これは、ローカル マシンから、Cisco Adaptive Security Device Manager(ASDM)ソフトウェアにアクセスするインターフェイスです。ASDM にアクセスするローカル マシンから、IPS SSM の管理インターフェイス IP アドレスに ping を実行してみます。ping ができない場合は、センサーの ACL を確認します。
問題:
AIP SSM モジュールに接続しようとすると、「cannot communicate with main app」というエラー メッセージが表示されます。
ソリューション:
このエラーを解決するには、ASA または AIP SSM モジュールをリロードします。
問題:
Error: execUpgradeSoftware Connection failedエラーメッセージがCLIに表示されます。
ソリューション:
IPS SSM 管理インターフェイスの up/down を確認し、ソフトウェアをダウンロードするために接続しようとする ASA-IPS へのインターフェイスであることを確認します。これは、ASAとIPS-SSM間のバックプレーン接続ではありません。これは、AIP-SSMモジュール自体のイーサネット接続であり、スイッチポートに接続し、IPアドレス、サブネットマスク、およびデフォルトゲートウェイを設定する必要があります。http がまだ動作していない場合は、upgrade コマンドで FTP または SCP オプションを使用してみます。
問題:
Error: execUpgradeSoftware The update requires 60340 KB in /usr/cids/idsRoot/var/updates, there are only 57253 KB available.」というエラーメッセージがアップグレード中に表示されます。
解決策 1:
この問題を修正するには、サービス アカウントを使用して CLI にログインする必要があります。サービス アカウントを保有していない場合は、次のコマンドを使用して作成できます。
configure terminal user (username) priv service password (pass) exit
サービス アカウントでログインした後、rm /usr/cids/idsRoot/var/*pmz コマンドを発行し、サービス アカウントをログアウトします。アップグレードが完了したことを確認します。
解決策 2:
このエラーは、回復ファイルが IPS モジュールの領域の多くを占め、使用可能な領域が少ないために発生します。回復ファイルを削除するために、次の手順を実行し、このエラーを解決します。
bash-2.05b# cd /usr/cids/idsRoot/var/updates/ bash-2.05b# ls -l drwxr-xr-x 2 cids cids 1024 Jul 1 22:35 backups drwxr-xr-x 2 cids cids 1024 Oct 19 15:26 download drwxrwxr-x 2 cids cids 1024 Oct 19 15:26 logs -rw-r--r-- 1 root root 183 Sep 6 21:54 package -rw-r--r-- 1 cids cids 27587840 Jul 9 2009 recovery.gz drwxr-xr-x 2 cids cids 1024 Jul 1 22:35 scripts bash-2.05b# rm recovery.gz
問題:
次のエラー メッセージが表示されます。
Cannot send xml document to sensor. java.security.cert.CertificateExpiredException: NotAfter:
ソリューション:
次のコマンドを使用して tls 証明書を再作成すると、この問題を解決できます。
sensor(config)#tls generate-key
問題:
SSM にアクセスしようとするときに、次のエラー メッセージが表示されます。
Opening command session with slot 1. Card in slot 1 did not respond to session request
ソリューション:
この問題を解決するには、hw-module module 1 recover コマンドを発行します。このコマンドの詳細については、「AIP-SSM の回復」を参照してください。
問題:
AIP SSMモジュールをASAに挿入しようとすると、次のエラーメッセージが表示されます。
module in slot 1 experienced a channel communication failure
ソリューション:
この問題を解決するには、ASAをリロードします。それでも問題が解決しない場合は、TACに連絡してサポートを依頼してください。
問題:
シグニチャの更新後にAIP-SSMが失敗するシグニチャのアップデートにより、有効なシグニチャの数が多くなると、AIP-SSMがメモリ不足になり、応答しなくなります。
ソリューション:
この問題を解決するには、シグニチャ定義をリセットします。有効なシグニチャが多すぎる場合は、シグニチャ定義をリセットしてみてください。センサーにSSH接続し、次のコマンドを使用します。
configure terminal service signature-definition sig0 default signatures exit exit
問題:
IPSセンサーで遅延の問題が発生する。
ソリューション:
遅延の問題は、インライン拒否動作と拒否パケットが、VS0 のすべてのシグニチャに対して有効になっている場合に発生します。すべてのシグニチャを有効にすると、IPSが通過するすべてのパケットを検査するため、遅延が発生します。遅延の問題を解決するには、ネットワーク トラフィック フローに従って、必要な特定のシグニチャのみを有効にすることをお勧めします。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
12-Jul-2007 |
初版 |