ASA:AIP-SSMのトラブルシューティング

ダウンロード オプション

  • PDF     (347.5 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (82.6 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (69.8 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2007 年 10 月 9 日
Document ID:97405

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、Cisco 5500 シリーズ適応型セキュリティ アプライアンス(ASA)の Advanced Inspection and Prevention Security Services Module(AIP-SSM)が応答しない状態をトラブルシューティングする方法を説明します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、Cisco 5500 シリーズ ASA の AIP-SSM に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

トラブルシューティング

応答しない状態

問題:

次に示すように、AIP-SSMは無応答状態になり、HTTPまたはASDMアクセスへの応答に失敗しますが、CLIからアクセスできます。

show module

Mod Card Type                                    Model              Serial No. 
--- -------------------------------------------- ------------------ -----------
  0 ASA 5510 Adaptive Security Appliance         ASA5510            JMX0934K021
  1 ASA 5500 Series Security Services Module-10  ASA-SSM-10         JAB093203S3

Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
--- --------------------------------- ------------ ------------ ---------------
  0 0013.c480.a11d to 0013.c480.a121  1.0          1.0(10)0     7.0(2)
  1 0013.c480.b204 to 0013.c480.b204  1.0          1.0(10)0     5.0(2)S152.0

Mod Status            
--- ------------------
  0 Up Sys            
  1 Unresponsive

ソリューション:

ASA で hw-module module 1 reset コマンドを発行します。このコマンドは AIP-SSM のハードウェア リセットを実行します。カードが次のいずれかの状態である場合に適用されます。

  • up

  • down

  • unresponsive

  • recover

応答しない状態の ASA をリブートすると、SSM のイメージが再作成されます。AIP-SSM のイメージ再作成手順の詳細については、『システム イメージのアップグレード、ダウンロード、およびインストール』の「AIP-SSM システム イメージのインストール」セクションを参照してください。

注:AIP-SSMのトラブルシューティングに使用できる各種のコマンドの詳細については、『ASA-SSMの設定』の「AIP-SSMのリロード、シャットダウン、リセット、および回復」セクションを参照してください。

これは、Cisco Bug ID CSCts58648(登録ユーザ専用)によるものです。

ASDM を経由して AIP SSM にアクセスできない

問題:

GUI に、次のエラー メッセージが表示されます。

Error connecting to sensor. Error Loading Sensor error

ソリューション:

IPS SSM 管理インターフェイスの up/down を確認し、設定済みの IP アドレス、サブネット マスク、およびデフォルト ゲートウェイを確認します。これは、ローカル マシンから、Cisco Adaptive Security Device Manager(ASDM)ソフトウェアにアクセスするインターフェイスです。ASDM にアクセスするローカル マシンから、IPS SSM の管理インターフェイス IP アドレスに ping を実行してみます。ping ができない場合は、センサーの ACL を確認します。

問題:

AIP SSM モジュールに接続しようとすると、「cannot communicate with main app」というエラー メッセージが表示されます。

ソリューション:

このエラーを解決するには、ASA または AIP SSM モジュールをリロードします。

IPS SSM のアップグレードまたはアップデートができない

問題:

Error: execUpgradeSoftware Connection failedエラーメッセージがCLIに表示されます。

ソリューション:

IPS SSM 管理インターフェイスの up/down を確認し、ソフトウェアをダウンロードするために接続しようとする ASA-IPS へのインターフェイスであることを確認します。これは、ASAとIPS-SSM間のバックプレーン接続ではありません。これは、AIP-SSMモジュール自体のイーサネット接続であり、スイッチポートに接続し、IPアドレス、サブネットマスク、およびデフォルトゲートウェイを設定する必要があります。http がまだ動作していない場合は、upgrade コマンドで FTP または SCP オプションを使用してみます。

アップグレードエラー:execUpgradeSoftware

問題:

Error: execUpgradeSoftware The update requires 60340 KB in /usr/cids/idsRoot/var/updates, there are only 57253 KB available.」というエラーメッセージがアップグレード中に表示されます。

解決策 1:

この問題を修正するには、サービス アカウントを使用して CLI にログインする必要があります。サービス アカウントを保有していない場合は、次のコマンドを使用して作成できます。

configure terminal 
user (username) priv service password (pass)
 exit

サービス アカウントでログインした後、rm /usr/cids/idsRoot/var/*pmz コマンドを発行し、サービス アカウントをログアウトします。アップグレードが完了したことを確認します。

解決策 2:

このエラーは、回復ファイルが IPS モジュールの領域の多くを占め、使用可能な領域が少ないために発生します。回復ファイルを削除するために、次の手順を実行し、このエラーを解決します。

bash-2.05b# cd /usr/cids/idsRoot/var/updates/

bash-2.05b# ls -l

drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 backups
drwxr-xr-x    2 cids     cids         1024 Oct 19 15:26 download
drwxrwxr-x    2 cids     cids         1024 Oct 19 15:26 logs
-rw-r--r--    1 root     root          183 Sep  6 21:54 package
-rw-r--r--    1 cids     cids     27587840 Jul  9  2009 recovery.gz
drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 scripts

bash-2.05b# rm recovery.gz

IPS Event Viewer(IEV; IPS イベント ビューア)を使用して IPS に接続できない

問題:

次のエラー メッセージが表示されます。

Cannot send xml document to sensor.
java.security.cert.CertificateExpiredException: NotAfter:

ソリューション:

次のコマンドを使用して tls 証明書を再作成すると、この問題を解決できます。

sensor(config)#tls generate-key

AIP-SSM にアクセスできない

問題:

SSM にアクセスしようとするときに、次のエラー メッセージが表示されます。

Opening command session with slot 1.
Card in slot 1 did not respond to session request

ソリューション:

この問題を解決するには、hw-module module 1 recover コマンドを発行します。このコマンドの詳細については、「AIP-SSM の回復」を参照してください。

AIP-SSMモジュールがASAにプラグインされているときのエラー

問題:

AIP SSMモジュールをASAに挿入しようとすると、次のエラーメッセージが表示されます。

module in slot 1 experienced a channel communication failure

ソリューション:

この問題を解決するには、ASAをリロードします。それでも問題が解決しない場合は、TACに連絡してサポートを依頼してください。

AIP-SSMがシグニチャ更新後に失敗する

問題:

シグニチャの更新後にAIP-SSMが失敗するシグニチャのアップデートにより、有効なシグニチャの数が多くなると、AIP-SSMがメモリ不足になり、応答しなくなります。

ソリューション:

この問題を解決するには、シグニチャ定義をリセットします。有効なシグニチャが多すぎる場合は、シグニチャ定義をリセットしてみてください。センサーにSSH接続し、次のコマンドを使用します。

configure terminal

service signature-definition sig0

default signatures

exit

exit

IPSセンサーによる遅延の問題

問題:

IPSセンサーで遅延の問題が発生する。

ソリューション:

遅延の問題は、インライン拒否動作と拒否パケットが、VS0 のすべてのシグニチャに対して有効になっている場合に発生します。すべてのシグニチャを有効にすると、IPSが通過するすべてのパケットを検査するため、遅延が発生します。遅延の問題を解決するには、ネットワーク トラフィック フローに従って、必要な特定のシグニチャのみを有効にすることをお勧めします。

関連情報

更新履歴

改定 発行日 コメント
1.0
12-Jul-2007
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています