本文档介绍如何对Cisco 5500系列自适应安全设备(ASA)中的高级检测和防御安全服务模块(AIP-SSM)的无响应状态进行故障排除。
本文档没有任何特定的要求。
本文档中的信息基于Cisco 5500系列ASA中的AIP-SSM。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
问题:
AIP-SSM进入无响应状态,无法响应HTTP或ASDM访问,但可以从CLI访问,如下所示:
show module Mod Card Type Model Serial No. --- -------------------------------------------- ------------------ ----------- 0 ASA 5510 Adaptive Security Appliance ASA5510 JMX0934K021 1 ASA 5500 Series Security Services Module-10 ASA-SSM-10 JAB093203S3 Mod MAC Address Range Hw Version Fw Version Sw Version --- --------------------------------- ------------ ------------ --------------- 0 0013.c480.a11d to 0013.c480.a121 1.0 1.0(10)0 7.0(2) 1 0013.c480.b204 to 0013.c480.b204 1.0 1.0(10)0 5.0(2)S152.0 Mod Status --- ------------------ 0 Up Sys 1 Unresponsive
解决方案:
在ASA上发出hw-module module 1 reset命令。此命令执行AIP-SSM的硬件重置。当卡处于以下任一状态时,它适用:
up
关闭
无响应
恢复
如果在无响应状态下重新启动ASA,则必须重新映像SSM。有关如何重新映像AIP-SSM的更多信息和步骤,请参阅升级、下载和安装系统映像的安装AIP-SSM系统映像部分。
注意:有关可用于对AIP-SSM进行故障排除的各种命令的详细信息,请参阅配置ASA-SSM 的重新加载、关闭、重置和恢复AIP-SSM部分。
此问题由Cisco bug ID CSCts58648(仅限于注册客户)所致。
问题:
在GUI上看到此错误消息。
Error connecting to sensor. Error Loading Sensor error
解决方案:
检查IPS SSM管理接口是否为up/down,并检查其配置的IP地址、子网掩码和默认网关。这是从本地计算机访问思科自适应安全设备管理器(ASDM)软件的接口。尝试从要访问ASDM的本地计算机ping IPS SSM的管理接口IP地址。如果无法ping通,请检查传感器上的ACL。
问题:
尝试连接到AIP SSM模块时显示cannot communicate with main app错误消息。
解决方案:
重新加载ASA或AIP SSM模块以解决此错误。
问题:
CLI上显示Error: execUpgradeSoftware Connection failed错误消息。
解决方案:
检查IPS SSM管理接口是否为up/down,以及该接口是否为ASA-IPS尝试联系以下载软件的接口。这不是ASA和IPS-SSM之间的背板连接;它是AIP-SSM模块本身的以太网连接,需要连接到交换机端口并配置有IP地址、子网掩码和默认网关。如果http仍然不起作用,请尝试使用FTP或SCP选项以及upgrade 命令。
问题:
Error: execUpgradeSoftware The update requires 60340 KB in /usr/cids/idsRoot/var/updates, there are only 57253 KB available.升级过程中出现错误消息。
解决方案 1:
要解决此问题,您需要使用服务帐户登录传感器的CLI。如果您没有服务帐户,可以使用以下命令创建一个服务帐户:
configure terminal user (username) priv service password (pass) exit
登录到服务帐户后,发出以下rm /usr/cids/idsRoot/var/*pmz命令并从服务帐户注销。然后检查升级是否完成。
解决方案 2:
发生此错误的原因是IPS模块上的可用空间较少,因为恢复文件占用了模块上的更多空间。完成以下步骤以删除恢复文件并解决此错误:
bash-2.05b# cd /usr/cids/idsRoot/var/updates/ bash-2.05b# ls -l drwxr-xr-x 2 cids cids 1024 Jul 1 22:35 backups drwxr-xr-x 2 cids cids 1024 Oct 19 15:26 download drwxrwxr-x 2 cids cids 1024 Oct 19 15:26 logs -rw-r--r-- 1 root root 183 Sep 6 21:54 package -rw-r--r-- 1 cids cids 27587840 Jul 9 2009 recovery.gz drwxr-xr-x 2 cids cids 1024 Jul 1 22:35 scripts bash-2.05b# rm recovery.gz
问题:
显示以下错误消息:
Cannot send xml document to sensor. java.security.cert.CertificateExpiredException: NotAfter:
解决方案:
如果使用以下命令重新生成tls证书,则可以解决此问题:
sensor(config)#tls generate-key
问题:
当您尝试访问SSM时,会显示此错误消息。
Opening command session with slot 1. Card in slot 1 did not respond to session request
解决方案:
发出hw-module module 1 recover命令可解决此问题。有关此命令的详细信息,请参阅恢复AIP-SSM。
问题:
当您尝试将AIP SSM模块插入ASA时,会显示此错误消息。
module in slot 1 experienced a channel communication failure
解决方案:
重新加载ASA以解决此问题。如果问题仍然存在,请联系TAC获取进一步帮助。
问题:
更新签名后,AIP-SSM失败。签名更新会导致AIP-SSM内存不足,并且在启用的签名数量很高时变得无响应。
解决方案:
重置签名定义以解决问题。如果启用了太多签名,请尝试重置签名定义。通过SSH连接到传感器并使用以下命令:
configure terminal service signature-definition sig0 default signatures exit exit
问题:
IPS传感器出现延迟问题。
解决方案:
在VS0中,如果启用了每个签名的deny action inline和deny packet,就会发生延迟问题。如果启用所有签名,则会导致延迟,因为IPS会检查所通过的每个数据包。最好只启用每个网络流量所需的特定签名,以解决延迟问题。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
12-Jul-2007 |
初始版本 |