ASA：排除AIP-SSM故障

简介

本文档介绍如何对Cisco 5500系列自适应安全设备(ASA)中的高级检测和防御安全服务模块(AIP-SSM)的无响应状态进行故障排除。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于Cisco 5500系列ASA中的AIP-SSM。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

故障排除

无响应状态

问题：

AIP-SSM进入无响应状态，无法响应HTTP或ASDM访问，但可以从CLI访问，如下所示：

show module

Mod Card Type                                    Model              Serial No. 
--- -------------------------------------------- ------------------ -----------
  0 ASA 5510 Adaptive Security Appliance         ASA5510            JMX0934K021
  1 ASA 5500 Series Security Services Module-10  ASA-SSM-10         JAB093203S3

Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
--- --------------------------------- ------------ ------------ ---------------
  0 0013.c480.a11d to 0013.c480.a121  1.0          1.0(10)0     7.0(2)
  1 0013.c480.b204 to 0013.c480.b204  1.0          1.0(10)0     5.0(2)S152.0

Mod Status            
--- ------------------
  0 Up Sys            
  1 Unresponsive

解决方案：

在ASA上发出hw-module module 1 reset命令。此命令执行AIP-SSM的硬件重置。当卡处于以下任一状态时，它适用：

• up

• 关闭

• 无响应

• 恢复

如果在无响应状态下重新启动ASA，则必须重新映像SSM。有关如何重新映像AIP-SSM的更多信息和步骤，请参阅升级、下载和安装系统映像的安装AIP-SSM系统映像部分。

注意：有关可用于对AIP-SSM进行故障排除的各种命令的详细信息，请参阅配置ASA-SSM 的重新加载、关闭、重置和恢复AIP-SSM部分。

此问题由Cisco bug ID CSCts58648(仅限于注册客户)所致。

无法通过ASDM访问AIP SSM

问题：

在GUI上看到此错误消息。

Error connecting to sensor. Error Loading Sensor error

解决方案：

检查IPS SSM管理接口是否为up/down，并检查其配置的IP地址、子网掩码和默认网关。这是从本地计算机访问思科自适应安全设备管理器(ASDM)软件的接口。尝试从要访问ASDM的本地计算机ping IPS SSM的管理接口IP地址。如果无法ping通，请检查传感器上的ACL。

问题：

尝试连接到AIP SSM模块时显示cannot communicate with main app错误消息。

解决方案：

重新加载ASA或AIP SSM模块以解决此错误。

无法升级/更新IPS SSM

问题：

CLI上显示Error： execUpgradeSoftware Connection failed错误消息。

解决方案：

检查IPS SSM管理接口是否为up/down，以及该接口是否为ASA-IPS尝试联系以下载软件的接口。这不是ASA和IPS-SSM之间的背板连接；它是AIP-SSM模块本身的以太网连接，需要连接到交换机端口并配置有IP地址、子网掩码和默认网关。如果http仍然不起作用，请尝试使用FTP或SCP选项以及upgrade 命令。

升级错误：execUpgradeSoftware

问题：

Error： execUpgradeSoftware The update requires 60340 KB in /usr/cids/idsRoot/var/updates， there are only 57253 KB available.升级过程中出现错误消息。

解决方案 1：

要解决此问题，您需要使用服务帐户登录传感器的CLI。如果您没有服务帐户，可以使用以下命令创建一个服务帐户：

configure terminal 
user (username) priv service password (pass)
 exit

登录到服务帐户后，发出以下rm /usr/cids/idsRoot/var/*pmz命令并从服务帐户注销。然后检查升级是否完成。

解决方案 2：

发生此错误的原因是IPS模块上的可用空间较少，因为恢复文件占用了模块上的更多空间。完成以下步骤以删除恢复文件并解决此错误：

bash-2.05b# cd /usr/cids/idsRoot/var/updates/

bash-2.05b# ls -l

drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 backups
drwxr-xr-x    2 cids     cids         1024 Oct 19 15:26 download
drwxrwxr-x    2 cids     cids         1024 Oct 19 15:26 logs
-rw-r--r--    1 root     root          183 Sep  6 21:54 package
-rw-r--r--    1 cids     cids     27587840 Jul  9  2009 recovery.gz
drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 scripts

bash-2.05b# rm recovery.gz

无法使用IPS事件查看器(IEV)连接到IPS

问题：

显示以下错误消息：

Cannot send xml document to sensor.
java.security.cert.CertificateExpiredException: NotAfter:

解决方案：

如果使用以下命令重新生成tls证书，则可以解决此问题：

sensor(config)#tls generate-key

无法访问AIP-SSM

问题：

当您尝试访问SSM时，会显示此错误消息。

Opening command session with slot 1.
Card in slot 1 did not respond to session request

解决方案：

发出hw-module module 1 recover命令可解决此问题。有关此命令的详细信息，请参阅恢复AIP-SSM。

将AIP-SSM模块插入ASA时出错

问题：

当您尝试将AIP SSM模块插入ASA时，会显示此错误消息。

module in slot 1 experienced a channel communication failure

解决方案：

重新加载ASA以解决此问题。如果问题仍然存在，请联系TAC获取进一步帮助。

签名更新后AIP-SSM失败

问题：

更新签名后，AIP-SSM失败。签名更新会导致AIP-SSM内存不足，并且在启用的签名数量很高时变得无响应。

解决方案：

重置签名定义以解决问题。如果启用了太多签名，请尝试重置签名定义。通过SSH连接到传感器并使用以下命令：

configure terminal

service signature-definition sig0

default signatures

exit

exit

IPS传感器的延迟问题

问题：

IPS传感器出现延迟问题。

解决方案：

在VS0中，如果启用了每个签名的deny action inline和deny packet，就会发生延迟问题。如果启用所有签名，则会导致延迟，因为IPS会检查所通过的每个数据包。最好只启用每个网络流量所需的特定签名，以解决延迟问题。

相关信息

• Cisco 自适应安全设备支持页
• 技术支持和文档 - Cisco Systems