本文檔介紹如何對Cisco 5500系列自適應安全裝置(ASA)中的高級檢查和防禦安全服務模組(AIP-SSM)的無響應狀態進行故障排除。
本文件沒有特定需求。
本文檔中的資訊基於Cisco 5500系列ASA中的AIP-SSM。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
問題:
AIP-SSM進入無響應狀態,無法響應HTTP或ASDM訪問,但可以從CLI訪問,如下所示:
show module Mod Card Type Model Serial No. --- -------------------------------------------- ------------------ ----------- 0 ASA 5510 Adaptive Security Appliance ASA5510 JMX0934K021 1 ASA 5500 Series Security Services Module-10 ASA-SSM-10 JAB093203S3 Mod MAC Address Range Hw Version Fw Version Sw Version --- --------------------------------- ------------ ------------ --------------- 0 0013.c480.a11d to 0013.c480.a121 1.0 1.0(10)0 7.0(2) 1 0013.c480.b204 to 0013.c480.b204 1.0 1.0(10)0 5.0(2)S152.0 Mod Status --- ------------------ 0 Up Sys 1 Unresponsive
解決方案:
在ASA上發出hw-module module 1 reset 命令。此命令執行AIP-SSM的硬體重置。當卡處於以下任一狀態時,即可使用此功能:
up
關閉
無響應
復原
如果以無響應狀態重新啟動ASA,則必須對SSM進行重新映像。有關如何重新映像AIP-SSM的更多資訊和步驟,請參閱升級、下載和安裝系統映像的安裝AIP-SSM系統映像部分。
注意:有關可用於對AIP-SSM進行故障排除的各種命令的詳細資訊,請參閱配置ASA-SSM的重新載入、關閉、重置和恢復AIP-SSM部分。
此問題是由思科錯誤ID CSCts58648(僅限註冊客戶)引起的。
問題:
GUI上會顯示此錯誤消息。
Error connecting to sensor. Error Loading Sensor error
解決方案:
檢查IPS SSM管理介面是否為up/down,並檢查其配置的IP地址、子網掩碼和預設網關。這是從本地電腦訪問Cisco Adaptive Security Device Manager (ASDM)軟體的介面。嘗試從要訪問ASDM的本地電腦ping IPS SSM的管理介面IP地址。如果無法ping通,請檢查感測器上的ACL。
問題:
嘗試連線到AIP SSM模組時,顯示cannot communicate with main app錯誤消息。
解決方案:
重新載入ASA或AIP SSM模組以解決此錯誤。
問題:
在CLI中看到Error: execUpgradeSoftware Connection failed錯誤消息。
解決方案:
檢查IPS SSM管理介面是否為up/down,以及ASA-IPS是否嘗試透過該介面聯絡以下載軟體。這不是ASA和IPS-SSM之間的背板連線;它是AIP-SSM模組本身上的乙太網連線,需要連線到交換機埠並配置有IP地址、子網掩碼和預設網關。如果http仍然不起作用,請嘗試使用FTP或SCP選項以及upgrade 命令。
問題:
顯示Error: execUpgradeSoftware The update requires 60340 KB in /usr/cids/idsRoot/var/updates, there are only 57253 KB available.在升級期間出現錯誤消息。
解決方案1:
要解決此問題,您需要使用服務帳戶登入到感測器的CLI。如果您沒有服務帳戶,可以使用以下命令建立一個服務帳戶:
configure terminal user (username) priv service password (pass) exit
登入到服務帳戶後,發出以下rm /usr/cids/idsRoot/var/*pmz命令並從服務帳戶中註銷。然後檢查升級是否完成。
解決方案2:
發生此錯誤的原因是IPS模組上的可用空間較少,因為恢復檔案佔用了模組上的更多空間。請完成以下步驟,以移除復原檔案並解決此錯誤:
bash-2.05b# cd /usr/cids/idsRoot/var/updates/ bash-2.05b# ls -l drwxr-xr-x 2 cids cids 1024 Jul 1 22:35 backups drwxr-xr-x 2 cids cids 1024 Oct 19 15:26 download drwxrwxr-x 2 cids cids 1024 Oct 19 15:26 logs -rw-r--r-- 1 root root 183 Sep 6 21:54 package -rw-r--r-- 1 cids cids 27587840 Jul 9 2009 recovery.gz drwxr-xr-x 2 cids cids 1024 Jul 1 22:35 scripts bash-2.05b# rm recovery.gz
問題:
系統會顯示以下錯誤消息:
Cannot send xml document to sensor. java.security.cert.CertificateExpiredException: NotAfter:
解決方案:
如果使用此命令重新生成tls證書,則可解決此問題:
sensor(config)#tls generate-key
問題:
當您嘗試訪問SSM時,會顯示此錯誤消息。
Opening command session with slot 1. Card in slot 1 did not respond to session request
解決方案:
發出hw-module module 1 recover命令以解決此問題。有關此命令的詳細資訊,請參閱恢復AIP-SSM。
問題:
當您嘗試將AIP SSM模組插入ASA時,會顯示此錯誤消息。
module in slot 1 experienced a channel communication failure
解決方案:
重新載入ASA以解決此問題。如果問題仍然存在,請聯絡TAC以獲取進一步的幫助。
問題:
更新簽名後,AIP-SSM失敗。簽名更新導致AIP-SSM記憶體耗盡,並且當啟用的簽名數量很高時變得無響應。
解決方案:
重置簽名定義以解決問題。如果啟用了太多簽名,請嘗試重置簽名定義。透過SSH連線到感測器並使用以下命令:
configure terminal service signature-definition sig0 default signatures exit exit
問題:
IPS感測器出現延遲問題。
解決方案:
當VS0中的每個簽名都啟用了deny action inline和deny packet時,就會發生延遲問題。如果啟用所有簽名,當IPS檢查透過該簽名的每個資料包時,這將導致延遲。最好只啟用每個網路流量所需的特定簽名,以解決延遲問題。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
12-Jul-2007 |
初始版本 |