Dit document beschrijft hoe u problemen kunt oplossen bij de niet-responsieve status van de security servicesmodule voor geavanceerde inspectie en preventie (AIP-SSM) in Cisco 5500 Series adaptieve security applicatie (ASA).
Er zijn geen specifieke vereisten van toepassing op dit document.
De informatie in dit document is gebaseerd op de AIP-SSM in Cisco 5500 Series ASA.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
Probleem:
AIP-SSM gaat over in een status die niet reageert, reageert niet op HTTP- of ASDM-toegang maar is toegankelijk via CLI, zoals wordt getoond:
show module Mod Card Type Model Serial No. --- -------------------------------------------- ------------------ ----------- 0 ASA 5510 Adaptive Security Appliance ASA5510 JMX0934K021 1 ASA 5500 Series Security Services Module-10 ASA-SSM-10 JAB093203S3 Mod MAC Address Range Hw Version Fw Version Sw Version --- --------------------------------- ------------ ------------ --------------- 0 0013.c480.a11d to 0013.c480.a121 1.0 1.0(10)0 7.0(2) 1 0013.c480.b204 to 0013.c480.b204 1.0 1.0(10)0 5.0(2)S152.0 Mod Status --- ------------------ 0 Up Sys 1 Unresponsive
Oplossing:
Geef de hw-module module 1 reset-opdracht op uw ASA uit. Deze opdracht voert een hardware-reset uit van de AIP-SSM. Het is van toepassing wanneer de kaart zich in een van deze staten bevindt:
omhoog
omlaag
koel
terugkrijgen
Als u de ASA opnieuw opstart in een niet-reagerende toestand, moet uw SSM opnieuw worden bekeken. Raadpleeg het gedeelte AIP-SSM System Image installeren van Upgrading, Downgrading en Installing System Images voor meer informatie en stappen om het AIP-SSM opnieuw te installeren.
Opmerking: Raadpleeg het gedeelte AIP-SSM opnieuw laden, afsluiten, opnieuw instellen en herstellen van ASA-SSM configureren voor meer informatie over de verschillende opdrachten die beschikbaar zijn voor probleemoplossing in AIP-SSM.
Dit probleem wordt veroorzaakt door Cisco bug-id CSC58648 (alleen geregistreerde klanten).
Probleem:
Deze foutmelding wordt in de GUI weergegeven.
Error connecting to sensor. Error Loading Sensor error
Oplossing:
Controleer of de IPS SSM beheerinterface omhoog/omlaag is en controleer het geconfigureerde IP-adres, subnetmasker en standaardgateway. Dit is de interface voor toegang tot de software van Cisco Adaptive Security Device Manager (ASDM) vanaf de lokale machine. Probeer het IP-adres van de beheerinterface van IPS SSM te pingen vanaf de lokale machine die u toegang tot de ASDM wilt hebben. Als het niet mogelijk is om te pingelen controleer de ACL's op de sensor.
Probleem:
De foutmelding kan niet communiceren met de hoofdapp verschijnt terwijl u probeert verbinding te maken met de AIP SSM module.
Oplossing:
Laad de ASA of de AIP SSM module opnieuw om deze fout op te lossen.
Probleem:
De foutmelding Error: execUpgradeSoftware Connection is mislukt. Deze wordt weergegeven op de CLI.
Oplossing:
Controleer of de IPS SSM beheerinterface omhoog/omlaag is en dat dit de interface is waarmee de ASA-IPS probeert contact op te nemen om de software te downloaden. Dit is geen backplane verbinding tussen de ASA en IPS-SSM; het is de Ethernet-verbinding op de AIP-SSM-module zelf, die moet worden aangesloten op een switch-poort en moet worden geconfigureerd met een IP-adres, subnetmasker en standaardgateway. Als http nog steeds niet werkt, probeer dan de FTP- of SCP-optie te gebruiken met de upgrade-opdracht.
Probleem:
De fout: execUpgradeSoftware De update vereist 60340 KB in /usr/cids/idsRoot/var/updates, zijn er slechts 57253 KB beschikbaar. foutmelding wordt gezien tijdens de upgrade.
Oplossing 1:
Om dit probleem op te lossen, moet u zich aanmelden bij de CLI van de sensor met een service account. Als u geen service-account hebt, kunt u een account maken met deze opdrachten:
configure terminal user (username) priv service password (pass) exit
Nadat u zich hebt aangemeld bij de service-account, geeft u deze opdrachten rm /usr/cids/idsRoot/var/*pmz en logout van de service-account uit. Controleer vervolgens of de upgrade voltooid is.
Oplossing 2:
Deze fout komt wegens de minder ruimte beschikbaar op de IPS module voor aangezien de terugwinningsdossiers meer ruimte op Module bezetten. Voltooi deze stappen om herstelbestanden te verwijderen en deze fout op te lossen:
bash-2.05b# cd /usr/cids/idsRoot/var/updates/ bash-2.05b# ls -l drwxr-xr-x 2 cids cids 1024 Jul 1 22:35 backups drwxr-xr-x 2 cids cids 1024 Oct 19 15:26 download drwxrwxr-x 2 cids cids 1024 Oct 19 15:26 logs -rw-r--r-- 1 root root 183 Sep 6 21:54 package -rw-r--r-- 1 cids cids 27587840 Jul 9 2009 recovery.gz drwxr-xr-x 2 cids cids 1024 Jul 1 22:35 scripts bash-2.05b# rm recovery.gz
Probleem:
Deze foutmelding wordt weergegeven:
Cannot send xml document to sensor. java.security.cert.CertificateExpiredException: NotAfter:
Oplossing:
Dit probleem kan worden opgelost als u het TLS-certificaat met deze opdracht regenereert:
sensor(config)#tls generate-key
Probleem:
Wanneer u probeert toegang te krijgen tot SSM, wordt deze foutmelding weergegeven.
Opening command session with slot 1. Card in slot 1 did not respond to session request
Oplossing:
Geef de hw-module module module 1 herstellen opdracht om dit probleem op te lossen. Raadpleeg AIP-SSM herstellen voor meer informatie over deze opdracht.
Probleem:
Wanneer u probeert de AIP SSM-module in de ASA op te nemen, wordt deze foutmelding weergegeven.
module in slot 1 experienced a channel communication failure
Oplossing:
Herlaad de ASA om het probleem op te lossen. Als het probleem nog steeds bestaat, neemt u contact op met TAC voor verdere hulp.
Probleem:
AIP-SSM mislukt nadat de handtekening is bijgewerkt. De handtekeningupdate zorgt ervoor dat het AIP-SSM geen geheugen meer heeft en niet reageert wanneer het aantal handtekeningen hoog is.
Oplossing:
Stel de handtekeningsdefinitie opnieuw in om het probleem op te lossen. Als te veel handtekeningen zijn ingeschakeld, probeer dan de definitie van de handtekening opnieuw in te stellen. SSH naar de sensor en gebruik deze opdrachten:
configure terminal service signature-definition sig0 default signatures exit exit
Probleem:
Latency probleem treedt op met de IPS sensor.
Oplossing:
De latentiekwestie komt voor wanneer ontkent actie inline en ontkent pakket voor elke handtekening in VS0 wordt toegelaten. Als u alle handtekeningen inschakelt, resulteert dit in latentie als IPS inspecteert elk pakket waardoor dat doorgaat. Het is goed om alleen de specifieke handtekening in te schakelen die vereist is volgens de stroom van het netwerkverkeer om de latentiekwestie op te lossen.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
12-Jul-2007 |
Eerste vrijgave |