ASA: Probleemoplossing voor AIP-SM

Inleiding

Dit document beschrijft hoe u problemen kunt oplossen bij de niet-responsieve status van de security servicesmodule voor geavanceerde inspectie en preventie (AIP-SSM) in Cisco 5500 Series adaptieve security applicatie (ASA).

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de AIP-SSM in Cisco 5500 Series ASA.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Probleemoplossing

Staat reageert niet

Probleem:

AIP-SSM gaat over in een status die niet reageert, reageert niet op HTTP- of ASDM-toegang maar is toegankelijk via CLI, zoals wordt getoond:

show module

Mod Card Type                                    Model              Serial No. 
--- -------------------------------------------- ------------------ -----------
  0 ASA 5510 Adaptive Security Appliance         ASA5510            JMX0934K021
  1 ASA 5500 Series Security Services Module-10  ASA-SSM-10         JAB093203S3

Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
--- --------------------------------- ------------ ------------ ---------------
  0 0013.c480.a11d to 0013.c480.a121  1.0          1.0(10)0     7.0(2)
  1 0013.c480.b204 to 0013.c480.b204  1.0          1.0(10)0     5.0(2)S152.0

Mod Status            
--- ------------------
  0 Up Sys            
  1 Unresponsive

Oplossing:

Geef de hw-module module 1 reset-opdracht op uw ASA uit. Deze opdracht voert een hardware-reset uit van de AIP-SSM. Het is van toepassing wanneer de kaart zich in een van deze staten bevindt:

• omhoog

• omlaag

• koel

• terugkrijgen

Als u de ASA opnieuw opstart in een niet-reagerende toestand, moet uw SSM opnieuw worden bekeken. Raadpleeg het gedeelte AIP-SSM System Image installeren van Upgrading, Downgrading en Installing System Images voor meer informatie en stappen om het AIP-SSM opnieuw te installeren.

Opmerking: Raadpleeg het gedeelte AIP-SSM opnieuw laden, afsluiten, opnieuw instellen en herstellen van ASA-SSM configureren voor meer informatie over de verschillende opdrachten die beschikbaar zijn voor probleemoplossing in AIP-SSM.

Dit probleem wordt veroorzaakt door Cisco bug-id CSC58648 (alleen geregistreerde klanten).

Kan geen toegang tot AIP-SSM verkrijgen via ASDM

Probleem:

Deze foutmelding wordt in de GUI weergegeven.

Error connecting to sensor. Error Loading Sensor error

Oplossing:

Controleer of de IPS SSM beheerinterface omhoog/omlaag is en controleer het geconfigureerde IP-adres, subnetmasker en standaardgateway. Dit is de interface voor toegang tot de software van Cisco Adaptive Security Device Manager (ASDM) vanaf de lokale machine. Probeer het IP-adres van de beheerinterface van IPS SSM te pingen vanaf de lokale machine die u toegang tot de ASDM wilt hebben. Als het niet mogelijk is om te pingelen controleer de ACL's op de sensor.

Probleem:

De foutmelding kan niet communiceren met de hoofdapp verschijnt terwijl u probeert verbinding te maken met de AIP SSM module.

Oplossing:

Laad de ASA of de AIP SSM module opnieuw om deze fout op te lossen.

Kan IPS SSM niet upgraden/bijwerken

Probleem:

De foutmelding Error: execUpgradeSoftware Connection is mislukt. Deze wordt weergegeven op de CLI.

Oplossing:

Controleer of de IPS SSM beheerinterface omhoog/omlaag is en dat dit de interface is waarmee de ASA-IPS probeert contact op te nemen om de software te downloaden. Dit is geen backplane verbinding tussen de ASA en IPS-SSM; het is de Ethernet-verbinding op de AIP-SSM-module zelf, die moet worden aangesloten op een switch-poort en moet worden geconfigureerd met een IP-adres, subnetmasker en standaardgateway. Als http nog steeds niet werkt, probeer dan de FTP- of SCP-optie te gebruiken met de upgrade-opdracht.

Upgradefout: execUpgradeSoftware

Probleem:

De fout: execUpgradeSoftware De update vereist 60340 KB in /usr/cids/idsRoot/var/updates, zijn er slechts 57253 KB beschikbaar. foutmelding wordt gezien tijdens de upgrade.

Oplossing 1:

Om dit probleem op te lossen, moet u zich aanmelden bij de CLI van de sensor met een service account. Als u geen service-account hebt, kunt u een account maken met deze opdrachten:

configure terminal 
user (username) priv service password (pass)
 exit

Nadat u zich hebt aangemeld bij de service-account, geeft u deze opdrachten rm /usr/cids/idsRoot/var/*pmz en logout van de service-account uit. Controleer vervolgens of de upgrade voltooid is.

Oplossing 2:

Deze fout komt wegens de minder ruimte beschikbaar op de IPS module voor aangezien de terugwinningsdossiers meer ruimte op Module bezetten. Voltooi deze stappen om herstelbestanden te verwijderen en deze fout op te lossen:

bash-2.05b# cd /usr/cids/idsRoot/var/updates/

bash-2.05b# ls -l

drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 backups
drwxr-xr-x    2 cids     cids         1024 Oct 19 15:26 download
drwxrwxr-x    2 cids     cids         1024 Oct 19 15:26 logs
-rw-r--r--    1 root     root          183 Sep  6 21:54 package
-rw-r--r--    1 cids     cids     27587840 Jul  9  2009 recovery.gz
drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 scripts

bash-2.05b# rm recovery.gz

Kan geen verbinding maken met IPS event viewer (IEV)

Probleem:

Deze foutmelding wordt weergegeven:

Cannot send xml document to sensor.
java.security.cert.CertificateExpiredException: NotAfter:

Oplossing:

Dit probleem kan worden opgelost als u het TLS-certificaat met deze opdracht regenereert:

sensor(config)#tls generate-key

Kan geen toegang tot AIP-SSM verkrijgen

Probleem:

Wanneer u probeert toegang te krijgen tot SSM, wordt deze foutmelding weergegeven.

Opening command session with slot 1.
Card in slot 1 did not respond to session request

Oplossing:

Geef de hw-module module module 1 herstellen opdracht om dit probleem op te lossen. Raadpleeg AIP-SSM herstellen voor meer informatie over deze opdracht.

Fout wanneer de AIP-SSM-module in de ASA is aangesloten

Probleem:

Wanneer u probeert de AIP SSM-module in de ASA op te nemen, wordt deze foutmelding weergegeven.

module in slot 1 experienced a channel communication failure

Oplossing:

Herlaad de ASA om het probleem op te lossen. Als het probleem nog steeds bestaat, neemt u contact op met TAC voor verdere hulp.

AIP-SSM mislukt na handtekeningupdate

Probleem:

AIP-SSM mislukt nadat de handtekening is bijgewerkt. De handtekeningupdate zorgt ervoor dat het AIP-SSM geen geheugen meer heeft en niet reageert wanneer het aantal handtekeningen hoog is.

Oplossing:

Stel de handtekeningsdefinitie opnieuw in om het probleem op te lossen. Als te veel handtekeningen zijn ingeschakeld, probeer dan de definitie van de handtekening opnieuw in te stellen. SSH naar de sensor en gebruik deze opdrachten:

configure terminal

service signature-definition sig0

default signatures

exit

exit

Latentieproblemen met IPS-sensor

Probleem:

Latency probleem treedt op met de IPS sensor.

Oplossing:

De latentiekwestie komt voor wanneer ontkent actie inline en ontkent pakket voor elke handtekening in VS0 wordt toegelaten. Als u alle handtekeningen inschakelt, resulteert dit in latentie als IPS inspecteert elk pakket waardoor dat doorgaat. Het is goed om alleen de specifieke handtekening in te schakelen die vereist is volgens de stroom van het netwerkverkeer om de latentiekwestie op te lossen.

Gerelateerde informatie

• Ondersteuningspagina voor Cisco adaptieve security applicatie
• Technische ondersteuning en documentatie – Cisco Systems