cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

No puedo conectar con SSM 10

Buenos días,

no puedo conectarme al AIP-SSM 10 en mi ASA 5520 a traves de ASDM (solo por CLI) Cuando lo intento aparece el siguiente mensaje: "Error loading sensor". Mi dirección ip es la 16.3.40.52. Otra cosa que me resulta muy extraña es no ver el modulo a traves de ASDM > Device Information. Adjunto configuracion y version de software. ¿Alguna idea sobre como solucionarlo?  Gracias

ASA5520ERA# sh ver

Cisco Adaptive Security Appliance Software Version 8.0(4)39
Device Manager Version 6.1(5)57

Compiled on Wed 01-Jul-09 17:24 by builders
System image file is "disk0:/asa804-39-k8.bin"
Config file at boot was "startup-config"

ASA5520ERA# session 1
Opening command session with slot 1.
Connected to slot 1. Escape character sequence is 'CTRL-^X'.

MODULO ANTI-INTRUSION
login: user
Password:
***NOTICE***
This product contains cryptographic features and is subject to United States
and local country laws governing import, export, transfer and use. Delivery
of Cisco cryptographic products does not imply third-party authority to import,
export, distribute or use encryption. Importers, exporters, distributors and
users are responsible for compliance with U.S. and local country laws. By using
this product you agree to comply with applicable laws and regulations. If you
are unable to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

***LICENSE NOTICE***
There is no license key installed on the SSM-IPS10.
The system will continue to operate with the currently installed
signature set.  A valid license must be obtained in order to apply
signature updates.  Please go to http://www.cisco.com/go/license
to obtain a new license or install a license.

IPS_5520_ERA#

IPS_5520_ERA#  sh configuration

! ------------------------------

! Current configuration last modified Thu Jun 07 03:33:02 2012

! ------------------------------

! Version 6.0(4)

! Host:

!     Realm Keys          key1.0

! Signature Definition:

!     Signature Update    S317.0   2008-02-13

!     Virus Update        V1.2     2005-11-24

! ------------------------------

service interface

physical-interfaces GigabitEthernet0/1

description Principal sensing interface

exit

exit

! ------------------------------

service authentication

exit

! ------------------------------

service event-action-rules rules0

exit

! ------------------------------

service host

network-settings

host-ip 172.29.0.2/30,172.29.0.1

host-name IPS_5520_ERA

telnet-option disabled

access-list 16.0.0.0/24

access-list 16.3.0.0/16

access-list 172.19.6.253/32

access-list 172.19.6.254/32

access-list 172.29.0.1/32

login-banner-text  MODULE ANTI-INTRUSION

exit

time-zone-settings

offset 60

standard-time-zone-name GMT+01:00

exit

ntp-option enabled

ntp-keys 1 md5-key yellow

ntp-servers 172.29.0.1 key-id 1

exit

summertime-option recurring

summertime-zone-name GMT+01:00

start-summertime

week-of-month last

exit

end-summertime

month october

week-of-month last

exit

exit

exit

! ------------------------------

service logger

exit

! ------------------------------

service network-access

exit

! ------------------------------

service notification

trap-destinations 172.18.1.1

trap-community-name ROTom01

trap-port 162

exit

enable-notifications true

read-only-community ROTom01

system-location XXXXX,XX

system-contact XXXXXXXXX

exit

! ------------------------------

service signature-definition sig0

signatures 2004 0

event-counter

event-count 10

exit

status

enabled false

exit

exit

signatures 7000 0

status

enabled false

exit

exit

exit

! ------------------------------

service ssh-known-hosts

exit

! ------------------------------

service trusted-certificates

exit

! ------------------------------

service web-server

exit

! ------------------------------

service anomaly-detection ad0

exit

! ------------------------------

service external-product-interface

exit

! ------------------------------

service analysis-engine

virtual-sensor vs0

physical-interface GigabitEthernet0/1

exit

exit

IPS_5520_ERA#

2 RESPUESTAS
Cisco Employee

No puedo conectar con SSM 10

Emilio,

Te mando un saludo, me gustaría saber si ya has tratado lo siguiente:

1) Verificar si el módulo responde a pings desde la PC con IP 16.3.40.52

2) Habilitar telnet  en el IPS y verificar si puedes realizar un telnet al módulo desde el equipo 172.29.0.1 y desde 16.3.40.52. Esto con el fin de confirmar  que no exista un problema de conectividad entre estas redes.

3) Intentar desde otra computadora, tratar de abrir el IPS desde un browser y verificar si no se tiene un error de java.

4) Realizar un reset al módulo desde el ASA.

     hw-module module 1 reset

5) Verificar en el show module, que los servicios se encuentren arriba y el servicio de TLS Management esté en TRUE.

Gracias,

Itzcoatl Espinosa

New Member

No puedo conectar con SSM 10

Buenos días Itzcoatl,

te comento sobre las pruebas que sugieres:

1º - Llego por ping a la 172.29.0.2 desde la 16.3.40.52

2º - Telnet esta deshabilitado.¿Tendre que reiniciar el equipo si lo habilito? Lo digo porque el equipo esta en producción y deberia solicitar una ventana de actuación. Al intentarlo desde el ASA y desde mi pc esto es lo que obtengo:

ASA5520ERA# telnet 172.29.0.2

              ^

ERROR: % Invalid input detected at '^' marker

C:\Documents and Settings\pe2314>telnet 172.29.0.2

Conectándose a 172.29.0.2...No se puede abrir la conexión al host, en puerto 23:

3º - Tampoco he podido acceder a través de https desde otro pc así que prácticamente descarto un error de Java

4º - Con el reset al modulo me pasa igual; debería de solicitar una ventana de actuación. Aunque desactualizado, el equipo esta funcionando

5º- No consigo ver si el servicio TLS es TRUE. Adjunto un show module

ASA5520ERA#  sh module

Mod Card Type                                    Model              Serial No.
--- -------------------------------------------- ------------------ -----------
  0 ASA 5520 Adaptive Security Appliance         ASA5520            JMX1144L13M
  1 ASA 5500 Series Security Services Module-10  ASA-SSM-10         JAF113906X0

Mod MAC Address Range                 Hw Version   Fw Version   Sw Version    
--- --------------------------------- ------------ ------------ ---------------
  0 001d.459f.b1e0 to 001d.459f.b1e4  2.0          1.0(11)2     8.0(4)39
  1 001d.451a.6592 to 001d.451a.6592  1.0          1.0(11)2     6.0(4)E1

Mod SSM Application Name           Status           SSM Application Version
--- ------------------------------ ---------------- --------------------------
  1 IPS                            Up               6.0(4)E1

Mod Status             Data Plane Status     Compatibility
--- ------------------ --------------------- -------------
  0 Up Sys             Not Applicable        
  1 Up                 Up                    

6º He intentado implementar este comando sin éxito

IPS_METROVPN_ERA(config)# tls trusted-host ip-address 16.3.40.52 port 443

Error: getHostCertificate : socket connect failed [4,111]IPS_METROVPN_ARE(config)# tls trusted-host ip-address 16.3.40.52 port 443
Error: getHostCertificate : socket connect failed [4,111]

Gracias por tu tiempo y ayuda

613
Visitas
0
ÚTIL
2
Respuestas