Segurança : Cisco Firepower Management Center

Pesquise defeitos uma edição com Gerenciamento das luzes-Para fora (LOM) em um centro de gerenciamento de FireSIGHT ou em um dispositivo da potência de fogo

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

O Luz-Para fora-Gerenciamento (LOM) permite que você use uma série fora da banda sobre a conexão de gerenciamento LAN (solenoide) remotamente monitora ou controla dispositivos sem registrar na interface da WEB do dispositivo. Você pode executar tarefas limitadas, tais como a vista do número de série do chassi ou a monitoração de circunstâncias como a velocidade e a temperatura do fã. Este documento fornece os vários sintomas e Mensagens de Erro que podem aparecer quando você configura LOM, e como o pesquisar defeitos ponto por ponto.

Contribuído por Nazmul Rajib e por Michael Nobile, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Cisco recomenda que você tem o conhecimento no sistema de FireSIGHT e no Luz-Para fora-Gerenciamento (LOM).

Componentes Utilizados

As informações neste documento são baseadas nas seguintes versões de hardware e software:

  • Centro de gerenciamento de FireSIGHT
  • Dispositivos do 7000 Series da potência de fogo, dispositivos do 8000 Series.
  • Versão de software 5.2 ou mais atrasado

Nota: As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Incapaz de conectar a LOM

Você pode ser incapaz de conectar a um dispositivo do centro de gerenciamento ou da potência de fogo de FireSIGHT usando o Gerenciamento das luzes-Para fora (LOM). Os pedidos de conexão podem falhar com os seguintes Mensagens de Erro:

Error: Unable to establish IPMI v2 / RMCP+ session Error
Info: cannot activate SOL payload with encryption

A seguinte seção descreve como verificar uma configuração e conexões LOM a relação LOM.

Verifique a configuração

Passo 1: Verifique e confirme que LOM está permitido, e está usando um endereço IP de Um ou Mais Servidores Cisco ICM NT diferente do que a interface de gerenciamento.

Passo 2: Verifique com a equipe da rede que a porta 623 UDP está aberta bidirecional, e que as rotas estão configuradas corretamente. Telnet ao endereço IP de Um ou Mais Servidores Cisco ICM NT LOM sobre a porta 623.

Passo 3: Pode você sibilar o endereço IP de Um ou Mais Servidores Cisco ICM NT de LOM? Se não, execute o comando seguinte como o usuário de raiz no dispositivo aplicável, e verifique-o que os ajustes estão corretos. Por exemplo,

ipmitool lan print

Set in Progress : Set Complete
Auth Type Support : NONE MD5 PASSWORD
Auth Type Enable : Callback : NONE MD5 PASSWORD
: User : NONE MD5 PASSWORD
: Operator : NONE MD5 PASSWORD
: Admin : NONE MD5 PASSWORD
: OEM :
IP Address Source : Static Address
IP Address : 192.0.2.2
Subnet Mask : 255.255.255.0
MAC Address : 00:1e:67:0a:24:32
SNMP Community String : INTEL
IP Header : TTL=0x00 Flags=0x00 Precedence=0x00 TOS=0x00
BMC ARP Control : ARP Responses Enabled, Gratuitous ARP Disabled
Gratituous ARP Intrvl : 0.0 secondsDefault Gateway IP : 192.0.2.1
Default Gateway MAC : 00:00:00:00:00:00
Backup Gateway IP : 0.0.0.0
Backup Gateway MAC : 00:00:00:00:00:00
802.1q VLAN ID : Disabled
802.1q VLAN Priority : 0
RMCP+ Cipher Suites : 1,2,3,6,7,8,11,12,0
Cipher Suite Priv Max : XaaaXXaaaXXaaXX
: X=Cipher Suite Unused
: c=CALLBACK
: u=USER
: o=OPERATOR
: a=ADMIN
: O=OEM

Verifique a conexão

Passo 1: Pode você conectar usando o comando seguinte?

ipmitool -I lanplus -H xxx.xxx.xxx.xxx  -U admin sdr

Você recebe este Mensagem de Erro?

Error: Unable to establish IPMI v2 / RMCP+ session

Nota: Conectar ao endereço IP de Um ou Mais Servidores Cisco ICM NT correto mas fornecer as credenciais erradas falha com o erro acima imediatamente. Tentar conectar a LOM em um endereço IP inválido cronometra para fora após aproximadamente os segundos 10 e retorna este erro.

Passo 2: Tente conectar usando o comando seguinte:

ipmitool -I lanplus  -H xxx.xxx.xxx.xxx  -U admin sdr

Passo 3: Você obtém este erro?

Info: cannot activate SOL payload with encryption

Tente agora conectar usando o comando seguinte (isto especificará a série da cifra para se usar):

ipmitool -I lanplus -H xxx.xxx.xxx.xxx -C 3 -U admin sdr

Passo 4: Ainda não pode conectar? Tente conectar usando o comando seguinte:

ipmitool -I lanplus -vvv -H xxx.xxx.xxx.xxx -C 3 -U admin sdr

Na saída verboso você vê o seguinte erro?

RAKP 2 HMAC is invalid

Passo 5: Mude a senha de admin através do GUI, e tente-a outra vez.

Ainda não pode conectar? Tente conectar usando o comando seguinte:

ipmitool -I lanplus -vvv -H xxx.xxx.xxx.xxx -C 3 -U admin sdr

Na saída verboso você vê o seguinte erro?

RAKP 2 message indicates an error : unauthorized name

Passo 6: Navegue ao usuário > à configuração local > ao gerenciamento de usuário

  • Crie um TestLomUser novo
  • Verifique o papel de usuário da configuração ao administrador
  • A verificação permite o acesso de gerenciamento das luzes-para fora


No CLI do dispositivo aplicável, escale seus privilégios enraizar, e executar os comandos seguintes. Verifique que TestLomUser é o usuário na terceira linha.

ipmitool user list 1
ID  Name         Callin  Link Auth    IPMI Msg   Channel Priv Limit
1 false false true ADMINISTRATOR
2 root false false true ADMINISTRATOR
3 TestLomUser true true true ADMINISTRATOR

Mude o usuário na linha três ao admin.

ipmitool user set name 3 admin

Ajuste um nível de acesso apropriado:

ipmitool channel setaccess 1 3 callin=on link=on ipmi=on privilege=4

Mude a senha do usuário admin novo

ipmitool user set password 3

Verifique que os ajustes estão corretos.

ipmitool user list 1
ID  Name         Callin  Link Auth    IPMI Msg   Channel Priv Limit
1 false false true ADMINISTRATOR
2 root false false true ADMINISTRATOR
3 admin true true true ADMINISTRATOR

Certifique-se de que o solenoide está permitido para o channel(1) e o user(3) corretos. 

ipmitool sol payload enable 1 3

Passo 7: Deixe-nos certificar-se de que o processo IPMI não está em um estado ruim.

pmtool status | grep -i sfipmid

sfipmid (normal) - Running 2928
Command: /usr/local/sf/bin/sfipmid -t 180 -p power
PID File: /var/sf/run/sfipmid.pid
Enable File: /etc/sf/sfipmid.run

Reinicie o serviço.

pmtool restartbyid sfipmid

Confirme que o PID mudou.

pmtool status | grep -i sfipmid

sfipmid (normal) - Running 20590
Command: /usr/local/sf/bin/sfipmid -t 180 -p power
PID File: /var/sf/run/sfipmid.pid
Enable File: /etc/sf/sfipmid.run

Passo 8: Desabilite o LOM no GUI, a seguir recarregue o dispositivo. No GUI do dispositivo navegue ao Local > à configuração > à configuração do console. Então selecione o VGA, clique a salvaguarda e clique a APROVAÇÃO para recarregar agora.

Mais tarde, permita o LOM no GUI, a seguir recarregue o dispositivo. No GUI do dispositivo navegue ao Local > à configuração > à configuração do console. Então selecione a porta de componente serial físico ou o LOM, clique a salvaguarda e clique a APROVAÇÃO para recarregar agora.

Agora, tente conectar outra vez.

ipmitool -I lanplus -vvv -H xxx.xxx.xxx.xxx -C 3 -U admin sdr

Etapa 9: Feche o dispositivo e termine um ciclo da potência, isto é, removem fisicamente o cabo de potência para 1 minuto, obstruem-no para trás e põem-no então sobre. Após o dispositivo as potências acima executam inteiramente o comando seguinte:

ipmitool -I lanplus -vvv -H xxx.xxx.xxx.xxx -C 3 -U admin sdr

Etapa 10: Execute o comando seguinte do dispositivo na pergunta. Isto fará especificamente uma restauração fria do bmc:

ipmitool bmc reset cold  

Etapa 11: Execute o comando seguinte de um sistema na mesma rede local que o dispositivo (isto é, não passando através de algum roteador intermediário):

ipmitool -I lanplus -H xxx.xxx.xxx.xxx -U admin power status
arp -an > /var/tmp/arpcache

Envie a Suporte técnico de Cisco o arquivo resultante de /var/tmp/arpcache para determinar se o BMC está respondendo a uma requisição ARP.

A conexão à relação LOM é desligada durante a repartição

Quando você recarrega um centro de gerenciamento de FireSIGHT ou um dispositivo da potência de fogo, a conexão ao dispositivo pode ser perdida.  A saída quando recarregar o dispositivo através da linha de comando estiver abaixo:

admin@FireSIGHT:~$ sudo shutdown -r now

Broadcast message from root (ttyS0) (Tue Nov 19 19:40:30 Stopping Sourcefire 3D Sensor
7120...nfemsg: Host ID 1 on card 0 endpoint 1 de-registering ...
nfemsg: Host ID 2 on card 0 endpoint 1 de-registering ...
nfemsg: Host ID 27 on card 0 endpoint 1 de-registering ......ok
Stopping Netronome Flow Manager: nfemsg: Fail callback unregistered
Unregistered NFM fail hook handler
nfemsg: Card 0 Endpoint #1 messaging disabled
nfemsg: Module EXIT
WARNING: Deprecanfp nfp.0: [ME] CSR access problem for ME 25
ted config file nfp nfp.0: [vPCI] Removed virtual device 01:00.4
/etc/modprobe.conf, all config files belong into /etc/modprobe.d/. success.
No NMSB present: logging unecessary...[-10G[ OK ]..
Turning off swapfile /Volume/.swaptwo
[-10G[ OK ] other currently mounted file systems...
Unmounting fuse control filesystem.Un

O sistema de arquivos destacado do controle do fusível de Unmounting da saída. O Un mostra que a conexão ao dispositivo é interrompido devido ao Spanning Tree Protocol (STP) que está sendo permitido no interruptor a onde o FireSIGHT Syste é conectado. Uma vez que as repartições dos dispositivos gerenciado, o seguinte erro são indicadas:

Error sending SOL data; FAIL
SOL session closed by BMC

Nota: Antes que você possa conectar a um dispositivo usando LOM/SOL, você deve desabilitar o Spanning Tree Protocol (STP) em todo o equipamento de switching da terceira conectado à interface de gerenciamento do dispositivo.

Uma conexão LOM do sistema de FireSIGHT é compartilhada com a porta de gerenciamento. O link para a porta de gerenciamento deixa cair por muito um tempo curto durante a repartição. Desde que o link está indo para baixo e apoio de vinda, este poderia provocar um atraso na porta de switch (tipicamente 30 segundos antes que comece passar o tráfego) devido ao estado de porta de switch de escuta ou de aprendizagem causado tendo o STP configurado na porta.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118507