Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

Dépannage du matériel PIX

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document aide à dépanner les problèmes de matériel potentiels avec la gamme de pare-feu Cisco Secure PIX. Il peut aider à identifier quel composant pourrait entraîner une défaillance matérielle, basé sur le type d'erreur que le PIX éprouve. PIX ne prend en charge pas l'Online Insertion and Removal (OIR) et a besoin d'un minimum de deux interfaces pour le fonctionnement normal.

Conditions préalables

Conditions requises

Les lecteurs de ce document devraient avoir connaissance des sujets suivants :

  • Identifiez la version de logiciel qui fonctionne sur le PIX. Utilisez la commande de show version de déterminer la version logicielle sur le PIX.

    Conseil : Connectez votre PC au port de console du PIX utilisant un câble enroulé, et appliquez les paramétrages de l'émulateur de terminal corrects pour des connexions de console.

  • Identifiez le modèle de PIX.

    Si vous exécutez la version de logiciel 5.0(1) ou plus tard, vous pouvez trouver le modèle à l'aide de la commande de show version.

    pixfirewall(config)#show version 
    
    Cisco PIX Firewall Version 6.2(1) 
    ... 
    <output deleted for brevity>... 
    pixfirewall up 22 hours 15 mins 
    Hardware: PIX-515, 32 MB RAM, CPU Pentium 200 MHz

    Si vous exécutez une version de logiciel en-dessous de 5.0(1), regardez l'unité physique pour voir quel modèle c'est. Les guides d'installation du matériel pour les versions de logiciel respectives contiennent des copies d'écran de divers modèles de PIX.

  • Combien de temps le travail PIX avant que vous ayez commencé à avoir a-t-il préoccupé ?

  • Qu'a changé (mise à jour de RAM, mise à niveau de logiciel, configuration) puisque le PIX a pour la dernière fois fonctionné ?

  • Il est également important de noter toutes les modifications apportées tandis que vous tentez de rectifier le problème.

Composants utilisés

Les informations dans ce document s'appliquent à toute la gamme de pare-feu Cisco Secure PIX qui incluent les Plateformes répertoriées ici :

  • 501

  • 506/506E

  • 510

  • 520

  • 515/515E

  • 525

  • 535

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions de documents, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Séquence de démarrage PIX

Cette section décrit les étapes qu'un PIX se termine quand il est mis sous tension. Employez-le pour vérifier que les composants matériels de base PIX fonctionnent correctement pour assurer l'exécution minimale.

Pour un PIX qui fonctionne normalement, cette séquence d'opérations a lieu quand le PIX est mis sous tension. Suivez les étapes dans l'ordre indiqué, utilisant les solutions suggérées répertoriées dans ce document pour vous aider à résoudre tous les problèmes.

  1. Débuts de thermoventilateur à fonctionner.

  2. Début de messages console à apparaître.

  3. Le LED d'alimentation est Lit.

  4. L'invite de console est vue.

  5. L'ACTE et/ou le réseau DEL sur les cartes d'interface réseau (NIC) est Lit.

    Vous pouvez également vérifier ces éléments :

    • L'unité de disque fonctionne-t-elle (pour des modèles de PIX plus tôt avec des unités de disque) ?

    • La lumière d'entraînement avance-t-elle (pour des modèles de PIX plus tôt avec des unités de disque) ?

    • Est-ce qu'on observe le problème sans ou le trafic de lumière par le PIX ?

Solution suggérée si le thermoventilateur ne démarre pas pour fonctionner

  • Vérifiez la source d'alimentation et le commutateur d'alimentation sur le PIX.

  • Essayez de changer les prises secteurs.

  • Si vous utilisez un bloc d'alimentation ininterrompu (UPS), vérifiez si le PIX fonctionne s'il n'est pas connecté à UPS.

  • Essayez un autre périphérique dans le débouché suspect.

Solution suggérée si les messages console n'apparaissent pas

  • Le câble de console est-il le correct ? Pour s'assurer l'est le correct, vérifie si le câble de console et le port série PC travaillent à un autre périphérique, tel qu'un routeur de Ý de Cisco IOS. Si un autre périphérique n'est pas disponible, comparez les extrémités du câble côte à côte. Le câble devrait être roulé, avec les couleurs de fil exactement renversées. S'il y a lieu, vérifiez également si le port de console fonctionne avec un PC différent.

  • Appliquez les paramétrages de l'émulateur de terminal corrects pour des connexions de console.

  • La mémoire dans le PIX ne pourrait pas être posée correctement. Si c'est le cas, les fonctions de thermoventilateur mais le PIX elle-même ne fait pas. Vérifiez que la mémoire est posée correctement.

  • Vérifiez si le PIX trouve l'éclair et la RAM à ce stade. Voyez la sortie témoin pour PIX sous le fonctionnement normal.

Si vous avez toujours des questions après que vous vérifiiez ces éléments, vous pourriez avoir une unité défectueuse.

Solution suggérée si le LED d'alimentation n'est pas Lit

Vérifiez la source d'alimentation. Si le thermoventilateur fonctionne mais la DEL n'est pas allumée, ce pourrait être une question DEL.

Solution suggérée si l'ACTE et/ou le réseau DEL sur des cartes NIC n'est pas Lit

  • Vérifiez si le câble de réseau est connecté.

  • Assurez-vous qu'un câble traversant droit est utilisé pour la connexion de hub ou de commutateur. Autrement, un câble croisé est utilisé.

  • Essayez de changer des câbles.

  • Essayez pour réinsérer/échange les NIC.

  • S'il y a plus de deux NIC, le PIX démarre-il sans problème quand le troisième NIC est retiré ou si les NIC sont permutés ?

  • Si vous éprouvez toujours des problèmes, vérifiez toutes les notes de terrain disponibles pour votre NIC ou modèle de pare-feu PIX.

Identification du problème

En mettant sous tension, le PIX pourrait potentiellement éprouver une de ces questions possibles :

  • Coup PIX — Il n'y a aucune sortie sur la console série, telle qu'aucune demande d'EXÉCUTIF PIX ou aucune réponse à entrer sur la console série.

  • Crash PIX — Le PIX éprouve une réinitialisation ou une recharge tout en faisant une action spécifique ou aléatoirement.

  • Crash PIX et boucle de démarrage — Le PIX peut être coincé dans une boucle continue avec un défilement de message d'erreur.

Coup PIX

Si vous suspectez un coup PIX, vérifiez pour voir si n'importe quel événement spécifique, tel qu'une charge élevée, a pu avoir entraîné le coup. En pareil cas, une recharge efface normalement le problème.

Si le PIX s'arrête fréquemment, saisissez la sortie de la commande de show traffic à intervalles réguliers. Notez que vous devez émettre une commande claire du trafic sur le PIX avant de collecter ces des statistiques. Soumettez ces informations au support technique de Cisco en ouvrant un cas TAC (clients enregistrés seulement).

Crash PIX

Un crash PIX se rapporte à une situation où le système a détecté une erreur irrémédiable et s'est redémarré. Quand les réinitialisations PIX, il revient à un état normal. Un état normal signifie que le PIX est fonctionnel, des passages trafiquent, et que vous pouvez accéder au PIX.

Vous pouvez confirmer si un PIX redémarré en émettant la commande de show version et en recherchant la disponibilité. Pour vérifier pourquoi les PIX redémarrés, relient un PC à la console du Pare-feu PIX. Ceci active capturer des messages de log (typiquement appelés les retours arrière) la prochaine fois que les réinitialisations PIX. Un retour arrière d'exemple est affiché ici :

Traceback: 
0: 8010278c 
1: 80094107 
2: 8009beb6 
3: 800a5389 
4: 800a95fb 
5: 8008f9c4 
6: 8000279b 
7: 00000000 
<output deleted for brevity>

Les clients peuvent rechercher toutes les bogues connu pour la version du logiciel PIX spécifique que vous exécutez utilisant le Bug Toolkit (clients enregistrés seulement). Comparez le retour arrière à celui de la bogue pour voir s'ils sont identiques. Si une difficulté est disponible, améliorez le PIX à la version logicielle en laquelle la difficulté est présente. Si un correctif de bogue n'est pas disponible, ou si vous ne trouvez rien associé dans le Bug Toolkit, ouvrez une valise TAC (clients enregistrés seulement) avec les informations que vous avez recueillies décrit plus tôt dans ce document. Capturez le retour arrière complet avant que vous ouvriez la valise.

Crash PIX et boucle de démarrage

Quand un PIX éprouve une boucle continue/démarrage, vous ne pouvez pas accéder au PIX et aux messages d'erreur faites défiler jusqu'à ce que l'unité soit mise hors tension. Une boucle continue pourrait être due à un problème de matériel. La section de messages système d'exemple de ce document affiche un exemple d'un bon démarrage et deux exemples d'un mauvais démarrage dû aux problèmes matériels.

Les clients peuvent rechercher toutes les bogues connu pour la version du logiciel PIX spécifique que vous exécutez utilisant le Bug Toolkit (clients enregistrés seulement). Comparez le retour arrière à celui de la bogue pour voir s'ils sont mêmes. Si une difficulté est disponible, améliorez le PIX à la version logicielle en laquelle la difficulté est présente. Si un correctif de bogue n'est pas disponible, ou si vous ne trouvez rien associé dans le Bug Toolkit, ouvrez une valise de cas TAC (clients enregistrés seulement) avec les informations que vous avez recueillies plus tôt dans ce document. Capturez le retour arrière complet avant que vous ouvriez la valise.

Messages système d'exemple

Exécution normale PIX

C'est sortie témoin d'une initialisation PIX 515 sous le fonctionnement normal :

PhoenixPICOBIOS 4.0 Release 6.0 
Copyright 1985-1998 Phoenix Technologies Ltd. 
All Rights Reserved 

Build Time: 04/27/99 17:08:34 
Polaris BIOS Version 0.09 
CPU = Pentium with MMX  200 MHz 
640K System RAM Passed 
31M Extended RAM Passed 
0512K Cache SRAM Passed 
System BIOS shadowed 
PIX BIOS (4.0) #38: Tue Apr 27 12:45:23 PDT 1999 
    timhahn@irp-view5:/vws/dry/timhahn/trunk/loader 
Platform PIX-515 
Flash=i28F640J5 @ 0x300 

Use BREAK or ESC to interrupt flash boot. 
Reading 1528320 bytes of image from flash. 
##################################################### 
# 
32MB RAM 
Flash=i28F640J5 @ 0x300 
BIOS Flash=AT29C257 @ 0xfffd8000 
mcwa i82559 Ethernet at irq 11  MAC: 0050.54fe.ea30 
mcwa i82559 Ethernet at irq 10  MAC: 0050.54fe.ea31 
mcwa i82558 Ethernet at irq  7  MAC: 0090.2742.fbbe 

  ----------------------------------------------------------------------- 
                               ||        || 
                               ||        || 
                              ||||      |||| 
                          ..:||||||:..:||||||:.. 
                         c i s c o S y s t e m s 
                        Private Internet eXchange 
  ----------------------------------------------------------------------- 
                        Cisco PIX Firewall 

Cisco PIX Firewall Version 6.2(1) 
Licensed Features: 
Failover:           Enabled 
VPN-DES:            Enabled 

VPN-3DES:           Enabled 
Maximum Interfaces: 6 
Cut-through Proxy:  Enabled 
Guards:             Enabled 
URL-filtering:      Enabled 
Inside Hosts:       Unlimited 
Throughput:         Unlimited 
IKE peers:          Unlimited 
  

  ****************************** Warning ******************************* 
  Compliance with U.S. Export Laws and Regulations - Encryption. 

  This product performs encryption and is regulated for export 
  by the US Government. 

  This product is not authorized for use by persons located 
  outside the United States and Canada that do not have prior 
  approval from Cisco Systems, Inc. or the US Government. 

  This product may not be exported outside the US and Canada 
  either by physical or electronic means without PRIOR approval 
  of Cisco Systems, Inc. or the US Government. 

  Persons outside the US and Canada may not re-export, resell 
  or transfer this product by either physical or electronic means 
  without prior approval of Cisco Systems, Inc. or the US 
  Government. 
  ******************************* Warning ******************************* 

Copyright (c) 1996-2002 by Cisco Systems, Inc. 

                Restricted Rights Legend 

Use, duplication, or disclosure by the Government is 
subject to restrictions as set forth in subparagraph 
(c) of the Commercial Computer Software - Restricted 
Rights clause at FAR sec. 52.227-19 and subparagraph 
(c) (1) (ii) of the Rights in Technical Data and Computer 
Software clause at DFARS sec. 252.227-7013. 

                Cisco Systems, Inc. 
                170 West Tasman Drive 
                San Jose, California 95134-1706 
  

Cryptochecksum(unchanged): d32550f0 c52eaa1b 952dabc8 6e7b6ea3 
199002: PIX startup completed.  Beginning operation. 
Type help or '?' for a list of available commands. 

message non-PIX-1GE-66 sur le PIX

WARNING: A non-PIX-1GE-66 Gigabit Ethernet card was found in slot 0. 
WARNING: This combination is not recommended and will reduce the overall 
WARNING: performance of the system.  Remove this card and replace it with 
WARNING: a PIX-1GE-66 Gigabit Ethernet card for optimal performance. 

Solution : Ce message peut être vu si une carte Ethernet de Gigabet de 33 MHZ est utilisée dans un emplacement de bus de 66 MHZ. Il n'apparaît pas sur une unité PIX 535 comme expédié de Cisco mais peut apparaître si la carte plus lente a été déplacée d'un emplacement de bus de 33 MHZ du côté gauche à un des quatre emplacements de bus de 66 MHZ du côté droit. Pour des raisons de représentation, des cartes de seulement 66 MHZ devraient être utilisées dans ces emplacements du bus 66MHz.

Seulement un NIC utilisé

An internal error occurred.  Specifically, a programming assertion was 
violated.  Copy the error message exactly as it appears, and get the 
output of the show version command and the contents of the configuration 
file.  Then call your technical support representative. 
 
assertion "PifCount >= 2 && PifCount <= MAX_PIFS" failed: file "pixmain.c", 
line 219 

An internal error occurred.  Specifically, a programming assertion was 
violated.  Copy the error message exactly as it appears, and get the 
output of the show version command and the contents of the configuration 
file.  Then call your technical support representative. 

Assertion"(unsigned)ifc < PifCount" failed: file "pixmain.c", line 547 
Panic: pix/intf1 - Cannot open interface card 1 (en_3com/1) 
0x807c14c8: 0x00000000 
0x807c14c4: 0x00000001 
0x807c14c0: 0x80069e1c 
0x807c14bc: 0x00000000 

<output deleted for brevity>

Solution : Utilisez un minimum de deux interfaces.

Résumé

Si vous avez identifié un composant qui doit être remplacé, contactez votre partenaire ou revendeur Cisco pour demander un remplacement pour le composant matériel qui entraîne le problème. Si vous avez un contrat de support directement avec Cisco, utilisez l'outil ouvert de cas de Cisco.com pour ouvrir une valise TAC (clients enregistrés seulement) et pour demander un remplacement de matériel. Assurez-vous de joindre ces informations :

  • Captures de console qui affichent les messages d'erreur ou les retours arrière complets.

  • Captures de console qui affichent les étapes de dépannage prises et la séquence de démarrage pendant chaque étape.

  • Le composant matériel qui a manqué et le numéro de série pour le châssis.

  • Dépannage des logs.

  • Sortie de la commande de tech d'exposition.

Si vous avez ne pu pas identifier votre problème de matériel dans ce document, référez-vous aux notes de terrain en Pare-feu de gamme 500 PIX de regarder des problèmes connus supplémentaires de matériel.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 21501