无线/移动 : Cisco PIX 500 系列安全设备

PIX 硬件故障排除

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文帮助排除故障与Cisco Secure PIX防火墙系列的潜在硬件问题。它可帮助根据PIX体验错误的种类识别哪个组件也许导致硬件故障。PIX不支持在线插拔并且需要正常操作的至少两个接口。

先决条件

要求

本文档的读者应掌握以下这些主题的相关知识:

  • 确定在PIX运行的软件版本。请使用show version命令确定在PIX的软件版本。

    提示: 使用反转电缆将您的PC连接到PIX控制台端口,应用正确的终端仿真器设置实现控制台连接。

  • 识别PIX型号。

    如果运行软件版本5.0(1)或以后,通过使用show version命令,您能找到型号。

    pixfirewall(config)#show version 
    
    Cisco PIX Firewall Version 6.2(1) 
    ... 
    <output deleted for brevity>... 
    pixfirewall up 22 hours 15 mins 
    Hardware: PIX-515, 32 MB RAM, CPU Pentium 200 MHz

    如果运行软件版本在5.0(1)以下,请查看物理单元发现什么型号它是。各自软件版本的硬件安装指南包含多种PIX型号屏幕画面。

  • PIX工作,在您开始有前多久麻烦了?

  • 什么更改(RAM升级、软件升级,配置),因为PIX为时工作?

  • 当您尝试纠正问题时,记录做的所有变动也是重要的。

使用的组件

本文档中的信息应用对所有Cisco Secure PIX防火墙包括列出的平台此处的系列:

  • 501

  • 506/506E

  • 510

  • 520

  • 515/515E

  • 525

  • 535

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

PIX 启动顺序

此部分描述当PIX通电时的完成步骤。请使用它验证基本PIX硬件组件正确地运转保证最小操作。

对于通常作用的PIX,此事件顺序发生,当PIX启动时。遵从步骤按使用建议的解决方案列出的,顺序列出在本文帮助您解决所有问题。

  1. 风扇启动运行。

  2. 控制台信息开始出现。

  3. 电源LED是lit。

  4. 控制台提示被看到。

  5. ACT和网络LED在网络接口界面卡(NIC)是lit。

    您能也验证这些项目:

    • 磁盘驱动器是否工作(有磁盘驱动器的更加早期的PIX型号) ?

    • 推进灯是否进展(有磁盘驱动器的更加早期的PIX型号) ?

    • 问题观察没有或小数据流通过PIX ?

建议的解决方案,如果风扇不启动运行

  • 检查电源和电源开关在PIX。

  • 设法更换电源插座。

  • 如果使用不间断电源(UPS),请验证PIX是否工作,如果没有连接到不间断电源。

  • 尝试在可疑的出口的另一个设备。

建议的解决方案,如果控制台信息没出现

  • 控制台电缆是否是正确一个?要确保它是正确一个,检查控制台电缆和PC串行端口是否在另一个设备运作,例如Cisco IOS�路由器。如果另一个设备不是可用的,比较并行电缆的末端。应该滚动电缆,当电线颜色正确地被倒转。如果需要,也请证实控制台端口是否与不同的PC一起使用。

  • 申请正确终端仿真程序设置控制台连接

  • 在PIX的内存也许不适当地供以座位。如果是这种情况,风扇起作用,而PIX本身不起作用。验证内存适当地供以座位。

  • 证实PIX是否在此阶段查找闪存和RAM。请参阅输出示例:关于PIX在正常操作下

如果仍然有问题,在您检查这些项目后,您也许有一个有故障单元。

建议的解决方案,如果电源LED没有被点燃

检查电源。如果风扇运行,但是LED没有被点燃,它可能是LED问题。

建议的解决方案,如果ACT和网络LED在NIC卡没有被点燃

  • 证实网络电缆是否连接。

  • 通过电缆确保直通使用集线器或交换机连接。否则,使用交叉电缆。

  • 设法更换电缆。

  • 尝试重新安装/交换NIC。

  • 如果此处有二个以上的NIC,当第三个NIC被去掉,或者如果NIC被交换时,PIX引导是否不会出现问题?

  • 如果仍然体验麻烦,请检查所有问题信息通告(Field Notice)可用为您的NIC或PIX防火墙型号。

识别问题

在启动, PIX也许潜在遇到这些可能的问题之一:

PIX 暂停

如果怀疑PIX挂起,请检查是否有特殊事件(例如负载过高)导致该故障。在这种情况下,重新加载通常清除问题。

如果常见PIX暂停,定期获取输出show traffic命令。注意您需要在收集这些统计信息之前发出一clear traffic命令在PIX。提交此信息对思科技术支持通过打开TAC案例(仅限注册用户)。

PIX 崩溃

PIX失败是指系统发现了一个不可恢复的错误,并且重新启动了的情况。当PIX重新启动时,回到正常状态。正常状态意味着PIX是工作,通过流量,并且您能获得访问到PIX。

您是否能通过发出show version命令和寻找正常的运行时间来确认PIX是否重新启动。要检查PIX重新启动的原因,将PC连接到PIX防火墙的控制台。这启用捕获日志消息(典型地呼叫traceback),当下次PIX重新启动。示例traceback显示此处:

Traceback: 
0: 8010278c 
1: 80094107 
2: 8009beb6 
3: 800a5389 
4: 800a95fb 
5: 8008f9c4 
6: 8000279b 
7: 00000000 
<output deleted for brevity>

客户能寻找使用Bug Toolkit的特定PIX软件版本的所有已知bug (仅限注册用户),您运行。比较与那的traceback bug发现他们是否是相同的。如果可以使用修正,请将PIX升级到修正现存的软件版本。如果bug修复不是可用的,或者,如果在Bug Toolkit没找到什么涉及,请开TAC案例(仅限注册用户)有您在本文收集描述前的信息的。在您开Case前,请捕获完整traceback。

PIX 崩溃和引导循环

当PIX体验连续/启动环路时,您不能获得访问到PIX和错误消息移动,直到单元被断电。连续环路也许归结于硬件问题。本文的系统消息示例部分显示一个好引导程序的示例和一个坏引导程序的两示例由于硬件故障。

通过运行Bug Toolkit,用户能查找任何已知Bug,供您正在使用的特定PIX软件版本使用(仅适合注册用户)。"将traceback与Bug的报告相比较, 查看是否相同。"如果可以使用修正,请将PIX升级到修正现存的软件版本。如果bug修复不是可用的,或者,如果在Bug Toolkit没找到什么涉及,请有您在本文收集前的信息的TAC案例(仅限注册用户) Case。在您开Case前,请捕获完整traceback。

系统消息示例

正常 PIX 操作

这是从启动在正常操作下的PIX 515的输出示例: :

PhoenixPICOBIOS 4.0 Release 6.0 
Copyright 1985-1998 Phoenix Technologies Ltd. 
All Rights Reserved 

Build Time: 04/27/99 17:08:34 
Polaris BIOS Version 0.09 
CPU = Pentium with MMX  200 MHz 
640K System RAM Passed 
31M Extended RAM Passed 
0512K Cache SRAM Passed 
System BIOS shadowed 
PIX BIOS (4.0) #38: Tue Apr 27 12:45:23 PDT 1999 
    timhahn@irp-view5:/vws/dry/timhahn/trunk/loader 
Platform PIX-515 
Flash=i28F640J5 @ 0x300 

Use BREAK or ESC to interrupt flash boot. 
Reading 1528320 bytes of image from flash. 
##################################################### 
# 
32MB RAM 
Flash=i28F640J5 @ 0x300 
BIOS Flash=AT29C257 @ 0xfffd8000 
mcwa i82559 Ethernet at irq 11  MAC: 0050.54fe.ea30 
mcwa i82559 Ethernet at irq 10  MAC: 0050.54fe.ea31 
mcwa i82558 Ethernet at irq  7  MAC: 0090.2742.fbbe 

  ----------------------------------------------------------------------- 
                               ||        || 
                               ||        || 
                              ||||      |||| 
                          ..:||||||:..:||||||:.. 
                         c i s c o S y s t e m s 
                        Private Internet eXchange 
  ----------------------------------------------------------------------- 
                        Cisco PIX Firewall 

Cisco PIX Firewall Version 6.2(1) 
Licensed Features: 
Failover:           Enabled 
VPN-DES:            Enabled 

VPN-3DES:           Enabled 
Maximum Interfaces: 6 
Cut-through Proxy:  Enabled 
Guards:             Enabled 
URL-filtering:      Enabled 
Inside Hosts:       Unlimited 
Throughput:         Unlimited 
IKE peers:          Unlimited 
  

  ****************************** Warning ******************************* 
  Compliance with U.S. Export Laws and Regulations - Encryption. 

  This product performs encryption and is regulated for export 
  by the US Government. 

  This product is not authorized for use by persons located 
  outside the United States and Canada that do not have prior 
  approval from Cisco Systems, Inc. or the US Government. 

  This product may not be exported outside the US and Canada 
  either by physical or electronic means without PRIOR approval 
  of Cisco Systems, Inc. or the US Government. 

  Persons outside the US and Canada may not re-export, resell 
  or transfer this product by either physical or electronic means 
  without prior approval of Cisco Systems, Inc. or the US 
  Government. 
  ******************************* Warning ******************************* 

Copyright (c) 1996-2002 by Cisco Systems, Inc. 

                Restricted Rights Legend 

Use, duplication, or disclosure by the Government is 
subject to restrictions as set forth in subparagraph 
(c) of the Commercial Computer Software - Restricted 
Rights clause at FAR sec. 52.227-19 and subparagraph 
(c) (1) (ii) of the Rights in Technical Data and Computer 
Software clause at DFARS sec. 252.227-7013. 

                Cisco Systems, Inc. 
                170 West Tasman Drive 
                San Jose, California 95134-1706 
  

Cryptochecksum(unchanged): d32550f0 c52eaa1b 952dabc8 6e7b6ea3 
199002: PIX startup completed.  Beginning operation. 
Type help or '?' for a list of available commands. 

PIX 上的 non-PIX-1GE-66 消息

WARNING: A non-PIX-1GE-66 Gigabit Ethernet card was found in slot 0. 
WARNING: This combination is not recommended and will reduce the overall 
WARNING: performance of the system.  Remove this card and replace it with 
WARNING: a PIX-1GE-66 Gigabit Ethernet card for optimal performance. 

解决方案:如果一个33MHz Gigabet以太网卡用于66MHz 总线插槽,该信息就会出现。如果更加慢的卡从在左边的一33兆赫总线slot移动到在右边的四66兆赫总线slot之一不出现在PIX 535单元如被发运从思科,然而能出现。由于性能原因,只有66MHz卡可以在这些66MHz总线插槽中使用。

仅使用了一个 NIC

An internal error occurred.  Specifically, a programming assertion was 
violated.  Copy the error message exactly as it appears, and get the 
output of the show version command and the contents of the configuration 
file.  Then call your technical support representative. 
 
assertion "PifCount >= 2 && PifCount <= MAX_PIFS" failed: file "pixmain.c", 
line 219 

An internal error occurred.  Specifically, a programming assertion was 
violated.  Copy the error message exactly as it appears, and get the 
output of the show version command and the contents of the configuration 
file.  Then call your technical support representative. 

Assertion"(unsigned)ifc < PifCount" failed: file "pixmain.c", line 547 
Panic: pix/intf1 - Cannot open interface card 1 (en_3com/1) 
0x807c14c8: 0x00000000 
0x807c14c4: 0x00000001 
0x807c14c0: 0x80069e1c 
0x807c14bc: 0x00000000 

<output deleted for brevity>

解决方案:请使用至少两个接口。

摘要

如果您发现了一个需要更换的组件,请联系您的 Cisco 合作伙伴或代理商,请求更换导致问题的硬件组件。如果您直接与思科签订了支持合同,请使用Cisco.com Case Open Tool开立TAC案例(仅适用于注册用户),并请求替换硬件。确保您附上此信息:

  • 显示完整错误消息或traceback的控制台获取。

  • 显示采取的故障排除步骤的控制台获取和在每个步骤期间的启动顺序。

  • 出故障的硬件组件和机柜的序列号。

  • 故障排除日志。

  • show tech命令的输出。

如果无法识别您的在本文的硬件问题,参考的PIX 500系列防火墙问题信息通告(Field Notice)查看另外的已知硬件问题。


相关信息


Document ID: 21501