コラボレーション エンドポイント : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX ハードウェアのトラブルシューティング

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2002 年 11 月 27 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この文書は、Cisco Secure PIX Firewall シリーズで発生する可能性があるハードウェア問題のトラブルシューティングに役立ちます。 また、PIX で発生したエラーの種類に基づいて、ハードウェアの不具合を引き起こしているコンポーネントの識別にも役立ちます。 PIX は、Online Insertion and Removal(OIR; ホットスワップ)をサポートしておらず、通常の動作には 2 つのインターフェイスが必要です。

前提条件

要件

このドキュメントの読者は次のトピックについて理解している必要があります。

  • PIX で動作するソフトウェア バージョンを確認して下さい。 PIX で実行されているソフトウェアのリリースを確認するには、show version コマンドを使用します。

    ヒント: ロール型ケーブルを使用して PC を PIX のコンソール ポートに接続し、コンソール接続用の正しい端末エミュレータの設定を行ってください。

  • PIX のモデルを識別します。

    ソフトウェア バージョン 5.0(1) またはそれ以降を実行する場合、show version コマンドの使用によってモデルを検索できます。

    pixfirewall(config)#show version 
    
    Cisco PIX Firewall Version 6.2(1) 
    ... 
    <output deleted for brevity>... 
    pixfirewall up 22 hours 15 mins 
    Hardware: PIX-515, 32 MB RAM, CPU Pentium 200 MHz

    5.0(1) の下でソフトウェア バージョンを実行する場合、どんなモデルそれがであるか見るために物理ユニットを検知 して下さい。 個々のソフトウェア バージョン用のハードウェアの設置ガイドには、PIX の各モデルのスクリーン ショットが掲載されています。

  • 持ち開始した前にどの位 PIX 作業は悩みましたか。

  • PIX が最後にはたらいたので何が変更しました(RAM アップグレード、ソフトウェアアップグレード、設定)か。

  • 問題を解決するように試みる間、行うあらゆる変更をのメモを保存することもまた重要です。

使用するコンポーネント

この文書に記載されている情報はすべての Cisco Secure PIX Firewall にシリーズを適用しますここにリストされているプラットフォームが含まれている:

  • 501

  • 506/506E

  • 510

  • 520

  • 515/515E

  • 525

  • 535

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

PIX のブート シーケンス

このセクションでは、電源が投入されたときに PIX で実行される項目について説明します。 最小オペレーションを確認するために基本 PIX ハードウエアコンポーネントが正しくはたらくことを確認するのにそれを使用して下さい。

普通機能する PIX に関しては PIX が動力を与えられるとき、この出来事の順序は起こります。 問題を解決するのを助けるようにこの資料にリストされている提案されたソリューションを使用して、リストされている順序でステップに従って下さい。

  1. ファンは動作し始めます。

  2. コンソールメッセージが現れ始めます。

  3. Power LED が点灯します。

  4. コンソール プロンプトが表示されます。

  5. Network Interface Card(NIC; ネットワーク インターフェイス カード)の ACT または Network LED あるいはその両方が点灯します。

    またこれらの項目を確認できます:

    • ディスク ドライブが動作しているか(PIX の初期モデルにはディスク ドライブが付いています)。

    • ドライブのライトが点灯しているか(PIX の初期モデルにはディスク ドライブが付いています)。

    • PIX を通過するトラフィックがない、あるいは少ない状態で問題が発生するか。

ファンが動作し始めなければ提案されたソリューション

  • PIX の電源と電源スイッチを確認してください。

  • パワー アウトレットを変更することを試みて下さい。

  • Uninterrupted Power Supply (UPS)を使用する場合、UPS に接続されない場合 PIX がはたらくかどうか確認して下さい。

  • 疑わしいコンセントで他の装置を試してみてください。

コンソール メッセージが表示されない場合の解決策

  • コンソール ケーブルは正しいものを使用していますか。 それを確かめることは正しいもので、Cisco IOS のような、コンソールケーブルおよび PC シリアルポートが別のデバイスで機能するかどうかチェックしますか。 ルータ。 他のデバイスでも動作しなかった場合、ケーブルの両端を並べて比較します。 ケーブルは、ワイヤーの色が完全に逆になっているロール型である必要があります。 必要であれば、PIX のコンソール ポートが他の PC との組み合わせで機能するかどうかを確認します。

  • コンソール接続に正しいターミナル エミュレータ設定を適用します。

  • PIX のメモリが正しく取り付けられていない可能性があります。 この場合、ファンは正しく動作しますが、PIX 自体は動作しません。 メモリが正しく取り付けられていることを確認してください。

  • この段階で、PIX がフラッシュや RAM を見つけているかどうかを確認します。 PIX が正常な動作をしている場合の出力例を参照してください。

これらの項目をチェックした後それでも問題があれば、不良なユニットがあるかもしれません。

電源 LED が点灯されなければ提案されたソリューション

入力電源を確認します。 ファンが動作すればが、LED が点灯されなければ、LED 問題である可能性があります。

NIC カードの ACT やネットワーク LED が点灯されなければ提案されたソリューション

  • ネットワーク ケーブルが接続されているかどうかを確認します。

  • まっすぐな直通ケーブルがハブ または スイッチ接続のために使用されることを確かめて下さい。 さもなければ、クロス ケーブルは使用されます。

  • ケーブルを交換することを試みて下さい。

  • /スワップ再置するために NIC 試みて下さい。

  • 3 枚以上の NIC を装着している場合、3 枚目の NIC カードを取りはずすか、NIC を交換したときに PIX が問題なくブートするかどうかを確認します。

  • それでもトラブルを経験する場合、NIC か PIXファイアウォールモデルのために利用可能 なあらゆる Field Notice があるように確認して下さい。

問題の特定

動力で、PIX は可能性としてはこれらの潜在的な問題の 1 つに直面するかもしれません:

PIX のハング

PIX がハングしていることが疑われる場合、高い負荷がかかっているなど、特定のイベントがハングを引き起こしていないかどうかを確認してください。 その場合、通常はリロードによって問題が解決します。

PIX のハングが頻発する場合、show traffic コマンドの出力を定期的な間隔で取得します。 これらの統計情報を収集する前に PIX の clear traffic コマンドを発行する必要があることに注目して下さい。 TAC ケース登録ユーザのみ)のオープンによって Cisco テクニカル サポートにこの情報を提出して下さい。

PIX のクラッシュ

PIX のクラッシュとは、システムが回復可能なエラーを検出し、それ自身を再起動した状態のことです。 PIX がリブートすると、通常の状態に戻ります。 NORMAL 状態は PIX へのアクセス権を得られることをこと PIX が機能である意味しましたり、トラフィックを、そして通過させます。

PIX がリブートしたかどうかを調べるには、show version コマンドを実行して、アップタイムを調べてください。 PIX がリブートした理由を調べるには、PC を PIX ファイアウォール のコンソール ポートに接続します。 これにより、次に PIX がリブートしたときのログ メッセージ(通常はトレースバックと呼ばれます)を取得できるようになります。 トレースバック例はここに示されています:

Traceback: 
0: 8010278c 
1: 80094107 
2: 8009beb6 
3: 800a5389 
4: 800a95fb 
5: 8008f9c4 
6: 8000279b 
7: 00000000 
<output deleted for brevity>

顧客は Bug Toolkit登録ユーザのみ)を使用して実行する特定の PIXソフトウェアリリースのための既知の不具合を探すことができます。 彼らが同じであるかどうか見るために不具合のそれとトレースバックを比較して下さい。 バグ修正が行われていたら、その修正分が反映されているソフトウェア リリースに PIX をアップグレードしてください。 バグ修正が利用できないか、または何も Bug Toolkit で関連付けられて見つけなかったら、先にこの資料で記述されていて収集した情報の TAC ケース登録ユーザのみ)をオープンして下さい。 ケースをオープンする前に完全なトレースバックをキャプチャ して下さい。

PIX のクラッシュとブートのループ

PIX が連続あるいはブート ループを経験するとき、ユニットがオフになるまで PIX およびエラーメッセージへのスクロールしますアクセス権を得ることができません。 連続ループはハードウェア上の問題が原因であるかもしれません。 この資料のシステム メッセージ例 セクションはよいブートの例およびハードウェア上の問題による悪いブートの 2 つの例を示します。

使用している PIX ソフトウェア リリースに関する既知のバグは、「Bug Toolkit」を使用して調べることができます(登録されたお客様のみ)。 これらのバグとトレースバックを比較して、同じものがないかどうかを調べます。 バグ修正が行われていたら、その修正分が反映されているソフトウェア リリースに PIX をアップグレードしてください。 バグ修正が利用できないか、または何も Bug Toolkit で関連付けられて見つけなかったら、この資料で先に収集した情報の TAC ケース登録ユーザのみ)例をオープンして下さい。 ケースをオープンする前に完全なトレースバックをキャプチャ して下さい。

システム メッセージの例

PIX の正常な動作

これは正常な動作の下で起動する PIX 515 からの出力例です:

PhoenixPICOBIOS 4.0 Release 6.0 
Copyright 1985-1998 Phoenix Technologies Ltd. 
All Rights Reserved 

Build Time: 04/27/99 17:08:34 
Polaris BIOS Version 0.09 
CPU = Pentium with MMX  200 MHz 
640K System RAM Passed 
31M Extended RAM Passed 
0512K Cache SRAM Passed 
System BIOS shadowed 
PIX BIOS (4.0) #38: Tue Apr 27 12:45:23 PDT 1999 
    timhahn@irp-view5:/vws/dry/timhahn/trunk/loader 
Platform PIX-515 
Flash=i28F640J5 @ 0x300 

Use BREAK or ESC to interrupt flash boot. 
Reading 1528320 bytes of image from flash. 
##################################################### 
# 
32MB RAM 
Flash=i28F640J5 @ 0x300 
BIOS Flash=AT29C257 @ 0xfffd8000 
mcwa i82559 Ethernet at irq 11  MAC: 0050.54fe.ea30 
mcwa i82559 Ethernet at irq 10  MAC: 0050.54fe.ea31 
mcwa i82558 Ethernet at irq  7  MAC: 0090.2742.fbbe 

  ----------------------------------------------------------------------- 
                               ||        || 
                               ||        || 
                              ||||      |||| 
                          ..:||||||:..:||||||:.. 
                         c i s c o S y s t e m s 
                        Private Internet eXchange 
  ----------------------------------------------------------------------- 
                        Cisco PIX Firewall 

Cisco PIX Firewall Version 6.2(1) 
Licensed Features: 
Failover:           Enabled 
VPN-DES:            Enabled 

VPN-3DES:           Enabled 
Maximum Interfaces: 6 
Cut-through Proxy:  Enabled 
Guards:             Enabled 
URL-filtering:      Enabled 
Inside Hosts:       Unlimited 
Throughput:         Unlimited 
IKE peers:          Unlimited 
  

  ****************************** Warning ******************************* 
  Compliance with U.S. Export Laws and Regulations - Encryption. 

  This product performs encryption and is regulated for export 
  by the US Government. 

  This product is not authorized for use by persons located 
  outside the United States and Canada that do not have prior 
  approval from Cisco Systems, Inc. or the US Government. 

  This product may not be exported outside the US and Canada 
  either by physical or electronic means without PRIOR approval 
  of Cisco Systems, Inc. or the US Government. 

  Persons outside the US and Canada may not re-export, resell 
  or transfer this product by either physical or electronic means 
  without prior approval of Cisco Systems, Inc. or the US 
  Government. 
  ******************************* Warning ******************************* 

Copyright (c) 1996-2002 by Cisco Systems, Inc. 

                Restricted Rights Legend 

Use, duplication, or disclosure by the Government is 
subject to restrictions as set forth in subparagraph 
(c) of the Commercial Computer Software - Restricted 
Rights clause at FAR sec. 52.227-19 and subparagraph 
(c) (1) (ii) of the Rights in Technical Data and Computer 
Software clause at DFARS sec. 252.227-7013. 

                Cisco Systems, Inc. 
                170 West Tasman Drive 
                San Jose, California 95134-1706 
  

Cryptochecksum(unchanged): d32550f0 c52eaa1b 952dabc8 6e7b6ea3 
199002: PIX startup completed.  Beginning operation. 
Type help or '?' for a list of available commands. 

PIX での non-PIX-1GE-66 メッセージ

WARNING: A non-PIX-1GE-66 Gigabit Ethernet card was found in slot 0. 
WARNING: This combination is not recommended and will reduce the overall 
WARNING: performance of the system.  Remove this card and replace it with 
WARNING: a PIX-1GE-66 Gigabit Ethernet card for optimal performance. 

解決策: このメッセージは、33 MHz のギガビット イーサネット カードが、66 MHz のバス スロットで使用された場合に表示されるものです。 それは Cisco から提供されたように PIX 535 ユニットで現われませんでしたりより遅いカードが左の 33 MHz バス スロットから右の 4 つの 66 MHz バス スロットの 1 つに移られる場合現われることができます。 パフォーマンスの理由から、66 MHz のバス スロットでは 66MHz のカードだけを使用してください。

使用されている NIC が 1 枚だけの場合

An internal error occurred.  Specifically, a programming assertion was 
violated.  Copy the error message exactly as it appears, and get the 
output of the show version command and the contents of the configuration 
file.  Then call your technical support representative. 
 
assertion "PifCount >= 2 && PifCount <= MAX_PIFS" failed: file "pixmain.c", 
line 219 

An internal error occurred.  Specifically, a programming assertion was 
violated.  Copy the error message exactly as it appears, and get the 
output of the show version command and the contents of the configuration 
file.  Then call your technical support representative. 

Assertion"(unsigned)ifc < PifCount" failed: file "pixmain.c", line 547 
Panic: pix/intf1 - Cannot open interface card 1 (en_3com/1) 
0x807c14c8: 0x00000000 
0x807c14c4: 0x00000001 
0x807c14c0: 0x80069e1c 
0x807c14bc: 0x00000000 

<output deleted for brevity>

解決策: 少なくとも 2 つのインターフェイスを使用してください。

要約

交換が必要なコンポーネントが特定されたら、Cisco パートナーまたは販売代理店に連絡して、問題の原因となっているハードウェア コンポーネントの交換を要求してください。 Cisco と直接サポート 契約を結んでいる場合、TAC ケース登録ユーザのみ)をオープンし、ハードウェア置換を要求するのに Cisco.com Case Open ツールを使用して下さい。 次の情報が添付されていることを確認してください。

  • Complete エラーメッセージかトレースバックを示すコンソールキャプチャ。

  • 踏まれるトラブルシューティング の 手順を説明するおよび各ステップの間のブートシーケンス コンソールキャプチャ。

  • 故障したハードウェア コンポーネントとシャーシのシリアル番号

  • トラブルシューティングのログ

  • show tech コマンドからの出力

この資料のハードウェア上の問題を識別することができない場合追加既知 の ハードウェア問題を検知 する PIX 500シリーズ ファイアウォール Field Notice を参照して下さい。


関連情報


Document ID: 21501