Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

Solución de problemas del hardware de PIX

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (23 Abril 2015) | Comentarios


Contenido


Introducción

Este documento ayuda a resolver problemas potenciales de hardware con la serie Firewall Pix de Cisco Secure. Puede ayudar a identificar qué componente pudo causar una falla de hardware, según el tipo de error que el PIX experimenta. PIX no admite la Inserción y extracción en línea (OIR) y necesita un mínimo de dos interfaces para funcionar normalmente.

prerrequisitos

Requisitos

Quienes lean este documento deben tener conocimiento de los siguientes temas:

  • Identifique la versión de software que se ejecuta en el PIX. Utilice el comando show version para determinar la versión del software en el PIX.

    Consejo: Conecte su PC al puerto de consola del PIX mediante un cable enrollado y aplique la configuración de emulador de terminal correcta para las conexiones de consola.

  • Identifique el modelo PIX.

    Si usted ejecuta la versión de software 5.0(1) o más adelante, usted puede encontrar el modelo usando el comando show version.

    pixfirewall(config)#show version 
    
    Cisco PIX Firewall Version 6.2(1) 
    ... 
    <output deleted for brevity>... 
    pixfirewall up 22 hours 15 mins 
    Hardware: PIX-515, 32 MB RAM, CPU Pentium 200 MHz

    Si usted funciona con una versión de software debajo de 5.0(1), mire la unidad física para ver qué modelo es. Las guías de instalación de hardware para las versiones de software respectivas tienen capturas de pantalla de varios modelos de PIX.

  • ¿Cuánto tiempo el trabajo PIX antes de que usted comenzara a tener preocupó?

  • ¿Qué ha cambiado (actualización del RAM, actualización del software, configuración) puesto que el último PIX funcionó?

  • Es también importante guardar la nota de cualquier cambio realizado mientras que usted intenta rectificar el problema.

Componentes Utilizados

La información en este documento aplica a todo el Cisco Secure PIX Firewall las series que incluyen las Plataformas enumeradas aquí:

  • 501

  • 506/506E

  • 510

  • 520

  • 515/515E

  • 525

  • 535

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte las Convenciones de Consejos Técnicos de Cisco.

Secuencia de inicio de PIX

Esta sección describe los pasos que realiza una PIX al ser encendida. Utilícela para verificar que los componentes de hardware básicos PIX funcionan correctamente para asegurar el funcionamiento mínimo.

Para un PIX que funcione normalmente, esta Secuencia de eventos ocurre cuando el PIX se acciona encendido. Siga los pasos en la orden enumerada, usando las Soluciones sugeridas enumeradas en este documento para ayudarle a resolver cualquier problema.

  1. Avive el comienzo para actuar.

  2. Los mensajes de la consola comienzan a aparecer.

  3. El indicador luminoso de energía se encuentra encendido.

  4. Se ve la indicación de la consola.

  5. Se enciende el ACTO y/o la red LED en las tarjetas de interfaz de la red (NIC).

    Usted puede también verificar estos elementos:

    • ¿Funciona la unidad de disco (para modelos de PIX anteriores con unidades de disco)?

    • ¿La luz de la unidad se adelanta (para modelos de PIX anteriores con las unidades de disco)?

    • ¿El problema se observa sin o tráfico liviano con el PIX?

Solución sugerida si la fan no comienza a actuar

  • Verifique la fuente de energía y el botón de encendido en el PIX.

  • Intente cambiar las tomas de corriente.

  • Si usted utiliza un (UPS) de la fuente de alimentación ininterrumpida, verifique independientemente de si el PIX trabaje si no está conectado con UPS.

  • Intente con otro dispositivo en la salida sospechosa.

Solución sugerida si no aparecen los mensajes de la consola

  • ¿El cable de la consola es el que corresponde? Para aseegurarlo es el correcto, marca independientemente de si el cable de la consola y el puerto serial PC funcionan en otro dispositivo, tal como un router del � del Cisco IOS. Si no se encuentra disponible otro dispositivo, compare los extremos del cable uno junto al otro. Se debe enrollar el cable con los colores exactamente invertidos. Si es necesario, también controle si el puerto de la consola funciona o no con una PC diferente.

  • Aplique las configuraciones del emulador de terminal correctas para las conexiones de consola.

  • La memoria en el PIX no se pudo asentar correctamente. Si éste es el caso, el ventilador funciona, pero PIX en sí, no lo hace. Verifique que la memoria esté instalada correctamente.

  • Controle si PIX encuentra o no el Flash y la RAM en esta etapa. Vea la salida de muestra para PIX en funcionamiento normal.

Si usted todavía tiene problemas después de que usted marque estos elementos, usted puede ser que tenga una unidad defectuosa.

Solución sugerida si el poder LED no es Lit

Verifique la fuente de energía. Si la fan actúa pero el LED no se enciende, podría ser un problema LED.

Solución sugerida si el ACTO y/o la red LED en las tarjetas NIC no es Lit

  • Verifique si el cable de red está conectado o no.

  • Aseegure un cable directo recto se utiliza para la conexión del hub o switch. Si no, se utiliza un cable de par cruzado.

  • Intente cambiar los cables.

  • Intente volver a sentar/intercambio los NIC.

  • Si hay más de dos NIC, ¿el PIX inicia sin problemas cuando se quita la tercera NIC o si las NIC son intercambiadas?

  • Si usted todavía experimenta los problemas, marque para saber si hay cualquier Field Notice disponible para su NIC o modelo de PIX Firewall.

Identifique el problema

En accionar encendido, el PIX pudo potencialmente experimentar uno de estos posibles problemas:

Bloqueo de PIX

Si usted sospecha un Bloqueo de PIX, marque para ver si cualquier evento específico, tal como una mucha carga, pudo haber causado la caída. Si éste es el caso, un recarga normalmente solucionará el problema.

Si el PIX se cuelga con frecuencia, capture la salida del comando show traffic a intervalos regulares de tiempo. Observe que usted necesita publicar un comando clear traffic en el PIX antes de recoger estas estadísticas. Presente esta información al Soporte técnico de Cisco abriendo un caso TAC (clientes registrados solamente).

Desperfecto PIX

Una caída PIX se refiere a una situación en la cual el sistema ha detectado un error irrecuperable y se ha reiniciado automáticamente. Cuando el PIX se reinicie, retornará al estado normal. Un estado normal significa que el PIX es funcional, pasa el tráfico, y que usted puede acceder al PIX.

Si ejecuta el comando show version y busca el tiempo de actividad, puede confirmar si el PIX se ha reiniciado. Para controlar por qué el PIX se reinició, conecte una PC a la consola del firewall PIX. Esto habilita la captura de los mensajes del registro (típicamente llamados tracebacks) la próxima vez que el PIX reinicia. Un traceback del ejemplo se muestra aquí:

Traceback: 
0: 8010278c 
1: 80094107 
2: 8009beb6 
3: 800a5389 
4: 800a95fb 
5: 8008f9c4 
6: 8000279b 
7: 00000000 
<output deleted for brevity>

Los clientes pueden buscar cualquier bug conocido para el software PIX versión específico que usted se ejecuta usando el Bug Toolkit (clientes registrados solamente). Compare el traceback con el del bug para ver si son lo mismo. Si dispone de alguna solución, actualice el PIX a la versión de software que incluya la solución. Si un arreglo del bug no está disponible, o si usted no encuentra cualquier cosa relacionada en el Bug Toolkit, abra un caso TAC (clientes registrados solamente) con la información que usted recopiló descrito anterior en este documento. Capture el traceback completo antes de que usted abra el caso.

Loop de inicio y desperfecto de PIX

Cuando un PIX experimenta un Continuous/Boot Loop, usted no puede acceder al PIX y a los mensajes de error navega hasta que la unidad se accione apagado. Un Loop continuo pudo ser debido a los problemas del hardware. La sección de los ejemplos de mensaje de sistema de este documento muestra un ejemplo de un buen inicio y dos ejemplos de un mún inicio debido a los problemas de hardware.

Los clientes pueden buscar cualquier bug conocido para el software PIX versión específico que usted se está ejecutando usando el Bug Toolkit (clientes registrados solamente). Compare el traceback con el del bug para ver si son lo mismo. Si dispone de alguna solución, actualice el PIX a la versión de software que incluya la solución. Si un arreglo del bug no está disponible, o si usted no encuentra cualquier cosa relacionada en el Bug Toolkit, abra un caso del caso TAC (clientes registrados solamente) con la información que usted recopiló anterior en este documento. Capture el traceback completo antes de que usted abra el caso.

Mensajes del sistema de ejemplo

Funcionamiento normal de PIX

Ésta es salida de muestra de un PIX 515 que inicia bajo funcionamiento normal:

PhoenixPICOBIOS 4.0 Release 6.0 
Copyright 1985-1998 Phoenix Technologies Ltd. 
All Rights Reserved 

Build Time: 04/27/99 17:08:34 
Polaris BIOS Version 0.09 
CPU = Pentium with MMX  200 MHz 
640K System RAM Passed 
31M Extended RAM Passed 
0512K Cache SRAM Passed 
System BIOS shadowed 
PIX BIOS (4.0) #38: Tue Apr 27 12:45:23 PDT 1999 
    timhahn@irp-view5:/vws/dry/timhahn/trunk/loader 
Platform PIX-515 
Flash=i28F640J5 @ 0x300 

Use BREAK or ESC to interrupt flash boot. 
Reading 1528320 bytes of image from flash. 
##################################################### 
# 
32MB RAM 
Flash=i28F640J5 @ 0x300 
BIOS Flash=AT29C257 @ 0xfffd8000 
mcwa i82559 Ethernet at irq 11  MAC: 0050.54fe.ea30 
mcwa i82559 Ethernet at irq 10  MAC: 0050.54fe.ea31 
mcwa i82558 Ethernet at irq  7  MAC: 0090.2742.fbbe 

  ----------------------------------------------------------------------- 
                               ||        || 
                               ||        || 
                              ||||      |||| 
                          ..:||||||:..:||||||:.. 
                         c i s c o S y s t e m s 
                        Private Internet eXchange 
  ----------------------------------------------------------------------- 
                        Cisco PIX Firewall 

Cisco PIX Firewall Version 6.2(1) 
Licensed Features: 
Failover:           Enabled 
VPN-DES:            Enabled 

VPN-3DES:           Enabled 
Maximum Interfaces: 6 
Cut-through Proxy:  Enabled 
Guards:             Enabled 
URL-filtering:      Enabled 
Inside Hosts:       Unlimited 
Throughput:         Unlimited 
IKE peers:          Unlimited 
  

  ****************************** Warning ******************************* 
  Compliance with U.S. Export Laws and Regulations - Encryption. 

  This product performs encryption and is regulated for export 
  by the US Government. 

  This product is not authorized for use by persons located 
  outside the United States and Canada that do not have prior 
  approval from Cisco Systems, Inc. or the US Government. 

  This product may not be exported outside the US and Canada 
  either by physical or electronic means without PRIOR approval 
  of Cisco Systems, Inc. or the US Government. 

  Persons outside the US and Canada may not re-export, resell 
  or transfer this product by either physical or electronic means 
  without prior approval of Cisco Systems, Inc. or the US 
  Government. 
  ******************************* Warning ******************************* 

Copyright (c) 1996-2002 by Cisco Systems, Inc. 

                Restricted Rights Legend 

Use, duplication, or disclosure by the Government is 
subject to restrictions as set forth in subparagraph 
(c) of the Commercial Computer Software - Restricted 
Rights clause at FAR sec. 52.227-19 and subparagraph 
(c) (1) (ii) of the Rights in Technical Data and Computer 
Software clause at DFARS sec. 252.227-7013. 

                Cisco Systems, Inc. 
                170 West Tasman Drive 
                San Jose, California 95134-1706 
  

Cryptochecksum(unchanged): d32550f0 c52eaa1b 952dabc8 6e7b6ea3 
199002: PIX startup completed.  Beginning operation. 
Type help or '?' for a list of available commands. 

Mensaje non-PIX-1GE-66 en PIX

WARNING: A non-PIX-1GE-66 Gigabit Ethernet card was found in slot 0. 
WARNING: This combination is not recommended and will reduce the overall 
WARNING: performance of the system.  Remove this card and replace it with 
WARNING: a PIX-1GE-66 Gigabit Ethernet card for optimal performance. 

Solución: Este mensaje aparece si se utiliza una tarjeta Ethernet Gigabet de 33 MHz en una ranura de bus de 66 MHz. No aparece en una unidad del PIX 535 según lo enviado de Cisco sino puede aparecer si el indicador luminoso LED amarillo de la placa muestra gravedad menor más lento se ha movido desde un slot del bus del MHz 33 a la izquierda a uno de los cuatro 66 slots del bus del MHz a la derecha. Por cuestiones de rendimiento, sólo deben usarse tarjetas de 66 MHz en estas ranuras de bus de 66MHz.

Sólo se usa un NIC

An internal error occurred.  Specifically, a programming assertion was 
violated.  Copy the error message exactly as it appears, and get the 
output of the show version command and the contents of the configuration 
file.  Then call your technical support representative. 
 
assertion "PifCount >= 2 && PifCount <= MAX_PIFS" failed: file "pixmain.c", 
line 219 

An internal error occurred.  Specifically, a programming assertion was 
violated.  Copy the error message exactly as it appears, and get the 
output of the show version command and the contents of the configuration 
file.  Then call your technical support representative. 

Assertion"(unsigned)ifc < PifCount" failed: file "pixmain.c", line 547 
Panic: pix/intf1 - Cannot open interface card 1 (en_3com/1) 
0x807c14c8: 0x00000000 
0x807c14c4: 0x00000001 
0x807c14c0: 0x80069e1c 
0x807c14bc: 0x00000000 

<output deleted for brevity>

Solución: Use dos interfaces como mínimo.

Resumen

Si usted ha identificado un componente que necesita ser substituido, entre en contacto su Cisco Partner o revendedor para pedir un reemplazo para el componente de hardware que causa el problema. Si usted tiene un contrato de servicio técnico directamente con Cisco, utilice la herramienta abierta del caso del cisco.com para abrir un caso TAC (clientes registrados solamente) y para pedir un reemplazo de hardware. Aseegurele adjuntar esta información:

  • Capturas de consola que muestran los mensajes de error completos o el tracebacks.

  • Capturas de consola que muestran los pasos de Troubleshooting tomados y la secuencia de arranque durante cada paso.

  • El componente de hardware que falló y el número de serie del chasis.

  • Solución de problemas de registros

  • Resultado del comando show tech.

Si usted ha no podido identificar sus problemas del hardware en este documento, refiera a los Field Notice del PIX 500 Series Firewall de mirar los problemas adicionales del hardware conocido.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 21501