WebEx : Устройства защиты Cisco PIX серии 500

Устранение неполадок оборудования PIX

21 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ поможет устранить потенциальные аппаратные неполадки с межсетевыми экранами серии Cisco Secure PIX Firewall. Это может помочь определять, какой компонент мог бы вызывать отказ оборудования, на основе типа ошибки, с которой сталкивается PIX. Для завершения всех текущих сеансов одним действием используйте следующую команду.

Предварительные условия

Требования

Читатели данного документа должны обладать знаниями по следующим темам:

  • Определите версию программного обеспечения, которое используется на PIX. Чтобы определить версию программного обеспечения на PIX, используйте команду show version.

    Совет: Подключите компьютер к порту консоли PIX, используя скрученный кабель, и примените корректные установки эмуляции терминала для консольного соединения.

  • Определите, какая модель PIX используется.

    Если вы работаете под управлением ПО версии 5.0 (1) или позже, можно найти модель при помощи команды Show version.

    pixfirewall(config)#show version 
    
    Cisco PIX Firewall Version 6.2(1) 
    ... 
    <output deleted for brevity>... 
    pixfirewall up 22 hours 15 mins 
    Hardware: PIX-515, 32 MB RAM, CPU Pentium 200 MHz

    Если вы выполняете версию программного обеспечения ниже 5.0 (1), посмотрели на Physical Units для наблюдения, каково модель это. Руководства по установке оборудования для соответствующих версий ПО содержат снимки экранов различных моделей PIX.

  • Сколько времени PIX работал, прежде чем вы начали испытывать затруднения?

  • Что изменилось (обновление RAM, обновление программного обеспечения, настройки) с тех пор, как PIX последний раз работал?

  • В то время как вы пытаетесь исправить проблему, также важно поддержать примечание любых изменений сделанным.

Используемые компоненты

Сведения в этом документе применяются ко всем сериям межсетевого экрана Cisco Secure PIX, которые включают платформы, перечисленные здесь:

  • 501

  • 506/506E

  • 510

  • 520

  • 515/515E

  • 525

  • 535

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Последовательность начальной загрузки PIX

В этом разделе описаны действия, выполняемые межсетевым экраном (PIX) при включении. Используйте его, чтобы проверить, что основные аппаратные компоненты PIX работают правильно для обеспечения работы в минимальном режиме.

Для PIX, который обычно функционирует, имеет место эта последовательность событий, когда включен PIX. Выполните действия в перечисленном заказе, с помощью предложенных решений, перечисленных в этом документе, чтобы помочь вам решать любые вопросы.

  1. Вентилятор начинает работать.

  2. Консольные сообщения начинают появляться.

  3. Индикатор питания – литерал.

  4. Видна командная строка консоли.

  5. ACT и/или Сеть Вовлекли сетевую интерфейсную плату (платы) (NIC), освещен.

    Можно также проверить эти элементы:

    • Работает ли дисковод (для ранних моделей PIX с дисководами)?

    • Индикатор работы дисковода продвигается (для более ранних моделей PIX с дисковыми устройствами)?

    • Проблема наблюдается без или неинтенсивный трафик через PIX?

Предложенное решение, если Вентилятор Не Начинает Работать

  • Проверьте работоспособность источника питания и переключателя питания PIX.

  • Попытайтесь изменить розетки.

  • При использовании Uninterrupted Power Supply (UPS), проверяете, работает ли PIX, если он не связан с ИБП.

  • Попробуйте другое устройство на подозрительном выводе.

Предложенное решение, если Не Появляются Консольные сообщения

  • Правильный ли кабель консоли используется? Для проверки это - корректное, проверьте, работают ли консольный кабель и последовательный порт компьютера на другое устройство, такое как Cisco маршрутизатор IOS�. При отсутствии другого устройства следует сравнить концы кабеля. Кабель должен быть витым с проводами четко противоположного цвета. В случае необходимости следует проверить возможность работы порта консоли с другим компьютером.

  • Примените корректные параметры эмуляция терминала для консольных соединений.

  • Память в PIX не могла бы быть усажена должным образом. В этом случае вентилятор работает, а сам PIX - нет. Проверьте правильность установки памяти.

  • Проверьте, может ли PIX находить на данном этапе Flash и RAM. См. типовые выходные данные PIX при нормальном функционировании.

Если у вас все еще есть проблемы после проверки этих элементов у вас мог бы быть дефектный блок.

Предложенное решение, если не Освещен Индикатор питания

Проверьте источник питания. Если вентилятор работает, но светодиод не освещен, это могла бы быть светодиодная проблема.

Предложенное решение, если ACT и/или Сеть Вовлекли плату (платы) NIC, не Освещено

  • Проверьте правильность подключения сетевого кабеля.

  • Удостоверьтесь, что сквозной кабель используется для соединения концентратора или коммутатора. В противном случае перекрестный кабель используется.

  • Попытайтесь изменить кабели.

  • Попытайтесь переустановить/подкачать NIC.

  • Если имеется более двух NICs, загружается ли PIX в нормальном режиме при удалении третьего NIC или замене NIC?

  • При тихом испытании проблем проверьте для любых Уведомлений о дефектах, доступных для NIC или Модели межсетевого экрана PIX.

Определите проблему

Во включении PIX мог бы потенциально испытать одну из этих возможных проблем:

Зависание PIX

Если вы подозреваете Зависание расширения параллельного интерфейса (PIX), проверьте, чтобы видеть возможно, ли какое-либо определенное событие, такое как высокая нагрузка, вызвало "зависание". В этом случае перезагрузка обычно устраняет проблему.

Если PIX часто зависает, сохраняйте результат команды show traffic регулярно через определенные промежутки времени. Обратите внимание на то, что необходимо выполнить команду clear traffic на PIX до собирания этих статистических данных. Отправьте эту информацию технической поддержке Cisco путем открытия кэйса ТАС (Центра технической поддержки) (только зарегистрированные клиенты).

Аварийный отказ PIX

Аварийное завершение PIX происходит, когда в системе обнаружена неисправимая ошибка и выполнена перезагрузка. После перезагрузки PIX возвращается в нормальное состояние. Нормальное состояние означает, что PIX функционален, трафик проходов, и что вы в состоянии получить доступ к PIX.

Можно убедиться, что PIX перезагружен, выполнив команду show version и проверив время работоспособного состояния. Чтобы проверить, почему перезагрузился PIX, подсоедините PC к консоли PIX Firewall. Это позволяет перехватить сообщений журнала (как правило, вызванная обратная трассировка) следующий раз перезагрузки PIX. Пример обратной трассировки показывают здесь:

Traceback: 
0: 8010278c 
1: 80094107 
2: 8009beb6 
3: 800a5389 
4: 800a95fb 
5: 8008f9c4 
6: 8000279b 
7: 00000000 
<output deleted for brevity>

Клиенты могут искать любые известные ошибки для определенного релиза программного обеспечения PIX, вы выполняете использование Bug Toolkit (только зарегистрированные клиенты). Сравните обратную трассировку с тем из дефекта, чтобы видеть, являются ли они тем же. Если доступны исправления, обновите PIX до соответствующей версии. Если исправление ошибки не доступно, или если вы не находите, что что-либо отнеслось в Bug Toolkit, откройте кэйс ТАС (Центра технической поддержки) (только зарегистрированные клиенты) с информацией, которую вы собрали описанный ранее в этом документе. Перехватите завершенную обратную трассировку перед открытием случая.

Сбой PIX и цикл загрузки

Когда PIX испытывает непрерывный / цикл загрузки, вы не можете получить доступ к PIX и прокрутке сообщений об ошибках, пока не выключен модуль. Циклическая запись могла бы произойти из-за проблемы аппаратных средств. Раздел Примеров системного сообщения этого документа показывает пример хорошей начальной загрузки и два примера плохой начальной загрузки из-за неполадок в оборудовании.

Клиенты могут искать любые известные ошибки для определенного релиза программного обеспечения PIX, вы выполняете использование Bug Toolkit (только зарегистрированные клиенты). Сравните обратную трассировку с тем из дефекта, чтобы видеть, являются ли они тем же. Если доступны исправления, обновите PIX до соответствующей версии. Если исправление ошибки не доступно, или если вы не находите, что что-либо отнеслось в Bug Toolkit, откройте кэйс ТАС (Центра технической поддержки) (только зарегистрированные клиенты) случай с информацией, которую вы собрали ранее в этом документе. Перехватите завершенную обратную трассировку перед открытием случая.

Пример системных сообщений

Нормальный режим работы PIX

Это - пример выходных данных от PIX 515, загружающегося под нормальной работой:

PhoenixPICOBIOS 4.0 Release 6.0 
Copyright 1985-1998 Phoenix Technologies Ltd. 
All Rights Reserved 

Build Time: 04/27/99 17:08:34 
Polaris BIOS Version 0.09 
CPU = Pentium with MMX  200 MHz 
640K System RAM Passed 
31M Extended RAM Passed 
0512K Cache SRAM Passed 
System BIOS shadowed 
PIX BIOS (4.0) #38: Tue Apr 27 12:45:23 PDT 1999 
    timhahn@irp-view5:/vws/dry/timhahn/trunk/loader 
Platform PIX-515 
Flash=i28F640J5 @ 0x300 

Use BREAK or ESC to interrupt flash boot. 
Reading 1528320 bytes of image from flash. 
##################################################### 
# 
32MB RAM 
Flash=i28F640J5 @ 0x300 
BIOS Flash=AT29C257 @ 0xfffd8000 
mcwa i82559 Ethernet at irq 11  MAC: 0050.54fe.ea30 
mcwa i82559 Ethernet at irq 10  MAC: 0050.54fe.ea31 
mcwa i82558 Ethernet at irq  7  MAC: 0090.2742.fbbe 

  ----------------------------------------------------------------------- 
                               ||        || 
                               ||        || 
                              ||||      |||| 
                          ..:||||||:..:||||||:.. 
                         c i s c o S y s t e m s 
                        Private Internet eXchange 
  ----------------------------------------------------------------------- 
                        Cisco PIX Firewall 

Cisco PIX Firewall Version 6.2(1) 
Licensed Features: 
Failover:           Enabled 
VPN-DES:            Enabled 

VPN-3DES:           Enabled 
Maximum Interfaces: 6 
Cut-through Proxy:  Enabled 
Guards:             Enabled 
URL-filtering:      Enabled 
Inside Hosts:       Unlimited 
Throughput:         Unlimited 
IKE peers:          Unlimited 
  

  ****************************** Warning ******************************* 
  Compliance with U.S. Export Laws and Regulations - Encryption. 

  This product performs encryption and is regulated for export 
  by the US Government. 

  This product is not authorized for use by persons located 
  outside the United States and Canada that do not have prior 
  approval from Cisco Systems, Inc. or the US Government. 

  This product may not be exported outside the US and Canada 
  either by physical or electronic means without PRIOR approval 
  of Cisco Systems, Inc. or the US Government. 

  Persons outside the US and Canada may not re-export, resell 
  or transfer this product by either physical or electronic means 
  without prior approval of Cisco Systems, Inc. or the US 
  Government. 
  ******************************* Warning ******************************* 

Copyright (c) 1996-2002 by Cisco Systems, Inc. 

                Restricted Rights Legend 

Use, duplication, or disclosure by the Government is 
subject to restrictions as set forth in subparagraph 
(c) of the Commercial Computer Software - Restricted 
Rights clause at FAR sec. 52.227-19 and subparagraph 
(c) (1) (ii) of the Rights in Technical Data and Computer 
Software clause at DFARS sec. 252.227-7013. 

                Cisco Systems, Inc. 
                170 West Tasman Drive 
                San Jose, California 95134-1706 
  

Cryptochecksum(unchanged): d32550f0 c52eaa1b 952dabc8 6e7b6ea3 
199002: PIX startup completed.  Beginning operation. 
Type help or '?' for a list of available commands. 

сообщение "non-PIX-1GE-66" на PIX

WARNING: A non-PIX-1GE-66 Gigabit Ethernet card was found in slot 0. 
WARNING: This combination is not recommended and will reduce the overall 
WARNING: performance of the system.  Remove this card and replace it with 
WARNING: a PIX-1GE-66 Gigabit Ethernet card for optimal performance. 

Решение: Сообщение появляется, если в слот шины 66 МГц установлена карта Gigabet Ethernet 33 МГц. Если более медленная карта была перемещена от гнезда шины на 33 МГц слева к одному из четырех гнезд шины на 66 МГц справа, это не появляется на модуле PIX 535, как поставлено от Cisco, но может появиться. Во избежания падения производительности на этих слотах шины на 66 МГц следует использовать только платы с частотой 66 МГц.

Использован только один NIC

An internal error occurred.  Specifically, a programming assertion was 
violated.  Copy the error message exactly as it appears, and get the 
output of the show version command and the contents of the configuration 
file.  Then call your technical support representative. 
 
assertion "PifCount >= 2 && PifCount <= MAX_PIFS" failed: file "pixmain.c", 
line 219 

An internal error occurred.  Specifically, a programming assertion was 
violated.  Copy the error message exactly as it appears, and get the 
output of the show version command and the contents of the configuration 
file.  Then call your technical support representative. 

Assertion"(unsigned)ifc < PifCount" failed: file "pixmain.c", line 547 
Panic: pix/intf1 - Cannot open interface card 1 (en_3com/1) 
0x807c14c8: 0x00000000 
0x807c14c4: 0x00000001 
0x807c14c0: 0x80069e1c 
0x807c14bc: 0x00000000 

<output deleted for brevity>

Решение: Используйте минимум из двух интерфейса.

Сводка

Если вы определили компонент, который должен быть заменен, связаться с вашим партнером Cisco или реселлером для запроса замены на аппаратный компонент, который вызывает проблему. Если у вас есть договор о технической поддержке непосредственно с Cisco, используйте Случай Cisco.com Открытое Программное средство, чтобы открыть кэйс ТАС (Центра технической поддержки) (только зарегистрированные клиенты) и запросить замену оборудования. Удостоверьтесь, что вы подключаете эту информацию:

  • Снимки консоли, которые показывают завершенные сообщения об ошибках или обратную трассировку.

  • Снимки консоли, которые показывают предпринятые шаги по устранению неисправностей и последовательность загрузки во время каждого шага.

  • Неисправный компонент оборудования и серийный номер шасси.

  • Журналы устранения неполадок.

  • Выходные данные команды show tech.

Если вы были неспособны определить свою проблему аппаратных средств в этом документе, обратитесь к Уведомлениям о дефектах Межсетевого экрана PIX 500 для рассмотрения дополнительных проблем известных проблем аппаратного обеспечения.


Дополнительные сведения


Document ID: 21501