Безопасность : Cisco Firepower Management Center

Решите проблему с Покидает в спешке менеджмент (LOM) на центре управления FireSIGHT или устройстве FirePOWER

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Покидать-в-спешке-менеджмент (LOM) позволяет вам использовать внеполосное подключение управления Последовательного по LAN (SOL), чтобы удаленно контролировать или управлять устройствами, не входя в веб-интерфейс устройства. Можно выполнить ограниченные задачи, такие как просмотр серийного номера на корпусе или мониторинг таких условий как скорость вентилятора и температура. Этот документ предоставляет различные признаки и сообщения об ошибках, которые могут появиться, когда вы настраиваете LOM, и как устранить неполадки их шаг за шагом.

Внесенный Нэзмулом Рэджибом и Майклом Нобайлом, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Cisco рекомендует ознакомиться в Системе FireSIGHT и Покидать-в-спешке-менеджменте (LOM).

Используемые компоненты

Сведения в документе приведены на основе данных версий аппаратного и программного обеспечения:

  • Центр управления FireSIGHT
  • FirePOWER устройства серии 7000, устройства серии 8000.
  • Версия программного обеспечения 5.2 или позже

Примечание: Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Неспособный соединиться с LOM

Можно быть неспособны соединиться с Центром управления FireSIGHT или Устройством FirePOWER с помощью Покидает в спешке менеджмент (LOM). Запросы подключения могут отказать со следующими сообщениями об ошибке:

Error: Unable to establish IPMI v2 / RMCP+ session Error
Info: cannot activate SOL payload with encryption

Следующий раздел описывает, как проверить конфигурацию LOM и соединения интерфейс LOM.

Проверка конфигурации

Шаг 1: Проверьте и подтвердите, что LOM включен и использует другой IP-адрес, чем интерфейс управления.

Шаг 2 ---- -------------------------------- --------- : Проверьте с Сетевой Командой, что порт UDP 623 открыт Двунаправленным образом, и что Маршруты настроены правильно. Telnet к IP-адресу LOM по порту 623.

Шаг 3: Можно ли пропинговать IP-адрес LOM? В противном случае выполните следующую команду как пользователя маршрута на применимом устройстве и проверьте, что параметры настройки корректны. Например: ,

ipmitool lan print

Set in Progress : Set Complete
Auth Type Support : NONE MD5 PASSWORD
Auth Type Enable : Callback : NONE MD5 PASSWORD
: User : NONE MD5 PASSWORD
: Operator : NONE MD5 PASSWORD
: Admin : NONE MD5 PASSWORD
: OEM :
IP Address Source : Static Address
IP Address : 192.0.2.2
Subnet Mask : 255.255.255.0
MAC Address : 00:1e:67:0a:24:32
SNMP Community String : INTEL
IP Header : TTL=0x00 Flags=0x00 Precedence=0x00 TOS=0x00
BMC ARP Control : ARP Responses Enabled, Gratuitous ARP Disabled
Gratituous ARP Intrvl : 0.0 secondsDefault Gateway IP : 192.0.2.1
Default Gateway MAC : 00:00:00:00:00:00
Backup Gateway IP : 0.0.0.0
Backup Gateway MAC : 00:00:00:00:00:00
802.1q VLAN ID : Disabled
802.1q VLAN Priority : 0
RMCP+ Cipher Suites : 1,2,3,6,7,8,11,12,0
Cipher Suite Priv Max : XaaaXXaaaXXaaXX
: X=Cipher Suite Unused
: c=CALLBACK
: u=USER
: o=OPERATOR
: a=ADMIN
: O=OEM

Проверьте соединение

Шаг 1: Можно ли подключить использование следующей команды?

ipmitool -I lanplus -H xxx.xxx.xxx.xxx  -U admin sdr

Вы получаете это сообщение об ошибках?

Error: Unable to establish IPMI v2 / RMCP+ session

Примечание: Соединение с правильным IP-адресом, но обеспечение неправильных учетных данных отказывает с ошибкой выше сразу. Попытка соединиться с LOM в недопустимом IP - адресе испытывает таймаут приблизительно после 10 секунд и возвращает эту ошибку.

Шаг 2 ---- -------------------------------- --------- : Попытайтесь подключить использование следующей команды:

ipmitool -I lanplus  -H xxx.xxx.xxx.xxx  -U admin sdr

Шаг 3: Вы получаете эту Ошибку?

Info: cannot activate SOL payload with encryption

Теперь попытайтесь подключить использование следующей команды (Это задаст набор шифров для использования):

ipmitool -I lanplus -H xxx.xxx.xxx.xxx -C 3 -U admin sdr

Шаг 4. : Все еще не может соединиться? Попытайтесь подключить использование следующей команды:

ipmitool -I lanplus -vvv -H xxx.xxx.xxx.xxx -C 3 -U admin sdr

В многословных выходных данных вы видите ошибку слежения?

RAKP 2 HMAC is invalid

Шаг 5: Измените Пароль администратора через GUI и попробуйте еще раз.

Все еще не может соединиться? Попытайтесь подключить использование следующей команды:

ipmitool -I lanplus -vvv -H xxx.xxx.xxx.xxx -C 3 -U admin sdr

В многословных выходных данных вы видите ошибку слежения?

RAKP 2 message indicates an error : unauthorized name

Шаг 6: Перейдите Пользователю> Локальная конфигурация> Управление пользователями

  • Создайте новый TestLomUser
  • Проверьте конфигурацию Роли пользователя Администратору
  • Проверка позволяет, покидает в спешке управляющего доступ


На CLI применимого устройства передайте привилегии базироваться, и выполнить следующие команды. Проверьте, что TestLomUser является пользователем на третьей линии.

ipmitool user list 1
ID  Name         Callin  Link Auth    IPMI Msg   Channel Priv Limit
1 false false true ADMINISTRATOR
2 root false false true ADMINISTRATOR
3 TestLomUser true true true ADMINISTRATOR

Измените пользователя на линии три admin.

ipmitool user set name 3 admin

Установите соответствующий уровень доступа:

ipmitool channel setaccess 1 3 callin=on link=on ipmi=on privilege=4

Измените пароль нового пользователя с правами администратора

ipmitool user set password 3

Проверьте, что параметры настройки корректны.

ipmitool user list 1
ID  Name         Callin  Link Auth    IPMI Msg   Channel Priv Limit
1 false false true ADMINISTRATOR
2 root false false true ADMINISTRATOR
3 admin true true true ADMINISTRATOR

Удостоверьтесь, что SOL включен для корректного канала (1) и пользователь (3). 

ipmitool sol payload enable 1 3

Шаг 7: Давайте удостоверяться, что процесс IPMI не находится в плохом состоянии.

pmtool status | grep -i sfipmid

sfipmid (normal) - Running 2928
Command: /usr/local/sf/bin/sfipmid -t 180 -p power
PID File: /var/sf/run/sfipmid.pid
Enable File: /etc/sf/sfipmid.run

Перезапустите службу.

pmtool restartbyid sfipmid

Подтвердите, что изменился PID.

pmtool status | grep -i sfipmid

sfipmid (normal) - Running 20590
Command: /usr/local/sf/bin/sfipmid -t 180 -p power
PID File: /var/sf/run/sfipmid.pid
Enable File: /etc/sf/sfipmid.run

Шаг 8: Отключите LOM в GUI, затем Перезагрузите устройство. В GUI устройства перешли к Локальному> Конфигурация> Консольная Конфигурация. Затем Выберите VGA, нажмите Save и нажмите OK к перезагрузке теперь.

Впоследствии, включите LOM в GUI, затем Перезагрузите устройство. В GUI устройства перешли к Локальному> Конфигурация> Консольная Конфигурация. Затем выберите Physical Serial Port или LOM, нажмите Save и нажмите OK к перезагрузке теперь.

Теперь, попытайтесь соединиться снова.

ipmitool -I lanplus -vvv -H xxx.xxx.xxx.xxx -C 3 -U admin sdr

Шаг 9: Завершает устройство и завершенный, цикл включения и выключения питания, т.е. физически демонтирует шнур питания в течение 1 минуты, включает его назад и затем включается. После того, как устройство включается, полностью выполняет следующую команду:

ipmitool -I lanplus -vvv -H xxx.xxx.xxx.xxx -C 3 -U admin sdr

Шаг 10: Выполните следующую команду от рассматриваемого устройства. Это в частности сделает "холодный" сброс блока - мультиплексного канала:

ipmitool bmc reset cold  

Шаг 11: Выполните следующую команду от системы на той же локальной сети как устройство (т.е. не проходящий ни через какой промежуточный маршрутизатор):

ipmitool -I lanplus -H xxx.xxx.xxx.xxx -U admin power status
arp -an > /var/tmp/arpcache

Передайте технической поддержке Cisco получающийся/var/tmp/arpcache файл, чтобы определить, отвечает ли BMC на запрос ARP.

Соединение с Интерфейсом LOM Разъединено Во время Перезагрузки

При перезагрузке Центра управления FireSIGHT или Устройства FirePOWER соединение с устройством может быть потеряно. Выходные данные при перезагрузке устройства через командную строку ниже:

admin@FireSIGHT:~$ sudo shutdown -r now

Broadcast message from root (ttyS0) (Tue Nov 19 19:40:30 Stopping Sourcefire 3D Sensor
7120...nfemsg: Host ID 1 on card 0 endpoint 1 de-registering ...
nfemsg: Host ID 2 on card 0 endpoint 1 de-registering ...
nfemsg: Host ID 27 on card 0 endpoint 1 de-registering ......ok
Stopping Netronome Flow Manager: nfemsg: Fail callback unregistered
Unregistered NFM fail hook handler
nfemsg: Card 0 Endpoint #1 messaging disabled
nfemsg: Module EXIT
WARNING: Deprecanfp nfp.0: [ME] CSR access problem for ME 25
ted config file nfp nfp.0: [vPCI] Removed virtual device 01:00.4
/etc/modprobe.conf, all config files belong into /etc/modprobe.d/. success.
No NMSB present: logging unecessary...[-10G[ OK ]..
Turning off swapfile /Volume/.swaptwo
[-10G[ OK ] other currently mounted file systems...
Unmounting fuse control filesystem.Un

Выделенные выходные данные Unmounting плавят файловые системы контроля. ООН показывает, что соединение с устройством прервано из-за Протокола STP (STP), включаемого на коммутаторе, где FireSIGHT Syste связан с. Один раз перезагрузки управляемых устройств, ошибка слежения отображена:

Error sending SOL data; FAIL
SOL session closed by BMC

Примечание: Прежде чем можно будет соединиться с устройством с помощью LOM/SOL, необходимо отключить Протокол STP (STP) на любом стороннем коммутационном оборудовании, связанном с интерфейсом управления устройства.

Соединение LOM Системы FireSIGHT разделено с портом управления. Ссылка для порта управления понижается для очень недолгое время во время перезагрузки. Так как ссылка выключается и возвращается, это могло вызвать задержку порта коммутатора (как правило, за 30 секунд до того, как это запустит проходящий трафик), из-за прослушивания или обучения состояния порта коммутатора, вызванного путем настройки STP на порту.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.