كشك نشر وإيقاف CLISH أثناء إختبار اتصال CLISH/Traceroute الذي تم تشغيله لفترة طويلة

مسألة

على الأنظمة الأساسية ل Cisco Secure Firewall FirePOWER (الإصدارات 7.6 و 7.7 و 10.0.0)، عندما تكون جلسات عمل SSH المتعددة نشطة إلى نفس الجهاز، فإن تنفيذ أمر قيد التشغيل لمدة طويلة (مثل إختبار الاتصال المستمر) في جلسة واحدة باستخدام CLI CLI يمنع أوامر CLI الأخرى من الاكتمال في جلسات عمل أخرى أو CLISH. على سبيل المثال، إذا بدأ المسؤول عملية إختبار اتصال مستمرة في جلسة SSH CLISH واحدة ويحاول تنفيذ أوامر show في جلسة CLISH أخرى، يتم تعليق الأوامر التالية حتى اكتمال الأمر الجاري تشغيله لمدة طويلة أو إجهاضه. في إصدارات معينة، لا يمكن إجهاض عملية التشغيل لمدة طويلة من CLISH، يؤدي إلى CLISH أو تحديد موقع النشر. يسمح إستخدام وضع الخبير أو محرك LINA مباشرة (من خلال Diagnostic-CLI لدعم النظام) بالتشغيل دون سلوك الحظر هذا.

البيئة

• الأنظمة الأساسية لأجهزة Cisco Secure Firewall Firepower: السلاسل 1000 و 1200 و 4200
• إصدارات البرامج: 7.6.4 و 7.7 و 10.0.0
• جلسات عمل SSH المتعددة (المستخدمون نفسهم أو مختلف) إلى الجهاز نفسه
• واجهة واجهة سطر الأوامر (CLI) من Clish
• وضع الخبير واستخدام واجهة سطر الأوامر التشخيصية ل LINA
• تم إختباره باستخدام الأوامر: ping، traceroute، show sip، show ip، show conn، show xlate
• تم نسخ المشكلة في أجهزة FPR1010 و FPR1200 و FPR4200
• العيوب ذات الصلة: CSCws82823، CSCwb84748

قرار

وتظهر المشكلة هذه الأعراض:

• قم بإنشاء جلستي عمل SSH للجهاز باستخدام مسوغات مستخدم مختلفة أو متطابقة.
• في جلسة العمل 1، قم بتشغيل إختبار الاتصال الذي يتم تشغيله منذ فترة طويلة باستخدام عدد مرات تكرار مرتفع من مطالبة FTD CLISH. 

> ping 1.1.1.1 repeat 2000

تحذير: إذا تم إجراء إختبار، فحاول القيام بذلك باستخدام أعداد أعداد أقل، قد يستغرق إكمال رقم مثل 2000 ساعات.

ملاحظة: لا يظهر إختبار الاتصال/traceroute في CLISH أي حرف تقدم كما هو معتاد يرى مباشرة في CLI الخاص بواجهة سطر الأوامر (CLI).

• في جلسة 2، حاول تشغيل أمر LINA آخر في CLISH مثل "show sip".

> show sip

• لا يكتمل الأمر في جلسة 2 حتى ينتهي إختبار الاتصال في جلسة 1 أو يتم إجهاضه.

هذا القرار متوفر:

• قم بإجهاض الأمر الأولي الذي طال أمده باستخدام Ctrl+C لتجنب إيقاف CLISH وتوقف النشر.
• في الإصدارات المتأثرة، لا يمكن إجهاض إختبارات الاتصال التي يتم تشغيلها لمدة طويلة في CLISH بواسطة Ctrl+C أو بإغلاق جلسة SSH. 
• إذا تمت محاولة ذلك، تستمر عملية الطرف الخلفي، وتبقى CLISH مؤمنة لأوامر LINA الأخرى.
• إذا تم العثور على "برنامج الإرسال فائق السرعة (FTD)" في هذه الحالة، أو إذا كان يشتبه في أن "برنامج الإرسال فائق السرعة (FTD)" قد دخل هذه الحالة بإختبار اتصال دائم ومتواصل، فمن الضروري إعادة تمهيد "برنامج الإرسال فائق السرعة (FTD)" للتمكن من التعافي.
• لتجنب إيقاف CLISH/النشر، قم بتشغيل أوامر LINA باستخدام محرك LINA مباشرة. لا تعرض هذه الطريقة السلوك المعيب.

> system support diagnostic-cli
firepower# ping 1.1.1.1 repeat 2000

• لا تقوم الأوامر التي يتم تنفيذها عبر واجهة سطر الأوامر (CLI) التشخيصية ل LINA بحظر CLISH أو عمليات النشر في جلسات العمل الأخرى. ومع ذلك، يسمح دعم النظام ل diagnostic-cli فقط لمستخدم CLI واحد لكل جلسة عمل.

اعتبارات وملاحظات اضافية:

• • يمكن عادة إجهاض أوامر traceroute في CLISH، ولكن لا يزال يمكن أن يؤدي إلى توقف مؤقت (~3 دقائق) لأوامر LINA جديدة في جلسات عمل أخرى.
  • يمكن تأخير أو حظر عمليات النشر التي تم بدء تشغيلها من "مركز إدارة جدار الحماية الآمن" أو "إدارة الأجهزة" إذا كان إختبار الاتصال الذي تم تشغيله منذ فترة طويلة نشطا في CLISH، حيث تستخدم كلتا العمليتين طرق متزامنة وتنتظر الإكمال (حتى 10 دقائق).
  • يتم تصميم سلوك الحظر هذا لعمليات العملية المتزامنة، ومع ذلك، فإن عدم القدرة على الإجهاض قد ظهر بسبب الخلل.

السبب

السبب الجذري هو خلل (Cisco Bug id CSCws82823) أن بشكل غير مقصود أزلت رمز مطلوب من بعض أوامر CLI في CLISH، يمنع محرك LINA من التعرف بشكل صحيح وإدارة أمر يركض لفترة طويلة. وقد أدى ذلك إلى فقدان وظيفة إجهاض Ctrl+C وتسبب في تأمين CLISH، وحجب الأوامر الأخرى وعمليات النشر حتى اكتمال الأمر الذي يعمل منذ فترة طويلة. يرجع سلوك الحظر إلى الطبيعة المتزامنة لمعالجة أمر CLISH.

المحتوى ذي الصلة

• مرجع أمر الدفاع عن تهديد جدار الحماية الآمن من Cisco: إستخدام واجهة سطر الأوامر (CLI)
• الدعم الفني والتنزيلات من Cisco