كشك نشر وإيقاف CLISH أثناء إختبار اتصال CLISH/Traceroute الذي تم تشغيله لفترة طويلة

مسألة

على منصات FirePOWER لجدار الحماية الآمن من Cisco (الإصدارات 7.6.4 و 7.7 و 10.0.0)، عندما تكون جلسات عمل SSH المتعددة نشطة إلى الجهاز نفسه، فإن تنفيذ أمر قيد التشغيل لمدة طويلة (مثل إختبار الاتصال المستمر) في جلسة واحدة باستخدام CLI CLI (واجهة سطر الأوامر (CLI)) يقوم بحظر أوامر CLI الأخرى من الاكتمال في جلسات العمل الأخرى أو CLISH في CSCws82823.

على سبيل المثال، إذا قام المسؤول بتشغيل إختبار اتصال مستمر في جلسة CLISH واحدة ل SSH وحاول تنفيذ أوامر show في جلسة CLISH أخرى، فإن الأوامر التالية تعلق حتى يتم إكمال الأمر الذي يتم تشغيله لمدة طويلة أو يتم إجهاضه. في إصدارات معينة، لا يمكن إجهاض إختبار الاتصال الذي يتم تشغيله منذ فترة طويلة من CLISH، مما يؤدي إلى CLISH أو تثبيت النشر. يسمح إستخدام وضع الخبير أو محرك LINA مباشرة (من خلال System support-diagnostic-cli) بالعملية دون سلوك الحظر هذا.

البيئة

• الأنظمة الأساسية لأجهزة Cisco Secure Firewall Firepower: السلاسل 1000 و 1200 و 4200
• إصدارات البرامج: 7.6.4 و 7.7 و 10.0.0
• جلسات عمل SSH المتعددة (المستخدمون نفسهم أو مختلف) إلى الجهاز نفسه
• واجهة واجهة سطر الأوامر (CLI) من Clish
• وضع الخبير واستخدام واجهة سطر الأوامر التشخيصية ل LINA
• تم إختباره باستخدام الأوامر: ping، traceroute، show sip، show ip، show conn، show xlate
• تم نسخ المشكلة في أجهزة FPR1010 و FPR1200 و FPR4200
• العيوب ذات الصلة: CSCws82823، CSCwb84748

قرار

وتظهر المشكلة هذه الأعراض:

• قم بإنشاء جلستي عمل SSH للجهاز باستخدام مسوغات مستخدم مختلفة أو متطابقة.

• في جلسة العمل 1، قم بتشغيل إختبار الاتصال الذي يتم تشغيله منذ فترة طويلة باستخدام عدد مرات تكرار مرتفع من مطالبة FTD CLISH. 

> ping 1.1.1.1 repeat 2000

تحذير: إذا قمت بإجراء إختبار، فحاول القيام بذلك باستخدام أرقام تعداد أصغر، قد يستغرق إكمال رقم مثل 2000 ساعات.

ملاحظة: لا يظهر إختبار الاتصال/traceroute في CLISH أي رمز تقدم كما هو معتاد يرى مباشرة في CLI الخاص بالخط.

في جلسة 2، حاولت أن يركض آخر LINA أمر في CLISH مثل عرض sip.

> show sip

لا يكتمل الأمر في جلسة 2 حتى ينتهي إختبار الاتصال في جلسة 1 أو يتم إجهاضه.

هذا القرار متوفر:

• قم بإجهاض الأمر الأولي الذي طال أمده باستخدام Ctrl+C لتجنب إيقاف CLISH وتوقف النشر.

• في الإصدارات المتأثرة، لا يمكن إجهاض إختبارات الاتصال التي يتم تشغيلها لمدة طويلة في CLISH بواسطة Ctrl+C أو بإغلاق جلسة SSH. 

• إذا تمت محاولة ذلك، تستمر عملية الطرف الخلفي، وتبقى CLISH مؤمنة لأوامر LINA الأخرى.

• إذا تم العثور على "برنامج الإرسال فائق السرعة (FTD)" في هذه الحالة، أو إذا كان يشتبه في أن "برنامج الإرسال فائق السرعة (FTD)" قد دخل هذه الحالة بإختبار اتصال دائم ومتواصل، فمن الضروري إعادة تمهيد "برنامج الإرسال فائق السرعة (FTD)" للتمكن من التعافي.

• لتجنب إيقاف CLISH/النشر، قم بتشغيل أوامر LINA باستخدام محرك LINA مباشرة. لا تعرض هذه الطريقة السلوك المعيب.

> system support diagnostic-cli
firepower# ping 1.1.1.1 repeat 2000

لا تقوم الأوامر التي يتم تنفيذها عبر واجهة سطر الأوامر (CLI) التشخيصية ل LINA بحظر CLISH أو عمليات النشر في جلسات العمل الأخرى. ومع ذلك، يسمح دعم النظام ل diagnostic-cli فقط لمستخدم CLI واحد لكل جلسة عمل.

اعتبارات وملاحظات إضافية

• يمكن عادة إجهاض أوامر traceroute في CLISH، ولكن لا يزال يمكن أن يؤدي إلى توقف مؤقت (~3 دقائق) لأوامر LINA جديدة في جلسات عمل أخرى.

• يمكن تأخير أو حظر عمليات النشر التي تم بدء تشغيلها من "مركز إدارة جدار الحماية الآمن" أو "إدارة الأجهزة" إذا كان إختبار الاتصال الذي تم تشغيله منذ فترة طويلة نشطا في CLISH، حيث تستخدم كلتا العمليتين طرق متزامنة وتنتظر الإكمال (حتى 10 دقائق).

• يتم تصميم سلوك الحظر هذا لعمليات العملية المتزامنة، ومع ذلك، فإن عدم القدرة على الإجهاض قد ظهر بسبب الخلل.

السبب

• السبب الجذري هو خلل (Cisco Bug id CSCws82823) أن بشكل غير مقصود أزلت رمز مطلوب من بعض أوامر CLI في CLISH، يمنع محرك LINA من التعرف بشكل صحيح وإدارة أمر يركض لفترة طويلة. وقد أدى ذلك إلى فقدان وظيفة إجهاض Ctrl+C وتسبب في تأمين CLISH، وحجب الأوامر الأخرى وعمليات النشر حتى اكتمال الأمر الذي يعمل منذ فترة طويلة. يرجع سلوك الحظر إلى الطبيعة المتزامنة لمعالجة أمر CLISH.

المحتوى ذي الصلة

• مرجع أمر الدفاع عن تهديد جدار الحماية الآمن من Cisco: إستخدام واجهة سطر الأوامر (CLI)
• الدعم الفني والتنزيلات من Cisco