In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument werden die empfohlenen Schritte zur Fehlerbehebung bei einer Cisco Secure Firewall Threat Defense (FTD) beschrieben, die auf den Hardwareplattformen 1xxx, 12xx, 21xx, 31xx, 41xx, 42xx und 93xx nicht reagiert.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
In einigen Fällen reagiert ein FTD-Gerät von Cisco nicht mehr. Typische Symptome sind:
Beachten Sie, dass je nach Situation einige von ihnen nicht anwesend sein werden. Es könnte beispielsweise passieren, dass Datenverkehr durch die Infrastruktur fließt, aber nur der Verwaltungszugriff funktioniert nicht.
In diesem Abschnitt werden die empfohlenen Schritte und Aktionen beschrieben, die Sie durchführen müssen. Sie können diese Informationen dem Cisco TAC zur weiteren Analyse zur Verfügung stellen.
Nehmen Sie ein Video oder ein Bild der LEDs auf der Vorderseite auf. Hier einige Beispiele, bei denen alle LEDs deutlich sichtbar sind:
Auf dem nächsten Foto zeigt die SYSTEM-LED ein Geräteproblem an:
Im Hardware-Handbuch Ihres Gerätemodells finden Sie weitere Informationen über die LED, z. B.:
Modell |
LED-Info |
1010 |
|
1100 |
|
1210CE, 1210CP, 1220CX |
|
1230, 1240, 1250 |
|
2100 |
|
3100 |
|
4110, 4120, 4140, 4150 |
|
+1 4112 4115 4125 |
|
4200 |
|
9300 |
Nehmen Sie ein Video oder ein Bild der LEDs auf der Rückseite auf, zum Beispiel:
Wenn keine LEDs zum Ein-/Ausschalten angezeigt werden:
Überprüfen Sie, ob die Lüfter auf der Rückseite der Appliance ausgeführt werden.
Prüfen Sie, ob Geräusche oder Gerüche vom Gerät ausgehen.
Stellen Sie sicher, dass die Konsolen- und Management-Ports ordnungsgemäß angeschlossen sind. Wenn das Problem nur beim Management-Port auftritt, versuchen Sie, den SFP (sofern zutreffend) und das Netzwerkkabel zu ändern.
Versuchen Sie, einen Ping (ICMP) an die Management-IP-Adresse des Geräts zu senden.
Überprüfen Sie den Port-Status der benachbarten Geräte, z. B.:
switch# show interface description | i FW-4215-1
Gi7/1 up up FW-4215-1 ETH1/1
Gi7/2 up up FW-4215-1 ETH1/2
Gi7/3 up up FW-4215-1 MGMT
Im Fall einer Hochverfügbarkeit oder einer Cluster-Konfiguration holen Sie ein Fehlerbehebungspaket von den Peer-Geräten ein.
Schließen Sie einen Laptop an den Konsolenport an, und kopieren Sie alle angezeigten Meldungen. Drücken Sie die Tasten Nach oben/Nach unten oder PageUp, um alle Meldungen auf dem Bildschirm anzuzeigen.
Mit einem Laptop, der an den Konsolenport angeschlossen ist:
Beachten Sie, dass der Kaltstart zu einer Datenbankbeschädigung führen kann, wenn das Gerät nicht ordnungsgemäß heruntergefahren wurde und das Gerät betriebsbereit war (die LEDs auf der Vorderseite waren eingeschaltet). Wenn der Kaltstart das Gerät aktiviert, nehmen Sie ein Fehlerbehebungspaket mit und wenden Sie sich an Cisco TAC.
Wenn das Gerät wiederhergestellt und von einem FMC verwaltet wird, navigieren Sie zu System > Health > Monitor, und wählen Sie das Gerät aus. Konzentrieren Sie sich auf die hervorgehobenen Diagramme, um den Status des Geräts zu ermitteln, bevor Sie nicht reagieren (z. B. hoher Arbeitsspeicher, hohe CPU, hohe Festplattenauslastung usw.).
Nichterfüllung (4100):
FW4100# show server storage
Server 1/1:
RAID Controller 1:
Type: SATA
Vendor: Cisco Systems Inc
Model: FPR4K-PT-01
Serial: JAD12345678
HW Revision:
PCI Addr: 00:31.2
Raid Support:
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Unknown
Local Disk 1:
Vendor: Micron
Model: 5300 MTFD
Serial: MSA123456AB
HW Rev:
Operability: N/A
Presence: Missing <-----
Size (MB): 200000
Drive State: Online
Power State: Active
Link Speed: 6 Gbps
Device Type: SSD
Local Disk Config Definition:
Mode: NO RAID
Description:
Protect Configuration: No
Beispielausgabe von 3100, wenn die Festplatte betriebsbereit ist:
FW3105# show server storage
Server 1/1:
Disk Controller 1:
Type: SOFTRAID
Vendor: Cisco Systems Inc
Model: FPR_SOFTRAID
HW Revision:
PCI Addr:
Raid Support: raid1
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Optimal
Local Disk 1:
Presence: Equipped
Model: SAMSUNG MZQL2960HCJR-00A07
Serial: S64FNT0AB12345
Operability: Operable <---
Size (MB): 858306
Device Type: SSD
Firmware Version: GDC5A02Q
Virtual Drive 1:
Type: Raid
Blocks: 878906048
Operability: Degraded
Presence: Equipped
Size (MB): 858306
Drive State: Degraded
Beispielausgabe von 4100, wenn die Festplatte betriebsbereit ist:
FW4125# show server storage
Server 1/1:
RAID Controller 1:
Type: SATA
Vendor: Cisco Systems Inc
Model: FPR4K-PT-01
Serial: JAD1234567
HW Revision:
PCI Addr: 00:31.2
Raid Support:
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Unknown
Local Disk 1:
Vendor: TOSHIBA
Model: KHK61RSE
Serial: 11BS1234567AB
HW Rev: 0
Operability: Operable
Presence: Equipped
Size (MB): 800000
Drive State: Online
Power State: Active
Link Speed: 6 Gbps
Device Type: SSD
Local Disk Config Definition:
Mode: No RAID
Description:
Protect Configuration: No
Wenn das Firewall-Gerät wiederhergestellt wird und Sie die Backend-Protokolle analysieren möchten, erstellen Sie ein Fehlerbehebungspaket, und überprüfen Sie die in der Tabelle genannten Dateien. Beachten Sie, dass:
Dateipfad im Fehlerbehebungspaket |
Beschreibung/Tipps |
Verfügbar auf |
FTD TS-Paket: /dir-archives/var-log/messages* |
Die Zeichenfolge "syslog-ng shutting down" wird bei einem ordnungsgemäßen Herunterfahren angezeigt. Beim Starten des Geräts wird die Zeichenfolge "syslog-ng started up" (Syslog wird gestartet) angezeigt. |
FTD |
FTD TS-Paket: /dir-archives/var-log/ASAconsole.log Bei ASA auf 4100/9300 finden Sie die Datei auch im Modul-Paket unter /opt/cisco/platform/logs/ASAconsole.log |
Suchen Sie nach Fehlern, Fehlern, Fehlern usw. |
ASA, FTD |
FTD TS-Paket: /dir-archives/var-log/dmesg.log |
Suchen Sie nach Fehlern, Fehlern, Fehlern usw. |
FTD |
FTD TS-Paket: /dir-archives/var/log/ngfwManager.log* |
Suchen Sie nach Fehlern, Fehlern, Fehlern usw. Diese Datei enthält auch Informationen über HA/Cluster-Ereignisse. |
FTD |
FTD TS-Paket: /command-outputs/LINA_troubleshoot/show_tech_output.txt |
Die Ausgabe von "show failover history" (Failover-Verlauf anzeigen) und "show cluster" history (Cluster-Verlauf anzeigen) kann zusätzliche Einblicke in die Ereignisabfolge liefern. |
FTD |
FTD TS-Paket: /command-outputs/ Dateinamen: ・ für CORE in `ls opt-cisco-csp-cores _ grep core`_ do file -opt-cisco-csp-cores-_{CORE}_ done.output ・ für CORE in `ls var-common _ grep core`_ do file var-common-_{CORE}_ done.output ・ für CORE in `ls var-data-cores _ grep core`_ do file -var-data-cores-_{CORE}_ done.output |
Auf potenzielle Core-Dateien (Tracebacks) prüfen. |
FTD |
FTD TS-Paket: /dir-archives/var/log/crashinfo/snort3-crashinfo.* |
Suchen Sie nach Snort3 crashinfo-Dateien. |
FTD |
FTD TS-Paket: /dir-archives/var/log/process_stderr.log* |
Überprüfen Sie, ob Rückverfolgungen vorhanden sind (z. B. Cisco Bug-ID CSCwh25406) |
FTD |
FTD TS-Paket: /dir-archives/var/log/periodic_stats/ |
Das Verzeichnis enthält mehrere Dateien, die Einblicke in den Zeitpunkt des Vorfalls liefern können. |
FTD |
FPRM-Paket: Technische_Unterstützung_Kurzbeschreibung |
Prüfen Sie die Ausgabe von "show fault detail". |
ASA, FTD |
FPRM-Paket: /opt/cisco/platform/logs/kern.log |
Suchen Sie nach Fehlern, Fehlern, Fehlern usw. |
ASA, FTD |
FPRM-Paket: /opt/cisco/platform/logs/messages* |
Suchen Sie nach Fehlern, Fehlern, Fehlern usw. |
ASA, FTD |
FPRM-Paket: /opt/cisco/platform/logs/mce.log Dieselbe Datei ist auch im Modulpaket (41xx, 93xx) vorhanden. |
Dies ist die MCE-Datei (Machine Check Exceptions). Suchen Sie nach Fehlern, Fehlern, Fehlern usw. |
ASA, FTD |
FPRM-Paket: /opt/cisco/platform/logs/portmgr.out |
Suchen Sie nach Fehlern, Fehlern, Fehlern usw. |
ASA, FTD |
FPRM-Paket: /opt/cisco/platform/logs/sysmgr/logs/kp_init.log: |
Suchen Sie nach Fehlern, Fehlern, Fehlern usw. |
ASA, FTD |
FPRM-Paket: /opt/cisco/platform/logs/ssp-pm.log Dieselbe Datei ist auch im Modulpaket (41xx, 93xx) vorhanden. |
Suchen Sie nach Fehlern, Fehlern, Fehlern usw. |
ASA, FTD |
FPRM-Paket: /opt/cisco/platform/logs/sma.log Dieselbe Datei ist auch im Modulpaket (41xx, 93xx) vorhanden. |
Suchen Sie nach Fehlern, Fehlern, Fehlern usw. |
ASA, FTD |
FPRM-Paket: /opt/cisco/platform/logs/heimdall.log |
Suchen Sie nach Fehlern, Fehlern, Fehlern usw. |
ASA, FTD |
FPRM-Paket: /opt/cisco/platform/logs/ssp-shutdown.log Dieselbe Datei ist auch im Modulpaket (41xx, 93xx) vorhanden. |
Es enthält die Ausgabe von ps, top und einige Zeilen von dmesg beim Start oder Herunterfahren. Verfügbar unter 1000/2100/3100/4200. |
ASA, FTD |
FPRM-Paket: /opt/cisco/platform/logs/sysmgr/sam_logs/svc_sam_dme.log* |
Suchen Sie nach Fehlern, Fehlern, Fehlern usw. |
ASA, FTD |
FPRM-Paket: /opt/cisco/platform/logs/sysmgr/sam_logs/svc_sam_envAG.log* |
Suchen Sie nach Fehlern, Fehlern, Fehlern usw. |
ASA, FTD |
CIMC-Paket (41xx, 93xx): /obfl/obfl-log* |
Suchen Sie nach Fehlern, Fehlern, Fehlern usw. |
ASA, FTD |
CIMC-Paket (41xx, 93xx): /CIMC1_TechSupport.tar.gz/CIMC1_TechSupport.tar/tmp/techsupport_pid*/CIMC1_TechSupport-nvram.tar.gz/CIMC1_TechSupport-nvram.tar/nv/etc/log/eng-repo/messages* |
Suchen Sie nach Fehlern, Fehlern, Fehlern usw. Speziell für CATERR |
ASA, FTD |
Modulpaket (41xx, 93xx): /tmp/mount_media.log/mount_media.log |
Suchen Sie nach Fehlern, Fehlern, Fehlern usw. |
ASA, FTD |
Wenn eine bestimmte Schnittstelle nicht mehr reagiert, können Sie Aufzeichnungen auf der Firewall und dem benachbarten Gerät erstellen. Weitere Informationen finden Sie in diesem Dokument:
Stellen Sie außerdem sicher, dass die ARP- und CAM-Tabellen der benachbarten Geräte korrekt ausgefüllt sind.
Zusätzlich zu den oben genannten Punkten wird dringend empfohlen, folgende Informationen bereitzustellen:
15 a) Wenn das Gerät wiederhergestellt wurde, sammeln Sie ein Fehlerbehebungspaket (weitere Informationen finden Sie in Schritt 13).
15 b. Wenn das Gerät immer noch nicht reagiert, geben Sie die folgenden Informationen an:
15 c. Ungefährer Zeitpunkt (Datum/Uhrzeit), an dem das Gerät nicht mehr reagiert.
15 d. Ungefähre Betriebszeit des Geräts, bevor es nicht mehr reagiert.
15e. Handelt es sich um ein neues oder ein vorhandenes Setup?
15 f. Welche Aktion wurde zuletzt ausgeführt, bevor das Gerät nicht mehr reagiert?
15 g Firewall Data Plane (LINA)-Syslogs ab dem Zeitpunkt, an dem das Gerät nicht mehr reagiert (Protokolleingabe etwa 5 Minuten vor dem Vorfall). Als Best Practice wird empfohlen, Syslogs auf Stufe 6 zu konfigurieren (informativ).
15 Uhr Wenn Sie einen Syslog-Server im Chassis (FXOS auf 4100/9300) konfiguriert haben, stellen Sie die Protokolle bereit (Beginn ca. 5 Minuten vor dem Vorfall).
15i Syslogs von den benachbarten Geräten zum Zeitpunkt des Incident.
15 j) Topologiediagramm, das die physischen Verbindungen zwischen dem Firewall-Gerät und den angrenzenden Geräten zeigt.
Wenn Sie eine Verbindung zur Konsole herstellen und Folgendes sehen:
Software Error: Exception during execution: [Error: Timed out communicating with DME]
Meistens weist dies auf ein Softwareproblem hin.
Empfohlene Aktion: Cisco TAC kontaktieren
Diese Ausgabe stammt von einer 4100/9300-Hardware-Appliance, bei der ein festplattenbezogener Fehler generiert wird:
Empfohlene Aktion: Versuchen Sie, den SSD-Datenträger erneut einzusetzen. Wenn es nicht hilft, Chassis-Fehlerbehebung Paket sammeln und Cisco TAC kontaktieren.
Empfohlene Aktion: Um dieses Problem vorübergehend zu beheben, muss das 4100/9300-Gehäuse aus- und wieder eingeschaltet werden. Unter der Cisco Bug-ID CSCvx99172 finden Sie weitere Informationen und eine Version, die behoben werden kann. (Problemhinweis: FN72077 - Sicherheitslösungen der Serien FPR9300 und FPR4100 - Bei einigen Appliances kann der Datenverkehr nach 3,2 Jahren Betriebszeit nicht weitergeleitet werden.)
Wenn wenig Festplattenspeicher in der Firewall vorhanden ist, reagiert das Gerät möglicherweise nicht mehr. Wenn das Gerät vom FMC verwaltet wird, können Sie Statusmeldungen wie diesen erhalten:
Empfohlene Aktion: Wenn FMC und FTD auf der Software 7.7.0 und höher ausgeführt werden, versuchen Sie, einen Teil des Festplattenspeichers mithilfe des unter https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/admin/770/management-center-admin-77/health-troubleshoot.html#clear-disk-space dokumentierten Verfahrens zu löschen.
Wenn dies nicht möglich ist oder nicht weiterhilft, wenden Sie sich an Cisco TAC.
Empfohlene Aktion: Führen Sie ein Upgrade auf eine Softwareversion durch, die die folgenden Probleme behebt:
Cisco Bug-ID CSCwm14729 Die Serie CSF 3100 wird nach einem Stromausfall nicht neu gestartet und muss manuell ein- und ausgeschaltet werden.
Empfohlene Aktion: Austausch von DIMM-Komponenten oder Austausch der Sicherheits-Appliance
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
17-Jul-2025
|
Erstveröffentlichung |