Solución de problemas de las implementaciones de políticas de Firepower Threat Defense
Contenido
Introducción
Con Cisco Firepower Threat Defense (FTD), las funciones de firewall con inspección activa (stateful) tradicionales que ofrecen los dispositivos de seguridad adaptable (ASA) y las funciones de firewall de última generación (con tecnología Snort) se combinan ahora en un único producto. Debido a este cambio, Policy Deployment Infrastructure en FTD ahora gestiona los cambios de configuración tanto para el código ASA (también denominado LINA) como para Snort en un paquete. Este documento proporciona una descripción general de alto nivel del proceso de implementación de políticas en FTD y técnicas básicas de solución de problemas.
Prerequisites
Cisco recomienda que conozca los siguientes productos:
- Firepower Management Center (FMC)
- Firepower Threat Defense (FTD)
Descripción general de la implementación de políticas
Cisco FTD utiliza las implementaciones de políticas para gestionar y enviar configuraciones para los dispositivos registrados en el propio Firepower Management Center (FMC). Dentro de la implementación, hay una serie de pasos que se dividen en "Fases".
Las fases de FMC se pueden resumir en la siguiente lista.
| Fase 0 | Inicialización de la implementación |
| Fase 1 | Colección de objetos de base de datos |
| Fase 2 | Colección de objetos y políticas |
| Fase 3 | Generación de la configuración de la línea de comandos NGFW |
| Fase 4 | Generación de paquetes de implementación de dispositivos |
| Fase 5 | Envío y recepción del paquete de implementación |
| Fase 6 | Mensajes de implementación correctos pendientes, acciones de implementación y mensajes de implementación |
La comprensión de las fases y el conocimiento de dónde se encuentra la falla en el proceso pueden ayudar a solucionar los errores que enfrenta un sistema Firepower. En algunas situaciones, puede ser un conflicto debido a configuraciones anteriores o causado por una palabra clave faltante Advanced Flex Configuration que puede causar fallas de las que el informe del dispositivo no es explícito.
Descripción general de ejemplo
Paso 1. El usuario hace clic en el botón "Implementación", especificando el dispositivo que el usuario desea seleccionar.
Paso 2. Una vez realizada la implementación de un dispositivo, el FMC comienza a recopilar todas las configuraciones relevantes para el dispositivo.
Paso 3. Una vez recolectadas las configuraciones, el FMC crea el paquete y lo envía al sensor a través de su mecanismo de comunicación llamado SFTunnel.
Paso 4. A continuación, el FMC notifica al sensor que inicie el proceso de implementación utilizando la política proporcionada, mientras escucha las respuestas individuales.
Paso 5. El dispositivo administrado desempaqueta el archivo y comienza a aplicar las configuraciones y los paquetes individuales.
A. La primera mitad de la implementación es la configuración Snort, donde la configuración Snort se prueba localmente para garantizar su validez. Una vez que se ha probado que es válida, la nueva configuración se mueve al directorio de producción para Snort. Si la validación falla, la implementación de la política falla en este paso.
B La segunda mitad de la carga del paquete de implementación es para la configuración LINA donde se aplica directamente al proceso LINA por el proceso ngfwManager. Si se produce un error, los cambios se retroceden y se produce un error en la implementación de la política.
Paso 6. Si los paquetes Snort y LINA tienen éxito, el dispositivo administrado indica a Snort que reinicie o recargue para cargar la nueva configuración y guardar todas las configuraciones actuales.
Paso 7. Si todos los mensajes se realizan correctamente, el sensor envía un mensaje de confirmación y espera a que el Management Center lo confirme.
Paso 8. Una vez recibida, el FMC marca la tarea como un éxito y permite que el paquete de políticas finalice.
Resolución de problemas
Los problemas encontrados durante la implementación de políticas pueden deberse pero no limitarse a los siguientes motivos:
- Configuración errónea
- Comunicación entre FMC y FTD
- Estado de la base de datos y del sistema
- Defectos y advertencias del software
- Otras situaciones únicas
Algunos de estos problemas pueden solucionarse fácilmente, mientras que otros pueden necesitar ayuda del Cisco Technical Assistance Center (TAC).
El objetivo de esta sección es proporcionar herramientas y técnicas de resolución de problemas para aislar el problema o determinar la causa raíz.
Resolución de problemas de la interfaz gráfica de usuario (GUI) de FMC
Cisco recomienda cada sesión de solución de problemas para los fallos de implementación que se inicien en el dispositivo FMC.
En la ventana de notificación de fallas, en todas las versiones posteriores a la 6.2.3, hay herramientas adicionales de resolución de problemas que pueden ayudar con las fallas que puede enfrentar.
Utilización De Las Transcripciones De Implementación
Paso 1. Abra la lista Implementaciones en la interfaz de usuario Web de FMC.
Paso 2. Mientras se selecciona la ficha Implementaciones, seleccione la opción "Mostrar historial".
Paso 3. En el cuadro Historial de implementación, puede ver todas las implementaciones anteriores de su FMC. Seleccione la implementación en la que desea ver más datos.
Paso 4. Una vez seleccionado un elemento de implementación, accederá a la selección Detalles de implementación, que muestra una lista de todos los dispositivos dentro de la transacción. Estas entradas se dividen en las siguientes columnas: Número de dispositivo, Nombre de dispositivo, Estado y Transcripción.
Paso 5. Puede seleccionar el dispositivo en cuestión y hacer clic en la opción de transcripción para ver la transcripción de implementación individual que puede informarle de fallos, así como de las configuraciones que se colocan en los dispositivos administrados.
Paso 6. Esta transcripción puede designar ciertas condiciones de falla, así como indicar un número muy importante para el siguiente paso: ID de la transacción.
Paso 7. En una implementación de Firepower, el ID de transacción es lo que se puede utilizar para realizar un seguimiento de cada sección individual de una implementación de políticas. Con esto, en la línea de comandos del dispositivo, puede obtener una versión más detallada de estos datos para la resolución de problemas y el análisis.
Resolución de problemas mediante registros FMC
Aunque es apropiado involucrar al TAC de Cisco para analizar los registros, buscar a través de los registros puede ayudar con el aislamiento inicial de los problemas y acelerar la resolución. Hay varios archivos de registro en FMC que revelan los detalles sobre el proceso de implementación de políticas. Los dos registros a los que se hace referencia más comúnmente son policy_Deployment.log y usmsharedvcs.log.
Todos los archivos mencionados en este documento se pueden ver con varios comandos Linux como more, less y vi. Sin embargo, es muy importante asegurarse de que sólo se le realicen acciones de lectura. Todos los archivos requieren acceso raíz para poder verlos.
/var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log
Este registro marca claramente el comienzo de la tarea de implementación de políticas en FMC y la finalización de cada fase, lo que ayuda a determinar la fase en la que la implementación se encontró con una falla, junto con el código de falla. El valor "TransactionID" incluido en la parte JSON del registro se puede utilizar para encontrar entradas de registro relacionadas con un intento de implementación determinado.
22-Nov-2019 01:28:52.844,[INFO],(DefenseCenterServiceImpl.java:1372)
com.cisco.nm.vms.api.dc.DefenseCenterServiceImpl, ajp-nio-127.0.0.1-9009-exec-4
** REST Request [ CSM ]
** ID : e1c84364-0966-42eb-9356-d2914be2b4a3
** URL: Broadcast message.send.deployment
{
"body" : {
"property" : "deployment:deployment_initiated_for_the_device",
"argumentList" : [ {
"key" : "PHASE",
"value" : "Phase-0"
} ]
},
"user" : "68d03c42-d9bd-11dc-89f2-b7961d42c462",
"type" : "deployment",
"status" : "running",
"progress" : 5,
"silent" : true,
"restart" : true,
"transactionId" : 12884916552,
"devices" : [ "93a2089a-fa82-11e9-8219-e1abeec81dc9" ]
}
/var/log/sf/policy_deployment.log
Aunque este archivo de registro ha existido a lo largo de las versiones 6.x, a partir de 6.4, su cobertura se amplió. Ahora describe los pasos detallados que se han tomado en FMC para crear los paquetes de implementación, por lo que es mejor utilizarlos para analizar los fallos de la Fase 1 - 4. El comienzo de cada fase está marcado por una línea con "INFO Starting XYZ" (Información sobre el inicio de XYZ):
Jul 18 17:20:03 firepower ActionQueueScrape.pl[17287]: INFO starting populateGlobalSnapshot - sqlite = /var/cisco/umpd/8589938337/DC_policy_deployment.db, transaction = 8589938337, time = 1563470402, running as (memory = 56.35 MB) (Framework 3950<196 <- CSMTasks 223<10 <- SF::ActionQueue 2457) Jul 18 17:20:03 firepower ActionQueueScrape.pl[17287]: INFO deployment threading: disabled (Framework 198 <- CSMTasks 223<10 <- SF::ActionQueue 2457) Jul 18 17:20:03 firepower ActionQueueScrape.pl[17287]: INFO -> calling SF::UMPD::Plugins::Correlation::Manager::getPluginDependencies (Plugin 298<90 <- Framework 3579<3566<216 <- CSMTasks 223) ...
Solución de problemas de dispositivos administrados
Hay fases y secciones adicionales en función del paquete de dispositivos, la configuración de alta disponibilidad y el resultado de las fases anteriores para cada dispositivo administrado. Si un problema de implementación se aísla a una falla en el dispositivo administrado, se puede realizar un troubleshooting adicional en el dispositivo usando dos registros en el dispositivo: policy_Deployment.log y ngfwManager.log.
/ngfw/var/log/ngfwManager.log
Este archivo de registro proporciona los pasos detallados realizados por Config Communication Manager y Config Dispatcher para comunicarse con FMC, trabajar con el paquete de implementación y orquestar la validación y aplicación de las configuraciones de Snort y LINA. Estos son algunos ejemplos de ngfwManager.log que representan el comienzo de las fases principales:
FTD receives FMC's request for running configuration: May 30 16:37:10 ccm[4293] Thread-10: INFO com.cisco.ccm.ConfigCommunicationManager- Passing CD-Message-Request to Config Dispatcher... May 30 16:37:10 ccm[4293] Thread-10: DEBUG com.cisco.ccm.ConfigCommunicationManager- <?xml version="1.0" encoding="UTF-8"?><cdMessagesList><timeStamp>1559234230012</timeStamp><cdMessage><name>LinaShowCommand</name><messageId>-753133537443151390</messageId><contentType>XML</contentType><msgContent><![CDATA[<?xml version="1.0" encoding="UTF-8"?><message><name>LinaShowCommand</name>... FTD receives FMC's request to download the deployment package: May 30 16:37:18 ccm[4293] Thread-9: INFO com.cisco.ccm.ConfigCommunicationManager- Downloading database (transaction 8589938211, version 1559234236) May 30 16:37:18 ccm[4293] Thread-9: DEBUG com.cisco.ccm.DownloadManager- handle record: 8589938211, status = PENDING May 30 16:37:18 ccm[4293] Thread-9: DEBUG com.cisco.ccm.DownloadManager- begin downloading database FTD begins the deployment of policy changes: May 30 16:37:21 ccm[4293] Thread-9: INFO com.cisco.ccm.ConfigCommunicationManager- Starting deployment May 30 16:37:21 ccm[4293] Thread-11: INFO com.cisco.ccm.ConfigCommunicationManager- Sending message: DEPLOYMENT_STATUS_CCM to Manager FTD begins LINA deployment: May 30 16:37:42 ccm[4293] Thread-19: DEBUG com.cisco.ngfw.configdispatcher.communicators.LinaCommunicatorImpl- Trying to send Start-Config-Sequencerequest to lina FTD begins finalizing the deployment: May 30 16:38:48 ccm[4293] Thread-19: DEBUG com.cisco.ngfw.configdispatcher.communicators.LinaCommunicatorImpl- Clustering Message sent out of ConfigDispatcher: Name:Cluster-App-Conf-Finalize-Request
/ngfw/var/log/sf/policy_deployment.log
Este registro contiene los detalles de la política aplicada a Snort. Aunque el contenido del registro está principalmente avanzado y requiere análisis por parte del TAC, todavía es posible rastrear el proceso usando algunas entradas clave:
Config Dispatcher begins extracting the packaged policies for validation: Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO -> calling SF::UMPD::Plugins::NGFWPolicy::Device::exportDeviceSnapshotToSandbox (Plugin 230 <- Framework 611 <- Transaction 1085) Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO found NGFWPolicy => (NGFWPolicy::Util 32 <- NGFWPolicy::Device 43 <- Plugin 235) ... Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO export FTD platform settings... (PlatformSettings::FTD::Device 29 <- Plugin 235<339 <- PlatformSettings::Device 13) Config validation begins: Jul 18 17:21:37 firepower policy_apply.pl[25122]: INFO starting validateExportedFiles - sqlite = /var/cisco/deploy/sandbox/policy_deployment.db, sandbox = /var/cisco/deploy/sandbox/exported-files (memory = 229.99 MB) (Framework 3950<687 <- Transaction 1101 <- main 194) Validation has completed successfully: Jul 18 17:21:49 firepower policy_apply.pl[25122]: INFO validateExportedFiles - sqlite = /var/cisco/deploy/sandbox/policy_deployment.db, sandbox = /var/cisco/deploy/sandbox/exported-files took 12 (memory = 238.50 MB, change = 8.51 MB) (Framework 3976<724 <- Transaction 1101 <- main 194) Config Dispatcher begins moving the validated configuration to the Snort directories in production: Jul 18 17:21:54 firepower policy_apply.pl[26571]: INFO -> calling SF::UMPD::Plugins::NGFWPolicy::Device::publishExportedFiles (Plugin 230 <- Framework 822 <- Transaction 1662) Snort processes will reload to apply the new configurations: Jul 18 17:22:02 firepower policy_apply.pl[26571]: INFO Reconfiguring DE a3bcd340-992f-11e9-a1f1-ac829f31a4f9... (Snort::SnortNotifications 292<154 <- Snort::Device 343 <- Plugin 235) Jul 18 17:22:02 firepower policy_apply.pl[26571]: INFO sending SnortReload to a3bcd340-992f-11e9-a1f1-ac829f31a4f9 (Snort::SnortNotifications 298<154 <- Snort::Device 343 <- Plugin 235) Snort reload has completed successfully: Jul 18 17:22:14 firepower policy_apply.pl[26571]: INFO notifyProcesses - sandbox = /var/cisco/deploy/sandbox/exported-files took 16 (memory = 169.52 MB, change = 16.95 MB) (Framework 3976<964 <- Transaction 1680 <- main 200) After LINA config apply finishes, Snort deployment is finalized: Jul 18 17:23:32 firepower policy_apply.pl[26913]: INFO starting finalizeDeviceDeployment - sandbox = /var/cisco/deploy/sandbox (memory = 101.14 MB) (Framework 3950<980 <- Transaction 1740 <- main 206)
Ejemplo:
Paso 1. Una implementación falla
Paso 2. Obtenga la ID de transacción y la transcripción de implementación.
Paso 3. SSH en su Management Center y utilice menos la utilidad Linux para leer el archivo como sigue en su FMC:
Ejemplo:"sudo less /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log" (La contraseña de sudo es la contraseña de su usuario para ssh)
Paso 4. Cuando esté en menos, utilice barra diagonal e introduzca el ID de mensaje para buscar los registros relacionados con el ID de transacción de implementación.
Ejemplo:"/60129547881" {Mientras menos, use n para navegar al siguiente resultado}
Ejemplo de mensaje en ejecución:
Ejemplo de mensaje de error:
5) Compare la falla adecuada con la tabla adjunta de Mensajes de Fallas Comunes.
Es decir, failed_to_recovery_running_configuration se produce durante las fallas de comunicación entre los dos dispositivos.
Mensajes de falla comunes
A continuación se muestran los mensajes de error comunes que se pueden ver en la parte frontal de la tarea del centro de administración, así como el código de error que se puede ver en el motor. Estos mensajes pueden analizarse y compararse con las razones comunes para posibles resoluciones.
En caso de que no se vean o no resuelva su situación, póngase en contacto con el TAC para obtener asistencia.
| Código de error |
Mensajes de error |
Motivo |
| device_has_changed_domain |
Error de implementación: el dispositivo ha cambiado el dominio de {SRCDOMAIN} a {DESTINATIONDOMAIN}. Inténtelo de nuevo más tarde |
Este error suele ocurrir cuando un dispositivo se mueve o está en proceso de ser tomado de un segundo dominio. Una reimplementación mientras no se produce información entre dominios generalmente corrige este problema. |
| device_current_under_Deployment |
Error en la implementación debido a otra implementación en curso para este dispositivo. Inténtelo de nuevo más tarde |
Esto se suele notificar cuando se activa la implementación en un dispositivo que se está implementando. En algunas versiones esto se evita sin una notificación de falla; sin embargo, esta fase aún existe para la asistencia en la resolución de problemas. |
| device_not_member_of_container |
La implementación no se puede realizar en un dispositivo individual que es miembro de un clúster. Vuelva a intentarlo más tarde, implementando el clúster. |
Este mensaje se aplica a FTD en dispositivos con el administrador de chasis del sistema operativo ampliable Firepower (FXOS). Si el clúster está construido en FXOS, pero no en el FMC, se muestra este mensaje. Cree el clúster en el dispositivo Management Center antes de intentar la implementación. |
| error_de_marca_de_hora_después_de_política_para_otros_dispositivos_en_trabajo |
Las políticas para uno o más dispositivos se han modificado desde {TIMESTAMP}. Vuelva a intentar la implementación. |
Este error se muestra si se altera cualquier política/objeto para cualquier dispositivo en el trabajo de implementación después de que los desencadenadores de usuario se implementen y antes de que se creen los elementos CSM y las instantáneas de dominio. Una reimplementación soluciona este problema. Esto puede ocurrir cuando muchos usuarios utilizan los mismos objetos de edición de FMC y los guardan mientras se ejecuta la implementación. |
| error_de_marca_de_hora_alterada_política |
La política {Policy Name} se ha modificado desde {Timestamp}. Vuelva a intentar la implementación. |
Este error se muestra si se altera alguna política/objeto para el dispositivo en cuestión en el trabajo de implementación, después de que se implementen los desencadenadores de usuario y antes de que se creen instantáneas de dominio y CSM. Una reimplementación soluciona este problema. |
| csm_snapshot_error |
Error en la implementación debido a un error en la recopilación de políticas y objetos. Si el problema persiste después de volver a intentarlo, póngase en contacto con el TAC de Cisco. |
Si se proporciona una importación de política reciente, espere aproximadamente una hora e intente otra implementación. |
| domain_snapshot_timeout |
La implementación falló debido a que se agotó el tiempo de espera para recopilar políticas y objetos. Si el problema persiste después de volver a intentarlo, póngase en contacto con el TAC de Cisco. |
La instantánea del dominio tiene un tiempo de espera de 5 minutos de forma predeterminada. Si el sistema se encuentra bajo una carga elevada, o el hipervisor funciona mal o está bajo carga para un virtual, esto puede causar retrasos no naturales en la llamada. Esto puede ocurrir si el Management Center o el dispositivo no reciben la cantidad adecuada de recursos de memoria también. Si esto ocurre sin carga, o no continúa más tarde, póngase en contacto con el TAC. |
| domain_snapshot_errors |
Error en la implementación en la colección de políticas y objetos. Si el problema persiste después de volver a intentarlo, póngase en contacto con el TAC de Cisco. |
Póngase en contacto con el TAC. Se requiere resolución de problemas avanzada. |
| failed_to_recovery_running_configuration |
Error en la implementación debido a un error al recuperar la información de configuración en ejecución del dispositivo. Vuelva a intentar la implementación. |
Este mensaje puede ocurrir cuando la conectividad entre un sensor final y un FMC no funciona como se esperaba. Verifique el estado del túnel entre las unidades y monitoree la conectividad entre los dos dispositivos. |
| device_is_busy |
Error en la implementación, ya que el dispositivo puede estar ejecutando una implementación anterior o reiniciando. Si el problema persiste después de volver a intentarlo más tarde, póngase en contacto con el TAC de Cisco. |
Se muestra este mensaje cuando FMC intenta una implementación mientras una implementación anterior está en curso en FTD. Suele ocurrir cuando una implementación anterior está incompleta en FTD y el FTD se reinició o se reinició el proceso ngfwManager en FTD. Un reintento después de 20 minutos para permitir que los procesos agoten el tiempo de espera formalmente debería resolver este problema. Si después de retrasar o si el retraso no es aceptable, póngase en contacto con el TAC. |
| no_response_for_show_cmd |
La implementación falló debido a problemas de conectividad con el dispositivo o el dispositivo no responde. Si el problema persiste después de volver a intentarlo más tarde, póngase en contacto con el TAC de Cisco. |
FMC ejecuta ciertos comandos "show" de LINA para obtener la configuración en ejecución para la generación de configuración. Esto puede ocurrir cuando hay problemas de conectividad o problemas con el proceso ngfwManager en el sensor final. En caso de que no tenga problemas de conectividad entre sus unidades, póngase en contacto con el TAC. |
| network_latency_or_device_not_reachable |
La implementación falló debido a una falla de comunicación con el dispositivo. Si el problema persiste después de volver a intentarlo más tarde, póngase en contacto con el TAC de Cisco. |
Normalmente ocurre con una alta latencia de red entre los dispositivos para provocar un tiempo de espera de las políticas. Verifique la latencia de red entre los dispositivos para verificar que coincida con los mínimos de la versión mencionada en la guía del usuario. |
| slave_app_sync |
La implementación falló porque la sincronización de la configuración del clúster está en curso. Vuelva a intentar la implementación. |
Esto sólo se aplica a las configuraciones de clúster de FTD. Si se intenta una implementación en un clúster FTD mientras la sincronización de la configuración de la aplicación (sincronización de la configuración) está en curso, FTD rechaza la misma. Un reintento después de la sincronización de la configuración debe resolver este problema. El estado actual del clúster se puede rastrear usando este comando en el dispositivo administrado CLISH: > show cluster info |
| asa_configuration_Generation_errors |
Error en la implementación debido a un error en la generación de la configuración del dispositivo. Si el problema persiste después de volver a intentarlo, póngase en contacto con el TAC de Cisco. |
Después de pasar por los registros USMS mencionados anteriormente, es posible que pueda ver qué configuración está causando el error. Estos son generalmente bugs en los que los registros se pueden navegar a través de la Herramienta de errores de Cisco o contactando con Cisco TAC para resolver problemas adicionales. |
| interface_out_of_date |
Error en la implementación porque las interfaces del dispositivo están obsoletas. Guarde la configuración en la página de interfaces y vuelva a intentarlo. |
Esto ocurre en los modelos 4100 o 9300 si la interfaz no está asociada desde el dispositivo durante o justo antes de una implementación. Verifique que la interfaz esté completamente asociada o no esté asociada antes de intentar la implementación. |
| device_package_error |
Error en la implementación debido a un error al generar la configuración para el dispositivo. Si el problema persiste después de volver a intentarlo, póngase en contacto con el TAC de Cisco. |
Este es el error que indica que no se pudo generar la configuración del dispositivo para el dispositivo. Póngase en contacto con el TAC. |
| device_package_timeout |
Error en la implementación debido al tiempo de espera durante la generación de la configuración. Si el problema persiste después de volver a intentarlo, póngase en contacto con el TAC de Cisco. |
Esto puede ocurrir si existe latencia entre los dispositivos más allá de los rangos normales. Póngase en contacto con el TAC si después de que se normalice la latencia, este problema persiste. |
| device_Communication_errors |
Error en la implementación debido a un fallo en la comunicación con el dispositivo. Verifique la conectividad de red y vuelva a implementar. |
Este mensaje es el repliegue para cualquier problema de comunicación entre los dispositivos. Debido a su naturaleza vaga, se escribe como el repliegue para indicar que se ha producido un error de conectividad desconocido. |
| not_to_Initi_Deployment_dc |
Error en la implementación debido a un error al implementar la política en el dispositivo. Vuelva a intentar la implementación. |
Un reintento debe resolver este problema. Esto puede ocurrir cuando el FMC no puede iniciar la implementación debido a un bloqueo temporal en la base de datos. |
| device_failure_timeout |
La implementación en el dispositivo ha fallado debido al tiempo de espera. Vuelva a intentar la implementación. |
Esto está relacionado con la implementación de FTD. Los procesos en FTD esperan 30 minutos para que el envío complete la implementación. Si no, se agota el tiempo. Si esto ocurre, verifique la conectividad entre dispositivos y si la conectividad es la esperada, póngase en contacto con el TAC. |
| device_failure_download_timeout |
Error en la implementación debido a que se agotó el tiempo de espera para descargar la configuración en el dispositivo. Si el problema persiste después de volver a intentarlo, póngase en contacto con el TAC de Cisco. |
Esto está relacionado con la implementación de FTD. El FTD no puede descargar todos los archivos de configuración del dispositivo durante la implementación debido a problemas de conectividad. Vuelva a intentarlo después de verificar la conectividad de red. Si se ha verificado, póngase en contacto con el TAC. |
| device_failure_configuration |
Error en la implementación debido a un error de configuración. Si el problema persiste después de volver a intentarlo, póngase en contacto con el TAC de Cisco. |
Cualquier error en la configuración generada por FMC para el dispositivo debería dar como resultado la aplicación de este mensaje de error. Esto debe analizarse en los registros de USMS para verificar qué problemas se ven e intentar revertirlos. Una vez reparados, esto generalmente requiere la intervención del TAC y la creación de errores si los registros no pueden coincidir con un defecto conocido en la herramienta de búsqueda de errores de Cisco. |
| Deployment_timeout_no_response_from_device |
Error en la implementación debido al tiempo de espera de comunicación con el dispositivo. Si el problema persiste después de volver a intentarlo, póngase en contacto con el TAC de Cisco. |
Este tiempo de espera se produce si el FMC no ha escuchado de un dispositivo después de 45 minutos o antes, dependiendo de la versión. Este es un error de comunicación. Verifique la comunicación y, si se verifica, póngase en contacto con el TAC. |
| device_failure_change_master |
La implementación en el clúster ha fallado porque la unidad maestra ha cambiado. Vuelva a intentar la implementación. |
Para una implementación de configuración de clúster FTD, si el nodo maestro cambia cuando la implementación está en curso en el dispositivo (notificación posterior), se indica este error. Vuelva a intentarlo una vez que el nodo maestro esté estable. El estado actual del miembro del clúster se puede rastrear usando este comando en el dispositivo administrado CLISH: > show cluster info |
| device_failure_unknown_master |
La implementación en el clúster falló debido a un error al identificar la unidad principal. Vuelva a intentar la implementación. |
FMC no ha podido determinar el nodo maestro actual durante la implementación. Esto podría deberse normalmente a un par de posibilidades: Problemas de conectividad o el maestro actual no se agrega al clúster en FMC. Debe resolverse después de que se haya reasegurado la conectividad o después de agregar el maestro actual al clúster de FMC y se haya realizado un reintento. El estado actual del clúster se puede rastrear usando este comando en el dispositivo administrado CLISH: > show cluster info |
| cd_Deploy_app_sync |
La implementación falló porque la sincronización de la configuración del clúster está en curso. Vuelva a intentar la implementación. |
Esto puede ocurrir si el dispositivo está en App Sync, una vez que la sincronización de la aplicación haya finalizado, vuelva a intentar la implementación una vez más. |
| cd_existing_Deployment | La implementación falló debido a un conflicto con la implementación anterior en curso. Si el problema persiste después de volver a intentarlo, póngase en contacto con el TAC de Cisco. |
Esto puede ocurrir si una implementación continúa en un lado, pero no en el otro. Estos problemas suelen deberse a problemas de comunicación entre los dispositivos. Póngase en contacto con el TAC si después del tiempo de espera sigue sin poder implementar. |
Póngase en contacto con el TAC para obtener asistencia
En el caso de que la información anterior no permita que continúe una implementación de políticas, o si el problema parece no estar relacionado con un comportamiento documentado preexistente, utilice los pasos proporcionados en el siguiente enlace para generar un archivo de Troubleshooting y contactar con el TAC para el análisis y la creación de errores.
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)