Resuelva problemas con la administración remota (LOM) en sistemas FireSIGHT
Contenido
Introducción
Este documento proporciona los diversos síntomas y mensajes de error que pueden aparecer cuando configura la administración automatizada (LOM) y la forma de solucionar los problemas paso a paso. La LOM permite utilizar una conexión de administración de serie a LAN (SOL) fuera de banda para controlar o administrar de forma remota los dispositivos no conectados a la interfaz web del dispositivo. Se pueden realizar tareas limitadas, como ver el número de serie de chasis o monitorear las condiciones de temperatura y velocidad del ventilador.
Prerrequisitos
Requisitos
Cisco recomienda que tenga conocimientos sobre el sistema FireSIGHT y la LOM.
Componentes Utilizados
La información que contiene este documento se basa en estas versiones de software y hardware.
- Centro de administración de FireSIGHT
- Dispositivos FirePOWER de la serie 7000 y dispositivos de la serie 8000
- Software versión 5.2 o posterior
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
No se puede conectar a la LOM
Es posible que no pueda conectarse al Centro de administración de FireSIGHT o a un dispositivo FirePOWER con LOM. Las solicitudes de conexión pueden fallar y mostrar estos mensajes de error:
Error: Unable to establish IPMI v2 / RMCP+ session Error
Info: cannot activate SOL payload with encryption
La siguiente sección describe cómo verificar la configuración de la LOM y las conexiones a la interfaz de LOM.
Verifique la configuración
Paso 1: Verifique y confirme que la LOM esté habilitada y utilice una dirección IP diferente a la de la interfaz de administración.
Paso 2: Verifique con el equipo de red que el puerto 623 del UDP esté abierto bidireccionalmente y que las rutas se hayan configurado correctamente. Debido a que la LOM funciona a través del puerto del UDP, no puede comunicarse vía Telnet con la dirección IP de la LOM a través del puerto 623. Sin embargo, una solución alternativa es probar si el dispositivo se comunica con la IPMI mediante la utilidad IPMIPING. IPMIPING envía dos llamadas de funcionalidades de autenticación de obtención de canal de la IPMI a través de un datagrama de solicitud de funcionalidades de autenticación de obtención de canal en el puerto 623 del UDP (dos solicitudes debido a que se utiliza el UDP y las conexiones no están garantizadas).
Paso 3: ¿Puede hacer ping en la dirección IP de la LOM? Si no puede, ejecute este comando como usuario root en el dispositivo correspondiente y verifique que la configuración sea correcta. Por ejemplo,
ipmitool lan print
Set in Progress : Set Complete
Auth Type Support : NONE MD5 PASSWORD
Auth Type Enable : Callback : NONE MD5 PASSWORD
: User : NONE MD5 PASSWORD
: Operator : NONE MD5 PASSWORD
: Admin : NONE MD5 PASSWORD
: OEM :
IP Address Source : Static Address
IP Address : 192.0.2.2
Subnet Mask : 255.255.255.0
MAC Address : 00:1e:67:0a:24:32
SNMP Community String : INTEL
IP Header : TTL=0x00 Flags=0x00 Precedence=0x00 TOS=0x00
BMC ARP Control : ARP Responses Enabled, Gratuitous ARP Disabled
Gratituous ARP Intrvl : 0.0 seconds
Default Gateway IP : 192.0.2.1
Default Gateway MAC : 00:00:00:00:00:00
Backup Gateway IP : 0.0.0.0
Backup Gateway MAC : 00:00:00:00:00:00
802.1q VLAN ID : Disabled
802.1q VLAN Priority : 0
RMCP+ Cipher Suites : 1,2,3,6,7,8,11,12,0
Cipher Suite Priv Max : XaaaXXaaaXXaaXX
: X=Cipher Suite Unused
: c=CALLBACK
: u=USER
: o=OPERATOR
: a=ADMIN
: O=OEM
Verifique la conexión
Paso 1: ¿Puede conectarse con este comando?
ipmitool -I lanplus -H xxx.xxx.xxx.xxx -U admin sdr
¿Recibió este mensaje de error?
Error: Unable to establish IPMI v2 / RMCP+ session
Paso 2: Intente conectarse con este comando:
ipmitool -I lanplus -H xxx.xxx.xxx.xxx -U admin sdr
Paso 3: ¿Recibe este error?
Info: cannot activate SOL payload with encryption
Ahora intente conectarse con este comando (especifica el conjunto cifrado que debe utilizar):
ipmitool -I lanplus -H xxx.xxx.xxx.xxx -C 3 -U admin sdr
Paso 4: ¿Todavía no puede conectarse? Intente conectarse con este comando:
ipmitool -I lanplus -vvv -H xxx.xxx.xxx.xxx -C 3 -U admin sdr
En el resultado detallado, ¿ve este error?
RAKP 2 HMAC is invalid
Paso 5: Cambie la contraseña de Administrador mediante la GUI y vuelva a intentarlo.
¿Todavía no puede conectarse? Intente conectarse con este comando:
ipmitool -I lanplus -vvv -H xxx.xxx.xxx.xxx -C 3 -U admin sdr
En el resultado detallado, ¿ve este error?
RAKP 2 message indicates an error : unauthorized name
Paso 6: Seleccione User > Local Configuration > User Management (Usuario > Configuración Local > Administración de usuarios).
- Cree un usuario TestLomUser nuevo.
- Marque User role configuration (Configuración del rol de usuario) en Administrator (Administrador).
- Marque Allow Lights-out Management Access (Permitir acceso a la administración automatizada).
En la CLI del dispositivo correspondiente, amplíe los privilegios a superusuario y ejecute estos comandos. Verifique que TestLomUser sea el usuario en la tercera línea.
ipmitool user list 1
ID Name Callin Link Auth IPMI Msg Channel Priv Limit 1 false false true ADMINISTRATOR 2 root false false true ADMINISTRATOR 3 TestLomUser true true true ADMINISTRATOR
Cambie el usuario en la tercera línea a admin.
ipmitool user set name 3 admin
Establezca un nivel de acceso adecuado:
ipmitool channel setaccess 1 3 callin=on link=on ipmi=on privilege=4
Cambie la contraseña del nuevo usuario admin.
ipmitool user set password 3
Verifique que las configuraciones sean las correctas.
ipmitool user list 1
ID Name Callin Link Auth IPMI Msg Channel Priv Limit 1 false false true ADMINISTRATOR 2 root false false true ADMINISTRATOR 3 admin true true true ADMINISTRATOR
Asegúrese de habilitar la SOL para el canal (1) y el usuario (3) adecuados.
ipmitool sol payload enable 1 3
Paso 7: Asegúrese de que el proceso de la IPMI no esté en mal estado.
pmtool status | grep -i sfipmid
sfipmid (normal) - Running 2928 Command: /usr/local/sf/bin/sfipmid -t 180 -p power PID File: /var/sf/run/sfipmid.pid Enable File: /etc/sf/sfipmid.run
pmtool restartbyid sfipmid
Confirme que el PID haya cambiado.
pmtool status | grep -i sfipmid sfipmid (normal) - Running 20590 Command: /usr/local/sf/bin/sfipmid -t 180 -p power PID File: /var/sf/run/sfipmid.pid Enable File: /etc/sf/sfipmid.run
Paso 8: Deshabilite la LOM en la GUI y reinicie el dispositivo. En la GUI del dispositivo, seleccione Local > Configuration > Console Configuration (Local > Configuración > Configuración de la consola). Seleccione VGA, haga clic en Save (Guardar) y luego en OK (Aceptar) para reiniciar.
Luego habilite la LOM en la GUI y reinicie el dispositivo. En la GUI del dispositivo, seleccione Local > Configuration > Console Configuration (Local > Configuración > Configuración de la consola). Seleccione Physical Serial Port (Puerto serial físico) o LOM, haga clic en Save (Guardar) y luego en OK (Aceptar).
Ahora intente conectarse de nuevo.
ipmitool -I lanplus -vvv -H xxx.xxx.xxx.xxx -C 3 -U admin sdr
Paso 9: Apague el dispositivo y complete el ciclo de alimentación; es decir, extraiga físicamente el cable de alimentación durante un minuto, conéctelo de nuevo y encienda. Una vez que el dispositivo se enciende por completo, ejecute este comando:
ipmitool -I lanplus -vvv -H xxx.xxx.xxx.xxx -C 3 -U admin sdr
Paso 10: Ejecute este comando desde el dispositivo en cuestión. Esto específicamente reinicia en frío el BMC:
ipmitool bmc reset cold
Paso 11: Ejecute este comando desde un sistema en la misma red local que el dispositivo (no pase por ningún router intermedio):
ipmitool -I lanplus -H xxx.xxx.xxx.xxx -U admin power status
arp -an > /var/tmp/arpcache
Envíe al soporte técnico de Cisco el archivo resultante de /var/tmp/arpcache para determinar si el BMC responde a la solicitud del ARP.
La conexión a la interfaz de LOM se desconecta durante el reinicio
Cuando reinicie el Centro de administración de FireSIGHT o un dispositivo FirePOWER, es posible que se pierda la conexión con el dispositivo. Aquí se muestra el resultado del reinicio del dispositivo mediante la CLI:
admin@FireSIGHT:~$ sudo shutdown -r now Broadcast message from root (ttyS0) (Tue Nov 19 19:40:30 Stopping Sourcefire 3D
Sensor 7120...nfemsg: Host ID 1 on card 0 endpoint 1 de-registering ... nfemsg: Host ID 2 on card 0 endpoint 1 de-registering ... nfemsg: Host ID 27 on card 0 endpoint 1 de-registering ......ok Stopping Netronome Flow Manager: nfemsg: Fail callback unregistered Unregistered NFM fail hook handler nfemsg: Card 0 Endpoint #1 messaging disabled nfemsg: Module EXIT WARNING: Deprecanfp nfp.0: [ME] CSR access problem for ME 25 ted config file nfp nfp.0: [vPCI] Removed virtual device 01:00.4 /etc/modprobe.conf, all config files belong into /etc/modprobe.d/. success. No NMSB present: logging unecessary...[-10G[ OK ].. Turning off swapfile /Volume/.swaptwo
[-10G[ OK ] other currently mounted file systems...
Unmounting fuse control filesystem. Un
El resultado resaltado es Unmounting fuse control filesystem. Un muestra que la conexión con el dispositivo se interrumpe debido a que el protocolo de árbol de expansión (STP) está habilitado en el switch donde se conecta el sistema FireSIGHT. Una vez que los dispositivos administrados se reinician, se muestra este error:
Error sending SOL data; FAIL
SOL session closed by BMC
La conexión de la LOM del sistema FireSIGHT se comparte con el puerto de administración. El enlace del puerto de administración cae durante un período muy breve en el reinicio. Dado que el enlace cae y regresa, se puede activar una demora en el puerto de switch (generalmente 30 segundos antes de que comience a circular tráfico) debido al estado de audición o conocimiento del puerto de switch ocasionado por el STP configurado en el puerto.
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)