Solución de problemas de Cisco Secure Firewall que no responde
Contenido
Introducción
Este documento describe los pasos recomendados para resolver problemas de Cisco Secure Firewall Threat Defence (FTD) que no responde en las plataformas de hardware 1xxx, 12xx, 21xx, 31xx, 41xx, 42xx y 93xx.
Prerequisites
Cisco recomienda que tenga conocimiento sobre estos temas:
- Conceptos básicos de Cisco Secure FTD (instalación/configuración).
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Cisco Secure Firewall Threat Defence
- Cisco Secure Firewall Management Center
- Sistema operativo extensible (FXOS) Cisco Firepower
Componentes Utilizados
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
En algunos casos, un dispositivo Cisco FTD puede dejar de responder. Los síntomas típicos incluyen:
- Sin acceso SSH.
- Sin acceso a la consola.
- El acceso a la consola funciona, pero las credenciales de inicio de sesión no.
- El tráfico de tránsito no pasa a través del dispositivo.
- Las interfaces están inactivas (datos o gestión).
- Los LED están apagados o son de color ámbar (parpadeante o fijo).
- El módulo seguro (4100, 9300) deja de responder.
Tenga en cuenta que, dependiendo de la situación, algunos de ellos no van a estar presentes. Por ejemplo, podría tener tráfico de tránsito atravesando, pero solo el acceso a la administración no funciona.
Troubleshoot
En esta sección se explican los pasos y acciones recomendados que debe realizar. Puede proporcionar esta información al TAC de Cisco para su posterior análisis.
Paso 1: Inspección visual (panel frontal)
Haga un vídeo o una fotografía de los LED del panel frontal. A continuación se muestran algunos ejemplos en los que todos los LED son claramente visibles:
En la siguiente foto, el LED SYS indica un problema con el dispositivo:
Puede consultar la guía de hardware del modelo de dispositivo para obtener información adicional sobre el LED, por ejemplo:
|
Modelo |
información de LED |
|
1010 |
|
|
1100 |
|
|
1210CE, 1210CP, 1220CX |
|
|
1230, 1240, 1250 |
|
|
2100 |
|
|
3100 |
|
|
4110, 4120, 4140, 4150 |
|
|
4112, 4115, 4125, 4145 |
|
|
4200 |
|
|
9300 |
Paso 2: Inspección visual (Panel trasero)
Haga un vídeo o una fotografía de los LED del panel posterior, por ejemplo:
Si no ve ninguna luz de encendido:
- Intente volver a colocar las fuentes de alimentación (siempre que sea aplicable).
- Si es posible, intente reemplazar la fuente de alimentación.
Paso 3: Comprobaciones del ventilador
Compruebe si los ventiladores de la parte posterior del dispositivo se están ejecutando.
Paso 4: Comprobaciones del entorno físico
Compruebe si hay algún ruido u olor procedente del dispositivo.
Paso 5: Comprobaciones de puertos de administración y consola
Asegúrese de que la consola y los puertos de administración estén conectados correctamente. Si el problema está solamente en el puerto de administración, intente cambiar el SFP (cuando corresponda) y el cable de red.
Paso 6: Prueba de conectividad IP de administración
Intente hacer ping (ICMP) a la dirección IP del dispositivo.
Paso 7: Comprobaciones de dispositivos adyacentes
Verifique el estado del puerto de los dispositivos adyacentes, por ejemplo:
switch# show interface description | i FW-4215-1
Gi7/1 up up FW-4215-1 ETH1/1
Gi7/2 up up FW-4215-1 ETH1/2
Gi7/3 up up FW-4215-1 MGMT
Paso 8: Comprobaciones de dispositivos de clúster/HA
En caso de una configuración de alta disponibilidad (HA) o de clúster, recopile un paquete de solución de problemas de los dispositivos del mismo nivel.
Paso 9: Recopilar registros de consola
Conecte un portátil al puerto de la consola y copie los mensajes que se muestran. Intente pulsar las teclas de teclado arriba/abajo o la tecla RePág para ver todos los mensajes de la pantalla.
Paso 10: Reinicio en frío
Con un ordenador portátil conectado al puerto de la consola:
- Desconecte todos los cables de alimentación y espere un par de minutos antes de volver a enchufarlos.
- En el caso de una configuración de failover o una configuración de clúster, para minimizar cualquier riesgo de inestabilidad Activo/Activo o de Clúster, puede desconectar o apagar del dispositivo del switch adyacente todas las interfaces de datos de la unidad afectada, incluidos los links HA o CCL.
- A continuación, vuelva a conectar los cables de alimentación y encienda el dispositivo.
- Espere unos 5 minutos.
- Recopile el resultado de la consola.
Tenga en cuenta que si el dispositivo no se apagó correctamente y estaba operativo (los LED del panel frontal estaban encendidos), el reinicio en frío puede dañar la base de datos. Si el reinicio en frío hace que aparezca el dispositivo, recopile un paquete de solución de problemas y comuníquese con el TAC de Cisco.
Paso 11: Recopilar gráficos de Health Monitor de FMC
Si el dispositivo se recupera y lo gestiona un FMC, vaya a System> Health > Monitor y seleccione el dispositivo. Céntrese en los gráficos resaltados para comprender cuál era el estado del dispositivo antes de dejar de responder (por ejemplo, memoria alta, CPU alta, alta utilización del disco, etc.).
Paso 12: Comprobar problemas de disco
Situación de no funcionamiento (4100):
FW4100# show server storage
Server 1/1:
RAID Controller 1:
Type: SATA
Vendor: Cisco Systems Inc
Model: FPR4K-PT-01
Serial: JAD12345678
HW Revision:
PCI Addr: 00:31.2
Raid Support:
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Unknown
Local Disk 1:
Vendor: Micron
Model: 5300 MTFD
Serial: MSA123456AB
HW Rev:
Operability: N/A
Presence: Missing <-----
Size (MB): 200000
Drive State: Online
Power State: Active
Link Speed: 6 Gbps
Device Type: SSD
Local Disk Config Definition:
Mode: NO RAID
Description:
Protect Configuration: No
Ejemplo de salida de 3100 donde el disco está operativo:
FW3105# show server storage
Server 1/1:
Disk Controller 1:
Type: SOFTRAID
Vendor: Cisco Systems Inc
Model: FPR_SOFTRAID
HW Revision:
PCI Addr:
Raid Support: raid1
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Optimal
Local Disk 1:
Presence: Equipped
Model: SAMSUNG MZQL2960HCJR-00A07
Serial: S64FNT0AB12345
Operability: Operable <---
Size (MB): 858306
Device Type: SSD
Firmware Version: GDC5A02Q
Virtual Drive 1:
Type: Raid
Blocks: 878906048
Operability: Degraded
Presence: Equipped
Size (MB): 858306
Drive State: Degraded
Ejemplo de salida de 4100 donde el disco está operativo:
FW4125# show server storage
Server 1/1:
RAID Controller 1:
Type: SATA
Vendor: Cisco Systems Inc
Model: FPR4K-PT-01
Serial: JAD1234567
HW Revision:
PCI Addr: 00:31.2
Raid Support:
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Unknown
Local Disk 1:
Vendor: TOSHIBA
Model: KHK61RSE
Serial: 11BS1234567AB
HW Rev: 0
Operability: Operable
Presence: Equipped
Size (MB): 800000
Drive State: Online
Power State: Active
Link Speed: 6 Gbps
Device Type: SSD
Local Disk Config Definition:
Mode: No RAID
Description:
Protect Configuration: No
Paso 13: Análisis de registro
Si el dispositivo de firewall se recupera y desea analizar los registros de backend, genere un paquete de solución de problemas y verifique los archivos mencionados en la tabla. Tenga en cuenta que:
- En las plataformas 1xxx, 12xx, 21xx (modo de equipo), 31xx, 42xx, el paquete de solución de problemas de FTD también contiene el paquete de chasis (FPRM) de FXOS en la ruta \dir-archives\var-common-platform_ts\. Tiene que extraer el contenido del paquete FPRM.
- En 3100/4200 en el modo de instancia múltiple (MI), recopile el archivo TS del chasis de la interfaz de usuario de FMC o la CLI del chasis (show tech-support fprm detail del alcance del comando local-mgmt) como se describe en https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html#toc-hId-2132091400.
- En las plataformas 41xx y 93xx, debe generar el paquete de chasis por separado desde la interfaz de usuario del chasis o desde la CLI de FXOS, como se describe en https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html#toc-hId-2132091400
- Para las plataformas de dispositivos 4100 y 9300, debe recopilar paquetes de solución de problemas de FXOS y FTD. Para todas las demás plataformas, el paquete de solución de problemas de FTD es suficiente, ya que también contiene el paquete de solución de problemas de FXOS.
- Para ASA, el resultado del comando 'show tech-support' después de la recuperación no es muy útil. Tiene que confiar en el paquete de resolución de problemas de FXOS.
- En comparación con otras plataformas, en 41xx, 93xx tiene dos paquetes de solución de problemas: chasis (BC1) y paquete de módulos.
- El paquete de chasis (BC1) de 41xx, 93xx, contiene, entre otros, los paquetes FPRM y CIMC.
- El paquete de módulos de 41xx, 93xx contiene principalmente registros FXOS del blade.
- Si tiene un ASA instalado, solo debe confiar en los paquetes de chasis, FPRM y módulos (cuando corresponda) y en la salida del comando ‘show tech-support’ de ASA.
- Según la plataforma y el incidente, no todos los archivos estarán presentes.
|
Ruta del archivo en el paquete de solución de problemas |
Descripción/Sugerencias |
Disponible en |
|
Paquete FTD TS: /dir-archives/var-log/messages* |
La cadena "syslog-ng shutdown down" se muestra durante un apagado correcto. La cadena "syslog-ng starting up" se muestra cuando se inicia el dispositivo. |
FTD |
|
Paquete FTD TS: /dir-archives/var-log/ASAconsole.log En el caso de ASA en 4100/9300, también puede encontrar el archivo en el paquete Module en /opt/cisco/platform/logs/ASAconsole.log |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
|
Paquete FTD TS: /dir-archives/var-log/dmesg.log |
Busque errores, fallos, fallos, etc. |
FTD |
|
Paquete FTD TS: /dir-archives/var/log/ngfwManager.log* |
Busque errores, fallos, fallos, etc. Este archivo también contiene información sobre los eventos de HA/clúster. |
FTD |
|
Paquete FTD TS: /command-outputs/LINA_troubleshoot/show_tech_output.txt |
El resultado de los comandos 'show failover history' y 'show cluster' history' puede proporcionar información adicional sobre la secuencia de los eventos. |
FTD |
|
Paquete FTD TS: /command-outputs/ Nombres de archivo: · para CORE en `ls opt-cisco-csp-cores _ grep core`_ do file -opt-cisco-csp-cores-_{CORE}_ done.output · para CORE en `ls var-common _ grep core`_ do file var-common-_{CORE}_ done.output · para CORE en `ls var-data-cores _ grep core`_ do file -var-data-cores-_{CORE}_ done.output |
Compruebe si hay posibles archivos de núcleo (rastreos). |
FTD |
|
Paquete FTD TS: /dir-archives/var/log/crashinfo/snort3-crashinfo.* |
Compruebe los archivos crashinfo de Snort3. |
FTD |
|
Paquete FTD TS: /dir-archives/var/log/process_stderr.log* |
Compruebe si hay seguimientos inversos (por ejemplo, ID de error de Cisco CSCwh25406) |
FTD |
|
Paquete FTD TS: /dir-archives/var/log/periodic_stats/ |
El directorio contiene varios archivos que pueden proporcionar información sobre el momento del incidente. |
FTD |
|
Paquete FPRM: tech_support_brief |
Verifique las salidas "show fault detail". |
ASA y FTD |
|
Paquete FPRM: /opt/cisco/platform/logs/kern.log |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
|
Paquete FPRM: /opt/cisco/platform/logs/messages* |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
|
Paquete FPRM: /opt/cisco/platform/logs/mce.log El mismo archivo también existe en el paquete del módulo (41xx, 93xx). |
Se trata del archivo de excepciones de comprobación de equipo (mce). Busque errores, fallos, fallos, etc. |
ASA y FTD |
|
Paquete FPRM: /opt/cisco/platform/logs/portmgr.out |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
|
Paquete FPRM: /opt/cisco/platform/logs/sysmgr/logs/kp_init.log: |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
|
Paquete FPRM: /opt/cisco/platform/logs/ssp-pm.log El mismo archivo también existe en el paquete del módulo (41xx, 93xx). |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
|
Paquete FPRM: /opt/cisco/platform/logs/sma.log El mismo archivo también existe en el paquete del módulo (41xx, 93xx). |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
|
Paquete FPRM: /opt/cisco/platform/logs/heimdall.log |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
|
Paquete FPRM: /opt/cisco/platform/logs/ssp-shutdown.log El mismo archivo también existe en el paquete del módulo (41xx, 93xx). |
Contiene la salida de ps, top y algunas líneas de dmesg cuando se inicia el reinicio o el apagado. Disponible en 1000/2100/3100/4200. |
ASA y FTD |
|
Paquete FPRM: /opt/cisco/platform/logs/sysmgr/sam_logs/svc_sam_dme.log* |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
|
Paquete FPRM: /opt/cisco/platform/logs/sysmgr/sam_logs/svc_sam_envAG.log* |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
|
Paquete CIMC (41xx, 93xx): /obfl/obfl-log* |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
|
Paquete CIMC (41xx, 93xx): /CIMC1_TechSupport.tar.gz/CIMC1_TechSupport.tar/tmp/techsupport_pid*/CIMC1_TechSupport-nvram.tar.gz/CIMC1_TechSupport-nvram.tar/nv/etc/log/eng-repo/messages* |
Busque errores, fallos, fallos, etc. Especialmente para CATERR |
ASA y FTD |
|
Paquete de módulos (41xx, 93xx): /tmp/mount_media.log/mount_media.log |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
Paso 14: Capturas
Si una interfaz específica deja de responder, realice capturas en el firewall y el dispositivo adyacente. Puede consultar este documento para obtener más información:
Además, asegúrese de que las tablas ARP y CAM de los dispositivos adyacentes estén correctamente ocupadas.
Paso 15: Información adicional para proporcionar a Cisco TAC
Además de los elementos mencionados anteriormente, se recomienda proporcionar también esta información:
15 bis. Si el dispositivo se ha recuperado, recopile un paquete de solución de problemas (consulte el paso 13 para obtener más información).
15 ter. Si el dispositivo sigue sin responder, proporcione esta información:
- Información de hardware (modelo).
- Información de software.
- Información sobre el software FMC (si procede).
- Implementación (independiente/HA/clúster).
15 quater. Hora aproximada (fecha/hora) en la que el dispositivo deja de responder.
15d. Tiempo de actividad aproximado del dispositivo antes de que deje de responder.
15 sexies. ¿Se trata de una configuración nueva o existente?
15 septies. ¿Cuál fue la última acción realizada antes de que el dispositivo dejara de responder?
15 g. Los registros del sistema del plano de datos del firewall (LINA) se inician desde el momento en que el dispositivo deja de responder (intente obtener los registros comenzando aproximadamente 5 minutos antes del incidente). Como práctica recomendada, se recomienda configurar los registros del sistema en el nivel 6 (Informativo).
15 horas. En caso de que haya configurado un servidor syslog en el chasis (FXOS en 4100/9300), proporcione los registros (comenzando aproximadamente 5 minutos antes del incidente).
15 decies. Registros del sistema de los dispositivos adyacentes desde el momento del incidente.
15j. Diagrama de topología que muestra las conexiones físicas entre el dispositivo de firewall y los dispositivos adyacentes.
Problemas comunes
Error: Tiempo de espera agotado para comunicarse con DME
Si se conecta a la consola y ve:
Software Error: Exception during execution: [Error: Timed out communicating with DME]
La mayoría de las veces, esto indica un problema de software.
Acción Recomendada: póngase en contacto con el TAC de Cisco
Error de disco: falta o no funciona
Este resultado proviene de un dispositivo de hardware 4100/9300 donde se genera un error relacionado con el disco:
Acción Recomendada: Intente volver a colocar el disco SSD. Si no ayuda, recopile el paquete de solución de problemas del chasis y póngase en contacto con el TAC de Cisco.
Aviso de problemas FN72077 - FPR9300 y FPR4100
- Los dispositivos de seguridad de las series FPR9300 y FPR4100 ya no pasan el tráfico de red.
- Los usuarios con credenciales válidas no pueden iniciar sesión en la consola de administración.
- CLI muestra un mensaje de error: "Error de software: Excepción durante la ejecución: [Error: Tiempo de espera agotado al comunicarse con [DME]
Acción Recomendada: Se requiere un ciclo de alimentación del chasis 4100/9300 para recuperarse temporalmente de este problema. Verifique el ID de bug de Cisco CSCvx99172 para obtener detalles y una versión que tenga una solución.
(Aviso de problemas FN72077 - Dispositivos de seguridad de las series FPR9300 y FPR4100 - Algunos dispositivos podrían no pasar tráfico después de 3,2 años de tiempo de actividad).
Utilización del disco al 100%
Un espacio en disco reducido en el firewall puede hacer que el dispositivo deje de responder. Si el dispositivo está gestionado por FMC, puede recibir alertas de salud como esta:
Acción Recomendada: Si tiene FMC y FTD ejecutándose en el software 7.7.0 y versiones posteriores, intente borrar algo de espacio en disco con el procedimiento documentado en https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/admin/770/management-center-admin-77/health-troubleshoot.html#clear-disk-space
Si esto no es factible o no ayuda, comuníquese con el TAC de Cisco.
CSF 3100 no se activa después de un corte de energía
Acción Recomendada: Actualice a una versión de software que tenga una solución para:
ID de bug de Cisco CSCwm14729 La serie CSF 3100 no se reinicia tras un corte de alimentación, por lo que requiere un ciclo de alimentación manual.
Dispositivos de seguridad Cisco Firepower serie 2100: Algunas Unidades Pueden Experimentar Fallas De Memoria
- Fallos de DIMM en 5 años de servicio debido a problemas en el proceso de componentes
- FN relacionado: https://www.cisco.com/c/en/us/support/docs/field-notices/741/fn74199.html
- ID de bug de Cisco relacionado CSCwb74948
Acción Recomendada: Sustitución de componentes DIMM o sustitución del dispositivo de seguridad
Referencias
- https://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-installation-guides-list.html
- https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html#
- https://www.cisco.com/c/en/us/support/docs/field-notices/720/fn72077.html
- https://www.cisco.com/c/en/us/support/docs/security/adaptive-security-appliance-asa-software/216245-collection-of-core-files-from-a-firepowe.html#anc6
- https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
17-Jul-2025
|
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)