El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe los pasos recomendados para resolver problemas de Cisco Secure Firewall Threat Defence (FTD) que no responde en las plataformas de hardware 1xxx, 12xx, 21xx, 31xx, 41xx, 42xx y 93xx.
Cisco recomienda que tenga conocimiento sobre estos temas:
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
En algunos casos, un dispositivo Cisco FTD puede dejar de responder. Los síntomas típicos incluyen:
Tenga en cuenta que, dependiendo de la situación, algunos de ellos no van a estar presentes. Por ejemplo, podría tener tráfico de tránsito atravesando, pero solo el acceso a la administración no funciona.
En esta sección se explican los pasos y acciones recomendados que debe realizar. Puede proporcionar esta información al TAC de Cisco para su posterior análisis.
Haga un vídeo o una fotografía de los LED del panel frontal. A continuación se muestran algunos ejemplos en los que todos los LED son claramente visibles:
En la siguiente foto, el LED SYS indica un problema con el dispositivo:
Puede consultar la guía de hardware del modelo de dispositivo para obtener información adicional sobre el LED, por ejemplo:
Modelo |
información de LED |
1010 |
|
1100 |
|
1210CE, 1210CP, 1220CX |
|
1230, 1240, 1250 |
|
2100 |
|
3100 |
|
4110, 4120, 4140, 4150 |
|
4112, 4115, 4125, 4145 |
|
4200 |
|
9300 |
Haga un vídeo o una fotografía de los LED del panel posterior, por ejemplo:
Si no ve ninguna luz de encendido:
Compruebe si los ventiladores de la parte posterior del dispositivo se están ejecutando.
Compruebe si hay algún ruido u olor procedente del dispositivo.
Asegúrese de que la consola y los puertos de administración estén conectados correctamente. Si el problema está solamente en el puerto de administración, intente cambiar el SFP (cuando corresponda) y el cable de red.
Intente hacer ping (ICMP) a la dirección IP del dispositivo.
Verifique el estado del puerto de los dispositivos adyacentes, por ejemplo:
switch# show interface description | i FW-4215-1
Gi7/1 up up FW-4215-1 ETH1/1
Gi7/2 up up FW-4215-1 ETH1/2
Gi7/3 up up FW-4215-1 MGMT
En caso de una configuración de alta disponibilidad (HA) o de clúster, recopile un paquete de solución de problemas de los dispositivos del mismo nivel.
Conecte un portátil al puerto de la consola y copie los mensajes que se muestran. Intente pulsar las teclas de teclado arriba/abajo o la tecla RePág para ver todos los mensajes de la pantalla.
Con un ordenador portátil conectado al puerto de la consola:
Tenga en cuenta que si el dispositivo no se apagó correctamente y estaba operativo (los LED del panel frontal estaban encendidos), el reinicio en frío puede dañar la base de datos. Si el reinicio en frío hace que aparezca el dispositivo, recopile un paquete de solución de problemas y comuníquese con el TAC de Cisco.
Si el dispositivo se recupera y lo gestiona un FMC, vaya a System> Health > Monitor y seleccione el dispositivo. Céntrese en los gráficos resaltados para comprender cuál era el estado del dispositivo antes de dejar de responder (por ejemplo, memoria alta, CPU alta, alta utilización del disco, etc.).
Situación de no funcionamiento (4100):
FW4100# show server storage
Server 1/1:
RAID Controller 1:
Type: SATA
Vendor: Cisco Systems Inc
Model: FPR4K-PT-01
Serial: JAD12345678
HW Revision:
PCI Addr: 00:31.2
Raid Support:
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Unknown
Local Disk 1:
Vendor: Micron
Model: 5300 MTFD
Serial: MSA123456AB
HW Rev:
Operability: N/A
Presence: Missing <-----
Size (MB): 200000
Drive State: Online
Power State: Active
Link Speed: 6 Gbps
Device Type: SSD
Local Disk Config Definition:
Mode: NO RAID
Description:
Protect Configuration: No
Ejemplo de salida de 3100 donde el disco está operativo:
FW3105# show server storage
Server 1/1:
Disk Controller 1:
Type: SOFTRAID
Vendor: Cisco Systems Inc
Model: FPR_SOFTRAID
HW Revision:
PCI Addr:
Raid Support: raid1
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Optimal
Local Disk 1:
Presence: Equipped
Model: SAMSUNG MZQL2960HCJR-00A07
Serial: S64FNT0AB12345
Operability: Operable <---
Size (MB): 858306
Device Type: SSD
Firmware Version: GDC5A02Q
Virtual Drive 1:
Type: Raid
Blocks: 878906048
Operability: Degraded
Presence: Equipped
Size (MB): 858306
Drive State: Degraded
Ejemplo de salida de 4100 donde el disco está operativo:
FW4125# show server storage
Server 1/1:
RAID Controller 1:
Type: SATA
Vendor: Cisco Systems Inc
Model: FPR4K-PT-01
Serial: JAD1234567
HW Revision:
PCI Addr: 00:31.2
Raid Support:
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Unknown
Local Disk 1:
Vendor: TOSHIBA
Model: KHK61RSE
Serial: 11BS1234567AB
HW Rev: 0
Operability: Operable
Presence: Equipped
Size (MB): 800000
Drive State: Online
Power State: Active
Link Speed: 6 Gbps
Device Type: SSD
Local Disk Config Definition:
Mode: No RAID
Description:
Protect Configuration: No
Si el dispositivo de firewall se recupera y desea analizar los registros de backend, genere un paquete de solución de problemas y verifique los archivos mencionados en la tabla. Tenga en cuenta que:
Ruta del archivo en el paquete de solución de problemas |
Descripción/Sugerencias |
Disponible en |
Paquete FTD TS: /dir-archives/var-log/messages* |
La cadena "syslog-ng shutdown down" se muestra durante un apagado correcto. La cadena "syslog-ng starting up" se muestra cuando se inicia el dispositivo. |
FTD |
Paquete FTD TS: /dir-archives/var-log/ASAconsole.log En el caso de ASA en 4100/9300, también puede encontrar el archivo en el paquete Module en /opt/cisco/platform/logs/ASAconsole.log |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
Paquete FTD TS: /dir-archives/var-log/dmesg.log |
Busque errores, fallos, fallos, etc. |
FTD |
Paquete FTD TS: /dir-archives/var/log/ngfwManager.log* |
Busque errores, fallos, fallos, etc. Este archivo también contiene información sobre los eventos de HA/clúster. |
FTD |
Paquete FTD TS: /command-outputs/LINA_troubleshoot/show_tech_output.txt |
El resultado de los comandos 'show failover history' y 'show cluster' history' puede proporcionar información adicional sobre la secuencia de los eventos. |
FTD |
Paquete FTD TS: /command-outputs/ Nombres de archivo: · para CORE en `ls opt-cisco-csp-cores _ grep core`_ do file -opt-cisco-csp-cores-_{CORE}_ done.output · para CORE en `ls var-common _ grep core`_ do file var-common-_{CORE}_ done.output · para CORE en `ls var-data-cores _ grep core`_ do file -var-data-cores-_{CORE}_ done.output |
Compruebe si hay posibles archivos de núcleo (rastreos). |
FTD |
Paquete FTD TS: /dir-archives/var/log/crashinfo/snort3-crashinfo.* |
Compruebe los archivos crashinfo de Snort3. |
FTD |
Paquete FTD TS: /dir-archives/var/log/process_stderr.log* |
Compruebe si hay seguimientos inversos (por ejemplo, ID de error de Cisco CSCwh25406) |
FTD |
Paquete FTD TS: /dir-archives/var/log/periodic_stats/ |
El directorio contiene varios archivos que pueden proporcionar información sobre el momento del incidente. |
FTD |
Paquete FPRM: tech_support_brief |
Verifique las salidas "show fault detail". |
ASA y FTD |
Paquete FPRM: /opt/cisco/platform/logs/kern.log |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
Paquete FPRM: /opt/cisco/platform/logs/messages* |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
Paquete FPRM: /opt/cisco/platform/logs/mce.log El mismo archivo también existe en el paquete del módulo (41xx, 93xx). |
Se trata del archivo de excepciones de comprobación de equipo (mce). Busque errores, fallos, fallos, etc. |
ASA y FTD |
Paquete FPRM: /opt/cisco/platform/logs/portmgr.out |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
Paquete FPRM: /opt/cisco/platform/logs/sysmgr/logs/kp_init.log: |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
Paquete FPRM: /opt/cisco/platform/logs/ssp-pm.log El mismo archivo también existe en el paquete del módulo (41xx, 93xx). |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
Paquete FPRM: /opt/cisco/platform/logs/sma.log El mismo archivo también existe en el paquete del módulo (41xx, 93xx). |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
Paquete FPRM: /opt/cisco/platform/logs/heimdall.log |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
Paquete FPRM: /opt/cisco/platform/logs/ssp-shutdown.log El mismo archivo también existe en el paquete del módulo (41xx, 93xx). |
Contiene la salida de ps, top y algunas líneas de dmesg cuando se inicia el reinicio o el apagado. Disponible en 1000/2100/3100/4200. |
ASA y FTD |
Paquete FPRM: /opt/cisco/platform/logs/sysmgr/sam_logs/svc_sam_dme.log* |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
Paquete FPRM: /opt/cisco/platform/logs/sysmgr/sam_logs/svc_sam_envAG.log* |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
Paquete CIMC (41xx, 93xx): /obfl/obfl-log* |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
Paquete CIMC (41xx, 93xx): /CIMC1_TechSupport.tar.gz/CIMC1_TechSupport.tar/tmp/techsupport_pid*/CIMC1_TechSupport-nvram.tar.gz/CIMC1_TechSupport-nvram.tar/nv/etc/log/eng-repo/messages* |
Busque errores, fallos, fallos, etc. Especialmente para CATERR |
ASA y FTD |
Paquete de módulos (41xx, 93xx): /tmp/mount_media.log/mount_media.log |
Busque errores, fallos, fallos, etc. |
ASA y FTD |
Si una interfaz específica deja de responder, realice capturas en el firewall y el dispositivo adyacente. Puede consultar este documento para obtener más información:
Además, asegúrese de que las tablas ARP y CAM de los dispositivos adyacentes estén correctamente ocupadas.
Además de los elementos mencionados anteriormente, se recomienda proporcionar también esta información:
15 bis. Si el dispositivo se ha recuperado, recopile un paquete de solución de problemas (consulte el paso 13 para obtener más información).
15 ter. Si el dispositivo sigue sin responder, proporcione esta información:
15 quater. Hora aproximada (fecha/hora) en la que el dispositivo deja de responder.
15d. Tiempo de actividad aproximado del dispositivo antes de que deje de responder.
15 sexies. ¿Se trata de una configuración nueva o existente?
15 septies. ¿Cuál fue la última acción realizada antes de que el dispositivo dejara de responder?
15 g. Los registros del sistema del plano de datos del firewall (LINA) se inician desde el momento en que el dispositivo deja de responder (intente obtener los registros comenzando aproximadamente 5 minutos antes del incidente). Como práctica recomendada, se recomienda configurar los registros del sistema en el nivel 6 (Informativo).
15 horas. En caso de que haya configurado un servidor syslog en el chasis (FXOS en 4100/9300), proporcione los registros (comenzando aproximadamente 5 minutos antes del incidente).
15 decies. Registros del sistema de los dispositivos adyacentes desde el momento del incidente.
15j. Diagrama de topología que muestra las conexiones físicas entre el dispositivo de firewall y los dispositivos adyacentes.
Si se conecta a la consola y ve:
Software Error: Exception during execution: [Error: Timed out communicating with DME]
La mayoría de las veces, esto indica un problema de software.
Acción Recomendada: póngase en contacto con el TAC de Cisco
Este resultado proviene de un dispositivo de hardware 4100/9300 donde se genera un error relacionado con el disco:
Acción Recomendada: Intente volver a colocar el disco SSD. Si no ayuda, recopile el paquete de solución de problemas del chasis y póngase en contacto con el TAC de Cisco.
Acción Recomendada: Se requiere un ciclo de alimentación del chasis 4100/9300 para recuperarse temporalmente de este problema. Verifique el ID de bug de Cisco CSCvx99172 para obtener detalles y una versión que tenga una solución. (Aviso de problemas FN72077 - Dispositivos de seguridad de las series FPR9300 y FPR4100 - Algunos dispositivos podrían no pasar tráfico después de 3,2 años de tiempo de actividad).
Un espacio en disco reducido en el firewall puede hacer que el dispositivo deje de responder. Si el dispositivo está gestionado por FMC, puede recibir alertas de salud como esta:
Acción Recomendada: Si tiene FMC y FTD ejecutándose en el software 7.7.0 y versiones posteriores, intente borrar algo de espacio en disco con el procedimiento documentado en https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/admin/770/management-center-admin-77/health-troubleshoot.html#clear-disk-space
Si esto no es factible o no ayuda, comuníquese con el TAC de Cisco.
Acción Recomendada: Actualice a una versión de software que tenga una solución para:
ID de bug de Cisco CSCwm14729 La serie CSF 3100 no se reinicia tras un corte de alimentación, por lo que requiere un ciclo de alimentación manual.
Acción Recomendada: Sustitución de componentes DIMM o sustitución del dispositivo de seguridad
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
17-Jul-2025
|
Versión inicial |