Pour une fonctionnalité qui était opérante avant que vous activiez le chiffrement CSP en mode FIPS, mais qui ne fonctionne pas après l’activation du chiffrement, déterminez si le chiffrement CSP est le problème. Désactivez le chiffrement CSP et le mode FIPS, puis testez la fonction. Si cela fonctionne, activez le mode FIPS et testez-le à nouveau. Si cela fonctionne, activez le chiffrement CSP et testez-le à nouveau. Consultez Activation ou désactivation du mode FIPS.

Les certificats qui ont été acceptés par votre Secure Web Appliance avant la mise à niveau vers AsyncOS 10.5 peuvent être rejetés lorsqu’ils sont à nouveau chargés, quelle que soit la méthode de chargement. (C’est-à-dire par le biais des pages de l’interface utilisateur telles que le proxy HTTPS, la gestion des certificats, le fournisseur d’identité pour SaaS, la configuration ISE, la configuration de l’authentification ou la commande de l’interface de ligne de commande certconfig.)

Assurez-vous que les autorités de certification signataires du certificat ont été ajoutées en tant « qu’autorités de certification approuvées personnalisées » dans la page Certificate Management (Gestion des certificats) [Network > Certificate Management (Réseau > Gestion des certificats)]. Un certificat ne peut pas être téléchargé vers le Secure Web Appliance si le chemin d’accès complet au certificat n’est pas fiable.

En outre, lors du rechargement d’une configuration plus ancienne, il est probable que les certificats inclus ne seront pas fiables et que le rechargement échoue. Assurez-vous que ces certificats sont remplacés lors du chargement de la configuration enregistrée.

Remarque

Tous les échecs de validation de certificat sont consignés dans les journaux d’audit (/data/pub/audit_logs/audit_log.current).

KerbTray ou klist (qui font tous deux partie du Kit de ressources du serveur Windows) pour l’affichage et la purge d’un cache de ticket Kerberos. Explorateur Active Directory pour l’affichage et la modification d’un répertoire Active Directory Wireshark est un analyseur de paquets que vous pouvez utiliser pour le dépannage de réseau.

Lorsque certains agents utilisateurs ou certaines applications ne parviennent pas à s’authentifier et se voir refuser l’accès, ils envoient des demandes à plusieurs reprises à Secure Web Appliance, qui envoie à son tour des demandes aux serveurs Active Directory avec les informations d’identification de l’ordinateur, parfois au point d’affecter les opérations normales.

Pour de meilleurs résultats, contournez l’authentification à l’aide de ces agents utilisateurs. Consultez Contournement de l’authentification avec des agents utilisateur problématiques.

• Échec d’authentification de l’utilisateur LDAP en raison du protocole NTLMSSP

• Échec de l’authentification LDAP en raison du renvoi au protocole LDAP

• Échec de l’authentification de base

Problèmes connexes

• Le proxy en amont ne reçoit pas les informations d’authentification de base

• Utilisateurs invités par erreur à fournir des informations d’authentification

Lorsque vous bloquez des fichiers Microsoft Office dans la section Block Object Type (Bloquer le type d’objet), il est possible que certains fichiers Microsoft Office ne soient pas bloqués.

Si vous devez bloquer tous les fichiers Microsoft Office, ajoutez application/x-ole dans le champ Block Personal MIME Types (Bloquer les types MIME personnalisés). Cependant, le blocage de ce type MIME personnalisé bloque également tous les types de formats d’objets composés Microsoft, tels que les fichiers Visio et certaines applications tierces.

Lorsque vous configurez Secure Web Appliance pour bloquer les types d’objets exécutables DOS, l’appliance bloque également les mises à jour pour Windows OneCare.

Si une alerte contenant le message « Failed to bootstrap the DNS cache » (Échec du démarrage du cache DNS) est générée au redémarrage d’une appliance, cela signifie que le système n’a pas pu contacter ses serveurs DNS principaux. Cela peut se produire au démarrage si le sous-système DNS est mis en ligne avant que la connectivité réseau ne soit établie. Si ce message s’affiche à d’autres stades, cela peut indiquer des problèmes de réseau ou que la configuration DNS ne pointe pas vers un serveur valide.

Une mauvaise configuration des groupes de basculement peut entraîner la création de plusieurs périphériques principaux ou d’autres problèmes de basculement. Diagnostiquez les problèmes de basculement à l’aide de la sous-commande testfailovergroup de la commande d’interface de ligne de commande failoverconfig.

Par exemple :

wsa.wga> failoverconfig
Currently configured failover profiles:
1.      Failover Group ID: 61
        Hostname: failoverV4P1.wga, Virtual IP: 10.4.28.93/28
        Priority: 100, Interval: 3 seconds
        Status: PRIMARY
Choose the operation you want to perform:
- NEW - Create new failover group.
- EDIT - Modify a failover group.
- DELETE - Remove a failover group.
- PREEMPTIVE - Configure whether failover is preemptive.
- TESTFAILOVERGROUP - Test configured failover profile(s)
[]> testfailovergroup
Failover group ID to test (-1 for all groups):
[]> 61

Pour les déploiements sur des appliances virtuelles, assurez-vous d’avoir configuré l’interface/le commutateur virtuel sur l’hyperviseur pour utiliser le mode promiscuité.

Lorsqu’une requête FTP native est redirigée vers le proxy FTP de manière transparente, elle ne contient aucune information de nom d’hôte pour le serveur FTP, seulement son adresse IP. C’est pourquoi certaines catégories d’URL et certains filtres de réputation Web prédéfinis qui n’ont que des informations de nom d’hôte ne correspondront pas aux demandes FTP natives, même si les demandes sont destinées à ces serveurs. Si vous souhaitez bloquer l’accès à ces sites, vous devez créer des catégories d’URL personnalisées en utilisant leurs adresses IP.

Si la connexion entre le proxy FTP et le serveur FTP est lente, le chargement d’un fichier volumineux peut prendre beaucoup de temps, en particulier lorsque les filtres de sécurité des données Cisco sont activés. Cela peut entraîner l’expiration du délai d’expiration du client FTP avant que le proxy FTP télécharge le fichier entier et vous pourriez obtenir un avis d’échec de transaction. La transaction n’échoue pas, cependant, mais continue en arrière-plan et sera terminée par le proxy FTP.

Vous pouvez contourner ce problème en augmentant la valeur du délai d’inactivité appropriée sur le client FTP.

Les clients FTP créent un fichier de zéro octet sur les serveurs FTP lorsque le mandataire FTP bloque un téléchargement en raison de l’analyse de protection contre les programmes malveillants sortant.

Les navigateurs Chrome n’incluent pas de chaîne user-agent dans les demandes FTP-sur-HTTP ; par conséquent, Chrome ne peut pas être détecté en tant qu’agent utilisateur dans ces demandes.

Important! Si vous devez éteindre et rallumer votre appliance x80 ou x90, attendez au moins 20 minutes que l’appliance se rallume (tous les voyants DEL sont verts) avant d’appuyer sur le bouton d’alimentation.

Les voyants DEL à l’avant ou à l’arrière de votre appliance matérielle indiquent l’état de fonctionnement de votre appliance. Pour obtenir la description de ces voyants, consultez les guides sur le matériel, tel que le Guide d’installation et de maintenance des appliances Cisco x90 Series Content Security Appliance, disponible à l’adresse http://www.cisco.com/c/en/us/support/security/web-security-appliance/products-installation-guides-list.html.

Les spécifications de votre appliance, telles que les plages de températures, sont également indiquées dans ces documents.

Cette alerte peut indiquer un problème ou non. L’expiration du délai de réapprentissage de la batterie ne signifie pas en soi qu’il y a un problème au niveau du contrôleur RAID. Le contrôleur pourra récupérer lors du réapprentissage suivant. Veuillez surveiller votre courriel pour toute autre alerte RAID au cours des prochaines 48 heures afin de vous assurer qu’il ne s’agit pas d’une répercussion d’un autre problème. Si vous ne voyez aucune autre alerte de type RAID émanant du système, vous pouvez l’ignorer en toute sécurité.

Pour les requêtes HTTPS redirigées de manière transparente, le proxy Web doit communiquer avec le serveur de destination pour déterminer le nom du serveur et donc la catégorie d’URL dans laquelle il appartient. Pour cette raison, lorsque le proxy Web évalue l’appartenance au groupe de politiques de routage, il ne peut pas encore connaître la catégorie d’URL d’une requête HTTPS, car il n’a pas encore contacté le serveur de destination. Si le proxy Web ne connaît pas la catégorie d’URL, il ne peut pas faire correspondre la demande HTTPS transparente à une politique de routage définie par l’utilisateur, car les informations sont insuffisantes.

Par conséquent, les transactions HTTPS redirigées de manière transparente ne correspondent aux politiques de routage que si aucun groupe de politiques de routage et aucun profil d’identification n’a de critères d’appartenance. Si des politiques de routage ou des profils d’identification définis par l’utilisateur définissent ses membres par catégorie d’URL, les transactions HTTPS transparentes correspondent au groupe de politiques de routage par défaut.

• HTTPS avec substituts basés sur IP et demandes transparentes
• Comportement différent du client « Hello » pour les catégories personnalisées et par défaut

En règle générale, les informations sur le certificat racine que vous générez ou chargez dans l’appliance ne sont pas répertoriées comme autorité de certification racine approuvée dans les applications clientes. Par défaut, dans la plupart des navigateurs Web, lorsque les utilisateurs envoient des demandes HTTPS, un message d’avertissement de l’application cliente leur signale qu’il existe un problème avec le certificat de sécurité du site Web. Habituellement, le message d’erreur indique que le certificat de sécurité du site Web n’a pas été émis par une autorité de certification approuvée ou que le site Web a été certifié par une autorité inconnue. Certaines autres applications client ne présentent pas ce message d’avertissement aux utilisateurs et ne permettent pas aux utilisateurs d’accepter le certificat non reconnu.

Note	Navigateurs Mozilla Firefox : le certificat que vous chargez doit contenir « basicConstraints=CA:TRUE » pour fonctionner avec les navigateurs Mozilla Firefox. Cette contrainte permet à Firefox de reconnaître le certificat racine comme une autorité racine approuvée.

Les éléments suivants peuvent être utiles lors du dépannage de problèmes liés à Cisco ISE :

• L’utilitaire de test ISE, utilisé pour tester la connexion au serveur ISE, fournit des informations précieuses concernant la connexion. Il s’agit de l’option de démarrage du test sur la page Identity Services Engine; voir Se connecter aux services ISE/ISE-PIC.

• Journaux ISE et proxy; voir Superviser l’activité du système au moyen de journaux

• Commandes de CLI liées à ISE iseconfig et isedata, en particulier isedata pour confirmer le téléchargement de la balise SGT. Voir Commandes de l’interface de ligne de commande Secure Web Appliance pour de plus amples informations.

• Les fonctions de suivi Web et de suivi des politiques peuvent être utilisées pour déboguer les problèmes de correspondance de politiques; par exemple, un utilisateur qui devrait être autorisé est bloqué, et inversement. Voir Outil de résolution de problèmes liés aux politiques : Suivi des politiques pour de plus amples informations.

• Capture de paquets si Collaboration avec le service d’assistance.

• Pour vérifier l’état des certificats, vous pouvez utiliser l’utilitaire openssl (ocsp), disponible à partir de https://www.openssl.org/ .

Cette section contient des explications concernant les messages de journalisation critiques liés à ISE sur les Secure Web Appliance :

• Tue Mar 24 03:56:47 2015 Critical: ISEEngineManager: Waiting for client connection timed out (En attente de la connexion du client expiré)

  Le processus ISE de Secure Web Appliancen’a pas réussi à se connecter au serveur ISE pendant 30 secondes.

• Tue Mar 24 03:56:47 2015 Critical: ISEEngineManager: WSA Client cert/key missing. (Certificat ou clé du client WSA manquant) Veuillez vérifier la configuration ISE

  Le certificat client de l’appliance Web et la clé n’ont pas été téléchargés ou générés sur la page de configuration du moteur Identity Services Engine de Secure Web Appliance.

• Tue Mar 24 03:56:47 2015 Critical: ISEEngineManager: ISE service exceeded maximum allowable disconnect duration with ISE server (le service ISE a dépassé la durée de déconnexion maximale autorisée avec le serveur ISE)

  Le processus ISE de Secure Web Appliancen’a pas pu se connecter au serveur ISE pendant 120 secondes et s’est arrêté.

• Tue Mar 24 03:56:47 2015 Critical: ISEEngineManager: Subscription to updates failed ... (Échec de l’abonnement aux mises à jour)

  Le processus ISE de Secure Web Appliance n’a pas pu s’abonner au serveur ISE pour les mises à jour.

• Tue Mar 24 03:56:47 2015 Critical: ISEEngineManager: Could not create ISE client: ...(Impossible de créer le client ISE)

  Erreur interne lors de la création du client ISE de Secure Web Appliancepour la connexion du serveur ISE.

• Tue Mar 24 03:56:47 2015 Critical: ISEEngineManager: Bulk Download thread failed: ... (Échec du téléchargement en bloc)

  Erreur interne indiquant l’échec du téléchargement en bloc des groupes SGT lors de la connexion ou de la reconnexion.

• Tue Mar 24 03:56:47 2015 Critical: ISEService: Unable to start service. Error: ... (Impossible de démarrer le service.)

  Le service ISE de Secure Web Appliance n’a pas pu démarrer.

• Tue Mar 24 03:56:47 2015 Critical: ISEService: Unable to send ready signal ... (Impossible d’envoyer le signal de disponibilité)

  Le service ISE de Secure Web Appliance n’a pas pu envoyer de signal de disponibilité à Heimdall.

• Tue Mar 24 03:56:47 2015 Critical: ISEService: Unable to send restart signal ... (Impossible d’envoyer le signal de redémarrage)

  Le service ISE de Secure Web Appliance n’a pas pu envoyer de signal de redémarrage à heimdall.

Lors de la création et de la modification de catégories d’URL personnalisées et externes et de la fourniture d’un fichier de flux en direct externe (au format de flux Cisco ou au format de flux Office 365), vous devez cliquer sur le bouton Get File (Obtenir le fichier) pour établir la connexion au serveur indiqué, ainsi que pour télécharger et analyser le fichier. La progression et les résultats de ce processus sont affichés; si des erreurs se produisent, elles sont décrites. Corrigez les problèmes et réessayez de télécharger le fichier.

Il existe quatre types d’erreurs possibles :

• Exceptions de connexion

  Failed to resolve server hostname (Échec de la résolution du nom d’hôte du serveur) : l’URL fournie comme emplacement du fichier de flux n’est pas valide; indiquez une URL correcte pour résoudre ce problème.

• Erreurs de protocole

  Authentication failed due to invalid credentials (Échec de l’authentification en raison d’informations d’authentification non valides) : échec de l’authentification du serveur; indiquez le nom d’utilisateur et la phrase secrète corrects pour la connexion au serveur.

  The requested file is not found on the server (Le fichier demandé est introuvable sur le serveur) : l’URL fournie pour le fichier de flux pointe vers une ressource non valide. Assurez-vous que le bon fichier est disponible sur le serveur précisé.

• Erreurs de validation de contenu

  Failed to validate the content of the field (Échec de la validation du contenu du champ) : le contenu du fichier de flux n’est pas valide.

• Erreurs d’analyse

  • Le fichier au format de flux Cisco .csv doit contenir une ou plusieurs entrées, où chaque entrée est une adresse de site ou une chaîne d’expression régulière valide, suivie d’une virgule, puis du type d’adresse (qui peut être un site ou une expression régulière). Si cette convention n’est pas suivie pour une entrée du fichier de flux, une erreur d’analyse est renvoyée.

    De plus, n’incluez pas http:// ou https:// dans une entrée site dans le fichier, sous peine d’entraîner une erreur. En d’autres termes, www.exemple.com est analysé correctement, tandis que http://www.exemple.com produit une erreur.

  • Le fichier de flux XML obtenu à partir d’un serveur Microsoft est analysé par un analyseur syntaxique XML standard. Toute incohérence dans les balises XML est également signalée comme des erreurs d’analyse.

  Le numéro de ligne d’une erreur d’analyse est inclus dans le journal. Par exemple :

  Line 8: 'www.anyurl.com' - Line is missing address or address-type field (Ligne 8 : « www.anyurl.com » : champ d’adresse ou de type d’adresse manquant sur la ligne). La ligne 8 du fichier de flux ne contient pas d’adresse ou de modèle d’expression régulière, ni de type d’adresse.

  Line 12: 'www.test.com' - Unknown address type. (Ligne 12 : « www.test.com » – Type d’adresse inconnu). La ligne 12 a un type d’adresse non valide; la valeur addresstype peut être site ou regex.

Lorsque vous fournissez un fichier .csv pour l’option External Live Feed Category > Cisco Feed Format (Catégorie de flux en direct externe > Format de flux Cisco) lors de la création et de la modification de catégories d’URL personnalisées et externes, vous pouvez rencontrer l’erreur « 406 not acceptable » lors de la récupération du fichier si le serveur de format de flux Cisco utilise le logiciel Internet Information Services (IIS) version 7 ou 8. De même, le journal feedsd renverra un résultat comme : 31 May 2016 16:47:22 (GMT +0200) Warning: Protocol Error: ’HTTP error while fetching file from the server’ (31 mai 2016 16:47:22 (GMT +0200) Avertissement : Erreur de protocole : « Erreur HTTP lors de la récupération du fichier sur le serveur »).

En effet, le type MIME par défaut pour les fichiers .csv sur IIS est application/csv plutôt que text/csv. Vous pouvez résoudre le problème en vous connectant au serveur IIS et en modifiant l’entrée MIME type pour les fichiers .csv afin qu’elle corresponde à la valeur text/csv.

Si vous copiez et collez le contenu d’un fichier de flux .csv (texte) d’un système UNIX ou OS X vers un système Windows, un retour à la ligne supplémentaire (\r) est ajouté automatiquement, ce qui peut rendre le fichier de flux mal formé.

Si vous créez manuellement le fichier .csv ou si vous transférez le fichier d’un système UNIX ou OS X vers un serveur Windows à l’aide de SCP, FTP ou POST, il ne devrait y avoir aucun problème.

Lorsqu’un groupe de politiques d’accès Web a une catégorie d’URL personnalisée définie sur Monitor (Superviser) et qu’un autre composant, comme les filtres de réputation Web ou le moteur DVS, prend la décision finale d’autoriser ou de bloquer une demande d’URL dans la catégorie d’URL personnalisée, l’entrée du journal d’accès pour la demande affiche la catégorie d’URL prédéfinie au lieu de la catégorie d’URL personnalisée.

Les transactions HTTPS dans les journaux d’accès semblent similaires aux transactions HTTP, mais avec des caractéristiques légèrement différentes. Les informations qui sont enregistrées dépendent de si la transaction a été explicitement envoyée ou redirigée de manière transparente vers le proxy HTTPS :

• TUNNEL. Cela est écrit dans le journal des accès lorsque la demande HTTPS est redirigée de manière transparente vers le proxy HTTPS.

• CONNECT. Cela est écrit dans le journal des accès lorsque la demande HTTPS a été explicitement envoyée au proxy HTTPS.

Lorsque le trafic HTTPS est déchiffré, les journaux d’accès contiennent deux entrées pour une transaction :

• TUNNEL ou CONNECT selon le type de demande traitée.

• La méthode HTTP et l’URL déchiffrée. Par exemple, « GET https://ftp.exemple.com ».

L’URL complète n’est visible que lorsque le proxy HTTPS déchiffre le trafic.

AsyncOS pour le Web envoie un e-mail critique aux destinataires des alertes configurés lorsque le processus de journalisation interne abandonne les événements de transaction Web en raison d’une mémoire tampon pleine.

Par défaut, lorsque le proxy Web subit une charge très élevée, le processus de journalisation interne met en mémoire tampon les événements pour les enregistrer plus tard, lorsque la charge du proxy Web diminue. Quand la mémoire tampon de journalisation est complètement pleine, le proxy Web continue de traiter le trafic, mais le processus de journalisation n’enregistre pas certains événements dans les journaux d’accès ou dans le rapport de suivi Web. Cela peut se produire lors d’un pic du trafic Web.

Cependant, une mémoire tampon de journalisation pleine peut également se produire lorsque l’appliance est en dépassement de capacité pendant une période prolongée. AsyncOS pour le Web continue d’envoyer des e-mails critiques toutes les quelques minutes jusqu’à ce que le processus de journalisation ne supprime plus de données.

Le message critique contient le texte suivant :

Reporting Client: The reporting system is unable to maintain the rate of data being generated. Any new data generated will be lost. (Client de rapports : Le système de rapports n’est pas en mesure de maintenir le débit des données générées. Toutes les nouvelles données générées seront perdues.)

Si AsyncOS pour le Web envoie ce message critique de manière continue ou fréquente, l’appliance est peut-être en surcapacité. Communiquez avec l’assistance client de Cisco pour vérifier si vous avez besoin d’une capacité Secure Web Appliance supplémentaire.

Si vous souhaitez utiliser un analyseur de journaux tiers pour lire et analyser les journaux d’accès W3C, vous devrez peut-être inclure le champ « timestamp » (horodatage). Le champ timestamp (horodatage) de W3C affiche l’heure depuis l’époque UNIX et la plupart des analyseurs de journaux ne comprennent l’heure que dans ce format.

Lorsque le proxy HTTPS est activé, les politiques de déchiffrement prennent en charge toutes les décisions relatives aux politiques HTTPS. Vous ne pouvez plus définir l’appartenance à un groupe de politiques d’accès et de routage par HTTPS, et vous ne pouvez plus configurer les politiques d’accès pour bloquer les transactions HTTPS.

Si certaines appartenances à des groupes de politiques d’accès et de routage sont définies par HTTPS et si certaines politiques d’accès bloquent HTTPS, lorsque vous activez le proxy HTTPS, ces groupes de politiques d’accès et de routage sont désactivés. Vous pouvez choisir d’activer les politiques à tout moment, mais toutes les configurations liées à HTTPS sont supprimées.

• Certains fichiers Microsoft Office ne sont pas bloqués
• Le blocage des types d’objets exécutables DOS bloque les mises à jour pour Windows OneCare

La désactivation d’un profil d’identification supprime ce dernier des politiques associées. Vérifiez que le profil d’identification est activé, puis ajoutez-le à nouveau à la politique.

• La politique n’est jamais appliquée
• Les demandes HTTPS et FTP via HTTP correspondent uniquement aux politiques d’accès qui ne nécessitent pas d’authentification
• Politique globale de correspondances des utilisateurs pour les demandes HTTPS et FTP via HTTP
• Politique d’accès incorrecte attribuée à l’utilisateur

• À propos de l’outil de suivi des politiques

• Suivi des demandes des clients

• Avancé : Détails de la demande

• Avancé : Remplacements des détails des réponses

Il s’agit d’une liste partielle d’applications qui ne peuvent pas être utilisées lorsque Secure Web Appliance est déployé en mode transparent, car ils ne prennent pas en charge l’authentification.

• Mozilla Thunderbird

• Mises à jour d’Adobe Acrobat

• HttpBridge

• Subversion, par CollabNet

• Microsoft Windows Update

• Microsoft Visual Studio

Solution : Créez une classe d’utilisateurs pour l’URL qui ne nécessite pas d’authentification.

Lorsque la première requête client de l’utilisateur est une requête POST et que l’utilisateur doit toujours s’authentifier, le corps de la requête est perdu. Cela peut poser un problème lorsque la requête POST concerne une application avec la fonctionnalité de connexion unique de contrôle d’accès utilisée.

Solutions :

• Demandez aux utilisateurs de s’authentifier d’abord auprès du proxy Web en demandant une autre URL dans le navigateur avant de se connecter à une URL qui utilise POST comme première demande.

• Contournez l’authentification pour les URL qui utilisent POST comme première requête.

Note	Lorsque vous utilisez le contrôle d’accès, vous pouvez contourner l’authentification pour l’URL du service d’assertion aux consommateurs (ACS) configurée dans la politique d’authentification de l’application.

Si l’appliance et le proxy en amont utilisent l’authentification avec NTLMSSP, selon les configurations, l’appliance et le proxy en amont peuvent s’engager dans une boucle infinie de demande d’informations d’authentification. Par exemple, si le proxy en amont nécessite une authentification de base, mais que l’appliance nécessite une authentification NTLMSSP, l’appliance ne pourra jamais transmettre avec succès les informations d’authentification de base au proxy en amont. Cela est dû aux limites des protocoles d’authentification.

Configuration :

• Secure Web Appliance et le serveur proxy en amont utilise l’authentification de base.

• Le chiffrement des informations d’authentification est activé sur le Secure Web Appliance en aval.

Les demandes des clients échouent sur le proxy en amont, car le proxy Web reçoit un en-tête HTTP « Authorization » des clients, mais le serveur proxy en amont nécessite un en-tête HTTP « Proxy-Authorization ».

Si votre réseau contient un proxy en amont qui ne prend pas en charge les connexions FTP, vous devez créer une politique de routage qui s’applique à toutes les identités et uniquement aux demandes FTP. Configurez cette politique de routage pour accéder directement aux serveurs FTP ou à un groupe de proxy dont tous les proxys soutiennent les connexions FTP.

Les actions suivantes sur votre hôte virtuel équivalent au débranchement d’une appliance matérielle et ne sont pas prises en charge, en particulier au démarrage d’AsyncOS :

• Dans KVM, l’option Force Reset (Réinitialisation forcée).
• Dans VMWare, les options Power Off et Reset (Arrêt et réinitialisation). (Ces options peuvent être utilisées en toute sécurité une fois que l’appliance est complètement installée.)

Problème

La connectivité réseau est perdue après avoir fonctionné précédemment.

Solution

Il s’agit d’un problème lié à KVM. Reportez-vous à la section « KVM : La connectivité réseau fonctionne initialement, puis échoue » dans la documentation d’OpenStack à l’adresse http://docs.openstack.org/admin-guide-cloud/content/section_network-troubleshoot.html

Problème

Les performances de l’appliance sont lentes, des problèmes de supervision se produisent et l’appliance affiche une utilisation du processeur inhabituellement élevée lors de l’exécution sur une machine virtuelle Ubuntu.

Solution

Installez les dernières mises à jour du système d’exploitation de l’hôte à partir d’Ubuntu.

Problème

Les problèmes liés aux appliances virtuelles fonctionnant sur les déploiements KVM peuvent être liés à des problèmes de configuration du système d’exploitation de l’hôte.

Solution

Consultez la section de dépannage et d’autres informations dans le Guide de déploiement et d’administration de la virtualisation, disponible à l’adresse suivante :

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/pdf/ Virtualization_Deployment_and_Administration_Guide/Red_Hat_Enterprise_Linux-7- Virtualization_Deployment_and_Administration_Guide-en-US.pdf.

Dans les déploiements qui font appel à WCCP, le nombre maximal d’entrées de port est de 30 pour les ports HTTP, HTTPS et FTP combinés.

L’appliance enregistre l’activité du paquet capturée dans un fichier et stocke le fichier localement. Vous pouvez envoyer des fichiers de capture de paquets par FTP au service à la clientèle de Cisco à des fins de débogage et de dépannage.

• Téléchargement ou suppression de fichiers de capture de paquets

Avant de communiquer avec le service d’assistance :

• Activez les champs de journalisation personnalisés comme décrit dans Bonnes pratiques en matière de résolution des problèmes d’ordre général.
• Pensez à effectuer une capture de paquets. Consultez Capture de paquets.

Si vous déposez une demande d’assistance pour une appliance virtuelle de sécurité de contenu Cisco, vous devez fournir votre numéro de licence virtuelle (VLN), votre numéro de contrat et votre code d’identification de produit (PID).

Vous pouvez identifier votre PID en fonction des licences logicielles s’exécutant sur votre appliance virtuelle, en vous reportant à votre bon de commande ou en consultant le tableau suivant :