La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
In questo documento viene descritto come risolvere i problemi relativi a Cisco Secure Firewall Threat Defense (FTD) che non risponde sulle piattaforme hardware 1xxx, 12xx, 21xx, 31xx, 41xx, 42xx e 93xx.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
In alcuni casi, un dispositivo Cisco FTD può non rispondere. I sintomi tipici includono:
Notate che, a seconda della situazione, alcuni di loro non saranno presenti. È possibile, ad esempio, che il traffico di transito venga attraversato, ma solo l'accesso alla gestione non funziona.
In questa sezione vengono illustrati i passaggi e le azioni consigliati che è necessario eseguire. È possibile fornire queste informazioni a Cisco TAC per un'ulteriore analisi.
Riprodurre un video o un'immagine dei LED del pannello anteriore. Di seguito sono riportati alcuni esempi in cui tutti i LED sono chiaramente visibili:
Nella foto successiva, il LED SYS indica un problema con il dispositivo:
Per ulteriori informazioni sul LED, consultare la guida hardware del modello del dispositivo, ad esempio:
Modello |
Informazioni LED |
1010 |
|
1100 |
|
1210CE, 1210CP, 1220CX |
|
1230, 1240, 1250 |
|
2100 |
|
3100 |
|
4110, 4120, 4140, 4150 |
|
4112, 4115, 4125, 4145 |
|
4200 |
|
9300 |
Riprendere un video o un'immagine dei LED sul pannello posteriore, ad esempio:
Se i LED di alimentazione non sono accesi:
Verificare che le ventole sul retro dell'accessorio siano in funzione.
Verificare eventuali rumori o odori provenienti dal dispositivo.
Verificare che le porte di gestione e la console siano collegate correttamente. Se il problema riguarda solo la porta di gestione, provare a modificare l'SFP (se applicabile) e il cavo di rete.
Provare a eseguire il ping (ICMP) sull'IP di gestione del dispositivo.
Controllare lo stato delle porte dei dispositivi adiacenti, ad esempio:
switch# show interface description | i FW-4215-1
Gi7/1 up up FW-4215-1 ETH1/1
Gi7/2 up up FW-4215-1 ETH1/2
Gi7/3 up up FW-4215-1 MGMT
In caso di elevata disponibilità (HA) o configurazione di un cluster, raccogliere un bundle per la risoluzione dei problemi dai dispositivi peer.
Collegare un laptop alla porta della console e copiare tutti i messaggi visualizzati. Provare a premere i tasti su/giù della tastiera o il tasto PGSU per visualizzare tutti i messaggi sullo schermo.
Con un notebook collegato alla porta della console:
Si noti che se il dispositivo non è stato spento normalmente e funzionava (i LED del pannello anteriore erano accesi), il riavvio a freddo può causare il danneggiamento del database. Se il riavvio a freddo richiama il dispositivo, raccogliere un pacchetto di risoluzione dei problemi e contattare Cisco TAC.
Se il dispositivo viene ripristinato e gestito da un FMC, selezionare Sistema> Integrità > Monitor, quindi selezionare il dispositivo. Concentrarsi sui grafici evidenziati per comprendere lo stato del dispositivo prima di diventare inattivo (ad esempio, memoria elevata, CPU elevata, utilizzo del disco elevato e così via).
scenario non lavorativo (4100):
FW4100# show server storage
Server 1/1:
RAID Controller 1:
Type: SATA
Vendor: Cisco Systems Inc
Model: FPR4K-PT-01
Serial: JAD12345678
HW Revision:
PCI Addr: 00:31.2
Raid Support:
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Unknown
Local Disk 1:
Vendor: Micron
Model: 5300 MTFD
Serial: MSA123456AB
HW Rev:
Operability: N/A
Presence: Missing <-----
Size (MB): 200000
Drive State: Online
Power State: Active
Link Speed: 6 Gbps
Device Type: SSD
Local Disk Config Definition:
Mode: NO RAID
Description:
Protect Configuration: No
Esempio di output da 3100 in cui il disco è in funzione:
FW3105# show server storage
Server 1/1:
Disk Controller 1:
Type: SOFTRAID
Vendor: Cisco Systems Inc
Model: FPR_SOFTRAID
HW Revision:
PCI Addr:
Raid Support: raid1
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Optimal
Local Disk 1:
Presence: Equipped
Model: SAMSUNG MZQL2960HCJR-00A07
Serial: S64FNT0AB12345
Operability: Operable <---
Size (MB): 858306
Device Type: SSD
Firmware Version: GDC5A02Q
Virtual Drive 1:
Type: Raid
Blocks: 878906048
Operability: Degraded
Presence: Equipped
Size (MB): 858306
Drive State: Degraded
Esempio di output da 4100 dove il disco è operativo:
FW4125# show server storage
Server 1/1:
RAID Controller 1:
Type: SATA
Vendor: Cisco Systems Inc
Model: FPR4K-PT-01
Serial: JAD1234567
HW Revision:
PCI Addr: 00:31.2
Raid Support:
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Unknown
Local Disk 1:
Vendor: TOSHIBA
Model: KHK61RSE
Serial: 11BS1234567AB
HW Rev: 0
Operability: Operable
Presence: Equipped
Size (MB): 800000
Drive State: Online
Power State: Active
Link Speed: 6 Gbps
Device Type: SSD
Local Disk Config Definition:
Mode: No RAID
Description:
Protect Configuration: No
Se il dispositivo firewall viene ripristinato e si desidera analizzare i log back-end, generare un pacchetto di risoluzione dei problemi e controllare i file menzionati nella tabella. Si noti che:
Percorso file nel pacchetto di risoluzione dei problemi |
Descrizione/Suggerimenti |
Disponibile su |
Pacchetto TS FTD: /dir-archives/var-log/messages* |
Durante uno spegnimento regolare viene visualizzata la stringa "syslog-ng shutting down". All'avvio del dispositivo viene visualizzata la stringa "syslog-ng Starting up" (avvio di syslog). |
FTD |
Pacchetto TS FTD: /dir-archives/var-log/ASAconsole.log Nel caso di ASA sugli switch 4100/9300, il file è disponibile anche nel bundle del modulo all'indirizzo /opt/cisco/platform/logs/ASAconsole.log |
Cercare errori, errori, errori e così via. |
ASA, FTD |
Pacchetto TS FTD: /dir-archives/var-log/dmesg.log |
Cercare errori, errori, errori e così via. |
FTD |
Pacchetto TS FTD: /dir-archives/var/log/ngfwManager.log* |
Cercare errori, errori, errori e così via. Questo file contiene anche informazioni sugli eventi HA/Cluster. |
FTD |
Pacchetto TS FTD: /command-outputs/LINA_troubleshoot/show_tech_output.txt |
L'output di "show failover history" e "show cluster" può fornire ulteriori informazioni sulla sequenza degli eventi. |
FTD |
Pacchetto TS FTD: /command-outputs/ Nomi file: · per CORE in `ls opt-cisco-csp-cores _ grep core`_ do file -opt-cisco-csp-cores-_{CORE}_ done.output · per CORE in `ls var-common _ grep core`_ do file var-common-_{CORE}_ done.output · per CORE in `ls var-data-cores _ grep core`_ do file -var-data-cores-_{CORE}_ done.output |
Verificare la presenza di potenziali file di base (traceback). |
FTD |
Pacchetto TS FTD: /dir-archives/var/log/crashinfo/snort3-crashinfo.* |
Controllare i file Snort3 crashinfo. |
FTD |
Pacchetto TS FTD: /dir-archives/var/log/process_stderr.log* |
Verifica la presenza di backtrace (ad esempio, ID bug Cisco CSCwh25406) |
FTD |
Pacchetto TS FTD: /dir-archives/var/log/periodic_stats/ |
La directory contiene più file che possono fornire informazioni dettagliate sull'ora dell'incidente. |
FTD |
Pacchetto FPRM: supporto tecnico |
Controllare le uscite di visualizzazione dei dettagli del guasto. |
ASA, FTD |
Pacchetto FPRM: /opt/cisco/platform/logs/kern.log |
Cercare errori, errori, errori e così via. |
ASA, FTD |
Pacchetto FPRM: /opt/cisco/platform/logs/messages* |
Cercare errori, errori, errori e così via. |
ASA, FTD |
Pacchetto FPRM: /opt/cisco/platform/logs/mce.log Lo stesso file è presente anche nel bundle del modulo (41xx, 93xx). |
Questo è il file Machine Check Exceptions (mce). Cercare errori, errori, errori e così via. |
ASA, FTD |
Pacchetto FPRM: /opt/cisco/platform/logs/portmgr.out |
Cercare errori, errori, errori e così via. |
ASA, FTD |
Pacchetto FPRM: /opt/cisco/platform/logs/sysmgr/logs/kp_init.log: |
Cercare errori, errori, errori e così via. |
ASA, FTD |
Pacchetto FPRM: /opt/cisco/platform/logs/ssp-pm.log Lo stesso file è presente anche nel bundle del modulo (41xx, 93xx). |
Cercare errori, errori, errori e così via. |
ASA, FTD |
Pacchetto FPRM: /opt/cisco/platform/logs/sma.log Lo stesso file è presente anche nel bundle del modulo (41xx, 93xx). |
Cercare errori, errori, errori e così via. |
ASA, FTD |
Pacchetto FPRM: /opt/cisco/platform/logs/heimdall.log |
Cercare errori, errori, errori e così via. |
ASA, FTD |
Pacchetto FPRM: /opt/cisco/platform/logs/ssp-shutdown.log Lo stesso file è presente anche nel bundle del modulo (41xx, 93xx). |
Contiene l'output di ps, top e poche righe di dmesg all'avvio del riavvio o dell'arresto. Disponibile su 1000/2100/3100/4200. |
ASA, FTD |
Pacchetto FPRM: /opt/cisco/platform/logs/sysmgr/sam_logs/svc_sam_dme.log* |
Cercare errori, errori, errori e così via. |
ASA, FTD |
Pacchetto FPRM: /opt/cisco/platform/logs/sysmgr/sam_logs/svc_sam_envAG.log* |
Cercare errori, errori, errori e così via. |
ASA, FTD |
Pacchetto CIMC (41xx, 93xx): /obfl/obfl-log* |
Cercare errori, errori, errori e così via. |
ASA, FTD |
Pacchetto CIMC (41xx, 93xx): /CIMC1_TechSupport.tar.gz/CIMC1_TechSupport.tar/tmp/techsupport_pid*/CIMC1_TechSupport-nvram.tar.gz/CIMC1_TechSupport-nvram.tar/nv/etc/log/eng-repo/messages* |
Cercare errori, errori, errori e così via. Specialmente per CATERR |
ASA, FTD |
Pacchetto modulo (41xx, 93xx): /tmp/mount_media.log/mount_media.log |
Cercare errori, errori, errori e così via. |
ASA, FTD |
Se un'interfaccia specifica non risponde, acquisire le clip sul firewall e sul dispositivo adiacente. È possibile fare riferimento a questo documento per i dettagli:
Inoltre, assicuratevi che le tabelle ARP e CAM dei dispositivi adiacenti siano correttamente popolate.
Oltre agli elementi sopra indicati, si raccomanda vivamente di fornire anche queste informazioni:
15 bis. Se il dispositivo è stato ripristinato, raccogliere un bundle per la risoluzione dei problemi (per i dettagli, vedere il punto 13).
15 ter. Se il dispositivo non risponde, fornire le seguenti informazioni:
15 quater. Ora approssimativa (data/ora) in cui il dispositivo non risponde.
15g Tempo di attività approssimativo del dispositivo prima che non risponda.
15 sexies. Si tratta di una nuova installazione o di una configurazione esistente?
15 septies. Qual è stata l'ultima azione eseguita prima che il dispositivo non rispondesse?
15 g I syslog del data plane (LINA) del firewall risalgono al momento in cui il dispositivo non risponde (provare a recuperare i log a partire da circa 5 minuti prima dell'incidente). È buona norma configurare i syslog al livello 6 (Informativo).
15 h. e Nel caso in cui sia stato configurato un server syslog sullo chassis (FXOS su 4100/9300), fornire i registri (a partire da circa 5 minuti prima dell'incidente).
15 decies. Registri di sistema dai dispositivi adiacenti dal momento dell'incidente.
15 undecies. Diagramma topologico che mostra le connessioni fisiche tra il dispositivo firewall e i dispositivi adiacenti.
Se ci si connette alla console e si vede:
Software Error: Exception during execution: [Error: Timed out communicating with DME]
Nella maggior parte dei casi, ciò indica un problema software.
Azione consigliata: Contatta Cisco TAC
Questo output viene generato da un accessorio hardware serie 4100/9300 in cui viene generato un errore relativo al disco:
Azione consigliata: Provare a riposizionare il disco SSD. Se l'operazione non riesce, raccogliere il bundle per la risoluzione dei problemi dello chassis e contattare Cisco TAC.
Azione consigliata: Per risolvere temporaneamente il problema, è necessario un ciclo di alimentazione dello chassis 4100/9300. Per i dettagli, controllare l'ID bug Cisco CSCvx9172 e verificare una versione con correzione. (Field Notice: Appliance di sicurezza serie FPR72077 - FPR9300 e FPR4100 - Alcuni appliance potrebbero non riuscire a superare il traffico dopo 3,2 anni di operatività).
Lo spazio su disco insufficiente nel firewall può rendere il dispositivo inattivo. Se il dispositivo è gestito da FMC, è possibile ricevere avvisi di integrità simili a quelli riportati di seguito:
Azione consigliata: Se FMC e FTD sono in esecuzione sul software 7.7.0 o versioni successive, provare a liberare spazio su disco utilizzando la procedura documentata all'indirizzo https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/admin/770/management-center-admin-77/health-troubleshoot.html#clear-disk-space
Se ciò non è possibile o non aiuta, contattare Cisco TAC.
Azione consigliata: Eseguire l'aggiornamento a una versione software in cui è disponibile una correzione per:
ID bug Cisco CSCwm14729 CSF serie 3100 non si riavvia dopo un'interruzione dell'alimentazione, che richiede un ciclo di alimentazione manuale.
Azione consigliata: Sostituzione dei componenti DIMM o sostituzione dell'appliance di sicurezza
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
17-Jul-2025
|
Versione iniziale |