Risoluzione dei problemi relativi a Cisco Secure Firewall che non risponde
Sommario
Introduzione
In questo documento viene descritto come risolvere i problemi relativi a Cisco Secure Firewall Threat Defense (FTD) che non risponde sulle piattaforme hardware 1xxx, 12xx, 21xx, 31xx, 41xx, 42xx e 93xx.
Prerequisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Nozioni fondamentali di Cisco Secure FTD (installazione/configurazione).
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Cisco Secure Firewall Threat Defense
- Cisco Secure Firewall Management Center
- Sistema operativo Cisco Firepower eXtensible (FXOS)
Componenti usati
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
In alcuni casi, un dispositivo Cisco FTD può non rispondere. I sintomi tipici includono:
- Nessun accesso SSH.
- Nessun accesso alla console.
- L'accesso alla console funziona, ma non le credenziali di accesso.
- Il traffico di transito non passa attraverso il dispositivo.
- Interfacce inattive (gestione o dati).
- I LED sono spenti o giallo (lampeggianti o pieni).
- Il modulo sicuro (4100, 9300) non risponde.
Notate che, a seconda della situazione, alcuni di loro non saranno presenti. È possibile, ad esempio, che il traffico di transito venga attraversato, ma solo l'accesso alla gestione non funziona.
Risoluzione dei problemi
In questa sezione vengono illustrati i passaggi e le azioni consigliati che è necessario eseguire. È possibile fornire queste informazioni a Cisco TAC per un'ulteriore analisi.
Passaggio 1: Ispezione visiva (pannello anteriore)
Riprodurre un video o un'immagine dei LED del pannello anteriore. Di seguito sono riportati alcuni esempi in cui tutti i LED sono chiaramente visibili:
Nella foto successiva, il LED SYS indica un problema con il dispositivo:
Per ulteriori informazioni sul LED, consultare la guida hardware del modello del dispositivo, ad esempio:
|
Modello |
Informazioni LED |
|
1010 |
|
|
1100 |
|
|
1210CE, 1210CP, 1220CX |
|
|
1230, 1240, 1250 |
|
|
2100 |
|
|
3100 |
|
|
4110, 4120, 4140, 4150 |
|
|
4112, 4115, 4125, 4145 |
|
|
4200 |
|
|
9300 |
Passaggio 2: Ispezione visiva (pannello posteriore)
Riprendere un video o un'immagine dei LED sul pannello posteriore, ad esempio:
Se i LED di alimentazione non sono accesi:
- Provare a ricollocare gli alimentatori (se applicabile).
- Se possibile, sostituire l'alimentatore.
Passaggio 3: Controlli delle ventole
Verificare che le ventole sul retro dell'accessorio siano in funzione.
Passaggio 4: Controlli dell'ambiente fisico
Verificare eventuali rumori o odori provenienti dal dispositivo.
Passaggio 5: Controlli delle porte di console e gestione
Verificare che le porte di gestione e la console siano collegate correttamente. Se il problema riguarda solo la porta di gestione, provare a modificare l'SFP (se applicabile) e il cavo di rete.
Passaggio 6: Test connettività IP di gestione
Provare a eseguire il ping (ICMP) sull'IP di gestione del dispositivo.
Passaggio 7: Controlli dispositivi adiacenti
Controllare lo stato delle porte dei dispositivi adiacenti, ad esempio:
switch# show interface description | i FW-4215-1
Gi7/1 up up FW-4215-1 ETH1/1
Gi7/2 up up FW-4215-1 ETH1/2
Gi7/3 up up FW-4215-1 MGMT
Passaggio 8: Controlli dispositivi HA/cluster
In caso di elevata disponibilità (HA) o configurazione di un cluster, raccogliere un bundle per la risoluzione dei problemi dai dispositivi peer.
Passaggio 9: Raccogli registri console
Collegare un laptop alla porta della console e copiare tutti i messaggi visualizzati. Provare a premere i tasti su/giù della tastiera o il tasto PGSU per visualizzare tutti i messaggi sullo schermo.
Passaggio 10: Eseguire un riavvio a freddo
Con un notebook collegato alla porta della console:
- Scollegare tutti i cavi di alimentazione e attendere alcuni minuti prima di ricollegarli.
- In caso di configurazione di failover o di configurazione di cluster, per ridurre al minimo il rischio di instabilità di Active/Active o Cluster, è possibile scollegare o arrestare il dispositivo di switch adiacente da tutte le interfacce dati dell'unità interessata, inclusi i collegamenti HA o CCL.
- Quindi, ricollegare i cavi di alimentazione e accendere il dispositivo.
- Attendere circa 5 minuti.
- Raccoglie l'output della console.
Si noti che se il dispositivo non è stato spento normalmente e funzionava (i LED del pannello anteriore erano accesi), il riavvio a freddo può causare il danneggiamento del database. Se il riavvio a freddo richiama il dispositivo, raccogliere un pacchetto di risoluzione dei problemi e contattare Cisco TAC.
Passaggio 11: Raccogliere i grafici di Health Monitor da FMC
Se il dispositivo viene ripristinato e gestito da un FMC, selezionare Sistema> Integrità > Monitor, quindi selezionare il dispositivo. Concentrarsi sui grafici evidenziati per comprendere lo stato del dispositivo prima di diventare inattivo (ad esempio, memoria elevata, CPU elevata, utilizzo del disco elevato e così via).
Passaggio 12: Verifica problemi del disco
scenario non lavorativo (4100):
FW4100# show server storage
Server 1/1:
RAID Controller 1:
Type: SATA
Vendor: Cisco Systems Inc
Model: FPR4K-PT-01
Serial: JAD12345678
HW Revision:
PCI Addr: 00:31.2
Raid Support:
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Unknown
Local Disk 1:
Vendor: Micron
Model: 5300 MTFD
Serial: MSA123456AB
HW Rev:
Operability: N/A
Presence: Missing <-----
Size (MB): 200000
Drive State: Online
Power State: Active
Link Speed: 6 Gbps
Device Type: SSD
Local Disk Config Definition:
Mode: NO RAID
Description:
Protect Configuration: No
Esempio di output da 3100 in cui il disco è in funzione:
FW3105# show server storage
Server 1/1:
Disk Controller 1:
Type: SOFTRAID
Vendor: Cisco Systems Inc
Model: FPR_SOFTRAID
HW Revision:
PCI Addr:
Raid Support: raid1
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Optimal
Local Disk 1:
Presence: Equipped
Model: SAMSUNG MZQL2960HCJR-00A07
Serial: S64FNT0AB12345
Operability: Operable <---
Size (MB): 858306
Device Type: SSD
Firmware Version: GDC5A02Q
Virtual Drive 1:
Type: Raid
Blocks: 878906048
Operability: Degraded
Presence: Equipped
Size (MB): 858306
Drive State: Degraded
Esempio di output da 4100 dove il disco è operativo:
FW4125# show server storage
Server 1/1:
RAID Controller 1:
Type: SATA
Vendor: Cisco Systems Inc
Model: FPR4K-PT-01
Serial: JAD1234567
HW Revision:
PCI Addr: 00:31.2
Raid Support:
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Unknown
Local Disk 1:
Vendor: TOSHIBA
Model: KHK61RSE
Serial: 11BS1234567AB
HW Rev: 0
Operability: Operable
Presence: Equipped
Size (MB): 800000
Drive State: Online
Power State: Active
Link Speed: 6 Gbps
Device Type: SSD
Local Disk Config Definition:
Mode: No RAID
Description:
Protect Configuration: No
Passaggio 13: Analisi del registro
Se il dispositivo firewall viene ripristinato e si desidera analizzare i log back-end, generare un pacchetto di risoluzione dei problemi e controllare i file menzionati nella tabella. Si noti che:
- Sulle piattaforme 1xxx, 12xx, 21xx (modalità accessorio), 31xx, 42xx, il pacchetto di risoluzione dei problemi FTD contiene anche il bundle chassis (FPRM) di FXOS nel percorso \dir-archives\var-common-platform_ts\. È necessario estrarre il contenuto del fascio FPRM.
- sugli switch serie 3100/4200 in modalità a più istanze (MI), raccogliere il file TS dello chassis dall'interfaccia utente di FMC o dalla CLI dello chassis (visualizzare i dettagli del modulo di supporto tecnico dall'ambito del comando local-mgmt) come descritto in https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html#toc-hId-2132091400.
- Sulle piattaforme 41xx e 93xx, è necessario generare il bundle dello chassis separatamente dall'interfaccia utente dello chassis o dalla CLI di FXOS come descritto in https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html#toc-hId-2132091400
- Per le piattaforme di dispositivi 4100 e 9300, è necessario raccogliere i bundle per la risoluzione dei problemi di FXOS e FTD. Per tutte le altre piattaforme, il bundle per la risoluzione dei problemi di FTD è sufficiente perché contiene anche il bundle per la risoluzione dei problemi di FXOS.
- Per l'ASA, l'output del comando 'show tech-support' dopo il ripristino non è molto utile. È necessario affidarsi al pacchetto di risoluzione dei problemi FXOS.
- Rispetto ad altre piattaforme, su 41xx, 93xx sono disponibili due pacchetti per la risoluzione dei problemi: chassis (BC1) e bundle del modulo.
- Il bundle dello chassis (BC1) su 41xx, 93xx, contiene, tra gli altri, i bundle FPRM e CIMC.
- Il bundle del modulo su 41xx, 93xx contiene principalmente registri FXOS dal blade.
- Se è installata un'ASA, è necessario basarsi solo sui pacchetti di chassis, FPRM e moduli (quando applicabile) e sull'output del comando "show tech-support" restituito dall'appliance ASA.
- A seconda della piattaforma e dell'incidente, non tutti i file saranno presenti.
|
Percorso file nel pacchetto di risoluzione dei problemi |
Descrizione/Suggerimenti |
Disponibile su |
|
Pacchetto TS FTD: /dir-archives/var-log/messages* |
Durante uno spegnimento regolare viene visualizzata la stringa "syslog-ng shutting down". All'avvio del dispositivo viene visualizzata la stringa "syslog-ng Starting up" (avvio di syslog). |
FTD |
|
Pacchetto TS FTD: /dir-archives/var-log/ASAconsole.log Nel caso di ASA sugli switch 4100/9300, il file è disponibile anche nel bundle del modulo all'indirizzo /opt/cisco/platform/logs/ASAconsole.log |
Cercare errori, errori, errori e così via. |
ASA, FTD |
|
Pacchetto TS FTD: /dir-archives/var-log/dmesg.log |
Cercare errori, errori, errori e così via. |
FTD |
|
Pacchetto TS FTD: /dir-archives/var/log/ngfwManager.log* |
Cercare errori, errori, errori e così via. Questo file contiene anche informazioni sugli eventi HA/Cluster. |
FTD |
|
Pacchetto TS FTD: /command-outputs/LINA_troubleshoot/show_tech_output.txt |
L'output di "show failover history" e "show cluster" può fornire ulteriori informazioni sulla sequenza degli eventi. |
FTD |
|
Pacchetto TS FTD: /command-outputs/ Nomi file: · per CORE in `ls opt-cisco-csp-cores _ grep core`_ do file -opt-cisco-csp-cores-_{CORE}_ done.output · per CORE in `ls var-common _ grep core`_ do file var-common-_{CORE}_ done.output · per CORE in `ls var-data-cores _ grep core`_ do file -var-data-cores-_{CORE}_ done.output |
Verificare la presenza di potenziali file di base (traceback). |
FTD |
|
Pacchetto TS FTD: /dir-archives/var/log/crashinfo/snort3-crashinfo.* |
Controllare i file Snort3 crashinfo. |
FTD |
|
Pacchetto TS FTD: /dir-archives/var/log/process_stderr.log* |
Verifica la presenza di backtrace (ad esempio, ID bug Cisco CSCwh25406) |
FTD |
|
Pacchetto TS FTD: /dir-archives/var/log/periodic_stats/ |
La directory contiene più file che possono fornire informazioni dettagliate sull'ora dell'incidente. |
FTD |
|
Pacchetto FPRM: supporto tecnico |
Controllare le uscite di visualizzazione dei dettagli del guasto. |
ASA, FTD |
|
Pacchetto FPRM: /opt/cisco/platform/logs/kern.log |
Cercare errori, errori, errori e così via. |
ASA, FTD |
|
Pacchetto FPRM: /opt/cisco/platform/logs/messages* |
Cercare errori, errori, errori e così via. |
ASA, FTD |
|
Pacchetto FPRM: /opt/cisco/platform/logs/mce.log Lo stesso file è presente anche nel bundle del modulo (41xx, 93xx). |
Questo è il file Machine Check Exceptions (mce). Cercare errori, errori, errori e così via. |
ASA, FTD |
|
Pacchetto FPRM: /opt/cisco/platform/logs/portmgr.out |
Cercare errori, errori, errori e così via. |
ASA, FTD |
|
Pacchetto FPRM: /opt/cisco/platform/logs/sysmgr/logs/kp_init.log: |
Cercare errori, errori, errori e così via. |
ASA, FTD |
|
Pacchetto FPRM: /opt/cisco/platform/logs/ssp-pm.log Lo stesso file è presente anche nel bundle del modulo (41xx, 93xx). |
Cercare errori, errori, errori e così via. |
ASA, FTD |
|
Pacchetto FPRM: /opt/cisco/platform/logs/sma.log Lo stesso file è presente anche nel bundle del modulo (41xx, 93xx). |
Cercare errori, errori, errori e così via. |
ASA, FTD |
|
Pacchetto FPRM: /opt/cisco/platform/logs/heimdall.log |
Cercare errori, errori, errori e così via. |
ASA, FTD |
|
Pacchetto FPRM: /opt/cisco/platform/logs/ssp-shutdown.log Lo stesso file è presente anche nel bundle del modulo (41xx, 93xx). |
Contiene l'output di ps, top e poche righe di dmesg all'avvio del riavvio o dell'arresto. Disponibile su 1000/2100/3100/4200. |
ASA, FTD |
|
Pacchetto FPRM: /opt/cisco/platform/logs/sysmgr/sam_logs/svc_sam_dme.log* |
Cercare errori, errori, errori e così via. |
ASA, FTD |
|
Pacchetto FPRM: /opt/cisco/platform/logs/sysmgr/sam_logs/svc_sam_envAG.log* |
Cercare errori, errori, errori e così via. |
ASA, FTD |
|
Pacchetto CIMC (41xx, 93xx): /obfl/obfl-log* |
Cercare errori, errori, errori e così via. |
ASA, FTD |
|
Pacchetto CIMC (41xx, 93xx): /CIMC1_TechSupport.tar.gz/CIMC1_TechSupport.tar/tmp/techsupport_pid*/CIMC1_TechSupport-nvram.tar.gz/CIMC1_TechSupport-nvram.tar/nv/etc/log/eng-repo/messages* |
Cercare errori, errori, errori e così via. Specialmente per CATERR |
ASA, FTD |
|
Pacchetto modulo (41xx, 93xx): /tmp/mount_media.log/mount_media.log |
Cercare errori, errori, errori e così via. |
ASA, FTD |
Passaggio 14: Clip
Se un'interfaccia specifica non risponde, acquisire le clip sul firewall e sul dispositivo adiacente. È possibile fare riferimento a questo documento per i dettagli:
Inoltre, assicuratevi che le tabelle ARP e CAM dei dispositivi adiacenti siano correttamente popolate.
Passaggio 15: Ulteriori informazioni da fornire a Cisco TAC
Oltre agli elementi sopra indicati, si raccomanda vivamente di fornire anche queste informazioni:
15 bis. Se il dispositivo è stato ripristinato, raccogliere un bundle per la risoluzione dei problemi (per i dettagli, vedere il punto 13).
15 ter. Se il dispositivo non risponde, fornire le seguenti informazioni:
- Informazioni hardware (modello).
- Informazioni sul software.
- Informazioni sul software del CCP (se applicabili).
- Installazione (Standalone/HA/Cluster).
15 quater. Ora approssimativa (data/ora) in cui il dispositivo non risponde.
15g Tempo di attività approssimativo del dispositivo prima che non risponda.
15 sexies. Si tratta di una nuova installazione o di una configurazione esistente?
15 septies. Qual è stata l'ultima azione eseguita prima che il dispositivo non rispondesse?
15 g I syslog del data plane (LINA) del firewall risalgono al momento in cui il dispositivo non risponde (provare a recuperare i log a partire da circa 5 minuti prima dell'incidente). È buona norma configurare i syslog al livello 6 (Informativo).
15 h. e Nel caso in cui sia stato configurato un server syslog sullo chassis (FXOS su 4100/9300), fornire i registri (a partire da circa 5 minuti prima dell'incidente).
15 decies. Registri di sistema dai dispositivi adiacenti dal momento dell'incidente.
15 undecies. Diagramma topologico che mostra le connessioni fisiche tra il dispositivo firewall e i dispositivi adiacenti.
Problemi comuni
Errore: Timeout durante la comunicazione con DME
Se ci si connette alla console e si vede:
Software Error: Exception during execution: [Error: Timed out communicating with DME]
Nella maggior parte dei casi, ciò indica un problema software.
Azione consigliata: Contatta Cisco TAC
Errore del disco: mancante o non funzionante
Questo output viene generato da un accessorio hardware serie 4100/9300 in cui viene generato un errore relativo al disco:
Azione consigliata: Provare a riposizionare il disco SSD. Se l'operazione non riesce, raccogliere il bundle per la risoluzione dei problemi dello chassis e contattare Cisco TAC.
Field Notice: FN72077 - FPR9300 e FPR4100
- Le appliance di sicurezza della serie FPR9300 e FPR4100 non superano più il traffico di rete.
- Gli utenti con credenziali valide non possono accedere alla console di gestione.
- CLI visualizza il messaggio di errore: "Errore software: Eccezione durante l'esecuzione: [Errore: Timeout durante la comunicazione con DME]
Azione consigliata: Per risolvere temporaneamente il problema, è necessario un ciclo di alimentazione dello chassis 4100/9300. Per i dettagli, controllare l'ID bug Cisco CSCvx9172 e verificare una versione con correzione.
(Field Notice: Appliance di sicurezza serie FPR72077 - FPR9300 e FPR4100 - Alcuni appliance potrebbero non riuscire a superare il traffico dopo 3,2 anni di operatività).
Utilizzo disco 100%
Lo spazio su disco insufficiente nel firewall può rendere il dispositivo inattivo. Se il dispositivo è gestito da FMC, è possibile ricevere avvisi di integrità simili a quelli riportati di seguito:
Azione consigliata: Se FMC e FTD sono in esecuzione sul software 7.7.0 o versioni successive, provare a liberare spazio su disco utilizzando la procedura documentata all'indirizzo https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/admin/770/management-center-admin-77/health-troubleshoot.html#clear-disk-space
Se ciò non è possibile o non aiuta, contattare Cisco TAC.
Il CSF 3100 non viene attivato dopo un'interruzione dell'alimentazione elettrica
Azione consigliata: Eseguire l'aggiornamento a una versione software in cui è disponibile una correzione per:
ID bug Cisco CSCwm14729 CSF serie 3100 non si riavvia dopo un'interruzione dell'alimentazione, che richiede un ciclo di alimentazione manuale.
Cisco Firepower serie 2100 Security Appliance: Alcune Unità Possono Riscontrare Errori Di Memoria
- Guasti DIMM entro 5 anni di servizio a causa di problemi di processo dei componenti
- FN correlato: https://www.cisco.com/c/en/us/support/docs/field-notices/741/fn74199.html
- ID bug Cisco correlato CSCwb74948
Azione consigliata: Sostituzione dei componenti DIMM o sostituzione dell'appliance di sicurezza
Riferimenti
- https://www.cisco.com/c/en/us/support/security/firepower-ngfw/products-installation-guides-list.html
- https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html#
- https://www.cisco.com/c/en/us/support/docs/field-notices/720/fn72077.html
- https://www.cisco.com/c/en/us/support/docs/security/adaptive-security-appliance-asa-software/216245-collection-of-core-files-from-a-firepowe.html#anc6
- https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
17-Jul-2025
|
Versione iniziale |
Feedback