uitgeven
Op Cisco Secure Firewall Firepower-platforms (versies 7.6.4, 7.7 en 10.0.0), wanneer meerdere SSH-sessies actief zijn op hetzelfde apparaat, wordt het uitvoeren van een langlopende opdracht (zoals een continue ping) in één sessie met behulp van de CLISH CLI blokkeert andere CLI-opdrachten uit te voeren in andere sessies of CLISH. Als een beheerder bijvoorbeeld een continue ping start in één SSH CLISH-sessie en probeert show-opdrachten uit te voeren in een andere CLISH-sessie, blijven de volgende opdrachten hangen totdat de langlopende opdracht is voltooid of is afgebroken. In bepaalde versies kan de langlopende ping niet worden afgebroken uit CLISH, wat leidt tot een CLISH- of implementatievergrendeling. Door de expertmodus of de LINA-engine rechtstreeks te gebruiken (via systeemondersteuning diagnostische-cli) kunt u werken zonder dit blokkeringsgedrag.
milieu
- Cisco Secure Firewall Firepower hardwareplatforms: 1000-, 1200- en 4200-reeks
- Softwareversies: 7.6.4, 7.7, 10.0.0
- Meerdere SSH-sessies (dezelfde of verschillende gebruikers) op hetzelfde apparaat
- CLISH CLI-interface
- Expert-modus en gebruik van diagnostische LINA-CLI
- Getest met opdrachten: ping, traceroute,
show sip, show ip, show conn, show xlate
- Probleem gereproduceerd op FPR1010-, FPR1200- en FPR4200-apparaten
- Gerelateerde defecten: CSCws82823, CSCwb84748
resolutie
Het probleem toont deze symptomen:
- Stel twee SSH-sessies in op het apparaat met verschillende of identieke gebruikersreferenties.
- Voer in sessie 1 een langlopende ping uit met een hoog aantal herhalingen vanaf de FTD CLISH-prompt.
> ping 1.1.1.1 repeat 2000
LET OP: Als u het testen, probeer dit met kleinere tellingsnummers, zoals een nummer als 2000 kan uren duren om te voltooien.
OPMERKING: Een ping/traceroute in CLISH toont geen voortgangskarakters zoals normaal gesproken direct te zien is in de LINA CLI.
- Probeer in sessie 2 een andere LINA-opdracht in CLISH uit te voeren, zoals "show sip".
> show sip
- De opdracht in sessie 2 wordt pas voltooid als de ping in sessie 1 is voltooid of is afgebroken.
Deze resolutie is beschikbaar:
- Sluit de eerste verlengde opdracht af met Ctrl+C om blokkering en vastlopen van CLISH-implementatie te voorkomen.
- In getroffen versies kunnen langlopende pings in CLISH niet worden afgebroken door Ctrl+C of door de SSH-sessie te sluiten.
- Als u dit probeert, wordt het back-endproces voortgezet en blijft CLISH vergrendeld voor andere LINA-opdrachten.
- Als de FTD in een dergelijke toestand wordt aangetroffen, of als wordt vermoed dat de FTD een dergelijke toestand is binnengekomen met een vastzittende, langdurige ping, is een herstart van de FTD noodzakelijk om te herstellen.
- Als u wilt voorkomen dat CLISH/implementatie vastloopt, voert u LINA-opdrachten rechtstreeks uit met de LINA-engine. Deze methode vertoont het defecte gedrag niet.
> system support diagnostic-cli
firepower# ping 1.1.1.1 repeat 2000
- Opdrachten die via de diagnostische LINA-CLI worden uitgevoerd, blokkeren CLISH of implementatieprocessen in andere sessies niet. Diagnostische cli voor systeemondersteuning staat echter slechts één CLI-gebruiker per sessie toe.
Aanvullende overwegingen en opmerkingen:
- Opdrachten voor traceroute kunnen meestal worden afgebroken in CLISH, maar kunnen nog steeds leiden tot tijdelijke stillegging (~3 minuten) voor nieuwe LINA-opdrachten in andere sessies.
- Implementatiebewerkingen die zijn gestart vanuit het Secure Firewall Management Center of Apparaatbeheer kunnen worden uitgesteld of geblokkeerd als een langlopende ping actief is in CLISH, omdat beide processen synchrone methoden gebruiken en wachten op voltooiing (maximaal 10 minuten).
- Dit blokkeergedrag is ontworpen voor synchrone procesbewerkingen; het onvermogen om af te breken werd echter geïntroduceerd door het defect.
Oorzaak
De hoofdoorzaak is een defect (Cisco Bug ID CSCws82823) dat per ongeluk de vereiste code heeft verwijderd uit bepaalde CLI-opdrachten in CLISH, waardoor de LINA-engine langlopende opdrachten niet goed kan herkennen en beheren. Dit resulteerde in het verlies van de Ctrl+C-afbreekfunctionaliteit en zorgde ervoor dat CLISH werd vergrendeld, waardoor andere opdrachten en implementatiebewerkingen werden geblokkeerd totdat de langlopende opdracht was voltooid. Het blokkeringsgedrag is te wijten aan de synchrone aard van de CLISH-opdrachtverwerking.
Verwante inhoud
Feedback