De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document worden de aanbevolen stappen beschreven voor het oplossen van problemen met een FTD (Cisco Secure Firewall Threat Defense) die niet reageert op hardwareplatforms van 1xxx, 12xx, 21xx, 31xx, 41xx, 42xx en 93xx.
Cisco raadt kennis van de volgende onderwerpen aan:
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
In sommige gevallen kan een Cisco FTD-apparaat niet meer reageren. Typische symptomen zijn:
Houd er rekening mee dat, afhankelijk van de situatie, sommige van hen niet aanwezig zullen zijn. U kunt bijvoorbeeld doorgaand verkeer hebben, maar alleen beheerstoegang werkt niet.
In dit gedeelte worden de aanbevolen stappen en acties beschreven die u moet uitvoeren. U kunt deze informatie aan Cisco TAC verstrekken voor verdere analyse.
Maak een video of een foto van de LED's op het voorpaneel. Hier zijn enkele voorbeelden waarbij alle LED's duidelijk zichtbaar zijn:
In de volgende foto geeft de SYS-LED een apparaatprobleem aan:
U kunt de hardwaregids van uw apparaatmodel raadplegen voor aanvullende informatie over de LED, bijvoorbeeld:
Model |
LED-info |
1010 |
|
1100 |
|
1210CE, 1210CP, 1220CX |
|
1230, 1240, 1250 |
|
2100 |
|
3100 |
|
4110, 4120, 4140, 4150 |
|
4112, 4115, 4125, 4145 |
|
4200 |
|
9300 |
Maak bijvoorbeeld een video of een foto van de LED’s op het achterpaneel:
Als u geen LED's ziet branden:
Controleer of de ventilatoren aan de achterzijde van het toestel actief zijn.
Controleer of er geluid of geur afkomstig is van het apparaat.
Zorg ervoor dat de console- en beheerpoorten goed zijn aangesloten. Als het probleem zich alleen op de beheerpoort bevindt, probeert u de SFP (indien van toepassing) en de netwerkkabel te wijzigen.
Probeer het IP-beheer van het apparaat te pingen (ICMP).
Controleer de poortstatus van de aangrenzende apparaten, bijvoorbeeld:
switch# show interface description | i FW-4215-1
Gi7/1 up up FW-4215-1 ETH1/1
Gi7/2 up up FW-4215-1 ETH1/2
Gi7/3 up up FW-4215-1 MGMT
In het geval van een hoge beschikbaarheid (HA) of een clusteropstelling, verzamelt u een bundel voor probleemoplossing van het (de) peer-apparaat(en).
Sluit een laptop aan op de consolepoort en kopieer de getoonde berichten. Probeer de toetsen omhoog/omlaag of PageUp in te drukken om alle berichten op het scherm te zien.
Met een laptop aangesloten op de consolepoort:
Merk op dat als het apparaat niet sierlijk werd afgesloten en het apparaat operationeel was (de LED's op het voorpaneel waren ingeschakeld), de koude reboot een databasecorruptie kan veroorzaken. Als de koude reboot brengt het apparaat, het verzamelen van een troubleshoot bundel en contact opnemen met Cisco TAC.
Als het apparaat herstelt en wordt beheerd door een FMC, gaat u naar Systeem> Gezondheid > Monitor en selecteert u het apparaat. Focus op de gemarkeerde grafieken om te begrijpen wat de status van het apparaat was voordat het niet reageerde (bijvoorbeeld hoog geheugen, hoge CPU, hoog schijfgebruik, enzovoort).
Niet-werkend scenario (4100):
FW4100# show server storage
Server 1/1:
RAID Controller 1:
Type: SATA
Vendor: Cisco Systems Inc
Model: FPR4K-PT-01
Serial: JAD12345678
HW Revision:
PCI Addr: 00:31.2
Raid Support:
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Unknown
Local Disk 1:
Vendor: Micron
Model: 5300 MTFD
Serial: MSA123456AB
HW Rev:
Operability: N/A
Presence: Missing <-----
Size (MB): 200000
Drive State: Online
Power State: Active
Link Speed: 6 Gbps
Device Type: SSD
Local Disk Config Definition:
Mode: NO RAID
Description:
Protect Configuration: No
Voorbeelduitvoer van 3100 waar schijf operationeel is:
FW3105# show server storage
Server 1/1:
Disk Controller 1:
Type: SOFTRAID
Vendor: Cisco Systems Inc
Model: FPR_SOFTRAID
HW Revision:
PCI Addr:
Raid Support: raid1
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Optimal
Local Disk 1:
Presence: Equipped
Model: SAMSUNG MZQL2960HCJR-00A07
Serial: S64FNT0AB12345
Operability: Operable <---
Size (MB): 858306
Device Type: SSD
Firmware Version: GDC5A02Q
Virtual Drive 1:
Type: Raid
Blocks: 878906048
Operability: Degraded
Presence: Equipped
Size (MB): 858306
Drive State: Degraded
Voorbeelduitvoer van 4100 waar schijf operationeel is:
FW4125# show server storage
Server 1/1:
RAID Controller 1:
Type: SATA
Vendor: Cisco Systems Inc
Model: FPR4K-PT-01
Serial: JAD1234567
HW Revision:
PCI Addr: 00:31.2
Raid Support:
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Unknown
Local Disk 1:
Vendor: TOSHIBA
Model: KHK61RSE
Serial: 11BS1234567AB
HW Rev: 0
Operability: Operable
Presence: Equipped
Size (MB): 800000
Drive State: Online
Power State: Active
Link Speed: 6 Gbps
Device Type: SSD
Local Disk Config Definition:
Mode: No RAID
Description:
Protect Configuration: No
Als het firewallapparaat herstelt en u de back-endlogs wilt analyseren, genereert u een bundel voor probleemoplossing en controleert u de bestanden die in de tabel worden vermeld. Let op:
Bestandspad in de bundel Problemen oplossen |
Beschrijving/tips |
Beschikbaar op |
FTD TS-bundel: /dir-archieven/var-log/berichten* |
De string ‘syslog-ng shutting down’ wordt getoond tijdens een sierlijke shutdown. De tekenreeks ‘syslog-ng starting up’ wordt weergegeven wanneer het apparaat wordt gestart. |
FTD |
FTD TS-bundel: /dir-archives/var-log/ASAconsole.log In het geval van ASA op 4100/9300, kunt u het bestand ook vinden in de Module bundel onder /opt/cisco/platform/logs/ASAconsole.log |
Zoek naar fouten, fouten, mislukkingen, enzovoort. |
ASA, FTD |
FTD TS-bundel: /dir-archives/var-log/dmesg.log |
Zoek naar fouten, fouten, mislukkingen, enzovoort. |
FTD |
FTD TS-bundel: /dir-archives/var/log/ngfwManager.log* |
Zoek naar fouten, fouten, mislukkingen, enzovoort. Dit bestand bevat ook informatie over HA/Cluster-gebeurtenissen. |
FTD |
FTD TS-bundel: /command-outputs/LINA_troubleshoot/show_tech_output.txt |
De output van de ‘show failover history’ en de ‘show cluster history’ kan extra inzicht geven in de volgorde van de gebeurtenissen. |
FTD |
FTD TS-bundel: /command-outputs/ Bestandsnamen: · voor CORE in `ls opt-cisco-csp-cores _ grep core`_ do file -opt-cisco-csp-cores-_{CORE}_ done.output · voor CORE in `ls var-common _ grep core`_ do file var-common-_{CORE}_ done.output · voor CORE in `ls var-data-cores _ grep core`_ do file -var-data-cores-_{CORE}_ done.output |
Controleer op potentiële kernbestanden (tracebacks). |
FTD |
FTD TS-bundel: /dir-archieven/var/log/crashinfo/snort3-crashinfo.* |
Controleer op Snort3 crashinfo-bestanden. |
FTD |
FTD TS-bundel: /dir-archives/var/log/process_stderr.log* |
Controleer op Backtraces (bijvoorbeeld Cisco-bug-ID CSCwh25406) |
FTD |
FTD TS-bundel: /dir-archves/var/log/periodic_stats/ |
De directory bevat meerdere bestanden die inzicht kunnen bieden voor het moment van het incident. |
FTD |
FPRM-bundel: tech_support_brief |
Controleer de uitgangen voor foutdetails weergeven. |
ASA, FTD |
FPRM-bundel: /opt/cisco/platform/logs/kern.log |
Zoek naar fouten, fouten, mislukkingen, enzovoort. |
ASA, FTD |
FPRM-bundel: /opt/cisco/platform/logs/berichten* |
Zoek naar fouten, fouten, mislukkingen, enzovoort. |
ASA, FTD |
FPRM-bundel: /opt/cisco/platform/logs/mce.log Hetzelfde bestand bestaat ook in de module bundel (41xx, 93xx). |
Dit is het bestand Machine Check Exceptions (mce). Zoek naar fouten, fouten, mislukkingen, enzovoort. |
ASA, FTD |
FPRM-bundel: /opt/cisco/platform/logs/portmgr.out |
Zoek naar fouten, fouten, mislukkingen, enzovoort. |
ASA, FTD |
FPRM-bundel: /opt/cisco/platform/logs/sysmgr/logs/kp_init.log: |
Zoek naar fouten, fouten, mislukkingen, enzovoort. |
ASA, FTD |
FPRM-bundel: /opt/cisco/platform/logs/ssp-pm.log Hetzelfde bestand bestaat ook in de module bundel (41xx, 93xx). |
Zoek naar fouten, fouten, mislukkingen, enzovoort. |
ASA, FTD |
FPRM-bundel: /opt/cisco/platform/logs/sma.log Hetzelfde bestand bestaat ook in de module bundel (41xx, 93xx). |
Zoek naar fouten, fouten, mislukkingen, enzovoort. |
ASA, FTD |
FPRM-bundel: /opt/cisco/platform/logs/heimdall.log |
Zoek naar fouten, fouten, mislukkingen, enzovoort. |
ASA, FTD |
FPRM-bundel: /opt/cisco/platform/logs/ssp-shutdown.log Hetzelfde bestand bestaat ook in de module bundel (41xx, 93xx). |
Het bevat de uitvoer van ps, bovenste en enkele lijnen van dmesg wanneer opnieuw opstarten of afsluiten wordt gestart. Beschikbaar op 1000/2100/3100/4200. |
ASA, FTD |
FPRM-bundel: /opt/cisco/platform/logs/sysmgr/sam_logs/svc_sam_dme.log* |
Zoek naar fouten, fouten, mislukkingen, enzovoort. |
ASA, FTD |
FPRM-bundel: /opt/cisco/platform/logs/sysmgr/sam_logs/svc_sam_envAG.log* |
Zoek naar fouten, fouten, mislukkingen, enzovoort. |
ASA, FTD |
CIMC-bundel (41xx, 93xx): /OBFL/OBFL-log* |
Zoek naar fouten, fouten, mislukkingen, enzovoort. |
ASA, FTD |
CIMC-bundel (41xx, 93xx): /CIMC1_TechSupport.tar.gz/CIMC1_TechSupport.tar/tmp/techsupport_pid*/CIMC1_TechSupport-nvram.tar.gz/CIMC1_TechSupport-nvram.tar/nv/etc/log/eng-repo/messages* |
Zoek naar fouten, fouten, mislukkingen, enzovoort. Speciaal voor CATERR |
ASA, FTD |
Module bundel (41xx, 93xx): /tmp/mount_media.log/mount_media.log |
Zoek naar fouten, fouten, mislukkingen, enzovoort. |
ASA, FTD |
Als een specifieke interface niet meer reageert, legt u de firewall en het aangrenzende apparaat vast. U kunt dit document raadplegen voor meer informatie:
Zorg er bovendien voor dat de ARP- en CAM-tabellen van de aangrenzende apparaten correct zijn ingevuld.
Naast de hierboven genoemde zaken is het sterk aan te raden om ook deze informatie te verstrekken:
15 bis. Als het apparaat is hersteld, verzamelt u een bundel voor probleemoplossing (controleer stap 13 voor meer informatie).
15 ter. Als het apparaat nog steeds niet reageert, geeft u deze informatie op:
15 quater. Geschatte tijd (datum/tijd) waarop het apparaat niet meer reageert.
15d. Geschatte uptime van het apparaat voordat het niet meer reageert.
15 sexies. Is dit een nieuwe of een bestaande?
15 septies. Wat was de laatste actie die werd uitgevoerd voordat het apparaat niet meer reageerde?
15 g. Firewall data plane (LINA)-syslogs vanaf het moment dat het apparaat niet meer reageerde (probeer logs te starten ~5 minuten voor het incident). Als beste praktijk wordt aanbevolen om syslogs te configureren op niveau 6 (Informatief).
15.00 uur Als u een syslog-server op het chassis hebt geconfigureerd (FXOS op 4100/9300), geeft u de logboeken op (vanaf ~5 minuten voor het incident).
15 decies. Syslogs van de aangrenzende apparaten uit de tijd van het incident.
15j. Een topologiediagram dat de fysieke verbindingen tussen het firewallapparaat en de aangrenzende apparaten toont.
Als u verbinding maakt met de console en zie:
Software Error: Exception during execution: [Error: Timed out communicating with DME]
Meestal duidt dit op een softwareprobleem.
Aanbevolen actie: Neem contact op met Cisco TAC
Deze uitvoer is afkomstig van een 4100/9300-hardwareapparaat waarbij een schijfgerelateerde fout wordt gegenereerd:
Aanbevolen actie: Probeer de SSD-schijf opnieuw te herstellen. Als dit niet helpt, verzamelt u de bundel voor probleemoplossing voor het chassis en neemt u contact op met Cisco TAC.
Aanbevolen actie: om tijdelijk van dit probleem te herstellen, is een stroomcyclus van het 4100/9300-chassis vereist. Controleer Cisco bug ID CSCvx99172 voor details en een versie die een oplossing heeft. (Kennisgeving in het veld: FN72077 - FPR9300- en FPR4100-serie beveiligingstoestellen - Sommige apparaten kunnen na 3,2 jaar uptime het verkeer niet passeren).
Lage schijfruimte op de firewall kan het apparaat niet reageren. Als het apparaat wordt beheerd door FMC, kunt u gezondheidswaarschuwingen als volgt krijgen:
Aanbevolen actie: Als FMC en FTD op software 7.7.0 en hoger worden uitgevoerd, probeer dan wat schijfruimte vrij te maken met de procedure die is beschreven op https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/admin/770/management-center-admin-77/health-troubleshoot.html#clear-disk-space
Als dit niet haalbaar is of niet helpt, neemt u contact op met Cisco TAC.
Aanbevolen actie: Upgrade naar een softwarerelease met een oplossing voor:
Cisco bug ID CSCwm14729 CSF 3100-serie die niet opnieuw wordt opgestart na stroomuitval, waarvoor handmatige voedingscyclus nodig is.
Aanbevolen actie: vervanging van DIMM-onderdelen of vervanging van het beveiligingsapparaat
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
17-Jul-2025
|
Eerste vrijgave |