FTD-implementatiefout voor veilige firewall

Downloadopties

  • PDF     (252.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:17 april 2026
Document-id:225771

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

uitgeven

Netwerkonderbrekingen en -uitval zijn waargenomen op Cisco Firewall Threat Defense (FTD). Herhaalde incidenten hebben geleid tot geweigerd verkeer, waaronder SNMP-communicatie, en hebben het opnieuw opstarten van apparaten en voortdurende monitoring vereist om de hoofdoorzaak te identificeren en verdere impact te beperken.

milieu

  • Cisco Secure Firewall Firepower 1140-apparaten (heeft invloed op elk FTD-model)

  • FTD-softwareversies: 7.4.2.4 (andere versies ook beïnvloed)

  • Dynamisch objectgebaseerd toegangscontrolebeleid (ACS)

  • Frequente beleidsimplementaties

resolutie

Om de terugkerende failover- en beleidsimplementatieproblemen op FTD-apparaten van Cisco Secure Firewall aan te pakken, moet een uitgebreide reeks stappen voor probleemoplossing en probleemoplossing worden gevolgd. De vermelde workflow is gestructureerd om een duidelijke scheiding en uitleg van elke stap te bieden, inclusief bewaking, gegevensverzameling, diagnostiek en upgradebegeleiding.

1: Gebruik packet-tracers om routering en toegang voor het beoogde verkeer te controleren.

firepower# packet-tracer input INPUTNAMEIF tcp SRCIP 54321 DSTIP 443
firepower# packet-tracer input INPUTNAMEIF icmp SRCIP 8 0 DSTIP

2: Gebruik opnames op de FTD om te bepalen of pakketten worden gedropt bij binnenkomst 'door geconfigureerde regel', hoewel er een geldige regel en route bestaat voor het verkeer.

firepower# capture 1 interface INPUTIFNAME trace detail trace-count 1000 match ip host SRCIP host DSTIP
firepower# capture x type asp-drop all match ip host SRCIP host DSTIP
firepower# show capture
capture 1 type raw-data trace detail trace-count 1000 interface inside [Capturing - 31565 bytes] 
  match ip 10.1.1.0 255.255.255.0 any 
capture x type asp-drop all [Capturing - 31565 bytes] 
  match ip 10.1.1.0 255.255.255.0 any

3: Controleer de FTD-berichtenlogboeken voor bewijs van een defect CSCwo78475.

> expert
admin@FTD-1:~$ sudo su
Password:
root@FTD-1:/Volume/home/admin# cat /ngfw/var/log/messages | grep -E "New inspector|did not finish|swapped"
Feb 10 18:35:03 FTD-device SF-IMS[28366]: New inspector is not initializing Identity API because it's already inited. 
Feb 10 18:35:03 FTD-device SF-IMS[28366]: New inspector has different policy groups or ABP name to ID mappings from existing Identity API. Need to rebuild user group hash, group bit hash and ABP name to ID mapping 
Feb 10 18:35:10 FTD-device SF-IMS[28366]: Reading the muster data snapshot did not finish in time: 4 sec. 
Feb 10 18:36:22 FTD-device SF-IMS[28366]: Identity API state swapped

4: Koppel de tijdstempels voor deze logs aan die voor implementatielogs in de FTD.

Feb 10 18:34:45 FTD-device policy_apply.pl[18923]: INFO  Deployment type is NORMAL_DEPLOYMENT and device_version is 7.4.2.4  (Framework::FTDHA 59 <- Framework 845 <- Transaction 1142)
Feb 10 18:37:03 FTD-device policy_apply.pl[30894]: INFO  finalizeDeviceDeployment - sandbox = /var/cisco/deploy/sandbox took 1 (memory = 189.78 MB, change = 65.10 MB)  (Framework 4878<1504 <- Transaction 1833 <- main 231)

5: Als de FTD's zich in HA bevinden, failover naar de stand-by FTD en hetzelfde nadien controleren om het verkeer te herstellen.

6: Als in de FTD overeenkomende logs en voorwaarden worden gevonden, wordt het apparaat beïnvloed door het defect en kan het worden bijgewerkt naar 7.4.3. In de tussentijd kunnen implementaties worden beperkt tot na kantooruren om de impact op het verkeer te verminderen.

Oorzaak

De onderliggende oorzaak van de waargenomen verkeerseffecten en problemen met beleidsimplementatie wordt toegeschreven aan bekende gebreken in FTD-software, met name:

  • Cisco Bug ID CSCwo78475: verkeer raakt onjuiste regels voor toegangscontrolebeleid (ACP) tijdens beleidsimplementatie op FTD-apparaten met dynamische objecten. Dit kan ertoe leiden dat legitiem verkeer wordt geweigerd, zelfs als er goede regels bestaan in de actieve configuratie. Opgelost in versie 7.4.3.

Verwante inhoud

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
17-Apr-2026
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Echo Quiroz-Garcia
    technisch adviseur

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten