Falha automática da atualização da transferência em um centro de gerenciamento de FirePOWER

Introdução

Este documento discute razões uma tarefa programada atualizar um centro de gerenciamento de Cisco FirePOWER pôde falhar. Você pode atualizar um centro de gerenciamento de Cisco FirePOWER manualmente ou automaticamente. A fim executar uma atualização de software automática, você pode criar uma tarefa da programação em seu centro de gerenciamento ser executado em uma estadia futura. 

Razões possíveis para a falha

Um centro de gerenciamento de FirePOWER pôde não transfere um arquivo da atualização da infraestrutura da atualização da transferência de Cisco quando uma destas ações ocorre em sua rede:

• A política de segurança de sua empresa obstrui o tráfego do Domain Name System (DNS).
• Configuração fora de sua transferência dos impactos do centro de gerenciamento. Por exemplo, uma regra do Firewall pôde permitir somente um endereço IP de Um ou Mais Servidores Cisco ICM NT para support.sourcefire.com.

Cuidado: Cisco utiliza o arredondamento robin DNS para o Balanceamento de carga, a tolerância de defeito, e o uptime. Consequentemente, os endereços IP de Um ou Mais Servidores Cisco ICM NT do mgiht dos servidores DNS mudam.

Impacto

Se você usa este método…	Item de ação
Configuração de padrão de sistema para a transferência automática	Nenhuma ação exigida
Transfira o arquivo da atualização manualmente e transfira-o arquivos pela rede ao centro de gerenciamento de FirePOWER	Nenhuma ação exigida
As regras do Firewall para filtrar o acesso a Cisco controlaram a infraestrutura da atualização da transferência	Siga a solução

• As falhas são abrandadas parcialmente pelas três novas tentativas e pela corrida em seguida programada. As falhas repetidas são prováveis uma indicação de um fator externo tal como Firewall ou uma indisponibilidade com a infraestrutura.
• Enquanto o arredondamento robin DNS está no Domain Name, você precisa de tomar etapas a fim assegurar-se de que não haja nenhuma falha intermitente da transferência.

Verificação

Verifique os ajustes DNS

Assegure-se de que seu centro de gerenciamento de FirePOWER esteja configurado para usar seu servidor DNS.

Cuidado: Cisco recomenda fortemente que você mantém as configurações padrão.

Você pode configurar os ajustes DNS no sistema > no Local > na configuração, sob a seção da rede. Sob os ajustes compartilhados seção, você pode especificar até três servidores DNS.

Nota: Se você selecionou o DHCP na lista de drop-down da configuração, você não pode manualmente especificar os ajustes compartilhados.

Verificar a conexão

Você pode usar vários comandos, tais como o telnet, o nslookup, ou a escavação a fim determinar o estado do servidor DNS, e os ajustes DNS em seu centro de gerenciamento de FirePOWER. Por exemplo:

telnet support.sourcefire.com 443

nslookup support.sourcefire.com

dig support.sourcefire.com

Nota: O sibilo a support.sourcefire.com não trabalha. Daqui não deve ser usado como um teste de conectividade.

Conexão de teste à site de suporte de um dispositivo (para transferir atualizações, e assim por diante), você pode registrar em seu dispositivo através do SSH ou do acesso do console direta, e usa este comando:

admin@Firepower:~# sudo openssl s_client -connect support.sourcefire.com:443

Este comando mostra a negociação do certificado, assim como fornece-o um equivalente de uma sessão de Telnet a um web server da porta 80. Está aqui um exemplo do comando output:

New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: 44A18130176C9171F50F33A367B55F5CFD10AA0FE87F9C5C1D8A7A7E519C695B
Session-ID-ctx:
Master-Key: D406C5944B9462F1D6CB15D370E884B96B82049300D50E74F9B8332F84786F05C35BF3FD806672630BE26C2218AE5BDE
Key-Arg : None
Start Time: 1398171146
Timeout : 300 (sec)
Verify return code: 0 (ok)
---

Não deve haver nenhuma alerta neste momento. Contudo, como a sessão está esperando a entrada, você pode então incorporar o comando:

GET /

Você deve receber o HTML cru que é a página de login da site de suporte.

Troubleshooting

Opção 1: Substitua o endereço IP estático com o Domain Name support.sourcefire.com em Firewall. Se você tem que usar um endereço IP estático, certifique-se de que isto está correto. Está aqui a informação detalhada do server da transferência usado por um sistema de FirePOWER:

• Domínio: support.sourcefire.com
• Porta: 443/tcp (bidirecional)
• Endereço IP: 50.19.123.95, 50.16.210.129

Os endereços IP de Um ou Mais Servidores Cisco ICM NT adicionais que são usados igualmente por support.sourcefire.com (no método do arredondamento robin) são:

54.221.210.248
54.221.211.1
54.221.212.60
54.221.212.170
54.221.212.241
54.221.213.96
54.221.213.209
54.221.214.25
54.221.214.81

Opção 2: Você pode transferir atualizações manualmente com um navegador da Web, e instala-o então manualmente durante sua janela de manutenção.

Opção 3: Adicionar um registro A para support.sourcefire.com em seu servidor DNS.

Documentos relacionados

• Tipos de atualizações que podem ser instaladas em um sistema de FirePOWER
• Endereços do servidor obrigatório para operações avançadas da proteção do malware (AMP)
• Portas de comunicação exigidas para a operação de sistema de FirePOWER
• Suporte Técnico e Documentação - Cisco Systems