O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve as etapas recomendadas para solucionar problemas de um Cisco Secure Firewall Threat Defense (FTD) que não esteja respondendo nas plataformas de hardware 1xxx, 12xx, 21xx, 31xx, 41xx, 42xx e 93xx.
A Cisco recomenda que você tenha conhecimento destes tópicos:
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Em alguns casos, um dispositivo FTD da Cisco pode deixar de responder. Os sintomas típicos incluem:
Observe que, dependendo da situação, alguns deles não estarão presentes. Por exemplo, você pode ter tráfego de trânsito passando, mas apenas o acesso de gerenciamento não está funcionando.
Esta seção aborda as etapas e ações recomendadas que você precisa executar. Você pode fornecer essas informações ao TAC da Cisco para análise adicional.
Tire um vídeo ou uma foto dos LEDs do painel frontal. Aqui estão alguns exemplos onde todos os LEDs são claramente visíveis:
Na próxima foto, o LED SYS indica um problema no dispositivo:
Você pode consultar o guia de hardware do modelo do seu dispositivo para obter informações adicionais sobre o LED, por exemplo:
Modelo |
Informações do LED |
1010 |
|
1100 |
|
1210CE, 1210CP, 1220CX |
|
1230, 1240, 1250 |
|
2100 |
|
3100 |
|
4110, 4120, 4140, 4150 |
|
4112, 4115, 4125, 4145 |
|
4200 |
|
9300 |
Tire um vídeo ou uma foto dos LEDs no painel traseiro, por exemplo:
Se você não vir nenhum LED de energia aceso:
Verifique se os ventiladores na parte traseira do equipamento estão em execução.
Verifique se há algum ruído ou cheiro vindo do dispositivo.
Verifique se o console e as portas de gerenciamento estão conectados corretamente. Se o problema estiver apenas na porta de gerenciamento, tente alterar o SFP (sempre que aplicável) e o cabo de rede.
Tente fazer ping (ICMP) no IP de gerenciamento do dispositivo.
Verifique o status da porta dos dispositivos adjacentes, por exemplo:
switch# show interface description | i FW-4215-1
Gi7/1 up up FW-4215-1 ETH1/1
Gi7/2 up up FW-4215-1 ETH1/2
Gi7/3 up up FW-4215-1 MGMT
Em caso de alta disponibilidade (HA) ou configuração de cluster, colete um pacote de solução de problemas dos dispositivos pares.
Conecte um laptop à porta do console e copie as mensagens mostradas. Tente pressionar as teclas para cima/para baixo ou PageUp para ver todas as mensagens na tela.
Com um laptop conectado à porta de console:
Observe que se o dispositivo não foi desligado normalmente e estava operacional (os LEDs do painel frontal estavam acesos), a reinicialização a frio pode causar uma corrupção do banco de dados. Se a reinicialização a frio ativar o dispositivo, colete um pacote de solução de problemas e entre em contato com o TAC da Cisco.
Se o dispositivo se recuperar e for gerenciado por um FMC, navegue para System> Health > Monitor e selecione o dispositivo. Concentre-se nos gráficos destacados para entender qual era o status do dispositivo antes de não responder (por exemplo, alta memória, alta utilização da CPU, alta utilização do disco etc.).
Cenário de não funcionamento (4100):
FW4100# show server storage
Server 1/1:
RAID Controller 1:
Type: SATA
Vendor: Cisco Systems Inc
Model: FPR4K-PT-01
Serial: JAD12345678
HW Revision:
PCI Addr: 00:31.2
Raid Support:
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Unknown
Local Disk 1:
Vendor: Micron
Model: 5300 MTFD
Serial: MSA123456AB
HW Rev:
Operability: N/A
Presence: Missing <-----
Size (MB): 200000
Drive State: Online
Power State: Active
Link Speed: 6 Gbps
Device Type: SSD
Local Disk Config Definition:
Mode: NO RAID
Description:
Protect Configuration: No
Exemplo de saída do 3100 onde o disco está operacional:
FW3105# show server storage
Server 1/1:
Disk Controller 1:
Type: SOFTRAID
Vendor: Cisco Systems Inc
Model: FPR_SOFTRAID
HW Revision:
PCI Addr:
Raid Support: raid1
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Optimal
Local Disk 1:
Presence: Equipped
Model: SAMSUNG MZQL2960HCJR-00A07
Serial: S64FNT0AB12345
Operability: Operable <---
Size (MB): 858306
Device Type: SSD
Firmware Version: GDC5A02Q
Virtual Drive 1:
Type: Raid
Blocks: 878906048
Operability: Degraded
Presence: Equipped
Size (MB): 858306
Drive State: Degraded
Exemplo de saída do 4100 onde o disco está operacional:
FW4125# show server storage
Server 1/1:
RAID Controller 1:
Type: SATA
Vendor: Cisco Systems Inc
Model: FPR4K-PT-01
Serial: JAD1234567
HW Revision:
PCI Addr: 00:31.2
Raid Support:
OOB Interface Supported: No
Rebuild Rate: N/A
Controller Status: Unknown
Local Disk 1:
Vendor: TOSHIBA
Model: KHK61RSE
Serial: 11BS1234567AB
HW Rev: 0
Operability: Operable
Presence: Equipped
Size (MB): 800000
Drive State: Online
Power State: Active
Link Speed: 6 Gbps
Device Type: SSD
Local Disk Config Definition:
Mode: No RAID
Description:
Protect Configuration: No
Se o dispositivo de firewall se recuperar e você quiser analisar os logs de back-end, gere um pacote de solução de problemas e verifique os arquivos mencionados na tabela. Observe que:
Caminho do arquivo no pacote de solução de problemas |
Descrição/Dicas |
Disponível em |
Pacote de FTD TS: /dir-archives/var-log/messages* |
A string ‘syslog-ng shutting down’ é mostrada durante um desligamento da energia - normal. A string ‘syslog-ng starting up’ é mostrada quando o dispositivo inicia. |
FTD |
Pacote de FTD TS: /dir-archives/var-log/ASAconsole.log No caso do ASA em 4100/9300, você também pode encontrar o arquivo no pacote de módulos em /opt/cisco/platform/logs/ASAconsole.log |
Procure erros, falhas, falhas, etc. |
ASA, FTD |
Pacote de FTD TS: /dir-archives/var-log/dmesg.log |
Procure erros, falhas, falhas, etc. |
FTD |
Pacote de FTD TS: /dir-archives/var/log/ngfwManager.log* |
Procure erros, falhas, falhas, etc. Esse arquivo também contém informações sobre eventos HA/Cluster. |
FTD |
Pacote de FTD TS: /command-outputs/LINA_troubleshoot/show_tech_output.txt |
A saída dos comandos 'show failover history' e 'show cluster' history' pode fornecer informações adicionais sobre a sequência dos eventos. |
FTD |
Pacote de FTD TS: /command-outputs/ Nomes de arquivo: · para CORE em `ls opt-cisco-csp-cores _ grep core`_ do file -opt-cisco-csp-cores-_{CORE}_ done.output · para CORE em `ls var-common _ grep core`_ do arquivo var-common-_{CORE}_ done.output · para CORE em `ls var-data-cores _ grep core`_ do file -var-data-cores-_{CORE}_ done.output |
Verifique se há arquivos de núcleo em potencial (tracebacks). |
FTD |
Pacote de FTD TS: /dir-archives/var/log/crashinfo/snort3-crashinfo.* |
Verifique se há arquivos crashinfo do Snort3. |
FTD |
Pacote de FTD TS: /dir-archives/var/log/process_stderr.log* |
Verificar Backtraces (por exemplo, ID de bug da Cisco CSCwh25406) |
FTD |
Pacote de FTD TS: /dir-archives/var/log/periodic_stats/ |
O diretório contém vários arquivos que podem fornecer informações para o momento do incidente. |
FTD |
Pacote FPRM: tech_support_brief |
Verifique as saídas de ‘show fault detail’. |
ASA, FTD |
Pacote FPRM: /opt/cisco/platform/logs/kern.log |
Procure erros, falhas, falhas, etc. |
ASA, FTD |
Pacote FPRM: /opt/cisco/platform/logs/messages* |
Procure erros, falhas, falhas, etc. |
ASA, FTD |
Pacote FPRM: /opt/cisco/platform/logs/mce.log O mesmo arquivo também existe no pacote do módulo (41xx, 93xx). |
Este é o arquivo mce (Machine Check Exceptions). Procure erros, falhas, falhas, etc. |
ASA, FTD |
Pacote FPRM: /opt/cisco/platform/logs/portmgr.out |
Procure erros, falhas, falhas, etc. |
ASA, FTD |
Pacote FPRM: /opt/cisco/platform/logs/sysmgr/logs/kp_init.log: |
Procure erros, falhas, falhas, etc. |
ASA, FTD |
Pacote FPRM: /opt/cisco/platform/logs/ssp-pm.log O mesmo arquivo também existe no pacote do módulo (41xx, 93xx). |
Procure erros, falhas, falhas, etc. |
ASA, FTD |
Pacote FPRM: /opt/cisco/platform/logs/sma.log O mesmo arquivo também existe no pacote do módulo (41xx, 93xx). |
Procure erros, falhas, falhas, etc. |
ASA, FTD |
Pacote FPRM: /opt/cisco/platform/logs/heimdall.log |
Procure erros, falhas, falhas, etc. |
ASA, FTD |
Pacote FPRM: /opt/cisco/platform/logs/ssp-shutdown.log O mesmo arquivo também existe no pacote do módulo (41xx, 93xx). |
Ele contém a saída de ps, top e algumas linhas de dmesg quando a reinicialização ou o desligamento é iniciado. Disponível em 100/2100/3100/4200. |
ASA, FTD |
Pacote FPRM: /opt/cisco/platform/logs/sysmgr/sam_logs/svc_sam_dme.log* |
Procure erros, falhas, falhas, etc. |
ASA, FTD |
Pacote FPRM: /opt/cisco/platform/logs/sysmgr/sam_logs/svc_sam_envAG.log* |
Procure erros, falhas, falhas, etc. |
ASA, FTD |
Pacote CIMC (41xx, 93xx): /obfl/obfl-log* |
Procure erros, falhas, falhas, etc. |
ASA, FTD |
Pacote CIMC (41xx, 93xx): /CIMC1_TechSupport.tar.gz/CIMC1_TechSupport.tar/tmp/techsupport_pid*/CIMC1_TechSupport-nvram.tar.gz/CIMC1_TechSupport-nvram.tar/nv/etc/log/eng-repo/messages* |
Procure erros, falhas, falhas, etc. Especialmente para CATERR |
ASA, FTD |
Pacote do módulo (41xx, 93xx): /tmp/mount_media.log/mount_media.log |
Procure erros, falhas, falhas, etc. |
ASA, FTD |
Se uma interface específica ficar sem resposta, faça capturas no firewall e no dispositivo adjacente. Você pode consultar este documento para obter detalhes:
Além disso, certifique-se de que as tabelas ARP e CAM dos dispositivos adjacentes estejam preenchidas corretamente.
Além dos itens mencionados acima, é altamente recomendável fornecer também estas informações:
15 bis. Se o dispositivo recuperado coletar um pacote de solução de problemas (verifique a etapa 13 para obter detalhes).
15-B. Se o dispositivo ainda não responder, forneça estas informações:
15 quater. Hora aproximada (data/hora) em que o dispositivo parou de responder.
15-D. Tempo de atividade aproximado do dispositivo antes de ele deixar de responder.
15 sexies. Esta é uma configuração nova ou existente?
15 septies. Qual foi a última ação executada antes de o dispositivo deixar de responder?
15 octies. Os syslogs de plano de dados de firewall (LINA) a partir do momento em que o dispositivo ficou sem resposta (tente obter logs a partir de ~5 minutos antes do incidente). Como prática recomendada, é recomendável configurar syslogs no nível 6 (Informativo).
15-H. Caso você tenha configurado um Servidor syslog no chassi (FXOS em 4100/9300), forneça os logs (começando aproximadamente 5 minutos antes do incidente).
15-I. Syslogs dos dispositivos adjacentes a partir do momento do incidente.
15-J. Diagrama de topologia que mostra as conexões físicas entre o dispositivo de firewall e os dispositivos adjacentes.
Se você se conectar ao console e vir:
Software Error: Exception during execution: [Error: Timed out communicating with DME]
Na maioria das vezes, isso indica um problema de software.
Ação recomendada: Entre em contato com o Cisco TAC
Esta saída é de um dispositivo de hardware 4100/9300 onde uma falha relacionada ao disco é gerada:
Ação recomendada: Experimente reassentar o disco SSD. Se isso não ajudar, colete o pacote de solução de problemas de chassi e entre em contato com o TAC da Cisco.
Ação recomendada: Um ciclo de energia do chassi 4100/9300 é necessário para a recuperação temporária desse problema. Verifique o bug da Cisco ID CSCvx9172 para obter detalhes e uma versão que tenha uma correção. (Nota de campo: FN72077 - Dispositivos de segurança FPR9300 e FPR4100 Series - Alguns dispositivos podem falhar ao transmitir tráfego após 3,2 anos de tempo de atividade).
Pouco espaço em disco no firewall pode fazer com que o dispositivo não responda. Se o dispositivo for gerenciado pelo FMC, você poderá receber alertas de integridade como este:
Ação recomendada: Se o FMC e o FTD estiverem sendo executados no software 7.7.0 ou posterior, tente liberar espaço em disco usando o procedimento documentado em https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/admin/770/management-center-admin-77/health-troubleshoot.html#clear-disk-space
Se isso não for viável ou não ajudar, entre em contato com o TAC da Cisco.
Ação recomendada: Atualizar para uma versão de software que tenha uma correção para:
ID de bug da Cisco CSCwm14729 A série CSF 3100 não é reinicializada após queda de energia, exigindo ciclo de energia manual.
Ação recomendada: Substituição de componentes DIMM ou substituição do dispositivo de segurança
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
17-Jul-2025
|
Versão inicial |