排除故障Firepower威胁国防政策部署
目录
简介
使用Cisco Firepower威胁防御(FTD),可适应安全工具提供的传统状态防火墙功能(ASA)和下一代防火墙功能(供给动力由喷鼻息)当前被结合到一种产品。由于此更改,策略在FTD的部署基础设施当前处理两的配置更改ASA代码(也指莉娜)和喷鼻息在一个套件上。本文在FTD和以及基本故障排除技术提供策略部署过程的高水平概述。
先决条件
Cisco建议您有下列的产品的知识:
- Firepower管理中心(FMC)
- Firepower威胁防御(FTD)
策略部署概述
Cisco FTD使用策略部署管理和推出注册对Firepower管理中心的设备的配置(本身的FMC)。在部署里面,有分成“相位”的一系列的步骤。
FMC相位在以下列表可以汇总。
| 相位0 | 部署初始化 |
| 第 1 阶段 | 数据库对象集 |
| 第 2 阶段 | 策略和对象集 |
| 第 3 阶段 | NGFW Line configuration命令生成 |
| 第 4 阶段 | 设备部署包生成 |
| 第 5 阶段 | 发送和接收部署包 |
| 相位6 | 等待部署、部署操作和部署成功消息 |
了解相位和知道失败哪里在进程查找,能协助解决排除故障Firepower系统面对的失败。在某些状况下,它可能是冲突由于先前配置或引起由能导致失败的一个先进的弹性配置缺少关键字设备报告不明确。
示例概述
第 1 步:用户点击设备用户希望选择的“部署”按钮,指定。
第二步:一旦设备的部署做, FMC开始收集所有配置与设备有关。
第 3 步:一旦配置收集, FMC创建包并且发送它到在其呼叫SFTunnel的通信机制的传感器。
第 4 步:使用提供的策略, FMC然后通知传感器开始部署过程,当细听各自的答复时。
第 5 步:受管理设备拆开存档并且开始应用各自的配置和包。
A. 部署的前半是喷鼻息配置测试得本地保证其正确性的喷鼻息配置。一旦证明有效新的配置移动向喷鼻息的制作目录。如果验证发生故障,策略部署失效在此步骤。
B. 部署包加载的第二半是为应用直接地对莉娜进程由ngfwManager进程的莉娜配置。如果失败发生,更改是滚动的上一步,并且策略部署失败发生。
第六步:如果喷鼻息和莉娜包是成功的,受管理设备信号打鼾重新启动或重新加载为了装载新的配置和保存所有当前配置。
第 7 步:如果所有消息是成功的,传感器传送成功消息并且等待它由管理中心确认。
步骤 8一旦接收, FMC指示任务作为成功并且准许策略套件完成。
排除故障
在策略部署期间遇到的问题可能是由于,但是没有限的对以下原因:
- 误配置
- FMC和FTD之间的通信
- 数据库和系统工作状况
- 软件缺陷和警告
- 其他独特的情况
而其他可能要求从Cisco技术支持中心(TAC)的协助其中一些问题可能容易地修复。
此部分目标是提供故障排除工具和技术查出问题或确定根本原因。
FMC图形用户界面(GUI)排除故障
Cisco在FMC设备推荐部署疏忽的每故障排除过程能开始。
在故障通知窗口,在6.2.3之外的所有版本,有能协助解决与失败您可以面对的其他故障排除工具。
使用部署脚本
步骤1.拔部署列出在FMC Web UI。
第二步:当部署选项卡选择时,请选择“显示历史记录”选项。
步骤3.在部署历史记录方框里面,您能看到从您的FMC的所有上一个部署。选择您希望发现更多数据的部署。
第 4 步:一旦部署元素选择,您把带对显示所有设备列表在处理里面的部署详细信息选择。这些条目被分解为以下列:设备号、设备名、状态和脚本。
第 5 步:您能选择有问题的设备和点击脚本选项发现能通知您失败以及配置在受管理设备被放置的单个部署脚本。
第六步:此脚本能选定某些故障情况以及指示一个非常重要编号下一步的:交易ID。
第 7 步:在Firepower部署,交易ID是什么可以用于跟踪策略部署的每个单个部分。使用此,在设备的命令行,您能得到此数据一个更加详细的版本为排除故障和分析。
故障排除使用FMC日志
虽然从事Cisco TAC分析日志是适当的,查找通过日志可能帮助与最初的问题隔离和加快解决方法。有在透露关于策略部署过程的详细信息的FMC的多日志文件。两本通常被参考的日志是policy_deployment.log和usmsharedsvcs.log。
在本文的所有被提及的文件可以使用多Linux命令查看例如更多,较少和vi。然而,请注意非常仅读的操作进行对它。所有文件要求根访问权限能查看他们。
/var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log
此日志与故障代码一起清楚地指示策略部署任务的开始处在FMC的和每个相位的完成,帮助确定相位部署遇到失败。在日志的JSON部分包括的“transactionID”值可以用于查找日志条目与一特定的部署尝试涉及。
22-Nov-2019 01:28:52.844,[INFO],(DefenseCenterServiceImpl.java:1372)
com.cisco.nm.vms.api.dc.DefenseCenterServiceImpl, ajp-nio-127.0.0.1-9009-exec-4
** REST Request [ CSM ]
** ID : e1c84364-0966-42eb-9356-d2914be2b4a3
** URL: Broadcast message.send.deployment
{
"body" : {
"property" : "deployment:deployment_initiated_for_the_device",
"argumentList" : [ {
"key" : "PHASE",
"value" : "Phase-0"
} ]
},
"user" : "68d03c42-d9bd-11dc-89f2-b7961d42c462",
"type" : "deployment",
"status" : "running",
"progress" : 5,
"silent" : true,
"restart" : true,
"transactionId" : 12884916552,
"devices" : [ "93a2089a-fa82-11e9-8219-e1abeec81dc9" ]
}
/var/log/sf/policy_deployment.log
当此日志文件存在6.x中时从6.4开始发布,其覆盖展开。它当前描述在FMC采取的详细步骤建立部署包,因此分析从阶段1的失败是最佳使用的这- 4。每个相位初期由有“开始XYZ的INFO的一条线路指示” :
Jul 18 17:20:03 firepower ActionQueueScrape.pl[17287]: INFO starting populateGlobalSnapshot - sqlite = /var/cisco/umpd/8589938337/DC_policy_deployment.db, transaction = 8589938337, time = 1563470402, running as (memory = 56.35 MB) (Framework 3950<196 <- CSMTasks 223<10 <- SF::ActionQueue 2457) Jul 18 17:20:03 firepower ActionQueueScrape.pl[17287]: INFO deployment threading: disabled (Framework 198 <- CSMTasks 223<10 <- SF::ActionQueue 2457) Jul 18 17:20:03 firepower ActionQueueScrape.pl[17287]: INFO -> calling SF::UMPD::Plugins::Correlation::Manager::getPluginDependencies (Plugin 298<90 <- Framework 3579<3566<216 <- CSMTasks 223) ...
受管理设备排除故障
有另外的相位和部分根据设备包、高性能的配置和前期相位结果每受管理设备的。如果一个部署问题隔离对受管理设备的一失败,进一步故障排除在设备可以被执行使用两注册设备:policy_deployment.log和ngfwManager.log。
/ngfw/var/log/ngfwManager.log
此日志文件提供设置通信管理器和设置调度程序采取的详细步骤通信与FMC,与部署包一起使用和谱写音乐喷鼻息和莉娜配置的验证和应用程序。这些是代表主要相位初期ngfwManager.log的一些示例:
FTD receives FMC's request for running configuration: May 30 16:37:10 ccm[4293] Thread-10: INFO com.cisco.ccm.ConfigCommunicationManager- Passing CD-Message-Request to Config Dispatcher... May 30 16:37:10 ccm[4293] Thread-10: DEBUG com.cisco.ccm.ConfigCommunicationManager- <?xml version="1.0" encoding="UTF-8"?><cdMessagesList><timeStamp>1559234230012</timeStamp><cdMessage><name>LinaShowCommand</name><messageId>-753133537443151390</messageId><contentType>XML</contentType><msgContent><![CDATA[<?xml version="1.0" encoding="UTF-8"?><message><name>LinaShowCommand</name>... FTD receives FMC's request to download the deployment package: May 30 16:37:18 ccm[4293] Thread-9: INFO com.cisco.ccm.ConfigCommunicationManager- Downloading database (transaction 8589938211, version 1559234236) May 30 16:37:18 ccm[4293] Thread-9: DEBUG com.cisco.ccm.DownloadManager- handle record: 8589938211, status = PENDING May 30 16:37:18 ccm[4293] Thread-9: DEBUG com.cisco.ccm.DownloadManager- begin downloading database FTD begins the deployment of policy changes: May 30 16:37:21 ccm[4293] Thread-9: INFO com.cisco.ccm.ConfigCommunicationManager- Starting deployment May 30 16:37:21 ccm[4293] Thread-11: INFO com.cisco.ccm.ConfigCommunicationManager- Sending message: DEPLOYMENT_STATUS_CCM to Manager FTD begins LINA deployment: May 30 16:37:42 ccm[4293] Thread-19: DEBUG com.cisco.ngfw.configdispatcher.communicators.LinaCommunicatorImpl- Trying to send Start-Config-Sequencerequest to lina FTD begins finalizing the deployment: May 30 16:38:48 ccm[4293] Thread-19: DEBUG com.cisco.ngfw.configdispatcher.communicators.LinaCommunicatorImpl- Clustering Message sent out of ConfigDispatcher: Name:Cluster-App-Conf-Finalize-Request
/ngfw/var/log/sf/policy_deployment.log
此日志包含应用的策略的详细信息打鼾。使用一些键盘输入,虽则日志的内容主要先进并且由TAC要求分析,它是可能跟踪进程:
Config Dispatcher begins extracting the packaged policies for validation: Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO -> calling SF::UMPD::Plugins::NGFWPolicy::Device::exportDeviceSnapshotToSandbox (Plugin 230 <- Framework 611 <- Transaction 1085) Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO found NGFWPolicy => (NGFWPolicy::Util 32 <- NGFWPolicy::Device 43 <- Plugin 235) ... Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO export FTD platform settings... (PlatformSettings::FTD::Device 29 <- Plugin 235<339 <- PlatformSettings::Device 13) Config validation begins: Jul 18 17:21:37 firepower policy_apply.pl[25122]: INFO starting validateExportedFiles - sqlite = /var/cisco/deploy/sandbox/policy_deployment.db, sandbox = /var/cisco/deploy/sandbox/exported-files (memory = 229.99 MB) (Framework 3950<687 <- Transaction 1101 <- main 194) Validation has completed successfully: Jul 18 17:21:49 firepower policy_apply.pl[25122]: INFO validateExportedFiles - sqlite = /var/cisco/deploy/sandbox/policy_deployment.db, sandbox = /var/cisco/deploy/sandbox/exported-files took 12 (memory = 238.50 MB, change = 8.51 MB) (Framework 3976<724 <- Transaction 1101 <- main 194) Config Dispatcher begins moving the validated configuration to the Snort directories in production: Jul 18 17:21:54 firepower policy_apply.pl[26571]: INFO -> calling SF::UMPD::Plugins::NGFWPolicy::Device::publishExportedFiles (Plugin 230 <- Framework 822 <- Transaction 1662) Snort processes will reload to apply the new configurations: Jul 18 17:22:02 firepower policy_apply.pl[26571]: INFO Reconfiguring DE a3bcd340-992f-11e9-a1f1-ac829f31a4f9... (Snort::SnortNotifications 292<154 <- Snort::Device 343 <- Plugin 235) Jul 18 17:22:02 firepower policy_apply.pl[26571]: INFO sending SnortReload to a3bcd340-992f-11e9-a1f1-ac829f31a4f9 (Snort::SnortNotifications 298<154 <- Snort::Device 343 <- Plugin 235) Snort reload has completed successfully: Jul 18 17:22:14 firepower policy_apply.pl[26571]: INFO notifyProcesses - sandbox = /var/cisco/deploy/sandbox/exported-files took 16 (memory = 169.52 MB, change = 16.95 MB) (Framework 3976<964 <- Transaction 1680 <- main 200) After LINA config apply finishes, Snort deployment is finalized: Jul 18 17:23:32 firepower policy_apply.pl[26913]: INFO starting finalizeDeviceDeployment - sandbox = /var/cisco/deploy/sandbox (memory = 101.14 MB) (Framework 3950<980 <- Transaction 1740 <- main 206)
示例
第 1 步:部署发生故障
步骤2.获取部署脚本和交易ID。
步骤3. SSH到您的管理中心里和在您的FMC使用Linux工具读文件和跟随:
示例:“sudo较少/var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log” (sudo密码是您的SSH的用户密码)
第 4 步:一旦是较少,请使用前斜线并且输入在消息ID搜索与部署transactionID涉及的日志。
示例:"/60129547881" {当较少,使用n导航对下种结果}时
运行消息示例:
故障消息示例:
5) 比较适当的失败对常见故障消息附加的表。
在两个设备之间的通信故障期间即failed_to_retrieve_running_configuration发生。
常见故障消息
下面在管理中心任务前端能被看到以及错误代码能在后端被看到的常见故障消息。这些消息可以分析和与可能的解决方法的常见原因比较。
在这些看不到或者不解决发生的您的情况情况下,请与协助的TAC联系。
| 错误代码 |
错误消息 |
原因 |
| device_has_changed_domain |
部署失败-设备更改域从{SRCDOMAIN}对{DESTINATIONDOMAIN}。请稍后再试。 |
此错误典型地出现,当设备移动或是在被采取从第二个域过程中。调遣,当交叉域信息不发生时通常修正此问题。 |
| device_currently_under_deployment |
部署失败由于另一部署进展中为此设备。请稍后再试。 |
当部署在进行部署时的设备被触发这典型地报告。在一些版本中这防止,不用故障通知;然而,此相位为故障排除帮助仍然存在。 |
| device_not_member_of_container |
部署在是集群的成员的各台设备不可能进行。以后的再试一次,部署集群。 |
此消息为在设备的FTD是可适用的有Firepower可扩展有效的系统(FXO)机箱管理器的。如果集群被建立在FXO,但是不在FMC,此消息表示。首先请在尝试前部署请创建在管理中心设备的集群。 |
| policy_altered_after_timestamp_for_other_devices_in_job_error |
一个或更多设备的策略被调整,因为{时间戳}。重试次数部署。 |
此错误显示,如果任何策略/对象为在部署工作的任何设备被修改,在用户触发部署后,并且在CSM元素和域快照前创建。 调遣调整此问题。 当使用同样FMC编辑对象和保存一会儿的许多用户点击部署时,这能发生。 |
| policy_altered_after_timestamp_error |
策略{policy name}被修改了,因为{时间戳}。重试次数部署。 |
此错误显示,如果任何策略/对象为在部署工作的担心的设备被修改,在用户触发部署后,并且在CSM和域快照前创建。 调遣调整此问题。 |
| csm_snapshot_error |
部署失败由于收集策略和对象的失败。如果问题在再试以后持续,请与Cisco TAC联系。 |
如果提供一最近的策略导入,请等1小时或如此并且尝试别的部署。 |
| domain_snapshot_timeout |
部署失败由于收集策略和对象的超时。如果问题在再试以后持续,请与Cisco TAC联系。 |
默认情况下域快照有5分钟超时。如果系统在高负载下,或者hypervisor发生故障或在虚拟的负载下,这能的呼叫导致不自然的延迟。 如果没有提供管理中心或设备适当的内存数量资源,这能发生。 如果这发生,不用负载或者以后不继续,请与TAC联系。 |
| domain_snapshot_errors |
在策略和对象集失败的部署。如果问题在再试以后持续,请与Cisco TAC联系。 |
请与TAC联系。高级故障排除要求。 |
| failed_to_retrieve_running_configuration |
部署失败由于获取运行的配置信息的失败从设备。重试次数部署。 |
当末端传感器和FMC之间的连接不工作正如所料时,此消息能出现。验证在单元之间的通道健康并且监控两个设备之间的连接。 |
| device_is_busy |
作为设备失败的部署可能运行先前配置或重新启动。如果问题在再试持续以后以后,请与Cisco TAC联系。 |
此消息表示,当FMC尝试一部署时,而先前配置是进展中在FTD。典型地,当先前配置是未完成的在FTD和FTD重新启动的或在重新启动的FTD的ngfwManager进程发生。重试次数在允许进程的20分钟之后对超时应该正式解决此问题。 如果在延迟以后或,如果延迟不是可接受,请与TAC联系。 |
| no_response_for_show_cmd |
部署失败由于连通性问题用设备或设备不响应。如果问题在再试持续以后以后,请与Cisco TAC联系。 |
FMC问题某一莉娜“显示”命令拿来配置生成的运行的配置。 当有连接问题或问题与ngfwManager进程在末端传感器时,这能发生。 在不面对在您的单元之间情况下的连通性问题,请与TAC联系。 |
| network_latency_or_device_not_reachable |
部署失败由于通信故障用设备。如果问题在再试持续以后以后,请与Cisco TAC联系。 |
通常发生在设备之间的高网络延迟导致策略超时。验证在设备之间的网络延迟验证它匹配在用户指南提及的版本的最小数量。 |
| slave_app_sync |
作为集群配置同步失败的部署进展中。 重试次数部署。 |
这为FTD集群设置是仅可适用的。如果部署在FTD集群尝试,当app同步(配置同步)时进展中,同样由FTD拒绝。重试次数,在配置同步应该解决此问题后。 当前集群状态可以被跟踪使用此in命令受管理设备CLISH : > show cluster信息 |
| asa_configuration_generation_errors |
部署失败由于生成的设备配置失败。如果问题在再试以后持续,请与Cisco TAC联系。 |
在去在以上提到的USMS日志以后,您可以能发现哪配置导致错误。这些通常是日志可以通过Cisco Bug工具浏览或联系Cisco TAC进一步排除故障的Bug。 |
| interface_out_of_date |
因为在设备的接口是过时的,部署失败。保存在接口页和重试次数的配置。 |
如果接口从设备是无连系在或在部署之前期间,这在4100's或9300's型号发生。 验证接口在尝试部署前是充分地关联或无连系。 |
| device_package_error |
部署失败由于生成的配置失败设备的。如果问题在再试以后持续,请与Cisco TAC联系。 |
这是指示疏忽的错误生成设备的设备配置。联系方式TAC。 |
| device_package_timeout |
部署在配置生成时失败由于超时。如果问题在再试以后持续,请与Cisco TAC联系。 |
如果延迟存在正常范围之外的设备之间这能发生。请与TAC联系,如果,在延迟规范化后,此问题仍然出现。 |
| device_communication_errors |
部署失败由于通信用设备的失败。检查网络连通性并且再试部署。 |
此消息是所有通信问题的fallback在设备之间。由于其隐晦的性质,它写入作为fallback阐明,未知连通性错误出现。 |
| unable_to_initiate_deployment_dc |
部署失败由于部署策略的失败对设备。重试次数部署。 |
重试次数应该解决此问题。 当FMC无法开始部署由于在数据库时的临时锁定这能发生。 |
| device_failure_timeout |
对设备失败由于的部署超时。重试次数部署。 |
这与FTD部署涉及。在FTD的进程等30分钟为了分派能完成部署。否则,它计时。 如果这发生,请验证相互设备连接和,如果连接是正如所料,请与TAC联系。 |
| device_failure_download_timeout |
部署失败由于超时下载配置到设备。如果问题在再试以后持续,请与Cisco TAC联系。 |
这与FTD部署涉及。FTD无法下载所有设备配置文件在期间部署由于连通性问题。 在网络连通性验证后,请再试。 如果这验证,请与TAC联系。 |
| device_failure_configuration |
部署失败由于配置错误。如果问题在再试以后持续,请与Cisco TAC联系。 |
所有错误在设备的FMC生成的配置里应该导致此错误发表物适用。 这在USMS日志需要被分析验证什么问题被看到和尝试滚动他们回到。 一旦修复,这通常要求TAC干预和bug创建,如果日志不可能匹配以在Cisco Bug搜索工具的一个已知缺陷。 |
| deployment_timeout_no_response_from_device |
部署失败由于通信用设备的超时。如果问题在再试以后持续,请与Cisco TAC联系。 |
如果FMC听不到从设备的上一步在45分钟之后或快根据版本,此超时出现。 这是通信错误。 验证通信和,如果验证,联系方式TAC。 |
| device_failure_change_master |
集群失败的部署作为重要的单元更改。重试次数部署。 |
FTD集群设置部署,如果主节点交换机,当部署是进展中在设备(发表物通知),此错误指示。 一旦主节点稳定的,请再试。 当前集群成员状态可以被跟踪使用此in命令受管理设备CLISH : > show cluster信息 |
| device_failure_unknown_master |
集群失败由于的部署识别重要的单元的失败。重试次数部署。 |
FMC无法确定当前主节点在期间部署。 这能典型地归结于两三种可能性:连通性问题或当前主控不被添加到在FMC的集群。 它应该获得解决,在连接被再保险后或在添加当前主控以后到FMC集群和重试次数执行。 当前集群状态可以被跟踪使用此in命令受管理设备CLISH : > show cluster信息 |
| cd_deploy_app_sync |
作为集群配置同步失败的部署进展中。 重试次数部署。 |
这能发生,如果设备在App同步,一旦App同步完成,更加请再试部署。 |
| cd_existing_deployment | 部署失败由于与持续的先前配置相冲突。如果问题在再试以后持续,请与Cisco TAC联系。 |
这能发生,如果部署在一端仍然去,但是不是其他。 这些由在设备之间的通信问题通常造成。 请与TAC联系,如果,在超时出现后,无法部署。 |
请与协助的TAC联系
在上述信息不允许策略部署继续情况下,或者,如果问题在下条链路看上去与一种已存在的描述的行为不涉及,请使用提供的步骤生成排除故障文件和提供援助到分析的TAC和烦扰创建。
反馈