思科 ISA 3000 的报警

您可以配置思科 ISA 3000 设备上的报警系统,以便在出现不正常情况时发出警告。

关于报警

您可以将 ISA 3000 配置为在多种条件下发出报警。如果有任何条件与配置的设置不匹配,系统会触发报警,报警的报告方式为 LED、系统日志消息、SNMP 陷阱以及连接到报警输出接口的外部设备。默认情况下,触发的报警仅会发出系统日志消息。

您可以将报警系统配置为监控以下对象:

  • 电源。

  • 主温度传感器和辅助温度传感器。

  • 报警输入接口。

ISA 3000 具有内部传感器、2 个报警输入接口以及 1 个报警输出接口。您可以将外部传感器(如门禁传感器)连接到报警输入接口,将外部报警设备(如蜂鸣器或指示灯)连接到报警输出接口。

报警输出接口是一个中继装置。根据报警条件,中继处于连接或断开状态。当处于连接状态时,连接至该接口的任何设备都将被激活。当中继处于断开状态时,会导致连接的任何设备都处于非活动状态。只要触发了报警,中继就会保持连接状态。

有关连接外部传感器和报警中继装置的信息,请参阅思科 ISA 3000 工业安全设备硬件安装指南

报警输入接口

您可以将报警输入接口(或触点)连接到外部传感器,例如检测门是否打开的传感器。

每个报警输入接口都有一个对应的 LED。这些 LED 负责传达每个报警输入的报警状态。您可以为每个报警输入配置触发器和严重性。除了 LED,您还可以配置触点来触发输出中继(用于激活外部报警),以发送系统日志消息和 SNMP 陷阱。

下表介绍与报警输入的报警条件所对应的 LED 状态。表中还介绍了启用这些报警输入响应时输出中继、系统日志消息和 SNMP 陷阱的行为。

报警状态

LED

输出中继

系统日志

SNMP 陷阱

未配置报警

关闭

-

未触发任何报警

绿灯常亮

-

已激活报警

次要报警 - 红色长亮

重大报警 - 红色闪烁

中继已通电

生成系统日志

发送 SNMP 陷阱

报警结束

绿灯常亮

继电器断电

生成系统日志

报警输出接口

您可以将外部报警(如蜂鸣器或灯光)连接到报警输出接口。

报警输出接口充当一个中继,并且还有一个对应的 LED,用于传达连接到输入接口的外部传感器以及内部传感器(例如双电源和温度传感器)的报警状态。请配置哪些报警应该激活输出中继(如果有)。

下表介绍与报警条件对应的 LED 和输出中继的状态。表中还介绍了启用这些报警响应时系统日志消息和 SNMP 陷阱的行为。

报警状态

LED

输出中继

系统日志

SNMP 陷阱

未配置报警

关闭

-

未触发任何报警

绿灯常亮

-

已激活报警

红色常亮

中继已通电

生成系统日志

发送 SNMP 陷阱

报警结束

绿灯常亮

继电器断电

生成系统日志

系统日志报警

默认情况下,触发任何报警时,系统都会发送系统日志消息。如果您不希望收到这些消息,可以禁用系统日志消息传递。

要使系统日志报警正常工作,您还必须在设备 > 系统设置 > 日志记录设置上启用诊断日志记录。配置系统日志服务器、控制台日志记录或内部缓冲区日志记录。

如果未启用诊断日志记录的目标,报警系统不清楚向何处发送系统日志消息。

SNMP 陷阱报警

您可以选择配置报警,将 SNMP 陷阱发送到 SNMP 服务器。要让 SNMP 陷阱报警正常使用,您还必须配置 SNMP 设置。

使用 威胁防御 API 配置 SNMP。点击“更多选项”按钮 (更多选项按钮。) 并选择 API Explorer。然后,查找 SNMP 资源并查看型号文档,了解有关如何配置此功能的信息。您可以使用 SNMP 版本 2c 或 3;不支持版本 1。有关配置 SNMP 的完整信息,请参阅最新版本 ASA 软件的《CLI 手册 1:思科 ASA 系列常规操作 CLI 配置指南》中的 SNMP 章节。指南位置为 https://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-installation-and-configuration-guides-list.html

报警默认值

下表指定了报警输入接口(触点)、冗余电源和温度的默认值。

警报

触发

严重性

SNMP 陷阱

输出中继

系统日志消息

报警触点 1

启用

关闭状态

次要

Disabled

Disabled

已启用

报警触点 2

启用

关闭状态

次要

Disabled

Disabled

已启用

冗余电源(在启用时)

启用

-

Disabled

Disabled

已启用

温度

为主温度报警启用(高阈值和低阈值的默认值分别为 92°C 和 -40°C)

为辅助报警禁用。

-

为主温度报警启用

为主温度报警启用

为主温度报警启用

为 ISA 3000 配置报警

请使用 FlexConfig 为 ISA 3000 配置报警。以下主题介绍如何配置不同类型的报警。

配置报警输入触点

如果您将报警输入触点(接口)连接到外部传感器,可以将触点配置为基于传感器的输入发出报警。事实上,如果触点关闭,即电流停止流经触点,系统会默认启用触点来发送系统日志消息。只有当默认设置不符合您的要求时,才需要配置触点。

报警触点的编号分别是 1 和 2,您需要了解如何连接物理引脚以配置正确的设置。单独配置每个触点。

过程

步骤 1

设备 > 高级配置中点击查看配置

步骤 2

在“高级配置”目录中依次点击 FlexConfig > FlexConfig 对象

步骤 3

点击 + 按钮以创建新的对象。

步骤 4

为对象输入名称。例如,Enable_Alarm_Contact

步骤 5

模板编辑器中,输入配置触点所需的命令。

  1. 配置报警触点的说明。

    alarm contact {1 | 2} description string

    例如,要将触点 1 的说明设置为“Door Open”,请输入以下命令: 

    
alarm contact 1 description Door Open

  2. 配置报警触点的严重性。

    alarm contact {1 | 2 | any} severity {major | minor | none}

    您可以指定 any 更改所有触点的严重性,而不是配置一个触点。严重性控制与触点关联的 LED 指示灯的行为。

    • major - LED 指示灯红色闪烁。

    • minor- LED 指示灯红色长亮。这是默认值。

    • none- LED 指示灯熄灭。

    例如,要将触点 1 的严重级别设置为“Major”,请输入以下命令: 

    
alarm contact 1 severity major

  3. 配置报警触点的触发器。

    alarm contact {1 | 2 | any} trigger {open | closed}

    您可以指定 any 更改所有触点的触发器,而不是配置一个触点。触发器决定发出报警信号的电气条件。

    • open - 触点的正常状态为闭合,即电流流经触点。如果触点变成打开状态,即电流停止流动,会触发警报。

    • closed - 触点的正常状态为打开,即电流不通过触点。如果触点变成闭合状态,即电流开始流经触点,会触发警报。这是默认值。

    例如,将门禁传感器连接到报警输入触点 1,该触点的正常状态为没有电流流经报警触点(即打开)。如果门被打开,触点会变成闭合状态,电流将流经报警触点。您应将报警触发器设为关闭,以便当电流开始流动时,警报响起。

    
alarm contact 1 trigger closed

  4. 配置触发报警触点时采取的操作。

    alarm facility input-alarm {1 | 2} {relay | syslog | notifies}

    您可以配置多个操作。例如,您可以配置设备以激活外部报警,发送系统日志消息,以及发送 SNMP 陷阱。

    • 中继 - 启动报警输出中继,激活连接的蜂鸣器或闪烁灯等外部警报。输出 LED 指示灯也会变成红色。

    • 系统日志 - 发送系统日志消息。默认情况下,此选项已启用。

    • 通知 - 发送 SNMP 陷阱。

    例如,要启用报警输入触点 1 的所有操作,请输入以下命令: 

    
alarm facility input-alarm 1 relay 
alarm facility input-alarm 1 syslog
alarm facility input-alarm 1 notifies

步骤 6

取消模板编辑器中,输入撤消此配置所需的命令。

所有这些命令采用 no 形式来将其禁用并恢复默认设置。例如,如果您的模板包含此过程中所示的所有命令示例,取消模板如下: 


no alarm contact 1 description Door Open
no alarm contact 1 severity major 
no alarm contact 1 trigger closed 
no alarm facility input-alarm 1 relay 
no alarm facility input-alarm 1 syslog
no alarm facility input-alarm 1 notifies

步骤 7

点击确定保存对象。

步骤 8

将对象添加到 FlexConfig 策略中。

  1. 点击目录中的 FlexConfig 策略

  2. 在组列表中点击 +

  3. 选择 Enable_Alarm_Contact 对象,然后点击确定

    系统应随即使用模板中的命令更新预览。验证您是否看到预期的命令。

  4. 点击保存

    您现在可以部署策略。

步骤 9

部署完成后,在 CLI 控制台或 SSH 会话中使用 show running-config 命令,验证对运行配置的更改是否正确。测试外部传感器,验证是否可以触发警报。

配置电源报警

ISA 3000 包含两个电源。默认情况下,系统在单电源模式下运行。但是,您可以配置系统在双电源模式下运行,其中第二个电源会在主电源发生故障时自动供电。启用双电源模式时,自动启用电源报警来发送系统日志警报,但您可以完全禁用警报,或同时启用 SNMP 陷阱或报警硬件中继。

以下过程说明如何启用双电源模式下,以及如何配置电源报警。

过程

步骤 1

设备 > 高级配置中点击查看配置

步骤 2

在“高级配置”目录中依次点击 FlexConfig > FlexConfig 对象

步骤 3

点击 + 按钮以创建新的对象。

步骤 4

为对象输入名称。例如,Enable_Power_Supply_Alarm

步骤 5

模板编辑器中,输入配置电源报警所需的命令。

  1. 启用双电源模式。

    power-supply dual

    例如: 

    
power-supply dual

  2. 配置触发电源报警时要采取的操作。

    alarm facility power-supply rps {relay | syslog | notifies | disable}

    您可以配置多个操作。例如,您可以配置设备以激活外部报警,发送系统日志消息,以及发送 SNMP 陷阱。

    • 中继 - 启动报警输出中继,激活连接的蜂鸣器或闪烁灯等外部警报。输出 LED 指示灯也会变成红色。

    • 系统日志 - 发送系统日志消息。默认情况下,此选项已启用。

    • 通知 - 发送 SNMP 陷阱。

    • 禁用 - 禁用电源报警。为电源报警配置的任何其他操作都无法运行。

    例如,要启用电源报警的所有操作,请输入以下命令: 

    
alarm facility power-supply rps relay 
alarm facility power-supply rps syslog
alarm facility power-supply rps notifies

步骤 6

取消模板编辑器中,输入撤消此配置所需的命令。

所有这些命令采用 no 形式来将其禁用并恢复默认设置。例如,如果您的模板包含此过程中所示的所有命令示例,取消模板如下: 


no power-supply dual
no alarm facility power-supply rps relay 
no alarm facility power-supply rps syslog
no alarm facility power-supply rps notifies

步骤 7

点击确定保存对象。

步骤 8

将对象添加到 FlexConfig 策略中。

  1. 点击目录中的 FlexConfig 策略

  2. 在组列表中点击 +

  3. 选择 Enable_Power_Supply_Alarm 对象,然后点击确定

    系统应随即使用模板中的命令更新预览。验证您是否看到预期的命令。

  4. 点击保存

    您现在可以部署策略。

步骤 9

部署完成后,在 CLI 控制台或 SSH 会话中使用 show running-config 命令,验证对运行配置的更改是否正确。

配置温度报警

您可以配置基于设备中 CPU 卡温度的警报。

您可以设置主要和辅助温度范围。如果温度低于低阈值,或超过高阈值,则触发报警。

默认对所有报警操作启用主温度报警:输出中继、系统日志和 SNMP。主要温度范围的默认设置为 -40°C 至 92°C。

默认情况下,禁用辅助温度报警。您可以将辅助温度范围设置为 -35°C 至 85°C。

由于辅助温度范围比主范围更严格,如果您设置辅助低温度或高温度,该设置将禁用对应的主要设置,即使您为主设置配置非默认值。您不能启用两个单独的高温度报警和两个单独的低温度报警。

因此,在实践中,您应为高温度和低温度仅配置主要设置或仅配置辅助设置。

过程

步骤 1

设备 > 高级配置中点击查看配置

步骤 2

在“高级配置”目录中依次点击 FlexConfig > FlexConfig 对象

步骤 3

点击 + 按钮以创建新的对象。

步骤 4

为对象输入名称。例如,Enable_Temperature_Alarm

步骤 5

模板编辑器中,输入配置温度报警所需的命令。

  1. 配置可接受的温度范围。

    alarm facility temperature {primary | secondary} {low | high} temperature

    温度单位为摄氏度。主要报警的允许范围为 -40 至 92,这也是默认的范围。辅助报警的允许范围是 -35 到 85。低值必须小于高值。

    例如,要设置更严格的 -20 至 80 温度范围(在辅助报警的允许范围内),请按如下所示配置辅助报警: 

    
alarm facility temperature secondary low -20
alarm facility temperature secondary high 80

  2. 配置触发温度报警时要采取的操作。

    alarm facility temperature {primary | secondary} {relay | syslog | notifies}

    您可以配置多个操作。例如,您可以配置设备以激活外部报警,发送系统日志消息,以及发送 SNMP 陷阱。

    • 中继 - 启动报警输出中继,激活连接的蜂鸣器或闪烁灯等外部警报。输出 LED 指示灯也会变成红色。

    • 系统日志 - 发送系统日志消息。

    • 通知 - 发送 SNMP 陷阱。

    例如,要启用辅助温度报警的所有操作,请输入以下命令: 

    
alarm facility temperature secondary relay 
alarm facility temperature secondary syslog
alarm facility temperature secondary notifies

步骤 6

取消模板编辑器中,输入撤消此配置所需的命令。

所有这些命令采用 no 形式来恢复默认设置(针对主要报警)或将其禁用(针对辅助报警)。例如,如果您的模板包含此过程中所示的所有命令示例,取消模板如下: 


no alarm facility temperature secondary low -20
no alarm facility temperature secondary high 80 
no alarm facility temperature secondary relay 
no alarm facility temperature secondary syslog
no alarm facility temperature secondary notifies

步骤 7

点击确定保存对象。

步骤 8

将对象添加到 FlexConfig 策略中。

  1. 点击目录中的 FlexConfig 策略

  2. 在组列表中点击 +

  3. 选择 Enable_Temperature_Alarm 对象,然后点击确定

    系统应随即使用模板中的命令更新预览。验证您是否看到预期的命令。

  4. 点击保存

    您现在可以部署策略。

步骤 9

部署完成后,在 CLI 控制台或 SSH 会话中使用 show running-config 命令,验证对运行配置的更改是否正确。

监控报警

以下主题介绍如何监控和管理报警。

监控报警状态

您可以在 CLI 中使用以下命令监控报警。

  • show alarm settings

    显示每个可能的报警的当前配置。

  • show environment alarm-contact

    显示输入报警触点的物理状态信息。

  • show facility-alarm relay

    显示有关已触发输出中继的报警信息。

  • show facility-alarm status [info | major | minor]

    显示所有已触发报警的信息。您可以通过过滤 major minor 状态来限制视图。info 关键字提供与不使用关键字时相同的视图。

监控报警系统日志消息

根据您配置的报警类型,您可能会看到以下系统日志消息。

双电源报警

  • %FTD-1-735005:电源设备冗余正常

  • %FTD-1-735006:电源设备冗余丢失

温度报警

在这些报警中,Celsius 将替换为设备上检测到的温度,以摄氏为单位。

  • %FTD-6-806001:主要报警 CPU 温度高 Celsius

  • %FTD-6-806002:CPU 高温主要报警已清除

  • %FTD-6-806003:主要报警 CPU 温度低 Celsius

  • %FTD-6-806004:CPU 低温主要报警已清除

  • %FTD-6-806005:辅助报警 CPU 温度高 Celsius

  • %FTD-6-806006:CPU 高温辅助报警已清除

  • %FTD-6-806007:辅助报警 CPU 温度低 Celsius

  • %FTD-6-806008:CPU 低温辅助报警已清除

报警输入触点报警

在这些报警中,description 是您所配置触点的说明。

  • %FTD-6-806009:与 ALARM_IN_1 alarm_1_description 对应的报警已确定

  • %FTD-6-806010:与 ALARM_IN_1 alarm_1_description 对应的报警已清除

  • %FTD-6-806011:与 ALARM_IN_2 alarm_2_description 对应的警报已确定

  • %FTD-6-806012:与 ALARM_IN_2 alarm_2_description 对应的报警已清除

关闭外部报警

如果您使用连接到报警输出的外部报警,并触发了报警,可以使用 clear facility-alarm output 命令从设备 CLI 关闭外部报警。此命令会断开输出引脚,同时关闭输出 LED。