故障排除

数据包捕获

数据包捕获工具是一项宝贵资产,可用于调试连接和配置问题,了解通过 Firepower 4100/9300 机箱的流量。您可以使用数据包捕获工具记录通过 Firepower 4100/9300 机箱上面向特定接口的流量。

您还可以创建多个数据包捕获会话,每个会话都可以捕获多个接口上的流量。对于包含在数据包捕获会话中的每个接口,将创建单独的数据包捕获 (PCAP) 文件。

背板端口映射

Firepower 4100/9300 机箱对内部背板端口使用以下映射:

安全模块

端口映射

说明

安全模块 1/安全引擎

Ethernet1/9

内部数据 0/0

安全模块 1/安全引擎

Ethernet1/10

内部数据 0/1

安全模块 2

Ethernet1/11

内部数据 0/0

安全模块 2

Ethernet1/12

内部数据 0/1

安全模块 3

Ethernet1/13

内部数据 0/0

安全模块 3

Ethernet1/14

内部数据 0/1

数据包捕获准则和限制

数据包捕获工具存在以下限制:

  • 捕获速度最多达到 100 Mbps。

  • 即使没有足够的存储空间来运行数据包捕获会话,依然可以创建数据包捕获会话。在开始数据包捕获会话之前,您应验证您有足够的存储空间。

  • 对于单宽 4x100Gbps 或 2x100Gbps 网络模块(部件号分别为 FPR-NM-4X100G 和 FPR-NM-2X100G)上的数据包捕获会话,如果模块管理状态被设为关 (off),则捕获会话会自动禁用并出现“状态原因:未知错误。”(Oper State Reason: Unknown Error.)。您必须在管理状态被再次设为开 (on) 后重新启动捕获会话。

    对于所有其他网络模块,数据包捕获会话会在模块管理状态更改期间继续。

  • 不支持多个活动数据包捕获会话。

  • 仅在内部交换机的入口阶段进行捕获。

  • 对于内部交换机无法理解的数据包(例如,安全组标记和网络服务报头数据包),过滤器不起作用。

  • 即使您在一个或多个父接口上设有多个子接口,针对每个会话也只可捕获一个子接口的数据包。

  • 无法捕获整个 EtherChannel 或 EtherChannel 子接口的数据包。然而,对于分配至逻辑设备的 EtherChannel,可以捕获 EtherChannel 每个成员接口上的数据包。 如果分配子接口而不是父接口,则无法捕获成员接口上的数据包。

  • 当捕获会话仍处于活动状态时,您无法复制或导出 PCAP 文件。

  • 删除数据包捕获会话时,与此会话相关的所有数据包捕获文件也将被删除。

创建或编辑数据包捕获会话

过程

步骤 1

依次选择工具 (Tools) > 数据包捕获 (Packet Capture)

捕获会话 (Capture Session) 选项卡将会显示当前已配置的数据包捕获会话列表。如果当前未配置数据包捕获会话,将会显示说明此情况的消息。

步骤 2

执行以下操作之一:

  • 要创建数据包捕获会话,请点击捕获会话 (Capture Session) 按钮。

  • 要编辑现有的数据包捕获会话,请点击该会话的编辑 (Edit) 按钮。

您可以在窗口左侧选择特定应用实例,然后该实例的表示形式便显示在窗口左侧。此表示用于选择您希望捕获数据包的接口。窗口右侧包含用于定义数据包捕获会话的字段。

步骤 3

从下拉菜单中选择实例

步骤 4

点击要在其上捕获流量的接口。选定接口显示复选标记。

步骤 5

对于子接口,点击父接口左侧图标查看子接口选择列中的子接口。点击该列中的一个子接口;即使您在一个或多个父接口上设有多个子接口,针对每个捕获会话也只可捕获一个子接口的数据包。

对于多个子接口,则将图标标记为子接口(n);对于单个子接口,则使用子接口 ID 标记该图标。如果系统也将父接口分配至实例,您可以选择父接口或子接口;您无法同时选择两者。如果系统未分配父接口,则父接口将显示为灰色。不支持 Etherchannel 的子接口。

步骤 6

要捕获从背板端口传出的逻辑设备的流量:

  1. 点击代表应用实例的框。

    捕获位置 (Capture On)应用端口 (Application Port)应用捕获方向 (Application Capture Direction) 字段位于配置数据包捕获会话 (Configure Packet Capture Session) 窗口的右侧。

  2. 选择您想要在其上捕捉流量的背板端口或从捕捉端口 (Capture On) 下拉列表中选择所有背板端口 (All Backplane Ports)

步骤 7

请在会话名称 (Session Name) 字段中输入数据包捕获会话的名称。

步骤 8

可以通过以下两种方式指定要用于此数据包捕获会话的缓冲区大小:从缓冲区大小 (Buffer Size) 列表中选择预定义的值之一,或选择自定义 (MB) (Custom in MB),然后输入所需的缓冲区大小。指定的缓冲区大小必须介于 1 和 2048 MB 之间。

步骤 9

Snap 长度 (Snap Length) 字段中指定要捕获的数据包的长度。有效值范围为 64 至 9006 个字节。默认的 Snap 长度为 1518 个字节。

步骤 10

指定当执行此数据包捕获会话时,您是希望覆盖现有的 PCAP 文件还是将数据附加到 PCAP 文件。

步骤 11

要捕获应用实例与特定接口之间的流量:

  1. 点击表示该逻辑设备的框。

  2. 捕获位置下拉列表中,选择应用类型(例如,asa)。

  3. 选择您想要捕获流出或流入流量的应用端口

  4. 要仅捕获从逻辑设备流向指定接口的流量,请点击应用捕获方向 (Application Capture Direction) 旁边的出口数据包 (Egress Packets) 选项。

     

    如果选择出口数据包,将仅在所选背板端口上捕获流量,不会捕获物理端口上的流量(即使您已选择它们)。

  5. 要捕捉流出或流入指定接口的流量,请点击应用捕捉方向 (Application Capture Direction) 旁边的 所有数据包 (All Packets) 选项。

步骤 12

要过滤捕获的流量:

  1. 点击捕获过滤器 (Capture Filter) 字段的应用过滤器 (Apply Filter) 选项。

    您将看到一组用于配置过滤器的字段。

  2. 如果您需要创建过滤器,请点击创建过滤器 (Create Filter)

    您将看到创建数据包过滤器 (Create Packet Filter) 对话框。有关详细信息,请参阅配置数据包捕获的过滤器

  3. 应用 (Apply) 下拉列表中选择要使用的过滤器。

  4. 应用目标 (To) 下拉列表中选择要应用过滤器的接口。

  5. 要应用其他过滤器,请点击应用其他过滤器 (Apply Another Filter),然后重复以上步骤应用其他过滤器。

步骤 13

执行以下操作之一:

  • 要保存此数据包捕获会话并立刻运行该会话,请点击保存并运行 (Save and Run) 按钮。仅在当前未运行其他数据包捕获会话时,此选项才可用。

  • 要保存此数据包捕获会话,以便在稍后运行,请点击保存 (Save) 按钮。

捕获会话 (Capture Session) 选项卡中,您将看到列出了您的会话及之前创建的任何其他会话。如果选择保存并运行 (Save and Run),数据包捕获会话将捕获数据包。要从会话下载 PCAP 文件,您需要先停止捕获。

配置数据包捕获的过滤器

您可以创建过滤器来限制数据包捕获会话中包含的流量。在创建数据包捕获会话时,您可以选择哪些接口应使用特定过滤器。


如果您修改或删除已应用于当前正在运行的数据包捕获会话的过滤器,那么在您禁用并重新启用该会话后,更改才会生效。

过程

步骤 1

依次选择工具 (Tools) > 数据包捕获 (Packet Capture)

捕获会话 (Capture Session) 选项卡将会显示当前已配置的数据包捕获会话列表。如果当前未配置数据包捕获会话,将会显示说明此情况的消息。

步骤 2

执行以下操作之一:

  • 要创建过滤器,请点击添加过滤器 (Add Filter) 按钮。

  • 要编辑现有过滤器,请点击该过滤器的编辑 (Edit) 按钮。

您将看到创建或编辑数据包过滤器 (Create or Edit Packet Filter) 对话框。

步骤 3

请在会话名称 (Session Name) 字段中输入数据包捕获过滤器的名称。

步骤 4

要对特定协议进行过滤,请从协议 (Protocol) 列表中选择该协议,或选择自定义 (Custom),然后输入所需的协议。自定义协议必须为 IANA 定义的协议,并采用十进制格式 (0 - 255)。

步骤 5

要对特定以太网类型进行过滤,请从以太网类型 (EtherType) 列表中选择该以太网类型,或选择自定义 (Custom),然后输入所需的以太网类型。自定义以太网类型必须是 IANA 定义的以太网类型,并采用十进制格式(例如,IPv4 = 2048,IPv6 = 34525,ARP = 2054 和 SGT = 35081)。

步骤 6

要基于内部 VLAN(进入端口时的 VLAN ID)或外部 VLAN(Firepower 4100/9300 机箱添加的 VLAN ID)过滤流量,请在指定字段中输入 VLAN ID。

步骤 7

要过滤特定来源或目的的流量,请在指定的来源或目的字段中输入 IP 地址和端口或输入 MAC 地址。

 

您可以使用 IPv4 或 IPv6 地址过滤,但无法在同一数据包捕获会话中同时过滤这两类地址。

步骤 8

点击保存 (Save) 保存过滤器,

过滤器列表 (Filter List) 选项卡中,您将看到列出了您的过滤器和已创建的任何其他过滤器。

启动和停止数据包捕获会话

过程

步骤 1

依次选择工具 (Tools) > 数据包捕获 (Packet Capture)

捕获会话 (Capture Session) 选项卡将会显示当前已配置的数据包捕获会话列表。如果当前未配置数据包捕获会话,将会显示说明此情况的消息。

步骤 2

要启动数据包捕获会话,请点击该会话的启用会话 (Enable Session) 按钮,然后点击是 (Yes) 进行确认。

 

您无法在另一个会话运行时启动数据包捕获会话。

会话中所包含接口的 PCAP 文件将开始收集流量。如果会话配置为覆盖会话数据,现有的 PCAP 数据将会擦除。如果不这样配置,数据将被附加到现有文件(如有)。

在数据包捕获会话运行时,单个 PCAP 文件的文件大小将随流量捕获而增加。一旦达到缓冲区大小限制,系统将开始丢弃数据包,您将会看到“丢弃计数 (Drop Count)”字段数值增加。

步骤 3

要停止数据包捕获会话,请点击该会话的禁用会话 (Disable Session) 按钮,然后点击是 (Yes) 进行确认。

在禁用会话后,您便可以下载 PCAP 文件(请参阅 下载数据包捕获文件)。

下载数据包捕获文件

您可将数据包捕获 (PCAP) 文件从会话下载到本地计算机,以便使用网络数据包分析器分析这些文件。

过程

步骤 1

依次选择工具 (Tools) > 数据包捕获 (Packet Capture)

捕获会话 (Capture Session) 选项卡将会显示当前已配置的数据包捕获会话列表。如果当前未配置数据包捕获会话,将会显示说明此情况的消息。

步骤 2

要从数据包捕获会话下载特定接口的 PCAP 文件,请点击对应此接口的下载 (Download) 按钮。

 

在数据包捕获会话运行时,无法下载 PCAP 文件。

根据您的浏览器,指定的 PCAP 文件要么会自动下载到默认下载位置,要么系统会提示您保存文件。

删除数据包捕获会话

如果单个数据包捕获会话当前未运行,则可将其删除,或者可以删除所有不活动的数据包捕获会话。

过程

步骤 1

依次选择工具 (Tools) > 数据包捕获 (Packet Capture)

捕获会话 (Capture Session) 选项卡将会显示当前已配置的数据包捕获会话列表。如果当前未配置数据包捕获会话,将会显示说明此情况的消息。

步骤 2

要删除特定数据包捕获会话,请点击对应于该会话的删除 (Delete) 按钮。

步骤 3

要删除所有不活动的数据包捕获会话,请点击数据包捕获会话列表上方的删除所有会话 (Delete All Sessions) 按钮。

测试网络连接

开始之前

要使用主机名或 IPv4 地址 ping 网络中的另一设备,以此来测试基本网络连接,请使用 ping 命令。要使用主机名或 IPv6 地址 ping 网络上中的另一设备,请使用 ping6 命令。

要使用主机名或 IPv4 地址跟踪网络中另一设备的路由,请使用 traceroute 命令。要使用主机名或 IPv6 地址跟踪网络中另一设备的路由,请使用 traceroute6 命令。

  • ping ping6 命令可在 local-mgmt 模式下使用。

  • ping 命令还可在 module 模式下使用。

  • traceroute traceroute6 命令可在 local-mgmt 模式下使用。

  • traceroute 命令还可在 module 模式下使用。

过程

步骤 1

通过输入以下命令之一连接到 local-mgmtmodule 模式:

  • connect local-mgmt

  • connect module module-ID { console | telnet}

示例:

FP9300-A# connect local-mgmt
FP9300-A(local-mgmt)#

步骤 2

使用主机名或 IPv4 地址 ping 网络中的另一设备,以此来测试基本网络连接:

ping {hostname | IPv4_address } [ count number_packets ] | [ deadline seconds ] | [ interval seconds ] | [ packet-size bytes ]

示例:

此示例演示如何 ping 连接网络中的另一设备十二次: 


FP9300-A(local-mgmt)# ping 198.51.100.10 count 12
PING 198.51.100.10 (198.51.100.10) from 203.0.113.5 eth0: 56(84) bytes of data.
64 bytes from 198.51.100.10: icmp_seq=1 ttl=61 time=0.264 ms
64 bytes from 198.51.100.10: icmp_seq=2 ttl=61 time=0.219 ms
64 bytes from 198.51.100.10: icmp_seq=3 ttl=61 time=0.234 ms
64 bytes from 198.51.100.10: icmp_seq=4 ttl=61 time=0.205 ms
64 bytes from 198.51.100.10: icmp_seq=5 ttl=61 time=0.216 ms
64 bytes from 198.51.100.10: icmp_seq=6 ttl=61 time=0.251 ms
64 bytes from 198.51.100.10: icmp_seq=7 ttl=61 time=0.223 ms
64 bytes from 198.51.100.10: icmp_seq=8 ttl=61 time=0.221 ms
64 bytes from 198.51.100.10: icmp_seq=9 ttl=61 time=0.227 ms
64 bytes from 198.51.100.10: icmp_seq=10 ttl=61 time=0.224 ms
64 bytes from 198.51.100.10: icmp_seq=11 ttl=61 time=0.261 ms
64 bytes from 198.51.100.10: icmp_seq=12 ttl=61 time=0.261 ms

--- 198.51.100.10 ping statistics ---
12 packets transmitted, 12 received, 0% packet loss, time 11104ms
rtt min/avg/max/mdev = 51.005/51.062/51.164/0.064 ms

FP9300-A(local-mgmt)#

步骤 3

使用主机名或 IPv4 地址跟踪网络中另一设备的路由:

traceroute { hostname | IPv4_address}

示例:


FP9300-A(local-mgmt)# traceroute 198.51.100.10
traceroute to 198.51.100.10 (198.51.100.10), 30 hops max, 40 byte packets
 1  198.51.100.57 (198.51.100.57)  0.640 ms  0.737 ms  0.686 ms
 2  net1-gw1-13.cisco.com (198.51.100.101)  2.050 ms  2.038 ms  2.028 ms
 3  net1-sec-gw2.cisco.com (198.51.100.201)  0.540 ms  0.591 ms  0.577 ms
 4  net1-fp9300-19.cisco.com (198.51.100.108)  0.336 ms  0.267 ms  0.289 ms

FP9300-A(local-mgmt)#

步骤 4

(可选)输入 exit 退出 local-mgmt 模式并返回到顶级模式。

管理接口状态故障排除

在初始化和配置期间,如果您怀疑管理接口由于某种原因未打开(例如,无法访问机箱管理器),请使用 local-mgmt shell 中的 show mgmt-port 命令来确定管理接口的状态。


请勿在 fxos shell 中使用 show interface brief 命令,因为它当前显示的信息不正确。

过程

步骤 1

通过输入以下命令连接到 local-mgmt 模式:

  • connect local-mgmt

示例:

firepower# connect local-mgmt
firepower(local-mgmt)#

步骤 2

使用 show mgmt-port 命令确定管理接口的状态。

示例:

firepower(local-mgmt)# show mgmt-port 
eth0      Link encap:Ethernet  HWaddr b0:aa:77:2f:f0:a9  
          inet addr:10.89.5.14  Bcast:10.89.5.63  Mask:255.255.255.192
          inet6 addr: fe80::b2aa:77ff:fe2f:f0a9/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3210912 errors:0 dropped:0 overruns:0 frame:0
          TX packets:705434 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1648941394 (1.5 GiB)  TX bytes:138386379 (131.9 MiB)

firepower(local-mgmt)#

您还可以使用 show mgmt-ip-debug 命令;但它会生成大量的接口配置信息。

确定端口通道状态

您可以按照以下步骤来确定当前定义的端口通道的状态。

过程

步骤 1

通过输入以下命令进入 /eth-uplink/fabric 模式:

  • scope eth-uplink

  • scope fabric { a | b}

示例:

FP9300-A# scope eth-uplink
FP9300-A /eth-uplink # scope fabric a
FP9300-A /eth-uplink/fabric #

步骤 2

输入 show port-channel 命令以显示当前的端口通道列表以及每个通道的管理状态和运行状态。

示例:

FP9300-A /eth-uplink/fabric # show port-channel

Port Channel:
    Port Channel Id Name             Port Type          Admin
 State Oper State       State Reason
    --------------- ---------------- ------------------ -----
------ ---------------- ------------
    10              Port-channel10   Data               Enabl
ed     Failed           No operational members
    11              Port-channel11   Data               Enabl
ed     Failed           No operational members
    12              Port-channel12   Data               Disab
led    Admin Down       Administratively down
    48              Port-channel48   Cluster            Enabl
ed     Up

FP9300-A /eth-uplink/fabric #

步骤 3

通过输入以下命令进入 /port-channel 模式,以显示各个端口通道和端口信息:

  • scope port-channel ID

示例:

FP9300-A /eth-uplink/fabric/port-channel # top
FP9300-A# connect fxos
Cisco Firepower Extensible Operating System (FX-OS) Software
TAC support: http://www.cisco.com/tac
Copyright (c) 2002-2017, Cisco Systems, Inc. All rights reserved.

The copyrights to certain works contained in this software are
owned by other third parties and used and distributed under
license.

    <--- remaining lines removed for brevity --->
 
FP9300-A(fxos)#

步骤 4

输入 show 命令以显示指定端口通道的状态信息。el.

示例:

FP9300-A /eth-uplink/fabric/port-channel # show

Port Channel:
    Port Channel Id Name             Port Type          Admin
 State Oper State       State Reason
    --------------- ---------------- ------------------ -----
------ ---------------- ------------
    10              Port-channel10   Data               Enabl
ed     Failed           No operational members

FP9300-A /eth-uplink/fabric/port-channel #

步骤 5

输入 show member-port 命令以显示端口通道成员端口的状态信息。

示例:

FP9300-A /eth-uplink/fabric/port-channel # show member-port

Member Port:
    Port Name       Membership         Oper State       State Reas
on
    --------------- ------------------ ---------------- ----------
--
    Ethernet2/3     Suspended          Failed           Suspended
    Ethernet2/4     Suspended          Failed           Suspended

FP9300-A /eth-uplink/fabric/port-channel #

除非已将端口通道分配到逻辑设备,否则不会显示相关信息。如果从逻辑设备中移除端口通道或逻辑设备被删除,该端口通道将恢复为“暂停”状态。

步骤 6

要查看其他端口通道和 LACP 信息,请通过输入以下命令退出 /eth-uplink/fabric/port-channel 模式并进入 fxos 模式:

  • top

  • connect fxos

示例:

步骤 7

输入 show port-channel summary 命令以显示当前端口通道的摘要信息。

示例:

FP9300-A(fxos)# show port-channel summary
Flags:  D - Down        P - Up in port-channel (members)
        I - Individual  H - Hot-standby (LACP only)
        s - Suspended   r - Module-removed
        S - Switched    R - Routed
        U - Up (port-channel)
        M - Not in use. Min-links not met
-------------------------------------------------------------
-------------------
Group Port-       Type     Protocol  Member Ports
      Channel
-------------------------------------------------------------
-------------------
10    Po10(SD)    Eth      LACP      Eth2/3(s)    Eth2/4(s)  
  
11    Po11(SD)    Eth      LACP      Eth2/1(s)    Eth2/2(s)  
  
12    Po12(SD)    Eth      LACP      Eth1/4(D)    Eth1/5(D)  
  
48    Po48(SU)    Eth      LACP      Eth1/1(P)    Eth1/2(P)

其他 show port-channel show lacp 命令可在 fxos 模式下使用。您可以使用这些命令来显示各种端口通道和 LACP 信息,例如容量、流量、计数器和使用率。

下一步做什么

有关创建端口通道的信息,请参阅添加 EtherChannel(端口通道)

从软件故障中恢复

开始之前

在阻止系统成功引导的软件故障情况下,您可以使用以下程序引导新的软件版本。要完成该过程,您需要 TFTP 来引导启动映像,下载新的系统和管理器映像,然后使用新映像进行引导。

特定 FXOS 版本的恢复映像可以从 Cisco.com 上的以下任一位置获取:

恢复映像包含三个单独的文件。例如,以下是 FXOS 2.1.1.64 的当前恢复映像。

Recovery image (kickstart) for FX-OS 2.1.1.64.
fxos-k9-kickstart.5.0.3.N2.4.11.63.SPA

Recovery image (manager) for FX-OS 2.1.1.64.
fxos-k9-manager.4.1.1.63.SPA

Recovery image (system) for FX-OS 2.1.1.64.
fxos-k9-system.5.0.3.N2.4.11.63.SPA

过程

步骤 1

访问 ROMMON:

  1. 连接到控制台端口。

  2. 重启系统。

    系统将开始加载,并且在该过程中会显示一个倒计时计时器。

  3. 在倒计时期间按 Escape 键可进入 ROMMON 模式。

示例:

Cisco System ROMMON, version 1.0.09, RELEASE SOFTWARE 
Copright (c) 1994-2015 by Cisco Systems, Inc. 
Compiled Sun 01/01/1999 23:59:59:59.99 by user

Current image running: Boot ROM0
Last reset cause: LocalSoft
DIMM Slot 0 : Present
DIMM Slot 1 : Present
No USB drive !!

Platform FPR9K-SUP with 16384 Mbytes of main memory
MAC Address aa:aa:aa:aa:aa:aa

find the string ! boot bootflash:/installables/switch/fxos-k9-kickstart.5.0.3.N2.0.00.00.SPA 
  bootflash:/installables/switch/fxos-k9-system.5.0.3.N2.0.00.00.SPA

Use BREAK, ESC or CTRL+L to interrupt boot.
use SPACE to begin boot immediately.
Boot interrupted.

rommon 1  >

步骤 2

TFTP 引导启动映像:

  1. 确认已正确设置管理 IP 地址、管理网络掩码和网关 IP 地址。您可以使用 set 命令查看其值。您可以使用 ping 命令测试与 TFTP 服务器的连接性。 

    rommon 1 > set
    ADDRESS=
    NETMASK=
    GATEWAY=
    SERVER=
    IMAGE=
    PS1="ROMMON ! > "
rommon > address <ip-address>
rommon > netmask <network-mask>
rommon > gateway <default-gateway>

  2. 将启动映像复制到可从 Firepower 4100/9300 机箱访问的 TFTP 目录。

     
    该启动映像的版本号将与捆绑包版本号不匹配。显示 FXOS 版本与启动映像之间映射的信息可在 Cisco.com 软件下载页面找到。

  3. 使用引导命令从 ROMMON 引导映像:

    boot tftp://<IP address>/<path to image>

     

    您还可以使用插入 Firepower 4100/9300 机箱前面板的 USB 插槽中的 FAT32 格式的 USB 介质设备,从 ROMMON 引导启动映像。如果 USB 设备是在系统运行期间插入的,则您需要先重新启动系统,然后系统才会识别该 USB 设备。

    系统将显示一系列 # 指示正在接收映像并且随后会加载启动映像。

示例:

rommon 1 > set
    ADDRESS=
    NETMASK=
    GATEWAY=
    SERVER=
    IMAGE=
    PS1="ROMMON ! > "

rommon 2 > address 10.0.0.2
rommon 3 > netmask 255.255.255.0
rommon 4 > gateway 10.0.0.1
rommon 5 > ping 10.0.0.2
..!!!!!!!!!!
Success rate is 100 percent (10/10)
rommon 6 > ping 192.168.1.2
..!!!!!!!!!!
Success rate is 100 percent (10/10)

rommon 7 > boot tftp://192.168.1.2/fxos-k9-kickstart.5.0.3.N2.1.11.1.SPA
             ADDRESS: 10.0.0.2
             NETMASK: 255.255.255.0
             GATEWAY: 10.0.0.1
              SERVER: 192.168.1.2
               IMAGE: fxos-k9-kickstart.5.0.3.N2.1.11.1.SPA

        TFTP_MACADDR: aa:aa:aa:aa:aa:aa
............................................................................

Receiving fxos-k9-kickstart.5.0.3.N2.1.11.1.SPA from 192.168.1.2

###############################################################################
###############################################################################
#############################################################################

File reception completed.

步骤 3

下载与您刚刚加载到 Firepower 4100/9300 机箱的启动映像相匹配的恢复系统和管理器映像:

  1. 要下载恢复系统和管理器映像,您需要设置管理 IP 地址和网关。您无法通过 USB 下载这些映像。

    switch(boot)# config terminal
switch(boot)(config)# interface mgmt 0
switch(boot)(config-if)# ip address <ip address> <netmask>
switch(boot)(config-if)# no shutdown
switch(boot)(config-if)# exit
switch(boot)(config)# ip default-gateway <gateway>
switch(boot)(config)# exit

  2. 将恢复系统和管理器映像从远程服务器复制到 bootflash:

    switch(boot)# copy URL bootflash:

    使用以下语法之一,为正在导入的文件指定 URL:

    • ftp://username@hostname/ path/ image_name

    • scp://username@hostname/ path/ image_name

    • sftp://username@hostname/ path/ image_name

    • tftp://hostname/ path/ image_name

    示例:

    switch(boot)# copy
  scp://<username>@192.168.1.2/recovery_images/fxos-k9-system.5.0.3.N2.4.11.69.SPA
  bootflash:

switch(boot)# copy
  scp://<username>@192.168.1.2/recovery_images/fxos-k9-manager.4.1.1.69.SPA
  bootflash:

  3. 将映像成功复制到 Firepower 4100/9300 机箱后,创建一个自 nuova-sim-mgmt-nsg.0.1.0.001.bin 的管理器映像系统链接。此链接可向加载机制指明要加载的管理器映像。该系统链接的名称应始终为 nuova-sim-mgmt-nsg.0.1.0.001.bin,无论您尝试加载什么映像都是如此。 

    switch(boot)# copy bootflash:<manager-image> 
  bootflash:nuova-sim-mgmt-nsg.0.1.0.001.bin

示例:

switch(boot)# config terminal
Enter configuration commands, one per line.  End with CNTL/Z.

switch(boot)(config)# interface mgmt 0
switch(boot)(config-if)# ip address 10.0.0.2 255.255.255.0
switch(boot)(config-if)# no shutdown
switch(boot)(config-if)# exit
switch(boot)(config)# ip default-gateway 10.0.0.1
switch(boot)(config)# exit
switch(boot)# copy
  tftp://192.168.1.2/recovery_images/fxos-k9-system.5.0.3.N2.4.11.69.SPA
  bootflash:
Trying to connect to tftp server......
Connection to server Established. Copying Started.....
/
TFTP get operation was successful
Copy complete, now saving to disk (please wait)...

switch(boot)# copy
  tftp://192.168.1.2/recovery_images/fxos-k9-manager.4.1.1.69.SPA
  bootflash:
Trying to connect to tftp server......
Connection to server Established. Copying Started.....
/
TFTP get operation was successful
Copy complete, now saving to disk (please wait)...

switch(boot)# copy bootflash:fxos-k9-manager.4.1.1.69.SPA
  bootflash:nuova-sim-mgmt-nsg.0.1.0.001.bin

Copy complete, now saving to disk (please wait)...

switch(boot)#

步骤 4

加载您刚刚下载的系统映像:

switch(boot)# load bootflash:<system-image>

示例:

switch(boot)# load bootflash:fxos-k9-system.5.0.3.N2.4.11.69.SPA
Uncompressing system image: bootflash:/fxos-k9-system.5.0.3.N2.4.11.69.SPA


Manager image digital signature verification successful
...
System is coming up ... Please wait ...


Cisco FPR Series Security Appliance
FP9300-A login:

步骤 5

加载恢复映像后,输入以下命令以避免系统尝试加载旧映像:

 

在加载恢复映像后应立即执行此步骤。

 
FP9300-A# scope org
FP9300-A /org # scope fw-platform-pack default
FP9300-A /org/fw-platform-pack # set platform-bundle-version ""
Warning: Set platform version to empty will result software/firmware incompatibility issue.
FP9300-A /org/fw-platform-pack* # commit-buffer

步骤 6

下载并安装您要在 Firepower 4100/9300 机箱上使用的平台捆绑包映像。有关详细信息,请参阅映像管理

示例:

FP9300-A# scope firmware
FP9300-A /firmware # show download-task

Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    fxos-k9.2.1.1.73.SPA
              Tftp     192.168.1.2            0                 Downloaded
FP9300-A /firmware # show package fxos-k9.2.1.1.73.SPA detail
Firmware Package fxos-k9.2.1.1.73.SPA:
    Version: 2.1(1.73)
    Type: Platform Bundle
    State: Active
Time Stamp: 2012-01-01T07:40:28.000
Build Date: 2017-02-28 13:51:08 UTC
FP9300-A /firmware #

从损坏的文件系统中恢复

开始之前

如果管理引擎的板载闪存损坏,并且系统无法再成功启动,您可以使用以下程序恢复系统。要完成该过程,您需要 TFTP 来引导启动映像,重新格式化闪存,下载新的系统和管理器映像,然后使用新映像进行引导。

此程序包括重新格式化系统闪存。因此,您需要在系统恢复后对其进行完全重新配置。

特定 FXOS 版本的恢复映像可以从 Cisco.com 上的以下任一位置获取:

恢复映像包含三个单独的文件。例如,以下是 FXOS 2.1.1.64 的恢复映像。

Recovery image (kickstart) for FX-OS 2.1.1.64.
fxos-k9-kickstart.5.0.3.N2.4.11.63.SPA

Recovery image (manager) for FX-OS 2.1.1.64.
fxos-k9-manager.4.1.1.63.SPA

Recovery image (system) for FX-OS 2.1.1.64.
fxos-k9-system.5.0.3.N2.4.11.63.SPA

过程

步骤 1

访问 ROMMON:

  1. 连接到控制台端口。

  2. 重启系统。

    系统将开始加载,并且在该过程中会显示一个倒计时计时器。

  3. 在倒计时期间按 Escape 键可进入 ROMMON 模式。

示例:

Cisco System ROMMON, version 1.0.09, RELEASE SOFTWARE 
Copright (c) 1994-2015 by Cisco Systems, Inc. 
Compiled Sun 01/01/1999 23:59:59:59.99 by user

Current image running: Boot ROM0
Last reset cause: LocalSoft
DIMM Slot 0 : Present
DIMM Slot 1 : Present
No USB drive !!

Platform FPR9K-SUP with 16384 Mbytes of main memory
MAC Address aa:aa:aa:aa:aa:aa

find the string ! boot bootflash:/installables/switch/fxos-k9-kickstart.5.0.3.N2.0.00.00.SPA 
  bootflash:/installables/switch/fxos-k9-system.5.0.3.N2.0.00.00.SPA

Use BREAK, ESC or CTRL+L to interrupt boot.
use SPACE to begin boot immediately.
Boot interrupted.

rommon 1  >

步骤 2

TFTP 引导启动映像:

  1. 确认已正确设置管理 IP 地址、管理网络掩码和网关 IP 地址。您可以使用 set 命令查看其值。您可以使用 ping 命令测试与 TFTP 服务器的连接性。 

    rommon 1 > set
    ADDRESS=
    NETMASK=
    GATEWAY=
    SERVER=
    IMAGE=
    PS1="ROMMON ! > "
rommon > address <ip-address>
rommon > netmask <network-mask>
rommon > gateway <default-gateway>

  2. 将启动映像复制到可从 Firepower 4100/9300 机箱访问的 TFTP 目录。

     
    该启动映像的版本号将与捆绑包版本号不匹配。显示 FXOS 版本与启动映像之间映射的信息可在 Cisco.com 软件下载页面找到。

  3. 使用引导命令从 ROMMON 引导映像:

    boot tftp://<IP address>/<path to image>

     

    您还可以使用插入 Firepower 4100/9300 机箱前面板的 USB 插槽中的 USB 介质设备,从 ROMMON 引导启动映像。如果 USB 设备是在系统运行期间插入的,则您需要先重新启动系统,然后系统才会识别该 USB 设备。

    系统将显示一系列 # 指示正在接收映像并且随后会加载启动映像。

示例:

rommon 1 > set
    ADDRESS=
    NETMASK=
    GATEWAY=
    SERVER=
    IMAGE=
    PS1="ROMMON ! > "

rommon 2 > address 10.0.0.2
rommon 3 > netmask 255.255.255.0
rommon 4 > gateway 10.0.0.1
rommon 5 > ping 10.0.0.2
..!!!!!!!!!!
Success rate is 100 percent (10/10)
rommon 6 > ping 192.168.1.2
..!!!!!!!!!!
Success rate is 100 percent (10/10)

rommon 7 > boot tftp://192.168.1.2/fxos-k9-kickstart.5.0.3.N2.1.11.1.SPA
             ADDRESS: 10.0.0.2
             NETMASK: 255.255.255.0
             GATEWAY: 10.0.0.1
              SERVER: 192.168.1.2
               IMAGE: fxos-k9-kickstart.5.0.3.N2.1.11.1.SPA

        TFTP_MACADDR: aa:aa:aa:aa:aa:aa
............................................................................

Receiving fxos-k9-kickstart.5.0.3.N2.1.11.1.SPA from 192.168.1.2

###############################################################################
###############################################################################
#############################################################################

File reception completed.

步骤 3

加载 kickstart 映像后,使用 init system 命令重新格式化闪存。

init system 命令会擦除闪存内容,包括下载到系统的所有软件映像以及系统上的所有配置。完成该命令大概需要 20-30 分钟。

示例:

switch(boot)# init system

This command is going to erase your startup-config, licenses as well as the contents of your bootflash:.

Do you want to continue? (y/n)  [n] y

Detected 32GB flash...
Initializing the system
mke2fs 1.35 (28-Feb-2004)
Checking for bad blocks (read-only test):        done
Initializing startup-config and licenses
mke2fs 1.35 (28-Feb-2004)
Checking for bad blocks (read-only test):        done
mke2fs 1.35 (28-Feb-2004)
Checking for bad blocks (read-only test):        done
mke2fs 1.35 (28-Feb-2004)
Checking for bad blocks (read-only test):        done
Formatting bootflash:
mke2fs 1.35 (28-Feb-2004)
Checking for bad blocks (read-only test):        done
Formatting SAM partition:
mke2fs 1.35 (28-Feb-2004)
Checking for bad blocks (read-only test):        done
Formatting Workspace partition:
mke2fs 1.35 (28-Feb-2004)
Checking for bad blocks (read-only test):        done
Formatting Sysdebug  partition:
mke2fs 1.35 (28-Feb-2004)
Checking for bad blocks (read-only test):        done

步骤 4

将恢复映像下载到 Firepower 4100/9300 机箱

  1. 要下载恢复映像,您需要设置管理 IP 地址和网关。您无法通过 USB 下载这些映像。

    switch(boot)# config terminal
switch(boot)(config)# interface mgmt 0
switch(boot)(config-if)# ip address <ip address> <netmask>
switch(boot)(config-if)# no shutdown
switch(boot)(config-if)# exit
switch(boot)(config)# ip default-gateway <gateway>
switch(boot)(config)# exit

  2. 将三个恢复映像从远程服务器复制到 bootflash:

    switch(boot)# copy URL bootflash:

    使用以下语法之一,为正在导入的文件指定 URL:

    • ftp://username@hostname/ path/ image_name

    • scp://username@hostname/ path/ image_name

    • sftp://username@hostname/ path/ image_name

    • tftp://hostname/ path/ image_name

    示例:

    switch(boot)# copy
  scp://<username>@192.168.1.2/recovery_images/fxos-k9-kickstart.5.0.3.N2.4.11.69.SPA
  bootflash:

switch(boot)# copy
  scp://<username>@192.168.1.2/recovery_images/fxos-k9-system.5.0.3.N2.4.11.69.SPA
  bootflash:

switch(boot)# copy
  scp://<username>@192.168.1.2/recovery_images/fxos-k9-manager.4.1.1.69.SPA
  bootflash:

  3. 将映像成功复制到 Firepower 4100/9300 机箱后,创建一个自 nuova-sim-mgmt-nsg.0.1.0.001.bin 的管理器映像系统链接。此链接可向加载机制指明要加载的管理器映像。该系统链接的名称应始终为 nuova-sim-mgmt-nsg.0.1.0.001.bin,无论您尝试加载什么映像都是如此。 

    switch(boot)# copy bootflash:<manager-image> 
  bootflash:nuova-sim-mgmt-nsg.0.1.0.001.bin

示例:

switch(boot)# config terminal
Enter configuration commands, one per line.  End with CNTL/Z.

switch(boot)(config)# interface mgmt 0
switch(boot)(config-if)# ip address 10.0.0.2 255.255.255.0
switch(boot)(config-if)# no shutdown
switch(boot)(config-if)# exit
switch(boot)(config)# ip default-gateway 10.0.0.1
switch(boot)(config)# exit
switch(boot)# copy
  tftp://192.168.1.2/recovery_images/fxos-k9-kickstart.5.0.3.N2.4.11.69.SPA
  bootflash:
Trying to connect to tftp server......
Connection to server Established. Copying Started.....
/
TFTP get operation was successful
Copy complete, now saving to disk (please wait)...

switch(boot)# copy
  tftp://192.168.1.2/recovery_images/fxos-k9-system.5.0.3.N2.4.11.69.SPA
  bootflash:
Trying to connect to tftp server......
Connection to server Established. Copying Started.....
/
TFTP get operation was successful
Copy complete, now saving to disk (please wait)...

switch(boot)# copy
  tftp://192.168.1.2/recovery_images/fxos-k9-manager.4.1.1.69.SPA
  bootflash:
Trying to connect to tftp server......
Connection to server Established. Copying Started.....
/
TFTP get operation was successful
Copy complete, now saving to disk (please wait)...

switch(boot)# copy bootflash:fxos-k9-manager.4.1.1.69.SPA
  bootflash:nuova-sim-mgmt-nsg.0.1.0.001.bin

Copy complete, now saving to disk (please wait)...

switch(boot)#

步骤 5

重新加载交换机:

switch(boot)# reload

示例:

switch(boot)# reload
This command will reboot this supervisor module. (y/n) ? y
[ 1866.310313] Restarting system.

!!  Rommon image verified successfully  !!


Cisco System ROMMON, Version 1.0.11, RELEASE SOFTWARE
Copyright (c) 1994-2016  by Cisco Systems, Inc.
Compiled Wed 11/23/2016 11:23:23.47 by builder
Current image running: Boot ROM1
Last reset cause: ResetRequest
DIMM Slot 0 : Present
DIMM Slot 1 : Present
No USB drive !! 
BIOS has been locked !!

Platform FPR9K-SUP with 16384 Mbytes of main memory
MAC Address: bb:aa:77:aa:aa:bb

autoboot: Can not find autoboot file 'menu.lst.local' 
          Or can not find correct boot string !!
rommon 1 >

步骤 6

从启动和系统映像引导:

rommon 1 > boot <kickstart-image> <system-image>

 

在加载系统映像期间,您很可能会看到许可证管理器失败消息。可以安全忽略这些消息。

示例:

rommon 1 > dir
Directory of: bootflash:\

  01/01/12  12:33a <DIR>          4,096  .
  01/01/12  12:33a <DIR>          4,096  ..
  01/01/12  12:16a <DIR>         16,384  lost+found
  01/01/12  12:27a           34,333,696  fxos-k9-kickstart.5.0.3.N2.4.11.69.SPA
  01/01/12  12:29a          330,646,465  fxos-k9-manager.4.1.1.69.SPA
  01/01/12  12:31a          250,643,172  fxos-k9-system.5.0.3.N2.4.11.69.SPA
  01/01/12  12:34a          330,646,465  nuova-sim-mgmt-nsg.0.1.0.001.bin
          4 File(s) 946,269,798 bytes
          3 Dir(s)

rommon 2 > boot fxos-k9-kickstart.5.0.3.N2.4.11.69.SPA fxos-k9-system.5.0.3.N2.4.11.69.SPA
  !!   Kickstart Image verified successfully   !!

Linux version: 2.6.27.47 (security@cisco.com) #1 SMP Thu Nov 17 18:22:00 PST 2016
[    0.000000] Fastboot Memory at 0c100000 of size 201326592
Usage: init 0123456SsQqAaBbCcUu

INIT: version 2.86 booting

POST INIT Starts at Sun Jan  1 00:27:32 UTC 2012
S10mount-ramfs.supnuovaca Mounting /isan 3000m
Mounted /isan
Creating /callhome..
Mounting /callhome..
Creating /callhome done.
Callhome spool file system init done.
Platform is BS or QP MIO: 30
FPGA Version 0x00010500 FPGA Min Version 0x00000600
Checking all filesystems..r.r..r done.
Warning: switch is starting up with default configuration
Checking NVRAM block device ... done
. 
FIPS power-on self-test passed
Unpack CMC Application software
Loading system software
Uncompressing system image: bootflash:/fxos-k9-system.5.0.3.N2.4.11.69.SPA


Manager image digital signature verification successful

...

System is coming up ... Please wait ...
nohup: appending output to `nohup.out'

           ---- Basic System Configuration Dialog ----

  This setup utility will guide you through the basic configuration of
  the system. Only minimal configuration including IP connectivity to
  the Fabric interconnect and its clustering mode is performed through these steps.

  Type Ctrl-C at any time to abort configuration and reboot system.
  To back track or make modifications to already entered values,
  complete input till end of section and answer no when prompted
  to apply configuration.


  You have chosen to setup a new Security Appliance. Continue? (y/n):

步骤 7

加载映像后,系统将提示您进入初始配置设置。有关详细信息,请参阅使用控制台端口的初始配置

步骤 8

下载您要在 Firepower 4100/9300 机箱上使用的平台捆绑包映像。有关详细信息,请参阅映像管理

示例:

FP9300-A# scope firmware
FP9300-A /firmware # show download-task

Download task:
    File Name Protocol Server          Port       Userid          State
    --------- -------- --------------- ---------- --------------- -----
    fxos-k9.2.1.1.73.SPA
              Tftp     192.168.1.2            0                 Downloaded
FP9300-A /firmware # show package fxos-k9.2.1.1.73.SPA detail
Firmware Package fxos-k9.2.1.1.73.SPA:
    Version: 2.1(1.73)
    Type: Platform Bundle
    State: Active
Time Stamp: 2012-01-01T07:40:28.000
Build Date: 2017-02-28 13:51:08 UTC
FP9300-A /firmware #

步骤 9

安装您在上一步中下载的平台捆绑包映像:

 

安装过程通常需要 15 到 20 分钟。

  1. 进入自动安装模式:

    Firepower-chassis /firmware # scope auto-install

  2. 安装 FXOS 平台捆绑包:

    Firepower-chassis /firmware/auto-install # install platform platform-vers version_number

    version_number 是您正在安装的 FXOS平台捆绑包的版本号,例如 2.1(1.73)。

  3. 系统将首先验证想要安装的软件包。它会告知您当前已安装的应用与指定的 FXOS 平台软件包之间的所有不兼容。此外,它还会警告您,在升级过程中,任何现有会话都将终止,系统将需要重启。

    输入 yes ,确认您想要继续验证。

  4. 输入 yes 确认您想要继续安装,或者输入 no 取消安装。

    FXOS打开捆绑包,升级/重新加载组件。

  5. 要监控升级流程,请执行以下操作:

    • 输入 scope firmware

    • 输入 scope auto-install

    • 输入 show fsm status expand

    示例:
    TB10 /firmware/auto-install # show fsm status expand
    FSM Status:
        Affected Object: sys/fw-system/fsm
        Current FSM: Deploy
        Status: In Progress
        Completion Time:
        Progress (%): 98

        FSM Stage:
        Order  Stage Name                               Status       Try
        ------ ---------------------------------------- ------------ ---
        1      DeployWaitForDeploy                      Success      0
        2      DeployResolveDistributableNames          Skip         0
        3      DeployResolveDistributable               Skip         0
        4      DeployResolveImages                      Skip         0
        5      DeployValidatePlatformPack               Success      1
        6      DeployDebundlePort                       Success      0
        7      DeployPollDebundlePort                   Success      1
        8      DeployActivateUCSM                       Success      0
        9      DeployPollActivateOfUCSM                 Success      0
        10     DeployActivateMgmtExt                    Skip         0
        11     DeployPollActivateOfMgmtExt              Skip         0
        12     DeployUpdateIOM                          Skip         0
        13     DeployPollUpdateOfIOM                    Skip         0
        14     DeployActivateIOM                        Skip         0
        15     DeployPollActivateOfIOM                  Skip         0
        16     DeployActivateRemoteFI                   Skip         0
        17     DeployPollActivateOfRemoteFI             Skip         0
        18     DeployWaitForUserAck                     Skip         0
        19     DeployActivateLocalFI                    Success      0
        20     DeployPollActivateOfLocalFI              In Progress  1

 

在各个阶段的状态从“进行中”更改为“跳过”或“成功”之前,请勿继续执行下一步。

步骤 10

如果您安装的平台捆绑包映像与用于恢复系统的映像一致,必须手动激活 kickstart 和系统映像,以便在将来加载系统时使用。安装映像与所使用的恢复映像一致的平台捆绑包时,系统不会自动激活。

  1. 设置交换矩阵互联 a 的范围: 

    FP9300-A# scope fabric-interconnect a

  2. 使用 show version 命令查看正在运行的内核版本和系统版本。您将使用这些字符串激活映像。 

    FP9300-A /fabric-interconnect # show version

     

    如果启动内核版本和启动系统版本已设置且与运行内核版本和运行系统版本相匹配,则无需激活映像,并且可以转至步骤 11。

  3. 输入以下命令以激活映像: 

    FP9300-A /fabric-interconnect # activate firmware 
  kernel-version <running_kernel_version> system-version <running_system_version>
commit-buffer

     

    服务器状态可能更改为“Disk Failed”。您无需担心此消息,并可继续执行此程序。

  4. 使用 show version 命令确认已正确设置启动版本并监控映像的激活状态。

    重要

     

    在状态从“Activating”更改为“Ready”之前,请勿继续进行下一步。

    		 
    FP9300-A /fabric-interconnect # show version

示例:

FP9300-A /firmware # top
FP9300-A# scope fabric-interconnect a
FP9300-A /fabric-interconnect # show version
Fabric Interconnect A:
    Running-Kern-Vers: 5.0(3)N2(4.11.69)
    Running-Sys-Vers: 5.0(3)N2(4.11.69)
    Package-Vers: 2.1(1.73)
    Startup-Kern-Vers:
    Startup-Sys-Vers:
    Act-Kern-Status: Ready
    Act-Sys-Status: Ready
    Bootloader-Vers:

FP9300-A /fabric-interconnect # activate firmware kernel-version 
  5.0(3)N2(4.11.69) system-version 5.0(3)N2(4.11.69)
Warning: When committed this command will reset the end-point
FP9300-A /fabric-interconnect* # commit-buffer
FP9300-A /fabric-interconnect # show version
Fabric Interconnect A:
    Running-Kern-Vers: 5.0(3)N2(4.11.69)
    Running-Sys-Vers: 5.0(3)N2(4.11.69)
    Package-Vers: 2.1(1.73)
    Startup-Kern-Vers: 5.0(3)N2(4.11.69)
    Startup-Sys-Vers: 5.0(3)N2(4.11.69)
    Act-Kern-Status: Activating
    Act-Sys-Status: Activating
    Bootloader-Vers:

FP9300-A /fabric-interconnect # show version
Fabric Interconnect A:
    Running-Kern-Vers: 5.0(3)N2(4.11.69)
    Running-Sys-Vers: 5.0(3)N2(4.11.69)
    Package-Vers: 2.1(1.73)
    Startup-Kern-Vers: 5.0(3)N2(4.11.69)
    Startup-Sys-Vers: 5.0(3)N2(4.11.69)
    Act-Kern-Status: Ready
    Act-Sys-Status: Ready
    Bootloader-Vers:

步骤 11

重新启动系统:

示例:

FP9300-A /fabric-interconnect # top
FP9300-A# scope chassis 1
FP9300-A /chassis # reboot no-prompt
Starting chassis reboot. Monitor progress with the command "show fsm status"
FP9300-A /chassis #

系统在最终关闭之前会先关闭每个安全模块/引擎,然后才重启 Firepower 4100/9300 机箱。此过程大约需要 5-10 分钟。

步骤 12

监控系统状态。服务器状态应从“Discovery”转为“Config”,最后转为“Ok”。

示例:

FP9300-A# show server status 
Server  Slot Status                       Overall Status        Discovery
------- --------------------------------- --------------------- ---------
1/1     Equipped                          Discovery             In Progress
1/2     Equipped                          Discovery             In Progress
1/3     Empty

FP9300-A# show server status
Server  Slot Status                       Overall Status        Discovery
------- --------------------------------- --------------------- ---------
1/1     Equipped                          Config                Complete
1/2     Equipped                          Config                Complete
1/3     Empty

FP9300-A# show server status
Server  Slot Status                       Overall Status        Discovery
------- --------------------------------- --------------------- ---------
1/1     Equipped                          Ok                    Complete
1/2     Equipped                          Ok                    Complete
1/3     Empty

当整体状态为“Ok”时,您的系统即已恢复。您仍必须重新配置安全设备(包括许可证配置),并重新创建所有逻辑设备。更多详情:

管理员密码未知时恢复出厂默认配置

此程序可将 Firepower 4100/9300 机箱系统恢复为其默认配置设置,包括管理员密码。当管理员密码未知时,可遵照此程序重置设备上的配置。此程序也会清除所有已安装的逻辑设备。

此程序需要控制台访问 Firepower 4100/9300 机箱。

过程

步骤 1

使用所提供的控制台电缆将 PC 连接到控制台端口,并使用已设置为 9600 波特、8 个数据位、无奇偶校验、1 个停止位、无流量控制功能的终端仿真器连接到控制台。有关控制台电缆的详细信息,请参阅《思科 Firepower 9300 硬件安装指南》。

步骤 2

启动设备。系统显示以下提示时,按 ESC 键停止启动。

示例:

!!  Rommon image verified successfully  !!

Cisco System ROMMON, Version 1.0.09, RELEASE SOFTWARE
Copyright (c) 1994-2015  by Cisco Systems, Inc.

Current image running: Boot ROM0
Last reset cause: ResetRequest
DIMM Slot 0 : Present
DIMM Slot 1 : Present
No USB drive !!
BIOS has been locked !!

Platform FPR9K-SUP with 16384 Mbytes of main memory
MAC Address: 00:00:00:00:00:00

find the string ! boot bootflash:/installables/switch/fxos-k9-kickstart.5.0.3.N2.3.14.69.SPA bootflash:/installables/switch/fxos-k9-system.5.0.3.N2.3.14.69.SPA

Use BREAK, ESC or CTRL+L to interrupt boot.
Use SPACE to begin boot immediately.
Boot interrupted.
rommon 1 >

步骤 3

记下启动和系统映像名称:

示例:

bootflash:/installables/switch/fxos-k9-kickstart.5.0.3.N2.3.14.69.SPA 
bootflash:/installables/switch/fxos-k9-system.5.0.3.N2.3.14.69.SPA

步骤 4

加载启动映像:

rommon 1 > boot kickstart_image

示例:

rommon 1 > boot bootflash:/installables/switch/fxos-k9-kickstart.5.0.3.N2.3.14.69.SPA
 !! Kickstart Image verified successfully !!

Linux version: 2.6.27.47 (security@cisco.com) #1 SMP Tue Nov 24 12:10:28 PST 2015
[ 0.000000] Fastboot Memory at 0c100000 of size 201326592
Usage: init 0123456SsQqAaBbCcUu
INIT: POST INIT Starts at Wed Jun 1 13:46:33 UTC 2016
can't create lock file /var/lock/mtab~302: No such file or directory (use -n flag to override)
S10mount-ramfs.supnuovaca Mounting /isan 3000m
Mounted /isan
TAC support: http://www.cisco.com/tac
Copyright (c) 2002-2015, Cisco Systems, Inc. All rights reserved.
The copyrights to certain works contained in this software are
owned by other third parties and used and distributed under
license. Certain components of this software are licensed under
the GNU General Public License (GPL) version 2.0 or the GNU
Lesser General Public License (LGPL) Version 2.1. A copy of each
such license is available at
http://www.opensource.org/licenses/gpl-2.0.php and
http://www.opensource.org/licenses/lgpl-2.1.php
switch(boot)#

步骤 5

输入配置终端模式:

switch(boot) # config terminal

示例:

switch(boot)#
switch(boot)# config terminal
Enter configuration commands, one per line.  End with CNTL/Z.

步骤 6

重置密码并确认更改:

switch(boot) (config) # admin-password erase

 

此步骤会清除所有配置并将系统恢复为其默认配置设置。

示例:

switch(boot)(config)# admin-password erase
Your password and configuration will be erased!
Do you want to continue? (y/n)  [n] y

步骤 7

退出配置终端模式:

switch(boot) (config) # exit

步骤 8

加载此程序第 3 步中提到的系统映像,然后使用初始配置任务流从头配置您的系统。

switch(boot) # load system_image

示例:

switch(boot)# load bootflash:/installables/switch/fxos-k9-system.5.0.3.N2.3.14.69.SPA

Uncompressing system image: bootflash:/installables/switch/fxos-k9-system.5.0.3.N2.3.14.69.SPA

生成故障排除日志文件

您可以生成日志文件来帮助进行故障排除,或在需要时发送至思科 TAC。

过程

步骤 1

选择工具 > 故障排除日志

步骤 2

从下拉列表中选择您想要生成的日志文件类型:

  • 机箱 - 生成用于排除机箱硬件问题和软件(包括管理引擎和服务管理器)问题的日志文件。

  • 模块 <#> - 生成用于排除安全模块/引擎问题的日志文件。

步骤 3

点击生成日志

步骤 4

点击确认您想要生成日志文件。

日志文件已生成。此过程可能需要一些时间。系统生成日志文件过程中,将显示黄色状态消息。您可以点击状态消息中的中止作业取消生成日志文件。系统生成日志文件后,状态消息颜色变为绿色,表示作业已成功完成。

步骤 5

要下载生成的日志文件,请导航至下载文件列表中的日志文件,然后点击下载。日志文件存储在 techsupport 文件夹下。

 

您可能需要点击刷新才能在下载文件列表中显示新生成的文件。

步骤 6

要删除生成的日志文件,请导航至下载文件列表中的日志文件,然后点击删除

启用模块核心转储

在模块上启用核心转储有助于在系统崩溃时进行故障排除,或者应要求发送到思科 TAC。

过程

步骤 1

连接到所需的模块;例如:

Firepower# connect module 1 console

步骤 2

(可选)输入以下命令以查看当前的核心转储状态:

Firepower-module1> show coredump detail

命令输出会显示当前核心转储状态信息,包括是否启用核心转储压缩。

示例:

Firepower-module1>show coredump detail
Configured status: ENABLED.
ASA Coredump: ENABLED.
Bootup status: ENABLED.
Compress during crash: DISABLED.

 

此命令仅在设备上运行 ASA 逻辑设备时可用,而在设备上运行 威胁防御 逻辑设备时不可用。

步骤 3

使用 config coredump 命令可启用或禁用核心转储,以及在崩溃期间启用或禁用核心转储压缩。

  • 使用 config coredump enable 在崩溃期间创建核心转储。

  • 使用 config coredump disable 在崩溃期间禁用核心转储创建。

  • 使用 config coredump compress enable 来启用核心转储压缩。

  • 使用 config coredump compress disable 来禁用核心转储压缩。

示例:

Firepower-module1>config coredump enable
Coredump enabled successfully.
ASA coredump enabled, do 'config coredump disableAsa' to disable
Firepower-module1>config coredump compress enable
WARNING: Enabling compression delays system reboot for several minutes after a system failure.  Are you sure? (y/n): 
y
Firepower-module1>

 

核心转储文件会消耗磁盘空间,如果空间不足且未启用压缩,则即使启用了核心转储,也无法保存核心转储文件。

查找序列号 Firepower 4100/9300 机箱

您可以找到有关 Firepower 4100/9300 机箱 及其序列号的详细信息。请注意,Firepower 4100/9300 机箱 的序列号与逻辑设备的序列号不同。

过程

步骤 1

依次选择概述 > 清单 > 全部

表中列出了安装在机箱中的组件,并提供了这些组件的相关详细信息。

步骤 2

序列号列中查找机箱序列号。

重建 RAID 虚拟驱动器

RAID(独立磁盘冗余阵列)是多个独立物理驱动器的阵列或组,旨在提供高性能和容错能力。驱动器组是一组物理驱动器。这些驱动器在称为虚拟驱动器的分区中进行管理。

与单驱动器存储系统相比,RAID 驱动器组可提高数据存储可靠性和容错能力。通过从剩余驱动器重建缺失数据,可以防止驱动器故障导致的数据丢失。RAID 可提高 I/O 性能并提高存储子系统的可靠性。

如果一个 RAID 驱动器发生故障或离线,则 RAID 虚拟驱动器会被视为处于降级状态。使用此程序来验证 RAID 虚拟驱动器是否处于降级状态,并在必要时临时将本地磁盘配置保护策略设置为“否”(no) 以便重新构建它。

当您将本地磁盘配置保护策略设置为“否”(no) 时,磁盘上的所有数据都会被销毁。

过程

步骤 1

检查 RAID 驱动器状态。

  1. 进入机箱模式:

    scope chassis

  2. 进入服务器模式:

    scope server 1

  3. 进入 RAID 控制器:

    scope raid-controller 1 sas

  4. 查看虚拟驱动器:

    show virtual-drive

    如果 RAID 虚拟驱动器被降级,则可操作性显示为 Degraded 。例如: 

    Virtual Drive:
    ID: 0
    Block Size: 512
    Blocks: 3123046400
    Size (MB): 1524925
    Operability: Degraded
Presence: Equipped

步骤 2

将本地磁盘配置策略保护设置为“否”(no) 以重建 RAID 驱动器。注意 - 完成这一步后,磁盘上的所有数据都将被销毁。

  1. 输入组织范围:

    scope org

  2. 输入本地磁盘配置策略范围:

    scope local-disk-config-policy ssp-default

  3. 将保护设为“否”(no):

    set protect no

  4. 提交配置:

    commit-buffer

步骤 3

等待 RAID 驱动器重建。检查 RAID 重建状态:

scope chassis 1

show server

当 RAID 驱动器重建成功时,插槽的总体状态会显示为 Ok 。例如:

示例:

Server:
    Slot    Overall Status        Service Profile
    ------- --------------------- ---------------
          1 Ok                    ssp-sprof-1

步骤 4

RAID 驱动器重建成功后,将本地磁盘配置策略保护恢复为“是”(yes)。

  1. 输入组织范围:

    scope org

  2. 输入本地磁盘配置策略范围:

    scope local-disk-config-policy ssp-default

  3. 将保护设为“否”(no):

    set protect yes

  4. 提交配置:

    commit-buffer

确定 SSD 的问题

使用以下程序来收集信息并确定设备上安装的 SSD 可能存在的问题。SSD 问题的一个示例症状是数据管理引擎 (DME) 进程无法启动。

当您插入新的 SSD 时,在 Blade BIOS 检测后,只有基本信息(类型、型号、序列号等)会填充到资产下。仅在 SSP-OS 升级完成后,本地磁盘数据才会填充到资产下。如果 SSP-OS 升级仍处于“正在更新状态”,则资产不会显示本地磁盘条目,也不会显示有关 SSD 连接的故障消息。

如果以下日志记录文件的输出表明 SSD 存在问题,请联系 TAC(请参阅https://www.cisco.com/c/en/us/buy/product-returns-replacements-rma.html)。

过程

步骤 1

连接到 FXOS 命令 shell:

connect fxos

步骤 2

显示 nvram 日志记录文件:

show logging nvram

错误输出示例:

2020 Oct 22 13:03:26 MDCNGIPSAPL02 %$ VDC-1 %$ Oct 22 13:03:25 %KERN-2-SYSTEM_MSG: [28175880.598580] EXT3-fs error (device sda4): ext3_get_inode_loc: unable to read inode block - inode=14, block=6

步骤 3

显示日志记录文件:

show logging logfile

错误输出示例:

   2020 Oct 21 21:11:25  (none) kernel: [28118744.718445] EXT3-fs error (device sda4): ext3_get_inode_loc: unable to read inode block - inode=14, block=6