أستكشاف أخطاء التوفر العالي الخاصة بالدفاع عن تهديد FirePOWER وإصلاحها
المحتويات
المقدمة
يصف هذا المستند إجراءات العملية والتحقق واستكشاف أخطاء التوفر العالي (HA) في برنامج الدفاع عن تهديد الطاقة النارية (FTD) وإصلاحها.
المتطلبات الأساسية
المتطلبات
توصي Cisco بمعرفة الموضوعات التالية:
- منصات FTD و ASA
- التقاط الحزم على أجهزة FTD
يوصى بشدة بقراءة دليل تكوين FirePOWER تكوين التوفر العالي ل FTD على أجهزة FirePOWER لفهم المفاهيم الموضحة في هذا المستند بشكل أفضل.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco FTD
- مركز إدارة FireSIGHT (FMC) من Cisco
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
تستند المعلومات والأمثلة إلى برنامج الإرسال فائق السرعة (FTD)، ولكن معظم المفاهيم تنطبق أيضا بشكل كامل على أجهزة الأمان المعدلة (ASA).
يدعم برنامج الإرسال فائق السرعة (FTD) وضعي إدارة رئيسيين:
- ميزة إيقاف التشغيل عبر وحدة التحكم في إدارة اللوحة الأساسية (FMC) - المعروفة أيضا باسم الإدارة عن بعد
- جهاز متوفر في المربع عبر برنامج FirePOWER Device Manager (FDM) - المعروف أيضا بالإدارة المحلية
خيارات التصميم
من وجهة نظر التصميم الخاصة ب FTD، يمكن توصيله مباشرة، كما هو موضح في هذه الصورة:
أو، يمكن توصيله عبر محول الطبقة 2 (L2)، كما هو موضح في هذه الصورة:
مصطلحات HA
| نشط |
يستلم ال ASA النشط كل حركة مرور مرور ويمرشح كل شبكة حركة مرور. يتم إجراء تغييرات التكوين على ASA النشط. |
| HA Link |
تتصل الوحدتان في زوج تجاوز الفشل باستمرار عبر إرتباط تجاوز الفشل لتحديد حالة التشغيل لكل وحدة ومزامنة تغييرات التكوين. المعلومات المشتركة عبر الارتباط هي:
|
| أساسي |
هذه هي الوحدة التي يتم تكوينها عادة أولا عند إنشاء HA. مغزى هذا هو أنه إذا كان كلا الجهازين من ASA HA أن يأتي معا في نفس اللحظة بالضبط، فإن الأساسي يفترض الدور النشط. |
| ثانوية |
هذه هي الوحدة التي يتم تكوينها عادة ثانيا عند إنشاء HA. مغزى هذا هو أنه، إذا كان كلا الجهازين من ASA HA أن يأتي معا في نفس اللحظة بالضبط، الثانوي يفترض دور الاستعداد. |
| وضع الاستعداد |
لا يعالج ASA الاحتياطي أي حركة مرور مباشرة، بل يقوم بمزامنة الاتصالات والتكوين من الجهاز النشط، ويأخذ الدور النشط في حالة تجاوز الفشل. |
| إرتباط الحالة |
تستخدم الوحدة النشطة إرتباط الحالة لتمرير معلومات حالة الاتصال إلى الجهاز الاحتياطي. لذلك، يمكن للوحدة الاحتياطية الاحتفاظ بأنواع معينة من الاتصالات ولا تؤثر عليك. تساعد هذه المعلومات وحدة الاستعداد على الحفاظ على الاتصالات الموجودة عند حدوث تجاوز فشل. nb: عند إستخدام نفس الارتباط لتجاوز الأعطال وتجاوز الأعطال المعبرة، يمكنك الحفاظ على الواجهات بشكل أفضل. ومع ذلك، يجب مراعاة واجهة مخصصة لارتباط الحالة وارتباط تجاوز الفشل، إذا كان لديك تكوين كبير وشبكة حركة مرور مرتفعة. نحن نوصي بأن تطابق النطاق الترددي لارتباط تجاوز الأعطال الذي يحدد الحالة أكبر عرض نطاق ترددي لواجهات البيانات على الجهاز. |
ولايات ها
| نشط |
يقوم الجهاز حاليا بمعالجة حركة مرور البيانات المباشرة على الشبكة، ويجب تنفيذ جميع تغييرات التكوين التي يلزم إجراؤها على هذا الجهاز. |
| مزامنة التطبيق |
يقوم الجهاز الموجود في هذه الحالة بمزامنة التكوين من الجهاز النشط. |
| المزامنة المجمعة |
يقوم الجهاز الموجود في هذه الحالة بمزامنة التكوين من الجهاز النشط. |
| معطل |
تم تعطيل تجاوز الفشل على الوحدة (الأمر: عدم تجاوز الفشل). |
| مفاوضة |
يتحقق الجهاز من توفر الجهاز النشط ويأخذ الدور النشط إذا لم يتم العثور على الجهاز النشط على أنه جاهز للاستعداد. |
| الاستعداد |
لا يعالج الجهاز حاليا حركة مرور البيانات ولكنه يأخذ الدور النشط إذا أظهر الجهاز النشط أي مشاكل في التحقق من الصحة. |
| مزامنة التكوين |
تم نسخ التكوين نسخا متماثلا من الجهاز النشط إلى الجهاز الاحتياطي. |
| وضع الاستعداد البارد |
يتولى الجهاز المهام كنشاط على تجاوز الفشل ولكنه لا يكرر أحداث الاتصال. |
الرسم التخطيطي لتدفق حالة HA
أساسي (بدون أي نظير متصل):
ثانوي (مع نظير متصل نشط):
التحقق من واجهة المستخدم
مركز إدارة Firepower المدار FTD HA
يمكن التحقق من حالة FTD HA من واجهة مستخدم FMC عند التنقل إلى الجهاز>إدارة الأجهزة، كما هو موضح في هذه الصورة:
برنامج FDM Managed FTD HA
صفحة نظرة عامة أساسية على FDM:
صفحة نظرة عامة على إدارة fdm الثانوية:
مدير ASDM Managed ASA HA
الصفحة الرئيسية ل ASDM ل ASA الأساسي:
الصفحة الرئيسية ل ASDM إلى ASA الثانوي:
مدير الهيكل Firepower ل 4100/9300 الذي يشغل FTD/ASA HA
صفحة الجهاز المنطقي الأساسية ل FCM:
صفحة الجهاز المنطقي الثانوية ل FCM:
التحقق من CLI
> show running-config failover
failover
failover lan unit secondary
failover lan interface failover-link GigabitEthernet0/2
failover replication http
failover link failover-link GigabitEthernet0/2
failover interface ip failover-link 10.10.69.49 255.255.255.0 standby 10.10.69.89
والنقاط المهمة التي يجب التأمل فيها في هذا الامر هي:
تجاوز الفشل
الوحدة الخاصة بتجاوز الأعطال ثانوية —> ما إذا كانت الوحدة أساسية أو ثانوية
واجهة تجاوز الفشل لشبكة LAN تجاوز الفشل عبر الارتباط GigabitEthernet0/2 —> الواجهة المادية عبر إرتباط الفشل على الجهاز
بروتوكول HTTP للنسخ المتطابق للأعطال
تجاوز فشل إرتباط الفشل GigabitEthernet0/2
واجهة تجاوز الفشل IP تجاوز الفشل-إرتباط 10.10.69.49 255.255.255.0 وضع الاستعداد 10.10.69.89 —> عناوين IP الرئيسية وعناوين IP لارتباط تجاوز فشل الجهاز الاحتياطي.
> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: failover-link GigabitEthernet0/2 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 0 of 311 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.16(0)26, Mate 9.16(0)26
Serial Number: Ours 9A1JSSKW48J, Mate 9ABR3HWFG12
Last Failover at: 01:18:19 UTC Nov 25 2021
This host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: ASAv hw/sw rev (/9.16(0)26) status (Up Sys)
Interface outside (0.0.0.0): Normal (Not-Monitored)
Interface inside (192.168.45.2): Normal (Not-Monitored)
Interface diagnostic (0.0.0.0): Normal (Not-Monitored)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Primary - Active
Active time: 707216 (sec)
Interface outside (0.0.0.0): Normal (Not-Monitored)
Interface inside (192.168.45.1): Normal (Not-Monitored)
Interface diagnostic (0.0.0.0): Normal (Not-Monitored)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : failover-link GigabitEthernet0/2 (up)
Stateful Obj xmit xerr rcv rerr
General 95752 0 115789 0
sys cmd 95752 0 95752 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 0 0
UDP conn 0 0 0 0
ARP tbl 0 0 20036 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 0 0 0 0
VPN IKEv1 SA 0 0 0 0
VPN IKEv1 P2 0 0 0 0
VPN IKEv2 SA 0 0 0 0
VPN IKEv2 P2 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
SIP Tx 0 0 0 0
SIP Pinhole 0 0 0 0
Route Session 0 0 0 0
Router ID 0 0 0 0
User-Identity 0 0 1 0
CTS SGTNAME 0 0 0 0
CTS PAC 0 0 0 0
TrustSec-SXP 0 0 0 0
IPv6 Route 0 0 0 0
STS Table 0 0 0 0
Rule DB B-Sync 0 0 0 0
Rule DB P-Sync 0 0 0 0
Rule DB Delete 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 5 504656
Xmit Q: 0 1 95752
تشغيل تجاوز الفشل: تم تمكين تجاوز الفشل أو تعطيله.
هذا المضيف: ثانوي - جاهز للعمل في وضع الاستعداد. دور هذا الجهاز وحالات الواجهات.
مضيفون آخرون: أساسي - نشط. يوجد الجهاز الآخر في حالة "نشط" ويتصل بالجهاز الحالي.
> show failover history
==========================================================================
From State To State Reason
==========================================================================
01:18:14 UTC Nov 25 2021
Not Detected Negotiation No Error
01:18:27 UTC Nov 25 2021
Negotiation Just Active No Active unit found
01:18:27 UTC Nov 25 2021
Just Active Active Drain No Active unit found
01:18:27 UTC Nov 25 2021
Active Drain Active Applying Config No Active unit found
01:18:27 UTC Nov 25 2021
Active Applying Config Active Config Applied No Active unit found
01:18:27 UTC Nov 25 2021
Active Config Applied Active No Active unit found
==========================================================================
أستخدم هذا للتحقق من الحالة التاريخية للأجهزة وأسباب هذه التغييرات في الحالة:
> show failover state
State Last Failure Reason Date/Time
This host - Secondary
Standby Ready None
Other host - Primary
Active None
====Configuration State===
Sync Done - STANDBY
====Communication State===
Mac set
تحقق من الحالات الحالية للأجهزة وسبب آخر عملية لتجاوز الفشل:
| الحقل |
الوصف |
|---|---|
| حالة التكوين |
عرض حالة مزامنة التكوين. حالات التكوين المحتملة للوحدة الاحتياطية:
حالات التكوين المحتملة للوحدة النشطة:
|
| دولة الاتصالات |
عرض حالة مزامنة عنوان MAC.
|
| التاريخ/الوقت |
يعرض تاريخ وطابع زمني للفشل. |
| سبب الفشل الأخير |
عرض سبب آخر فشل تم الإبلاغ عنه. لا يتم مسح هذه المعلومات، حتى إذا تم مسح حالة الفشل. لا تتغير هذه المعلومات إلا عند حدوث تجاوز فشل. أسباب الفشل المحتملة:
|
| الحالة |
يعرض حالة الوحدة الأساسية/الثانوية وحالة النشاط/الاستعداد. |
| هذا المضيف/الأجهزة المضيفة الأخرى |
يشير هذا المضيف إلى معلومات عن الجهاز الذي تم تنفيذ الأمر عليه. ويشير مضيف آخر إلى معلومات عن الجهاز الآخر في زوج تجاوز الفشل. |
> show failover descriptor
outside send: 00020000ffff0000 receive: 00020000ffff0000
inside send: 00020100ffff0000 receive: 00020100ffff0000
diagnostic send: 01020000ffff0000 receive: 01020000ffff0000
استكشاف الأخطاء وإصلاحها
تصحيح الأخطاء
> debug fover ?
cable Failover LAN status
cmd-exec Failover EXEC command execution
fail Failover internal exception
fmsg Failover message
ifc Network interface status trace
open Failover device open
rx Failover Message receive
rxdmp Failover recv message dump (serial console only)
rxip IP network failover packet recv
snort Failover NGFW mode snort processing
switch Failover Switching status
sync Failover config/command replication
tx Failover Message xmit
txdmp Failover xmit message dump (serial console only)
txip IP network failover packet xmit
verify Failover message verify
التقاط:
التقاط واجهة تجاوز الفشل:
يمكنك الرجوع إلى هذا الالتقاط لتحديد ما إذا كان يتم إرسال حزم السلام لتجاوز الفشل على إرتباط تجاوز الفشل بمعدل إرسالها.
> show capture
capture capfail type raw-data interface Failover [Capturing - 452080 bytes]
match ip host 10.197.200.69 host 10.197.200.89
> show capture capfail
15 packets captured
1: 09:53:18.506611 10.197.200.69 > 10.197.200.89 ip-proto-105, length 54
2: 09:53:18.506687 10.197.200.89 > 10.197.200.69 ip-proto-105, length 54
3: 09:53:18.813800 10.197.200.89 > 10.197.200.69 ip-proto-105, length 46
4: 09:53:18.814121 10.197.200.69 > 10.197.200.89 ip-proto-105, length 50
5: 09:53:18.814151 10.197.200.69 > 10.197.200.89 ip-proto-105, length 62
6: 09:53:18.815143 10.197.200.89 > 10.197.200.69 ip-proto-105, length 62
7: 09:53:18.815158 10.197.200.89 > 10.197.200.69 ip-proto-105, length 50
8: 09:53:18.815372 10.197.200.69 > 10.197.200.89 ip-proto-105, length 50
9: 09:53:19.514530 10.197.200.89 > 10.197.200.69 ip-proto-105, length 54
10: 09:53:19.514972 10.197.200.69 > 10.197.200.89 ip-proto-105, length 54
11: 09:53:19.718041 10.197.200.69 > 10.197.200.89 ip-proto-9, length 70
12: 09:53:20.533084 10.197.200.69 > 10.197.200.89 ip-proto-105, length 54
13: 09:53:20.533999 10.197.200.89 > 10.197.200.69 ip-proto-105, length 54
14: 09:53:20.686625 10.197.200.89 > 10.197.200.69 ip-proto-9, length 74
15: 09:53:20.686732 10.197.200.69 > 10.197.200.89 ip-proto-9, length 74
15 packets shown
التقاط ARP على إرتباط تجاوز الفشل:
يمكنك أخذ هذا الالتقاط لمعرفة ما إذا كان لدى الأقران إدخالات MAC في جدول ARP.
> show capture
capture caparp type raw-data ethernet-type arp interface Failover [Capturing - 1492 bytes]
> show capture caparp
22 packets captured
1: 11:02:38.235873 arp who-has 10.197.200.69 tell 10.197.200.89
2: 11:02:38.235934 arp reply 10.197.200.69 is-at 0:50:56:a0:85:6c
3: 11:03:47.228793 arp who-has 10.197.200.69 tell 10.197.200.89
4: 11:03:47.228870 arp reply 10.197.200.69 is-at 0:50:56:a0:85:6c
5: 11:08:52.231296 arp who-has 10.197.200.69 tell 10.197.200.89
6: 11:08:52.231387 arp reply 10.197.200.69 is-at 0:50:56:a0:85:6c
7: 11:32:49.134163 arp who-has 0.0.0.0 (ff:ff:ff:ff:ff:ff) tell 0.0.0.0 (0:0:0:0:0:0)
8: 11:32:50.226443 arp who-has 10.197.200.1 tell 10.197.200.28
9: 11:42:17.220081 arp who-has 10.197.200.89 tell 10.197.200.69
10: 11:42:17.221652 arp reply 10.197.200.89 is-at 0:50:56:a0:72:4d
11: 11:42:20.224124 arp who-has 10.197.200.89 tell 10.197.200.69
12: 11:42:20.225726 arp reply 10.197.200.89 is-at 0:50:56:a0:72:4d
13: 11:42:25.288849 arp who-has 10.197.200.69 tell 10.197.200.89
14: 11:42:25.288956 arp reply 10.197.200.69 is-at 0:50:56:a0:85:6c
15: 11:46:17.219638 arp who-has 10.197.200.89 tell 10.197.200.69
16: 11:46:17.220295 arp reply 10.197.200.89 is-at 0:50:56:a0:72:4d
17: 11:47:08.135857 arp who-has 10.197.200.69 tell 10.197.200.89
18: 11:47:08.135994 arp reply 10.197.200.69 is-at 0:50:56:a0:85:6c
19: 11:47:11.142418 arp who-has 10.197.200.89 tell 10.197.200.69
20: 11:47:11.143150 arp reply 10.197.200.89 is-at 0:50:56:a0:72:4d
21: 11:47:18.213993 arp who-has 10.197.200.69 tell 10.197.200.89
22: 11:47:18.214084 arp reply 10.197.200.69 is-at 0:50:56:a0:85:6c
22 packets shown
>
السيناريوهات
إذا فشلت وحدة النظير في الانضمام إلى مجموعة HA أو فشلت أثناء نشر التغييرات من الوحدة النشطة، فقم بتسجيل الدخول إلى الوحدة التي فشلت، وتصفح إلى الصفحة عالية التوفر، ثم انقر فوق الارتباط "محفوظات تجاوز الفشل".
فشل مزامنة التطبيق
إذا كان إخراج محفوظات عرض تجاوز الفشل يشير إلى فشل مزامنة التطبيق، فهذا يعني وجود مشكلة في وقت مرحلة التحقق من صحة HA، حيث يتحقق النظام من إمكانية عمل الوحدات بشكل صحيح كمجموعة عالية التوفر.
تظهر الرسالة "تم تمرير كافة عمليات التحقق من الصحة" عندما تكون "من الحالة" هي "مزامنة التطبيق" وتنتقل العقدة إلى حالة الاستعداد.
أي عمليات تحويل لفشل التحقق من الصحة النظير إلى حالة "معطل" (فشل). قم بحل المشاكل لجعل الأقران تعمل كمجموعة عالية التوافر مرة أخرى.
لاحظ أنه إذا قمت بإصلاح خطأ في مزامنة التطبيق وقمت بإجراء تغييرات على الوحدة النشطة، فيجب عليك نشرها ثم إستئناف HA للانضمام إلى عقدة النظير.
تشير الرسائل إلى حالات فشل، مع شرح لكيفية حل المشاكل. يمكن أن تحدث هذه الأخطاء عند الانضمام إلى العقدة وفي كل عملية نشر لاحقة.
في وقت انضمام العقدة، يقوم النظام بإجراء فحص مقابل آخر تكوين تم نشره على الوحدة النشطة.
فشلت عقدة الاستعداد في الانضمام إلى HA مع "فشل تطبيق تكوين التطبيق" خطأ مزامنة تطبيق القرص المضغوط
على سطر أوامر FTD في وضع الاستعداد، يجب أن يكون /ngfw/var/log/action_queue.log لديه سبب فشل التكوين.
الإصلاح: يمكن إستئناف HA عند تحديد خطأ التكوين، بعد إجراء التغييرات المطلوبة.
راجع Cisco بق IDCSCvu15611.
==========================================================================
From State To State Reason
==========================================================================
15:10:16 CDT Sep 28 2021
Not Detected Disabled No Error
15:10:18 CDT Sep 28 2021
Disabled Negotiation Set by the config command
15:10:24 CDT Sep 28 2021
Negotiation Cold Standby Detected an Active mate
15:10:25 CDT Sep 28 2021
Cold Standby App Sync Detected an Active mate
15:10:55 CDT Sep 28 2021
App Sync Disabled CD App Sync error is App Config Apply Failed
==========================================================================
فشلت عقدة الاستعداد في الانضمام إلى HA مع "فشل تقدم حالة HA بسبب مهلة مزامنة التطبيق"
في سطر أوامر FTD في وضع الاستعداد، يجب أن يكون /ngfw/var/log/ngfwmanager.log السبب وراء مهلة مزامنة التطبيق.
في هذه المرحلة، تفشل أيضا عمليات نشر النهج لأن الوحدة النشطة تعتقد أن مزامنة التطبيق لا تزال قيد التقدم.
يؤدي نشر النهج إلى حدوث الخطأ - نظرا لأن عملية الانضمام إلى NewNode/AppSync قيد التقدم، لا يسمح بتغييرات التكوين، وبالتالي يرفض طلب النشر. الرجاء إعادة محاولة النشر بعد بعض الوقت
الإصلاح: في بعض الأحيان، عند إستئناف التوفر العالي على عقدة الاستعداد، يمكنه حل المشكلة.
رأيت cisco بق id CSCvt48941
راجع Cisco بق id CSCvx11636
==========================================================================
From State To State Reason
==========================================================================
19:07:01 EST MAY 31 2021
Not Detected Disabled No Error
19:07:04 EST MAY 31 2021
Disabled Negotiation Set by the config command
19:07:06 EST MAY 31 2021
Negotiation Cold Standby Detected an Active mate
19:07:07 EST MAY 31 2021
Cold Standby App Sync Detected an Active mate
21:11:18 EST Jun 30 2021
App Sync Disabled HA state progression failed due to APP SYNC timeout
==========================================================================
فشلت عقدة الاستعداد في الانضمام إلى HA مع "فشل خطأ مزامنة تطبيق القرص المضغوط في تطبيق تكوين SSP على وضع الاستعداد"
في سطر أوامر "برنامج الإرسال فائق السرعة (FTD)" في وضع الاستعداد، يجب أن يحتوي /ngfw/var/log/ngfwmanager.log على السبب المحدد للفشل.
الإصلاح: في بعض الأحيان، عند إستئناف التوفر العالي على عقدة الاستعداد، يمكنه حل المشكلة.
راجع معرف الأخطاء من Cisco CSCvy04965
==========================================================================
From State To State Reason
==========================================================================
04:15:15 UTC Apr 17 2021
Not Detected Disabled No Error
04:15:24 UTC Apr 17 2021
Disabled Negotiation Set by the config command
04:16:12 UTC Apr 17 2021
Negotiation Cold Standby Detected an Active mate
04:16:13 UTC Apr 17 2021
Cold Standby App Sync Detected an Active mate
04:17:44 UTC Apr 17 2021
App Sync Disabled CD App Sync error is Failed to apply SSP config on standby
==========================================================================
فشل التحقق من الصحة
"مرحبا لا تسمع من الرفيق" يعني أن الرفيق غير متصل أو أن وصلة تجاوز الفشل لا تنقل رسائل HELLO keepalive.
حاول تسجيل الدخول إلى الجهاز الآخر، إذا لم يعمل بروتوكول SSH، فاحصل على وصول وحدة التحكم وفحص ما إذا كان الجهاز قيد التشغيل أو غير متصل.
في حالة التشغيل، فحدد سبب الفشل باستخدام الأمر، قم بإظهار حالة تجاوز الفشل.
إذا لم يكن الجهاز يعمل، فجرب عملية إعادة تشغيل تتسم بالهدوء وفحص ما إذا كنت ترى أي سجلات تشغيل على وحدة التحكم، وإلا، فيمكن إعتبار الجهاز معيب.
==========================================================================
From State To State Reason
==========================================================================
04:53:36 UTC Feb 6 2021
Failed Standby Ready Interface check
02:12:46 UTC Jul 11 2021
Standby Ready Just Active HELLO not heard from mate
02:12:46 UTC Jul 11 2021
Active Config Applied Active HELLO not heard from mate
==========================================================================
فشل في التطفل أو القرص
إذا كان FTD يوضح هذا الخطأ، "اكتشاف فشل محرك الفحص بسبب فشل القرص"، فسيكون هناك احتمالان.
محرك الكشف (مثيل SNORT) معطل
يمكن التحقق من هذا الإجراء باستخدام الأمر الموجود على جانب Linux، حالة PMTOOL | GREP -i de،
الإصلاح: إذا كان أي من المثيلات معطلا، فتحقق من /ngfw/var/log/messages وحدد السبب.
يظهر الجهاز نسبة إستخدام عالية للقرص
يمكن التحقق من هذا الإجراء باستخدام الأمر الموجود على جانب Linux، df -th.
الإصلاح: حدد الدليل الذي يستهلك معظم القرص واتصل ب TAC لحذف الملفات غير المرغوب فيها.
==========================================================================
From State To State Reason
==========================================================================
Active Config Applied Active No Active unit found
16:07:18 UTC Dec 5 2020
Active Standby Ready Other unit wants me Standby
16:07:20 UTC Dec 5 2020
Standby Ready Failed Detect Inspection engine failure due to disk failure
16:07:29 UTC Dec 5 2020
Failed Standby Ready My Inspection engine is as good as peer due to disk recovery
==========================================================================
فشل بطاقة الخدمة
يتم الإبلاغ عن هذه المشاكل بشكل عام بسبب فشل الوحدة النمطية FirePOWER على أجهزة ASA 5500-X. يرجى التحقق من سلامة الوحدة النمطية من خلال تفاصيل عرض الوحدة النمطية.
الإصلاح: قم بتجميع syslog ل ASA حول وقت الفشل، ويمكن أن تحتوي هذه التفاصيل مثل التحكم أو فشل مستوى البيانات.
قد يرجع ذلك إلى أسباب مختلفة في وحدة SFR. يوصى بفتح TAC للعثور على السبب الرئيسي لهذه المشكلة على IPS.
==========================================================================
From State To State Reason
==========================================================================
21:48:19 CDT Aug 1 2021
Active Standby Ready Set by the config command
21:48:19 CDT Aug 1 2021
Standby Ready Just Active Service card in other unit has failed
21:48:19 CDT Aug 1 2021
Active Config Applied Active Service card in other unit has failed
==========================================================================
فشل MIO
يبلغ Firepower Threat Defense/ASA عن حدوث عطل بسبب "فشل دقات قلب بطاقة MIO-Blade" في FPR1K و 2K و 4K و 9K.
راجع معرف الأخطاء من Cisco CSCvy14484
راجع معرف الأخطاء من Cisco CSCvh26447
==========================================================================
From State To State Reason
==========================================================================
20:14:45 EDT Apr 14 2021
Active Config Applied Active No Active unit found
20:15:18 EDT Apr 14 2021
Active Failed MIO-blade heartbeat failure
20:15:19 EDT Apr 14 2021
Failed Negotiation MIO-blade heartbeat recovered
==========================================================================
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
2.0 |
18-Apr-2023 |
تقويم |
1.0 |
06-Apr-2022 |
الإصدار الأولي |
التعليقات