أستكشاف المشكلات المتعلقة بإدارة إطفاء الأضواء (LOM) عبر أنظمة FireSIGHT وإصلاحها

المقدمة

يقدم هذا المستند أعراضا ورسائل خطأ مختلفة قد تظهر عند تكوين إدارة إطفاء الأضواء (LOM)، وكيفية أستكشاف الأخطاء وإصلاحها خطوة بخطوة. يسمح لك LOM باستخدام اتصال إدارة تسلسلي خارج النطاق عبر شبكة LAN (SOL) من أجل مراقبة الأجهزة أو إدارتها عن بعد دون تسجيل الدخول إلى واجهة الويب الخاصة بالجهاز. يمكنك تنفيذ مهام محدودة، مثل عرض الرقم التسلسلي للهيكل أو مراقبة حالات مثل سرعة المروحة ودرجة الحرارة.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بنظام FireSIGHT و LOM.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات المكونات المادية والبرامج التالية:

• FireSIGHT Management Center
• أجهزة سلسلة FirePOWER 7000، أجهزة سلسلة 8000
• الإصدار 5.2 من البرنامج أو إصدار أحدث

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

يتعذر الاتصال ب LOM

قد تكون غير قادر على الاتصال ب FireSIGHT Management Center أو FirePOWER Appliance باستخدام LOM. قد تفشل طلبات الاتصال مع رسائل الخطأ التالية:

Error: Unable to establish IPMI v2 / RMCP+ session Error

Info: cannot activate SOL payload with encryption

يوضح القسم التالي كيفية التحقق من تكوين LOM والاتصالات بواجهة LOM.

التحقق من التكوين



الخطوة 1: تحقق من تمكين LOM وتأكد من تمكينه واستخدم عنوان IP مختلفا عن واجهة الإدارة.

الخطوة 2: تحقق من خلال فريق الشبكة من أن منفذ UDP 623 مفتوح ثنائي الإتجاه، ومن تكوين الموجهات بشكل صحيح. بما أن LOM يعمل عبر منفذ UDP، فلا يمكنك إستخدام Telnet إلى عنوان IP LOM عبر المنفذ 623. ومع ذلك، هناك حل بديل لاختبار ما إذا كان الجهاز يتحدث IPMI باستخدام أداة Ipmiping المساعدة. يرسل IPMIPING إستدعاءات IPMI Get Channel Authentication Capabilities عبر مخطط بيانات طلب Get Channel Authentication Capabilities على منفذ UDP 623 (طلبان نظرا لأنه يستخدم UDP والاتصالات غير مضمونة.)

ملاحظة: للحصول على إختبار أكثر شمولا لتأكيد ما إذا كان الجهاز يسمع على منفذ UDP 623، أستخدم مسح NMAP.

الخطوة 3: هل يمكنك إختبار اتصال عنوان IP الخاص ب LOM؟ 

وإذا لم تكن هناك مساحة، فقم بتشغيل هذا الأمر كمستخدم جذري على الجهاز القابل للتطبيق، وتحقق من صحة الإعدادات. على سبيل المثال,

ipmitool lan print

Set in Progress         : Set Complete
Auth Type Support       : NONE MD5 PASSWORD
Auth Type Enable        : Callback : NONE MD5 PASSWORD
                        : User     : NONE MD5 PASSWORD
                        : Operator : NONE MD5 PASSWORD
                        : Admin    : NONE MD5 PASSWORD
                        : OEM      :
IP Address Source       : Static Address
IP Address              : 192.0.2.2
Subnet Mask             : 255.255.255.0
MAC Address             : 00:1e:67:0a:24:32
SNMP Community String   : INTEL
IP Header               : TTL=0x00 Flags=0x00 Precedence=0x00 TOS=0x00
BMC ARP Control         : ARP Responses Enabled, Gratuitous ARP Disabled
Gratituous ARP Intrvl   : 0.0 seconds
Default Gateway IP      : 192.0.2.1
Default Gateway MAC     : 00:00:00:00:00:00
Backup Gateway IP       : 0.0.0.0
Backup Gateway MAC      : 00:00:00:00:00:00
802.1q VLAN ID          : Disabled
802.1q VLAN Priority    : 0
RMCP+ Cipher Suites     : 1,2,3,6,7,8,11,12,0
Cipher Suite Priv Max   : XaaaXXaaaXXaaXX
                        :     X=Cipher Suite Unused
                        :     c=CALLBACK
                        :     u=USER
                        :     o=OPERATOR
                        :     a=ADMIN
                        :     O=OEM

التحقق من الاتصال



الخطوة 1: هل يمكنك الاتصال باستخدام هذا الأمر؟


ipmitool -I lanplus -H xxx.xxx.xxx.xxx  -U admin sdr

هل تتلقى رسالة الخطأ هذه؟


Error: Unable to establish IPMI v2 / RMCP+ session

ملاحظة: يفشل توصيل بعنوان IP الصحيح مع بيانات الاعتماد الخطأ مع الخطأ السابق فورا. تحاول الاتصال ب LOM في مهلة غير صالحة لعنوان IP بعد حوالي 10 ثوان وإرجاع هذا الخطأ.


الخطوة 2: حاول الاتصال بهذا الأمر:


ipmitool -I lanplus  -H xxx.xxx.xxx.xxx  -U admin sdr

الخطوة 3: هل تحصل على هذا الخطأ؟

Info: cannot activate SOL payload with encryption


الآن حاول الاتصال بهذا الأمر (هذا يحدد مجموعة التشفير المراد إستخدامها):


ipmitool -I lanplus -H xxx.xxx.xxx.xxx -C 3 -U admin sdr

الخطوة 4: ما زال يتعذر الاتصال؟ حاول الاتصال بهذا الأمر:


ipmitool -I lanplus -vvv -H xxx.xxx.xxx.xxx -C 3 -U admin sdr

في مخرجات الاختبار هل ترى هذا الخطأ؟


RAKP 2 HMAC is invalid

الخطوة 5: قم بتغيير كلمة مرور Admin عبر واجهة المستخدم الرسومية (GUI)، ثم حاول مرة أخرى.

هل لا يزال يتعذر الاتصال؟ حاول الاتصال بهذا الأمر:


ipmitool -I lanplus -vvv -H xxx.xxx.xxx.xxx -C 3 -U admin sdr

في مخرجات الاختبار هل ترى هذا الخطأ؟


RAKP 2 message indicates an error : unauthorized name

الخطوة 6: أختر المستخدم > التكوين المحلي > إدارة المستخدم

• إنشاء TestLomUser جديد
• تحقق من تكوين دور المستخدم إلى المسؤول
• التحقق من السماح بوصول إدارة إطفاء الأضواء

على واجهة سطر الأوامر (CLI) الخاصة بالجهاز القابل للتطبيق، قم بتصعيد امتيازاتك لترسيخ هذه الأوامر وتشغيلها. 

تحقق من أن TestLomUser هو المستخدم على السطر الثالث.


ipmitool user list 1

ID  Name         Callin  Link Auth    IPMI Msg   Channel Priv Limit
1                    false   false      true       ADMINISTRATOR
2   root             false   false      true       ADMINISTRATOR
3   TestLomUser      true    true       true       ADMINISTRATOR

قم بتغيير المستخدم في السطر 3 إلى مسؤول.


ipmitool user set name 3 admin

تعيين مستوى وصول مناسب:


ipmitool channel setaccess 1 3 callin=on link=on ipmi=on privilege=4

تغيير كلمة المرور الخاصة بالمستخدم المسؤول الجديد

ipmitool user set password 3


تحقق من صحة الإعدادات.


ipmitool user list 1

ID  Name         Callin  Link Auth    IPMI Msg   Channel Priv Limit
1                    false   false      true       ADMINISTRATOR
2   root             false   false      true       ADMINISTRATOR
3   admin            true    true       true       ADMINISTRATOR

تأكد من تمكين SOL للقناة الصحيحة(1) والمستخدم(3).

ipmitool sol payload enable 1 3


الخطوة 7: تأكد من أن عملية IPMI ليست في حالة سيئة.


pmtool status | grep -i sfipmid

sfipmid (normal) - Running 2928
Command: /usr/local/sf/bin/sfipmid -t 180 -p power
PID File: /var/sf/run/sfipmid.pid
Enable File: /etc/sf/sfipmid.run

قم بإعادة تشغيل الخدمة.


pmtool restartbyid sfipmid

تأكد من تغيير معرف العملية.


pmtool status | grep -i sfipmid

sfipmid (normal) - Running 20590
Command: /usr/local/sf/bin/sfipmid -t 180 -p power
PID File: /var/sf/run/sfipmid.pid
Enable File: /etc/sf/sfipmid.run

الخطوة 8: قم بتعطيل LOM في واجهة المستخدم الرسومية (GUI)، ثم قم بإعادة تمهيد الجهاز. في واجهة المستخدم الرسومية (GUI) الخاصة بالجهاز، أختر محلي > تكوين > تكوين وحدة التحكم. حدد VGA، انقر حفظ، وانقر موافق لإعادة التمهيد.
  



بعد ذلك، قم بتمكين LOM في واجهة المستخدم الرسومية، ثم قم بإعادة تمهيد الجهاز. في واجهة المستخدم الرسومية (GUI) الخاصة بالجهاز، أختر محلي > تشكيل > تشكيل وحدة التحكم.  أختر منفذ تسلسلي طبيعي أو LOM، وانقر فوق حفظ، وانقر فوق موافق لإعادة التمهيد.
 

الآن، حاول الاتصال مرة أخرى.


ipmitool -I lanplus -vvv -H xxx.xxx.xxx.xxx -C 3 -U admin sdr

الخطوة 9: أوقف تشغيل الجهاز وأكمل دورة الطاقة، أي قم بإزالة كابل الطاقة فعليا لمدة دقيقة واحدة، ثم قم بتوصيله مرة أخرى، ثم اشغل الطاقة. بعد تشغيل الجهاز، قم بتشغيل هذا الأمر بالكامل:


ipmitool -I lanplus -vvv -H xxx.xxx.xxx.xxx -C 3 -U admin sdr

الخطوة 10: قم بتشغيل هذا الأمر من الجهاز المعني. وهذا على وجه التحديد يؤدي إلى إعادة ضبط باردة لوحدة التحكم في إدارة اللوحة الأساسية (BMC):

ipmitool bmc reset cold

الخطوة 11: قم بتشغيل هذا الأمر من نظام على الشبكة المحلية نفسها مثل الجهاز (أي، لا يمر عبر أي موجه متوسط):

ipmitool -I lanplus -H xxx.xxx.xxx.xxx -U admin power status

arp -an > /var/tmp/arpcache

إرسال دعم Cisco الفني لملف var/tmp/arpcache الناتج لتحديد ما إذا كانت وحدة التحكم في إدارة اللوحة الأساسية (BMC) تستجيب لطلب ARP.

تم قطع الاتصال بواجهة LOM أثناء إعادة التشغيل

عند إعادة تشغيل مركز إدارة FireSIGHT أو جهاز أمان FirePOWER، قد يفقد الاتصال بالجهاز. يتم عرض الإخراج عند إعادة تشغيل الجهاز عبر واجهة سطر الأوامر هنا:

admin@FireSIGHT:~$ sudo shutdown -r now

Broadcast message from root (ttyS0) (Tue Nov 19 19:40:30  Stopping Sourcefire 3D
 Sensor 7120...nfemsg: Host ID 1 on card 0 endpoint 1 de-registering ...
nfemsg: Host ID 2 on card 0 endpoint 1 de-registering ...
nfemsg: Host ID 27 on card 0 endpoint 1 de-registering ......ok
Stopping Netronome Flow Manager: nfemsg: Fail callback unregistered
Unregistered NFM fail hook handler
nfemsg: Card 0 Endpoint #1 messaging disabled
nfemsg: Module EXIT
WARNING: Deprecanfp nfp.0: [ME] CSR access problem for ME 25
ted config file nfp nfp.0: [vPCI] Removed virtual device 01:00.4
/etc/modprobe.conf, all config files belong into /etc/modprobe.d/. success.
No NMSB present: logging unecessary...[-10G[  OK  ]..
Turning off swapfile /Volume/.swaptwo
[-10G[  OK  ] other currently mounted file systems...
Unmounting fuse control filesystem.
Un

نظام ملفات التحكم في الصمامات التي تم تمييزها للإخراج الذي لا يتم تركيبه. تظهر الأمم المتحدة انقطاع الاتصال بالجهاز بسبب تمكين بروتوكول الشجرة المتفرعة (STP) على المحول حيث يتم توصيل نظام FireSIGHT به. بمجرد إعادة تمهيد الأجهزة المدارة، يتم عرض هذا الخطأ:

Error sending SOL data; FAIL
                              SOL session closed by BMC 

ملاحظة: قبل أن تتمكن من الاتصال بأحد الأجهزة باستخدام LOM/SOL، يجب تعطيل بروتوكول الشجرة المتفرعة (STP) على أي جهاز تحويل من جهة خارجية متصل بواجهة إدارة الجهاز.

تتم مشاركة اتصال LOM لنظام FireSIGHT مع منفذ الإدارة. الرابط الخاص بالإدارة يسقط ميناء لمدة وجيزة جدا أثناء إعادة التمهيد. بما أن الارتباط يتراجع ويرجع إلى الأعلى، فقد يؤدي ذلك إلى تشغيل تأخير في منفذ المحول (عادة 30 ثانية قبل بدء مرور البيانات) بسبب حالة منفذ المحول للاستماع أو التعلم الناتجة عن تكوين بروتوكول الشجرة المتفرعة (STP) على المنفذ.