Fehlerbehebung bei der Basiskonfiguration in FXOS

Download-Optionen

  • PDF     (298.3 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (90.4 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (84.1 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:5. April 2024
Dokument-ID:221653

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die Schritte beschrieben, mit denen Sie die Richtigkeit des grundlegenden Status und der Konfiguration der Cisco Secure Firewall eXtensible Operating (FXOS) überprüfen können.

    Voraussetzungen

    Anforderungen

    Cisco empfahl Ihnen folgende Kenntnisse:

    • Cisco Secure Firewall Extensible Operating (FXOS)
    • Cisco Secure Firewall Threat Defense (FTD)

    Verwendete Komponenten

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle in diesem Dokument verwendeten Geräte begannen mit einer gelöschten (Standard-)Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    • Cisco Secure Firewall eXtensible Operating 4110, Version 2.10.1.179
    • Cisco Secure Firewall Threat Defense, Version 7.0.5

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Das Cisco Secure Firewall-Chassis ist eine Plattform der nächsten Generation für Netzwerk- und Kontakt-Sicherheitslösungen. Mit einem logischen Gerät können Sie eine Anwendungsinstanz ausführen, entweder ASA oder Cisco Secure Firewall Threat Defense (FTD).

    Je nach dem logischen Gerät, das Sie hinzufügen, werden der Typ und die Version der Anwendungsinstanz definiert.

    Chassis-Informationen

    Mit diesem Befehl können Sie allgemeine Informationen zu Ihrem Chassis abrufen (unabhängig davon, ob alle Komponenten betriebsbereit sind), die vom TAC erfasst werden, um den Chassis-Fehler zu beheben.

    Seriennummer

    Die Seriennummer wird als Kennung des Gehäuses verwendet. Dies ist erforderlich, wenn eine RMA des gesamten Chassis eingeht.

    FPR4110-04-A# scope chassis 1
    FPR4110-04-A /chassis # show inventory
    Chassis     PID          Vendor            Serial (SN)  HW Revision
    -------    -----------   ----------------- -----------  -----------
    1          FPR-4110-K9   Cisco Systems Inc JMX2136L03W  0

    FXOS-Version

    FPR4110-04-A# show version
    Version: 2.10(1.179)
    Startup-Vers: 2.10(1.179)

    Es gibt zwei Möglichkeiten, die FXOS-Version zu kennen, diese beinhaltet die Firmware.

    FPR4110-04-A# show fabric-interconnect firmware
Fabric Interconnect A:
    Running-Kern-Vers: 5.0(3)N2(4.101.103)
    Running-Sys-Vers: 5.0(3)N2(4.101.103)
    Package-Vers: 2.10(1.179)
    Startup-Kern-Vers: 5.0(3)N2(4.101.103)
    Startup-Sys-Vers: 5.0(3)N2(4.101.103)
    Act-Kern-Status: Ready
    Act-Sys-Status: Ready
    Bootloader-Vers:

    Bootloader-Version

    FPR4110-04-A# scope chassis 1
    FPR4110-04-A /chassis # scope server 1
    FPR4110-04-A /chassis/server # scope adapter 1
    FPR4110-04-A /chassis/server/adapter # show version detail
    Adapter 1:
    Running-Vers: 5.10(1.53)
    Package-Vers: 2.10(1.179)
    Update-Status: Ready
    Activate-Status: Ready
    Bootloader-Update-Status: Ready
    Startup-Vers: 5.10(1.53)
    Backup-Vers: 5.10(1.57)
    Bootloader-Vers: 4.0(1.62)

    Check-up-Zeit

    FPR4110-04-A# connect fxos
    FPR4110-04-A(fxos)# show system uptime
    System start time: Mon Oct 23 16:45:36 2023
    System uptime: 98 days, 1 hours, 49 minutes, 36 seconds
    Kernel uptime: 98 days, 1 hours, 40 minutes, 19 seconds
    Active supervisor uptime: 98 days, 1 hours, 49 minutes, 36 second

    show clock

    FPR4110-04-A# show clock
    Tue Jan 30 17:07:50 EST 2024

    NTP-Server überprüfen

    FPR4110-04-A# scope system
    FPR4110-04-A /system # scope services
    FPR4110-04-A /system/services # show ntp-server
    NTP server hostname:
    Name Time         Sync Status
    --------------    ----------------
    172.16.254.131    Time Synchronized

    Überwachen des Chassis-Zustands

    Mit diesen Befehlen können Sie den Status der Chassis-Hardware überprüfen.

    Umgebung überprüfen

    FPR4110-04-A# scope chassis 1
    FPR4110-04-A /chassis # show environment expand detail
    Chassis 1:
    Overall Status: Power Problem
    Operability: Operable
    Power State: Redundancy Failed
    Thermal Status: Ok

    PSU 1:
    Threshold Status: N/A
    Overall Status: N/A
    Operability: N/A
    Power State: Off
    Thermal Status: OK
    Voltage Status: N/A

    PSU 2:
    Threshold Status: OK
    Overall Status: Operable
    Operability: Operable
    Power State: On
    Thermal Status: OK
    Voltage Status: OK

    Tray 1 Module 1:
    Threshold Status: OK
    Overall Status: Operable
    Operability: Operable
    Power State: On
    Thermal Status: OK
    Voltage Status: OK

    Fan Module Stats:
    Ambient Temp (C): 27.000000

     Fan 1:
    Threshold Status: OK
    Overall Status: Operable
    Operability: Operable
    Power State: On
    Thermal Status: OK
    Voltage Status: OK

     Fan 2:
    Threshold Status: OK
    Overall Status: Operable
    Operability: Operable
    Power State: On
    Thermal Status: OK
    Voltage Status: OK
    ...
     Server 1:
    Name:
    User Label:
    Overall Status: Ok
    Operability: Operable
    Oper Power: On

     Adapter 1:
    Threshold Status: N/A
    Overall Status: Operable
    Operability: Operable
    Power State: On
    Thermal Status: N/A
    Voltage Status: N/A

     Motherboard:
    Threshold Status: OK
    Overall Status: N/A
    Operability: N/A
    Oper Power: On
    Power State: Ok
    Thermal Status: OK
    Voltage Status: OK
    CMOS Battery Voltage Status: Ok
    Mother Board Power Usage Status: Ok

     Motherboard Temperature Statistics:
    Motherboard Front Temperature (C): 19.000000
    Motherboard Rear Temperature (C): 26.000000

     Memory Array 1:
    Threshold Status: N/A
    Overall Status: N/A
    Operability: N/A
    Power State: N/A
    Thermal Status: N/A
    Voltage Status: N/A

     DIMMs:

    DIMM Threshold Status Overall Status Operability Power State Thermal Status Voltage Status
    ---- ---------------- --------------- ----------- ----------- --------------- --------------
    1 N/A Operable N/A N/A OK N/A
    2 N/A Removed N/A N/A N/A N/A
    3 N/A Removed N/A N/A N/A N/A
    4 N/A Operable N/A N/A OK N/A
    5 N/A Removed N/A N/A N/A N/A
    ...

     CPU 1:
    Threshold Status: N/A
    Overall Status: Operable
    Operability: Operable
    Power State: N/A
    Thermal Status: OK
    Voltage Status: N/A

    Fehler anzeigen

    Die Fehlerliste zeigt alle Hardwareprobleme, die auf den Secure Firewall-Plattformen identifiziert wurden. Sie hilft, eine Zusammenfassung der aktiven Fehler sowie der bereits gelöschten Fehler zu erhalten.

    Die Fehler werden in chronologischer Reihenfolge angezeigt. „Severity“ (Schweregrad) spiegelt die Wichtigkeit des Fehlers wider, während „Description“ (Beschreibung) einen kurzen Überblick bietet. Der Schwerpunkt liegt hauptsächlich auf dem Schweregrad, dem Zeitstempel und der Beschreibung. Die Reihenfolge der Schweregrade des Fehlers vom schwerwiegendsten zum am wenigsten schwerwiegenden ist:

    • Critical (Kritisch)
    • Major (Schwerwiegend)
    • Geringfügig
    • Warnung
    • Info/Condition (Info/Zustand)
    • Cleared (Gelöscht)
      •  
    FPR4110-04-A# show fault
    Severity Code Last Transition Time ID Description
    --------- ----- ----------------------- ------ -----------
    Major F0276 2023-12-14T18:26:29.505 507308 ether port 2/2 on fabric interconnect A oper state: link-down, reason: Link failure or not-connected
    Major F0276 2023-11-13T14:07:37.720 221350 ether port 1/1 on fabric interconnect A oper state: link-down, reason: Link failure or not-connected
    Info F0279 2023-11-13T14:07:37.720 446504 ether port 1/7 on fabric interconnect A oper state: sfp-not-present
    Major F0276 2023-11-07T08:10:50.143 434090 ether port 1/6 on fabric interconnect A oper state: link-down, reason: Link failure or not-connected
    Major F0276 2023-11-07T08:10:49.941 434081 ether port 1/5 on fabric interconnect A oper state: link-down, reason: Link failure or not-connected
    Major F0282 2023-07-31T17:52:04.764 201600 lan port-channel 7 on fabric interconnect A oper state: failed, reason: No operational members
    Major F0282 2023-07-31T17:51:03.325 201446 lan port-channel 4 on fabric interconnect A oper state: failed, reason: No operational members
    Major F0282 2023-07-31T17:49:00.451 201281 lan port-channel 2 on fabric interconnect A oper state: failed, reason: No operational members
    Major F0282 2023-07-31T17:42:34.236 200638 lan port-channel 1 on fabric interconnect A oper state: failed, reason: No operational members
    Major F0909 2023-06-19T14:02:55.642 99113 default Keyring's certificate is invalid, reason: expired.
    Warning F1781 2012-01-11T02:21:44.215 90296 The password encryption key has not been set.
    Info F0461 2011-12-31T21:32:43.448 35793 Log capacity on Management Controller on server 1/1 is very-low
    Major F0408 2011-12-31T21:32:32.787 35497 Power state on chassis 1 is redundancy-failed
    Warning F0528 2011-12-31T21:32:32.787 35498 Power supply 1 in chassis 1 power: off
    Minor F1437 2011-12-31T21:31:08.462 32663 Config backup may be outdated
    FPR4110-04-A#

    Die Fehler können nach Ursache, Detail, Schweregrad oder unterdrückten Fehlern gefiltert werden.

    FPR4110-04-A# show fault ?
    0-18446744073709551615 ID 
    <CR> 
    > Redirect it to a file 
    >> Redirect it to a file in append mode 
    cause Cause 
    detail Detail 
    severity Severity 
    suppressed Fault Suppressed 
    | Pipe command output to filter 

    FPR4110-04-A# show fault severity major
    Severity Code Last Transition Time ID Description
    --------- ----- ----------------------- ------ -----------
    Major F0276 2023-12-14T18:26:29.505 507308 ether port 2/2 on fabric interconnect A oper state: link-down, reason: Link failure or not-connected
    Major F0276 2023-11-13T14:07:37.720 221350 ether port 1/1 on fabric interconnect A oper state: link-down, reason: Link failure or not-connected
    Major F0276 2023-11-07T08:10:50.143 434090 ether port 1/6 on fabric interconnect A oper state: link-down, reason: Link failure or not-connected
    Major F0276 2023-11-07T08:10:49.941 434081 ether port 1/5 on fabric interconnect A oper state: link-down, reason: Link failure or not-connected
    Major F0282 2023-07-31T17:52:04.764 201600 lan port-channel 7 on fabric interconnect A oper state: failed, reason: No operational members
    Major F0282 2023-07-31T17:51:03.325 201446 lan port-channel 4 on fabric interconnect A oper state: failed, reason: No operational members
    Major F0282 2023-07-31T17:49:00.451 201281 lan port-channel 2 on fabric interconnect A oper state: failed, reason: No operational members
    Major F0282 2023-07-31T17:42:34.236 200638 lan port-channel 1 on fabric interconnect A oper state: failed, reason: No operational members
    Major F0282 2023-07-31T17:41:34.673 200660 lan port-channel 3 on fabric interconnect A oper state: failed, reason: No operational members
    Major F0408 2011-12-31T21:32:32.787 35497 Power state on chassis 1 is redundancy-faile

    Probleme mit der Stromversorgung

    Bei Netzteilproblemen ist der Status "Voltage Problem" (Spannung) der Indikator für ein Problem.

    FPR4110-04-A# scope chassis 1
    FPR4110-04-A /chassis # show psu

    PSU:
    PSU Type Wattage (W) Overall Status
    --- ---- ----------- --------------
     1 DV 0 N/A
     2 DV 1100 Operable

    Lüfterprobleme

    Bei thermischen Fehlern handelt es sich höchstwahrscheinlich um ein legitimes Hardwareproblem mit der Kühlung bzw. den Lüftern oder um ein falsches Positivum aufgrund eines Softwarefehlers. Wenn der Lüfterstatus Inaktiv oder heruntergestuft lautet, wenden Sie sich an das TAC, um weitere Unterstützung zu erhalten.

    FPR4110-04-A# scope chassis 1
    FPR4110-04-A /chassis # show fan-module
    Fan Module:
    Tray Module Overall Status
    ----------- --------- --------------
    1 1 Operable
    1 2 Operable
    1 3 Operable
    1 4 Operable
    1 5 Operable
    1 6 Operable

    Veranstaltung anzeigen

    Es ist wichtig, FXOS auf Anwendungsfehler zu überprüfen, um festzustellen, ob das Problem auf dem Blade selbst liegt oder ob die Anwendung aufgrund eines softwarebezogenen Problems nicht gestartet werden kann.

    FPR4110-04-A# scope chassis
    FPR4110-04-A /chassis # scope server
    FPR4110-04-A /chassis/server # scope fxos
    FPR4110-04-A /chassis/server/fxos # show event
    Creation Time ID Code Description
    ----------------------- ------- -------- -----------
    2024-01-25T14:09:32.783 588408 E4197910 [FSM:STAGE:END]: Waiting for install license complete from blade 1/1(FSM-STAGE:sam:dme:OsControllerInitOS:HostWaitForLicInstalledComplete)
    2024-01-25T14:09:32.783 588409 E4197611 [FSM:STAGE:SKIP]: Reboot blade 1/1(FSM-STAGE:sam:dme:OsControllerInitOS:RebootHostAfterUpgrade)
    2024-01-25T14:09:32.783 588410 E4197611 [FSM:STAGE:END]: Reboot blade 1/1(FSM-STAGE:sam:dme:OsControllerInitOS:RebootHostAfterUpgrade)
    2024-01-25T14:09:32.783 588411 E4197612 [FSM:END]: Init OS on blade 1/1(FSM:sam:dme:OsControllerInitOS)
    2024-01-25T14:09:32.783 588412 E4197612 [FSM:STAGE:END]: (FSM-STAGE:sam:dme:OsControllerInitOS:success)
    2024-01-25T14:09:32.782 588405 E4197909 [FSM:STAGE:STALE-SUCCESS]: Request for upgrade to blade 1/1(FSM-STAGE:sam:dme:OsControllerInitOS:RequestToInstallLicense)
    2024-01-25T14:09:32.782 588406 E4197909 [FSM:STAGE:END]: Request for upgrade to blade 1/1(FSM-STAGE:sam:dme:OsControllerInitOS:RequestToInstallLicense)
    2024-01-25T14:09:32.782 588407 E4197910 [FSM:STAGE:SKIP]: Waiting for install license complete from blade 1/1(FSM-STAGE:sam:dme:OsControllerInitOS:HostWaitForLicInstalledComplete)
    2024-01-25T14:09:32.773 588404 E4197909 [FSM:STAGE:ASYNC]: Request for upgrade to blade 1/1(FSM-STAGE:sam:dme:OsControllerInitOS:RequestToInstallLicense)
    2024-01-25T14:09:32.768 588401 E4197609 [FSM:STAGE:END]: Request for upgrade to blade 1/1(FSM-STAGE:sam:dme:OsControllerInitOS:RequestToUpgrade)
    2024-01-25T14:09:32.768 588402 E4197610 [FSM:STAGE:SKIP]: Waiting for upgrade complete from blade 1/1(FSM-STAGE:sam:dme:OsControllerInitOS:HostWaitForUpgradeComplete)
    2024-01-25T14:09:32.768 588403 E4197610 [FSM:STAGE:END]: Waiting for upgrade complete from blade 1/1(FSM-STAGE:sam:dme:OsControllerInitOS:HostWaitForUpgradeComplete)
    FPR4110-04-A /chassis/server/fxos #

    Grund für Systemzurücksetzung anzeigen

    Überprüfen Sie bei unerwarteten Anwendungs-/Geräteneuladungen, ob für alle Prozesse (FTD) keine Kerne vorhanden sind, und überprüfen Sie mit dem Befehl show crash, ob ASA/Lina crashfo vorliegt. Wenn diese nicht vorhanden sind, ist das Problem wahrscheinlich mit FXOS verbunden und kann mit dem FXOS-Schlüsselwort weitergeleitet werden.

    FPR4110-04-A# connect fxos
    FPR4110-04-A(fxos)# show system reset-reason
    ----- reset reason for Supervisor-module 1 (from Supervisor in slot 1) ---
    1) No time
    Reason: Unknown
    Service: 
    Version: 5.0(3)N2(4.101)

    2) No time
    Reason: Unknown
    Service: 
    Version: 5.0(3)N2(4.101)
    ...

    Probleme mit der Stromversorgung des Motherboards

    FPR4110-04-A# scope chassis 1
    FPR4110-04-A /chassis # scope server 1/1
    FPR4110-04-A /chassis/server # show fsm status

    Slot: 1
    Server: sys/chassis-1/blade-1
     
    FSM 1:
    Remote Result: Not Applicable
    Remote Error Code: None
    Remote Error Description:
    Status: Nop
    Previous Status: Turnup Success
    Timestamp: 2023-10-23T16:48:19.299
    Try: 0
    Flags: 0
    Progress (%): 100
    Current Task:

     FSM 2:
    Status: Nop
    Previous Status: Identify Success
    Timestamp: 2023-10-23T16:47:33.592
    Try: 0
    Progress (%): 100
    Current Task:

     FSM 3:
    Status: Nop
    Previous Status: Configure Success
    Timestamp: 2023-10-23T16:48:16.739
    Try: 0
    Flags: 0
    Progress (%): 100
    Current Task:

    FPR4110-04-A /chassis/server # show fault
    Severity Code Last Transition Time ID Description
    --------- ------- ------------------------ -------- -----------
    Info F0461 2011-12-31T21:32:43.448 35793 Log capacity on Management Controller on server 1/1 is very-low

    Logische Geräte

    Wie in den Hintergrundinformationen angegeben, können Sie mit einem logischen Gerät eine Anwendungsinstanz ausführen, entweder ASA oder FTD.

    Mit diesen Befehlen kann der Status der im Chassis installierten Anwendungsinstanz bestätigt werden.

    Überwachungsinstanz

    Serverstatus anzeigen

    Prüfen Sie, ob der Steckplatz und der Erkennungsstatus angezeigt werden.

    FPR4110-04-A# show server status
    Server Slot Status Overall Status Discovery
    ------- ------------ ------- ---------
    1/1 Equipped Ok Complete

    Steckplatz anzeigen

    Zeigen Sie die Protokollstufe, den Admin-Status und den Betriebsstatus des Steckplatzes an.

    FPR4110-04-A# scope ssa
    FPR4110-04-A /ssa # show slot

    Slot:
    Slot ID Log Level Admin State Oper State
    ------- --------- ------------ ----------
    1 Info Ok Online

    Anwendungsinstanz anzeigen

    Zeigen Sie den Namen, die Version, den Autor, die unterstützten Bereitstellungstypen, den CSP-Typ und die verwendete Standardanwendung an.

    FPR4110-04-A# scope ssa
    FPR4110-04-A /ssa # show app
    Name Version Author Supported Deploy Types CSP Type Is Default App
    ---- -------- ------ ---------------------- ----------- --------------
    ftd 7.0.4-55 cisco Native,Container Application No
    ftd 7.0.5-72 cisco Native,Container Application Yes

    Logisches Gerät anzeigen

    FPR4110-04-A# scope ssa
    FPR4110-04-A /ssa # show logical-device

    Logical Device:
    Name Description Slot ID Mode Oper State Template Name
    ---- ----------- ------- ---------- ---------- -------------
    FTD1 1 Standalone Ok ftd

    App-Instanz anzeigen

    Zeigen Sie die vollständigen Informationen zum Betriebsstatus der App-Instanz an. Verwenden Sie show app-instance unter dem Steckplatzbereich.

    Dieser Befehl ist besonders hilfreich, wenn Sie die Anwendungsinstanz erstellen oder aktualisieren, wie er im Betriebszustand zeigt, wenn er "Installieren" oder "Online" ist, und die ausgeführte Softwareversion.

    FPR4110-04-A# scope ssa
    FPR4110-04-A /ssa # scope slot 1
    FPR4110-04-A /ssa/slot # show app-instance
    Application Instance:
    App Name Identifier Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
    -------- ---------- ----------- ---------- --------------- --------------- ----------- ---------- ------------ -------------- ------------
    ftd FTD1 Enabled Online 7.0.5-72 7.0.5-72 Native No Not Applicable None

    App-Instanzdetails anzeigen

    FPR4110-04-A# scope ssa
    FPR4110-04-A /ssa # show app-instance detail

    App Name: ftd
    Identifier: FTD1
    Slot ID: 1
    Admin State: Enabled
    Oper State: Online
    Running Version: 7.0.5-72
    Startup Version: 7.0.5-72
    Deploy Type: Native
    Profile Name:
    Cluster State: Not Applicable
    Cluster Role: None
    Current Job Type: Start
    Current Job Progress: 100
    Current Job State: Succeeded
    Clear Log Data: Available
    Error Msg:
    Hotfixes:
    Externally Upgraded: No
    FPR4110-04-A /ssa #

    Ressourcendetails anzeigen

    Anzeigen der Ressourcenzuordnung für die Anwendungsinstanz

    FPR4110-04-A# scope ssa
    FPR4110-04-A /ssa # scope slot 1
    FPR4110-04-A /ssa/slot # enter app-instance ftd FTD1
    FPR4110-04-A /ssa/slot/app-instance # show resource detail

    Resource:
    Allocated Core NR: 22
    Allocated RAM (MB): 52096
    Allocated Data Disk (MB): 128685
    Allocated Binary Disk (MB): 3907
    Allocated Secondary Disk (MB): 0

    Zugriff auf Chassis-Manager

    Zugriff auf lokalen Webserver

    Standardmäßig verweigert das Secure Firewall Threat Defense 4100/9300-Chassis den Zugriff auf den lokalen Webserver. Sie müssen Ihre IP-Zugriffsliste mit einer Liste zulässiger Dienste für jeden Ihrer IP-Blöcke konfigurieren.

    Die IP-Zugriffsliste unterstützt folgende Protokolle:

    • HTTPS

    • SNMP

    • SSH

      •  
    FPR4110-04-A# scope system
    FPR4110-04-A /system # scope services
    FPR4110-04-A /system/services # show ip-block 

    Permitted IP Block:
    IP Address Prefix Length Protocol
    ---------- ------------- --------
    0.0.0.0 0 https
    0.0.0.0 0 snmp

    Der Befehl enter dient zum Konfigurieren eines neuen Eintrags.

    FPR4110-04-A /system/services # enter ?
    dns Domain Name Server hostname 
    ip-block Permitted IP Block 
    ipv6-block Permitted IPv6 Block 
    ntp-server NTP server hostname 
    ssh-host SSH Server public keys 

    FPR4110-04-A /system/services # enter ip-block ?
    a.b.c.d IP Address

    FPR4110-04-A /system/services # enter ip-block 0.0.0.0 ?
    0-32 Prefix Length 

    FPR4110-04-A /system/services # enter ip-block 0.0.0.0 0 ?
    https Https 
    snmp Snmp 
    ssh Ssh

    FPR4110-04-A /system/services/ # enter ip-block 0.0.0.0 0 ssh
    FPR4110-04-A /system/services/ip-block* # commit-buffer
    FPR4110-04-A /system/services/ip-block # up
    FPR4110-04-A /system/services # show ip-block 

    Permitted IP Block:
    IP Address Prefix Length Protocol
    ---------- ------------- --------
    0.0.0.0 0 https
    0.0.0.0 0 snmp
    0.0.0.0 0 ssh

    Überwachungsschnittstellen

    Überprüfen der IP-Adresse für das Chassis-Management

    FPR4110-04-A# show fabric-interconnect 

    Fabric Interconnect:
    ID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway Prefix Operability Ingress VLAN Group Entry Count (Current/Max) Switch Forwarding Path Entry Count (Current/Max)
    --- ------------ ------------ --------------- ---------------- ---------------- ------ ----------- -------------------------------------------- ------------------------------------------------
    A 172.16.244.72 172.16.244.65 255.255.255.192 :: :: 64 Operable 0/500 53/102

    Mgmt-Port anzeigen

    Ermitteln Sie den Status der Management-Schnittstelle.

    FPR4110-04-A# connect local-mgmt 
    FPR4110-04-A(local-mgmt)# 
    FPR4110-04-A(local-mgmt)# show mgmt-port
    eth0 Link encap:Ethernet HWaddr 50:0f:80:8e:a5:cd 
    inet addr:172.16.244.72 Bcast:172.16.244.127 Mask:255.255.255.192
    inet6 addr: fe80::520f:80ff:fe8e:a5cd/64 Scope:Link
    inet6 addr: fe80::520f:80ff:fe8e:a5cd/64 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:7359566 errors:0 dropped:0 overruns:0 frame:0
    TX packets:1147585 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:1000 
    RX bytes:1735874306 (1.6 GiB) TX bytes:360530127 (343.8 MiB)

    Ping kann zum Testen der Verbindung verwendet werden.

    FPR4110-04-A(local-mgmt)# ping 172.16.244.65
    PING 172.16.244.65 (172.16.244.65) from 172.16.244.72 eth0: 56(84) bytes of data.
    64 bytes from 172.16.244.65: icmp_seq=1 ttl=254 time=1.15 ms
    64 bytes from 172.16.244.65: icmp_seq=2 ttl=254 time=1.38 ms
    ^C
    --- 172.16.244.65 ping statistics ---
    6 packets transmitted, 6 received, 0% packet loss, time 12ms
    rtt min/avg/max/mdev = 1.146/1.364/1.479/0.122 ms
    FPR4110-04-A(local-mgmt)#

    Erfassung auf Management-Schnittstelle festlegen

    Aktivieren Sie die Erfassung an der Chassis-(MIO-)Management-Schnittstelle (gilt nur für FP41xx/FP93xx). Standardmäßig werden nur 10 Pakete erfasst.

    FPR4110-04-A# connect fxos
    FPR4110-04-A(fxos)# ethanalyzer local interface mgmt
    Capturing on 'eth0'
    1 2024-01-30 16:15:56.149887591 fe80::6a9e:bff:fed5:678c → ff02::2 ICMPv6 70 Router Solicitation from 68:9e:0b:d5:67:8c
    2 2024-01-30 16:15:56.635897727 80:b7:09:32:f2:a0 → ff:ff:ff:ff:ff:ff ARP 60 Who has 172.16.244.65? Tell 172.16.244.106
    3 2024-01-30 16:15:56.650081622 c4:72:95:76:df:97 → 01:80:c2:00:00:00 STP 60 RST. Root = 0/12/2c:31:24:b1:6b:00 Cost = 4 Port = 0x8017
    4 2024-01-30 16:15:57.170356692 172.16.244.72 → 172.16.254.131 NTP 90 NTP Version 3, client
    5 2024-01-30 16:15:57.234298977 172.16.254.131 → 172.16.244.72 NTP 90 NTP Version 3, server
    6 2024-01-30 16:15:58.656444769 c4:72:95:76:df:97 → 01:80:c2:00:00:00 STP 60 RST. Root = 0/12/2c:31:24:b1:6b:00 Cost = 4 Port = 0x8017
    7 2024-01-30 16:15:59.170382028 172.16.244.72 → 172.16.254.131 NTP 90 NTP Version 3, client
    8 2024-01-30 16:15:59.233556065 172.16.254.131 → 172.16.244.72 NTP 90 NTP Version 3, server
    9 2024-01-30 16:15:59.352654266 0.0.0.0 → 255.255.255.255 DHCP 368 DHCP Discover - Transaction ID 0x328ec1b7
    10 2024-01-30 16:16:00.150684560 fe80::6a9e:bff:fed5:678c → ff02::2 ICMPv6 70 Router Solicitation from 68:9e:0b:d5:67:8c
    10 packets captured
    Program exited with status 0

    Ethanalyzer kann auch in der Eingangsschnittstelle verwendet werden. Die Optionen sind Protokolle mit hoher oder niedriger Priorität.

    FPR4110-04-A(fxos)# ethanalyzer local interface ?
    inbound-hi Inbound(high priority) interface
    inbound-low Inbound(low priority) interface
    mgmt Management interface

    Für die Erfassung kann ein Filter verwendet werden.

    FPR4110-04-A(fxos)# ethanalyzer local interface ?
    inbound-hi Inbound(high priority) interface
    inbound-low Inbound(low priority) interface
    mgmt Management interface

    show interface

    Dieser Befehl zeigt die Liste und den aktuellen Zustand der Schnittstelle im Chassis als kurze Beschreibung der Gründe für jeden Betriebszustand an.

    note-icon

    Hinweis: Schnittstellen, die als Ports in Port-Channels fungieren, werden nicht in dieser Liste angezeigt.

     
    FPR4110-04-A# scope eth-uplink 
    FPR4110-04-A /eth-uplink # scope fabric a
    FPR4110-04-A /eth-uplink/fabric # show interface

    Interface:
    Port Name Port Type Admin State Oper State Allowed Vlan State Reason
    ----------- --------- ----------- ---------- ------------ ------------
    Ethernet1/1 Data Enabled Link Down All Link failure or not-connected
    Ethernet1/2 Data Disabled Admin Down All Administratively down
    Ethernet1/3 Data Enabled Up All Port is enabled and up
    Ethernet1/4 Data Enabled Up All Port is enabled and up
    Ethernet1/5 Data Enabled Link Down All Link failure or not-connected
    Ethernet1/6 Data Enabled Link Down All Link failure or not-connected
    Ethernet1/7 Data Enabled Sfp Not Present All Unknown
    Ethernet1/8 Mgmt Enabled Up All Port is enabled and up
    Ethernet2/2 Data Enabled Link Down All Link failure or not-connected
    Ethernet2/5 Data Disabled Sfp Not Present All Unknown
    Ethernet2/6 Data Disabled Sfp Not Present All Unknown
    Ethernet2/7 Data Disabled Sfp Not Present All Unknown
    Ethernet2/8 Data Disabled Sfp Not Present All Unknow

    Wie bereits erwähnt, weisen die Fehler auf Hardwareprobleme hin, die auf den Secure Firewall-Plattformen festgestellt wurden. Sie können die Fehler in verschiedenen Bereichen überprüfen, um die Probleme in den einzelnen Bereichen einzugrenzen. Dieses Beispiel zeigt die Fehler im eth-Uplink.

    FPR4110-04-A# scope eth-uplink 
    FPR4110-04-A /eth-uplink # show fault
    Severity Code Last Transition Time ID Description
    --------- ------ ------------------------ ------- -----------
    Major F0727 2024-01-29T20:31:54.282 597025 lan Member 2/3 of Port-Channel 1 on fabric interconnect A is down, membership: down
    Major F0727 2024-01-29T20:31:54.282 597023 lan Member 2/4 of Port-Channel 1 on fabric interconnect A is down, membership: down
    Major F0282 2023-07-31T17:52:04.764 201600 lan port-channel 7 on fabric interconnect A oper state: failed, reason: No operational members
    Major F0282 2023-07-31T17:51:03.325 201446 lan port-channel 4 on fabric interconnect A oper state: failed, reason: No operational members
    Major F0282 2023-07-31T17:49:00.451 201281 lan port-channel 2 on fabric interconnect A oper state: failed, reason: No operational members
    Major F0282 2023-07-31T17:42:34.236 200638 lan port-channel 1 on fabric interconnect A oper state: failed, reason: No operational members
    Major F0282 2023-07-31T17:41:34.673 200660 lan port-channel 3 on fabric interconnect A oper state: failed, reason: No operational member

    Port-Channel anzeigen

    Hier sehen Sie die Anzahl der im Chassis konfigurierten Port-Channels sowie ihren allgemeinen Status.

    Sie können zu einem bestimmten Port-Channel-Bereich wechseln, um die Memberinformationen abzurufen.

    Wenn Sie den Port-Channel als ausgefallen betrachten, wenden Sie sich an das TAC, um weitere Unterstützung zu erhalten, da dies ein Beispiel für einen fehlerhaften Port-Channel ist.

    FPR4110-04-A# scope eth-uplink
    FPR4110-04-A /eth-uplink # scope fabric a
    FPR4110-04-A /eth-uplink/fabric # show port-channel
    Port Channel:
    Port Channel Id Name Port Type Admin State Oper State Port Channel Mode Allowed Vlan State Reason
    --------------- -------------- --------- ----------- ---------- ----------------- ------------ ------------
    1 Port-channel1 Data Enabled Failed Active All No operational members
    2 Port-channel2 Data Enabled Failed Active All No operational members
    3 Port-channel3 Data Enabled Failed Active All No operational members
    4 Port-channel4 Data Enabled Failed Active All No operational members
    7 Port-channel7 Data Enabled Failed Active All No operational members

    FPR4110-04-A /eth-uplink/fabric # scope port-channel 1
    FPR4110-04-A /eth-uplink/fabric/port-channel # show member

    Member Port:
    Port Name Membership Oper State State Reason
    ----------- ---------- ---------------- ------------
    Ethernet2/3 Down Sfp Not Present Unknown
    Ethernet2/4 Down Sfp Not Present Unknown

    Verwenden Sie den Befehl show port-channel summary, um den gesamten Port-Channel auf dem Gerät sowie seine Mitglieder anzuzeigen.

    FPR4110-04-A# connect fxos
    FPR4110-04-A(fxos)# show port-channel summary
    Flags: 
    D - Down 
    P - Up in port-channel (members)
    I - Individual H - Hot-standby (LACP only)
    s - Suspended r - Module-removed
    S - Switched R - Routed
    U - Up (port-channel)
    M - Not in use. Min-links not met
    --------------------------------------------------------------------------------
    Group Port-Channel Type Protocol Member Ports
    --------------------------------------------------------------------------------
    1 Po1(SD) Eth LACP Eth2/3(D) Eth2/4(D) 
    2 Po2(SD) Eth NONE --
    3 Po3(SD) Eth NONE --
    4 Po4(SD) Eth NONE --
    7 Po7(SD) Eth NONE --

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    2.0
    05-Apr-2024
    Hinzugefügter Haftungsausschluss. Aktualisierte Überschriften, Groß- und Kleinschreibung, Rechtschreibung und Formatierung.
    1.0
    08-Feb-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Marlene Preciado
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren