Solución de problemas de implementaciones de políticas de Firepower Threat Defence

Opciones de descarga

  • PDF     (755.3 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (563.1 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (519.3 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:23 de septiembre de 2022
ID del documento:215258

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe una descripción general de alto nivel del proceso de implementación de políticas en FTD, así como técnicas básicas de solución de problemas. 

    Antecedentes

    Con Cisco Firepower Threat Defense (FTD), las funciones de firewall stateful tradicionales ofrecidas por Adaptive Security Appliances (ASA) y Next-Gen funciones de firewall (con tecnología Snort) ahora se combinan en un solo producto.

    Debido a este cambio, Policy Deployment Infrastructure en FTD ahora gestiona los cambios de configuración tanto para el código ASA (también denominado LINA) como para Snort en un paquete. 

    Prerequisites

    Cisco recomienda conocer estos productos:

    • Firepower Management Center (FMC)
    • Firepower Threat Defense (FTD)

    Componentes Utilizados

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Descripción general de implementación de políticas

    Cisco FTD utiliza Policy Deployments para administrar y desplegar las configuraciones de los dispositivos registrados en el Firepower Management Center (CSP).

    Dentro de la implementación, hay una serie de pasos que se dividen en "fases".

    Las fases del CSP pueden resumirse en esta lista.

    Fase 0 Inicialización de implementación
    Fase 1 Colección de objetos de base de datos
    Fase 2 Colección de políticas y objetos
    Fase 3 Generación de configuración de línea de comandos de NGFW
    Fase 4 Generación de paquetes de implementación de dispositivos
    Fase 5 Enviar y recibir el paquete de implementación
    Fase 6 Mensajes de implementación, acciones de implementación y éxito de implementación pendientes

    El conocimiento de las fases y de la ubicación de los fallos en el proceso puede ayudar a solucionar los fallos que Firepower caras del sistema.

    En algunas situaciones, puede ser un conflicto debido a configuraciones anteriores o causado por un Advanced Flex Configuration que carece de una palabra clave que puede causar fallas que el informe del dispositivo no aborda.

    Ejemplo de descripción general

    Paso 1. Haga clic en Deployment, que especifica el dispositivo que se va a seleccionar.

    Paso 2. Cuando se confirma la implementación de un dispositivo, el FMC comienza a recopilar todas las configuraciones relevantes para el dispositivo. 

    Paso 3. Cuando se recopilan las configuraciones, el FMC crea el paquete y lo envía al sensor a través de su mecanismo de comunicación llamado SFTunnel.

    Paso 4. El FMC notifica al sensor que inicie el proceso de despliegue con la política proporcionada mientras escucha las respuestas individuales.

    Paso 5. El dispositivo administrado desempaqueta el archivo y comienza a aplicar las configuraciones y los paquetes individuales.

    R. La primera mitad del despliegue es el Snort configuración en la que Snort la configuración se prueba localmente para garantizar su validez.

    Cuando se demuestra que es válida, la nueva configuración se traslada al directorio de producción para Snort. Si la validación falla, la implementación de la política falla en este paso.

    B. La segunda mitad de la carga del paquete de implementación corresponde a la configuración LINA, donde el proceso ngfwManager la aplica directamente al proceso LINA.

    Si se produce un error, los cambios se deshacen y se produce un error en la implementación de directivas.

    Paso 6. Si ambos Snort y los paquetes LINA son correctos, el dispositivo administrado indica Snort para reiniciar o recargar para cargar la nueva configuración y guardar todas las configuraciones actuales.

    Paso 7. Si todos los mensajes son correctos, el sensor envía un mensaje de éxito y espera a que Management Center lo confirme.

    Paso 8. Una vez recibido, el FMC marca la tarea como un éxito y permite que el paquete de políticas finalice.

    Resolución de problemas

    Problemas encontrados durante Policy Deployment puede deberse, entre otros motivos:

    1. Configuración errónea
    2. Comunicación entre CSP y FTD
    3. Base de datos y estado del sistema
    4. Defectos y advertencias del software
    5. Otras situaciones únicas

    Algunos de estos problemas pueden solucionarse fácilmente, mientras que otros pueden requerir la ayuda de Cisco Technical Assistance Center (TAC).

    El objetivo de esta sección es proporcionar técnicas para aislar el problema o determinar la causa raíz. 

    Interfaz gráfica de usuario (GUI) de FMC 

    Cisco recomienda iniciar cada sesión de solución de problemas para los fallos de implementación en el dispositivo FMC.

    En la ventana de notificación de fallas, en todas las versiones posteriores a la 6.2.3, hay herramientas adicionales que pueden ayudar con otros posibles errores. 

    Utilizar Las Transcripciones De Implementación

    Paso 1. Tire hacia arriba del Deployments en la interfaz de usuario web de FMC.

    Paso 2. Mientras que el Deployments está seleccionada, haga clic en Show History.


    FMCHistory

    Paso 3. Dentro de la Deployment History , puede ver todas las implementaciones anteriores desde su FMC. Seleccione la implementación en la que desea ver más datos.


    Paso 4. Una vez seleccionado un elemento de implementación, Deployment Details muestra una lista de todos los dispositivos del interior del Transaction. Estas entradas se dividen en las siguientes columnas: Device Number, Device Name, Status,y Transcript.


    DeploymentHist1

    Paso 5. Seleccione el dispositivo en cuestión y haga clic en la opción de transcripción para ver la transcripción de la implementación individual, que puede informarle de los fallos, así como de las configuraciones que se colocan en los dispositivos administrados.

    DeployTranscript1

    Paso 6. Esta transcripción puede designar ciertas condiciones de falla e indicar un número muy importante para el siguiente paso: Transaction ID.

    DeployTransactionID

    Paso 7. IN A Firepower Deployment,el Transaction ID es lo que se puede utilizar para realizar un seguimiento de cada sección individual de una implementación de políticas. Con esto, en la línea de comandos del dispositivo, puede obtener una versión más detallada de estos datos para su remediación y análisis.

    Sugerencia: en caso de que no pueda localizar el ID de transacción o si se encuentra en una versión anterior a la impresión, este registro puede seguir siendo útil para localizar mensajes de error individuales.

    Resolución de problemas con registros FMC

    Aunque resulta adecuado que el TAC de Cisco analice los registros, una búsqueda a través de los registros puede ayudar con el aislamiento inicial del problema y acelerar la resolución. Existen varios archivos de registro en FMC que revelan los detalles sobre el proceso de implementación de políticas.

    Los dos registros a los que más se hace referencia son policy_deployment.log y usmsharedsvcs.log.

    Todos los archivos mencionados en este documento se pueden ver con varios comandos de Linux como more, less y vi. Sin embargo, es muy importante garantizar que solo read se le realizan acciones. Todos los archivos requieren acceso raíz para poder verlos.

    /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log

    Este registro marca claramente el inicio de la tarea de implementación de políticas en FMC y la finalización de cada fase, lo que ayuda a determinar la fase en la que la implementación se ha topado con un fallo, junto con el código de fallo.

    transactionID El valor incluido en la parte JSON del registro se puede utilizar para buscar entradas del registro relacionadas con un intento de implementación concreto.

    22-Nov-2019 01:28:52.844,[INFO],(DefenseCenterServiceImpl.java:1372)
com.cisco.nm.vms.api.dc.DefenseCenterServiceImpl, ajp-nio-127.0.0.1-9009-exec-4
** REST Request [ CSM ]
** ID : e1c84364-0966-42eb-9356-d2914be2b4a3
** URL: Broadcast message.send.deployment
{
  "body" : {
    "property" : "deployment:deployment_initiated_for_the_device",
    "argumentList" : [ {
      "key" : "PHASE",
      "value" : "Phase-0"
    } ]
  },
  "user" : "68d03c42-d9bd-11dc-89f2-b7961d42c462",
  "type" : "deployment",
  "status" : "running",
  "progress" : 5,
  "silent" : true,
  "restart" : true,
  "transactionId" : 12884916552,
  "devices" : [ "93a2089a-fa82-11e9-8219-e1abeec81dc9" ]
}

    /var/log/sf/policy_deployment.log

    Aunque este archivo de registro ha existido a lo largo de las versiones 6.x, que comienzan en 6.4, su cobertura se amplió.

    Ahora se describen los pasos detallados que se han dado a FMC para crear los paquetes de implementación, por lo que es mejor utilizarlos para analizar los fallos de las fases 1 a 4.

    El inicio de cada fase está marcado por una línea con "INFO start.. ":

    Jul 18 17:20:03 firepower ActionQueueScrape.pl[17287]: INFO starting populateGlobalSnapshot - sqlite = /var/cisco/umpd/8589938337/DC_policy_deployment.db, transaction = 8589938337, time = 1563470402, running as (memory = 56.35 MB) (Framework 3950<196 <- CSMTasks 223<10 <- SF::ActionQueue 2457)
Jul 18 17:20:03 firepower ActionQueueScrape.pl[17287]: INFO deployment threading: disabled (Framework 198 <- CSMTasks 223<10 <- SF::ActionQueue 2457)
Jul 18 17:20:03 firepower ActionQueueScrape.pl[17287]: INFO -> calling SF::UMPD::Plugins::Correlation::Manager::getPluginDependencies (Plugin 298<90 <- Framework 3579<3566<216 <- CSMTasks 223)
...

    Solución de problemas de dispositivos administrados

    Existen fases y secciones adicionales que dependen del paquete del dispositivo, la configuración de alta disponibilidad y el resultado de las fases anteriores para cada dispositivo administrado.

    Si un problema de implementación se aísla en un error en el dispositivo administrado, se puede realizar una resolución de problemas adicional en el dispositivo con dos registros en el dispositivo: policy_deployment.log y ngfwManager.log.

    /ngfw/var/log/ngfwManager.log

    Este archivo de registro proporciona los pasos detallados que ha realizado Config Communication Manager y Config Dispatcher para comunicarse con FMC, trabajar con el paquete de implementación y organizar la validación y la aplicación de las configuraciones de Snort y LINA.

    Estos son algunos ejemplos de ngfwManager.log que representan el inicio de las fases principales:

    FTD receives FMC's request for running configuration:

May 30 16:37:10 ccm[4293] Thread-10: INFO  com.cisco.ccm.ConfigCommunicationManager- Passing CD-Message-Request to Config Dispatcher...
May 30 16:37:10 ccm[4293] Thread-10: DEBUG com.cisco.ccm.ConfigCommunicationManager- <?xml version="1.0" encoding="UTF-8"?><cdMessagesList><timeStamp>1559234230012</timeStamp><cdMessage><name>LinaShowCommand</name><messageId>-753133537443151390</messageId><contentType>XML</contentType><msgContent><![CDATA[<?xml version="1.0" encoding="UTF-8"?><message><name>LinaShowCommand</name>...



FTD receives FMC's request to download the deployment package:

May 30 16:37:18 ccm[4293] Thread-9: INFO  com.cisco.ccm.ConfigCommunicationManager- Downloading database (transaction 8589938211, version 1559234236)
May 30 16:37:18 ccm[4293] Thread-9: DEBUG com.cisco.ccm.DownloadManager- handle record: 8589938211, status = PENDING
May 30 16:37:18 ccm[4293] Thread-9: DEBUG com.cisco.ccm.DownloadManager- begin downloading database



FTD begins the deployment of policy changes:

May 30 16:37:21 ccm[4293] Thread-9: INFO  com.cisco.ccm.ConfigCommunicationManager- Starting deployment
May 30 16:37:21 ccm[4293] Thread-11: INFO  com.cisco.ccm.ConfigCommunicationManager- Sending message: DEPLOYMENT_STATUS_CCM to Manager



FTD begins LINA deployment:

May 30 16:37:42 ccm[4293] Thread-19: DEBUG com.cisco.ngfw.configdispatcher.communicators.LinaCommunicatorImpl- Trying to send Start-Config-Sequencerequest to lina



FTD begins finalizing the deployment:

May 30 16:38:48 ccm[4293] Thread-19: DEBUG com.cisco.ngfw.configdispatcher.communicators.LinaCommunicatorImpl- Clustering Message sent out of ConfigDispatcher:
Name:Cluster-App-Conf-Finalize-Request

    /ngfw/var/log/sf/policy_deployment.log

    Este registro contiene los detalles de la política aplicada a Snort. Aunque el contenido del registro es en su mayoría avanzado y requiere análisis por parte del TAC, todavía es posible rastrear el proceso con algunas entradas clave:

    Config Dispatcher begins extracting the packaged policies for validation:

Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO  -> calling SF::UMPD::Plugins::NGFWPolicy::Device::exportDeviceSnapshotToSandbox  (Plugin 230 <- Framework 611 <- Transaction 1085)
Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO  found NGFWPolicy =>   (NGFWPolicy::Util 32 <- NGFWPolicy::Device 43 <- Plugin 235)
...
Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO export FTD platform settings... (PlatformSettings::FTD::Device 29 <- Plugin 235<339 <- PlatformSettings::Device 13)



Config validation begins:

Jul 18 17:21:37 firepower policy_apply.pl[25122]: INFO  starting validateExportedFiles - sqlite = /var/cisco/deploy/sandbox/policy_deployment.db, sandbox = /var/cisco/deploy/sandbox/exported-files (memory = 229.99 MB)  (Framework 3950<687 <- Transaction 1101 <- main 194)



Validation has completed successfully:

Jul 18 17:21:49 firepower policy_apply.pl[25122]: INFO validateExportedFiles - sqlite = /var/cisco/deploy/sandbox/policy_deployment.db, sandbox = /var/cisco/deploy/sandbox/exported-files took 12 (memory = 238.50 MB, change = 8.51 MB) (Framework 3976<724 <- Transaction 1101 <- main 194) 



Config Dispatcher begins moving the validated configuration to the Snort directories in production:

Jul 18 17:21:54 firepower policy_apply.pl[26571]: INFO  -> calling SF::UMPD::Plugins::NGFWPolicy::Device::publishExportedFiles  (Plugin 230 <- Framework 822 <- Transaction 1662)



Snort processes will reload to apply the new configurations:

Jul 18 17:22:02 firepower policy_apply.pl[26571]: INFO  Reconfiguring DE a3bcd340-992f-11e9-a1f1-ac829f31a4f9...  (Snort::SnortNotifications 292<154 <- Snort::Device 343 <- Plugin 235)
Jul 18 17:22:02 firepower policy_apply.pl[26571]: INFO  sending SnortReload to a3bcd340-992f-11e9-a1f1-ac829f31a4f9  (Snort::SnortNotifications 298<154 <- Snort::Device 343 <- Plugin 235)



Snort reload has completed successfully:

Jul 18 17:22:14 firepower policy_apply.pl[26571]: INFO notifyProcesses - sandbox = /var/cisco/deploy/sandbox/exported-files took 16 (memory = 169.52 MB, change = 16.95 MB) (Framework 3976<964 <- Transaction 1680 <- main 200)



After LINA config apply finishes, Snort deployment is finalized:

Jul 18 17:23:32 firepower policy_apply.pl[26913]: INFO  starting finalizeDeviceDeployment - sandbox = /var/cisco/deploy/sandbox (memory = 101.14 MB)  (Framework 3950<980 <- Transaction 1740 <- main 206)

    Ejemplo:

    Paso 1. Una implementación falla

    TZ1

    Paso 2. Obtenga el Deploy Transcript y Transaction ID.

    TZ2

    Paso 3. SSH en su Management Center y utilizar la utilidad Linux less para leer el archivo tal y como aparece en el FMC:

    Ejemplo:"sudo less /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log" (La contraseña sudo es la contraseña de usuario para ssh)

    tz7

    Paso 4. Cuando se encuentre en less, utilice la barra diagonal e introduzca la ID del mensaje para buscar los registros relacionados con la ID de transacción de despliegue. 

    Ejemplo:"/60129547881" (Mientras se encuentre en less, utilice n para desplazarse al siguiente resultado)

    Ejemplo de mensaje en ejecución:

    tz3

    Ejemplo de mensaje de error:

    tz6

    5) Compare el fallo correcto con la tabla adjunta de mensajes de fallo común.

     Es decir, failed_to_retrieve_running_configuration se produce durante los fallos de comunicación entre los dos dispositivos. 

    Mensajes de fallos comunes

    Estos son mensajes de error comunes que se pueden ver en la parte frontal del Management Center Task así como el código de error que se puede ver en el backend.

    Estos mensajes se pueden analizar y comparar con las razones comunes para posibles resoluciones.

    En caso de que no se vean o no resuelvan su situación, póngase en contacto con el TAC para obtener asistencia. 

    ----------------------------------------------------------------------------------------

    Código de error

    Mensajes de error

    Motivo

    device_has_changed_domain

    Error de implementación: el dispositivo ha cambiado el dominio de {SRCDOMAIN} a {DESTINATIONDOMAIN}. Inténtelo de nuevo más tarde

    Este error suele producirse cuando un dispositivo se ha movido o se ha tomado de un segundo dominio. Una reimplementación mientras no se produce información entre dominios generalmente modifica este problema.

    device_currently_under_deployment

    Error en la implementación debido a otra implementación en curso para este dispositivo. Inténtelo de nuevo más tarde

    Normalmente, esto se produce cuando se activa la implementación en un dispositivo durante la implementación. En algunas versiones, esto se evita sin una notificación de error; sin embargo, esta fase todavía existe para la asistencia de solución de problemas.

    device_not_member_of_container

    La implementación no se puede realizar en un dispositivo individual que sea miembro de un clúster. Intente implementar el clúster de nuevo más tarde.

    Este mensaje se aplica al FTD en dispositivos con el administrador de chasis del sistema operativo extensible (FXOS) Firepower. Si el clúster está construido en FXOS, pero no en el FMC, se muestra este mensaje. Cree el clúster en el dispositivo Management Center antes de intentar la implementación.

    policy_altered_after_timestamp_for_other_devices_in_job_error

    Las políticas para uno o más dispositivos se han modificado desde {TIMESTAMP}. Vuelva a intentar la implementación.

    Este error se muestra si se altera alguna política u objeto para cualquier dispositivo en el trabajo de implementación después de que se hayan implementado los disparadores de usuario y antes de que se hayan creado los elementos CSM y las instantáneas de dominio.  Una reimplementación soluciona este problema.

    Esto puede ocurrir cuando muchos usuarios utilizan el mismo FMC para editar y guardar objetos durante la implementación.

    policy_altered_after_timestamp_error

    La política {Policy Name} se ha modificado desde {Timestamp}. Vuelva a intentar la implementación.

    Este error se muestra si se altera alguna política u objeto para el dispositivo en cuestión en el trabajo de implementación, después de que se implementen los disparadores de usuario y antes de que se creen las instantáneas de dominio y CSM.  Una reimplementación soluciona este problema.

    csm_snapshot_error

    Error en la implementación debido a un error en la recopilación de directivas y objetos. Si el problema persiste después de un intento repetido, póngase en contacto con el TAC de Cisco.

    Si se proporciona una importación de directiva reciente, espere aproximadamente una hora e intente realizar otra implementación. 
    Si esto no permite que esto continúe, comuníquese con el TAC ya que se trata de un mensaje relacionado con la base de datos. 

    domain_snapshot_timeout

    Error en la implementación debido a que se agotó el tiempo de espera para recopilar directivas y objetos. Si el problema persiste después de otro intento, comuníquese con el TAC de Cisco.

    De forma predeterminada, la instantánea de dominio tiene un tiempo de espera de 5 minutos. Si el sistema está sometido a una carga alta o el hipervisor no funciona correctamente, puede ocasionar retrasos no naturales en la llamada.

    Esto puede ocurrir si el Management Center o el dispositivo no dispone también de la cantidad adecuada de recursos de memoria.

    Si esto sucede sin carga, o no continúa más tarde, comuníquese con el TAC.

    domain_snapshot_errors

    Error de implementación en la recopilación de objetos y directivas. Si el problema persiste después de otro intento, comuníquese con el TAC de Cisco.

    Póngase en contacto con TAC. Se requiere resolución de problemas avanzada.

    failed_to_retrieve_running_configuration

    Error en la implementación debido a un error al recuperar la información de configuración de ejecución del dispositivo. Vuelva a intentar la implementación.

    Este mensaje puede aparecer cuando la conectividad entre un sensor final y un FMC no funciona como se espera. Verifique el estado del túnel entre las unidades y monitoree la conectividad entre los dos dispositivos. 

    Si el túnel funciona según lo esperado y los dispositivos pueden comunicarse, comuníquese con el TAC.

    device_is_busy

    Error en la implementación porque es posible que el dispositivo esté ejecutando una implementación anterior o reiniciándose. Si el problema persiste después de otro intento, comuníquese con el TAC de Cisco.

    Se muestra este mensaje cuando FMC intenta realizar una implementación, mientras que una implementación anterior está en curso en FTD. Suele suceder cuando una implementación anterior no está terminada en FTD y el FTD se reinició o el proceso ngfwManager en FTD se reinició. Este problema se debe resolver mediante un reintento que se realiza después de 20 minutos para permitir que los procesos se detengan formalmente.

    Si después de un retraso o si el retraso no es aceptable, póngase en contacto con el TAC.

    no_response_for_show_cmd

    Error en la implementación debido a problemas de conectividad con el dispositivo o el dispositivo no responde. Si el problema persiste después de otro intento, comuníquese con el TAC de Cisco.

    FMC emite ciertos comandos "show" de LINA para obtener la configuración en ejecución para la generación de la configuración.

    Esto puede suceder cuando hay problemas de conectividad o problemas con el proceso ngfwManager en el sensor final.

    En caso de que no tenga problemas de conectividad entre sus unidades, comuníquese con el TAC.

    network_latency_or_device_not_reachable

    Error en la implementación debido a un error en las comunicaciones con el dispositivo. Si el problema persiste después de otro intento, comuníquese con el TAC de Cisco.

    Suele producirse con una latencia de red alta entre los dispositivos para que se agote el tiempo de espera de la política. Verifique la latencia de red entre los dispositivos para verificar que coincide con los mínimos de la versión mencionada en la guía del usuario.

    slave_app_sync

    Error en la implementación porque la sincronización de la configuración del clúster está en curso.  Vuelva a intentar la implementación.

    Esto sólo se aplica a las configuraciones de clúster de FTD. Si se intenta realizar una implementación en un clúster de FTD mientras la sincronización de la aplicación (sincronización de la configuración) está en curso, FTD rechazará la misma operación. Un reintento después de la sincronización de la configuración debería resolver este problema.

    Se puede realizar un seguimiento del estado actual del clúster con este comando en el dispositivo administrado CLISH:

    > show cluster info

    asa_configuration_generation_errors

    La implementación no pudo generar la configuración del dispositivo. Si el problema persiste después de otro intento, comuníquese con el TAC de Cisco.

    Después de revisar los registros de USMS mencionados anteriormente, es posible que pueda ver qué configuración es la que causa el error. Estos suelen ser bugs en los que los registros se pueden explorar a través de la herramienta Cisco Bug Tool o contactar al TAC de Cisco para resolver problemas adicionales.

    interface_out_of_date

    Error en la implementación porque las interfaces del dispositivo no están actualizadas. Guarde la configuración en la página de interfaces y vuelva a intentarlo.

    Esto ocurre en los modelos 4100 o 9300 si la interfaz no está asociada al dispositivo durante o justo antes de una implementación.

    Verifique que la interfaz esté completamente asociada o no asociada antes de intentar la implementación.

    device_package_error

    La implementación no pudo generar la configuración para el dispositivo. Si el problema persiste después de otro intento, comuníquese con el TAC de Cisco.

    Este error indica una falla al generar la configuración del dispositivo para el dispositivo. Póngase en contacto con TAC.

    device_package_timeout

    Error en la implementación debido al tiempo de espera durante la generación de la configuración. Si el problema persiste después de otro intento, comuníquese con el TAC de Cisco.

    Esto puede suceder si existe latencia entre los dispositivos por encima de los rangos normales. Póngase en contacto con el TAC si, después de normalizar la latencia, el problema persiste. 

    device_communication_errors

    Error en la implementación debido a un error en la comunicación del dispositivo. Compruebe la conectividad de red y vuelva a intentar la implementación.

    Este mensaje es el respaldo para cualquier problema de comunicación entre los dispositivos. Debido a su naturaleza vaga, se escribe como el estado alternativo de que se ha producido un error de conectividad desconocido. 

    unable_to_initiate_deployment_dc

    Error de implementación de políticas. Vuelva a intentar la implementación.

    Otro intento debería resolver este problema.

    Esto puede ocurrir cuando el FMC no puede iniciar la implementación debido a un bloqueo temporal de la base de datos.

    device_failure_timeout

    Error en la implementación en el dispositivo debido al tiempo de espera. Vuelva a intentar la implementación.

    Esto está relacionado con la implementación de FTD. Los procesos del FTD esperan 30 minutos a que el envío complete la implementación. Si no, se agota el tiempo.

    Si esto ocurre, verifique la conectividad entre dispositivos y si la conectividad es la esperada, comuníquese con el TAC. 

    device_failure_download_timeout

    Error en la implementación debido al tiempo de espera de descarga de la configuración al dispositivo. Si el problema persiste después de otro intento, comuníquese con el TAC de Cisco.

    Esto está relacionado con la implementación de FTD. El FTD no puede descargar todos los archivos de configuración de dispositivos durante la implementación debido a problemas de conectividad.

    Vuelva a intentarlo una vez que se haya verificado la conectividad de red. 

    Si se ha verificado, póngase en contacto con el TAC.

    device_failure_configuration

    Error de implementación debido a un error de configuración. Si el problema persiste después de otro intento, comuníquese con el TAC de Cisco.

    Cualquier error en la configuración generado por FMC para el dispositivo debe dar lugar a este error después de la aplicación.

    Esto debe analizarse en los registros de USMS para verificar qué problemas se ven e intentar revertirlos.

    Una vez reparado, esto generalmente requiere la intervención del TAC y la creación de errores si los registros no pueden coincidir con un defecto conocido en la herramienta de búsqueda de errores de Cisco. 

    deployment_timeout_no_response_from_device

    Error en la implementación debido al tiempo de espera de comunicación con el dispositivo. Si el problema persiste después de otro intento, comuníquese con el TAC de Cisco.

    Este tiempo de espera se produce si el FMC no ha recibido respuesta de un dispositivo después de 45 minutos o más.

    Este es un error de comunicación. 

    Verifique la comunicación y, si se verifica, póngase en contacto con el TAC.

    device_failure_change_master

    La implementación en el clúster ha fallado porque la unidad principal ha cambiado. Vuelva a intentar la implementación.

    Para una implementación de configuración de clúster de FTD, si el nodo principal cambia cuando la implementación está en curso en el dispositivo (después de la notificación), se indica este error.

    Vuelva a intentarlo cuando el nodo principal esté estable. 

    Se puede realizar un seguimiento del estado actual del miembro del clúster con este comando en el dispositivo administrado CLISH:

    > show cluster info

    device_failure_unknown_master

    Error en la implementación en el clúster debido a un error en la identificación de la unidad principal. Vuelva a intentar la implementación.

    FMC no ha podido determinar el nodo principal actual durante la implementación.

    Esto podría deberse normalmente a un par de posibilidades: problemas de conectividad o primario actual no agregado al clúster en FMC.

    Debe resolverse después de restablecer la conectividad o después de agregar el principal actual al clúster de FMC y de realizar un reintento. 

    Se puede realizar un seguimiento del estado actual del clúster con este comando en el dispositivo administrado CLISH:

    > show cluster info

    cd_deploy_app_sync

    Error en la implementación porque la sincronización de la configuración del clúster está en curso.  Vuelva a intentar la implementación.

    Esto puede ocurrir si el dispositivo está en App Sync. Una vez que se haya completado App Sync, vuelva a intentar la implementación. 

    cd_existing_deployment

    Error en la implementación debido a un conflicto con la implementación anterior simultánea. Si el problema persiste después de otro intento, comuníquese con el TAC de Cisco.

    Esto puede ocurrir si una implementación es simultánea en un lado, pero no en el otro.

    Esto suele deberse a problemas de comunicación entre los dispositivos. 

    Póngase en contacto con el TAC si después de que se agote el tiempo de espera sigue sin poder realizar la implementación.

    Póngase en contacto con TAC para obtener asistencia

    En el caso de que la información anterior no permita que continúe la implementación de una política, o si el problema parece no estar relacionado con un comportamiento documentado previamente, utilice los pasos proporcionados en el siguiente enlace para generar un archivo de Troubleshooting y comunicarse con el TAC para el análisis y la creación de errores.


    https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    2.0
    23-Sep-2022
    Versión inicial
    1.0
    17-Feb-2020
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Created by Jeff Jackson
      Cisco Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos