Field Notice:FN70457:Firepower 1000シリーズセキュリティアプライアンス – Firepowerソフトウェアの不完全なインストールとともに出荷された一部のユニット – 回避策の提供
通知
この Field Notice は現状のままで提供され、市場性の保証を含むいっさいの保証、あるいはサービス保証を示唆するものではありません。この Field Notice での情報、あるいは、この Field Notice からのリンク先資料はお客様ご自身の責任においてご使用をお願いいたします。シスコでは、任意の時点でこの Field Notice を変更あるいはアップデートする権利を留保いたします。
改訂履歴
| 改訂 | 発行日 | 注釈 |
|---|---|---|
|
1.0
|
2019年10月7日
|
初版リリース
|
|
1.1
|
2019年10月9日
|
SNVセクションで「ASA」を「Firepower」に変更
|
|
1.2
|
2021年4月30日
|
「シリアル番号検証」セクションを更新し、「該当製品の識別方法」セクションを追加
|
影響を受ける製品
| 該当する製品 ID | 注釈 |
|---|---|
|
FPR1010-NGFW-K9
|
|
|
FPR1120-NGFW-K9
|
|
|
FPR1140-NGFW-K9
|
障害情報
| 障害 ID | 見出し |
|---|---|
| CSCvr55912 | Erase configコマンドはWMでのFTDインストールを削除します。 |
事象の説明
一部のFirepower 1000シリーズセキュリティアプライアンスは、Firepowerソフトウェアが不完全にインストールされた状態で出荷されました。
背景
製造テストスクリプトエラーが原因で、2019-07-22より前に製造されたFirepower 1000シリーズセキュリティアプライアンスは、Firepowerソフトウェアの不完全なインストールとともに出荷されました。該当するユニットでは、最初のブート時にFirepowerソフトウェアイメージの再インストールが自動的に開始されます。この処理の完了には約20 ~ 30分が必要です。
事象の症状
該当するユニットは正常に起動し、初期ブート時にFirepowerソフトウェアイメージの再インストールが自動的に開始されます。このプロセスの完了には約20 ~ 30分かかります。前面パネルのSYS LEDが緑色に点滅します。ソフトウェアのインストールと起動手順が完了すると、SYS LEDが緑色に点灯します。
起動中のソフトウェアのインストールの表示は、コンソールポート経由で提供されます。コンソールポートの出力例を次に示します。
Threat Defense System: CMD=-install, CSP-ID=cisco-ftd.6.4.0.102__ftd_001_JMX2326G2AUJ445TQ1, FLAG='' System begins installation ... .... Starting nscd... mkdir: created directory '/var/run/nscd' [ OK ] Starting , please wait......complete. cleaning up *.TMM and *.TMD files Firstboot detected, executing scripts Executing S01virtual-machine-reconfigure [ OK ] Executing S01z_copy_startup-config [ OK ] Executing S02aws-pull-cfg [ OK ] Executing S02configure_onbox [ OK ] Executing S04fix-httpd.sh [ OK ] Executing S05set-default-ipv4.pl [ OK ] Executing S06addusers [ OK ] Executing S07uuid-init [ OK ] Executing S08configure_mysql [ OK ] ************ Attention ********* Initializing the configuration database. Depending on available system resources (CPU, memory, and disk), this may take 30 minutes or more to complete. ************ Attention ********* Executing S09database-init [ OK ] Executing S11database-populate [ OK ] ...
SYS LEDが点滅しているときに電源のオフ/オンを行ってソフトウェアのインストールを中断すると、ユニットが正常に起動しない場合があります。ソフトウェアのインストールに失敗したことを示すメッセージがコンソールポートに表示されます。コンソールポートの出力例を次に示します。
Executing S09database-init stat: cannot stat '/var/log/firstboot.S09database-init': No such file or directory backing up existing firstboot.S09database-init '/ngfw/var/log/firstboot.S09database-init' -> '/ngfw/var/log/firstboot[FAILED]base-init.' Executing S11database-populate [FAILED] Executing S12install_infodb DB error - will retry: Cannot connect to DB at /usr/local/sf/lib/perl/5.10.1/SF/SFDBI.pm line 603. DB error - will retry: Cannot connect to DB at /usr/local/sf/lib/perl/5.10.1/SF/SFDBI.pm line 603. DB error - will retry: Cannot connect to DB at /usr/local/sf/lib/perl/5.10.1/SF/SFDBI.pm line 603. DB error - will retry: Cannot connect to DB at /usr/local/sf/lib/perl/5.10.1/SF/SFDBI.pm line 603. DB error - will retry: Cannot connect to DB at /usr/local/sf/lib/perl/5.10.1/SF/SFDBI.pm line 603. DB error - will retry: Cannot connect to DB at /usr/local/sf/lib/perl/5.10.1/SF/SFDBI.pm line 603.
暫定的な回避策と解決策
Firepower 1000シリーズのユニットが初期ブート時にFirepowerソフトウェアイメージの自動再インストールを完了した場合は、特別な操作は必要ありません。
ユニットがソフトウェアのインストールの失敗を示している場合は、追加の操作が必要です。ソフトウェアイメージの再インストールを開始するには、次の手順を実行します。詳細については、『Cisco FXOSトラブルシューティングガイド』も参照できます。
FXOSにログインし、次の手順を実行してソフトウェアの再インストールを開始します。
- Admin/Admin123のクレデンシャルでログインします。
- connect local-mgmtと入力します。
- erase configurationと入力します。
- yesと入力して、設定の消去とデバイスのリブートを確認します。
コンソールポートの出力例を次に示します。
Cisco FPR Series Security Appliance firepower login: admin Password: Last login: Fri Sep 20 14:38:56 UTC 2019 on ttyS0 Successful login attempts for user 'admin' : 1 ... firepower# connect local-mgmt firepower(local-mgmt)# firepower(local-mgmt)# erase configuration All configurations will be erased and system will reboot. Are you sure? (yes/no):yes Removing all the configuration. Please wait.... Configurations are cleaned up. Rebooting.... deleting files under /opt/cisco/config, /opt/cisco/csp/, /opt/cisco/platform/logs, /var/data/core /bin/rm: cannot remove '/opt/cisco/csp/applications/cisco-ftd.6.4.0.102__ftd_001_JMX2326G2AUUEEPIB1/app_data/root1/ngfw/Volume': Device or resource busy /bin/rm: cannot remove '/opt/cisco/csp/applications/cisco-ftd.6.4.0.102__ftd_001_JMX2326G2AUUEEPIB1/app_data/root1/ngfw/usr/local/sf': Device or resource busy /bin/rm: cannot remove '/opt/cisco/csp/applications/cisco-ftd.6.4.0.102__ftd_001_JMX2326G2AUUEEPIB1/app_data/root1/ngfw/var': Device or resource busy /bin/rm: cannot remove '/opt/cisco/csp/applications/cisco-ftd.6.4.0.102__ftd_001_JMX2326G2AUUEEPIB1/app_data/Volume/6.4.0/lib/db/ngfw.db': Directory not empty /bin/rm: cannot remove '/opt/cisco/csp/applications/cisco-ftd.6.4.0.102__ftd_001_JMX2326G2AUUEEPIB1/app_data/Volume/6.4.0/lib/mysql': Device or resource busy /bin/rm: cannot remove '/opt/cisco/csp/applications/cisco-ftd.6.4.0.102__ftd_001_JMX2326G2AUUEEPIB1/app_data/Volume/6.4.0/perl5': Device or resource busy cannot remove '/opt/cisco/csp/applica2019-09-23 18:15:42 logmonitor[18270]: syslog-ng not running. starting it. Stopping all devices.
エラーメッセージが画面に表示されても、次の例に示すように、ソフトウェアインストール手順を完了するためのコマンドの入力を続行できます。
Cisco FPR Series Security Appliance firepower login: Cisco FPR Series Security Appliance DB error - will retry: Cannot connect to DB at /usr/local/sf/lib/perl/5.10.1/SF/SFDBI.pm line 603. firepower login: adminDB error - will retry: Cannot connect to DB at /usr/local/sf/lib/perl/5.10.1/SF/SFDBI.pm line 603. Password: DB error - will retry: Cannot connect to DB at /usr/local/sf/lib/perl/5.10.1/SF/SFDBI.pm line 603. Last login: Mon Sep 23 18:47:47 UTC 2019 on ttyS0 Successful login attempts for user 'admin' : 2 DB error - will retry: Cannot connect to DB at /usr/local/sf/lib/perl/5.10.1/SF/SFDBI.pm line 603. Cisco Firepower Extensible Operating System (FX-OS) Software TAC support: http://www.cisco.com/tac Copyright (c) 2009-2019, Cisco Systems, Inc. All rights reserved. .... firepower# firepower# DB error - will retry: Cannot connect to DB at /usr/local/sf/lib/perl/5.10.1/SF/SFDBI.pm line 603. firepower# firepower# DB error - will retry: Cannot connect to DB at /usr/local/sf/lib/perl/5.10.1/SF/SFDBI.pm line 603. DB error - will retry: Cannot connect to DB at /usr/local/sf/lib/perl/5.10.1/SF/SFDBI.pm line 603. DB error - will retry: Cannot connect to DB at /usr/local/sf/lib/perl/5.10.1/SF/SFDBI.pm line 603. DB error - will retry: Cannot connect to DB at /usr/local/sf/lib/perl/5.10.1/SF/SFDBI.pm line 603. DB error - will retry: Cannot connect to DB at /usr/local/sf/lib/perl/5.10.1/SF/SFDBI.pm line 603. firepower# firepower# connect localDB error - will retry: Cannot connect to DB at /usr/local/sf/lib/perl/5.10.1/SF/SFDBI.pm line 603. DB error - will retry: Cannot connect to DB at /usr/local/sf/lib/perl/5.10.1/SF/SFDBI.pm line 603. firepower(local-mgmt)# DB error - will retry: Cannot connect to DB at /usr/local/sf/lib/perl/5.10.1/SF/SFDBI.pm line 603. firepower(local-mgmt)# erase configuration All configurations will be erased and system will reboot. Are you sure? (yes/no):yes DB error - will retry: Cannot connect to DB at /usr/local/sf/lib/perl/5.10.1/SF/SFDBI.pm line 603. Removing all the configuration. Please wait.... Configurations are cleaned up. Rebooting....
該当する製品の識別方法
CLI を使う場合:
show inventory コマンドを入力して、アプライアンスのシャーシのシリアル番号を確認します。
Firepowerセキュリティアプライアンスの目視検査
シリアル番号ラベルは、Firepower 1000シリーズセキュリティアプライアンスの底面にあります。シリアル番号は、SOドキュメントでも参照できます。
シリアル番号検証
このField Noticeでは、デバイスのシリアル番号がこの問題の影響を受けているかどうかを確認できます。シリアル番号を確認するには、https://snvui.cisco.com/snv/FN70457のSerial Number Validation Toolでシリアル番号を入力します。
詳細情報
この Field Notice に関するご質問などのお問い合せにつきましては、お手数ですが、次のいずれかの方法で シスコシステムズ TAC(Technical Assistance Center)にお問い合せください。
Field Notice の新着情報を電子メールで受け取るには
My Notifications:プロファイルを設定することにより、ご指定のシスコ製品についての信頼性、安全性、ネットワークセキュリティ、および販売終了(End-of-Sale)などの最新情報を受け取ることができます。
フィードバック
Unleash the Power of TAC's Virtual Assistance