FMC 및 FTD 업그레이드 오류 메시지 트러블슈팅

소개

이 문서에서는 FMC(Firepower Management Center) 및 FTD(Firepower Threat Defense)의 업그레이드 오류 메시지 트러블슈팅 단계에 대해 설명합니다.

사전 요구 사항

요구 사항

Cisco에서는 다음 주제에 대해 숙지할 것을 권장합니다

• Linux 셸에 대한 기본 지식
• FMC(Firepower Management Center)
• FTD(Firepower Threat Defense)

사용되는 구성 요소

• 버전 7.2.8의 VMWare용 FMCv
• 버전 7.2.8의 VMWare용 FTDv

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경

Cisco에서는 Firepower 디바이스 업그레이드를 진행하기 위해 해당 가이드를 생성합니다. 이 가이드를 확인해도 사용자는 다음과 같은 상황에 직면할 수 있습니다.

Firepower Management Center 및 Firepower 위협 방어 업그레이드 오류 메시지

통신 실패

이 메시지는 다음 시나리오에서 표시할 수 있습니다.

FMC-HA 통신이 손상됨

이는 FMC-HA 간의 통신에 장애가 발생할 때 발생합니다. 고객은 이러한 명령을 실행하여 디바이스 간의 연결을 확인할 수 있습니다.

다음 명령은 FMC 루트 레벨에서 적용해야 합니다.

ping <peer-ip-address>. 이 명령은 두 디바이스 간의 연결성을 확인하는 데 사용할 수 있습니다.

netstat -an | grep 8305. 이 명령은 포트 8305에 연결된 디바이스를 표시합니다.

참고: 포트 8305는 FMC와의 통신 채널을 설정하기 위해 Firepower 디바이스에 구성된 기본 포트입니다.

FMC-HA 상태에서 추가 정보를 얻으려면 사용자가 스크립트 troubleshoot_HADC.pl을 실행할 수 있습니다

> expert
admin@firepower:~$ sudo su

root@firepower:/Volume/home/admin# ping xx.xx.18.102
PING xx.xx.18.102 (xx.xx.18.102) 56(84) bytes of data.
64 bytes from xx.xx.18.102: icmp_seq=1 ttl=64 time=0.533 ms
64 bytes from xx.xx.18.102: icmp_seq=2 ttl=64 time=0.563 ms
64 bytes from xx.xx.18.102: icmp_seq=3 ttl=64 time=0.431 ms
^C
--- xx.xx.18.102 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 59ms
rtt min/avg/max/mdev = 0.431/0.509/0.563/0.056 ms

root@firepower:/Volume/home/admin# netstat -an | grep 8305
tcp 0 0 xx.xx.18.101:8305 0.0.0.0:* LISTEN 
tcp 0 0 xx.xx.18.101:8305 xx.xx.18.253:48759 ESTABLISHED
tcp 0 0 xx.xx.18.101:8305 xx.xx.18.254:53875 ESTABLISHED
tcp 0 0 xx.xx.18.101:8305 xx.xx.18.254:49205 ESTABLISHED
tcp 0 0 xx.xx.18.101:60871 xx.xx.18.253:8305 ESTABLISHE

root@firepower:/Volume/home/admin# troubleshoot_HADC.pl
**************** Troubleshooting Utility **************

1 Show HA Info Of FMC
2 Execute Sybase DBPing
3 Show Arbiter Status
4 Check Peer Connectivity
5 Print Messages of AQ Task
6 Show FMC HA Operations History (ASC order)
7 Dump To File: FMC HA Operations History (ASC order)
8 Last Successful Periodic Sync Time (When it completed)
9 Print HA Status Messages
10 Compare active and standby device list
11 Check manager status of standby missing devices
12 Check critical PM processes details
13 Get Remote Stale Sync AQ Info
14 Help
0 Exit

**************************************************************
Enter choice:

FMC와 FTD 간의 통신이 손상됨

FTD에서 FMC로의 통신을 검증하기 위해 고객은 다음과 같은 명령을 클라이언트 레벨에서 실행할 수 있습니다.

ping system <fmc-IP> FTD 관리 인터페이스에서 ICMP 흐름을 생성합니다.

show managers 이 명령은 디바이스가 등록된 관리자의 정보를 나열합니다.

sftunnel-status 이 명령은 디바이스 간에 설정된 통신 채널을 검증합니다. 이 채널은 sftunnel의 이름을 수신합니다.

> ping system xx.xx.18.102
PING xx.xx.18.102 (xx.xx.18.102) 56(84) bytes of data.
64 bytes from xx.xx.18.102: icmp_seq=1 ttl=64 time=0.595 ms
64 bytes from xx.xx.18.102: icmp_seq=2 ttl=64 time=0.683 ms
64 bytes from xx.xx.18.102: icmp_seq=3 ttl=64 time=0.642 ms
64 bytes from xx.xx.18.102: icmp_seq=4 ttl=64 time=24.4 ms
64 bytes from xx.xx.18.102: icmp_seq=5 ttl=64 time=11.4 ms
^C
--- xx.xx.18.102 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 128ms
rtt min/avg/max/mdev = 0.595/7.545/24.373/9.395 ms

> show managers
Type : Manager
Host : xx.xx..18.101
Display name : xx.xx..18.101
Version : 7.2.8 (Build 25)
Identifier : fc3e3572-xxxx-xxxx-xxxx-39e0098c166c
Registration : Completed
Management type : Configuration and analytics

Type : Manager
Host : xx.xx..18.102
Display name : xx.xx..18.102
Version : 7.2.8 (Build 25)
Identifier : bb333216-xxxx-xxxx-xxxx-c68c0c388b44
Registration : Completed
Management type : Configuration and analytics


> sftunnel-status
SFTUNNEL Start Time: Mon Oct 14 21:29:16 2024

Both IPv4 and IPv6 connectivity is supported
Broadcast count = 5
Reserved SSL connections: 0
Management Interfaces: 2
eth0 (control events) xx.xx..18.254,
tap_nlp (control events) 169.254.1.2,fd00:0:0:1::2

***********************

**RUN STATUS****xx.xx..18.102*************
Key File = /var/sf/peers/bb333216-xxxx-xxxx-xxxx-c68c0c388b44/sftunnel-key.pem
Cert File = /var/sf/peers/bb333216-xxxx-xxxx-xxxx-c68c0c388b44/sftunnel-cert.pem
CA Cert = /var/sf/peers/bb333216-xxxx-xxxx-xxxx-c68c0c388b44/cacert.pem
Cipher used = TLS_AES_256_GCM_SHA384 (strength:256 bits)
ChannelA Connected: Yes, Interface eth0
Cipher used = TLS_AES_256_GCM_SHA384 (strength:256 bits)
ChannelB Connected: Yes, Interface eth0
Registration: Completed.
IPv4 Connection to peer 'xx.xx..18.102' Start Time: Tue Oct 15 00:38:43 2024 UTC
IPv4 Last outbound connection to peer 'xx.xx..18.102' via Primary ip/host 'xx.xx..18.102'

PEER INFO:
sw_version 7.2.8
sw_build 25
Using light registration
Management Interfaces: 1
eth0 (control events) xx.xx..18.102,
Peer channel Channel-A is valid type (CONTROL), using 'eth0', connected to 'xx.xx..18.102' via 'xx.xx..18.254'
Peer channel Channel-B is valid type (EVENT), using 'eth0', connected to 'xx.xx..18.102' via 'xx.xx..18.254'

***********************

**RUN STATUS****xx.xx..18.101*************
Key File = /var/sf/peers/fc3e3572-xxxx-xxxx-xxxx-39e0098c166c/sftunnel-key.pem
Cert File = /var/sf/peers/fc3e3572-xxxx-xxxx-xxxx-39e0098c166c/sftunnel-cert.pem
CA Cert = /var/sf/peers/fc3e3572-xxxx-xxxx-xxxx-39e0098c166c/cacert.pem
Cipher used = TLS_AES_256_GCM_SHA384 (strength:256 bits)
ChannelA Connected: Yes, Interface eth0
Cipher used = TLS_AES_256_GCM_SHA384 (strength:256 bits)
ChannelB Connected: Yes, Interface eth0
Registration: Completed.
IPv4 Connection to peer 'xx.xx..18.101' Start Time: Mon Oct 14 21:29:15 2024 UTC
IPv4 Last outbound connection to peer 'xx.xx..18.101' via Primary ip/host 'xx.xx..18.101'

PEER INFO:

sw_version 7.2.8
sw_build 25
Using light registration
Management Interfaces: 1
eth0 (control events) xx.xx..18.101,
Peer channel Channel-A is valid type (CONTROL), using 'eth0', connected to 'xx.xx..18.101' via 'xx.xx..18.254'
Peer channel Channel-B is valid type (EVENT), using 'eth0', connected to 'xx.xx..18.101' via 'xx.xx..18.254'

***********************
**RPC STATUS****xx.xx..18.102*************
'uuid' => 'bb333216-xxxx-xxxx-xxxx-c68c0c388b44',
'uuid_gw' => '',
'last_changed' => 'Wed Oct 9 07:00:11 2024',
'active' => 1,
'name' => 'xx.xx..18.102',
'ip' => 'xx.xx..18.102',
'ipv6' => 'IPv6 is not configured for management'

**RPC STATUS****xx.xx..18.101*************
'uuid_gw' => '',
'uuid' => 'fc3e3572-xxxx-xxxx-xxxx-39e0098c166c',
'last_changed' => 'Mon Jun 10 18:59:54 2024',
'active' => 1,
'ip' => 'xx.xx..18.101',
'ipv6' => 'IPv6 is not configured for management',
'name' => 'xx.xx..18.101'

Check routes:
No peers to check

디스크 공간이 부족하여 장치를 업그레이드할 수 없습니다.

이 오류 메시지는 디바이스에서 업그레이드 프로세스를 진행하는 데 필요한 최소 디스크 공간이 없을 때 생성됩니다. 이는 디바이스가 이전 업그레이드 패키지, 이전 커버리지 패키지, 업그레이드 프로세스의 이전 로그, 이전 문제 해결 파일, 이전 백업 파일을 저장하거나 지오로케이션 데이터베이스 크기가 증가하기 때문에 발생할 수 있습니다(Cisco 버그 ID CSCwe44571).

루트 레벨에서 FMC 및 FTD에 다음 명령을 사용하여 디스크 리소스를 사용하는 파일을 식별할 수 있습니다

• df -h
• df -Th
• df -kh
• du -sh *

FTD upgrade failure message
****************** FAILURE SCRIPT: 1 *********************************** 
[241006 15:10:00:063] SCRIPT NAME: 000_start/410_check_disk_space.sh 
RECOVERY MESSAGE: Not enough disk space available in /ngfw(Filesystem:/dev/sda8) to perform the upgrade.(Current available disk space: 14698476KB. Minimum required disk space: 15305517KB). 
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

FTD disk utilization troubleshooting 명령

show disk-manager. FTD 디스크의 리소스 및 파일 저장소에서 정보를 표시합니다.

시스템 지원 silo-drain. 사용자가 FTD 디스크의 파일 스토리지를 안전하게 제거할 수 있습니다.

> show disk-manager 
Partition:Silo                                Used       Minimum       Maximum
/ngfw/var:Temporary Files                     621 KB     108.588 MB    434.354 MB
/ngfw/var:Action Queue Results                0 KB       108.588 MB    434.354 MB
/ngfw/var:User Identity Event                 0 KB       108.588 MB    434.354 MB
/ngfw/var:UI Caches                           0 KB       325.766 MB    651.532 MB
/ngfw/var:Backups                             0 KB       868.710 MB    2.121 GB
/ngfw/var:Updates                             0 KB       1.273 GB      3.181 GB
/ngfw/var:Other Detection Engine              0 KB       651.532 MB    1.273 GB
/ngfw/var:Performance Statistics              1.325 GB   217.177 MB    1.485 GB
/ngfw/var:Other Events                        0 KB       434.354 MB    868.710 MB
/ngfw/var:IP Reputation & URL Filtering       0 KB       542.943 MB    1.060 GB
/ngfw/var:arch_debug_file                     0 KB       2.121 GB      12.725 GB
/ngfw/var:Archives & Cores & File Logs        0 KB       868.710 MB    8.483 GB
/ngfw/var:RNA Events                          0 KB       868.710 MB    1.485 GB
/ngfw/var:Unified Low Priority Events         2.185 GB   1.060 GB      5.302 GB
/ngfw/var:File Capture                        0 KB       2.121 GB      4.242 GB
/ngfw/var:Unified High Priority Events        0 KB       3.181 GB      7.423 GB
/ngfw/var:IPS Events                          292 KB     2.545 GB      6.363 GB


> system support silo-drain 
Available Silos
1 - Temporary Files
2 - Action Queue Results
3 - User Identity Events
4 - UI Caches
5 - Backups
6 - Updates
7 - Other Detection Engine
8 - Performance Statistics
9 - Other Events
10 - IP Reputation & URL Filtering
11 - arch_debug_file
12 - Archives & Cores & File Logs
13 - RNA Events
14 - Unified Low Priority Events
15 - File Capture
16 - Unified High Priority Events
17 - IPS Events
0 - Cancel and return

Select a Silo to drain:

데이터베이스 손상

이 메시지는 일반적으로 업데이트 패키지의 준비도 검사를 실행한 후에 표시됩니다. 이는 FMC에서 가장 흔히 볼 수 있습니다.

이 오류가 FMC에 표시되면 FMC에서 문제 해결 파일을 생성하는 것을 잊지 마십시오.

이를 통해 TAC 엔지니어는 로그 조사로 시작하여 어떤 문제가 있는지 확인하고 더 신속하게 조치 계획을 제공할 수 있습니다.

FMC Database error
Fatal error: Database integrity check failed. Error running script 000_start/110_DB_integrity_check.sh. For more details see /var/log/sf/Cisco_Secure_FW_Mgmt_Center_Upgrade-7.x.x/000_start/110_DB_integrity_check.sh.log on the device being upgraded.

참조

firepower Management Center용 Cisco Firepower Threat Defense 업그레이드 가이드.