Implementaties van firepower Threat Defense Policy oplossen

Downloadopties

  • PDF     (748.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (560.0 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (514.8 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:23 september 2022
Document-id:215258

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft een overzicht op hoog niveau van het proces van de Implementatie van het Beleid inzake FTD en evenals fundamentele het oplossen van probleemtechnieken. 

    Achtergrondinformatie

    Met Cisco Firepower Threat Defense (FTD), traditionele stateful firewall-functies aangeboden door Adaptive Security Appliances (ASA) Next-Gen firewalleigenschappen (aangedreven door Snort) worden nu in één product gecombineerd.

    Als gevolg van deze wijziging Policy Deployment Infrastructure op FTD worden nu configuratiewijzigingen voor beide ASA-code (ook LINA genoemd) verwerkt, en Snort in één bundel. 

    Voorwaarden

    Cisco raadt kennis van deze producten aan:

    • Firepower Management Center (FMC)
    • Firepower Threat Defense (FTD)

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Overzicht van beleidsimplementatie

    Cisco FTD gebruikt Policy Deployments om configuraties te beheren en uit te duwen voor apparaten die zijn geregistreerd Firepower Management Center (VCC) zelf.

    Binnen de plaatsing, zijn er een reeks stappen die in "Fases" zijn gebroken.

    De FMC-fasen kunnen in deze lijst worden samengevat.

    Fase 0 Initialisatie van implementatie
    Fase 1 Databaseobjectverzameling
    Fase 2 Beleids- en objectverzameling
    Fase 3 Configuratie van NGFW-opdrachtregel
    Fase 4 Generatie van pakketimplementaties voor apparaten
    Fase 5 Verzend en ontvang het implementatiepakket
    Fase 6 Succesvolle berichten over implementatie, implementatie en implementatie in behandeling

    Kennis van de fasen en van de locatie van storingen in het proces kan helpen bij het oplossen van de storingen die een Firepower systeemgezichten.

    In sommige situaties is het een conflict als gevolg van eerdere configuraties of veroorzaakt door een Advanced Flex Configuration die geen trefwoord heeft dat storingen kan veroorzaken die niet in het apparaatrapport worden behandeld.

    Voorbeeldoverzicht

    Stap 1. Klik op de knop Deployment, die het te selecteren apparaat aangeeft.

    Stap 2. Wanneer de inzet voor een apparaat is toegezegd, begint het VCC alle configuraties te verzamelen die relevant zijn voor het apparaat. 

    Stap 3. Wanneer de configuraties worden verzameld, maakt het VCC het pakket en stuurt het via zijn communicatiemechanisme, SFTunnel genaamd, naar de sensor.

    Stap 4. Het VCC meldt de sensor dat het uitrolproces met het verstrekte beleid moet worden gestart terwijl het op de individuele reacties let.

    Stap 5. Het beheerde apparaat maakt het archief los en begint de individuele configuraties en pakketten toe te passen.

    A. De eerste helft van de inzet is de Snort configuratie waarbij de Snort de configuratie lokaal wordt getest om de geldigheid ervan te garanderen.

    Wanneer bewezen is dat de nieuwe configuratie geldig is, wordt deze verplaatst naar de productiegids voor Snort. Als de validatie mislukt, mislukt de beleidsimplementatie bij deze stap.

    B. De tweede helft van het implementatiepakket is voor de LINA-configuratie, waar het door het ngfwManager-proces direct op het LINA-proces wordt toegepast.

    Als een mislukking voorkomt, worden de veranderingen gerold terug en een mislukking van de beleidplaatsing komt voor.

    Stap 6. Als beide Snort en LINA-pakketten succesvol zijn, de beheerde apparaatsignalen Snort om de nieuwe configuratie opnieuw te starten of opnieuw te laden en alle huidige configuraties op te slaan.

    Stap 7. Als alle berichten succesvol zijn, stuurt de sensor een succesbericht en wacht tot het door het Management Center wordt bevestigd.

    Stap 8. Na ontvangst merkt het VCC de taak als een succes en maakt het de beleidsbundel klaar.

    Probleemoplossing

    Problemen aangetroffen tijdens Policy Deployment kan te wijten zijn aan, maar niet beperkt tot:

    1. Misconfiguratie
    2. Communicatie tussen het VCC en het FTD
    3. Database en systeemgezondheid
    4. Softwaredefecten en voorbehouden
    5. Andere unieke situaties

    Sommige van deze problemen kunnen makkelijk opgelost worden, terwijl anderen assistentie van Cisco kunnen nodig hebben Technical Assistance Center (TAC).

    Het doel van deze sectie is technieken te verstrekken om de kwestie te isoleren of de worteloorzaak te bepalen. 

    FMC grafische gebruikersinterface (GUI) 

    Cisco raadt elke probleemoplossingssessie aan voor implementatiefouten om op het FMC-apparaat te starten.

    In het venster voor foutmeldingen op alle versies na 6.2.3 zijn er extra tools die kunnen helpen bij andere mogelijke storingen. 

    Gebruik de implementatietranscripties

    Stap 1. Trek de Deployments lijst op de FMC Web UI.

    Stap 2. Terwijl de Deployments tabblad geselecteerd is, klikt u op Show History.


    FMCHistory

    Stap 3. In de Deployment History In dit vak kunt u alle vorige implementaties van uw VCC zien. Selecteer de implementatie waarin u meer gegevens wilt zien.


    Stap 4. Zodra een implementatieonderdeel is geselecteerd, wordt het Deployment Details de selectie een lijst van alle apparaten binnen Transaction. Deze posten worden uitgesplitst in de volgende kolommen: Device Number, Device Name, Status,en Transcript.


    DeploymentHist1

    Stap 5. Selecteer het apparaat in kwestie en klik op de transcriptieoptie om de afzonderlijke implementatietranscriptie te zien die u kan informeren over fouten en configuraties die op de beheerde apparaten worden geplaatst.

    DeployTranscript1

    Stap 6. Deze transcriptie kan bepaalde storingsvoorwaarden aanwijzen en een zeer belangrijk aantal voor de volgende stap aangeven: Transaction ID.

    DeployTransactionID

    Stap 7. In een Firepower Deployment,het Transaction ID is wat kan worden gebruikt om elk afzonderlijk deel van een beleidsontwikkeling te volgen. Met dit, op de Command-Line van het apparaat, kunt u een meer diepgaande versie van deze gegevens voor herstel en analyse verkrijgen.

    Tip: Als u de transactie-ID niet kunt vinden of als u een versie gebruikt voordat deze is afgedrukt, kan dit logboek nog steeds van nut zijn om afzonderlijke foutmeldingen te vinden.

    Probleemoplossing met VCC-logbestanden

    Hoewel het aangewezen is om Cisco TAC aan te spreken om de logboeken te analyseren, zou een onderzoek door logboeken met aanvankelijke probleemisolatie kunnen helpen en resolutie versnellen. Er zijn meerdere logbestanden op FMC die de details onthullen over het beleidsimplementatieproces.

    De twee logbestanden met de meeste referenties zijn: policy_deployment.log en usmsharedsvcs.log.

    Alle bestanden die in dit document worden vermeld, kunnen met meerdere Linux-opdrachten worden bekeken, zoals more, less en vi. Het is echter van groot belang dat alleen read acties worden uitgevoerd. Alle bestanden vereisen root toegang om ze te kunnen bekijken.

    /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log

    Dit logboek geeft duidelijk het begin aan van de beleidstaak op het VCC en de voltooiing van elke fase, die helpt om de fase te bepalen waarin de inzet een storing heeft ondervonden, samen met de foutcode.

    Het transactionID De waarde die in het JSON-gedeelte van het logbestand is opgenomen, kan worden gebruikt om logbestanden te vinden die betrekking hebben op een bepaalde implementatiepoging.

    22-Nov-2019 01:28:52.844,[INFO],(DefenseCenterServiceImpl.java:1372)
com.cisco.nm.vms.api.dc.DefenseCenterServiceImpl, ajp-nio-127.0.0.1-9009-exec-4
** REST Request [ CSM ]
** ID : e1c84364-0966-42eb-9356-d2914be2b4a3
** URL: Broadcast message.send.deployment
{
  "body" : {
    "property" : "deployment:deployment_initiated_for_the_device",
    "argumentList" : [ {
      "key" : "PHASE",
      "value" : "Phase-0"
    } ]
  },
  "user" : "68d03c42-d9bd-11dc-89f2-b7961d42c462",
  "type" : "deployment",
  "status" : "running",
  "progress" : 5,
  "silent" : true,
  "restart" : true,
  "transactionId" : 12884916552,
  "devices" : [ "93a2089a-fa82-11e9-8219-e1abeec81dc9" ]
}

    /var/log/sf/policy_deployment.log

    Terwijl dit logbestand door 6.x releases bestaat, die beginnen bij 6.4, werd de dekking uitgebreid.

    Het bevat nu een beschrijving van de gedetailleerde maatregelen die op het VCC zijn genomen om de implementatiepakketten te bouwen. Daarom kan het best worden gebruikt voor het analyseren van fouten van fase 1-4.

    Het begin van elke fase wordt gemarkeerd met "INFO start.. ":

    Jul 18 17:20:03 firepower ActionQueueScrape.pl[17287]: INFO starting populateGlobalSnapshot - sqlite = /var/cisco/umpd/8589938337/DC_policy_deployment.db, transaction = 8589938337, time = 1563470402, running as (memory = 56.35 MB) (Framework 3950<196 <- CSMTasks 223<10 <- SF::ActionQueue 2457)
Jul 18 17:20:03 firepower ActionQueueScrape.pl[17287]: INFO deployment threading: disabled (Framework 198 <- CSMTasks 223<10 <- SF::ActionQueue 2457)
Jul 18 17:20:03 firepower ActionQueueScrape.pl[17287]: INFO -> calling SF::UMPD::Plugins::Correlation::Manager::getPluginDependencies (Plugin 298<90 <- Framework 3579<3566<216 <- CSMTasks 223)
...

    Probleemoplossing voor beheerde apparaten

    Er zijn extra fasen en secties die afhankelijk zijn van het apparaatpakket, de configuratie met hoge beschikbaarheid en het resultaat van eerdere fasen voor elk beheerd apparaat.

    Als een implementatiekwestie is geïsoleerd voor een storing op het beheerde apparaat, kan verdere probleemoplossing worden uitgevoerd op het apparaat met twee logs op het apparaat: policy_implementation.log en ngfwManager.log.

    /ngfw/var/log/ngfwManager.log

    Dit logbestand bevat gedetailleerde stappen die zijn uitgevoerd door Config Communication Manager en Config Dispatcher communiceren met het VCC, werken met het implementatiepakket en de validering en toepassing van de configuraties van snort en LINA orkestreren.

    Dit zijn een paar voorbeelden van ngfwManager.log die het begin van de belangrijkste fasen vertegenwoordigen:

    FTD receives FMC's request for running configuration:

May 30 16:37:10 ccm[4293] Thread-10: INFO  com.cisco.ccm.ConfigCommunicationManager- Passing CD-Message-Request to Config Dispatcher...
May 30 16:37:10 ccm[4293] Thread-10: DEBUG com.cisco.ccm.ConfigCommunicationManager- <?xml version="1.0" encoding="UTF-8"?><cdMessagesList><timeStamp>1559234230012</timeStamp><cdMessage><name>LinaShowCommand</name><messageId>-753133537443151390</messageId><contentType>XML</contentType><msgContent><![CDATA[<?xml version="1.0" encoding="UTF-8"?><message><name>LinaShowCommand</name>...



FTD receives FMC's request to download the deployment package:

May 30 16:37:18 ccm[4293] Thread-9: INFO  com.cisco.ccm.ConfigCommunicationManager- Downloading database (transaction 8589938211, version 1559234236)
May 30 16:37:18 ccm[4293] Thread-9: DEBUG com.cisco.ccm.DownloadManager- handle record: 8589938211, status = PENDING
May 30 16:37:18 ccm[4293] Thread-9: DEBUG com.cisco.ccm.DownloadManager- begin downloading database



FTD begins the deployment of policy changes:

May 30 16:37:21 ccm[4293] Thread-9: INFO  com.cisco.ccm.ConfigCommunicationManager- Starting deployment
May 30 16:37:21 ccm[4293] Thread-11: INFO  com.cisco.ccm.ConfigCommunicationManager- Sending message: DEPLOYMENT_STATUS_CCM to Manager



FTD begins LINA deployment:

May 30 16:37:42 ccm[4293] Thread-19: DEBUG com.cisco.ngfw.configdispatcher.communicators.LinaCommunicatorImpl- Trying to send Start-Config-Sequencerequest to lina



FTD begins finalizing the deployment:

May 30 16:38:48 ccm[4293] Thread-19: DEBUG com.cisco.ngfw.configdispatcher.communicators.LinaCommunicatorImpl- Clustering Message sent out of ConfigDispatcher:
Name:Cluster-App-Conf-Finalize-Request

    /ngfw/var/log/sf/policy_deployment.log

    Dit logboek bevat de details van het beleid toegepast op Snort. Alhoewel de inhoud van het logboek meestal geavanceerd is en analyse door TAC vereist, is het nog mogelijk om het proces met een paar zeer belangrijke ingangen te vinden:

    Config Dispatcher begins extracting the packaged policies for validation:

Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO  -> calling SF::UMPD::Plugins::NGFWPolicy::Device::exportDeviceSnapshotToSandbox  (Plugin 230 <- Framework 611 <- Transaction 1085)
Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO  found NGFWPolicy =>   (NGFWPolicy::Util 32 <- NGFWPolicy::Device 43 <- Plugin 235)
...
Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO export FTD platform settings... (PlatformSettings::FTD::Device 29 <- Plugin 235<339 <- PlatformSettings::Device 13)



Config validation begins:

Jul 18 17:21:37 firepower policy_apply.pl[25122]: INFO  starting validateExportedFiles - sqlite = /var/cisco/deploy/sandbox/policy_deployment.db, sandbox = /var/cisco/deploy/sandbox/exported-files (memory = 229.99 MB)  (Framework 3950<687 <- Transaction 1101 <- main 194)



Validation has completed successfully:

Jul 18 17:21:49 firepower policy_apply.pl[25122]: INFO validateExportedFiles - sqlite = /var/cisco/deploy/sandbox/policy_deployment.db, sandbox = /var/cisco/deploy/sandbox/exported-files took 12 (memory = 238.50 MB, change = 8.51 MB) (Framework 3976<724 <- Transaction 1101 <- main 194) 



Config Dispatcher begins moving the validated configuration to the Snort directories in production:

Jul 18 17:21:54 firepower policy_apply.pl[26571]: INFO  -> calling SF::UMPD::Plugins::NGFWPolicy::Device::publishExportedFiles  (Plugin 230 <- Framework 822 <- Transaction 1662)



Snort processes will reload to apply the new configurations:

Jul 18 17:22:02 firepower policy_apply.pl[26571]: INFO  Reconfiguring DE a3bcd340-992f-11e9-a1f1-ac829f31a4f9...  (Snort::SnortNotifications 292<154 <- Snort::Device 343 <- Plugin 235)
Jul 18 17:22:02 firepower policy_apply.pl[26571]: INFO  sending SnortReload to a3bcd340-992f-11e9-a1f1-ac829f31a4f9  (Snort::SnortNotifications 298<154 <- Snort::Device 343 <- Plugin 235)



Snort reload has completed successfully:

Jul 18 17:22:14 firepower policy_apply.pl[26571]: INFO notifyProcesses - sandbox = /var/cisco/deploy/sandbox/exported-files took 16 (memory = 169.52 MB, change = 16.95 MB) (Framework 3976<964 <- Transaction 1680 <- main 200)



After LINA config apply finishes, Snort deployment is finalized:

Jul 18 17:23:32 firepower policy_apply.pl[26913]: INFO  starting finalizeDeviceDeployment - sandbox = /var/cisco/deploy/sandbox (memory = 101.14 MB)  (Framework 3950<980 <- Transaction 1740 <- main 206)

    Voorbeeld

    Stap 1. Een implementatie is mislukt

    TZ1

    Stap 2. Verkrijg de Deploy Transcript en Transaction ID.

    TZ2

    Stap 3. SSH in uw Management Center en gebruik het Linux hulpprogramma less om het bestand te lezen zoals aangegeven op uw VCC:

    Voorbeeld:"sudo less /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log" (Het sudo wachtwoord is uw gebruikers wachtwoord voor ssh)

    tz7

    Stap 4. Wanneer u in less, gebruik voorwaartse schuine streep en voer in het bericht-ID in om naar de logboeken te zoeken met betrekking tot de plaatsing transactieID

    Voorbeeld:"/60129547881" (Terwijl in less, gebruik n om naar het volgende resultaat te navigeren)

    Voorbeeld van doorlopend bericht:

    tz3

    Voorbeeld van een foutbericht:

    tz6

    5) Vergelijk de juiste mislukking van de bijgevoegde tabel van Common Failure Berichten.

     Dat wil zeggen dat de faalde_to_retri_running_configuratie optreedt tijdens communicatiestoringen tussen de twee apparaten. 

    Algemene foutmeldingen

    Dit zijn veel voorkomende foutmeldingen die u kunt zien aan de voorkant van het scherm Management Center Task en de foutcode die in het backend te zien is.

    Deze boodschappen kunnen worden geanalyseerd en vergeleken met de gemeenschappelijke redenen voor mogelijke resoluties.

    In het geval dat deze niet worden gezien, of uw situatie niet oplossen, neem dan contact op met TAC voor hulp. 

    ----------------------------------------------------------------------------------------

    Foutcode

    Foutmeldingen

    Reden

    device_has_changed_domain

    De mislukking van de plaatsing - het apparaat heeft domein van {SRCDOMAIN} aan {DESTINATIONDOMAIN} veranderd. Probeer het later opnieuw.

    Deze fout treedt doorgaans op wanneer een apparaat is verplaatst of uit een tweede domein is gehaald. Een herimplementatie terwijl er geen cross-domein informatie voorkomt, lost dit probleem meestal op.

    device_currently_under_deployment

    De implementatie is mislukt als gevolg van een andere implementatie van dit apparaat. Probeer het later opnieuw.

    Dit wordt meestal gerapporteerd wanneer de implementatie wordt geactiveerd op een apparaat in implementatie. In sommige versies wordt dit voorkomen zonder een foutmelding; deze fase bestaat echter nog steeds voor hulp bij het oplossen van problemen.

    device_not_member_of_container

    Implementatie kan niet worden uitgevoerd op een individueel apparaat dat lid is van een cluster. Probeer het cluster later opnieuw te implementeren.

    Dit bericht is van toepassing voor FTD op apparaten met de Firepower eXtensible Operative System (FXOS) Chassis Manager. Als de cluster is gebouwd op FXOS, maar niet op het VCC, wordt dit bericht weergegeven. Maak het cluster op het Management Center-apparaat voordat u probeert het te implementeren.

    policy_altered_after_timestamp_for_other_devices_in_job_error

    Het beleid voor één of meerdere apparaten is sinds {TIJDSTEMPEL} gewijzigd. Probeer de implementatie opnieuw.

    Deze fout wordt weergegeven Als een beleid/object wordt gewijzigd voor elk apparaat in de implementatietaak nadat de gebruiker triggers heeft geimplementeerd en voordat CSM-elementen en domeinsnapshots worden gemaakt.  Een herschikking lost dit probleem op.

    Dit kan gebeuren wanneer veel gebruikers hetzelfde FMC gebruiken om objecten te bewerken en op te slaan tijdens de implementatie.

    policy_altered_after_timestamp_error

    Het beleid {Naam van het Beleid} is veranderd sinds {Timestamp}. Probeer de implementatie opnieuw.

    Deze fout wordt weergegeven Als beleid/objecten worden gewijzigd voor het betreffende apparaat in de implementatietaak, nadat de gebruiker triggers implementeert en voordat CSM en domein snapshots worden gemaakt.  Een herschikking lost dit probleem op.

    csm_snapshot_error

    De implementatie is mislukt door het niet verzamelen van beleidsregels en objecten. Als het probleem zich blijft voordoen na een herhaalde poging, neemt u contact op met Cisco TAC.

    Als een recente Policy Import beschikbaar is, wacht dan een uur of zo en probeer een andere implementatie. 
    Als dit niet toelaat om verder te gaan naar, neem dan contact op met TAC omdat het een databasegerelateerd bericht is. 

    domain_snapshot_timeout

    Implementatie is mislukt vanwege time-out om beleid en objecten te verzamelen. Als het probleem zich blijft voordoen na een andere poging, neemt u contact op met Cisco TAC.

    De domeinsnapshot heeft standaard een time-out van 5 minuten. Als het systeem te zwaar wordt belast of als de hypervisor niet goed werkt, kan dit onnatuurlijke vertragingen in de oproep tot gevolg hebben.

    Dit kan gebeuren als het Management Center of apparaat niet de juiste hoeveelheid geheugen middelen ook wordt voorzien.

    Als dit zonder lading gebeurt of niet op een later tijdstip verdergaat, neemt u contact op met TAC.

    domain_snapshot_errors

    Implementatie is mislukt bij het verzamelen van beleid en objecten. Als het probleem zich blijft voordoen na een andere poging, neemt u contact op met Cisco TAC.

    Contact opnemen met TAC. Geavanceerde probleemoplossing is vereist.

    failed_to_retrieve_running_configuration

    Implementatie is mislukt omdat de configuratie-informatie van de run van het apparaat niet is hersteld. Probeer de implementatie opnieuw.

    Dit bericht kan optreden wanneer de verbinding tussen een eindsensor en een VCC niet functioneert zoals verwacht. Controleer de tunnelgezondheid tussen de eenheden en controleer de connectiviteit tussen de twee apparaten. 

    Als de tunnel werkt zoals verwacht en de apparaten kunnen communiceren, neemt u contact op met TAC.

    device_is_busy

    Implementatie is mislukt omdat apparaat mogelijk een vorige implementatie of een herstart uitvoert. Als het probleem zich blijft voordoen na een andere poging, neemt u contact op met Cisco TAC.

    Dit bericht wordt getoond wanneer het VCC een implementatie probeert te implementeren terwijl een vorige implementatie in uitvoering is op FTD. Meestal gebeurt dit wanneer een eerdere implementatie op FTD niet is voltooid en de FTD opnieuw is opgestart of wanneer het ngfwManager-proces op FTD opnieuw is gestart. Als u na 20 minuten opnieuw probeert om processen formeel uit te schakelen, moet dit probleem worden opgelost.

    Neem contact op met TAC indien dit na een vertraging of als de vertraging niet aanvaardbaar is.

    no_response_for_show_cmd

    De implementatie is mislukt vanwege problemen met de connectiviteit met het apparaat of apparaat reageert niet. Als het probleem zich blijft voordoen na een andere poging, neemt u contact op met Cisco TAC.

    FMC geeft bepaalde LINA "show" commando's om de lopende configuratie voor configuratie generatie te halen.

    Dit kan gebeuren wanneer er connectiviteitsproblemen of problemen met het ngfwManager-proces op de eindsensor zijn.

    In het geval dat u geen connectiviteitsproblemen ondervindt tussen uw eenheden, neem contact op met TAC.

    network_latency_or_device_not_reachable

    Implementatie is mislukt vanwege communicatiestoringen met het apparaat. Als het probleem zich blijft voordoen na een andere poging, neemt u contact op met Cisco TAC.

    Gewoonlijk komt met hoge netwerklatentie tussen de apparaten voor om een beleidsonderbreking te veroorzaken. Controleer de netwerklatentie tussen apparaten om te controleren of deze overeenkomt met de minima voor de versie die in de gebruikershandleiding wordt vermeld.

    slave_app_sync

    Implementatie is mislukt omdat de synchronisatie van de clusterconfiguratie bezig is.  Probeer de implementatie opnieuw.

    Dit is alleen van toepassing voor FTD-clusterinstellingen. Als een implementatie wordt geprobeerd op een FTD-cluster terwijl de app sync (configuratie sync) bezig is, wordt hetzelfde geweigerd door FTD. Een poging na configuratiesynchronisatie moet dit probleem oplossen.

    De huidige clusterstatus kan met deze opdracht in het beheerde apparaat CLISH worden bijgehouden:

    > clusterinfo tonen

    asa_configuratie_generation_fouten

    Implementatie is er niet in geslaagd apparaatconfiguratie te genereren. Als het probleem zich blijft voordoen na een andere poging, neemt u contact op met Cisco TAC.

    Na het bekijken van de eerder genoemde USMS-logboeken, kunt u misschien zien welke configuratie de fout veroorzaakt. Dit zijn meestal bugs waarin de logs kunnen worden doorgebladerd door de Cisco Bug Tool of contact kunnen opnemen met Cisco TAC om verder problemen op te lossen.

    interface_out_of_date

    Implementatie is mislukt omdat interfaces op apparaat verouderd zijn. Sla de configuratie op de pagina Interfaces op en probeer het opnieuw.

    Dit gebeurt op modellen van 4100's of 9300's als de interface niet is gekoppeld van het apparaat tijdens of vlak voor een implementatie.

    Controleer dat de interface volledig is gekoppeld of niet is gekoppeld voordat u de implementatie probeert.

    device_package_error

    Implementatie heeft geen configuratie voor apparaat gegenereerd. Als het probleem zich blijft voordoen na een andere poging, neemt u contact op met Cisco TAC.

    Deze fout geeft aan dat de apparaatconfiguratie voor het apparaat niet is gegenereerd. Contact opnemen met TAC.

    device_package_timeout

    Implementatie is mislukt vanwege onderbreking tijdens het genereren van de configuratie. Als het probleem zich blijft voordoen na een andere poging, neemt u contact op met Cisco TAC.

    Dit kan gebeuren als er latentie tussen de apparaten buiten het normale bereik bestaat. Neem contact op met TAC als dit probleem zich nog steeds voordoet nadat de latency is genormaliseerd. 

    device_communication_errors

    De implementatie is mislukt door een storing in de communicatie met het apparaat. Controleer de netwerkconnectiviteit en probeer de implementatie opnieuw.

    Dit bericht is de reserve voor eventuele communicatieproblemen tussen de apparaten. Door zijn vage aard wordt het geschreven als de reserve om te verklaren dat een onbekende connectiviteitsfout is voorgekomen. 

    unable_to_initiate_deployment_dc

    Beleidsimplementatiefout. Probeer de implementatie opnieuw.

    Dit probleem moet door een andere poging worden opgelost.

    Dit kan gebeuren wanneer het VCC de inzet niet kan starten vanwege een tijdelijke blokkering in de database.

    device_failure_timeout

    Implementatie naar apparaat is mislukt vanwege tijdelijke onderbreking. Probeer de implementatie opnieuw.

    Dit houdt verband met de invoering van FTD. Processen op FTD wachten 30 minuten voor de verzending om de implementatie te voltooien. Zo niet, dan is het tijd om te vertrekken.

    Als dit gebeurt, controleer dan de verbinding tussen apparaten en neem contact op met TAC als de verbinding zoals verwacht is. 

    device_failure_download_timeout

    Implementatie is mislukt vanwege de tijdelijke versie van de configuratie naar het apparaat. Als het probleem zich blijft voordoen na een andere poging, neemt u contact op met Cisco TAC.

    Dit houdt verband met de invoering van FTD. De FTD kan tijdens de implementatie niet alle apparaatconfiguratiebestanden downloaden vanwege connectiviteitsproblemen.

    Probeer het opnieuw nadat de netwerkverbinding is geverifieerd. 

    Als dit is geverifieerd, neemt u contact op met TAC.

    device_failure_configuration

    Implementatie is mislukt vanwege configuratiefout. Als het probleem zich blijft voordoen na een andere poging, neemt u contact op met Cisco TAC.

    Eventuele fouten in de configuratie die door het VCC voor het apparaat wordt gegenereerd, moeten resulteren in deze post van toepassing.

    Dit moet worden geanalyseerd in de USMS-logboeken om te verifiëren welke problemen worden gezien en te proberen ze terug te rollen.

    Na reparatie vereist dit meestal TAC-interventie en bug creatie als de logs niet kunnen worden gekoppeld aan een bekend defect bij de Cisco Bug Search Tool. 

    deployment_timeout_no_response_from_device

    De implementatie is mislukt vanwege de communicatietime-out met het apparaat. Als het probleem zich blijft voordoen na een andere poging, neemt u contact op met Cisco TAC.

    Deze time-out treedt op als het VCC na 45 minuten of langer nog niet van een apparaat heeft gehoord.

    Dit is een communicatiefout. 

    Controleer de communicatie en neem, indien geverifieerd, contact op met TAC.

    device_failure_change_master

    De implementatie in cluster is mislukt omdat de primaire eenheid is gewijzigd. Probeer de implementatie opnieuw.

    Voor een implementatie van een FTD-cluster wordt deze fout aangegeven als de switches van het hoofdknooppunt zich in de implementatiefase op het apparaat bevinden (na melding).

    Probeer het opnieuw als het primaire knooppunt stabiel is. 

    De huidige status van het clusterlid kan met deze opdracht in het beheerde apparaat CLISH worden bijgehouden:

    > clusterinfo tonen

    device_failure_unknown_master

    De implementatie in het cluster is mislukt als gevolg van een fout in de identificatie van de primaire eenheid. Probeer de implementatie opnieuw.

    Het VCC heeft tijdens de inzet het huidige primaire knooppunt niet kunnen bepalen.

    Dit kan het gevolg zijn van een aantal mogelijkheden: connectiviteitsproblemen of huidige primaire niet toegevoegd aan het cluster op het VCC.

    Het probleem moet worden opgelost nadat de verbinding is hersteld of nadat de huidige primaire verbinding met het VCC-cluster is toegevoegd en opnieuw wordt geprobeerd. 

    De huidige clusterstatus kan met deze opdracht in het beheerde apparaat CLISH worden bijgehouden:

    > clusterinfo tonen

    cd_deploy_app_sync

    Implementatie is mislukt omdat de synchronisatie van de clusterconfiguratie bezig is.  Probeer de implementatie opnieuw.

    Dit kan voorkomen als het apparaat in App Sync is, zodra App Sync is voltooid, probeer de implementatie nogmaals. 

    cd_existing_deployment

    Implementatie is mislukt vanwege conflict met gelijktijdige vorige implementatie. Als het probleem zich blijft voordoen na een andere poging, neemt u contact op met Cisco TAC.

    Dit kan voorkomen als een plaatsing aan één kant, maar niet andere gelijktijdig is.

    Deze worden meestal veroorzaakt door communicatieproblemen tussen de apparaten. 

    Neem contact op met TAC als u na de time-out nog steeds niet kunt implementeren.

    Contact opnemen met TAC voor assistentie

    In het geval dat de vorige informatie niet toelaat dat een beleidsontwikkeling doorgaat, of als het probleem niet gerelateerd lijkt te zijn aan een reeds bestaand gedocumenteerd gedrag, gebruikt u de stappen die in de volgende link worden geboden om een probleemoplossing bestand te genereren en u uit te reiken naar TAC voor analyse en het maken van bugs.


    https://www.cisco.com/c/en/us/support/docs/security/sourcefire-defense-center/117663-technote-SourceFire-00.html

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    23-Sep-2022
    Eerste vrijgave
    1.0
    17-Feb-2020
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Created by Jeff Jackson
      Cisco Technical Consulting Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten