Automatic Download Update Failure on a Firepower Management Center

下載選項

  • PDF     (329.6 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (165.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (133.5 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2021 年 7 月 16 日
文件 ID:118791

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔討論更新Cisco Firepower管理中心的計畫任務失敗的原因。您可以手動或自動更新Cisco Firepower管理中心。為了執行自動軟體更新,您可以在管理中心建立計畫任務,以在將來運行。 

    失敗的可能原因

    當網路中發生以下操作之一時,Firepower管理中心可能無法從思科下載更新基礎設施下載更新檔案:

    • 貴公司的安全策略阻止域名系統(DNS)流量。
    • 管理中心之外的配置會影響下載。例如,防火牆規則可能僅允許一個support.sourcefire.com的IP地址。

    注意:思科利用輪詢DNS實現負載平衡、容錯和正常運行時間。因此,DNS伺服器的IP地址可能會更改。

    影響

    如果使用此方法…… 措施項
    自動下載的系統預設配置 無需操作
    手動下載更新檔案並將其上傳到Firepower管理中心 無需操作
    過濾對思科託管下載更新基礎設施的訪問的防火牆規則 遵循解決方案
    • 三次重試和下一次計畫運行會部分緩解故障。反複出現故障可能表示存在外部因素,例如防火牆或基礎架構中斷。
    • 由於輪詢DNS在域名上,您需要採取一些步驟來確保沒有間歇性下載失敗。

    驗證

    驗證DNS設定

    確保將Firepower管理中心配置為使用您的DNS伺服器。

    注意:思科強烈建議您保留預設設定。

    您可以在Network部分的System > Local > Configuration中配置DNS設定。在Shared Settings部分下,最多可以指定三個DNS伺服器。

    附註:如果在Configuration下拉選單中選擇DHCP,則無法手動指定Shared Settings

    驗證連線

    您可以使用各種命令(例如telnet、nslookup或dig)來確定DNS伺服器的狀態以及Firepower管理中心上的DNS設定。例如:

    telnet support.sourcefire.com 443
    nslookup support.sourcefire.com
    dig support.sourcefire.com

    附註:對support.sourcefire.com執行ping操作不起作用。因此,不應將其用作連線測試。

    為了測試從裝置到支援站點的連線(下載更新等),您可以通過SSH或直接控制檯訪問登入到裝置,然後使用以下命令:

    admin@Firepower:~# sudo openssl s_client -connect support.sourcefire.com:443


    此命令會顯示憑證交涉,並為您提供相當於對連線埠80 Web伺服器的Telnet作業階段。以下是指令輸出的範例:

    New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: 44A18130176C9171F50F33A367B55F5CFD10AA0FE87F9C5C1D8A7A7E519C695B
Session-ID-ctx:
Master-Key: D406C5944B9462F1D6CB15D370E884B96B82049300D50E74F9B8332F84786F05C35BF3FD806672630BE26C2218AE5BDE
Key-Arg : None
Start Time: 1398171146
Timeout : 300 (sec)
Verify return code: 0 (ok)
---

    此時應該沒有提示。但是,由於會話正在等待輸入,因此您可以輸入以下命令:

    GET /

    您應該會收到原始的HTML(支援網站登入頁面)。

    疑難排解

    選項1:在防火牆上用域名support.sourcefire.com替換靜態IP地址。如果您必須使用靜態IP地址,請確保這是正確的。以下是Firepower系統使用的下載伺服器的詳細資訊:

    • :support.sourcefire.com
    • 連接埠:443/tcp(雙向)
    • IP 位址:50.19.123.95、50.16.210.129

    support.sourcefire.com(循環方法中)也使用的其他IP地址為:

    54.221.210.248
    54.221.211.1
    54.221.212.60
    54.221.212.170
    54.221.212.241
    54.221.213.96
    54.221.213.209
    54.221.214.25
    54.221.214.81

    選項2:您可以使用Web瀏覽器手動下載更新,然後在維護期間手動安裝更新。

    選項3:在DNS伺服器上為support.sourcefire.com新增A記錄。

    相關檔案

    修訂記錄

    修訂 發佈日期 意見
    1.0
    21-Apr-2016
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Nazmul Rajib
      思科工程

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品