فهم رسائل حالة تجاوز الفشل ل FTD
المحتويات
المقدمة
يوضح هذا المستند كيفية فهم رسائل حالة تجاوز الفشل على الحماية الآمنة ضد تهديد جدار الحماية (FTD).
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- إعداد التوفر العالي (HA) ل Cisco Secure FTD
- الاستخدام الأساسي لمركز إدارة جدار الحماية (FMC) من Cisco
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco FMC v7.2.5
- Cisco Firepower 9300 Series v7.2.5
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
نظرة عامة على مراقبة سلامة التغلب على الأعطال:
يقوم جهاز FTD بمراقبة كل وحدة لضمان الصحة العامة وسلامة الواجهة. يجري برنامج الإرسال فائق السرعة (FTD) إختبارات لتحديد حالة كل وحدة استنادا إلى مراقبة سلامة الوحدة ومراقبة الواجهة. وعندما يفشل إختبار لتحديد حالة كل وحدة في زوج HA، تحدث أحداث تجاوز الفشل.
رسائل حالة تجاوز الفشل
حالة الاستخدام - انسداد إرتباط البيانات دون تجاوز الفشل
عندما لا يتم تمكين مراقبة الواجهة على FTD HA وفي حالة فشل إرتباط البيانات، لا يتم تشغيل حدث تجاوز الفشل نظرا لعدم إجراء إختبارات مراقبة السلامة للواجهات.
تصف هذه الصورة التنبيهات الخاصة بفشل إرتباط البيانات ولكن لا يتم تشغيل تنبيهات تجاوز الفشل.
تنبيه الارتباط لأسفل
للتحقق من حالة إرتباطات البيانات وحالتها، أستخدم هذا الأمر:
show failover- يعرض المعلومات حول حالة تجاوز الفشل لكل وحدة وواجهة.
Monitored Interfaces 1 of 1291 maximum
...
This host: Primary - Active
Active time: 3998 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(3)53) status (Up Sys)
Interface DMZ (192.168.10.1): Normal (Waiting)
Interface INSIDE (172.16.10.1): No Link (Not-Monitored)
Interface OUTSIDE (192.168.20.1): Normal (Waiting)
Interface diagnostic (0.0.0.0): Normal (Not-Monitored)
...
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(3)53) status (Up Sys)
Interface DMZ (192.168.10.2): Normal (Waiting)
Interface INSIDE (172.16.10.2): Normal (Waiting)
Interface OUTSIDE (192.168.20.2): Normal (Waiting)
Interface diagnostic (0.0.0.0): Normal (Not-Monitored)
عندما تكون حالة الواجهة هي "انتظار"، فإنها تعني أن الواجهة قيد التشغيل، ولكنها لم تستلم بعد حزمة ترحيب من الواجهة المقابلة على وحدة النظير.
من ناحية أخرى، الدولة "لا إرتباط (غير monitore)" تعني أن الارتباط الفعلي للواجهة معطل ولكن لا يتم مراقبته بواسطة عملية تجاوز الفشل.
لتجنب انقطاع العمل، يوصى بشدة بتمكين "مراقبة صحة الواجهة" في جميع الواجهات الحساسة باستخدام عناوين IP الاحتياطية المقابلة لها.
لتمكين مراقبة الواجهة، انتقل إلىDevice > Device Management > High Availability > Monitored Interfaces.
يبدي هذا صورة ال monitore قارن تبويب:
واجهات مراقبة
in order to دققت الحالة من ال monitore قارن وعناوين IP إستعداد، ركضت هذا أمر:
show failover- يعرض المعلومات حول حالة تجاوز الفشل لكل وحدة وواجهة.
Monitored Interfaces 3 of 1291 maximum
...
This host: Primary - Active
Active time: 3998 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(3)53) status (Up Sys)
Interface DMZ (192.168.10.1): Normal (Monitored)
Interface INSIDE (172.16.10.1): No Link (Monitored)
Interface OUTSIDE (192.168.20.1): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
...
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(3)53) status (Up Sys)
Interface DMZ (192.168.10.2): Normal (Monitored)
Interface INSIDE (172.16.10.2): Normal (Monitored)
Interface OUTSIDE (192.168.20.2): Normal (Monitored)
Interface diagnostic (0.0.0.0): Normal (Waiting)
إستخدام الحالة - فشل حماية الواجهة
عندما لا تستلم وحدة رسائل ترحيب على واجهة monitore لمدة 15 ثانية وإذا فشل إختبار الواجهة في وحدة واحدة ولكنه يعمل في الوحدة الأخرى، فإن الواجهة تعتبر أنها فشلت.
إذا تم استيفاء الحد الذي تحدده لعدد الواجهات الفاشلة وكانت الوحدة النشطة تحتوي على واجهات فاشلة أكثر من الوحدة الاحتياطية، فيحدث تجاوز الفشل.
لتعديل حد الواجهة، انتقل إلى Devices > Device Management > High Availability > Failover Trigger Criteria.
تصف هذه الصورة التنبيهات التي تم إنشاؤها على فشل واجهة:
حدث تجاوز الفشل مع إيقاف الارتباط
استعملت in order to دققت السبب للفشل، هذا أمر:
show failover state- يعرض هذا الأمر حالة تجاوز الفشل لكل من الوحدات وآخر سبب تم الإبلاغ عنه لتجاوز الفشل.
firepower# show failover state
This host - Primary
Active Ifc Failure 19:14:54 UTC Sep 26 2023
Other host - Secondary
Failed Ifc Failure 19:31:35 UTC Sep 26 2023
OUTSIDE: No Link
show failover history- عرض محفوظات تجاوز الفشل. تعرض محفوظات تجاوز الفشل تغييرات حالة تجاوز الفشل السابقة وسبب تغيير الحالة.
firepower# show failover history
==========================================================================
From State To State Reason
==========================================================================
19:31:35 UTC Sep 26 2023
Active Failed Interface check
This host:1
single_vf: OUTSIDE
Other host:0
حالة الاستخدام - الاستخدام العالي للقرص
في حالة امتلاء مساحة القرص على الوحدة النشطة بأكثر من 90٪، يتم تشغيل حدث تجاوز الفشل.
تصف هذه الصورة التنبيهات التي تم إنشاؤها عند امتلاء القرص:
تجاوز الفشل باستخدام القرص
استعملت in order to دققت السبب للفشل، هذا أمر:
show failover history- عرض محفوظات تجاوز الفشل. تعرض محفوظات تجاوز الفشل تغييرات الحالة السابقة الخاصة بتجاوز الفشل وسبب تغييرات الحالة.
firepower# show failover history
==========================================================================
From State To State Reason
==========================================================================
20:17:11 UTC Sep 26 2023
Active Standby Ready Other unit wants me Standby
Inspection engine in other unit has failed)
20:17:11 UTC Sep 26 2023. Standby Ready Failed Detect Inspection engine failure
Active due to disk failure
show failover- يعرض المعلومات حول حالة تجاوز الفشل لكل وحدة.
firepower# show failover | include host|disk
This host: Primary - Failed
slot 2: diskstatus rev (1.0) status (down)
Other host: Secondary - Active
slot 2: diskstatus rev (1.0) status (up)
-
df -h- يعرض معلومات حول كل أنظمة الملفات التي تم تحميلها والتي تتضمن الحجم الإجمالي والمساحة المستخدمة والنسبة المئوية للاستخدام ونقطة التحميل.
admin@firepower:/ngfw/Volume/home$ df -h /ngfw
Filesystem Size Used Avail Use% Mounted on
/dev/sda6 191G 186G 4.8G 98% /ngfw
حالة الاستخدام - Lina traceback
في حالة إرتباط traceback، يمكن تشغيل حدث تجاوز الفشل.
تصف هذه الصورة التنبيهات التي تم إنشاؤها في حالة Lina traceback:
تجاوز الفشل باستخدام خط traceback
استعملت in order to دققت السبب للفشل، هذا أمر:
show failover history- عرض محفوظات تجاوز الفشل. تعرض محفوظات تجاوز الفشل تغييرات الحالة السابقة الخاصة بتجاوز الفشل وسبب تغيير الحالة.
firepower# show failover history
==========================================================================
From State To State Reason
==========================================================================
8:36:02 UTC Sep 27 2023
Standby Ready Just Active HELLO not heard from peer
(failover link up, no response from peer)
18:36:02 UTC Sep 27 2023
Just Active Active Drain HELLO not heard from peer
(failover link up, no response from peer)
18:36:02 UTC Sep 27 2023
Active Drain Active Applying Config HELLO not heard from peer
(failover link up, no response from peer)
18:36:02 UTC Sep 27 2023
Active Applying Config Active Config Applied HELLO not heard from peer
(failover link up, no response from peer)
18:36:02 UTC Sep 27 2023
Active Config Applied Active HELLO not heard from peer
(failover link up, no response from peer)
في حالة lina traceback، أستخدم هذا أمر أن يحدد مكان الملفات الأساسية:
root@firepower:/opt/cisco/csp/applications# cd /var/data/cores
root@firepower:/var/data/cores# ls -l
total 29016
-rw------- 1 root root 29656250 Sep 27 18:40 core.lina.11.13995.1695839747.gz
في حالة Lina traceback، من المستحسن بشدة تجميع ملفات أستكشاف الأخطاء وإصلاحها، وتصدير الملفات الأساسية، والاتصال ب Cisco TAC.
إستخدام الحالة - مثيل Snort لأسفل
في حالة انخفاض أكثر من 50٪ من مثيلات جهاز التنفس على الوحدة النشطة، يتم تشغيل تجاوز الفشل.
تصف هذه الصورة التنبيهات التي تم إنشاؤها عند فشل التطفل:
تجاوز الفشل باستخدام خدمة Snort traceback
من أجل دققت السبب للفشل، استعملت هذا أمر:
show failover history- عرض محفوظات تجاوز الفشل. تعرض محفوظات تجاوز الفشل تغييرات الحالة السابقة الخاصة بتجاوز الفشل وسبب تغيير الحالة.
firepower# show failover history
==========================================================================
From State To State Reason
==========================================================================
21:22:03 UTC Sep 26 2023
Standby Ready Just Active Inspection engine in other unit has failed
due to snort failure
21:22:03 UTC Sep 26 2023
Just Active Active Drain Inspection engine in other unit has failed
due to snort failure
21:22:03 UTC Sep 26 2023
Active Drain Active Applying Config Inspection engine in other unit has failed
due to snort failure
21:22:03 UTC Sep 26 2023
Active Applying Config Active Config Applied Inspection engine in other unit has failed
due to snort failure
show failover- يعرض المعلومات حول حالة تجاوز الفشل للوحدة.
firepower# show failover | include host|snort
This host: Secondart - Active
slot 1: snort rev (1.0) status (up)
Other host: Primary - Failed
slot 1: snort rev (1.0) status (down)
Firepower-module1#
في حالة snort traceback، أستخدم هذه الأوامر لتحديد موقع crashinfo أو الملفات الأساسية:
For snort3:
root@firepower# cd /ngfw/var/log/crashinfo/
root@firepower:/ngfw/var/log/crashinfo# ls -l
total 4
-rw-r--r-- 1 root root 1052 Sep 27 17:37 snort3-crashinfo.1695836265.851283
For snort2:
root@firepower# cd/var/data/cores
root@firepower:/var/data/cores# ls -al total 256912 -rw-r--r-- 1 root root 46087443 Apr 9 13:04 core.snort.24638.1586437471.gz
في حالة snort traceback، من المستحسن بشدة تجميع ملفات أستكشاف الأخطاء وإصلاحها، وتصدير الملفات الأساسية، والاتصال ب Cisco TAC.
حالة الاستخدام - فشل الأجهزة أو الطاقة
يحدد جهاز FTD صحة الوحدة الأخرى من خلال مراقبة إرتباط تجاوز الفشل مع رسائل الترحيب. عندما لا تتلقى الوحدة ثلاث رسائل ترحيب متتالية على إرتباط تجاوز الفشل، وعندما تفشل الاختبارات على الواجهات المراقبة، يمكن تشغيل حدث تجاوز الفشل.
تصف هذه الصورة التنبيهات التي تم إنشاؤها عند حدوث عطل في الطاقة:
تجاوز الفشل مع تعطل الطاقة
من أجل دققت السبب للفشل، استعملت هذا أمر:
show failover history- عرض محفوظات تجاوز الفشل. تعرض محفوظات تجاوز الفشل تغييرات الحالة السابقة الخاصة بتجاوز الفشل وسبب تغيير الحالة.
firepower# show failover history
==========================================================================
From State To State Reason
==========================================================================
22:14:42 UTC Sep 26 2023
Standby Ready Just Active HELLO not heard from peer
(failover link down)
22:14:42 UTC Sep 26 2023
Just Active Active Drain HELLO not heard from peer
(failover link down
22:14:42 UTC Sep 26 2023
Active Drain Active Applying Config HELLO not heard from peer
(failover link down
22:14:42 UTC Sep 26 2023
Active Applying Config Active Config Applied HELLO not heard from peer
(failover link down)
22:14:42 UTC Sep 26 2023
Active Config Applied Active HELLO not heard from peer
(failover link down)
show failover state- يعرض هذا الأمر حالة تجاوز الفشل لكل من الوحدات وآخر سبب تم الإبلاغ عنه لتجاوز الفشل.
firepower# show failover state
State Last Failure Reason Date/Time
This host - Primary
Active None
Other host - Secondary
Failed Comm Failure 22:14:42 UTC Sep 26 2023
حالة الاستخدام - فشل دقات القلب لمعالج MIO (الأجهزة)
يرسل مثيل التطبيق دوريا ضربات قلب إلى المشرف. عند عدم تلقي الاستجابات الفورية، يمكن تشغيل حدث تجاوز الفشل.
من أجل دققت السبب للفشل، استعملت هذا أمر:
show failover history- عرض محفوظات تجاوز الفشل. تعرض محفوظات تجاوز الفشل تغييرات الحالة السابقة الخاصة بتجاوز الفشل وسبب تغيير الحالة.
firepower# show failover history
==========================================================================
From State To State Reason
==========================================================================
02:35:08 UTC Sep 26 2023
Active Failed MIO-blade heartbeat failure
02:35:12 UTC Sep 26 2023
Failed Negotiation MIO-blade heartbeat recovered
.
.
.
02:37:02 UTC Sep 26 2023
Sync File System Bulk Sync Detected an Active mate
02:37:14 UTC Sep 26 2023
Bulk Sync Standby Ready Detected an Active mate
عند فشل دقات قات قلب MIO، من المستحسن بشدة تجميع ملفات أستكشاف الأخطاء وإصلاحها، وعرض سجلات التقنية من FXOS، والاتصال ب cisco TAC.
بالنسبة إلى Firepower 4100/9300، قم بتجميع هيكل show tech-support وعرض وحدة الدعم الفني.
بالنسبة إلى FPR1000/2100 وجدار الحماية الآمن 3100/4200، قم بتجميع نموذج show للدعم الفني.
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
10-Oct-2023 |
الإصدار الأولي |
التعليقات