コンテンツ セキュリティ アプライアンス ネットワークの接続の問題
はじめに
このドキュメントでは、ネットワーク経由でCisco Eメールセキュリティアプライアンス(ESA)またはCiscoセキュリティ管理アプライアンス(SMA)に接続できない場合に発生する問題のトラブルシューティング方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco ESA
- シスコSMA
- AsyncOS
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco ESA AsyncOSのすべてのバージョン
- Cisco SMA AsyncOSのすべてのバージョン
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
問題
ネットワーク経由でESAまたはSMAに接続できません。WebインターフェイスとCLIを介してセキュアシェル(SSH)で接続しようとしましたが、アプライアンスが要求に応答しないようです。
解決方法
ほとんどの場合、アプライアンスは実際にはロックアップされていません。単に、通常の方法でネットワーク要求に応答できない状態である可能性があります。このセクションでは、問題を診断し、システムを回復してシステムが稼働したり動作したりできるようにするためのガイドラインを示します。
アプライアンスを正しくリブートしてもネットワーク経由でアクセスできない場合は、アプライアンスのインジケータライトと音声コードを確認します。
- アプライアンスのインジケータライトをチェックします。明かりがついていますか。
- HDDのLEDは点灯していますか?点滅していますか。
- アプライアンスの前面にステータスコードが表示されていますか。
- アプライアンスの起動時に何らかの可聴コード(ビープ音)が発生しましたか。
多くの場合、ネットワークケーブルを交換するか、スイッチの別のポートに移動するだけで、接続の問題を解決できます。
- スイッチポートのインジケータライトのステータスを確認します(ステータスが表示されている場合)。
- アプライアンスのライトのステータスをチェックします。彼らは乗ってるの?点滅していますか。
- ネットワーククロスケーブルを使用してアプライアンスに直接接続できますか。
ネットワーククロスケーブルを使用すると、アプライアンスのイーサネットポートに直接接続できます。ただし、接続先のインターフェイスと同じサブネット上に接続ホストが存在するように設定する必要があります。ネットワーククロスケーブルを使用すると、同じサブネット上に別のホストが同じIPアドレスを持っている場合など、LANに関連する状況を診断する際に役立ちます。アプライアンスがネットワーク要求に応答するかどうかを確認します。
- アプライアンスがネットワーク要求に応答していないか、または単にサービス要求に応答していないかを確認します。これを判断するには、pingを使用できます。アプライアンスにpingできるものの、SSHで接続できない場合は、アプライアンスがInternet Control Message Protocol(ICMP)を介してリッスンを行っており、SSHサービスが応答しないか、アクセスできないことがわかっています。
- すべてのネットワークインターフェイスをテストしましたか。前述のプロセスを使用して、アプライアンスの他のインターフェイスのいずれかに接続できるかどうかを確認します。
システムがネットワーク要求に応答せず、即時のアクセスが必要な場合は、アプライアンスの背面にあるシリアルポートに接続できます。このポートは標準のDB9コネクタであり、アプライアンスに付属のシリアルケーブルで使用できます。アプライアンスに付属のシリアルケーブルがない場合は、ヌルモデムケーブルとして設定されているシリアルケーブルを入手する必要があります。
オプションで、ヌルモデムアダプタ付きの標準シリアルケーブルを使用できます。ケーブルをアプライアンスに接続すると、ケーブルのもう一方の端をラップトップなどの別のシステムに接続できます。HypertermやProcomなどのターミナルプログラムを使用する必要があります。ターミナルプログラムを9600ボー8N1用に設定する必要もあります。ターミナルプログラムを起動すると、接続とログインが可能になります。シリアルポートが応答しない場合は、ケーブルが接続されていること、およびユニットの電源がオンになっていることを確認する必要があります。それでもログインできない場合は、カスタマーサポートにお問い合わせください。
ネットワーク関連のコマンド
シリアルポートからアクセスできる場合は、status detailコマンドを入力して、アプライアンスのステータスがOnlineを示していることを確認します。
mail.example.com > status detail
Status as of: Mon Jan 04 12:48:31 2010 CST
Up since: Tue Jul 14 16:50:50 2009 CDT (173d 20h 57m 41s)
Last counter reset: Never
System status: Online
Oldest Message: 24 weeks 16 hours 30 mins 48 secs
Feature - Centralized Tracking: 833 days
Feature - Centralized Reporting: 833 days
Feature - IronPort Centralized Configuration Manager: 60 days
Feature - Incoming Mail Handling: Perpetual
Feature - Centralized Spam Quarantine: 833 days
Versionコマンドを入力して、RAIDステータスを確認します。
mail.example.com > version
Current Version
===============
Model: M660
Version: 6.5.2-101
Build Date: 2009-05-28
Install Date: 2009-07-14 17:04:32
Serial #: 002C999999-J999999
BIOS: 2.4.3I
RAID: 1.21.02-0528, 2.01.00, 1.02-014B
RAID Status: Optimal
RAID Type: 10
BMC: 1.77
RAIDのパフォーマンスが低下した場合は、明らかなロックアップとは関係のない別の障害がアプライアンスで発生した可能性があります。
etherconfigコマンドを入力して、ネットワーク設定を確認します。
mail.example.com > etherconfig
Choose the operation you want to perform:
- MEDIA - View and edit ethernet media settings.
- VLAN - View and configure VLANs.
- LOOPBACK - View and configure Loopback.
- MTU - View and configure MTU.
[]> media
Ethernet interfaces:
1. Data 1 (Autoselect: <link is down>)) 00:22:19:b0:03:c4
2. Data 2 (Autoselect: <link is down>)) 00:22:19:b0:03:c6
3. Management (Autoselect: <1000baseTX full-duplex>) 00:10:18:4e:29:88
Choose the operation you want to perform:
- EDIT - Edit an ethernet interface.
[]>
Choose the operation you want to perform:
- MEDIA - View and edit ethernet media settings.
- VLAN - View and configure VLANs.
- LOOPBACK - View and configure Loopback.
- MTU - View and configure MTU.
[]> MTU
Ethernet interfaces:
1. Data 1 default mtu 1500
2. Data 2 default mtu 1500
3. Management default mtu 1500
Choose the operation you want to perform:
- EDIT - Edit an ethernet interface.
[]>
最近のネットワーク変更は、アプライアンスへの接続に影響を与える可能性があります。interfaceconfigコマンドを入力して、インターフェイス設定を確認します。
mail.example.com > interfaceconfig
Currently configured interfaces:
1. Management (192.168.1.33/24 on Management: downside.hometown.net)
2. outbound_gloop_ISQ_notify (192.168.1.34/24 on Management: inside.hometown.net)
Choose the operation you want to perform:
- NEW - Create a new interface.
- EDIT - Modify an interface.
- GROUPS - Define interface groups.
- DELETE - Remove an interface.
[]>
diagnosticコマンドを入力して、ネットワーク関連のキャッシュをすべてフラッシュします。
mail.example.com > diagnostic
Choose the operation you want to perform:
- RAID - Disk Verify Utility.
- DISK_USAGE - Check Disk Usage.
- NETWORK - Network Utilities.
- REPORTING - Reporting Utilities.
- TRACKING - Tracking Utilities.
[]> network
Choose the operation you want to perform:
- FLUSH - Flush all network related caches.
- ARPSHOW - Show system ARP cache.
- SMTPPING - Test a remote SMTP server.
- TCPDUMP - Dump ethernet packets.
[]> flush
Flushing LDAP cache.
Flushing DNS cache.
Flushing system ARP cache.
10.92.152.1 (10.92.152.1) deleted
10.92.152.18 (10.92.152.18) deleted
Network reset complete.
Choose the operation you want to perform:
- FLUSH - Flush all network related caches.
- ARPSHOW - Show system ARP cache.
- SMTPPING - Test a remote SMTP server.
- TCPDUMP - Dump ethernet packets.
[]>
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
11-Jul-2014 |
初版 |
フィードバック