본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 FTD의 정책 구축 프로세스에 대한 개요와 기본적인 문제 해결 기법에 대해 설명합니다.
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
Firewall Management Center (FMC)
Firepower Threat Defense (FTD)
사용되는 구성 요소
이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
FTD(
Cisco Firepower Threat Defense Stateful Firewall)를 사용하면
Adaptive Security Appliances (ASA)에서 제공하는 기존 스테이트풀 방화벽 기능과
Next-Gen 방화벽 기능(powered by)
Snort 이 하나의 제품으로 통합됩니다.
이러한 변경으로 인해 이제 FTD
Policy Deployment Infrastructure 에서 두 ASA 코드(LINA라고도 함) 및 하나의 번들
Snort 에 대한 컨피그레이션 변경 사항을 처리합니다.
정책 구축 개요
Cisco FTD는
Policy Deployments 를 활용하여 FMC 자체에 등록된 디바이스의 컨피그레이션을 관리하고
Firewall Management Center 푸시합니다.
구축 내부는 "단계"로 나뉜 일련의 단계가 있습니다.
이 목록에는 FMC 단계가 요약되어 있습니다.
0단계 | 구축 초기화 |
1단계 | 데이터베이스 개체 컬렉션 |
2단계 | 정책 및 개체 컬렉션 |
3단계 | NGFW 명령줄 컨피그레이션 생성 |
4단계 | 디바이스 구축 패키지 생성 |
5단계 | 배포 패키지 보내기 및 받기 |
6단계 | 보류 중인 구축, 구축 작업 및 구축 성공 메시지 |
프로세스의 단계 및 실패 위치에 대한 지식은 시스템이 직면한 장애를 해결하는 데 도움이
Firepower 됩니다.
일부 상황에서는 이전 컨피그레이션으로 인한 충돌이나 키워드가
Advanced Flex Configuration 없는 가 디바이스 보고서에서 해결하지 못하는 장애를 일으킬 수 있습니다.
개요 예
1단계. 선택할
Deployment디바이스를 지정하는 를 클릭합니다.
2단계. 디바이스에 대한 구축이 커밋되면 FMC는 디바이스와 관련된 모든 컨피그레이션을 수집하기 시작합니다.
3단계. 컨피그레이션이 수집되면 FMC는 패키지를 만들고 SFTunnel이라는 통신 메커니즘을 통해 센서로 전송합니다.
4단계. FMC는 센서에 개별 응답을 수신 대기하는 동안 제공된 정책으로 구축 프로세스를 시작하도록 알립니다.
5단계. 관리되는 디바이스는 아카이브의 압축을 풀고 개별 컨피그레이션 및 패키지를 적용하기 시작합니다.
A. 구축의 전반부는 그
Snort 유효성을 확인하기
Snort 위해 로컬에서 컨피그레이션을 테스트하는 컨피그레이션입니다.
유효한 것으로 판명되면 새 컨피그레이션이 의 프로덕션 디렉토리로
Snort이동됩니다. 검증이 실패하면 이 단계에서 정책 구축이 실패합니다.
B. 구축 패키지 로드의 후반부는 LINA 컨피그레이션에 대한 것이며, 여기서 LINA 컨피그레이션은 ngfwManager 프로세스에 의해 LINA 프로세스에 직접 적용됩니다.
오류가 발생하면 변경 사항이 롤백되고 정책 구축에 실패하게 됩니다.
6단계. 두
Snort 패키지와 LINA 패키지가 모두 성공하면 관리되는 디바이스는 새 컨피그레이션
Snort 을 로드하고 모든 현재 컨피그레이션을 저장하기 위해 재시작하거나 다시 로드하라는 신호를 보냅니다.
7단계. 모든 메시지가 성공하면 센서는 성공 메시지를 전송하고 Management Center에서 승인될 때까지 기다립니다.
8단계. 수신한 FMC는 작업을 성공으로 표시하고 정책 번들을 완료할 수 있도록 합니다.
문제 해결
이 과정에서 발생한 문제는 다음과 같은 이유 때문일
Policy Deployment 수 있습니다.
- 잘못된 컨피그레이션
- FMC와 FTD 간의 통신
- 데이터베이스 및 시스템 상태
- 소프트웨어 결함 및 주의 사항
- 기타 고유한 상황
이러한 문제 중 일부는 쉽게 해결할 수 있는 반면, 다른 문제는 Cisco의 지원을 필요로 할 수 있습니다
Technical Assistance Center (TAC).
이 섹션의 목표는 문제를 격리하거나 근본 원인을 확인하는 기술을 제공하는 것입니다.
FMC 그래픽 사용자 인터페이스(GUI)
Cisco에서는 구축 실패에 대한 각 트러블슈팅 세션을 FMC 어플라이언스에서 시작할 것을 권장합니다.
오류 알림 창에는 6.2.3을 초과하는 모든 버전에서 다른 가능한 오류를 지원할 수 있는 추가 도구가 있습니다.
구축 스크립트 활용
1단계. FMC 웹 UI
Deployments 에서 목록을 위로 가져옵니다.
2단계. 탭을
Deployments 선택한 상태에서 을 클릭합니다
Show History.
3단계. 이
Deployment History 박스 내에서 FMC의 모든 이전 구축을 볼 수 있습니다. 더 많은 데이터를 보려는 구축을 선택합니다.
4단계. 구축 요소를 선택하면 Deployment Details 내부 모든 디바이스의 목록이
Transaction표시됩니다. 이러한 항목은
Device Number, Device Name, Status,및 열로 나뉩니다
Transcript.
5단계. 문제가 있는 디바이스를 선택하고 Transcript(기록) 옵션을 클릭하면 관리되는 디바이스에 있는 컨피그레이션뿐만 아니라 장애에 대해서도 알려줄 수 있는 개별 구축 기록을 확인할 수 있습니다.
6단계. 이 기록은 특정 장애 조건을 지정할 수 있으며 다음 단계에 매우 중요한 숫자를 나타낼 수 있습니다.
Transaction ID.
7단계. 에서
Firepower Deployment는 정책
Transaction ID 구축의 각 개별 섹션을 추적하는 데 사용할 수 있는 항목입니다. 이를 통해 디바이스의 Command-Line에서 교정 및 분석을 위해 이 데이터의 더욱 심층적인 버전을 얻을 수 있습니다.
팁: 트랜잭션 ID를 찾을 수 없거나 트랜잭션 ID가 인쇄되기 전의 버전인 경우 이 로그를 사용하여 개별 오류 메시지를 찾을 수 있습니다.
FMC 로그 문제 해결
로그를 분석하기 위해 Cisco TAC와 협력하는 것이 적절하지만 로그를 통해 검색하면 초기 문제 격리 및 신속한 해결에 도움이 될 수 있습니다. FMC에는 정책 구축 프로세스에 대한 세부 정보를 표시하는 여러 로그 파일이 있습니다.
가장 일반적으로 참조되는 두 로그는
policy_deployment.log 및 입니다
usmsharedsvcs.log.
이 문서에서 언급된 모든 파일은 및 과 같은 여러 Linux 명령
more으로 볼 수
less 있습니다
vi. 그러나 이에 대해 작업만 수행하도록 하는
read 것이 매우 중요합니다. 모든 파일을 보려면 루트 액세스가 필요합니다.
/var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log
이 로그는 FMC에서 정책 구축 작업을 시작하고 각 단계가 완료되었음을 명확히 표시하며, 이는 장애 코드와 함께 구축에 장애가 발생한 단계를 확인하는 데 도움이 됩니다.
로그
transactionID 의 JSON 부분에 포함된 값은 하나의 특정 구축 시도와 관련된 로그 엔트리를 찾는 데 사용될 수 있다.
10-May-2024 18:05:31.249,[INFO],(JsonRESTServerResource.java:111)
com.cisco.nm.vms.api.rest.DeploymentServerResource, ajp-nio-127.0.0.1-9009-exec-3
** REST Request [ DC ]
** ID : e45c6abd-0fff-4341-bdad-ddd5fee10034
** URL: POST https://localhost6/csm/api/deploy/GetTranscript
{
"data": {},
"deviceUUID": "49243dac-0ba7-11ef-af54-a592d78081a7",
"jobID": 34359753974,
"offset": {
"size": 20,
"start": 0
},
"requestID": "e3be908a0ef711ef9d519da21f9032fa",
"version": "7.2.5"
}
/var/log/sf/policy_deployment.log
이 로그 파일은 6.4에서 시작되는 6.x 릴리스에 걸쳐 존재했지만 범위가 확장되었습니다.
이제 구축 패키지를 구축하기 위해 FMC에서 수행하는 자세한 단계에 대해 설명합니다. 따라서 1단계 - 4단계의 실패를 분석하는 데 가장 적합합니다.
각 단계의 시작은
INFO start .
May 8 02:00:58 RTP-vFMC-Pod-09 ActionQueueScrape.pl[10413]: > SF::UMPD::CSMData::getPolicyRollbackInfo start (161.32M)
May 8 02:00:58 RTP-vFMC-Pod-09 ActionQueueScrape.pl[10413]: < SF::UMPD::CSMData::getPolicyRollbackInfo end (161.32M, 0.012(sec))
...
관리되는 디바이스 트러블슈팅
각 관리되는 디바이스에 대한 디바이스 패키지, 고가용성 컨피그레이션, 이전 단계의 결과에 따라 달라지는 추가 단계 및 섹션이 있습니다.
관리 대상 디바이스에서 구축 문제가 장애로 격리된 경우, 디바이스에서 policy_deployment.log와 ngfwManager.log의 두 가지 로그로 추가 문제 해결을 수행할 수 있습니다.
/ngfw/var/log/ngfwManager.log
이 로그 파일은 FMC와의 통신, 구축 패키지 작업, Snort
Config Communication Manager 및 LINA 컨피그레이션의 검증 및 애플리케이션 오케스트레이션
Config Dispatcher 을 수행하는 및 의 세부 단계를 제공합니다.
다음은 주요 단계의 시작을 나타내는 ngfwManager.log의 몇 가지 예입니다.
FTD receives FMC's request for running configuration: May 30 16:37:10 ccm[4293] Thread-10: INFO com.cisco.ccm.ConfigCommunicationManager- Passing CD-Message-Request to Config Dispatcher... May 30 16:37:10 ccm[4293] Thread-10: DEBUG com.cisco.ccm.ConfigCommunicationManager- <?xml version="1.0" encoding="UTF-8"?><cdMessagesList><timeStamp>1559234230012</timeStamp><cdMessage><name>LinaShowCommand</name><messageId>-753133537443151390</messageId><contentType>XML</contentType><msgContent><![CDATA[<?xml version="1.0" encoding="UTF-8"?><message><name>LinaShowCommand</name>... FTD receives FMC's request to download the deployment package: May 30 16:37:18 ccm[4293] Thread-9: INFO com.cisco.ccm.ConfigCommunicationManager- Downloading database (transaction 8589938211, version 1559234236) May 30 16:37:18 ccm[4293] Thread-9: DEBUG com.cisco.ccm.DownloadManager- handle record: 8589938211, status = PENDING May 30 16:37:18 ccm[4293] Thread-9: DEBUG com.cisco.ccm.DownloadManager- begin downloading database FTD begins the deployment of policy changes: May 30 16:37:21 ccm[4293] Thread-9: INFO com.cisco.ccm.ConfigCommunicationManager- Starting deployment May 30 16:37:21 ccm[4293] Thread-11: INFO com.cisco.ccm.ConfigCommunicationManager- Sending message: DEPLOYMENT_STATUS_CCM to Manager FTD begins LINA deployment: May 30 16:37:42 ccm[4293] Thread-19: DEBUG com.cisco.ngfw.configdispatcher.communicators.LinaCommunicatorImpl- Trying to send Start-Config-Sequencerequest to lina FTD begins finalizing the deployment: May 30 16:38:48 ccm[4293] Thread-19: DEBUG com.cisco.ngfw.configdispatcher.communicators.LinaCommunicatorImpl- Clustering Message sent out of ConfigDispatcher: Name:Cluster-App-Conf-Finalize-Request
/ngfw/var/log/sf/policy_deployment.log
이 로그에는 적용된 정책의 세부사항이 포함되어
Snort있습니다. 로그의 내용은 대부분 고급이며 TAC에서 분석해야 하지만 몇 가지 주요 항목으로 프로세스를 추적할 수 있습니다.
Config Dispatcher begins extracting the packaged policies for validation: Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO -> calling SF::UMPD::Plugins::NGFWPolicy::Device::exportDeviceSnapshotToSandbox (Plugin 230 <- Framework 611 <- Transaction 1085) Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO found NGFWPolicy => (NGFWPolicy::Util 32 <- NGFWPolicy::Device 43 <- Plugin 235) ... Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO export FTD platform settings... (PlatformSettings::FTD::Device 29 <- Plugin 235<339 <- PlatformSettings::Device 13) Config validation begins: Jul 18 17:21:37 firepower policy_apply.pl[25122]: INFO starting validateExportedFiles - sqlite = /var/cisco/deploy/sandbox/policy_deployment.db, sandbox = /var/cisco/deploy/sandbox/exported-files (memory = 229.99 MB) (Framework 3950<687 <- Transaction 1101 <- main 194) Validation has completed successfully: Jul 18 17:21:49 firepower policy_apply.pl[25122]: INFO validateExportedFiles - sqlite = /var/cisco/deploy/sandbox/policy_deployment.db, sandbox = /var/cisco/deploy/sandbox/exported-files took 12 (memory = 238.50 MB, change = 8.51 MB) (Framework 3976<724 <- Transaction 1101 <- main 194) Config Dispatcher begins moving the validated configuration to the Snort directories in production: Jul 18 17:21:54 firepower policy_apply.pl[26571]: INFO -> calling SF::UMPD::Plugins::NGFWPolicy::Device::publishExportedFiles (Plugin 230 <- Framework 822 <- Transaction 1662) Snort processes will reload to apply the new configurations: Jul 18 17:22:02 firepower policy_apply.pl[26571]: INFO Reconfiguring DE a3bcd340-992f-11e9-a1f1-ac829f31a4f9... (Snort::SnortNotifications 292<154 <- Snort::Device 343 <- Plugin 235) Jul 18 17:22:02 firepower policy_apply.pl[26571]: INFO sending SnortReload to a3bcd340-992f-11e9-a1f1-ac829f31a4f9 (Snort::SnortNotifications 298<154 <- Snort::Device 343 <- Plugin 235) Snort reload has completed successfully: Jul 18 17:22:14 firepower policy_apply.pl[26571]: INFO notifyProcesses - sandbox = /var/cisco/deploy/sandbox/exported-files took 16 (memory = 169.52 MB, change = 16.95 MB) (Framework 3976<964 <- Transaction 1680 <- main 200) After LINA config apply finishes, Snort deployment is finalized: Jul 18 17:23:32 firepower policy_apply.pl[26913]: INFO starting finalizeDeviceDeployment - sandbox = /var/cisco/deploy/sandbox (memory = 101.14 MB) (Framework 3950<980 <- Transaction 1740 <- main 206)
예
1단계. 구축이 실패함
2단계. 및
Deploy Transcript 를
Transaction ID가져옵니다.
3단계. 에 SSH를
Management Center 입력하고 Linux 유틸리티를 사용하여 FMC
less 에 표시된 대로 파일을 읽습니다.
예: sudo less /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log(sudo 비밀번호는 ssh의 사용자 비밀번호입니다.)
4단계. 에 있는
less경우 슬래시를 사용하고 메시지 ID에 입력하여 구축 transactionID와 관련된 로그를 검색합니다.
예: /60129547881(있는
less 동안에는 n을 사용하여 다음 결과로 이동)
실행 중인 메시지의 예
실패 메시지의 예
5) 적절한 장애를 공통 장애 메시지의 첨부 테이블과 비교합니다.
즉, failed_to_retrieve_running_configuration은 두 디바이스 간의 통신 실패 중에 발생한다.
일반적인 실패 메시지
이는 백엔드에서 볼 수 있는 오류 코드
Management Center Task 뿐만 아니라 의 프런트 엔드에서 볼 수 있는 일반적인 오류 메시지입니다.
이러한 메시지는 가능한 해결책에 대한 일반적인 이유와 비교 및 분석할 수 있습니다.
이러한 항목이 표시되지 않거나 상황이 해결되지 않을 경우 TAC에 문의하여 도움을 받으십시오.
----------------------------------------------------------------------------------------
오류 코드
오류 메시지
이유
device_has_changed_domain
배포 실패 - 장치가 도메인을 {SRCDOMAIN}에서 {DESTINATIONDOMAIN}(으)로 변경했습니다. 나중에 다시 시도하십시오.
이 오류는 일반적으로 장치가 이동되었거나 두 번째 도메인에서 가져온 경우에 발생합니다. 도메인 간 정보가 발생하지 않은 상태에서 재구축하면 일반적으로 이 문제가 해결됩니다.
device_currently_under_deployment
이 장치에 대해 다른 배포가 진행 중이므로 배포에 실패했습니다. 나중에 다시 시도하십시오.
이는 일반적으로 구축의 디바이스에서 구축이 트리거될 때 보고됩니다. 일부 버전에서는 실패 알림 없이 이 단계가 방지되지만 문제 해결 지원을 위해 이 단계가 계속 진행됩니다.
device_not_member_of_container
클러스터의 멤버인 개별 디바이스에서는 구축을 수행할 수 없습니다. 나중에 클러스터를 다시 구축해 보십시오.
이 메시지는 FXOS(Firepower eXtensible Operative System) Chassis Manager가 있는 디바이스의 FTD에 적용됩니다. 클러스터가 FMC가 아닌 FXOS에 구축된 경우 이 메시지가 표시됩니다. 구축을 시도하기 전에 Management Center 어플라이언스에 클러스터를 생성하십시오.
policy_altered_after_timestamp_for_other_devices_in_job_error
하나 이상의 장치에 대한 정책이 {TIMESTAMP} 이후로 변경되었습니다. 배포를 다시 시도하십시오.
이 오류는 사용자가 배포를 트리거한 후 CSM 요소 및 도메인 스냅숏이 만들어지기 전에 배포 작업의 모든 장치에 대해 정책/개체가 변경되는 경우에 표시됩니다. 재구축은 이 문제를 해결합니다.
많은 사용자가 배포하는 동안 동일한 FMC를 사용하여 개체를 편집하고 저장하는 경우 이 문제가 발생할 수 있습니다.
policy_altered_after_timestamp_error
{Timestamp} 이후 {Policy Name} 정책이 변경되었습니다. 배포를 다시 시도하십시오.
이 오류는 사용자가 배포를 트리거한 후 CSM 및 도메인 스냅숏이 만들어지기 전에 배포 작업에서 관련 장치에 대한 정책/개체가 변경되는 경우 표시됩니다. 재구축은 이 문제를 해결합니다.
csm_snapshot_error
정책 및 개체 수집이 실패하여 배포에 실패했습니다. 반복 시도 후에도 문제가 지속되면 Cisco TAC에 문의하십시오.
최근 정책 가져오기가 제공된 경우 1시간 정도 기다렸다가 다른 구축을 시도합니다.
이 작업을 계속 진행할 수 없는 경우 데이터베이스 관련 메시지이므로 TAC에 문의하십시오.
domain_snapshot_timeout
정책 및 개체 수집에 대한 시간 초과로 인해 배포에 실패했습니다. 다른 시도 후에도 문제가 지속되면 Cisco TAC에 문의하십시오.
도메인 스냅샷의 시간 제한은 기본적으로 5분입니다. 시스템의 로드가 높거나 하이퍼바이저가 제대로 작동하지 않을 경우 통화가 부자연스럽게 지연될 수 있습니다.
이는 Management Center 또는 디바이스에 적절한 양의 메모리 리소스도 제공되지 않은 경우 발생할 수 있습니다.
로드 없이 이러한 상황이 발생하거나 나중에 진행되지 않을 경우 TAC에 문의하십시오.
domain_snapshot_errors
정책 및 개체 컬렉션에서 배포에 실패했습니다. 다른 시도 후에도 문제가 지속되면 Cisco TAC에 문의하십시오.
TAC에 문의하십시오. 고급 트러블슈팅이 필요합니다.
failed_to_retrieve_running_configuration
디바이스에서 실행 컨피그레이션 정보를 검색하지 못했기 때문에 구축에 실패했습니다. 배포를 다시 시도하십시오.
이 메시지는 엔드 센서와 FMC 간의 연결이 예상대로 작동하지 않을 때 발생할 수 있습니다. 유닛 간의 터널 상태를 확인하고 두 디바이스 간의 연결을 모니터링합니다.
터널이 예상대로 작동하고 디바이스가 통신할 수 있는 경우 TAC에 문의하십시오.
device_is_busy
디바이스에서 이전 구축 또는 재시작을 실행 중이므로 구축에 실패했습니다. 다른 시도 후에도 문제가 지속되면 Cisco TAC에 문의하십시오.
이 메시지는 FTD에서 이전 구축이 진행 중인 동안 FMC가 구축을 시도할 때 표시됩니다. 일반적으로 이전 구축이 FTD에서 완료되지 않고 FTD가 리부팅되거나 FTD의 ngfwManager 프로세스가 재시작되면 발생합니다. 20분 후 프로세스를 공식적으로 시간 초과하도록 다시 시도하면 이 문제가 해결됩니다.
지연이 발생했거나 지연을 허용할 수 없는 경우 TAC에 문의하십시오.
no_response_for_show_cmd
디바이스 연결 문제로 인해 구축에 실패했거나 디바이스가 응답하지 않습니다. 다른 시도 후에도 문제가 지속되면 Cisco TAC에 문의하십시오.
FMC는 컨피그레이션 생성을 위해 실행 중인 컨피그레이션을 가져오기 위해 특정 LINA show 명령을 실행합니다.
이는 엔드 센서의 ngfwManager 프로세스에 연결 문제 또는 문제가 있을 때 발생할 수 있습니다.
유닛 간 연결 문제가 발생하지 않을 경우 TAC에 문의하십시오.
network_latency_or_device_not_reachable
디바이스와의 통신 오류로 인해 구축에 실패했습니다. 다른 시도 후에도 문제가 지속되면 Cisco TAC에 문의하십시오.
일반적으로 디바이스 간의 네트워크 레이턴시가 높으면 정책 시간 초과가 발생합니다. 디바이스 간의 네트워크 레이턴시가 사용 설명서에 언급된 버전의 최소 시간과 일치하는지 확인합니다.
slave_app_sync
클러스터 구성 동기화가 진행 중이므로 배포에 실패했습니다. 배포를 다시 시도하십시오.
이는 FTD 클러스터 설정에만 적용됩니다. 앱 동기화(컨피그레이션 동기화)가 진행 중인 동안 FTD 클러스터에서 구축을 시도하면 FTD에서 이를 거부합니다. 컨피그레이션 동기화 후 재시도를 통해 이 문제를 해결해야 합니다.
관리되는 디바이스 CLISH에서 다음 명령을 사용하여 현재 클러스터 상태를 추적할 수 있습니다.
> 클러스터 정보 표시
asa_configuration_generation_errors
배포에서 장치 구성을 생성하지 못했습니다. 다른 시도 후에도 문제가 지속되면 Cisco TAC에 문의하십시오.
앞에서 언급한 USMS 로그를 검토한 후 어떤 컨피그레이션에서 오류가 발생하는지 확인할 수 있습니다. 이러한 로그는 일반적으로 Cisco Bug Tool을 통해 로그를 찾아보거나 Cisco TAC에 문의하여 추가 문제를 해결할 수 있는 버그입니다.
interface_out_of_date
디바이스의 인터페이스가 최신 상태가 아니므로 구축에 실패했습니다. Interfaces(인터페이스) 페이지에 컨피그레이션을 저장하고 재시도합니다.
이는 구축 도중 또는 구축 직전에 디바이스에서 인터페이스가 연결되지 않은 경우 4100 또는 9300 모델에서 발생합니다.
구축을 시도하기 전에 인터페이스가 완전히 연결되었는지 또는 연결되지 않았는지 확인합니다.
device_package_error
배포에서 장치에 대한 구성을 생성하지 못했습니다. 다른 시도 후에도 문제가 지속되면 Cisco TAC에 문의하십시오.
이 오류는 디바이스에 대한 디바이스 컨피그레이션 생성 실패를 나타냅니다. TAC에 문의하십시오.
device_package_timeout
구성 생성 중 시간 초과로 인해 배포에 실패했습니다. 다른 시도 후에도 문제가 지속되면 Cisco TAC에 문의하십시오.
이는 디바이스 간에 정상적인 범위를 벗어난 레이턴시가 존재할 경우 발생할 수 있습니다. 레이턴시가 표준화된 후에도 이 문제가 발생하는 경우 TAC에 문의하십시오.
device_communication_errors
장치 통신 오류로 인해 구축에 실패했습니다. 네트워크 연결을 확인하고 구축을 다시 시도하십시오.
이 메시지는 디바이스 간의 통신 문제에 대한 대비책입니다. 모호한 특성 때문에 알 수 없는 연결 오류가 발생했음을 상태로의 폴백으로 표기한다.
unable_to_initiate_deployment_dc
정책 배포 실패. 배포를 다시 시도하십시오.
다른 시도가 이 문제를 해결해야 합니다.
이 문제는 FMC가 데이터베이스의 임시 잠금으로 인해 구축을 시작할 수 없을 때 발생할 수 있습니다.
device_failure_timeout
시간 초과로 인해 디바이스에 구축하지 못했습니다. 배포를 다시 시도하십시오.
이는 FTD 구축과 관련이 있습니다. FTD의 프로세스는 디스패치가 구축을 완료할 때까지 30분 동안 기다립니다. 그렇지 않으면 시간이 초과됩니다.
이 경우 장치 간 연결을 확인하고 연결이 예상대로 이루어지면 TAC에 문의하십시오.
device_failure_download_timeout
디바이스에 대한 컨피그레이션 다운로드 시간 초과로 인해 구축에 실패했습니다. 다른 시도 후에도 문제가 지속되면 Cisco TAC에 문의하십시오.
이는 FTD 구축과 관련이 있습니다. FTD는 연결 문제로 인해 구축 중에 모든 디바이스 컨피그레이션 파일을 다운로드할 수 없습니다.
네트워크 연결이 확인된 후 다시 시도하십시오.
이 사항이 확인되면 TAC에 문의하십시오.
device_failure_configuration
구성 오류로 인해 배포에 실패했습니다. 다른 시도 후에도 문제가 지속되면 Cisco TAC에 문의하십시오.
디바이스에 대해 FMC에서 생성한 컨피그레이션의 모든 오류는 이 오류 사후 적용으로 이어져야 합니다.
USMS 로그에서 이를 분석하여 어떤 문제가 발생하는지 확인하고 롤백을 시도해야 합니다.
복구되면 Cisco Bug Search Tool에서 알려진 결함과 로그를 매칭할 수 없는 경우 일반적으로 TAC 개입 및 버그 생성이 필요합니다.
deployment_timeout_no_response_from_device
디바이스와의 통신 시간 초과로 인해 구축에 실패했습니다. 다른 시도 후에도 문제가 지속되면 Cisco TAC에 문의하십시오.
이 시간 제한은 FMC가 45분 ≤ 후 디바이스에서 응답하지 않은 경우 발생합니다.
통신 오류입니다.
통신을 확인하고 확인되면 TAC에 문의하십시오.
device_failure_change_master
기본 유닛이 변경되어 클러스터에 배포하지 못했습니다. 배포를 다시 시도하십시오.
FTD 클러스터 설정 구축의 경우 디바이스에서 구축이 진행 중일 때(사후 알림) 기본 노드가 전환되면 이 오류가 표시됩니다.
기본 노드가 안정되면 다시 시도하십시오.
관리되는 디바이스 CLISH에서 현재 클러스터 멤버 상태를 이 명령으로 추적할 수 있습니다.
> 클러스터 정보 표시
device_failure_unknown_master
기본 유닛 ID 오류로 인해 클러스터에 구축하지 못했습니다. 배포를 다시 시도하십시오.
FMC에서 구축 중에 현재 기본 노드를 확인할 수 없습니다.
일반적으로 이는 연결 문제 또는 현재 기본 항목이 FMC의 클러스터에 추가되지 않기 때문입니다.
연결이 다시 설정된 후 또는 현재 기본 를 FMC 클러스터에 추가하고 다시 시도한 후에 확인되어야 합니다.
관리되는 디바이스 CLISH에서 다음 명령을 사용하여 현재 클러스터 상태를 추적할 수 있습니다.
> 클러스터 정보 표시
cd_deploy_app_sync
클러스터 구성 동기화가 진행 중이므로 배포에 실패했습니다. 배포를 다시 시도하십시오.
디바이스가 App Sync에 있는 경우 이 오류가 발생할 수 있습니다. 앱 동기화가 완료되면 배포를 다시 시도하십시오.
cd_existing_deployment
동시 이전 배포와 충돌하여 배포에 실패했습니다. 다른 시도 후에도 문제가 지속되면 Cisco TAC에 문의하십시오.
이는 구축이 한쪽에서는 동시에 수행되지만 다른 쪽에서는 동시에 수행되지 않는 경우에 발생할 수 있습니다.
이러한 문제는 대개 디바이스 간의 통신 문제로 인해 발생합니다.
시간 초과가 발생한 후에도 구축을 할 수 없는 경우 TAC에 문의하십시오.
관련 정보
개정 | 게시 날짜 | 의견 |
---|---|---|
3.0 |
13-May-2024 |
재인증 |
2.0 |
23-Sep-2022 |
최초 릴리스 |
1.0 |
17-Feb-2020 |
최초 릴리스 |