أستكشاف أخطاء مزامنة اسم المضيف غير المتناسقة بين وحدات تجاوز فشل ASA/FTD بعد ترقية البرامج وإصلاحها

مسألة

بعد ترقية البرنامج على Secure Firewall Threat Defense (FTD) في تهيئة التوفر العالي (HA)، يتم ملاحظة هذه الأعراض:

1. لا يتطابق اسم مضيف Lina مع اسم مضيف وضع الخبير الذي تم تكوينه من قبل باستخدام أمر CLISH configure network hostname، والذي يشار إليه في هذه المقالة باسم اسم مضيف النظام. يتطابق اسم مضيف Lina مع اسم مضيف النظام للنظير. في هذا المثال، تحتوي الوحدة التي تحمل اسم مضيف النظام FPR1100-2 على FPR1100-1 باسم مضيف Lina:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-2     <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1  <--- Lina hostname is different than the system hostname

وحدة النظير:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-1         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1     <--- Lina hostname 

2. بناء على المثال السابق، وتبعا لحالة ما قبل الترقية للوحدات، يتغير اسم مضيف Lina كما يلي:

2 - 1 - السيناريو 1

• حالة ما قبل الترقية: تعد الوحدة التي تحتوي على اسم مضيف النظام FPR1100-1 أساسية/نشطة، أما FPR1100-2 فهي ثانوية/إحتياطية. 

• حالة ما بعد الترقية: اسم المضيف Lina على كلا الوحدتين هو FPR1100-1.

2.2 - السيناريو 2

• حالة ما قبل الترقية: الوحدة المزودة باسم مضيف النظام FPR1100-1 هي الوحدة الأساسية/الاحتياطية، FPR1100-2 هي الوحدة الثانوية/النشطة. 

• حالة ما بعد الترقية: اسم المضيف Lina على كلا الوحدتين هو FPR1100-2.

وبالإضافة إلى ذلك، يؤدي التحقق من أسماء المضيف لكل نظير HA باستخدام معرف كائن بروتوكول مراقبة الشبكة البسيط (SNMP) .1.3.6.1.2.1.1.5.0 إلى إرجاع القيمة نفسها.

على سبيل المثال:

# snmpget -On -v2c -c cisco 192.0.2.1 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

# snmpget -On -v2c -c cisco 192.0.2.2 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

البيئة

• برنامج Firepower 4112 المدار من قبل FTD من FMC يعمل بتقنية HA. وتتأثر أيضا أنظمة الأجهزة الأساسية الأخرى.

• شوهد أولا بعد ترقية البرنامج من الإصدار 7.6.2.1 إلى 7.6.4. يمكن أن تتأثر الإصدارات الأخرى أيضا.

• يتم تكوين نظائر FTD في HA باستخدام أسماء مضيف نظام مخصصة ومختلفة باستخدام الأمر CLISH configure hostname للشبكة.

قرار

يتم نسخ الأعراض وتوثيقها في معرف تصحيح الأخطاء من Cisco CSCwt25171.

إذا كانت النية هي الحفاظ على مزامنة اسم المضيف Lina مع اسم المضيف في إخراج الأمر show network، فهذا يعني أن هناك خياري حل بديل معروفين:

1. على النظير المتأثر، أعد تكوين اسم المضيف المطلوب باستخدام الأمر configure network hostname. يقوم هذا الأمر بتكوين اسم مضيف النظام وتحديث اسم المضيف Lina.

2. قم بإعادة تمهيد الوحدة المتأثرة. لاحظ أنه وفقا للبيئة والتكوين وإجراءات إعادة تشغيل تدفق حركة المرور يمكن أن تكون خطرة وغير مؤثرة أثناء ساعات العمل. ينصح بتقدير المستخدم.

السبب

الأعراض الموثقة في معرف تصحيح الأخطاء من Cisco CSCwt25171.

المحتوى ذي الصلة

هذه هي النتائج الإضافية التي تم التوصل إليها من عملية النسخ باستخدام برنامجي Secure Firewall ASA و FTD في تكوينات عالية التوفر:

ASA

لا يتم مزامنة اسم مضيف Lina من الوحدة النشطة إلى الوحدة الاحتياطية إذا كان أي من هذه الحالات صحيحا ولكن ما لم يحدث أحد إستثناءات ASA هذه: 

1. في حالة تغيير وضع جدار الحماية الخاص بالوحدات المستقلة (يمكن أن تكون مستقلة في البداية أو بعد كسر HA)، يتم تكوين أسماء المضيف المختلفة، ويتم تكوين تجاوز الفشل. في حالة تمكين التسجيل، تقوم وحدة الاستعداد بتقديم تقارير عن التكوين، على الرغم من أن أسماء المضيف مختلفة في البداية: 

ASA2# . 
Detected an Active mate Secondary: 
Switching to Ok for reason Detected an Active peer. 
Configuration on Active and Standby is matching. <----- 

 2. بعد التغييرات في #1، يتم تعليق تجاوز الفشل باستخدام الأمر no fail over، ويتم إستئنافه باستخدام أمر تجاوز الفشل. 

إستثناءات ASA

تتم مزامنة اسم مضيف Lina إذا كان أي من هذا صحيحا: 

1. في الحالة رقم 1، يكون الفرق بين تكوينات الوحدة مختلفا عن اسم المضيف. وبكلمات أخرى، إذا كانت هناك مع اسم المضيف أي إختلافات أخرى، يتم بدء المزامنة الكاملة مما ينتج عنه مزامنة اسم المضيف. 

2. تتم ترقية ASA الاحتياطي أو إعادة تشغيله. 

3. يتم إيقاف تجاوز الأعطال مؤقتا (لا يوجد تجاوز فشل) في الوحدة الاحتياطية، ويتم مزامنة بعض التغييرات التي تم إجراؤها على الوحدة النشطة، ويتم إستئناف تجاوز الأعطال في وضع الاستعداد (تجاوز الفشل). نظرا للتغييرات، تتم مزامنة التكوين الكامل. 

نظام Firepower Threat Defense ‪(FTD)‬

لا تتم مزامنة اسم المضيف من الوحدة النشطة إلى الوحدة الاحتياطية إذا كان أي من هذه الوحدات صحيحا ولكن ما لم يحدث أحد إستثناءات FTD التالية: 

1. FTD في تكوين تجاوز الفشل، وفي وحدة الاستعداد، يقوم المستخدم بتكوين اسم مضيف مختلف باستخدام أمر CLISH تكوين اسم مضيف الشبكة. 

2. إذا تم تكوين الوحدات المستقلة التي تم تجميعها في البداية باستخدام أسماء المضيف المختلفة باستخدام أمر CLISH configure hostname للشبكة. 

3. إذا تم تغيير وضع جدار الحماية على الوحدات المستقلة (يمكن أن تكون مستقلة في البداية أو بعد كسر تجاوز الفشل)، فسيتم تكوين أسماء بيوت مختلفة باستخدام الأمر configure hostname للشبكة CLISH، ويتم تكوين تجاوز الفشل. 

4. بعد التغييرات في #1-3، تحدث المزامنة في حالة تعليق HA واستئنافه، أو إعادة تمهيد الوحدة الاحتياطية، أو ترقية الوحدة الاحتياطية إلى حزمة أو إصدار رئيسي (FTD ظاهري فقط).

إستثناءات برنامج الإرسال فائق السرعة (FTD)

تمت مزامنة اسم المضيف إذا كان أي من هذه صحيح: 

1. في الحالة رقم 3، يكون الفرق بين تكوينات الوحدات مختلفا عن اسم المضيف. وبكلمات أخرى، إذا كانت هناك مع اسم المضيف أية إختلافات أخرى، يتم بدء المزامنة الكاملة مما ينتج عنه مزامنة اسم المضيف. 

2. تتم ترقية الوحدة الاحتياطية إلى الإصدار الرئيسي (باستثناء FTD الظاهري، الذي يكون حتى مع الترقية إلى إصدار رئيسي على أسماء مضيف FTD الظاهرية غير متزامنة). 

3. تم تعليق HA، وتم تغيير التكوين على الوحدة النشطة (على سبيل المثال، من خلال نشر السياسة) واستؤنف تجاوز الأعطال. في هذه الحالة، نظرا لفرق التكوين بين الوحدات، يتم إجراء النسخ المماثل الكامل من الوحدة النشطة إلى وضع الاستعداد، بما في ذلك اسم المضيف، ويتم مزامنة اسم المضيف.