فشل التحقق من واجهة المزامنة عالية التوفر الخاصة ب Secure Firewall FTD
المحتويات
مسألة
كان FTD الموجود في زوج التوفر العالي (HA) يظهر باستمرار في حالة فشل. لم يتم إكمال مزامنة التكوين بين نظراء HA، على الرغم من اتصال IP الناجح بين الوحدات. كان النشر عملية تنفيذ جديدة تشغل برنامج الدفاع ضد تهديدات جدار الحماية الآمن من Cisco، والذي لم يتم إنتاجه بعد.
ظهرت المسألة بعد نقل الوحدة الأساسية إلى موقعها النهائي وتغيير عنوان بروتوكول الإنترنت الخاص بإدارتها دون كسر زوج HA أولا. كشفت عملية HA عن فشل عمليات التحقق من الواجهة على واجهات البيانات المراقبة، مما أدى إلى تشغيل منطق تقييم حالة HA لوضع الوحدة الأساسية في دور فاشل.
البيئة
جدار الحماية الآمن FTD HA الذي تتم إدارته بواسطة FMC
نشر جديد لنشاط ترحيل لم يتم إنتاجه بعد
قرار
تضمن الحل إزالة واجهات البيانات المحددة من تكوين مراقبة الواجهة HA لمنع اكتشاف الفشل الخاطئ.
خطوات أستكشاف الأخطاء وإصلاحها التي تم تنفيذها
1: أكدت بيانات أستكشاف الأخطاء وإصلاحها حدوث حالات فشل في التحقق من واجهة HA على واجهات البيانات المراقبة، بينما ظل اتصال نظير HA (ضربات القلب والاختبار) يعمل.
device# show failover Failover On Failover unit Primary Failover LAN Interface: FailOver Ethernet1/8 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 5 of 776 maximum MAC Address Move Notification Interval not set failover replication http Version: Ours 9.20(2)121, Mate 9.20(2)121 Serial Number: Ours SERIAL#, Mate SERIAL# Last Failover at: 17:14:25 UTC Mar 16 2026 This host: Primary - Failed Active time: 0 (sec) slot 0: FPR-1120 hw/sw rev (2.0/9.20(2)121) status (Up Sys) Interface To-DC1-ACC (0.0.0.0): No Link (Waiting) Interface To-DC1-WAN (0.0.0.0): No Link (Waiting) Interface management (203.0.113.131/fe80::a610:b6ff:fe3d:e101): Normal (Monitored) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up) Other host: Secondary - Active Active time: 184688 (sec) Interface To-DC1-ACC (0.0.0.0): No Link (Waiting) Interface To-DC1-WAN (10.230.2.2): Normal (Waiting) Interface management (203.0.113.130/fe80::6ae5:9eff:fee6:d681): Normal (Monitored) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up)
2: أكدت أن حالات انتقال HA كانت تحدث بناء على نتائج مراقبة الواجهة، وليس مشاكل اتصال مستوى الإدارة.
device# show failover history
17:16:51 UTC Mar 16 2026
Standby Ready Failed Interface check
This host:2
single_vf: To-DC1-ACC
single_vf: To-DC1-WAN
Other host:1
single_vf: To-DC1-ACC
تغييرات التكوين
1: تم تحديث تكوين HA لاستبعاد واجهات البيانات المتأثرة من مراقبة صحة الواجهة، مما يمنع الكشف عن الأعطال الخاطئة.
2: بعد تغيير التكوين، تم نقل "برنامج الإرسال فائق السرعة (FTD) الأساسي" بنجاح إلى حالة الاستعداد الاستعداد، مما يؤكد مزامنة HA المناسبة واستقرار الحالة.
3: تم إكمال إختبار تجاوز فشل HA بنجاح مع النتائج المتوقعة، وذلك للتحقق من إستقرار تهيئة HA بعد إجراء التغييرات.
توضيحات السلوك المتوقع
هذه السلوكيات التي تتم ملاحظتها أثناء أستكشاف المشكلات وإصلاحها متوقعة ومن خلال التصميم:
أسماء المضيف المكررة على نظائر FTD: من المتوقع أن تظهر كلتا الوحدتين نفس اسم المضيف في FTD HA، حيث يتم تقديم اسم مضيف الوحدة النشطة على مستوى النظام (يتم تتبعه تحت طلب التحسين CSCwe31354)
ملكية عنوان IP: يعرض FTD النشط فقط عناوين IP النشطة على واجهات البيانات، وهو سلوك متوقع من خلال التصميم لمنع حالات انقسام الدماغ. إذا لم يتم تكوين عناوين IP للواجهة الاحتياطية، فيبدو أن FTD الجاهز للاستعداد ليس به عناوين IP تم تكوينها على الواجهات الخاصة به.
السبب
تم وضع علامة "فشل" على FTD الأساسي بسبب حالات فشل التحقق من صحة واجهة التوفر العالي على واجهات البيانات المراقبة، مما تسبب في بقاء النظير الذي يحتوي على واجهات تشغيل أكثر نشطة. يتم هذا السلوك بالتصميم في FTD عالي التوفر ويتم توثيقه في إرشادات HA لجدار الحماية الآمن من Cisco. كشفت عملية HA عن فشل عمليات التحقق من الواجهة على واجهات البيانات المراقبة، مما أدى إلى تشغيل منطق تقييم حالة HA لوضع الوحدة الأساسية في دور فاشل.
المحتوى ذي الصلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
05-May-2026
|
الإصدار الأولي |
التعليقات