In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Dieses Dokument beschreibt die Fehlerbehebung bei FTD-Upgrade-Fehlern von Version 7.0 auf 7.2, insbesondere bei Hochverfügbarkeits-Bereitstellungen (HA).
Mehr als die Hälfte dieser Fehler sind auf Probleme in der 200_enable_maintenance_mode-Phase zurückzuführen, in der die vorhandenen HA-Validierungen hauptsächlich grundlegende Prüfungen des aktiven/Standby-Zustands durchführen, die für umfassende HA-Übergänge nicht ausreichen.
Mit Secure Firewall 7.6 wurden verbesserte HA-Validierungen eingeführt, um diese Probleme zu beheben. Zu diesen Verbesserungen gehören gründliche Prüfungen auf HA-Zustandsübergänge, erweiterte Zeitüberschreitungen für Synchronisierungsprozesse und eine verbesserte Fehlerberichterstattung. Dieses Update soll HA-Probleme nach dem Upgrade und allgemeine Upgrade-Fehler deutlich reduzieren und einen reibungsloseren und zuverlässigeren Upgrade-Prozess für HA-Bereitstellungen gewährleisten.
Migration von: https://confluence-eng-rtp2.cisco.com/conf/display/IFT/FTD+HA+Upgrade+Failure+Reduction
Verbesserte HA-Validierung für FTD-Upgrade:
Im Vergleich zu früheren Versionen bietet es folgende Vorteile:
Anmerkung: Diese Funktion gilt nur für von FMC verwaltete FTD HA-Bereitstellungen. Diese Funktion gilt nicht für vom FDM verwaltete FTD HA- oder Cluster-Geräte.
Sobald die HA-Fehlerbehebung von beiden Einheiten erfasst wurde, beschließt das FMC, das Upgrade zu starten oder das Upgrade auf dem zweiten Knoten (aktive Einheit) zu blockieren.
Jede HA-Einheit generiert eine HA-Advanced-Fehlerbehebung für Daten in Form eines JSON-Datei-Neustarts nach dem Upgrade und teilt diese mit dem FMC. Im Folgenden finden Sie Beispiele für erfolgreiche Validierungen.
Datei: /ngfw/var/sf/sync/ha/upgrade_troubleshoot
{
"failover_lan" : "NA",
"error_code" : "1046 -
STARTUP_FAILOVER_CONFIG_NOT_PRESENT",
"current_time" : 1701369637,
"peer_HA_state" : "Not Detected",
"FMC_AQ_ID" : "0",
"state_link" : "NA",
"json_time" : "18:40:37 UTC Nov 30 2023",
"my_HA_state" : "Disabled",
"my_HA_role" : "Secondary",
"return_status" : "STATUS_ERROR",
"message" : "Failover config is not present on the startup
config. Device is in standalone state. Please configure failover.",
"peer_HA_role" : "Primary"
}
Datei: /ngfw/var/sf/sync/ha/upgrade_troubleshoot
{
"return_status" : "STATUS_OK",
"message" : "No Action required.",
"current_time" : 1699526448,
"my_HA_state" : "Standby Ready",
"FMC_AQ_ID" : "0",
"retry_count" : "3",
"error_code" : "0000 - HA_OK",
"peer_HA_role" : "Secondary",
"failover_lan" : "up",
"peer_HA_state" : "Active",
"my_HA_role" : "Primary",
"state_link" : "up",
"json_time" : "10:40:48 UTC Nov 09 2
}
HA-Advanced-Fehlerbehebung für den Speicherort der JSON-Datei:
On FTD: /ngfw/var/sf/sync/ha/upgrade_troubleshoot
On FMC: /var/sf/peers//sync/ha/upgrade_troubleshoot
Manchmal wird aufgrund des Systemzustands keine HA-Vorabdiagnose generiert, und der Grund dafür könnte "lina down" sein, oder der Prozess der Aktionswarteschlange ist nach dem Neustart des Upgrades "down". Wenn Lina oder die Aktionswarteschlange nicht verfügbar ist, ist dies ein Problem.
Überprüfen Sie in diesem Fall mithilfe des folgenden Befehls im Expertenmodus, ob lina- und ActionQueue-Prozesse ausgeführt werden:
pmtool status | grep lina
lina (system) - Running 5503 Indicates Lina is up and running
pmtool status | grep ActionQueueScrape
ActionQueueScrape (system) - Running 5268 Indicates action queue is up and running
Auf der Grundlage von Fehlercodes werden Fehler wie folgt klassifiziert:
Rückgabestatus |
Fehlercode |
Beschreibung |
Wiederholungs- oder Wiederherstellungsmechanismus |
STATUS_OK |
"0000 - HA_OK"(Reservierte Werte liegen zwischen 0001 und 1023) |
Dies gilt für das Erfolgsszenario. (HA-Status: Aktiv und Standby-fähig) |
(Nicht zutreffend) |
STATUS_FEHLER |
"1024:2047 - ERROR_REASON" |
Dies gilt für das Fehlerszenario (Benutzereingriff) |
Aussagekräftige Meldungen, die dem Benutzer und dem Upgrade-Framework angezeigt werden, können den Wiederholungs- oder Wiederherstellungsmechanismus zu einem späteren Zeitpunkt hinzufügen (falls vorhanden). |
STATUS_FEHLER |
"2048:3071 - ERROR_REASON" |
Dies gilt für das Fehlerszenario (TAC-Intervention) |
Für die Bestandserholung sind TAC-Interventionen erforderlich. |
Fehler |
Fehlermeldung |
Fehlercode |
'FAILOVER_CONFIG_NOT_PRSENT' |
"Failover-Konfiguration auf Gerät nicht vorhanden" |
"1024" |
FAILOVER_IS_NOT_ENABLED |
"Failover ist auf dem Gerät nicht aktiviert. Aktivieren Sie Failover." |
"1025" |
FAILOVER_LAN_DOWN |
"Failover LAN ist auf dem Gerät inaktiv." |
"1026" |
STATE_LINK_DOWN |
"Die Statusverbindung auf dem Gerät ist ausgefallen." |
"1027" |
'FAILOVER_BLOCK_DEPLETION' |
"Blockerschöpfung bei folgenden Blöcken im Gerät:\n" |
"1028" |
'APP_SYNC_TIMEOUT' |
"Zeitüberschreitung bei App-Synchronisierung auf dem Gerät" |
"1029" |
'CD_APP_SYNC_ERROR' |
"CD-App-Synchronisierungsfehler auf dem Gerät erkannt" |
"1030" |
'CONFIG_SYNC_TIMEOUT' |
"Zeitüberschreitung bei der Konfigurationssynchronisierung auf dem Gerät" |
"1031" |
FAILED_TO_APPLY_CONFIG |
"Fehler beim Anwenden der Konfiguration auf das Gerät." |
"1032" |
'BULK_SYNC_TIMEOUT' |
"Zeitüberschreitung bei Massensynchronisierung auf dem Gerät" |
"1033" |
'BULK_SYNC_CLIENT_ISSUE' |
"Überprüfen Sie die folgenden Clients auf dem Gerät:\n" |
"1034" |
'IFC_CHECK_FAILED' |
"Fehler bei der Failover-Schnittstellenüberprüfung für die folgenden Schnittstellen im Gerät:\n" |
"1035" |
IFC_FAILED_CHECK_VLAN_SPANTREE |
"Da die Schnittstellen aktiv sind. Überprüfen Sie, ob die VLANs auf der Switch-Seite zulässig sind oder ein Spanning-Tree-Problem vorliegt." |
"1036" |
VERSION_MISMATCH |
"Andere Softwareversion auf dem anderen Gerät" |
"1037" |
MODE_MISMATCH |
"Anderer Betriebsmodus am anderen Gerät" |
"1038" |
LIC_MISMATCH |
"Anderes Gerät verfügt über eine andere Lizenz." |
"1039" |
CHASSIS_MISMATCH |
"Unterschiedliche Chassis-Konfiguration auf dem anderen Gerät" |
"1040" |
'KARTE NICHT ÜBEREINSTIMMEND' |
"Unterschiedliche Kartenkonfiguration auf dem anderen Gerät" |
"1041" |
PEER_NOT_OK |
"Dieses Gerät ist in OK. Überprüfen Sie das Peer-Gerät." |
"1042" |
Fehler |
Fehlermeldung |
Fehlercode |
'RUN_CMD_FAILED' |
"Befehl konnte nicht ausgeführt werden" |
"2048" |
LINA_NOT_STARTED |
"Lina wurde auf dem Gerät nicht gestartet. Versuchen Sie es später erneut." |
‚2049‘ |
HWIDB_MISMATCH |
"Der HWIDB-Index auf dem Gerät ist anders." |
"2050" |
'BACKPLANE_FAILURE' |
"Backplane Failure on the device. Backplane prüfen" |
"2051" |
HA_PROGR_FAILURE |
"HA-Progressionsfehler auf dem Gerät" |
"2052" |
SVM_FAILURE |
"Servicemodul auf Gerät fehlgeschlagen" |
"2053" |
SVM_MIO_HB_FAILURE |
"Heartbeat Failure zwischen MIO und App-Agent auf dem Gerät" |
"2054" |
'SVM_MIO_CRUZ_FAILED' |
"Ausfall des MIO-Blade-Netzwerkadapters auf dem Gerät" |
"2055" |
'SVM_MIO_HB_CRUZ_FAILED' |
"MIO-Blade-Heartbeat- und Netzwerkadapterfehler auf dem Gerät" |
"2056" |
'SSM_CARD_FAILURE' |
"Servicekartenfehler auf dem Gerät" |
"2057" |
'MY_COMM_FAILURE' |
"Kommunikationsfehler auf dem Gerät" |
"2058" |
CRITICAL_PROCESS_DIED |
"Kritischer Prozess starb auf dem Gerät" |
"2059" |
SNORT_FAILURE |
"Snort auf dem Gerät fehlgeschlagen" |
"2060" |
PEER_SVM_FAILURE |
"Das NGFW-Servicemodul auf dem anderen Gerät ist ausgefallen." |
"2061" |
'FAULT_MON_BLOCK_DEP' |
"Fehlerüberwachung meldet Blockerschöpfung auf dem Gerät" |
"2062" |
'DISK_FAILURE' |
"Festplatte auf dem Gerät ausgefallen" |
"2063" |
SNORT_DiSK_FAILURE |
"Snort and Disk failed on the device |
"2064" |
'INACTIVE_MATE_FOUND'' |
"Inaktiver Partner beim Hochfahren erkannt |
"2065" |
SCRIPT_TIMEOUT |
"Grenzwert für Wiederholungen überschritten. Skript beenden" |
"2066" |
'FEHLER_UNBEKANNT' |
"Fehler beim Identifizieren des Fehlers" |
"2067" |
Diese Funktion ist stark vom vorhandenen Aktionswarteschlangen-Framework abhängig. Die Funktion verwendet die zugrunde liegende Kommandozeile, um die erweiterten HA-Fehlerbehebungsdaten zu generieren.
F: Gilt die Funktion für die FTD-Upgrade-Rückgängig-Funktion?
A : Nein. Diese Funktion gilt nicht für die Rückgängig-Funktion, da die FTD-Rückwärts-Funktion parallel und nicht 1-by-1 arbeitet.
F: Wenn das Upgrade bei 200_enable_maintenance_mode.pl fehlschlägt, werden dann die erweiterten Fehlerbehebungsdaten generiert?
A : Nein. Die HA-Fehlerbehebung wird nur nach dem Neustart des Upgrades und nicht während des fehlgeschlagenen Upgrades durchgeführt.
F: Wenn das Upgrade aufgrund von HA-Validierungen auf der zweiten Einheit blockiert wird, kann ein Benutzer das Upgrade auf der zweiten Einheit allein auslösen?
A : Ja. Der Benutzer muss das HA-Paar erneut für das Upgrade auswählen, und das FMC löst das Upgrade nur für nicht aktualisierte Geräte aus.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
27-Jun-2025
|
Erstveröffentlichung |