Fehlerbehebung bei inkonsistenter LINA-Hostnamensynchronisierung zwischen ASA-/FTD-Failover-Einheiten nach Software-Upgrades

Problem

Nach dem Software-Upgrade auf Secure Firewall Threat Defense (FTD) in Hochverfügbarkeitskonfiguration (HA) treten folgende Symptome auf:

1. Der Lina-Hostname stimmt nicht mit dem Hostnamen des Expertenmodus überein, der zuvor mit dem CLISH-Befehl configure network hostname konfiguriert wurde, der in diesem Artikel als System-Hostname bezeichnet wird. Der Lina-Hostname stimmt mit dem System-Hostnamen des Peers überein. In diesem Beispiel hat die Einheit mit dem System-Hostnamen FPR1100-2 den FPR1100-1 als Lina-Hostname:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-2     <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1  <--- Lina hostname is different than the system hostname

Peer-Einheit:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-1         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1     <--- Lina hostname 

2. Auf der Grundlage des vorherigen Beispiels ändert sich der Lina-Hostname je nach dem Status der Einheiten vor dem Upgrade wie folgt:

2. 1 - Szenario 1

• Pre-Upgrade-Status: Einheit mit dem System-Hostnamen FPR1100-1 ist primär/aktiv und FPR1100-2 ist sekundär/Standby. 

• Status nach dem Upgrade: Der Lina-Hostname auf beiden Geräten lautet FPR1100-1.

2.2 - Szenario 2

• Status vor dem Upgrade: Einheit mit dem System-Hostnamen FPR1100-1 ist primär/Standby, FPR1100-2 ist sekundär/aktiv. 

• Status nach dem Upgrade: Der Lina-Hostname auf beiden Geräten lautet FPR1100-2.

Darüber hinaus wird beim Polling der Hostnamen der einzelnen HA-Peers mit dem Simple Network Monitoring Protocol (SNMP) Object Identifier .1.3.6.1.2.1.1.5.0 derselbe Wert zurückgegeben.

Beispiele:

# snmpget -On -v2c -c cisco 192.0.2.1 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

# snmpget -On -v2c -c cisco 192.0.2.2 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

Umwelt

• FMC-Managed Firepower 4112 mit FTD in HA. Auch andere Hardwareplattformen sind betroffen.

• Das erste Mal nach dem Software-Upgrade von Version 7.6.2.1 auf 7.6.4. Andere Versionen können ebenfalls betroffen sein.

• FTD-Peers in HA werden mithilfe des CLISH-Befehls configure network hostname mit benutzerdefinierten und unterschiedlichen System-Hostnamen konfiguriert.

Auflösung

Die Symptome werden unter der Cisco Bug-ID CSCwt25171 reproduziert und dokumentiert.

Wenn Lina Hostname mit dem Hostnamen in der Ausgabe des Befehls show network synchronisiert werden soll, gibt es zwei bekannte Problemumgehungsoptionen:

1. Konfigurieren Sie auf dem betroffenen Peer den gewünschten Hostnamen mit dem Befehl configure network hostname neu. Mit diesem Befehl wird der System-Hostname konfiguriert und der Lina-Hostname aktualisiert.

2. Starten Sie die betroffene Einheit neu. Beachten Sie, dass je nach Umgebung, Konfiguration und Datenverkehrsfluss die Neustartaktion während der Geschäftszeiten riskant und beeinträchtigend sein kann. Es wird empfohlen, dass der Benutzer frei entscheiden muss.

Ursache

Die in Cisco Bug-ID CSCwt25171 dokumentierten Symptome.

Verwandte Inhalte

Dies sind die zusätzlichen Ergebnisse der Reproduktion mit der Secure Firewall ASA und FTD in Konfigurationen mit hoher Verfügbarkeit:

ASA

Der Lina-Hostname wird nicht von der aktiven zur Standby-Einheit synchronisiert, wenn einer dieser Werte zutrifft, es sei denn, eine der folgenden ASA-Ausnahmen tritt auf: 

1. Wenn auf den Standalone-Einheiten (kann anfangs Standalone oder nach Unterbrechung der HA-Funktion sein) der Firewall-Modus geändert wird, werden unterschiedliche Hostnamen konfiguriert, und Failover wird konfiguriert. Wenn die Protokollierung aktiviert ist, meldet die Standby-Einheit die Konfigurationsübereinstimmung, obwohl die Hostnamen anfänglich unterschiedlich sind: 

ASA2# . 
Detected an Active mate Secondary: 
Switching to Ok for reason Detected an Active peer. 
Configuration on Active and Standby is matching. <----- 

 2. Nach den Änderungen in #1 wird das Failover mit dem Befehl no failover angehalten und mit dem Befehl failover fortgesetzt. 

ASA-Ausnahmen

Der Lina-Hostname wird synchronisiert, wenn einer der folgenden Werte zutrifft: 

1. Im Fall von #1 ist der Unterschied zwischen den Konfigurationen der Einheit ein anderer als der Hostname. Mit anderen Worten, wenn es zusammen mit dem Hostnamen irgendwelche anderen Unterschiede gibt, wird eine vollständige Synchronisierung initiiert, die zu einer Hostnamen-Synchronisierung führt. 

2. Die Standby-ASA wird aktualisiert oder neu gestartet. 

3. Failover auf Standby-Gerät wurde angehalten (kein Failover), einige Änderungen, die bei aktivem Gerät vorgenommen wurden, wurden synchronisiert, und Failover wird im Standby-Gerät (Failover) wieder aufgenommen. Aufgrund von Änderungen findet eine vollständige Konfigurations-Synchronisierung statt. 

FTD

Der Hostname wird nicht von der aktiven zur Standby-Einheit synchronisiert, wenn einer dieser Werte zutrifft, es sei denn, eine der folgenden FTD-Ausnahmen tritt auf: 

1. FTD befindet sich in einer Failover-Konfiguration, und auf der Standby-Einheit konfiguriert der Benutzer mithilfe des CLISH-Befehls configure network hostname einen anderen Hostnamen. 

2. Wenn anfänglich gebootstrappte Standalone-Einheiten mit unterschiedlichen Hostnamen konfiguriert werden, konfigurieren Sie mit dem CLISH-Befehl den Netzwerk-Hostnamen. 

3. Wenn auf Standalone-Geräten (anfänglich Standalone oder nach Unterbrechung des Failovers) der Firewall-Modus geändert wird, werden mit dem CLISH-Befehl configure network hostname unterschiedliche Hostnamen konfiguriert, und Failover wird konfiguriert. 

4. Nach den Änderungen in #1-3 erfolgt die Synchronisierung, wenn HA ausgesetzt und wieder aufgenommen wird, das Standby-Gerät neu startet oder das Standby-Gerät auf einen Patch oder eine Hauptversion aktualisiert wird (nur virtuelle FTD).

FTD-Ausnahmen

Der synchronisierte Hostname, wenn einer der folgenden Werte zutrifft: 

1. Im Fall von #3 ist der Unterschied zwischen den Konfigurationen der Einheiten ein anderer als der Hostname. Mit anderen Worten: Wenn es zusammen mit dem Hostnamen irgendwelche anderen Unterschiede gibt, wird eine vollständige Synchronisierung initiiert, die zu einer Hostnamen-Synchronisierung führt. 

2. Standby-Einheit wird auf die Hauptversion aktualisiert (mit Ausnahme der virtuellen FTD, das heißt, sogar mit einem Upgrade auf eine Hauptversion auf virtuellen FTDs Hostnamen sind nicht synchronisiert). 

3. Die hohe Verfügbarkeit wird ausgesetzt, die Konfiguration für die aktive Einheit geändert (z. B. über die Bereitstellung von Richtlinien) und das Failover wird fortgesetzt. In diesem Fall findet aufgrund der Konfigurationsunterschiede zwischen den Einheiten die vollständige Replikation von der aktiven Einheit in den Standby-Modus statt, einschließlich des Hostnamens, und der Hostname wird synchronisiert.