Fehlerbehebung bei inkonsistenter LINA-Hostnamensynchronisierung zwischen FTD-Failover-Einheiten nach Software-Upgrades

Problem

Nach dem Software-Upgrade auf Secure Firewall Threat Defense (FTD) in Hochverfügbarkeitskonfiguration (HA) treten folgende Symptome auf:

1. Der Lina-Hostname stimmt nicht mit dem Hostnamen des Expertenmodus überein, der zuvor mit dem CLISH-Befehl configure network hostname konfiguriert wurde, der in diesem Artikel als System-Hostname bezeichnet wird. Der Lina-Hostname stimmt mit dem System-Hostnamen des Peers überein. In diesem Beispiel hat die Einheit mit dem System-Hostnamen FPR1100-2 den FPR1100-1 als Lina-Hostname:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-2         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1      <--- Lina hostname is different than the system hostname

Peer-Einheit:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-1         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1     <--- Lina hostname 

2. Auf der Grundlage des vorherigen Beispiels ändert sich der Lina-Hostname je nach dem Status der Einheiten vor dem Upgrade wie folgt:

2. 1 - Szenario 1

• Pre-Upgrade-Status: Einheit mit dem System-Hostnamen FPR1100-1 ist primär/aktiv und FPR1100-2 ist sekundär/Standby. 

• Status nach dem Upgrade: Der Lina-Hostname auf beiden Geräten lautet FPR1100-1.

2.2 - Szenario 2

• Status vor dem Upgrade: Einheit mit dem System-Hostnamen FPR1100-1 ist primär/Standby, FPR1100-2 ist sekundär/aktiv. 

• Status nach dem Upgrade: Der Lina-Hostname auf beiden Geräten lautet FPR1100-2.

Darüber hinaus wird beim Polling der Hostnamen der einzelnen HA-Peers mit dem Simple Network Monitoring Protocol (SNMP) Object Identifier .1.3.6.1.2.1.1.5.0 derselbe Wert zurückgegeben.

Beispiele:

# snmpget -On -v2c -c cisco 192.0.2.1 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

# snmpget -On -v2c -c cisco 192.0.2.2 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

Umwelt

Anforderungen

Grundlegendes Produktwissen.

Verwendete Komponenten

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• FMC-Managed Firepower 4112 mit FTD in HA. Auch andere Hardwareplattformen sind betroffen.

• Das erste Mal nach dem Software-Upgrade von Version 7.6.2.1 auf 7.6.4. Andere Versionen können ebenfalls betroffen sein.

• FTD-Peers in HA werden mithilfe des CLISH-Befehls configure network hostname mit benutzerdefinierten und unterschiedlichen System-Hostnamen konfiguriert.

Auflösung

Die Symptome werden reproduziert und dokumentiert in Cisco Bug-ID CSCwt25171.

Wenn Lina Hostname mit dem Hostnamen in der Ausgabe des Befehls show network synchronisiert werden soll, gibt es zwei bekannte Problemumgehungsoptionen:

1. Konfigurieren Sie auf dem betroffenen Peer den gewünschten Hostnamen mit dem Befehl configure network hostname neu. Mit diesem Befehl wird der System-Hostname konfiguriert und der Lina-Hostname aktualisiert.

2. Starten Sie die betroffene Einheit neu. Beachten Sie, dass je nach Umgebung, Konfiguration und Datenverkehrsfluss die Neustartaktion während der Geschäftszeiten riskant und beeinträchtigend sein kann. Es wird empfohlen, dass der Benutzer frei entscheiden muss.

Ursache

Die in Cisco Bug-ID CSCwt25171 dokumentierten Symptome.

Verwandte Inhalte

Der Hostname wird nicht von der aktiven zur Standby-Einheit synchronisiert, wenn einer dieser Werte zutrifft, es sei denn, eine der folgenden FTD-Ausnahmen tritt auf: 

1. FTD befindet sich in einer Failover-Konfiguration, und auf der Standby-Einheit konfiguriert der Benutzer mithilfe des CLISH-Befehls configure network hostname einen anderen Hostnamen. 

2. Wenn anfänglich gebootstrappte Standalone-Einheiten mit unterschiedlichen Hostnamen konfiguriert werden, konfigurieren Sie mit dem CLISH-Befehl den Netzwerk-Hostnamen. 

3. Wenn auf Standalone-Geräten (anfänglich Standalone oder nach Unterbrechung des Failovers) der Firewall-Modus geändert wird, werden mit dem CLISH-Befehl configure network hostname unterschiedliche Hostnamen konfiguriert, und Failover wird konfiguriert. 

4. Nach den Änderungen in #1-3 erfolgt die Synchronisierung, wenn HA ausgesetzt und wieder aufgenommen wird, das Standby-Gerät neu startet oder das Standby-Gerät auf einen Patch oder eine Hauptversion aktualisiert wird (nur virtuelle FTD).

Ausnahmen

Der synchronisierte Hostname, wenn einer der folgenden Werte zutrifft: 

1. Im Fall von #3 ist der Unterschied zwischen den Konfigurationen der Einheiten ein anderer als der Hostname. Mit anderen Worten: Wenn es zusammen mit dem Hostnamen irgendwelche anderen Unterschiede gibt, wird eine vollständige Synchronisierung initiiert, die zu einer Hostnamen-Synchronisierung führt. 

2. Standby-Einheit wird auf die Hauptversion aktualisiert (mit Ausnahme der virtuellen FTD, das heißt, sogar mit einem Upgrade auf eine Hauptversion auf virtuellen FTDs Hostnamen sind nicht synchronisiert). 

3. Die hohe Verfügbarkeit wird ausgesetzt, die Konfiguration für die aktive Einheit geändert (z. B. über die Bereitstellung von Richtlinien) und das Failover wird fortgesetzt. In diesem Fall findet aufgrund der Konfigurationsunterschiede zwischen den Einheiten die vollständige Replikation von der aktiven Einheit in den Standby-Modus statt, einschließlich des Hostnamens, und der Hostname wird synchronisiert.