Fehlerbehebung bei FTD-"Monitor-Interface"-Befehlen, die nach dem Wechsel von Sub-Schnittstellen zu physischen Schnittstellen nicht in "show run" angezeigt werden

Problem

Nachdem mehrere Subschnittstellen auf physische Schnittstellen von Firewall Threat Defense (FTD) 1140 HA-Paaren verschoben wurden, werden die Befehle für die Überwachungsschnittstelle, die zuvor in der Ausgabe des Befehls show run sichtbar waren, nicht mehr in der Standardkonfigurationsansicht angezeigt. Die Befehle werden jetzt nur angezeigt, wenn show run all-Befehlsausgabe verwendet wird. Diese Änderung trat auch bei Schnittstellen auf, die während der Migration nicht geändert wurden.

Unsere ursprünglichen Schnittstellen waren:

• E1/1 Netz1

• E1/2.1 Netz2

• E1/2.2 Netz3

• E1/2.3 Netz4

• E1/2.4 innen

Das neue Schnittstellenlayout lautet:

• E1/1 Netz1

• E1/2.4 innen

• E1/3 Netz2

• E1/4 Netz3

• E1/5 Netz4

Vor den Schnittstellenänderungen wurden die Befehle monitor-interface in der standardmäßigen Ausgabe des Befehls show run angezeigt:

device# show running-config | include monitor-interface
monitor-interface net1
monitor-interface net2
monitor-interface net3
monitor-interface net4
monitor-interface inside
no monitor-interface service-module

Nach dem Wechsel von Subschnittstellen zu physischen Schnittstellen zeigt der Befehl show run nur eine Teilmenge der Befehle der Überwachungsschnittstelle an:

device# show running-config | include monitor-interface
monitor-interface inside
no monitor-interface service-module

Beim Ausführen des Befehls show run all sind jedoch alle Befehle der Überwachungsschnittstelle sichtbar:

device# show running-config all | include monitor-interface
monitor-interface net1
monitor-interface net2
monitor-interface net3
monitor-interface net4
monitor-interface inside
no monitor-interface service-module

Diese Verhaltensänderung hat sich auf die Richtlinien für die Compliance-Überwachung ausgewirkt, die darauf basieren, dass die Befehle der Überwachungsschnittstelle in der standardmäßigen Ausgabe des Befehls show run sichtbar sind.

Umwelt

• Cisco Firewall Threat Defense (FTD) 1140-Appliances in HA-Konfiguration (High Availability). Auch andere Hardwareplattformen können betroffen sein.

• FTD-Softwareversion: 7.6.4. Andere Softwareversionen können ebenfalls betroffen sein.

• Konfigurationsänderung von Subschnittstellen zu physischen Schnittstellen wird durchgeführt.

Auflösung

Dieses Verhalten wird erwartet und weist nicht auf eine Fehlfunktion oder einen Softwarefehler hin. Wenn Schnittstellen von Subschnittstellen in physische Schnittstellen geändert werden, ändert sich das Standardverhalten der Überwachungsschnittstelle, und Befehle, die der Standardkonfiguration entsprechen, werden in der standardmäßigen Ausgabe des Befehls show run nicht explizit angezeigt. Die Befehle für die Überwachungsschnittstelle sind noch aktiv und funktionsfähig, werden aber jetzt als Standardkonfigurationen für physische Schnittstellen betrachtet. Standardkonfigurationen sind nur sichtbar, wenn die Befehlsausgabe show run all verwendet wird, die sowohl explizite als auch Standardkonfigurationen anzeigt.

Verifizierungsschritte

Verwenden Sie diese Befehle, um zu überprüfen, ob die Funktionalität der Überwachungsschnittstelle weiterhin aktiv ist.

Schritt 1: Standardkonfigurationsanzeige prüfen:

device# show running-config | include monitor-interface

Phase 2: Überprüfen Sie die vollständige Konfiguration einschließlich der Standardeinstellungen:

device# show running-config all | include monitor-interface

Schritt 3: Status der Failover-Überwachung überprüfen:

device# show failover

Schritt 4: So zeigen Sie Informationen zu den für Failover überwachten Schnittstellen an:

device# show monitor-interface

Der Unterschied in der Ausgabe zwischen show run und show run all-Befehlsausgaben bestätigt, dass die Befehle der Überwachungsschnittstelle als Standardkonfigurationen und nicht als explizite Konfigurationen funktionieren.

Ursache

• Wenn Schnittstellen von Subschnittstellen zu physischen Schnittstellen migriert werden, wendet das FTD-System ein anderes Standardverhalten für Monitor-Schnittstellenbefehle an.

• Bei physischen Schnittstellen ist die Überwachungsschnittstelle standardmäßig aktiviert. Daher werden diese Befehle in der aktuellen Konfiguration nur dann explizit angezeigt, wenn sie sich von der Standardeinstellung unterscheiden.

• Subschnittstellen erfordern dagegen eine explizite Konfiguration der Überwachungsschnittstelle, weshalb diese Befehle zuvor in der standardmäßigen Ausgabe des Befehls show run sichtbar waren.

• Hierbei handelt es sich um einen Verhaltensunterschied zwischen der Standardkonfiguration der Subschnittstelle und der Konfiguration der physischen Schnittstelle, nicht um einen Softwarefehler.

Verwandte Inhalte

• https://www.cisco.com/c/en/us/td/docs/security/asa/asa-cli-reference/S/asa-command-ref-S/m_show_is-show_m.html#wp3555445722

Revisionsverlauf

Überarbeitung	Veröffentlichungsdatum	Kommentare
1.0	28-Apr-2026	Erstveröffentlichung