Troubleshoot Inconsistent LINA Hostname Synchronization Between ASA/FTD Failover Units after Software Upgrade

Issue

After the software upgrade on Secure Firewall Threat Defense (FTD) in high-availability (HA) configuration, these symptoms are observed:

1. The Lina hostname does not match the expert mode hostname that was previously configured using the configure network hostname CLISH command, which in this article is referred to as the system hostname. The Lina hostname matches the system hostname of the peer. In this example, the unit with the system hostname FPR1100-2 has the FPR1100-1 as the Lina hostname:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-2     <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1  <--- Lina hostname is different than the system hostname

Peer unit:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-1         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1     <--- Lina hostname 

2. Based on the previous example, depending on the pre-upgrade state of the units, the Lina hostname changes as follows:

2. 1 - Scenario 1

• Pre-upgrade state: unit with the system hostname FPR1100-1 is primary/active, and FPR1100-2 is secondary/standby. 

• Post-upgrade state: Lina hostname on both units is FPR1100-1.

2.2 - Scenario 2

• Pre-upgrade state: unit with the system hostname FPR1100-1 is primary/standby, FPR1100-2 is secondary/active. 

• Post-upgrade state: Lina hostname on both units is FPR1100-2.

Additionally, polling the hostnames of each HA peer using the Simple Network Monitoring Protocol (SNMP) Object Identifier .1.3.6.1.2.1.1.5.0 returns the same value.

For example:

# snmpget -On -v2c -c cisco 192.0.2.1 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

# snmpget -On -v2c -c cisco 192.0.2.2 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

Environment

• FMC-managed Firepower 4112 running FTD in HA. Other hardware platforms are also affected.

• First seen after the software upgrade from version 7.6.2.1 to 7.6.4. Other versions can also be affected.

• FTD peers in HA are configured with a custom and different system hostnames using the CLISH configure network hostname command.

Resolution

The symptoms are reproduced and documented in Cisco bug ID CSCwt25171.

If the intention is to keep Lina hostname synchronized with the hostname in the output of the show network command, then there are 2 known workaround options:

1. On the affected peer re-configure the desired hostname using the configure network hostname command. This command configures the system hostname and updates the Lina hostname.

2. Reboot the affected unit. Note that depending on the environment, configuration, and traffic flow reboot action can be risky and impactful during business hours. User discretion is advised.

Cause

The symptoms documented in Cisco bug ID CSCwt25171.

Related Content

These are the additional findings from reproduction using the Secure Firewall ASA and FTD in high availabilityconfigurations:

ASA

The Lina hostname is not synchronized from active to standby unit if any of these is true but unless one of these ASA exceptions occurs: 

1. If on the standalone units (could be initially standalone or after breaking HA) firewall mode is changed, different hostnames are configured, and failover is configured. If logging is enabled, the standby unit reports configuration match, although the hostnames are initially different: 

ASA2# . 
Detected an Active mate Secondary: 
Switching to Ok for reason Detected an Active peer. 
Configuration on Active and Standby is matching. <----- 

 2. After the changes in #1, failover is suspended using the no failover command and resumed using the failover command. 

ASA Exceptions

The Lina hostname is synchronized if any of these is true: 

1. In the case #1, the difference between unit’s configurations is other than hostname. In other words, if along with hostname there are any other differences, full sync is initiated that results in hostname sync. 

2. Standby ASA is upgraded or reboots. 

3. Failover is paused (no failover) on standby unit, some changes made on active are synchronized, and failover is resumed on standby (failover). Due to changes, full configuration synchronization takes place. 

FTD

The hostname is not synced from active to standby unit if any of these is true but unless one of these FTD exceptions occurs: 

1. FTD is in failover configuration, and on standby unit the user configures a different hostname using the CLISH command configure network hostname. 

2. If initially-bootstrapped standalone units are configured with different hostnames using the CLISH command configure network hostname. 

3. If on standalone units (could be initially standalone or after breaking failover) firewall mode is changed, different hostnames are configured using CLISH configure network hostname command, and failover is configured. 

4. After the changes in #1-3, synchronization occurs if HA is suspended and resumed, or the standby unit reboots, or the standby unit is upgraded to a patch or major version (virtual FTD only).

FTD Exceptions

The hostname synchronized if any of these is true: 

1. In the case #3, the difference between units’ configurations is other than hostname. In other words, if along with hostname there are any other differences, full sync is initiated that results in hostname sync. 

2. Standby unit is upgraded to major version (except virtual FTD, that is even with an upgrade to a major version on virtual FTDs hostnames are not synchronized). 

3. HA is suspended, configuration is changed on active unit (for example, via policy deployment) and failover is resumed. In this case due to configuration difference between units, full replication from active unit to standby, including hostname, takes place and synchronizes the hostname.