Resolución de Problemas de Sincronización Inconsistente del Nombre de Host LINA entre Unidades de Failover FTD después de la Actualización de Software

Problema

Después de la actualización de software en Secure Firewall Threat Defence (FTD) en la configuración de alta disponibilidad (HA), se observan estos síntomas:

1. El nombre de host de Lina no coincide con el nombre de host del modo experto que se configuró previamente mediante el comando configure network hostname CLISH, que en este artículo se denomina nombre de host del sistema. El nombre de host de Lina coincide con el nombre de host del sistema del par. En este ejemplo, la unidad con el nombre de host del sistema FPR1100-2 tiene el FPR1100-1 como nombre de host de Lina:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-2         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1      <--- Lina hostname is different than the system hostname

Unidad par:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-1         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1     <--- Lina hostname 

2. Basándose en el ejemplo anterior, dependiendo del estado previo a la actualización de las unidades, el nombre de host de Lina cambia de la siguiente manera:

2. 1. Situación 1

• Estado de preactualización: la unidad con el nombre de host del sistema FPR1100-1 es primaria/activa y FPR1100-2 es secundaria/en espera. 

• Estado posterior a la actualización: el nombre de host de línea en ambas unidades es FPR1100-1.

2.2. Situación 2

• Estado de preactualización: la unidad con el nombre de host del sistema FPR1100-1 es primaria/en espera, FPR1100-2 es secundaria/activa. 

• Estado posterior a la actualización: el nombre de host de línea en ambas unidades es FPR1100-2.

Además, el sondeo de los nombres de host de cada par HA mediante el identificador de objeto del protocolo simple de supervisión de red (SNMP) .1.3.6.1.2.1.1.5.0 devuelve el mismo valor.

Por ejemplo:

# snmpget -On -v2c -c cisco 192.0.2.1 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

# snmpget -On -v2c -c cisco 192.0.2.2 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

Entorno

Requirements

Conocimiento básico del producto.

Componentes Utilizados

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Firepower 4112 gestionado por FMC que ejecuta FTD en HA. Otras plataformas de hardware también se ven afectadas.

• Visto por primera vez después de la actualización de software de la versión 7.6.2.1 a la 7.6.4. Otras versiones también pueden verse afectadas.

• Los pares FTD en HA se configuran con un sistema personalizado y diferentes nombres de host mediante el comando CLISH configure network hostname.

Resolución

Los síntomas se reproducen y documentan en el Id. de bug Cisco CSCwt25171.

Si la intención es mantener el hostname de Lina sincronizado con el hostname en la salida del comando show network, entonces hay 2 opciones de solución alternativa conocidas:

1. En el par afectado, vuelva a configurar el nombre de host deseado mediante el comando configure network hostname. Este comando configura el nombre de host del sistema y actualiza el nombre de host de Lina.

2. Reinicie la unidad afectada. Tenga en cuenta que, en función del entorno, la configuración y el flujo de tráfico, la acción de reinicio puede ser arriesgada y tener un impacto durante el horario laboral. Se aconseja al usuario que opte por esta opción.

Causa

Los síntomas documentados en Cisco bug ID CSCwt25171.

Contenido relacionado

El nombre de host no se sincroniza de la unidad activa a la unidad en espera si alguna de estas excepciones es verdadera, pero a menos que ocurra una de estas excepciones de FTD: 

1. FTD está en configuración de failover, y en la unidad standby el usuario configura un hostname diferente usando el comando CLISH configure network hostname. 

2. Si las unidades independientes inicializadas inicialmente se configuran con nombres de host diferentes mediante el comando CLISH, configure network hostname. 

3. Si se cambia el modo de firewall en las unidades independientes (puede ser inicialmente independiente o después de interrumpir la conmutación por error), se configuran diferentes nombres de host mediante el comando CLISH configure network hostname y se configura la conmutación por error. 

4. Después de los cambios en #1-3, la sincronización ocurre si se suspende y reanuda HA, o la unidad standby se reinicia, o la unidad standby se actualiza a un parche o a una versión principal (sólo FTD virtual).

Excepciones

El nombre de host sincronizado si se cumple alguna de estas condiciones: 

1. En el caso #3, la diferencia entre las configuraciones de las unidades no es el nombre de host. En otras palabras, si junto con el nombre de host hay otras diferencias, se inicia la sincronización completa que resulta en la sincronización del nombre de host. 

2. La unidad en espera se actualiza a la versión principal (excepto al FTD virtual, es decir, incluso con una actualización a una versión principal en los FTD virtuales, los nombres de host no están sincronizados). 

3. HA se suspende, la configuración se cambia en la unidad activa (por ejemplo, a través del despliegue de políticas) y se reanuda la conmutación por fallo. En este caso, debido a la diferencia de configuración entre unidades, se produce la replicación completa de la unidad activa al modo en espera, incluido el nombre de host, y sincroniza el nombre de host.