Solución de problemas de sincronización incoherente del nombre de host LINA entre las unidades de failover ASA/FTD después de la actualización de software

Problema

Después de la actualización de software en Secure Firewall Threat Defence (FTD) en la configuración de alta disponibilidad (HA), se observan estos síntomas:

1. El nombre de host de Lina no coincide con el nombre de host del modo experto que se configuró previamente mediante el comando configure network hostname CLISH, que en este artículo se denomina nombre de host del sistema. El nombre de host de Lina coincide con el nombre de host del sistema del par. En este ejemplo, la unidad con el nombre de host del sistema FPR1100-2 tiene el FPR1100-1 como nombre de host de Lina:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-2     <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1  <--- Lina hostname is different than the system hostname

Unidad par:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-1         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1     <--- Lina hostname 

2. Basándose en el ejemplo anterior, dependiendo del estado previo a la actualización de las unidades, el nombre de host de Lina cambia de la siguiente manera:

2. 1. Situación 1

• Estado de preactualización: la unidad con el nombre de host del sistema FPR1100-1 es primaria/activa y FPR1100-2 es secundaria/en espera. 

• Estado posterior a la actualización: el nombre de host de línea en ambas unidades es FPR1100-1.

2.2. Situación 2

• Estado de preactualización: la unidad con el nombre de host del sistema FPR1100-1 es primaria/en espera, FPR1100-2 es secundaria/activa. 

• Estado posterior a la actualización: el nombre de host de línea en ambas unidades es FPR1100-2.

Además, el sondeo de los nombres de host de cada par HA mediante el identificador de objeto del protocolo simple de supervisión de red (SNMP) .1.3.6.1.2.1.1.5.0 devuelve el mismo valor.

Por ejemplo:

# snmpget -On -v2c -c cisco 192.0.2.1 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

# snmpget -On -v2c -c cisco 192.0.2.2 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

Entorno

• Firepower 4112 gestionado por FMC que ejecuta FTD en HA. Otras plataformas de hardware también se ven afectadas.

• Visto por primera vez después de la actualización de software de la versión 7.6.2.1 a la 7.6.4. Otras versiones también pueden verse afectadas.

• Los pares FTD en HA se configuran con un sistema personalizado y diferentes nombres de host mediante el comando CLISH configure network hostname.

Resolución

Los síntomas se reproducen y documentan en el Id. de bug Cisco CSCwt25171.

Si la intención es mantener el hostname de Lina sincronizado con el hostname en la salida del comando show network, entonces hay 2 opciones de solución alternativa conocidas:

1. En el par afectado, vuelva a configurar el nombre de host deseado mediante el comando configure network hostname. Este comando configura el nombre de host del sistema y actualiza el nombre de host de Lina.

2. Reinicie la unidad afectada. Tenga en cuenta que, en función del entorno, la configuración y el flujo de tráfico, la acción de reinicio puede ser arriesgada y tener un impacto durante el horario laboral. Se aconseja al usuario que opte por esta opción.

Causa

Los síntomas documentados en Cisco bug ID CSCwt25171.

Contenido relacionado

Estas son las conclusiones adicionales de la reproducción con Secure Firewall ASA y FTD en configuraciones de alta disponibilidad:

ASA

El nombre de host Lina no se sincroniza de la unidad activa a la unidad en espera si alguna de estas excepciones es verdadera pero a menos que ocurra una de estas excepciones de ASA: 

1. Si en las unidades independientes (puede ser inicialmente independiente o después de romper HA) se cambia el modo de firewall, se configuran diferentes nombres de host y se configura el failover. Si se habilita el registro, la unidad en espera informa de la coincidencia de configuración, aunque los nombres de host son inicialmente diferentes: 

ASA2# . 
Detected an Active mate Secondary: 
Switching to Ok for reason Detected an Active peer. 
Configuration on Active and Standby is matching. <----- 

 2. Después de los cambios en #1, la conmutación por fallas se suspende con el comando no failover y se reanuda con el comando failover. 

Excepciones de ASA

El nombre de host Lina se sincroniza si se cumple alguna de estas condiciones: 

1. En el caso #1, la diferencia entre las configuraciones de la unidad no es el nombre de host. En otras palabras, si junto con el nombre de host hay otras diferencias, se inicia la sincronización completa que resulta en la sincronización del nombre de host. 

2. El ASA en espera se actualiza o se reinicia. 

3. La conmutación por error está en pausa (sin conmutación por error) en la unidad en espera, algunos cambios realizados en activo están sincronizados y la conmutación por error se reanuda en espera (conmutación por error). Debido a los cambios, se lleva a cabo la sincronización de la configuración completa. 

FTD

El nombre de host no se sincroniza de la unidad activa a la unidad en espera si alguna de estas excepciones es verdadera, pero a menos que ocurra una de estas excepciones de FTD: 

1. FTD está en configuración de failover, y en la unidad standby el usuario configura un hostname diferente usando el comando CLISH configure network hostname. 

2. Si las unidades independientes inicializadas inicialmente se configuran con nombres de host diferentes mediante el comando CLISH, configure network hostname. 

3. Si se cambia el modo de firewall en las unidades independientes (puede ser inicialmente independiente o después de interrumpir la conmutación por error), se configuran diferentes nombres de host mediante el comando CLISH configure network hostname y se configura la conmutación por error. 

4. Después de los cambios en #1-3, la sincronización ocurre si se suspende y reanuda HA, o la unidad standby se reinicia, o la unidad standby se actualiza a un parche o a una versión principal (sólo FTD virtual).

Excepciones de FTD

El nombre de host sincronizado si se cumple alguna de estas condiciones: 

1. En el caso #3, la diferencia entre las configuraciones de las unidades no es el nombre de host. En otras palabras, si junto con el nombre de host hay otras diferencias, se inicia la sincronización completa que resulta en la sincronización del nombre de host. 

2. La unidad en espera se actualiza a la versión principal (excepto al FTD virtual, es decir, incluso con una actualización a una versión principal en los FTD virtuales, los nombres de host no están sincronizados). 

3. HA se suspende, la configuración se cambia en la unidad activa (por ejemplo, a través del despliegue de políticas) y se reanuda la conmutación por fallo. En este caso, debido a la diferencia de configuración entre unidades, se produce la replicación completa de la unidad activa al modo en espera, incluido el nombre de host, y sincroniza el nombre de host.