Error de comprobación de la interfaz de sincronización de alta disponibilidad de FTD de firewall seguro

Opciones de descarga

  • PDF     (251.4 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (87.6 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (74.2 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:5 de mayo de 2026
ID del documento:225852

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Contenido

Problema

El FTD en un par de alta disponibilidad (HA) se mostraba constantemente en un estado de error. La sincronización de la configuración no se completó entre los pares HA, a pesar de la conectividad IP exitosa entre las unidades. La implementación era una nueva implementación que ejecutaba el software Cisco Secure Firewall Threat Defence, que aún no se había puesto en marcha.

El problema surgió después de que la unidad principal se trasladara a su ubicación final y se cambiara su dirección IP de administración sin romper primero el par HA. El proceso de HA detectó comprobaciones de interfaz erróneas en las interfaces de datos supervisadas, lo que activó la lógica de evaluación de estado de HA para colocar la unidad principal en una función de error.

Entorno

  • Firewall seguro FTD HA gestionado por FMC

  • Nueva implementación de una actividad de migración que aún no está en producción

Resolución

La resolución implicaba la eliminación de las interfaces de datos seleccionadas de la configuración de supervisión de la interfaz de HA para evitar la detección de fallos falsos.

Pasos de resolución de problemas realizados

1: Los datos de solución de problemas confirmaron los fallos de comprobación de la interfaz de HA en las interfaces de datos supervisadas, mientras que la conectividad del mismo nivel de HA (latido y ping) siguió funcionando.

device# show failover
Failover On 
Failover unit Primary
Failover LAN Interface: FailOver Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 5 of 776 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.20(2)121, Mate 9.20(2)121
Serial Number: Ours SERIAL#, Mate SERIAL#
Last Failover at: 17:14:25 UTC Mar 16 2026
	This host: Primary - Failed 
		Active time: 0 (sec)
		slot 0: FPR-1120 hw/sw rev (2.0/9.20(2)121) status (Up Sys)
		  Interface To-DC1-ACC (0.0.0.0): No Link (Waiting)
		  Interface To-DC1-WAN (0.0.0.0): No Link (Waiting)
		  Interface management (203.0.113.131/fe80::a610:b6ff:fe3d:e101): Normal (Monitored)
		slot 1: snort rev (1.0)  status (up)
		slot 2: diskstatus rev (1.0)  status (up)
	Other host: Secondary - Active 
		Active time: 184688 (sec)
		  Interface To-DC1-ACC (0.0.0.0): No Link (Waiting)
		  Interface To-DC1-WAN (10.230.2.2): Normal (Waiting)
		  Interface management (203.0.113.130/fe80::6ae5:9eff:fee6:d681): Normal (Monitored)
		slot 1: snort rev (1.0)  status (up)
		slot 2: diskstatus rev (1.0)  status (up)

2: Se confirmó que las transiciones de estado de HA se producían en función de los resultados de supervisión de la interfaz, no de los problemas de conectividad del plano de gestión.

device# show failover history
17:16:51 UTC Mar 16 2026
Standby Ready              Failed                     Interface check
                                                      This host:2
                                                      single_vf: To-DC1-ACC
                                                      single_vf: To-DC1-WAN
                                                      Other host:1
                                                      single_vf: To-DC1-ACC

Cambios de configuración

1: La configuración de HA se actualizó para excluir las interfaces de datos afectadas de la supervisión del estado de la interfaz, evitando así la detección de fallos falsos.

2: Después de los cambios de configuración, el FTD principal cambió correctamente al estado Preparado en espera, lo que confirma la sincronización de HA y la estabilidad de estado adecuadas.

3: La prueba de conmutación por fallo de HA se completó correctamente con los resultados esperados, validando la estabilidad de la configuración de HA después de los cambios.

Aclaraciones del comportamiento esperado

Estos comportamientos observados durante la resolución de problemas son esperados y están diseñados para:

  • Nombres de host duplicados en pares FTD: Se espera que ambas unidades que muestran el mismo nombre de host tengan un comportamiento en FTD HA, ya que el nombre de host de la unidad activa se presenta en todo el sistema (se realiza un seguimiento en la solicitud de mejora CSCwe31354)

  • Propiedad de la dirección IP: Sólo el FTD activo muestra direcciones IP activas en las interfaces de datos, lo que se espera por diseño para evitar condiciones de cerebro dividido. Si no se configura ninguna dirección IP en espera de la interfaz, el FTD Standby Ready aparece como sin direcciones IP configuradas en sus interfaces.

Causa

El FTD primario fue marcado como Fallado debido a fallas de comprobación de estado de la interfaz de alta disponibilidad en las interfaces de datos monitoreadas, causando que el peer con más interfaces operativas permanezca Activo. Este comportamiento se describe por diseño en FTD High Availability y se documenta en las directrices de Cisco Secure Firewall HA. El proceso de HA detectó comprobaciones de interfaz erróneas en las interfaces de datos supervisadas, lo que activó la lógica de evaluación de estado de HA para colocar la unidad principal en una función de error.

Contenido relacionado

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
05-May-2026
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Eco Quiroz-García
    Ingeniero de consultoría técnica

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos