Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit le dépannage pour résoudre les échecs de mise à niveau FTD des versions 7.0 à 7.2, en particulier dans les déploiements haute disponibilité (HA).
Plus de la moitié de ces défaillances proviennent de problèmes survenus pendant la phase 200_enable_maintenance_mode, les validations de haute disponibilité existantes effectuant principalement des vérifications de base de l'état actif/veille, ce qui est insuffisant pour des transitions de haute disponibilité complètes.
Avec la mise à jour Secure Firewall 7.6, des validations de haute disponibilité améliorées ont été introduites pour résoudre ces problèmes. Ces améliorations incluent des vérifications approfondies des transitions d'état de haute disponibilité, des délais d'attente étendus pour les processus de synchronisation et des rapports d'erreurs améliorés. Cette mise à jour vise à réduire de manière significative les problèmes de haute disponibilité après la mise à niveau et les échecs de mise à niveau globaux, garantissant un processus de mise à niveau plus fluide et plus fiable pour les déploiements haute disponibilité.
Migration depuis : https://confluence-eng-rtp2.cisco.com/conf/display/IFT/FTD+HA+Upgrade+Failure+Reduction
Validations HA améliorées pour la mise à niveau FTD :
Par rapport aux versions précédentes, il a :
Remarque : Cette fonctionnalité s'applique uniquement aux déploiements FTD HA gérés par FMC. Cette fonctionnalité ne s'applique pas à la haute disponibilité FTD gérée par FDM ou aux périphériques en cluster.
Une fois que le dépannage avancé haute disponibilité est collecté auprès des deux unités, FMC décide de démarrer la mise à niveau ou de bloquer la mise à niveau sur le deuxième noeud (unité active).
Chaque unité haute disponibilité génère des données de dépannage avancé haute disponibilité sous la forme d'un fichier JSON après le redémarrage de la mise à niveau et les partage avec FMC. Voici des exemples de validation en cas d'échec et de réussite.
Fichier: /ngfw/var/sf/sync/ha/upgrade_troubleshoot
{
"failover_lan" : "NA",
"error_code" : "1046 -
STARTUP_FAILOVER_CONFIG_NOT_PRESENT",
"current_time" : 1701369637,
"peer_HA_state" : "Not Detected",
"FMC_AQ_ID" : "0",
"state_link" : "NA",
"json_time" : "18:40:37 UTC Nov 30 2023",
"my_HA_state" : "Disabled",
"my_HA_role" : "Secondary",
"return_status" : "STATUS_ERROR",
"message" : "Failover config is not present on the startup
config. Device is in standalone state. Please configure failover.",
"peer_HA_role" : "Primary"
}
Fichier: /ngfw/var/sf/sync/ha/upgrade_troubleshoot
{
"return_status" : "STATUS_OK",
"message" : "No Action required.",
"current_time" : 1699526448,
"my_HA_state" : "Standby Ready",
"FMC_AQ_ID" : "0",
"retry_count" : "3",
"error_code" : "0000 - HA_OK",
"peer_HA_role" : "Secondary",
"failover_lan" : "up",
"peer_HA_state" : "Active",
"my_HA_role" : "Primary",
"state_link" : "up",
"json_time" : "10:40:48 UTC Nov 09 2
}
Emplacement du fichier JSON de dépannage avancé haute disponibilité :
On FTD: /ngfw/var/sf/sync/ha/upgrade_troubleshoot
On FMC: /var/sf/peers//sync/ha/upgrade_troubleshoot
Parfois, le dépannage avancé haute disponibilité n'est pas généré en raison de l'état du système et la raison peut être lina down ou le processus de file d'attente d'action est down après le redémarrage de la mise à niveau. Si lina ou la file d'attente d'action est en panne, cela pose problème.
Dans de tels cas, vérifiez si les processus Lina et ActionQueue sont en cours d'exécution en utilisant cette commande en mode expert :
pmtool status | grep lina
lina (system) - Running 5503 Indicates Lina is up and running
pmtool status | grep ActionQueueScrape
ActionQueueScrape (system) - Running 5268 Indicates action queue is up and running
En fonction des codes d'erreur, les erreurs sont classées comme suit :
statut_retour |
code_erreur |
Description |
Mécanisme de relance ou de récupération |
ÉTAT_OK |
«0000 - HA_OK»(Les valeurs réservées sont comprises entre 0001 et 1023) |
C'est pour le scénario de réussite. (lorsque les états HA sont Actif et En veille) |
(Sans objet) |
ERREUR_ÉTAT |
« 1024:2047 - ERROR_REASON » |
Ceci est pour le scénario d'erreur (intervention de l'utilisateur) |
Des messages exploitables à afficher à l'utilisateur et à la structure de mise à niveau peuvent ajouter le mécanisme de nouvelle tentative ou de récupération à l'avenir (le cas échéant). |
ERREUR_ÉTAT |
« 2048:3071 - ERROR_REASON » |
Ceci est pour le scénario d'erreur (intervention du TAC) |
Une intervention du TAC est nécessaire pour le rétablissement. |
Erreur |
Message d'erreur |
« Error Code |
'FAILOVER_CONFIG_NOT_PRESENT' |
"La configuration du basculement n'est pas présente sur le périphérique" |
"1024" |
'FAILOVER_IS_NOT_ENABLED' |
"Le basculement n'est pas activé sur le périphérique. Activez le basculement. |
"1025" |
'BASCULEMENT_LAN_DOWN' |
"Le LAN de basculement est hors service sur le périphérique" |
"1026" |
'LIEN_ÉTAT_INACTIF' |
"La liaison d'état est désactivée sur le périphérique" |
"1027" |
'ÉPUISEMENT_BLOC_BASCULEMENT' |
"Épuisement des blocs sur les blocs suivants du périphérique : \n" |
"1028" |
'APP_SYNC_TIMEOUT' |
"Délai de synchronisation de l'application sur l'appareil" |
"1029" |
'CD_APP_SYNC_ERROR' |
"Erreur de synchronisation de l'application CD détectée sur l'appareil" |
"1030" |
'CONFIG_SYNC_TIMEOUT' |
"Délai de synchronisation de la configuration sur le périphérique" |
"1031" |
'FAILED_TO_APPLY_CONFIG' |
"Échec de l'application de la configuration sur le périphérique" |
"1032" |
'DÉLAI_SYNCHRONISATION_EN BLOC' |
"Délai de synchronisation en bloc sur le périphérique" |
"1033" |
'PROBLÈME_CLIENT_SYNCHRONISATION_EN BLOC' |
"Vérifiez les clients suivants sur le périphérique : \n" |
"1034" |
'ÉCHEC_VÉRIFICATION_IFC' |
"La vérification de l'interface de basculement a échoué sur les interfaces suivantes du périphérique : \n" |
"1035" |
'IFC_FAILED_CHECK_VLAN_SPANTREE' |
"Puisque les interfaces sont actives. Vérifiez si les VLAN sont autorisés côté commutateur ou s'il y a un problème de Spanning Tree. |
"1036" |
'VERSION_MISMATCH' |
"Version logicielle différente sur l'autre périphérique" |
"1037" |
'MODE_MISMATCH' |
"Mode de fonctionnement différent sur l'autre périphérique" |
"1038" |
'LIC_MISMATCH' |
"Licence différente sur l'autre périphérique" |
"1039" |
'INCOMPATIBILITÉ_CHÂSSIS' |
"Configuration de châssis différente sur l'autre périphérique" |
"1040" |
'DISCORDANCE_CARTE' |
"Configuration de carte différente sur l'autre périphérique" |
"1041" |
'PEER_NOT_OK' |
« Cet appareil est à l'état OK. Vérifier le périphérique homologue" |
"1042" |
Erreur |
Message d'erreur |
« Error Code |
'ÉCHEC_RUN_CMD' |
"Echec de l'exécution de la commande" |
"2048" |
'LINA_NOT_STARTED' |
"Lina n'a pas démarré sur l'appareil. Réessayez après un certain temps" |
"2049"' |
'HWIDB_MISMATCH' |
"L'index HWIDB est différent sur le périphérique" |
"2050" |
'ÉCHEC_FOND_DE PANIER' |
"Panne du fond de panier sur le périphérique. Vérifiez le fond de panier. |
"2051" |
'HA_PROGR_FAILURE' |
"Échec de progression HA sur le périphérique" |
"2052" |
'ÉCHEC_SVM' |
"Échec du module de service sur le périphérique" |
"2053" |
'SVM_MIO_HB_FAILURE' |
"Échec de pulsation entre MIO et App-agent sur le périphérique" |
"2054" |
'ÉCHEC_SVM_MIO_CRUZ' |
"Panne de la carte réseau de la carte MIO sur le périphérique" |
"2055" |
'SVM_MIO_HB_CRUZ_FAILED' |
"Pulsation de la carte MIO et défaillance de la carte réseau sur le périphérique" |
"2056" |
'ÉCHEC_CARTE_SSM' |
"Défaillance de la carte de service sur le périphérique" |
"2057" |
'ÉCHEC_COMM_MY' |
"Échec de la communication sur le périphérique" |
"2058" |
'PROCESSUS_CRITIQUE_DÉCÉDÉ' |
"Le processus critique est mort sur le périphérique" |
"2059" |
'ÉCHEC_SNORT' |
"Echec de la commande Snort sur le périphérique" |
"2060" |
'PEER_SVM_FAILURE' |
"Le module de service NGFW est tombé en panne sur l'autre périphérique" |
"2061" |
'PROFONDEUR_BLOC_MON_DÉFAILLANCE' |
"La surveillance des pannes a signalé un épuisement des blocs sur le périphérique" |
"2062" |
'ÉCHEC_DISQUE' |
"Le disque a échoué sur le périphérique" |
"2063" |
'ÉCHEC_SNORT_DiSK' |
"Echec de la commande Snort and Disk sur le périphérique |
"2064" |
'INACTIVE_MATE_FOUND'' |
"Détection d'un partenaire inactif au démarrage |
"2065" |
'SCRIPT_TIMEOUT' |
"Limite de tentatives dépassée. Sortie du script" |
"2066" |
'ERREUR_INCONNUE' |
"Impossible d'identifier l'erreur" |
"2067" |
Cette fonctionnalité dépend fortement du cadre de file d'attente d'actions existant. La fonctionnalité utilise l'interface CLI de Lina sous-jacente pour générer les données de dépannage avancé de la haute disponibilité.
Q : La fonctionnalité est-elle applicable à la fonctionnalité de retour de mise à niveau FTD ?
A : Non. Cette fonctionnalité n'est pas applicable à la fonctionnalité de retour car le retour FTD fonctionne en parallèle, et non 1 par 1.
Q : Si la mise à niveau échoue sur 200_enable_maintenance_mode.pl, génère-t-elle les données de dépannage avancées ?
A : Non. Le dépannage avancé de la haute disponibilité est généré uniquement après le redémarrage post-mise à niveau et non lors d'un échec de mise à niveau
Q : Si la mise à niveau est bloquée en raison des validations de haute disponibilité sur la seconde unité, un utilisateur peut-il déclencher la mise à niveau sur la seconde unité uniquement ?
A : Oui. L'utilisateur doit sélectionner à nouveau la paire haute disponibilité pour la mise à niveau et FMC déclenche la mise à niveau uniquement sur l'unité non mise à niveau.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
27-Jun-2025
|
Première publication |