Échec du déploiement avec le sous-réseau /31 sur l'interface FTD IP de secours

Options de téléchargement

  • PDF     (244.4 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
Mis à jour:18 mars 2026
ID du document:225621

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Table des matières

Problème

Sous-interface créée sur un canal de port et affectée de l'adresse IP x.x.x.x/31 pour l'adresse IP de secours FTD HA. Cependant, lors du déploiement de la stratégie à partir de FMC, le déploiement échoue systématiquement avec une erreur de configuration.

adresse ip x.x.x.240 255.255.255.254 en veille x.x.x.241

^

ERREUR : % Entrée non valide détectée au niveau du marqueur '^'.

Erreur de configuration — adresse ip x.x.x.240 255.255.255.254 standby x.x.x.241

Environnement

  • Appareils Cisco Firepower FPR-4112 exécutant FTD 7.2 en configuration haute disponibilité
  • Géré par Firepower Management Center (FMC)
  • Version du logiciel : 7.4.2
  • Sous-interface configurée sur port-channel.
  • Schéma d'adressage IP : x.x.x.240/31 avec IP de secours x.x.x.241

Résolution

L'échec du déploiement est résolu en modifiant le masque de sous-réseau de /31 à /30 pour toute interface routée nécessitant une adresse IP de secours FTD HA.

Solution recommandée

Utilisez un sous-réseau /30 (255.255.255.252) au lieu de /31 pour toute interface routée nécessitant une adresse IP de secours haute disponibilité. Un sous-réseau /30 fournit quatre adresses (réseau, deux adresses IP d’hôte utilisables et diffusion), ce qui permet la coexistence d’une adresse IP active et d’une adresse IP de secours.

Étapes de mise en oeuvre

1 : Passez du schéma d'adressage /31 actuel à un sous-réseau /30 qui fournit suffisamment d'adresses IP pour les configurations actives et en veille.

2 : Mettez à jour la configuration de l'interface dans Firepower Management Center pour utiliser le nouvel adressage de sous-réseau /30.

3 : Déployez la configuration mise à jour depuis FMC vers les deux périphériques FTD de la paire HA.

4 : Confirmez que le déploiement de la stratégie s'effectue correctement sans erreurs de configuration.

Recommandations de prévention

  • Utilisez toujours un sous-réseau /30 ou supérieur pour les interfaces routées qui nécessitent des adresses IP de secours haute disponibilité.
  • Consultez le guide de configuration des périphériques Cisco Secure Firewall Management Center avant de concevoir des schémas d'adressage IP pour les déploiements haute disponibilité.
  • Utilisez les sous-réseaux /31 uniquement pour les liaisons point à point sans HA requise (déploiements à un seul noeud ou scénarios sans basculement).

Motif

L'échec du déploiement est causé par une tentative de configuration d'une adresse IP de secours sur une interface à l'aide d'un masque de sous-réseau /31 (255.255.255.254).

Un sous-réseau /31 ne fournit que deux adresses IP utilisables (aucune adresse de réseau ou de diffusion dédiée), ce qui ne laisse pas de place pour une adresse IP de secours distincte dans une configuration haute disponibilité. Selon la documentation Cisco, les adresses IP de secours ne peuvent pas être configurées sur des interfaces avec des sous-réseaux /31.

Le Guide de configuration des périphériques Cisco Secure Firewall Management Center indique explicitement : "Pour les connexions point à point, vous pouvez spécifier un masque de sous-réseau 31 bits (255.255.255.254 ou /31). Dans ce cas, aucune adresse IP n'est réservée aux adresses réseau ou de diffusion. Vous ne pouvez pas définir l'adresse IP de secours dans ce cas."

Autres informations utiles

Historique de révision

Révision Date de publication Commentaires
1.0
18-Mar-2026
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Echo Quiroz-Garcia
    Ingénieur-conseil technique

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits