Dépannage de la synchronisation incohérente des noms d'hôte LINA entre les unités de basculement ASA/FTD après la mise à niveau logicielle

Problème

Après la mise à niveau logicielle de Secure Firewall Threat Defense (FTD) en configuration haute disponibilité (HA), les symptômes suivants sont observés :

1. Le nom d'hôte Lina ne correspond pas au nom d'hôte du mode expert qui a été précédemment configuré à l'aide de la commande CLISH configure network hostname, qui dans cet article est appelé system hostname. Le nom d'hôte Lina correspond au nom d'hôte système de l'homologue. Dans cet exemple, l'unité avec le nom d'hôte système FPR1100-2 a le FPR1100-1 comme nom d'hôte Lina :

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-2     <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1  <--- Lina hostname is different than the system hostname

Unité homologue :

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-1         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1     <--- Lina hostname 

2. D’après l’exemple précédent, le nom d’hôte Lina change comme suit en fonction de l’état des unités avant la mise à niveau :

2. 1 - Scénario 1

• État de pré-mise à niveau : l'unité portant le nom d'hôte système FPR1100-1 est principale/active et FPR1100-2 est secondaire/en veille. 

• État post-mise à niveau : le nom d'hôte Lina sur les deux unités est FPR1100-1.

2.2 - Scénario 2

• État de pré-mise à niveau : l'unité avec le nom d'hôte système FPR1100-1 est principale/en veille, FPR1100-2 est secondaire/active. 

• État post-mise à niveau : le nom d'hôte Lina sur les deux unités est FPR1100-2.

En outre, l'interrogation des noms d'hôte de chaque homologue HA à l'aide de l'identificateur d'objet SNMP (Simple Network Monitoring Protocol) .1.3.6.1.2.1.1.5.0 renvoie la même valeur.

Exemple :

# snmpget -On -v2c -c cisco 192.0.2.1 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

# snmpget -On -v2c -c cisco 192.0.2.2 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

Environnement

• Firepower 4112 géré par FMC exécutant FTD en haute disponibilité. D'autres plates-formes matérielles sont également affectées.

• Vue pour la première fois après la mise à niveau du logiciel de la version 7.6.2.1 à la version 7.6.4. D'autres versions peuvent également être affectées.

• Les homologues FTD dans HA sont configurés avec un nom d'hôte système personnalisé et différent à l'aide de la commande CLISH configure network hostname.

Résolution

Les symptômes sont reproduits et documentés dans le bogue Cisco ayant l'ID CSCwt25171.

Si l'intention est de garder le nom d'hôte Lina synchronisé avec le nom d'hôte dans le résultat de la commande show network, alors il y a 2 options de contournement connues :

1. Sur l'homologue affecté, reconfigurez le nom d'hôte souhaité à l'aide de la commande configure network hostname. Cette commande configure le nom d'hôte système et met à jour le nom d'hôte Lina.

2. Redémarrez l'unité concernée. Notez que, selon l'environnement, la configuration et le flux de trafic, l'action de redémarrage peut être risquée et avoir un impact pendant les heures de bureau. La discrétion de l'utilisateur est conseillée.

Motif

Symptômes documentés dans l'ID de bogue Cisco CSCwt25171.

Autres informations utiles

Voici les résultats supplémentaires de la reproduction à l'aide des pare-feu ASA et FTD sécurisés dans des configurations haute disponibilité :

ASA

Le nom d'hôte Lina n'est pas synchronisé de l'unité active à l'unité en veille si l'une de ces conditions est vraie, mais à moins que l'une de ces exceptions ASA se produise : 

1. Si le mode de pare-feu est modifié sur les unités autonomes (il peut s'agir d'unités initialement autonomes ou après la coupure de la haute disponibilité), différents noms d'hôte sont configurés et le basculement est configuré. Si la journalisation est activée, l'unité en veille signale une correspondance de configuration, bien que les noms d'hôte soient initialement différents : 

ASA2# . 
Detected an Active mate Secondary: 
Switching to Ok for reason Detected an Active peer. 
Configuration on Active and Standby is matching. <----- 

 2. Après les modifications apportées à #1, le basculement est suspendu à l’aide de la commande no failover et repris à l’aide de la commande failover. 

Exceptions ASA

Le nom d'hôte Lina est synchronisé si l'une des conditions suivantes est vraie : 

1. Dans le cas de #1, la différence entre les configurations de l'unité est autre que le nom d'hôte. En d'autres termes, si, avec le nom d'hôte, il y a d'autres différences, une synchronisation complète est initiée qui entraîne la synchronisation du nom d'hôte. 

2. L'ASA de secours est mis à niveau ou redémarre. 

3. Le basculement est suspendu (pas de basculement) sur l'unité en veille, certaines modifications apportées sur l'unité active sont synchronisées et le basculement est repris sur l'unité en veille (basculement). En raison des modifications, une synchronisation complète de la configuration a lieu. 

FTD

Le nom d'hôte n'est pas synchronisé de l'unité active à l'unité en veille si l'une de ces conditions est vraie, mais à moins que l'une de ces exceptions FTD se produise : 

1. FTD est en configuration de basculement et sur une unité en veille, l’utilisateur configure un nom d’hôte différent à l’aide de la commande CLISH configure network hostname. 

2. Si des unités autonomes à démarrage initial sont configurées avec des noms d’hôte différents à l’aide de la commande CLISH configure network hostname. 

3. Si le mode de pare-feu sur les unités autonomes (peut être initialement autonome ou après le basculement) est modifié, différents noms d’hôtes sont configurés à l’aide de la commande CLISH configure network hostname, et le basculement est configuré. 

4. Après les modifications apportées à #1-3, la synchronisation se produit si la haute disponibilité est suspendue et reprise, si l'unité en veille redémarre ou si l'unité en veille est mise à niveau vers un correctif ou une version principale (FTD virtuel uniquement).

Exceptions FTD

Le nom d'hôte est synchronisé si l'une des conditions suivantes est vraie : 

1. Dans le cas de #3, la différence entre les configurations des unités est autre que le nom d’hôte. En d’autres termes, si, avec le nom d’hôte, il existe d’autres différences, une synchronisation complète est initiée qui entraîne la synchronisation du nom d’hôte. 

2. L’unité en veille est mise à niveau vers la version principale (à l’exception du FTD virtuel, c’est-à-dire même avec une mise à niveau vers une version principale sur les FTD virtuels, les noms d’hôte ne sont pas synchronisés). 

3. La haute disponibilité est suspendue, la configuration est modifiée sur l'unité active (par exemple, via le déploiement de stratégies) et le basculement est repris. Dans ce cas, en raison d'une différence de configuration entre les unités, la réplication complète de l'unité active vers l'unité en veille, y compris le nom d'hôte, a lieu et synchronise le nom d'hôte.