Échec du déploiement FTD de cdFMC en raison de l'interface
Table des matières
Problème
Le Firepower Management Center (cdFMC) fourni dans le cloud ne parvient pas à déployer les modifications de configuration sur le périphérique. Le déploiement échoue régulièrement à environ 10 % de progression avec le message d'erreur suivant : "Le déploiement a échoué en raison d'une erreur dans la génération de la configuration pour le périphérique. Si le problème persiste après une nouvelle tentative, contactez le TAC Cisco."
Le problème a été initialement déclenché lors d'une tentative de configuration d'un VPN site à site d'interface de tunnel virtuel (VTI). Cependant, la restauration de la configuration VPN n'a pas résolu l'échec du déploiement et seul un périphérique spécifique a été affecté tandis que d'autres périphériques gérés ont continué à se déployer avec succès.
Environnement
Périphérique Cisco Secure Firewall 1140 (FPR1140) exécutant FTD version 7.4.2 géré par cdFMC 10.0.93
Configurations CdFMC et FTD autonomes
Configuration VPN site à site VTI et tentative de suppression ayant déclenché le problème
Résolution
L'échec de déploiement a été résolu en effectuant une modification factice de l'état de l'interface de gestion entre le cdFMC et le périphérique FTD affecté. Ce processus impliquait la désintégration et la fusion de l'interface de gestion FTD de l'interface utilisateur cdFMC.
Étapes de dépannage effectuées
1: Analyse de l'historique du déploiement, de l'aperçu et de la transcription du déploiement pour confirmer que l'échec s'est produit pendant la phase de génération de la configuration avec une progression d'environ 10 %.
===============FMC DEPLOY===============
DEVICE SNAPSHOT ERROR: "Deployment halted due to interface data inconsistency in Firewall Management Center" "Deployment halted due to interface data inconsistency in Firewall Management Center at /usr/local/sf/lib/perl/5.34.3/SF/UMPD/Plugins/NGFWPolicy/Manager.pm line 254.
SF::UMPD::Plugins::NGFWPolicy::Manager::populateDeviceSnapshot(<SF::UMPD::Snapshot>, <SF::UMPD::CSMData>, <SF::UMPD::Snapshot>, "UUID", undef) called at /usr/local/sf/lib/perl/5.34.3/SF/UMPD/Plugin.pm line 236
SF::UMPD::Plugin::execute("SF::UMPD::Plugins::NGFWPolicy::Manager", "populateDeviceSnapshot", <SF::UMPD::Snapshot>, <SF::UMPD::CSMData>, <SF::UMPD::Snapshot>, "UUID", undef) called at /usr/local/sf/lib/perl/5.34.3/SF/UMPD/Framework.pm line 819
SF::UMPD::Framework::populateDeviceSnapshot("/var/cisco/umpd/51539718357/DC_policy_deployment.db", "/var/cisco/umpd/51539718357/UUID"..., "UUID") called at -e line 1" at UMPD->Plugins->NGFWPolicy
===============TRANSACTION INFO===============
Transaction ID: 51539718357
Device UUID: UUID
Transaction ID: 51539718357
Selected policy group list: Prefilter Policy, Access Control Policy, NGFW Interface, NGFW Automatic Application Bypass, FlexConfig Policy, NGFW Inline-set, BGP Routing Policy, DDNS, SNMP Policy, Static Route Policy, Multicast Boundary Filter Policy, OSPFv3 Routing Policy, IGMP Multicast Routing Policy, OSPF Routing Policy, Virtual Router, ECMP Zone, DHCP Server, PIM Multicast Routing Policy, IPv6 Static Route Policy, DHCP Relay, EIGRP Routing Policy, Multicast Route Policy, RIP Routing Policy, Nat Policy, NGFW Settings, Remote Access VPN, Site to Site VPN, Site to Site VPN, Network Discovery, Intrusion Policy, NGFW Policy, Network Analysis Policy, DNS Policy
2: Collecte des fichiers de dépannage et de compression depuis le CdFMC et le périphérique FTD affecté pour identifier la cause première de l'échec du déploiement.
Mar 25 17:26:14 CDFMC mojo_server.pl[20297]: DEVICE SNAPSHOT ERROR: "Deployment halted due to interface data inconsistency in Firewall Management Center" "
Mar 25 17:26:14 CDFMC mojo_server.pl[20297]: Deployment halted due to interface data inconsistency in Firewall Management Center at /usr/local/sf/lib/perl/5.34.3/SF/UMPD/Plugins/NGFWPolicy/Manager.pm line 254.
Mar 25 17:26:14 CDFMC mojo_server.pl[20297]: SF::UMPD::Plugins::NGFWPolicy::Manager::populateDeviceSnapshot(<SF::UMPD::Snapshot>, <SF::UMPD::CSMData>, <SF::UMPD::Snapshot>, "UUID", undef) called at /usr/local/sf/lib/perl/5.34.3/SF/UMPD/Plugin.pm line 236
Mar 25 17:26:14 CDFMC mojo_server.pl[20297]: SF::UMPD::Plugin::execute("SF::UMPD::Plugins::NGFWPolicy::Manager", "populateDeviceSnapshot", <SF::UMPD::Snapshot>, <SF::UMPD::CSMData>, <SF::UMPD::Snapshot>, "f0d39b4e-1a4a-11f0-a43d-a7dc4a47302f", undef) called at /usr/local/sf/lib/perl/5.34.3/SF/UMPD/Framework.pm line 819
Mar 25 17:26:14 CDFMC mojo_server.pl[20297]: SF::UMPD::Framework::populateDeviceSnapshot("/var/cisco/umpd/51539678480/DC_policy_deployment.db", "/var/cisco/umpd/51539678480/UUID"..., "UUID") called at -e line 1" at UMPD->Plugins->NGFWPolicy
3: L'analyse interne a identifié des anomalies liées à l'état de l'interface de gestion FTD par défaut ID de bogue Cisco CSCwt46144, qui se sont produites après la mise à niveau logicielle de 7.2.4 à 7.4.2.
Étapes de résolution
1: Si le problème provient de l'interface de gestion, vérifiez à partir de l'interface de ligne de commande FTD ou de l'interface cdFMC si le FTD dispose d'une interface convergente. Si c'est le cas, l'interface de gestion doit être défusionnée et re-fusionnée car les modifications factices ne sont pas possibles sur une interface convergée.
Remarque : Pour toutes les autres interfaces qui pourraient causer ce défaut, la solution de contournement est de déployer une « modification factice » pour l'interface spécifiée.
> show management-interface convergence
management-interface convergence
>
2: Accédez à cdFMC UI Devices > Device Management, cliquez sur Edit (modifier l'icône) pour votre pare-feu Firewall Threat Defense et annulez la fusion de l'interface de gestion des périphériques FTD affectée pour réinitialiser l'état de gestion des périphériques. Pour l'interface de gestion, cliquez sur Unmerge Management Interface (Unmerge Management Interface).
L’interface est rétablie à Diagnostic0/0.
2: Refusionnez l'interface de gestion FTD de l'interface utilisateur cdFMC pour resynchroniser l'état de gestion du périphérique avec cdFMC.
3: Exécuter un déploiement complet de toutes les modifications de configuration en attente une fois l'opération de nouvelle fusion terminée.
4: Vérifiez que le déploiement s'est déroulé sans erreur et que toutes les modifications de configuration sont correctement appliquées au périphérique FTD.
Motif
Le problème a été causé par le bogue Cisco ayant l'ID CSCwt46144. Un état d'interface de gestion obsolète et incohérent sur le périphérique FTD affecté a été introduit après la mise à niveau logicielle de la version 7.2.4 à la version 7.4.2. Cette incohérence a empêché le CdFMC de créer et de pousser correctement la configuration spécifique au périphérique, ce qui a entraîné un échec de déploiement précoce pendant la phase de génération de la configuration. L'anomalie d'état de l'interface de gestion affecte spécifiquement la communication et la synchronisation entre le CdFMC et le périphérique FTD, provoquant l'échec du processus de déploiement avant que toute modification de configuration puisse être appliquée au périphérique cible.
Le défaut est propre aux périphériques cdFMC et doit être résolu dans la prochaine version 10.0.94 de cdFMC.
Autres informations utiles
ID de bogue Cisco CSCwt46144 - Échec du déploiement de la stratégie à 10 % avec erreur - Le déploiement a été interrompu en raison d'une incohérence des données d'interface dans Firewall Management Center
Configuration de la fusion de l'interface de gestion et de diagnostic dans FMC
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
26-May-2026
|
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)