La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
Questo documento descrive la risoluzione dei problemi per risolvere gli errori di aggiornamento FTD dalle versioni 7.0 alla 7.2, in particolare nelle distribuzioni ad alta disponibilità (HA).
Oltre la metà di questi errori deriva da problemi durante la fase 200_enable_maintenance_mode, con convalide HA esistenti che eseguono principalmente controlli di base dello stato attivo/standby, insufficienti per transizioni HA complete.
Con l'aggiornamento Secure Firewall 7.6, sono state introdotte convalide HA migliorate per affrontare questi problemi. Tali miglioramenti includono controlli approfonditi delle transizioni di stato HA, timeout estesi per i processi di sincronizzazione e funzionalità avanzate di segnalazione degli errori. Questo aggiornamento mira a ridurre in modo significativo i problemi di elevata disponibilità post-aggiornamento e i problemi di aggiornamento complessivi, garantendo un processo di aggiornamento più fluido e affidabile per le installazioni di elevata disponibilità.
Migrazione eseguita da: https://confluence-eng-rtp2.cisco.com/conf/display/IFT/FTD+HA+Upgrade+Failure+Reduction
Convalide HA migliorate per l'aggiornamento FTD:
Rispetto alle versioni precedenti, offre:
Nota: Questa funzionalità si applica solo alle distribuzioni HA FTD gestite da FMC. Questa funzionalità non è applicabile a FTD HA gestito da FDM o a dispositivi in cluster.
Una volta raccolta la risoluzione avanzata dei problemi di HA da entrambe le unità, FMC decide di avviare l'aggiornamento o di bloccarlo sul secondo nodo (unità attiva).
Ogni unità HA genera un file HA avanzato per la risoluzione dei problemi sotto forma di file JSON dopo il riavvio dell'aggiornamento e lo condivide con FMC. Di seguito sono riportati alcuni esempi di convalida in caso di esito negativo o positivo.
File: /ngfw/var/sf/sync/ha/upgrade_troubleshoot
{
"failover_lan" : "NA",
"error_code" : "1046 -
STARTUP_FAILOVER_CONFIG_NOT_PRESENT",
"current_time" : 1701369637,
"peer_HA_state" : "Not Detected",
"FMC_AQ_ID" : "0",
"state_link" : "NA",
"json_time" : "18:40:37 UTC Nov 30 2023",
"my_HA_state" : "Disabled",
"my_HA_role" : "Secondary",
"return_status" : "STATUS_ERROR",
"message" : "Failover config is not present on the startup
config. Device is in standalone state. Please configure failover.",
"peer_HA_role" : "Primary"
}
File: /ngfw/var/sf/sync/ha/upgrade_troubleshoot
{
"return_status" : "STATUS_OK",
"message" : "No Action required.",
"current_time" : 1699526448,
"my_HA_state" : "Standby Ready",
"FMC_AQ_ID" : "0",
"retry_count" : "3",
"error_code" : "0000 - HA_OK",
"peer_HA_role" : "Secondary",
"failover_lan" : "up",
"peer_HA_state" : "Active",
"my_HA_role" : "Primary",
"state_link" : "up",
"json_time" : "10:40:48 UTC Nov 09 2
}
Percorso file JSON per risoluzione avanzata problemi HA:
On FTD: /ngfw/var/sf/sync/ha/upgrade_troubleshoot
On FMC: /var/sf/peers//sync/ha/upgrade_troubleshoot
A volte la risoluzione avanzata dei problemi HA non viene generata a causa dello stato del sistema e il motivo potrebbe essere un'interruzione di connessione o il processo della coda delle azioni è inattivo dopo il riavvio dell'aggiornamento. Se lina o la coda di azioni è inattiva, si tratta di un problema.
In questi casi, verificare se i processi lina e ActionQueue sono in esecuzione utilizzando questo comando in modalità Expert:
pmtool status | grep lina
lina (system) - Running 5503 Indicates Lina is up and running
pmtool status | grep ActionQueueScrape
ActionQueueScrape (system) - Running 5268 Indicates action queue is up and running
In base ai codici di errore, gli errori vengono classificati come indicato di seguito:
stato_ritorno |
codice_errore |
Descrizione |
Meccanismo di nuovo tentativo o recupero |
STATO_OK |
"0000 - HA_OK"(I valori riservati sono compresi tra 0001 e 1023) |
Questo è per lo scenario di successo. (in cui gli stati HA sono Attivo e Pronto per standby) |
(Non applicabile) |
ERRORE_STATO |
"1024:2047 - ERROR_REASON" |
Questo vale per lo scenario di errore (intervento dell'utente) |
Messaggi attivabili da visualizzare per l'utente e il framework di aggiornamento possono aggiungere il meccanismo di ripetizione dei tentativi o di ripristino in futuro (se presente). |
ERRORE_STATO |
"2048:3071 - ERROR_REASON" |
Questo è lo scenario di errore (intervento TAC) |
Per la ricostituzione è necessario l'intervento del TAC. |
Errore |
Messaggio di errore |
Codice di errore |
'FAILOVER_CONFIG_NOT_PRESENCE' |
"Configurazione di failover non presente nel dispositivo" |
"1024" |
'FAILOVER_IS_NOT_ENABLED' |
"Failover non abilitato sul dispositivo. Abilitare il failover" |
"1025" |
'FAILOVER_LAN_DOWN' |
"La LAN di failover non è attiva sul dispositivo" |
"1026" |
'COLLEGAMENTO_STATO_INATTIVO' |
"State Link is down on the device" (Collegamento stato non attivo sul dispositivo) |
"1027" |
'FAILOVER_BLOCK_DEPLETION' |
"Blocca l'esaurimento dei seguenti blocchi nel dispositivo:\n" |
"1028" |
'APP_SYNC_TIMEOUT' |
"Timeout sincronizzazione app nel dispositivo" |
"1029" |
'ERRORE_SINCRONIZZAZIONE_APP_CD' |
"Errore di sincronizzazione dell'app CD rilevato nel dispositivo" |
"1030" |
'CONFIG_SYNC_TIMEOUT' |
"Timeout sincronizzazione configurazione sul dispositivo" |
"1031" |
'FAILED_TO_APPLY_CONFIG' |
"Impossibile applicare la configurazione nel dispositivo" |
"1032" |
'BULK_SYNC_TIMEOUT' |
"Timeout sincronizzazione in blocco sul dispositivo" |
"1033" |
'BULK_SYNC_CLIENT_ISSUE' |
"Controllare i seguenti client nel dispositivo:\n" |
"1034" |
'IFC_CHECK_FAILED' |
"Controllo interfaccia di failover non riuscito sulle seguenti interfacce nel dispositivo:\n" |
"1035" |
'IFC_FAILED_CHECK_VLAN_SPANTREE' |
"Poiché le interfacce sono attive. Verificare che le VLAN siano consentite sul lato dello switch o che si sia verificato un problema nello spanning tree" |
"1036" |
'VERSIONE_NON CORRISPONDENTE' |
"Versione software diversa sull'altro dispositivo" |
"1037" |
'MODE_MISMATCH' |
"Modalità operativa diversa sull'altro dispositivo" |
"1038" |
'LIC_MISMATCH' |
"Licenza diversa sull'altro dispositivo" |
"1039" |
'MANCATA CORRISPONDENZA DI CHASSIS' |
"Configurazione diversa dello chassis sull'altro dispositivo" |
"1040" |
'CARD_MISMATCH' |
"Configurazione scheda diversa sull'altro dispositivo" |
"1041" |
'PEER_NOT_OK' |
"Lo stato del dispositivo è OK. Controlla il dispositivo peer" |
"1042" |
Errore |
Messaggio di errore |
Codice di errore |
'RUN_CMD_FAILED' |
"Impossibile eseguire il comando" |
"2048" |
'LINA_NOT_STARTED' |
"Lina non è stata avviata sul dispositivo. Riprova in seguito" |
"2049"' |
'HWIDB_MISMATCH' |
"L'indice HWIDB sul dispositivo è diverso" |
"2050" |
'BACKPLANE_FAILURE' |
"Errore del backplane sul dispositivo. Controlla il backplane" |
"2051" |
'HA_PROGR_FAILURE' |
"Avanzamento HA non riuscito sul dispositivo" |
"2052" |
'ERRORE_SVM' |
"Modulo del servizio non riuscito sul dispositivo" |
"2053" |
'SVM_MIO_HB_FAILURE' |
"Errore heartbeat tra MIO e App-agent sul dispositivo" |
"2054" |
'SVM_MIO_CRUZ_FAILED' |
"Errore della scheda di rete MIO-blade sul dispositivo" |
"2055" |
'SVM_MIO_HB_CRUZ_FAILED' |
"Errore dell'heartbeat MIO-blade e della scheda di rete sul dispositivo" |
"2056" |
'ERRORE_SCHEDA_SSM' |
"Errore della scheda di servizio nel dispositivo" |
"2057" |
'ERRORE_COMUNICAZIONE_PERSONALE' |
Errore di comunicazione sul dispositivo |
"2058" |
'CRITICO_PROCESSO_MORTO' |
"Il processo critico è morto sul dispositivo" |
"2059" |
'ERRORE_SNORT' |
"Snort non riuscito sul dispositivo" |
"2060" |
'PEER_SVM_FAILURE' |
"Errore del modulo di servizio NGFW sull'altro dispositivo" |
"2061" |
'FAULT_MON_BLOCK_DEP' |
"Il monitoraggio degli errori ha segnalato l'esaurimento del blocco sul dispositivo" |
"2062" |
'ERRORE_DISCO' |
"Errore del disco sul dispositivo" |
"2063" |
'SNORT_DiSK_FAILURE' |
"Errore durante lo snort e il disco sul dispositivo |
"2064" |
'INACTIVE_MATE_FOUND'' |
"Rilevato un partner inattivo durante l'avvio |
"2065" |
'TIMEOUT_SCRIPT' |
"Limite tentativi superato. Chiusura script in corso" |
"2066" |
'ERRORE_SCONOSCIUTO' |
"Impossibile identificare l'errore" |
"2067" |
Questa funzionalità dipende fortemente dal framework della coda di azioni esistente. La funzionalità utilizza la CLI di Lina sottostante per generare i dati di risoluzione avanzata dei problemi HA.
Q: La funzione è applicabile per la funzionalità di ripristino dell'aggiornamento FTD?
A: No. Questa funzione non è applicabile per la funzionalità di ripristino in quanto il ripristino FTD funziona in parallelo, non 1 per 1.
Q: Se l'aggiornamento non riesce in corrispondenza di 200_enable_maintenance_mode.pl, vengono generati i dati per la risoluzione avanzata dei problemi?
A: No. La risoluzione avanzata dei problemi HA viene generata solo dopo il riavvio successivo all'aggiornamento e non durante un errore di aggiornamento
Q: Se l'aggiornamento è bloccato a causa di convalide HA sulla seconda unità, un utente può attivare l'aggiornamento solo sulla seconda unità?
A: Sì. L'utente deve selezionare di nuovo la coppia HA per l'aggiornamento e FMC avvia l'aggiornamento solo su unità non aggiornate.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
27-Jun-2025
|
Versione iniziale |