Distribuzione non riuscita con /31 Subnet su IP interfaccia FTD in standby

Opzioni per il download

PDF (244.6 KB)
Visualizza con Adobe Reader su diversi dispositivi
ePub (83.1 KB)
Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
Mobi (Kindle) (68.0 KB)
Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi

Aggiornato:18 marzo 2026

ID documento:225621

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Sommario

Problema

Sottointerfaccia creata su un canale porta e assegnata all'indirizzo IP x.x.x.x/31 per l'indirizzo IP di standby FTD HA. Tuttavia, quando si distribuisce il criterio da FMC, la distribuzione non riesce in modo coerente con un errore di configurazione.

indirizzo ip x.x.x.240 255.255.255.254 standby x.x.x.241

^

ERRORE: % input non valido rilevato al marcatore '^'.

Errore di configurazione — indirizzo ip x.x.240 255.255.255.254 standby x.x.x.241

Ambiente

Appliance Cisco Firepower FPR-4112 con FTD 7.2 in configurazione ad alta disponibilità
Gestito da Firepower Management Center (FMC)
Versione del software: 7.4.2
Sottointerfaccia configurata sul canale della porta.
Schema di indirizzamento IP: x.x.x.240/31 con IP x.x.x.241 in standby

Risoluzione

L'errore di distribuzione viene risolto modificando la subnet mask da /31 a /30 per qualsiasi interfaccia instradata che richieda un indirizzo IP di standby FTD HA.

Soluzione consigliata

Utilizzare una subnet /30 (255.255.255.252) anziché /31 per qualsiasi interfaccia instradata che richieda un indirizzo IP in standby HA. Una subnet /30 fornisce quattro indirizzi (rete, due indirizzi IP host utilizzabili e broadcast), consentendo la coesistenza di un indirizzo IP attivo e di un indirizzo IP in standby.

Fasi di implementazione

1: Passare dallo schema di indirizzamento /31 corrente a una subnet /30 che fornisce indirizzi IP sufficienti per le configurazioni attiva e in standby.

2: Aggiornare la configurazione dell'interfaccia in Firepower Management Center per utilizzare il nuovo indirizzo di subnet /30.

3: Distribuire la configurazione aggiornata da FMC a entrambi i dispositivi FTD nella coppia HA.

4: Confermare che la distribuzione dei criteri sia stata completata senza errori di configurazione.

Raccomandazioni sulla prevenzione

Utilizzare sempre una subnet /30 o una subnet più grande per le interfacce instradate che richiedono indirizzi IP di standby HA.
Consultare la guida alla configurazione dei dispositivi di Cisco Secure Firewall Management Center prima di progettare gli schemi di indirizzamento IP per le distribuzioni HA.
Utilizzare le subnet /31 solo per i collegamenti point-to-point senza requisiti HA, ad esempio installazioni a nodo singolo o scenari di non failover.

Causa

L'errore di distribuzione è causato dal tentativo di configurare un indirizzo IP di standby su un'interfaccia utilizzando una subnet mask /31 (255.255.255.254).

Una subnet /31 fornisce solo due indirizzi IP utilizzabili (senza indirizzo di rete o broadcast dedicato), il che non lascia spazio per un IP in standby separato in una configurazione HA. In base alla documentazione Cisco, gli indirizzi IP di standby non possono essere configurati sulle interfacce con subnet /31.

La Guida alla configurazione dei dispositivi di Cisco Secure Firewall Management Center indica in modo esplicito: "Per le connessioni punto-punto, è possibile specificare una subnet mask a 31 bit (255.255.255.254 o /31). In questo caso, non verrà riservato alcun indirizzo IP per gli indirizzi di rete o di broadcast. In questo caso non è possibile impostare l'indirizzo IP di standby."