Distribuzione non riuscita con /31 Subnet su IP interfaccia FTD in standby
Problema
Sottointerfaccia creata su un canale porta e assegnata all'indirizzo IP x.x.x.x/31 per l'indirizzo IP di standby FTD HA. Tuttavia, quando si distribuisce il criterio da FMC, la distribuzione non riesce in modo coerente con un errore di configurazione.
indirizzo ip x.x.x.240 255.255.255.254 standby x.x.x.241
^
ERRORE: % input non valido rilevato al marcatore '^'.
Errore di configurazione — indirizzo ip x.x.240 255.255.255.254 standby x.x.x.241
Ambiente
- Appliance Cisco Firepower FPR-4112 con FTD 7.2 in configurazione ad alta disponibilità
- Gestito da Firepower Management Center (FMC)
- Versione del software: 7.4.2
- Sottointerfaccia configurata sul canale della porta.
- Schema di indirizzamento IP: x.x.x.240/31 con IP x.x.x.241 in standby
Risoluzione
L'errore di distribuzione viene risolto modificando la subnet mask da /31 a /30 per qualsiasi interfaccia instradata che richieda un indirizzo IP di standby FTD HA.
Soluzione consigliata
Utilizzare una subnet /30 (255.255.255.252) anziché /31 per qualsiasi interfaccia instradata che richieda un indirizzo IP in standby HA. Una subnet /30 fornisce quattro indirizzi (rete, due indirizzi IP host utilizzabili e broadcast), consentendo la coesistenza di un indirizzo IP attivo e di un indirizzo IP in standby.
Fasi di implementazione
1: Passare dallo schema di indirizzamento /31 corrente a una subnet /30 che fornisce indirizzi IP sufficienti per le configurazioni attiva e in standby.
2: Aggiornare la configurazione dell'interfaccia in Firepower Management Center per utilizzare il nuovo indirizzo di subnet /30.
3: Distribuire la configurazione aggiornata da FMC a entrambi i dispositivi FTD nella coppia HA.
4: Confermare che la distribuzione dei criteri sia stata completata senza errori di configurazione.
Raccomandazioni sulla prevenzione
- Utilizzare sempre una subnet /30 o una subnet più grande per le interfacce instradate che richiedono indirizzi IP di standby HA.
- Consultare la guida alla configurazione dei dispositivi di Cisco Secure Firewall Management Center prima di progettare gli schemi di indirizzamento IP per le distribuzioni HA.
- Utilizzare le subnet /31 solo per i collegamenti point-to-point senza requisiti HA, ad esempio installazioni a nodo singolo o scenari di non failover.
Causa
L'errore di distribuzione è causato dal tentativo di configurare un indirizzo IP di standby su un'interfaccia utilizzando una subnet mask /31 (255.255.255.254).
Una subnet /31 fornisce solo due indirizzi IP utilizzabili (senza indirizzo di rete o broadcast dedicato), il che non lascia spazio per un IP in standby separato in una configurazione HA. In base alla documentazione Cisco, gli indirizzi IP di standby non possono essere configurati sulle interfacce con subnet /31.
La Guida alla configurazione dei dispositivi di Cisco Secure Firewall Management Center indica in modo esplicito: "Per le connessioni punto-punto, è possibile specificare una subnet mask a 31 bit (255.255.255.254 o /31). In questo caso, non verrà riservato alcun indirizzo IP per gli indirizzi di rete o di broadcast. In questo caso non è possibile impostare l'indirizzo IP di standby."
Contenuto correlato
- Guida alla configurazione dei dispositivi di Cisco Secure Firewall Management Center, 7.4
- Supporto tecnico Cisco e download
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
2.0 |
16-Apr-2026
|
Release iniziale, ricertificazione. |
1.0 |
18-Mar-2026
|
Versione iniziale |
Feedback