Risolvere i problemi relativi alla sincronizzazione dei nomi host LINA non coerente tra le unità di failover FTD dopo l'aggiornamento del software

Problema

Dopo l'aggiornamento del software su Secure Firewall Threat Defense (FTD) in una configurazione ad alta disponibilità (HA), vengono osservati i seguenti sintomi:

1. Il nome host Lina non corrisponde al nome host della modalità Expert configurato in precedenza utilizzando il comando configure network hostname CLISH, che in questo articolo viene indicato come nome host del sistema. Il nome host Lina corrisponde al nome host del sistema del peer. In questo esempio, l'unità con il nome host del sistema FPR1100-2 ha FPR1100-1 come nome host Lina:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-2         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1      <--- Lina hostname is different than the system hostname

Unità peer:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-1         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1     <--- Lina hostname 

2. In base all'esempio precedente, a seconda dello stato precedente l'aggiornamento delle unità, il nome host Lina cambia come segue:

2. 1 - Scenario 1

• Stato pre-aggiornamento: l'unità con il nome host del sistema FPR1100-1 è primaria/attiva e FPR1100-2 è secondaria/in standby. 

• Stato post-aggiornamento: il nome host Lina su entrambe le unità è FPR1100-1.

2.2 - Scenario 2

• Stato pre-aggiornamento: l'unità con il nome host del sistema FPR1100-1 è primaria/standby, FPR1100-2 è secondaria/attiva. 

• Stato post-aggiornamento: il nome host Lina su entrambe le unità è FPR1100-2.

Inoltre, il polling dei nomi host di ciascun peer HA tramite l'identificatore di oggetto SNMP (Simple Network Monitoring Protocol) .1.3.6.1.2.1.1.5.0 restituisce lo stesso valore.

Ad esempio:

# snmpget -On -v2c -c cisco 192.0.2.1 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

# snmpget -On -v2c -c cisco 192.0.2.2 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

Ambiente

Requisiti

Conoscenze base dei prodotti.

Componenti usati

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• Firepower 4112 gestito da FMC con FTD in HA. Sono interessate anche altre piattaforme hardware.

• Visualizzato per la prima volta dopo l'aggiornamento del software dalla versione 7.6.2.1 alla 7.6.4. Il problema può riguardare anche altre versioni.

• I peer FTD in HA sono configurati con un nome host di sistema personalizzato e diverso usando il comando CLISH configure network hostname.

Risoluzione

I sintomi vengono riprodotti e documentati nell'ID bug Cisco CSCwt25171.

Se si desidera mantenere la sincronizzazione di Lina hostname con il nome host nell'output del comando show network, sono disponibili due opzioni di soluzione alternativa note:

1. Sul peer interessato, riconfigurare il nome host desiderato utilizzando il comando configure network hostname. Questo comando configura il nome host del sistema e aggiorna il nome host Lina.

2. Riavviare l'unità interessata. Tenere presente che, a seconda dell'ambiente, della configurazione e del flusso del traffico, l'azione di riavvio può essere rischiosa e influire sull'utente durante l'orario di lavoro.

Causa

I sintomi sono documentati nell'ID bug Cisco CSCwt25171.

Contenuto correlato

Il nome host non viene sincronizzato dall'unità attiva all'unità in standby se una di queste condizioni è vera, ma a meno che non si verifichi una delle seguenti eccezioni FTD: 

1. FTD è in configurazione di failover e sull'unità di standby l'utente configura un nome host diverso utilizzando il comando CLISH configure network hostname. 

2. Se le unità autonome avviate inizialmente sono configurate con nomi host diversi utilizzando il comando CLISH, configurare il nome host della rete. 

3. Se si modifica la modalità firewall su unità autonome (inizialmente potrebbe essere autonoma o dopo aver interrotto il failover), vengono configurati nomi host diversi utilizzando il comando CLISH configure network hostname e viene configurato il failover. 

4. Dopo le modifiche in #1-3, la sincronizzazione si verifica se HA è sospeso e ripreso, o se l'unità di standby si riavvia, o se l'unità di standby viene aggiornata a una patch o a una versione principale (solo FTD virtuale).

Eccezioni

Il nome host sincronizzato se una delle seguenti condizioni è vera: 

1. Nel caso n. 3, la differenza tra le configurazioni delle unità è diversa da hostname. In altre parole, se insieme a hostname sono presenti altre differenze, viene avviata la sincronizzazione completa che determina la sincronizzazione di hostname. 

2. L'unità in standby viene aggiornata alla versione principale (ad eccezione dell'FTD virtuale, che è anche con un aggiornamento a una versione principale su FTD virtuali i nomi host non sono sincronizzati). 

3. La disponibilità elevata è sospesa, la configurazione viene modificata sull'unità attiva (ad esempio tramite la distribuzione dei criteri) e il failover viene ripreso. In questo caso, a causa della differenza di configurazione tra le unità, viene eseguita la replica completa dall'unità attiva allo standby, incluso il nome host, e il nome host viene sincronizzato.