スタンバイFTDインターフェイスIPの/31サブネットで展開が失敗する

お問い合わせ内容

ポートチャネルで作成され、FTD HAスタンバイIPアドレスにIPアドレスx.x.x.x/31が割り当てられたサブインターフェイス。 ただし、FMCからポリシーを展開する場合、展開は常に構成エラーで失敗します。

ipアドレスx.x.x.240 255.255.255.254 standby x.x.x.241

^

エラー： %無効な入力が'^'マーカーで検出されました。

Config Error:ip address x.x.x.240 255.255.255.254 standby x.x.x.241

環境

• ハイアベイラビリティ設定でFTD 7.2を実行するCisco Firepower FPR-4112アプライアンス
• Firepower Management Center(FMC)による管理
• ソフトウェアバージョン：7.4.2
• ポートチャネルで設定されたサブインターフェイス。
• IPアドレッシング方式：x.x.x.240/31とスタンバイIP x.x.x.241

解決策

FTD HAスタンバイIPアドレスを必要とするルーテッドインターフェイスのサブネットマスクを/31から/30に変更することで、導入の失敗が解決されます。

推奨される解決策

HAスタンバイIPアドレスを必要とするルーテッドインターフェイスには、/31の代わりに/30サブネット(255.255.255.252)を使用します。 /30サブネットは4つのアドレス（ネットワーク、使用可能な2つのホストIP、およびブロードキャスト）を提供し、アクティブIPとスタンバイIPの両方が共存できるようにします。

実装ステップ

1：現在の/31アドレッシング方式から、アクティブとスタンバイの両方の設定に十分なIPアドレスを提供する/30サブネットに変更します。

2：新しい/30サブネットアドレッシングを使用するように、Firepower Management Center(FMC)のインターフェイス設定を更新します。

3:HAペアの両方のFTDデバイスにFMCから更新された設定を導入します。

4：ポリシーの展開が構成エラーなしで正常に完了することを確認します。

予防に関する推奨事項

• HAスタンバイIPアドレスを必要とするルーテッドインターフェイスには、常に/30以上のサブネットを使用します。
• HA導入のIPアドレッシング方式を設計する前に、『Cisco Secure Firewall Management Centerデバイス設定ガイド』を参照してください。
• /31サブネットは、HA要件のないポイントツーポイントリンクにのみ使用します（シングルノード導入または非フェールオーバーシナリオなど）。

原因

展開の失敗は、/31サブネットマスク(255.255.255.254)を使用して、インターフェイスにスタンバイIPアドレスを設定しようとしたことが原因です。

/31サブネットは、使用可能なIPアドレスを2つだけ提供します（専用ネットワークまたはブロードキャストアドレスなし）。これにより、HA構成で個別のスタンバイIP用のスペースが空くことはありません。シスコのドキュメントによると、スタンバイIPアドレスは/31サブネットのインターフェイスでは設定できません。

『Cisco Secure Firewall Management Center Device Configuration Guide』では、「For point-to-point connections, you can specify a 31-bit subnet mask （255.255.255.254または/31）. この場合、ネットワークアドレスまたはブロードキャストアドレス用に予約されたIPアドレスはありません。この場合、スタンバイIPアドレスは設定できません。」

関連コンテンツ

• Cisco Secure Firewall Management Centerデバイス設定ガイド、7.4
• シスコのテクニカルサポートとダウンロード