お問い合わせ内容
ポートチャネルで作成され、FTD HAスタンバイIPアドレスにIPアドレスx.x.x.x/31が割り当てられたサブインターフェイス。 ただし、FMCからポリシーを展開する場合、展開は常に構成エラーで失敗します。
ipアドレスx.x.x.240 255.255.255.254 standby x.x.x.241
^
エラー: %無効な入力が'^'マーカーで検出されました。
Config Error:ip address x.x.x.240 255.255.255.254 standby x.x.x.241
環境
- ハイアベイラビリティ設定でFTD 7.2を実行するCisco Firepower FPR-4112アプライアンス
- Firepower Management Center(FMC)による管理
- ソフトウェアバージョン:7.4.2
- ポートチャネルで設定されたサブインターフェイス。
- IPアドレッシング方式:x.x.x.240/31とスタンバイIP x.x.x.241
解決策
FTD HAスタンバイIPアドレスを必要とするルーテッドインターフェイスのサブネットマスクを/31から/30に変更することで、導入の失敗が解決されます。
推奨される解決策
HAスタンバイIPアドレスを必要とするルーテッドインターフェイスには、/31の代わりに/30サブネット(255.255.255.252)を使用します。 /30サブネットは4つのアドレス(ネットワーク、使用可能な2つのホストIP、およびブロードキャスト)を提供し、アクティブIPとスタンバイIPの両方が共存できるようにします。
実装ステップ
1:現在の/31アドレッシング方式から、アクティブとスタンバイの両方の設定に十分なIPアドレスを提供する/30サブネットに変更します。
2:新しい/30サブネットアドレッシングを使用するように、Firepower Management Center(FMC)のインターフェイス設定を更新します。
3:HAペアの両方のFTDデバイスにFMCから更新された設定を導入します。
4:ポリシーの展開が構成エラーなしで正常に完了することを確認します。
予防に関する推奨事項
- HAスタンバイIPアドレスを必要とするルーテッドインターフェイスには、常に/30以上のサブネットを使用します。
- HA導入のIPアドレッシング方式を設計する前に、『Cisco Secure Firewall Management Centerデバイス設定ガイド』を参照してください。
- /31サブネットは、HA要件のないポイントツーポイントリンクにのみ使用します(シングルノード導入または非フェールオーバーシナリオなど)。
原因
展開の失敗は、/31サブネットマスク(255.255.255.254)を使用して、インターフェイスにスタンバイIPアドレスを設定しようとしたことが原因です。
/31サブネットは、使用可能なIPアドレスを2つだけ提供します(専用ネットワークまたはブロードキャストアドレスなし)。これにより、HA構成で個別のスタンバイIP用のスペースが空くことはありません。シスコのドキュメントによると、スタンバイIPアドレスは/31サブネットのインターフェイスでは設定できません。
『Cisco Secure Firewall Management Center Device Configuration Guide』では、「For point-to-point connections, you can specify a 31-bit subnet mask (255.255.255.254または/31). この場合、ネットワークアドレスまたはブロードキャストアドレス用に予約されたIPアドレスはありません。この場合、スタンバイIPアドレスは設定できません。」
関連コンテンツ
フィードバック