ソフトウェアアップグレード後のFTDフェールオーバーユニット間でLINAホスト名同期に一貫性がない場合のトラブルシューティング

お問い合わせ内容

ハイアベイラビリティ(HA)設定のSecure Firewall Threat Defense(FTD)でのソフトウェアアップグレード後に、次の症状が発生します。

1. 回線ホスト名が、configure network hostname CLISHコマンド(この記事ではシステムホスト名と呼ぶ)を使用して事前に設定されたエキスパートモードのホスト名と一致しない。 Lina hostnameは、ピアのシステムホスト名と一致します。 この例では、システムホスト名がFPR1100-2のユニットは、Linaホスト名がFPR1100-1です。

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-2         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1      <--- Lina hostname is different than the system hostname

ピアユニット：

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-1         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1     <--- Lina hostname 

2. 前述の例に基づき、ユニットのアップグレード前の状態に応じて、Linaホスト名は次のように変わります。

2.1 – シナリオ1

• アップグレード前の状態：システムホスト名FPR1100-1のユニットはプライマリ/アクティブで、FPR1100-2はセカンダリ/スタンバイです。 

• アップグレード後の状態：両方のユニットのLinaホスト名はFPR1100-1。

2.2 – シナリオ2

• アップグレード前の状態：システムホスト名FPR1100-1のユニットはプライマリ/スタンバイ、FPR1100-2はセカンダリ/アクティブです。 

• アップグレード後の状態：両方のユニットのLinaホスト名はFPR1100-2。

また、Simple Network Monitoring Protocol(SNMP)Object Identifier（OID；オブジェクト識別子）.1.3.6.1.2.1.1.5.0を使用して各HAピアのホスト名をポーリングすると、同じ値が返されます。

例：

# snmpget -On -v2c -c cisco 192.0.2.1 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

# snmpget -On -v2c -c cisco 192.0.2.2 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

環境

要　件

製品の基礎知識

使用するコンポーネント

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• HAでFTDを実行するFMC管理対象のFirepower 4112。 他のハードウェアプラットフォームも影響を受けます。

• 最初に見られるのは、バージョン7.6.2.1から7.6.4へのソフトウェアアップグレード後です。 他のバージョンも影響を受ける可能性があります。

• HA内のFTDピアは、CLISH configure network hostnameコマンドを使用して、カスタムの異なるシステムホスト名で設定されます。

解決策

症状は再現されており、Cisco Bug ID CSCwt25171に記載されています。

回線ホスト名をshow networkコマンドの出力に表示されるホスト名と同期させる場合は、既知の回避策として次の2つのオプションがあります。

1. 影響を受けるピアで、configure network hostnameコマンドを使用して、目的のホスト名を再設定します。 このコマンドは、システムホスト名を設定し、回線ホスト名を更新します。

2. 該当するユニットをリブートします。 環境によっては、設定やトラフィックフローによっては、再起動の操作が業務時間中にリスクを伴い、影響を及ぼす可能性があることに注意してください。 ユーザの裁量が推奨されます。

原因

この症状はCisco Bug ID CSCwt25171に記載されています。

関連コンテンツ

ホスト名は、アクティブユニットからスタンバイユニットに同期されません（これらのいずれかが該当する場合）。ただし、次のFTD例外のいずれかが発生しない限り同期されません。 

1. FTDはフェールオーバーコンフィギュレーションにあり、スタンバイユニットで、ユーザはCLISHコマンドconfigure network hostnameを使用して、異なるホスト名を設定します。 

2. 初期ブートストラップされたスタンドアロンユニットが、CLISHコマンドconfigure network hostnameを使用して、異なるホスト名で設定されている場合。 

3. スタンドアロンユニット（最初はスタンドアロンか、またはフェールオーバーを中断した後）でファイアウォールモードを変更する場合、CLISH configure network hostnameコマンドを使用して異なるホスト名を設定し、フェールオーバーを設定します。 

4. #1-3の変更後、HAが中断されて再開された場合、またはスタンバイユニットがリブートした場合、またはスタンバイユニットがパッチまたはメジャーバージョンにアップグレードされた場合（仮想FTDのみ）、同期が行われます。

例外

次のいずれかに該当する場合は、同期されるホスト名。 

1.#3の場合、ユニットのコンフィギュレーションの違いは、ホスト名以外になります。 つまり、ホスト名とともに他の違いがある場合は、完全な同期が開始され、結果としてホスト名の同期が行われます。 

2. スタンバイユニットがメジャーバージョンにアップグレードされる（仮想FTDを除く。仮想FTDのホスト名が同期されない場合は、仮想FTDのメジャーバージョンへのアップグレードも含む）。 

3. HAが中断され、アクティブユニットで設定が変更され（ポリシーの導入などによって）、フェールオーバーが再開されます。 この場合、ユニット間の設定の違いにより、ホスト名を含むアクティブユニットからスタンバイユニットへの完全な複製が行われ、ホスト名が同期されます。