ソフトウェアアップグレード後のASA/FTDフェールオーバーユニット間でのLINAホスト名同期に一貫性がない場合のトラブルシューティング

お問い合わせ内容

ハイアベイラビリティ(HA)設定のSecure Firewall Threat Defense(FTD)でのソフトウェアアップグレード後に、次の症状が発生します。

1. 回線ホスト名が、configure network hostname CLISHコマンド(この記事ではシステムホスト名と呼ぶ)を使用して事前に設定されたエキスパートモードのホスト名と一致しない。 Lina hostnameは、ピアのシステムホスト名と一致します。 この例では、システムホスト名がFPR1100-2のユニットは、Linaホスト名がFPR1100-1です。

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-2     <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1  <--- Lina hostname is different than the system hostname

ピアユニット：

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-1         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1     <--- Lina hostname 

2. 前述の例に基づき、ユニットのアップグレード前の状態に応じて、Linaホスト名は次のように変わります。

2.1 – シナリオ1

• アップグレード前の状態：システムホスト名FPR1100-1のユニットはプライマリ/アクティブで、FPR1100-2はセカンダリ/スタンバイです。 

• アップグレード後の状態：両方のユニットのLinaホスト名はFPR1100-1。

2.2 – シナリオ2

• アップグレード前の状態：システムホスト名FPR1100-1のユニットはプライマリ/スタンバイ、FPR1100-2はセカンダリ/アクティブです。 

• アップグレード後の状態：両方のユニットのLinaホスト名はFPR1100-2。

また、Simple Network Monitoring Protocol(SNMP)Object Identifier（OID；オブジェクト識別子）.1.3.6.1.2.1.1.5.0を使用して各HAピアのホスト名をポーリングすると、同じ値が返されます。

例：

# snmpget -On -v2c -c cisco 192.0.2.1 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

# snmpget -On -v2c -c cisco 192.0.2.2 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

環境

• HAでFTDを実行するFMC管理対象のFirepower 4112。 他のハードウェアプラットフォームも影響を受けます。

• 最初に見られるのは、バージョン7.6.2.1から7.6.4へのソフトウェアアップグレード後です。 他のバージョンも影響を受ける可能性があります。

• HA内のFTDピアは、CLISH configure network hostnameコマンドを使用して、カスタムの異なるシステムホスト名で設定されます。

解決策

この症状は再現されており、Cisco Bug ID CSCwt25171に記載されています。

回線ホスト名をshow networkコマンドの出力に表示されるホスト名と同期させる場合は、既知の回避策として次の2つのオプションがあります。

1. 影響を受けるピアで、configure network hostnameコマンドを使用して、目的のホスト名を再設定します。 このコマンドは、システムホスト名を設定し、回線ホスト名を更新します。

2. 該当するユニットをリブートします。 環境によっては、設定やトラフィックフローによっては、再起動の操作が業務時間中にリスクを伴い、影響を及ぼす可能性があることに注意してください。 ユーザの裁量が推奨されます。

原因

この症状はCisco Bug ID CSCwt25171に記載されています。

関連コンテンツ

ハイアベイラビリティ設定でセキュアファイアウォールASAおよびFTDを使用した再現から得られた追加の所見を次に示します。

ASA

Linaホスト名は、アクティブユニットからスタンバイユニットへの同期は行われません。ただし、次のASA例外のいずれかが発生しない限り行われます。 

1. スタンドアロンユニット（最初はスタンドアロン、またはHAの解除後）でファイアウォールモードを変更した場合、異なるホスト名が設定され、フェールオーバーが設定されます。 ロギングが有効な場合、スタンバイユニットでは設定一致が報告されますが、最初はホスト名が異なります。 

ASA2# . 
Detected an Active mate Secondary: 
Switching to Ok for reason Detected an Active peer. 
Configuration on Active and Standby is matching. <----- 

 2. #1の変更後、フェールオーバーはno failoverコマンドを使用して中断され、failoverコマンドを使用して再開されます。 

ASAの例外

Linaホスト名は、次のいずれかが該当する場合に同期されます。 

1. #1の場合、ユニットの設定の違いはホスト名以外になります。 つまり、ホスト名とともに他の違いがある場合は、完全な同期が開始され、結果としてホスト名の同期が行われます。 

2. スタンバイASAがアップグレードまたはリブートされます。 

3. スタンバイユニットでフェールオーバーが一時停止され（フェールオーバーなし）、アクティブ側で行われた一部の変更が同期され、スタンバイ側でフェールオーバーが再開されます（フェールオーバー）。 変更により、完全な設定の同期が行われます。 

FTD

ホスト名は、アクティブユニットからスタンバイユニットに同期されません（これらのいずれかが該当する場合）。ただし、次のFTD例外のいずれかが発生しない限り同期されません。 

1. FTDはフェールオーバーコンフィギュレーションにあり、スタンバイユニットで、ユーザはCLISHコマンドconfigure network hostnameを使用して、異なるホスト名を設定します。 

2. 初期ブートストラップされたスタンドアロンユニットが、CLISHコマンドconfigure network hostnameを使用して、異なるホスト名で設定されている場合。 

3. スタンドアロンユニット（最初はスタンドアロンか、またはフェールオーバーを中断した後）でファイアウォールモードを変更する場合、CLISH configure network hostnameコマンドを使用して異なるホスト名を設定し、フェールオーバーを設定します。 

4. #1-3の変更後、HAが中断されて再開された場合、またはスタンバイユニットがリブートした場合、またはスタンバイユニットがパッチまたはメジャーバージョンにアップグレードされた場合（仮想FTDのみ）、同期が行われます。

FTD例外

次のいずれかに該当する場合は、同期されるホスト名。 

1.#3の場合、ユニットのコンフィギュレーションの違いは、ホスト名以外になります。 つまり、ホスト名とともに他の違いがある場合は、完全な同期が開始され、結果としてホスト名の同期が行われます。 

2. スタンバイユニットがメジャーバージョンにアップグレードされる（仮想FTDを除く。仮想FTDのホスト名が同期されない場合は、仮想FTDのメジャーバージョンへのアップグレードも含む）。 

3. HAが中断され、アクティブユニットで設定が変更され（ポリシーの導入などによって）、フェールオーバーが再開されます。 この場合、ユニット間の設定の違いにより、ホスト名を含むアクティブユニットからスタンバイユニットへの完全な複製が行われ、ホスト名が同期されます。