セキュアファイアウォールFTD高可用性同期インターフェイスチェックの失敗

ダウンロード オプション

  • PDF     (323.5 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
Updated: 2026 年 5 月 5 日
Document ID:225852

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

内容

お問い合わせ内容

ハイアベイラビリティ(HA)ペアのFTDは、常に障害状態で表示されていました。ユニット間のIP接続が成功したにもかかわらず、HAピア間で設定の同期が完了しませんでした。この導入は、まだ実稼働していないCisco Secure Firewall Threat Defenseソフトウェアを実行する新しい実装でした。

この問題は、プライマリユニットを最終的な場所に移動し、最初にHAペアを解除せずに管理IPアドレスを変更した後に発生しました。HAプロセスが、モニタ対象のデータインターフェイスで失敗したインターフェイスチェックを検出しました。これにより、HA状態評価ロジックがトリガーされ、プライマリユニットが失敗ロールに配置されました。

環境

  • FMCで管理されるセキュアファイアウォールFTD HA

  • 移行アクティビティの新規導入(まだ実稼働環境に導入されていない)

解決策

この問題を解決するには、誤った障害の検出を防ぐために、選択したデータインターフェイスをHAインターフェイスモニタリング設定から削除する必要がありました。

実施されたトラブルシューティング手順

1:トラブルシューティングデータにより、監視対象のデータインターフェイスでHAインターフェイスチェックの障害が確認されましたが、HAピア接続(ハートビートおよびping)は機能し続けました。

device# show failover
Failover On 
Failover unit Primary
Failover LAN Interface: FailOver Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 5 of 776 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.20(2)121, Mate 9.20(2)121
Serial Number: Ours SERIAL#, Mate SERIAL#
Last Failover at: 17:14:25 UTC Mar 16 2026
	This host: Primary - Failed 
		Active time: 0 (sec)
		slot 0: FPR-1120 hw/sw rev (2.0/9.20(2)121) status (Up Sys)
		  Interface To-DC1-ACC (0.0.0.0): No Link (Waiting)
		  Interface To-DC1-WAN (0.0.0.0): No Link (Waiting)
		  Interface management (203.0.113.131/fe80::a610:b6ff:fe3d:e101): Normal (Monitored)
		slot 1: snort rev (1.0)  status (up)
		slot 2: diskstatus rev (1.0)  status (up)
	Other host: Secondary - Active 
		Active time: 184688 (sec)
		  Interface To-DC1-ACC (0.0.0.0): No Link (Waiting)
		  Interface To-DC1-WAN (10.230.2.2): Normal (Waiting)
		  Interface management (203.0.113.130/fe80::6ae5:9eff:fee6:d681): Normal (Monitored)
		slot 1: snort rev (1.0)  status (up)
		slot 2: diskstatus rev (1.0)  status (up)

2:HA状態の遷移が、管理プレーンの接続の問題ではなく、インターフェイスの監視結果に基づいて発生していることを確認しました。

device# show failover history
17:16:51 UTC Mar 16 2026
Standby Ready              Failed                     Interface check
                                                      This host:2
                                                      single_vf: To-DC1-ACC
                                                      single_vf: To-DC1-WAN
                                                      Other host:1
                                                      single_vf: To-DC1-ACC

構成変更

1:HA設定が更新され、影響を受けるデータインターフェイスがインターフェイスのヘルスモニタリングから除外され、誤った障害検出が防止されました。

2:設定の変更後、プライマリFTDがStandby Readyステータスに正常に移行し、適切なHA同期と状態の安定性が確認されました。

3:HAフェールオーバーテストが正常に完了し、予期された結果が得られました。変更後のHA設定の安定性を検証します。

予想される動作の明確化

トラブルシューティング中に観察される次の動作は、予期される動作であり、設計上は次のとおりです。

  • FTDピアでのホスト名の重複:アクティブユニットのホスト名はシステム全体で表示されるため(機能拡張要求CSCwe31354で追跡)、両方のユニットで同じホスト名が表示されることがFTD HAでは想定される動作です

  • IPアドレスの所有:アクティブFTDのみがデータインターフェイス上のアクティブなIPアドレスを表示します。これは、スプリットブレイン状態を防ぐための設計上の動作です。インターフェイスのスタンバイIPアドレスが設定されていない場合、Standby Ready FTDのインターフェイスにはIPアドレスが設定されていないように見えます。

原因

プライマリFTDは、監視対象のデータインターフェイスでのハイアベイラビリティインターフェイスヘルスチェックの障害により、障害が発生したとマークされ、その結果、ピアでは動作しているインターフェイスの数が増え、アクティブのままになっています。この動作はFTD High Availabilityで設計されており、Cisco Secure Firewall HAのガイドラインに記載されています。HAプロセスが、モニタ対象のデータインターフェイスで失敗したインターフェイスチェックを検出しました。これにより、HA状態評価ロジックがトリガーされ、プライマリユニットが失敗ロールに配置されました。

関連コンテンツ

更新履歴

改定 発行日 コメント
1.0
05-May-2026
初版
TAC Authored

シスコ エンジニア提供

  • エコーキロス – ガルシア
    テクニカルコンサルティングエンジニア

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています