문제
포트 채널에 생성되고 FTD HA 대기 IP 주소에 대해 할당된 IP 주소 x.x.x.x/31인 하위 인터페이스입니다. 그러나 FMC에서 정책을 배포할 경우 구성 오류가 발생하면서 배포가 지속적으로 실패합니다.
ip 주소 x.x.x.240 255.255.255.254 대기 x.x.x.241
^
오류: '^' 마커에 잘못된 입력이 감지되었습니다.
구성 오류 — ip 주소 x.x.x.240 255.255.255.254 대기 x.x.x.241
환경
- 고가용성 구성에서 FTD 7.2를 실행하는 Cisco Firepower FPR-4112 어플라이언스
- FMC(Firepower 관리 센터)에서 관리
- 소프트웨어 버전: 7.4.2
- 포트 채널에 구성된 하위 인터페이스.
- IP 주소 지정 체계: x.x.x.240/31, 대기 IP x.x.x.241 포함
해결
FTD HA 대기 IP 주소가 필요한 라우티드 인터페이스에 대해 서브넷 마스크를 /31에서 /30으로 변경하여 구축 실패를 해결합니다.
권장 솔루션
HA 대기 IP 주소가 필요한 라우티드 인터페이스에 대해 /31 대신 /30 서브넷(255.255.255.252)을 사용합니다. /30 서브넷은 활성 IP와 대기 IP를 모두 공존시킬 수 있도록 4개의 주소(네트워크, 사용 가능한 호스트 IP 2개, 브로드캐스트)를 제공합니다.
구현 단계
1: 현재 /31 주소 지정 체계에서 활성 및 대기 구성 모두에 대해 충분한 IP 주소를 제공하는 /30 서브넷으로 변경합니다.
2: Firepower Management Center에서 새 /30 서브넷 주소 지정을 사용하도록 인터페이스 컨피그레이션을 업데이트합니다.
3: 업데이트된 컨피그레이션을 FMC에서 HA 쌍의 두 FTD 디바이스로 구축합니다.
4: 컨피그레이션 오류 없이 정책 구축이 성공적으로 완료되는지 확인합니다.
예방 권장 사항
- HA 대기 IP 주소가 필요한 라우티드 인터페이스에는 항상 /30 이상의 서브넷을 사용하십시오.
- HA 구축을 위한 IP 주소 지정 체계를 설계하기 전에 Cisco Secure Firewall Management Center Device Configuration Guide를 검토하십시오.
- HA 요구 사항(예: 단일 노드 구축 또는 비 장애 조치 시나리오) 없이 포인트-투-포인트 링크에만 /31 서브넷을 사용합니다.
원인
구축 실패는 /31 서브넷 마스크(255.255.255.254)를 사용하여 인터페이스에서 대기 IP 주소를 구성하려고 시도했기 때문입니다.
/31 서브넷은 사용 가능한 IP 주소 2개만 제공합니다(전용 네트워크 또는 브로드캐스트 주소 없음). 따라서 HA 컨피그레이션에서 별도의 대기 IP를 위한 공간이 남지 않습니다. Cisco 설명서에 따르면, 대기 IP 주소는 /31 서브넷이 있는 인터페이스에 구성할 수 없습니다.
Cisco Secure Firewall Management Center Device Configuration Guide에는 다음과 같은 내용이 명시적으로 나와 있습니다. "지점 간 연결의 경우 31비트 서브넷 마스크(255.255.255.254 또는 /31)를 지정할 수 있습니다. 이 경우 네트워크 또는 브로드캐스트 주소에 대해 예약된 IP 주소가 없습니다. 이 경우 스탠바이 IP 주소를 설정할 수 없습니다."
관련 콘텐츠
피드백