소프트웨어 업그레이드 후 FTD 장애 조치 유닛 간의 일관성 없는 LINA 호스트 이름 동기화 문제 해결

문제

고가용성(HA) 컨피그레이션의 FTD(Secure Firewall Threat Defense)에서 소프트웨어를 업그레이드한 후 다음 증상이 관찰됩니다.

1. Lina 호스트 이름이 configure network hostname CLISH 명령을 사용하여 이전에 구성한 expert 모드 호스트 이름과 일치하지 않습니다. 이 문서에서 시스템 호스트 이름을 Lina 호스트 이름은 피어의 시스템 호스트 이름과 일치합니다. 이 예에서 시스템 호스트 이름이 FPR1100-2인 유닛은 FPR1100-1을 Lina 호스트 이름으로 가집니다.

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-2         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1      <--- Lina hostname is different than the system hostname

피어 장치:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-1         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1     <--- Lina hostname 

2. 이전 예에 따라 유닛의 업그레이드 전 상태에 따라 Lina 호스트 이름이 다음과 같이 변경됩니다.

2. 1 - 시나리오 1

• 업그레이드 전 상태: 시스템 호스트 이름이 FPR1100-1인 유닛은 기본/액티브, FPR1100-2는 보조/스탠바이입니다. 

• 업그레이드 후 상태: 두 유닛의 Lina 호스트 이름은 FPR1100-1입니다.

2.2 - 시나리오 2

• 업그레이드 전 상태: 시스템 호스트 이름이 FPR1100-1인 유닛은 기본/대기, FPR1100-2는 보조/활성 

• 업그레이드 후 상태: 두 유닛의 Lina 호스트 이름은 FPR1100-2입니다.

또한 SNMP(Simple Network Monitoring Protocol) Object Identifier.1.3.6.1.2.1.1.5.0을 사용하여 각 HA 피어의 호스트 이름을 폴링하면 동일한 값이 반환됩니다.

예를 들면 다음과 같습니다.

# snmpget -On -v2c -c cisco 192.0.2.1 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

# snmpget -On -v2c -c cisco 192.0.2.2 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

환경

요구 사항

기본 제품 지식

사용되는 구성 요소

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• HA에서 FTD를 실행하는 FMC 관리 Firepower 4112입니다. 다른 하드웨어 플랫폼도 영향을 받습니다.

• 버전 7.6.2.1에서 7.6.4로 소프트웨어를 업그레이드한 후 처음 확인되었습니다. 다른 버전도 영향을 받을 수 있습니다.

• HA의 FTD 피어는 CLISH configure network hostname 명령을 사용하여 사용자 지정 및 다른 시스템 호스트 이름으로 구성됩니다.

해결

증상이 재현되고 Cisco 버그 ID CSCwt25171에 문서화됩니다.

Lina 호스트 이름을 show network 명령 출력에서 호스트 이름과 동기화된 상태로 유지하려는 경우, 두 가지 알려진 해결 옵션이 있습니다.

1. 영향을 받는 피어에서 configure network hostname 명령을 사용하여 원하는 호스트 이름을 다시 구성합니다. 이 명령은 시스템 호스트 이름을 구성하고 Lina 호스트 이름을 업데이트합니다.

2. 영향을 받는 유닛을 재부팅합니다. 환경, 구성 및 트래픽 흐름 재부팅 작업에 따라 업무 시간 중에 위험하고 영향을 받을 수 있습니다. 사용자 재량이 권장됩니다.

원인

증상은 Cisco 버그 ID CSCwt25171에 설명되어 있습니다.

관련 콘텐츠

다음 중 하나라도 참일 경우 호스트 이름은 활성 유닛에서 대기 유닛으로 동기화되지 않지만 다음 FTD 예외 중 하나가 발생하지 않을 경우 동기화됩니다. 

1. FTD는 장애 조치 컨피그레이션이며 스탠바이 유닛에서 사용자가 CLISH 명령 configure network hostname을 사용하여 다른 호스트 이름을 구성합니다. 

2. 초기 부트스트랩된 독립형 유닛이 CLISH 명령 configure network hostname을 사용하여 다른 호스트 이름으로 구성된 경우. 

3. 독립형 유닛(처음에 독립형 또는 장애 조치 종료 후)에서 방화벽 모드가 변경된 경우 CLISH configure network hostname 명령을 사용하여 다른 호스트 이름을 구성하고 장애 조치를 구성합니다. 

4. #1-3 변경 후 HA가 일시 중지되고 다시 시작되거나 대기 유닛이 재부팅되거나 대기 유닛이 패치 또는 주 버전으로 업그레이드되면 동기화가 발생합니다(가상 FTD만 해당).

예외

다음 중 하나라도 true이면 호스트 이름이 동기화됩니다. 

1. #3의 경우 장치 구성 간의 차이가 호스트 이름 이외입니다. 즉, 호스트 이름과 함께 다른 차이점이 있으면 전체 동기화가 시작되어 호스트 이름 동기화가 수행됩니다. 

2. 스탠바이 유닛이 주 버전으로 업그레이드됩니다(가상 FTD는 제외하고, 가상 FTD의 호스트 이름에서 주 버전으로 업그레이드하더라도 동기화되지 않음). 

3. HA가 일시 중단되고, 액티브 유닛에서 구성이 변경(예: 정책 배포를 통해)되고 장애 조치가 다시 시작됩니다. 이 경우 유닛 간의 구성 차이로 인해 호스트 이름을 포함하여 액티브 유닛에서 스탠바이 유닛으로의 전체 복제가 수행되고 호스트 이름을 동기화합니다.