De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document wordt beschreven hoe problemen kunnen worden opgelost bij FTD-upgradefouten van versie 7.0 tot 7.2, met name bij High Availability (HA)-implementaties.
Meer dan de helft van deze fouten is het gevolg van problemen tijdens de fase 200_enable_maintenance_mode, waarbij bestaande HA-validaties voornamelijk basiscontroles van de actieve/stand-bystatus uitvoeren, die ontoereikend zijn voor uitgebreide HA-overgangen.
Met de Secure Firewall 7.6-update zijn verbeterde HA-validaties geïntroduceerd om deze problemen aan te pakken. Deze verbeteringen omvatten grondige controles voor HA-toestandsovergangen, verlengde time-outs voor synchronisatieprocessen en verbeterde foutenrapportage. Deze update heeft tot doel de problemen met HA na de upgrade en de algehele upgradefouten aanzienlijk te verminderen, waardoor een soepeler en betrouwbaarder upgradeproces voor HA-implementaties wordt gegarandeerd.
Gemigreerd van: https://confluence-eng-rtp2.cisco.com/conf/display/IFT/FTD+HA+Upgrade+Failure+Reduction
Verbeterde HA-validaties voor FTD-upgrade:
In vergelijking met eerdere releases heeft het:
Opmerking: deze functie is alleen van toepassing op FTD HA-implementaties die door de FMC worden beheerd. Deze functie is niet van toepassing op door FDM beheerde FTD HA of geclusterde apparaten.
Zodra de probleemoplossing voor HA vooraf bij beide eenheden is verzameld, besluit de FMC de upgrade te starten of de upgrade op het tweede knooppunt (actieve eenheid) te blokkeren.
Elke HA-eenheid genereert vooraf een HA-probleemoplossingsgegevens in de vorm van een JSON-bestand na het opnieuw opstarten van de upgrade en deelt deze met FMC. Hier zijn validatievoorbeelden wanneer er sprake is van een mislukking en succes.
Bestand: /ngfw/var/sf/sync/ha/upgrade_troubleshoot
{
"failover_lan" : "NA",
"error_code" : "1046 -
STARTUP_FAILOVER_CONFIG_NOT_PRESENT",
"current_time" : 1701369637,
"peer_HA_state" : "Not Detected",
"FMC_AQ_ID" : "0",
"state_link" : "NA",
"json_time" : "18:40:37 UTC Nov 30 2023",
"my_HA_state" : "Disabled",
"my_HA_role" : "Secondary",
"return_status" : "STATUS_ERROR",
"message" : "Failover config is not present on the startup
config. Device is in standalone state. Please configure failover.",
"peer_HA_role" : "Primary"
}
Bestand: /ngfw/var/sf/sync/ha/upgrade_troubleshoot
{
"return_status" : "STATUS_OK",
"message" : "No Action required.",
"current_time" : 1699526448,
"my_HA_state" : "Standby Ready",
"FMC_AQ_ID" : "0",
"retry_count" : "3",
"error_code" : "0000 - HA_OK",
"peer_HA_role" : "Secondary",
"failover_lan" : "up",
"peer_HA_state" : "Active",
"my_HA_role" : "Primary",
"state_link" : "up",
"json_time" : "10:40:48 UTC Nov 09 2
}
HA advance troubleshoot JSON bestandslocatie:
On FTD: /ngfw/var/sf/sync/ha/upgrade_troubleshoot
On FMC: /var/sf/peers//sync/ha/upgrade_troubleshoot
Soms wordt HA advance troubleshoot niet gegenereerd vanwege de systeemstatus en de reden hiervoor kan lineair zijn of het proces van de actiewachtrij is down na het opnieuw opstarten van de upgrade. Als lina of action queue niet beschikbaar is, is dit een probleem.
Controleer in dergelijke gevallen of lina- en ActionQueue-processen worden uitgevoerd met behulp van deze opdracht in de expertmodus:
pmtool status | grep lina
lina (system) - Running 5503 Indicates Lina is up and running
pmtool status | grep ActionQueueScrape
ActionQueueScrape (system) - Running 5268 Indicates action queue is up and running
Op basis van foutcodes worden Fouten geclassificeerd zoals hieronder weergegeven:
return_status |
error_code |
Beschrijving |
mechanisme voor hervatting of herstel |
STATUS_OK |
"0000 – HA_OK"(Gereserveerde waarden zijn van 0001 – 1023) |
Dit is voor het successcenario. (Wanneer de HA-staten actief en klaar voor stand-by zijn) |
(niet van toepassing) |
STATUS_FOUT |
"1024:2047 – FOUT_REDEN" |
Dit is voor het foutscenario (interventie van de gebruiker) |
Actionable berichten die aan de gebruiker en het upgradekader moeten worden weergegeven, kunnen in de toekomst (indien van toepassing) het herstel- of herhalingsmechanisme toevoegen. |
STATUS_FOUT |
"2048:3071 – FOUT_REDEN" |
Dit is voor het foutenscenario (TAC-interventie) |
TAC-interventie is vereist voor herstel. |
Fout |
Fout |
Foutcode |
'FAILOVER_CONFIG_NOT_PRESENT' |
"Failover-configuratie is niet aanwezig op het apparaat" |
"1024" |
'FAILOVER_IS_NOT_ENABLED' |
"Failover is niet ingeschakeld op het apparaat. Schakel failover in." |
"1025" |
'FAILOVER_LAN_DOWN' |
"Failover LAN is down op het apparaat" |
"1026" |
'STATE_LINK_DOWN' |
"State Link is down op het apparaat" |
"1027" |
'FAILOVER_BLOCK_DEPLETION' |
"Blokuitputting op de volgende blokken in het apparaat:\n" |
"1028" |
'APP_SYNC_TIMEOUT' |
"Time-out voor synchronisatie van app op het apparaat" |
"1029" |
'CD_APP_SYNC_ERROR' |
"Fout bij synchronisatie van cd-app gedetecteerd op apparaat" |
"1030" |
'CONFIG_SYNC_TIMEOUT' |
"Config synchronisatie time-out op het apparaat" |
"1031" |
'FAILED_TO_APPLY_CONFIG' |
"Kan configuratie niet toepassen op het apparaat" |
"1032" |
'BULK_SYNC_TIMEOUT' |
"Time-out voor bulksgewijs synchroniseren op het apparaat" |
"1033" |
'BULK_SYNC_CLIENT_ISSUE' |
Controleer de volgende clients op het apparaat:\n |
"1034" |
'IFC_CHECK_FAILED' |
"Failover-interfacecontrole mislukt op volgende interfaces in het apparaat:\n" |
"1035" |
'IFC_FAILED_CHECK_VLAN_SPANTREE' |
"Omdat de interfaces zijn opgeheven. Controleer of de VLAN's zijn toegestaan aan de kant van de switch of er een spanning tree probleem is." |
"1036" |
'VERSION_MISMATCH' |
"Andere softwareversie op het andere apparaat" |
"1037" |
'MODE_MISMATCH' |
"Andere bedrijfsmodus op het andere apparaat" |
"1038" |
'LIC_MISMATCH' |
"Andere licentie op het andere apparaat" |
"1039" |
'CHASSIS_MISMATCH' |
"Verschillende chassisconfiguratie op het andere apparaat" |
"1040" |
'CARD_MISMATCH' |
"Verschillende kaartconfiguratie op het andere apparaat" |
"1041" |
'PEER_NOT_OK' |
"Dit apparaat is in de goede staat. Controleer het peer-apparaat." |
"1042" |
Fout |
Fout |
Foutcode |
'RUN_CMD_FAILED' |
"Kan opdracht niet uitvoeren" |
"2048" |
'LINA_NOT_STARTED' |
"Lina is niet gestart op het apparaat. Probeer het na een tijdje nog eens." |
"2049" |
'HWIDB_MISMATCH' |
"HWIDB-index is anders op het apparaat" |
"2050" |
'BACKPLANE_FAILURE' |
"Backplane-fout op het apparaat. Controleer de backplane" |
"2051" |
'HA_PROGR_FAILURE' |
"HA progressie falen op het apparaat" |
"2052" |
'SVM_FAILURE' |
"Servicemodule is mislukt op het apparaat" |
"2053" |
'SVM_MIO_HB_FAILURE' |
"Hartslagfalen tussen MIO en App-agent op het apparaat" |
"2054" |
'SVM_MIO_CRUZ_FAILED' |
"Mislukte MIO-blade-netwerkadapter op het apparaat" |
"2055" |
'SVM_MIO_HB_CRUZ_FAILED' |
"Mislukte hartslag van MIO-blade en netwerkadapter op het apparaat" |
"2056" |
'SSM_CARD_FAILURE' |
"Service card failure op het apparaat" |
"2057" |
'MY_COMM_FAILURE' |
"Communicatiefout op het apparaat" |
"2058" |
'CRITICAL_PROCESS_DIED' |
"Kritiek proces stierf op het apparaat" |
"2059" |
'SNORT_FAILURE' |
"Snijden mislukt op het apparaat" |
"2060" |
'PEER_SVM_FAILURE' |
"NGFW-servicemodule is mislukt op het andere apparaat" |
"2061" |
'FAULT_MON_BLOCK_DEP' |
"Foutbewaking meldde blokdepletie op het apparaat" |
"2062" |
'DISK_FAILURE' |
"Schijf mislukt op het apparaat" |
"2063" |
'SNORT_DiSK_FAILURE' |
"Snijden en schijf is mislukt op het apparaat |
"2064" |
'INACTIVE_MATE_FOUND'' |
"Een inactieve partner gedetecteerd tijdens opstarten |
"2065" |
'SCRIPT_TIMEOUT' |
"Limiet voor nieuwe poging overschreden. Script afsluiten" |
"2066" |
'ERROR_UNKNOWN' |
"Fout niet geïdentificeerd" |
"2067" |
Deze functie is sterk afhankelijk van het bestaande actiewachtrijkader. De functie maakt gebruik van de onderliggende lina CLI om de HA vooraf probleemoplossingsgegevens te genereren.
V: Is de functie van toepassing op de FTD-upgradeterugkeerfunctionaliteit?
A: Nee. Deze functie is niet van toepassing op de terugkeerfunctionaliteit, omdat FTD-terugkeerfuncties parallel werken en niet 1 bij 1.
V: Als de upgrade mislukt op 200_enable_maintenance_mode.pl, genereert deze dan de gegevens voor het vooraf oplossen van problemen?
A: Nee. Problemen met HA vooraf worden alleen na het opnieuw opstarten van de upgrade gegenereerd en niet tijdens het mislukken van de upgrade
V: Als de upgrade is geblokkeerd vanwege HA-validaties op de tweede eenheid, kan een gebruiker dan alleen de upgrade op de tweede eenheid activeren?
A: Ja. De gebruiker moet het HA-paar opnieuw selecteren voor een upgrade en FMC activeert de upgrade alleen op een niet-geüpgraded apparaat.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
27-Jun-2025
|
Eerste vrijgave |