uitgeven
Een subinterface gemaakt op een poortkanaal en toegewezen IP-adres x.x.x.x/31 voor het FTD HA standby IP-adres. Bij de implementatie van het beleid vanuit de FMC mislukt de implementatie echter consistent met een configuratiefout.
IP-adres X.X.X.240 255.255.255.254 Standby X.X.X.241
^
FOUT: % Ongeldige invoer gedetecteerd bij '^'-markering.
Config Fout -- ip adres x.x.x.240 255.255.255.254 standby x.x.x.241
milieu
- Cisco Firepower FPR-4112-apparaten met FTD 7.2 in configuratie met hoge beschikbaarheid
- Beheerd door Firepower Management Center (FMC)
- Softwareversie: 7.4.2
- Subinterface geconfigureerd op poortkanaal.
- IP-adresseringsschema: x.x.x.240/31 met standby IP x.x.x.241
resolutie
De implementatiefout wordt opgelost door het subnetmasker te wijzigen van /31 naar /30 voor elke gerouteerde interface waarvoor een FTD HA stand-by IP-adres vereist is.
Aanbevolen oplossing
Gebruik een /30 subnet (255.255.255.252) in plaats van /31 voor elke gerouteerde interface waarvoor een HA standby IP-adres nodig is. Een /30-subnet biedt vier adressen (netwerk, twee bruikbare host-IP's en uitzending), zodat zowel een actief IP als een stand-by IP naast elkaar kunnen bestaan.
Implementatiestappen
1: Wijzigen van het huidige /31-adresseringsschema naar een /30-subnet dat voldoende IP-adressen biedt voor zowel actieve als standby-configuraties.
2: Update de interfaceconfiguratie in Firepower Management Center om de nieuwe /30-subnetadressering te gebruiken.
3: Implementeer de bijgewerkte configuratie van FMC op beide FTD-apparaten in het HA-paar.
4: Bevestig dat de beleidsimplementatie zonder configuratiefouten is voltooid.
Aanbevelingen voor preventie
- Gebruik altijd een /30 of groter subnet voor gerouteerde interfaces waarvoor HA standby IP-adressen nodig zijn.
- Raadpleeg de Apparaatconfiguratiehandleiding van het Cisco Secure Firewall Management Center voordat u IP-adresseringsschema's voor HA-implementaties ontwerpt.
- Gebruik /31-subnetten alleen voor point-to-point koppelingen zonder HA-vereisten (zoals implementaties met één node of scenario's zonder failover).
Oorzaak
De implementatiefout wordt veroorzaakt door een poging om een stand-by IP-adres op een interface te configureren met behulp van een /31-subnetmasker (255.255.255.254).
Een /31-subnet biedt slechts twee bruikbare IP-adressen (geen toegewezen netwerk- of uitzendadres), waardoor er geen ruimte is voor een afzonderlijke stand-by IP in een HA-configuratie. Volgens Cisco-documentatie kunnen standby IP-adressen niet worden geconfigureerd op interfaces met /31-subnetten.
In de apparaatconfiguratiehandleiding van het Cisco Secure Firewall Management Center staat expliciet: "Voor point-to-point-verbindingen kunt u een 31-bits subnetmasker opgeven (255.255.255.254 of /31). In dit geval zijn er geen IP-adressen gereserveerd voor het netwerk of de uitzendadressen. U kunt in dit geval geen stand-by IP-adres instellen."
Verwante inhoud
Feedback