Problemen oplossen met inconsistente synchronisatie van LINA-hostnamen tussen FTD-failovereenheden na software-upgrade

uitgeven

Na de software-upgrade op Secure Firewall Threat Defense (FTD) in een configuratie met hoge beschikbaarheid (HA) worden deze symptomen waargenomen:

1. De Lina-hostnaam komt niet overeen met de hostnaam voor de expertmodus die eerder is geconfigureerd met de opdracht CLISH voor de netwerkhostnaam configureren, die in dit artikel de systeemhostnaam wordt genoemd. De Lina-hostnaam komt overeen met de systeemhostnaam van de peer. In dit voorbeeld heeft de eenheid met de systeemhostnaam FPR1100-2 de FPR1100-1 als de Lina-hostnaam:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-2         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1      <--- Lina hostname is different than the system hostname

Peer-eenheid:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-1         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1     <--- Lina hostname 

2. Op basis van het vorige voorbeeld, afhankelijk van de status van de eenheden vóór de upgrade, verandert de Lina-hostnaam als volgt:

2. 1 - Scenario 1

• Status vóór upgrade: eenheid met de systeemhostnaam FPR1100-1 is primair/actief en FPR1100-2 is secundair/standby. 

• Status na upgrade: Lina-hostnaam op beide eenheden is FPR1100-1.

2.2 - Scenario 2

• Status vóór upgrade: eenheid met de systeemhostnaam FPR1100-1 is primair/standby, FPR1100-2 is secundair/actief. 

• Status na upgrade: Lina-hostnaam op beide eenheden is FPR1100-2.

Bovendien retourneert het pollen van de hostnamen van elke HA-peer met behulp van de Simple Network Monitoring Protocol (SNMP) Object Identifier .1.3.6.1.2.1.1.5.0 dezelfde waarde.

Voorbeeld:

# snmpget -On -v2c -c cisco 192.0.2.1 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

# snmpget -On -v2c -c cisco 192.0.2.2 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

milieu

Vereisten

Basisproductkennis.

Gebruikte componenten

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• FMC-beheerde Firepower 4112 met FTD in HA. Ook andere hardwareplatforms worden getroffen.

• Voor het eerst gezien na de software-upgrade van versie 7.6.2.1 naar 7.6.4. Ook andere versies kunnen worden beïnvloed.

• FTD-peers in HA worden geconfigureerd met een aangepaste en verschillende systeemhostnamen met behulp van de opdracht CLISH configureer netwerkhostnaam.

resolutie

De symptomen worden gereproduceerd en gedocumenteerd in Cisco bug ID CSCwt25171.

Als het de bedoeling is om de Lina-hostnaam gesynchroniseerd te houden met de hostnaam in de uitvoer van de opdracht show network, zijn er 2 bekende opties voor een tijdelijke oplossing:

1. Configureer op de betreffende peer de gewenste hostnaam opnieuw met de opdracht netwerkhostnaam configureren. Met deze opdracht wordt de systeemhostnaam geconfigureerd en de Lina-hostnaam bijgewerkt.

2. Start het betreffende apparaat opnieuw op. Houd er rekening mee dat, afhankelijk van de omgeving, configuratie en verkeersstroom, het opnieuw opstarten van de computer tijdens kantooruren riskant en impactvol kan zijn. De discretie van de gebruiker wordt geadviseerd.

Oorzaak

De symptomen gedocumenteerd in Cisco bug ID CSCwt25171.

Verwante inhoud

De hostnaam wordt niet gesynchroniseerd van actieve naar standby-eenheid als een van deze punten waar is, maar tenzij een van deze FTD-uitzonderingen optreedt: 

1. FTD bevindt zich in de failover-configuratie en op de standby-eenheid configureert de gebruiker een andere hostnaam met de opdracht CLISH om de netwerkhostnaam te configureren. 

2. Als zelfstandige eenheden die in eerste instantie zijn opgestart, zijn geconfigureerd met verschillende hostnamen met de opdracht CLISH, configureert u de netwerkhostnaam. 

3. Als de firewallmodus op zelfstandige eenheden wordt gewijzigd (kan in eerste instantie zelfstandig zijn of na het doorbreken van de failover), worden verschillende hostnamen geconfigureerd met de opdracht CLISH configureer netwerkhostname en wordt failover geconfigureerd. 

4. Na de wijzigingen in #1-3 vindt synchronisatie plaats als HA wordt opgeschort en hervat, of als de stand-by-eenheid opnieuw wordt opgestart, of als de stand-by-eenheid wordt geüpgraded naar een patch of hoofdversie (alleen virtuele FTD).

Uitzonderingen

De hostnaam wordt gesynchroniseerd als een van deze punten waar is: 

1. In het geval nr. 3 is het verschil tussen de configuraties van de eenheden anders dan de hostnaam. Met andere woorden, als er naast de hostnaam nog andere verschillen zijn, wordt volledige synchronisatie gestart die resulteert in synchronisatie van de hostnaam. 

2. De stand-by-eenheid wordt opgewaardeerd naar de hoofdversie (behalve virtuele FTD, dat wil zeggen dat zelfs met een upgrade naar een hoofdversie op virtuele FTD's hostnamen niet worden gesynchroniseerd). 

3. HA wordt opgeschort, configuratie wordt gewijzigd op actieve eenheid (bijvoorbeeld via beleidsimplementatie) en failover wordt hervat. In dit geval vindt vanwege configuratieverschillen tussen eenheden volledige replicatie van actieve eenheid naar standby plaats, inclusief hostnaam, en wordt de hostnaam gesynchroniseerd.