Problemen oplossen met inconsistente synchronisatie van LINA-hostnamen tussen ASA/FTD-failover-eenheden na software-upgrade

uitgeven

Na de software-upgrade op Secure Firewall Threat Defense (FTD) in een configuratie met hoge beschikbaarheid (HA) worden deze symptomen waargenomen:

1. De Lina-hostnaam komt niet overeen met de hostnaam voor de expertmodus die eerder is geconfigureerd met de opdracht CLISH voor de netwerkhostnaam configureren, die in dit artikel de systeemhostnaam wordt genoemd. De Lina-hostnaam komt overeen met de systeemhostnaam van de peer. In dit voorbeeld heeft de eenheid met de systeemhostnaam FPR1100-2 de FPR1100-1 als de Lina-hostnaam:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-2     <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1  <--- Lina hostname is different than the system hostname

Peer-eenheid:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-1         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1     <--- Lina hostname 

2. Op basis van het vorige voorbeeld, afhankelijk van de status van de eenheden vóór de upgrade, verandert de Lina-hostnaam als volgt:

2. 1 - Scenario 1

• Status vóór upgrade: eenheid met de systeemhostnaam FPR1100-1 is primair/actief en FPR1100-2 is secundair/standby. 

• Status na upgrade: Lina-hostnaam op beide eenheden is FPR1100-1.

2.2 - Scenario 2

• Status vóór upgrade: eenheid met de systeemhostnaam FPR1100-1 is primair/standby, FPR1100-2 is secundair/actief. 

• Status na upgrade: Lina-hostnaam op beide eenheden is FPR1100-2.

Bovendien retourneert het pollen van de hostnamen van elke HA-peer met behulp van de Simple Network Monitoring Protocol (SNMP) Object Identifier .1.3.6.1.2.1.1.5.0 dezelfde waarde.

Voorbeeld:

# snmpget -On -v2c -c cisco 192.0.2.1 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

# snmpget -On -v2c -c cisco 192.0.2.2 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

milieu

• FMC-beheerde Firepower 4112 met FTD in HA. Ook andere hardwareplatforms worden getroffen.

• Voor het eerst gezien na de software-upgrade van versie 7.6.2.1 naar 7.6.4. Ook andere versies kunnen worden beïnvloed.

• FTD-peers in HA worden geconfigureerd met een aangepaste en verschillende systeemhostnamen met behulp van de opdracht CLISH configureer netwerkhostnaam.

resolutie

De symptomen worden gereproduceerd en gedocumenteerd in Cisco bug ID CSCwt25171.

Als het de bedoeling is om de Lina-hostnaam gesynchroniseerd te houden met de hostnaam in de uitvoer van de opdracht show network, zijn er 2 bekende opties voor een tijdelijke oplossing:

1. Configureer op de betreffende peer de gewenste hostnaam opnieuw met de opdracht netwerkhostnaam configureren. Met deze opdracht wordt de systeemhostnaam geconfigureerd en de Lina-hostnaam bijgewerkt.

2. Start het betreffende apparaat opnieuw op. Houd er rekening mee dat, afhankelijk van de omgeving, configuratie en verkeersstroom, het opnieuw opstarten van de computer tijdens kantooruren riskant en impactvol kan zijn. De discretie van de gebruiker wordt geadviseerd.

Oorzaak

De symptomen gedocumenteerd in Cisco bug ID CSCwt25171.

Verwante inhoud

Dit zijn de aanvullende bevindingen van reproductie met behulp van de Secure Firewall ASA en FTD in configuraties met hoge beschikbaarheid:

ASA

De Lina-hostnaam wordt niet gesynchroniseerd van actieve naar standby-eenheid als een van deze punten waar is, maar tenzij een van deze ASA-uitzonderingen optreedt: 

1. Als de firewallmodus op de zelfstandige eenheden (die in eerste instantie stand-alone of na het doorbreken van HA kunnen zijn) wordt gewijzigd, worden verschillende hostnamen geconfigureerd en wordt failover geconfigureerd. Als logboekregistratie is ingeschakeld, komt de configuratie van de standby-unit overeen, hoewel de hostnamen in eerste instantie verschillen: 

ASA2# . 
Detected an Active mate Secondary: 
Switching to Ok for reason Detected an Active peer. 
Configuration on Active and Standby is matching. <----- 

 2. Na de wijzigingen in #1 wordt failover onderbroken met de opdracht geen failover en hervat met de opdracht failover. 

ASA Uitzonderingen

De Lina-hostnaam wordt gesynchroniseerd als een van deze punten waar is: 

1. In het geval nr. 1 is het verschil tussen de configuraties van de eenheid anders dan de hostnaam. Met andere woorden, als er naast de hostnaam nog andere verschillen zijn, wordt volledige synchronisatie gestart die resulteert in synchronisatie van de hostnaam. 

2. Standby ASA wordt bijgewerkt of opnieuw opgestart. 

3. Failover wordt gepauzeerd (geen failover) op de standby-eenheid, sommige wijzigingen die zijn aangebracht op de actieve eenheid worden gesynchroniseerd en failover wordt hervat op de stand-by-eenheid (failover). Door veranderingen vindt volledige configuratie synchronisatie plaats. 

FTD

De hostnaam wordt niet gesynchroniseerd van actieve naar standby-eenheid als een van deze punten waar is, maar tenzij een van deze FTD-uitzonderingen optreedt: 

1. FTD bevindt zich in de failover-configuratie en op de standby-eenheid configureert de gebruiker een andere hostnaam met de opdracht CLISH om de netwerkhostnaam te configureren. 

2. Als zelfstandige eenheden die in eerste instantie zijn opgestart, zijn geconfigureerd met verschillende hostnamen met de opdracht CLISH, configureert u de netwerkhostnaam. 

3. Als de firewallmodus op zelfstandige eenheden wordt gewijzigd (kan in eerste instantie zelfstandig zijn of na het doorbreken van de failover), worden verschillende hostnamen geconfigureerd met de opdracht CLISH configureer netwerkhostname en wordt failover geconfigureerd. 

4. Na de wijzigingen in #1-3 vindt synchronisatie plaats als HA wordt opgeschort en hervat, of als de stand-by-eenheid opnieuw wordt opgestart, of als de stand-by-eenheid wordt geüpgraded naar een patch of hoofdversie (alleen virtuele FTD).

FTD-uitzonderingen

De hostnaam wordt gesynchroniseerd als een van deze punten waar is: 

1. In het geval nr. 3 is het verschil tussen de configuraties van de eenheden anders dan de hostnaam. Met andere woorden, als er naast de hostnaam nog andere verschillen zijn, wordt volledige synchronisatie gestart die resulteert in synchronisatie van de hostnaam. 

2. De stand-by-eenheid wordt opgewaardeerd naar de hoofdversie (behalve virtuele FTD, dat wil zeggen dat zelfs met een upgrade naar een hoofdversie op virtuele FTD's hostnamen niet worden gesynchroniseerd). 

3. HA wordt opgeschort, configuratie wordt gewijzigd op actieve eenheid (bijvoorbeeld via beleidsimplementatie) en failover wordt hervat. In dit geval vindt vanwege configuratieverschillen tussen eenheden volledige replicatie van actieve eenheid naar standby plaats, inclusief hostnaam, en wordt de hostnaam gesynchroniseerd.