FTD High Availability Sync Interface Check-fout voor beveiligde firewall

Downloadopties

PDF (250.9 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (84.3 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (69.8 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:5 mei 2026

Document-id:225852

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

uitgeven

De FTD in een High Availability (HA)-paar werd consistent weergegeven in een mislukte toestand. De configuratie-synchronisatie werd niet voltooid tussen de HA-peers, ondanks succesvolle IP-connectiviteit tussen de eenheden. De implementatie was een nieuwe implementatie met Cisco Secure Firewall Threat Defense-software, die nog niet in productie was.

Het probleem verscheen nadat de primaire eenheid naar de uiteindelijke locatie was verplaatst en het IP-adres van het beheer was gewijzigd zonder eerst het HA-paar te verbreken. Het HA-proces detecteerde mislukte interfacecontroles op bewaakte gegevensinterfaces, waardoor de evaluatielogica van de HA-status werd geactiveerd om de primaire eenheid in een mislukte rol te plaatsen.

milieu

Veilige firewall FTD HA beheerd door FMC
Nieuwe inzet van een migratieactiviteit, nog niet in productie

resolutie

De resolutie betrof het verwijderen van geselecteerde data-interfaces uit de HA-interface monitoring configuratie om valse detectie van storingen te voorkomen.

Stappen voor probleemoplossing uitgevoerd

1: De probleemoplossende gegevens bevestigden HA-interfacecontrolefouten op de bewaakte gegevensinterfaces, terwijl HA-peer-connectiviteit (hartslag en ping) functioneel bleef.

device# show failover
Failover On 
Failover unit Primary
Failover LAN Interface: FailOver Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 5 of 776 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.20(2)121, Mate 9.20(2)121
Serial Number: Ours SERIAL#, Mate SERIAL#
Last Failover at: 17:14:25 UTC Mar 16 2026
	This host: Primary - Failed 
		Active time: 0 (sec)
		slot 0: FPR-1120 hw/sw rev (2.0/9.20(2)121) status (Up Sys)
		  Interface To-DC1-ACC (0.0.0.0): No Link (Waiting)
		  Interface To-DC1-WAN (0.0.0.0): No Link (Waiting)
		  Interface management (203.0.113.131/fe80::a610:b6ff:fe3d:e101): Normal (Monitored)
		slot 1: snort rev (1.0)  status (up)
		slot 2: diskstatus rev (1.0)  status (up)
	Other host: Secondary - Active 
		Active time: 184688 (sec)
		  Interface To-DC1-ACC (0.0.0.0): No Link (Waiting)
		  Interface To-DC1-WAN (10.230.2.2): Normal (Waiting)
		  Interface management (203.0.113.130/fe80::6ae5:9eff:fee6:d681): Normal (Monitored)
		slot 1: snort rev (1.0)  status (up)
		slot 2: diskstatus rev (1.0)  status (up)

2: Bevestigd dat HA-toestandsovergangen plaatsvonden op basis van interfacemonitoringresultaten, niet op basis van connectiviteitsproblemen met het management-plane.

device# show failover history
17:16:51 UTC Mar 16 2026
Standby Ready              Failed                     Interface check
                                                      This host:2
                                                      single_vf: To-DC1-ACC
                                                      single_vf: To-DC1-WAN
                                                      Other host:1
                                                      single_vf: To-DC1-ACC

Configuratiewijzigingen

1: De HA-configuratie is bijgewerkt om de betreffende gegevensinterfaces uit te sluiten van de bewaking van de interfacestatus, waardoor detectie van fouten wordt voorkomen.

2: Nadat de configuratie is gewijzigd, is de primaire FTD met succes overgegaan naar de status Standby Ready, waarmee de juiste HA-synchronisatie en statusstabiliteit worden bevestigd.

3: HA failover testen werd succesvol afgerond met de verwachte resultaten, het valideren van de stabiliteit van de HA configuratie na de veranderingen.

Verwachte gedragsverduidelijkingen

Deze gedragingen die tijdens het oplossen van problemen worden waargenomen, worden verwacht en zijn ontworpen:

Dubbele hostnamen op FTD-peers: Beide eenheden die dezelfde hostnaam weergeven, worden geacht zich te gedragen in FTD HA, aangezien de hostnaam van de actieve eenheid systeembreed wordt gepresenteerd (bijgehouden onder verzoek om verbetering CSCwe31354)
Eigendom van IP-adressen: Alleen de Active FTD geeft actieve IP-adressen weer op gegevensinterfaces, wat verwacht wordt door het ontwerp om split-brain-aandoeningen te voorkomen. Als er geen stand-by IP-adressen voor de interface zijn geconfigureerd, wordt de stand-by Ready FTD weergegeven met geen IP-adressen geconfigureerd op de interfaces.

Oorzaak

De primaire FTD werd gemarkeerd als Failed vanwege High Availability-interfacecontrolefouten op bewaakte gegevensinterfaces, waardoor de peer met meer operationele interfaces actief bleef. Dit gedrag is door het ontwerp in FTD High Availability en is gedocumenteerd in Cisco Secure Firewall HA richtlijnen. Het HA-proces detecteerde mislukte interfacecontroles op bewaakte gegevensinterfaces, waardoor de evaluatielogica van de HA-status werd geactiveerd om de primaire eenheid in een mislukte rol te plaatsen.