Problemen oplossen FTD Cluster Data Node Kan niet deelnemen aan het cluster na software-upgrade

Downloadopties

  • PDF     (254.9 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:14 mei 2026
Document-id:225911

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

uitgeven

Na de software-upgrade kan het FTD-clustergegevensknooppunt (Secure Firewall Threat Defense) zich niet bij het cluster aansluiten. Deze symptomen worden waargenomen:


1. De uitvoer van de clustergeschiedenis tonen de foutmelding "Configuratie replicatie mislukt" met de overgang van de eenheid van de DATA_NODE_CONFIG naar de UITGESCHAKELDE status: 

> show cluster history


09:52:55 UTC May 8 2026
DISABLED              ELECTION              Enabled from CLI

09:52:55 UTC May 8 2026
ELECTION              ONCALL                Event: Cluster unit unit-1-1 state
                                            is CONTROL_NODE

09:52:55 UTC May 8 2026
ONCALL                DATA_NODE_COLD        Received cluster control message

09:52:55 UTC May 8 2026
DATA_NODE_COLD        DATA_NODE_APP_SYNC    Client progression done

09:54:39 UTC May 8 2026
DATA_NODE_APP_SYNC    DATA_NODE_CONFIG      Data node application configuration sync done

09:54:53 UTC May 8 2026
DATA_NODE_CONFIG      DISABLED              Configuration replication failed


2. Bestanden /mnt/disk0/cluster_trace.log* bevatten berichten die verband houden met het mislukken van de configuratiereplicatie van de opdracht key en de overgang van het cluster naar de status DISABLED:

May 08 09:54:50.538 [INFO]start to monitor Port-channel47
May 08 09:54:50.538 [DBUG]Send CCP message to all: CCP_MSG_HWIDB_STATE
May 08 09:54:50.568 [INFO]start to monitor Ethernet1/5
May 08 09:54:50.568 [DBUG]Send CCP message to all: CCP_MSG_HWIDB_STATE
May 08 09:54:50.738 [CRIT]Config syncing failure: context single_vf, line 1027, CLI " key >".
May 08 09:54:50.748 [DBUG]Send event (PROGRESSION_FAILURE, n/a, n/a, 94350991600520) to FSM. Current state DATA_NODE_CONFIG
May 08 09:54:50.748 [INFO]cluster_fsm_disable: The clustering re-enable timer is stopped.
May 08 09:54:50.748 [DBUG]Send CCP message to all: CCP_MSG_QUIT from unit-2-1 for reason CLUSTER_QUIT_REASON_RETIREMENT
May 08 09:54:50.748 [DBUG]Send event (CONTROL_NODE_GONE, n/a, n/a, 94350991600224) to FSM. Current state DISABLED


3. Bestanden /ngfw/var/log/ASAconsole.log* bevatten ook berichten die verband houden met het mislukken van de configuratiereplicatie van de belangrijkste opdracht en de overgang van het cluster naar de status UITGESCHAKELD:

2026-05-08 09:49:51 Detected Cluster Control Node.
2026-05-08 09:50:01 Beginning configuration replication from Control Node.

2026-05-08 09:50:02 livecore enabled
2026-05-08 09:50:02 ........................
2026-05-08 09:50:02  key 
2026-05-08 09:50:02      ^
2026-05-08 09:50:02 ERROR: % Input should be less than 64 characters at '^' marker.
2026-05-08 09:50:02 *** Output from config line 1027, " key ..."
2026-05-08 09:50:02
2026-05-08 09:50:02 Failed configuration replication from Control Node.
2026-05-08 09:50:02 Cluster disable is performing cleanup..done.
2026-05-08 09:50:04 Unit unit-2-1 is quitting due to system failure for 3 time(s) (last failure is Internal clustering error). Rejoin will be attempted after 20 minutes.

milieu

  • Firepower 4145 met FTD in clusterimplementatie met meerdere instanties. Clusters die op Firepower 4100/9300 draaien in implementaties met meerdere instanties of de standaardmodus worden ook beïnvloed.

  • Het FTD-cluster wordt beheerd door het FMC.

  • De FTD-softwareversie is bijgewerkt van 7.6.2 naar 7.6.4. Andere bron- of doelsoftwareversies kunnen ook worden beïnvloed.

resolutie

Aanvankelijk was de clustersleutel geconfigureerd als een tekenreeks met een lengte van 64 tekens. Volgens het gedeelte Logical Device in de configuratiehandleiding Secure FXOS for Firepower 4100/9300 CLI of Chassis Manager (FCM) is de clustersleutel een ASCII-tekenreeks van 1 tot 63 tekens. Daarom werd de clustersleutel gereduceerd tot minder dan 64 tekens met behulp van de instellingen van de FCM-gebruikersinterface Logical Devices.

Oorzaak

Hoewel de beperking van de maximale lengte voor de clustersleutel is gedocumenteerd, wordt deze niet afgedwongen op het FXOS-softwareniveau (FXOS CLI of FCM). Gebruikers mogen clustersleutels configureren met een groter aantal tekens. Ondanks het maximale aantal tekens kunnen de eenheden nog steeds deelnemen aan het cluster in versie 7.6.2. Na de upgrade dwingt de software echter de validatie van de sleutellengte af, wat resulteert in het niet toetreden tot het cluster. Dit is een gedragsverandering die niet gedocumenteerd is. Deze symptomen worden intern gereproduceerd en gevolgd in Cisco bug ID CSCwn53819.

Daarnaast werden als onderdeel van de reproductie-inspanningen Cisco bug ID CSCwu35563 en Cisco bug ID CSCwu35553 ingediend om het gebrek aan validatie van de clustersleutellengte op respectievelijk FCM en FXOS CLI te volgen.

Verwante inhoud

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
14-May-2026
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Ilkin Gasimov
    Cisco TAC Engineer
  • Mikis Zafeiroudis
    Cisco TAC Engineer

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten