Problema
Uma subinterface criada em um canal de porta e com endereço IP x.x.x.x/31 atribuído para o endereço IP em espera HA do FTD. No entanto, ao implantar a política do FMC, a implantação falha consistentemente com um erro de configuração.
ip address x.x.x.240 255.255.255.254 standby x.x.x.241
^
ERRO: % entrada inválida detectada no marcador '^'.
Erro de configuração — endereço ip x.x.x.240 255.255.255.254 standby x.x.x.241
Ambiente
- Dispositivos Cisco Firepower FPR-4112 executando FTD 7.2 em configuração de alta disponibilidade
- Gerenciado pelo Firepower Management Center (FMC)
- Versão do software: 7.4.2
- Subinterface configurada no canal de porta.
- Esquema de endereçamento IP: x.x.x.240/31 com IP em standby x.x.x.241
Resolução
A falha de implantação é resolvida com a alteração da máscara de sub-rede de /31 para /30 para qualquer interface roteada que exija um endereço IP em espera HA FTD.
Solução recomendada
Use uma sub-rede /30 (255.255.255.252) em vez de /31 para qualquer interface roteada que exija um endereço IP standby HA. Uma sub-rede /30 fornece quatro endereços (rede, dois IPs de host utilizáveis e broadcast), permitindo a coexistência de um IP ativo e um IP standby.
Etapas de implementação
1: Altere do esquema de endereçamento /31 atual para uma sub-rede /30 que forneça endereços IP suficientes para as configurações ativa e em standby.
2: Atualize a configuração da interface no Firepower Management Center para usar o novo endereçamento de sub-rede /30.
3: Implante a configuração atualizada do FMC para ambos os dispositivos FTD no par HA.
4: Confirme se a implantação da política foi concluída com êxito sem erros de configuração.
Recomendações de prevenção
- Sempre use uma sub-rede /30 ou maior para interfaces roteadas que exigem endereços IP em espera HA.
- Consulte o Guia de configuração de dispositivos do Cisco Secure Firewall Management Center antes de projetar esquemas de endereçamento IP para implantações de HA.
- Use sub-redes /31 somente para links ponto-a-ponto sem requisitos de HA (como implantações de nó único ou cenários sem failover).
Causa
A falha de implantação é causada pela tentativa de configurar um endereço IP em espera em uma interface usando uma máscara de sub-rede /31 (255.255.255.254).
Uma sub-rede /31 fornece apenas dois endereços IP utilizáveis (sem rede dedicada ou endereço de broadcast), o que não deixa espaço para um IP standby separado em uma configuração de alta disponibilidade. De acordo com a documentação da Cisco, os endereços IP em standby não podem ser configurados em interfaces com sub-redes /31.
O Guia de configuração de dispositivos do Cisco Secure Firewall Management Center declara explicitamente: "Para conexões ponto a ponto, você pode especificar uma máscara de sub-rede de 31 bits (255.255.255.254 ou /31). Nesse caso, nenhum endereço IP é reservado para os endereços de rede ou de broadcast. Você não pode definir o endereço IP de standby nesse caso."
Conteúdo relacionado
Feedback