Solucionar problemas de sincronização de nome de host LINA inconsistente entre unidades de failover ASA/FTD após a atualização de software

Problema

Após a atualização do software no Secure Firewall Threat Defense (FTD) na configuração de alta disponibilidade (HA), os seguintes sintomas são observados:

1. O nome de host Lina não corresponde ao nome de host do modo especialista que foi configurado anteriormente usando o comando configure network hostname CLISH, que neste artigo é chamado de nome de host do sistema. O nome de host Lina corresponde ao nome de host do sistema do peer. Neste exemplo, a unidade com o nome de host do sistema FPR1100-2 tem o FPR1100-1 como o nome de host Lina:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-2     <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1  <--- Lina hostname is different than the system hostname

Unidade correspondente:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-1         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1     <--- Lina hostname 

2. Com base no exemplo anterior, dependendo do estado pré-upgrade das unidades, o nome de host Lina muda da seguinte maneira:

2. 1 - Cenário 1

• Estado pré-atualização: a unidade com o nome de host do sistema FPR1100-1 é primária/ativa e FPR1100-2 é secundária/standby. 

• Estado pós-atualização: o nome de host Lina em ambas as unidades é FPR1100-1.

2.2 - Cenário 2

• Estado pré-atualização: a unidade com o nome de host do sistema FPR1100-1 é primária/standby, FPR1100-2 é secundária/ativa. 

• Estado pós-atualização: o nome de host Lina em ambas as unidades é FPR1100-2.

Além disso, o polling dos nomes de host de cada peer HA usando o identificador de objeto do protocolo de monitoramento de rede simples (SNMP - Simple Network Monitoring Protocol) .1.3.6.1.2.1.1.5.0 retorna o mesmo valor.

Por exemplo:

# snmpget -On -v2c -c cisco 192.0.2.1 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

# snmpget -On -v2c -c cisco 192.0.2.2 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

Ambiente

• FMC-gerenciado Firepower 4112 executando FTD em HA. Outras plataformas de hardware também são afetadas.

• Visto pela primeira vez após a atualização do software da versão 7.6.2.1 para 7.6.4. Outras versões também podem ser afetadas.

• Os peers FTD em HA são configurados com nomes de host de sistema diferentes e personalizados usando o comando CLISH configure network hostname.

Resolução

Os sintomas são reproduzidos e documentados na ID de bug da Cisco CSCwt25171.

Se a intenção for manter o nome de host Lina sincronizado com o nome de host na saída do comando show network, há duas opções alternativas conhecidas:

1. No peer afetado, reconfigure o nome do host desejado usando o comando configure network hostname. Este comando configura o nome do host do sistema e atualiza o nome do host Lina.

2. Reinicialize a unidade afetada. Observe que, dependendo do ambiente, a configuração e a ação de reinicialização do fluxo de tráfego podem ser arriscadas e impactar durante o horário comercial. Recomenda-se o uso de critério do usuário.

Causa

Os sintomas documentados na ID de bug da Cisco CSCwt25171.

Conteúdo relacionado

Estes são os resultados adicionais da reprodução usando o Secure Firewall ASA e o FTD em configurações de alta disponibilidade:

ASA

O nome de host de Lina não é sincronizado da unidade ativa para a unidade em espera se qualquer uma destas for verdadeira, mas a menos que uma destas exceções de ASA ocorra: 

1. Se o modo de firewall das unidades autônomas (pode ser inicialmente autônomo ou após interromper o HA) for alterado, nomes de host diferentes serão configurados e o failover será configurado. Se o log estiver ativado, a unidade em espera reportará uma correspondência de configuração, embora os nomes de host sejam inicialmente diferentes: 

ASA2# . 
Detected an Active mate Secondary: 
Switching to Ok for reason Detected an Active peer. 
Configuration on Active and Standby is matching. <----- 

 2. Após as alterações no #1, o failover é suspenso com o comando no failover e retomado com o comando failover. 

Exceções do ASA

O nome de host Lina será sincronizado se qualquer uma destas condições for verdadeira: 

1. No caso #1, a diferença entre as configurações da unidade é diferente do nome do host. Em outras palavras, se juntamente com o nome do host houver quaisquer outras diferenças, será iniciada uma sincronização completa que resulta na sincronização do nome do host. 

2. O ASA em standby foi atualizado ou reinicializado. 

3. O failover é pausado (sem failover) na unidade em espera, algumas alterações feitas na unidade ativa são sincronizadas e o failover é retomado na unidade em espera (failover). Devido às alterações, ocorre a sincronização completa da configuração. 

FTD

O nome do host não será sincronizado da unidade ativa para a unidade em espera se qualquer uma destas for verdadeira, mas a menos que uma destas exceções de FTD ocorra: 

1. O FTD está em configuração de failover e, na unidade de standby, o usuário configura um nome de host diferente usando o comando CLISH configure network hostname. 

2. Se as unidades autônomas inicializadas forem configuradas com nomes de host diferentes usando o comando CLISH configure network hostname. 

3. Se o modo de firewall for alterado em unidades autônomas (pode ser inicialmente autônomo ou após a interrupção do failover), nomes de host diferentes serão configurados com o comando CLISH configure network hostname, e o failover será configurado. 

4. Após as alterações na #1-3, a sincronização ocorrerá se o HA for suspenso e retomado, ou se a unidade em espera for reinicializada, ou se a unidade em espera for atualizada para um patch ou versão principal (somente FTD virtual).

Exceções de FTD

O nome do host sincronizado se qualquer uma destas afirmações for verdadeira: 

1. No caso #3, a diferença entre as configurações das unidades é diferente do nome do host. Em outras palavras, se juntamente com o nome do host houver outras diferenças, será iniciada uma sincronização completa que resulta na sincronização do nome do host. 

2. A unidade em standby é atualizada para a versão principal (exceto o FTD virtual, ou seja, mesmo com uma atualização para uma versão principal em FTDs virtuais, os nomes de host não são sincronizados). 

3. O HA é suspenso, a configuração é alterada na unidade ativa (por exemplo, por meio da implantação da política) e o failover é retomado. Nesse caso, devido à diferença de configuração entre as unidades, a replicação completa da unidade ativa para o standby, incluindo o nome do host, ocorre e sincroniza o nome do host.