Solucionar problemas de sincronização de nome de host LINA inconsistente entre unidades de failover de FTD após a atualização de software

Problema

Após a atualização do software no Secure Firewall Threat Defense (FTD) na configuração de alta disponibilidade (HA), os seguintes sintomas são observados:

1. O nome de host Lina não corresponde ao nome de host do modo especialista que foi configurado anteriormente usando o comando configure network hostname CLISH, que neste artigo é chamado de nome de host do sistema. O nome de host Lina corresponde ao nome de host do sistema do peer. Neste exemplo, a unidade com o nome de host do sistema FPR1100-2 tem o FPR1100-1 como o nome de host Lina:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-2         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1      <--- Lina hostname is different than the system hostname

Unidade correspondente:

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-1         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1     <--- Lina hostname 

2. Com base no exemplo anterior, dependendo do estado pré-upgrade das unidades, o nome de host Lina muda da seguinte maneira:

2. 1 - Cenário 1

• Estado pré-atualização: a unidade com o nome de host do sistema FPR1100-1 é primária/ativa e FPR1100-2 é secundária/standby. 

• Estado pós-atualização: o nome de host Lina em ambas as unidades é FPR1100-1.

2.2 - Cenário 2

• Estado pré-atualização: a unidade com o nome de host do sistema FPR1100-1 é primária/standby, FPR1100-2 é secundária/ativa. 

• Estado pós-atualização: o nome de host Lina em ambas as unidades é FPR1100-2.

Além disso, o polling dos nomes de host de cada peer HA usando o identificador de objeto do protocolo de monitoramento de rede simples (SNMP - Simple Network Monitoring Protocol) .1.3.6.1.2.1.1.5.0 retorna o mesmo valor.

Por exemplo:

# snmpget -On -v2c -c cisco 192.0.2.1 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

# snmpget -On -v2c -c cisco 192.0.2.2 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

Ambiente

Requisitos

Conhecimento básico do produto.

Componentes Utilizados

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

As informações neste documento são baseadas nestas versões de software e hardware:

• FMC-gerenciado Firepower 4112 executando FTD em HA. Outras plataformas de hardware também são afetadas.

• Visto pela primeira vez após a atualização do software da versão 7.6.2.1 para 7.6.4. Outras versões também podem ser afetadas.

• Os peers FTD em HA são configurados com nomes de host de sistema diferentes e personalizados usando o comando CLISH configure network hostname.

Resolução

Os sintomas são reproduzidos e documentados no bug da Cisco ID CSCwt25171.

Se a intenção for manter o nome de host Lina sincronizado com o nome de host na saída do comando show network, há duas opções alternativas conhecidas:

1. No peer afetado, reconfigure o nome do host desejado usando o comando configure network hostname. Este comando configura o nome do host do sistema e atualiza o nome do host Lina.

2. Reinicialize a unidade afetada. Observe que, dependendo do ambiente, a configuração e a ação de reinicialização do fluxo de tráfego podem ser arriscadas e impactar durante o horário comercial. Recomenda-se o uso de critério do usuário.

Causa

Os sintomas documentados no bug da Cisco ID CSCwt25171.

Conteúdo relacionado

O nome do host não será sincronizado da unidade ativa para a unidade em espera se qualquer uma destas for verdadeira, mas a menos que uma destas exceções de FTD ocorra: 

1. O FTD está em configuração de failover e, na unidade de standby, o usuário configura um nome de host diferente usando o comando CLISH configure network hostname. 

2. Se as unidades autônomas inicializadas forem configuradas com nomes de host diferentes usando o comando CLISH configure network hostname. 

3. Se o modo de firewall for alterado em unidades autônomas (pode ser inicialmente autônomo ou após a interrupção do failover), nomes de host diferentes serão configurados com o comando CLISH configure network hostname, e o failover será configurado. 

4. Após as alterações na #1-3, a sincronização ocorrerá se o HA for suspenso e retomado, ou se a unidade em espera for reinicializada, ou se a unidade em espera for atualizada para um patch ou versão principal (somente FTD virtual).

Exceções

O nome do host sincronizado se qualquer uma destas afirmações for verdadeira: 

1. No caso #3, a diferença entre as configurações das unidades é diferente do nome do host. Em outras palavras, se juntamente com o nome do host houver outras diferenças, será iniciada uma sincronização completa que resulta na sincronização do nome do host. 

2. A unidade em standby é atualizada para a versão principal (exceto o FTD virtual, ou seja, mesmo com uma atualização para uma versão principal em FTDs virtuais, os nomes de host não são sincronizados). 

3. O HA é suspenso, a configuração é alterada na unidade ativa (por exemplo, por meio da implantação da política) e o failover é retomado. Nesse caso, devido à diferença de configuração entre as unidades, a replicação completa da unidade ativa para o standby, incluindo o nome do host, ocorre e sincroniza o nome do host.