在备用FTD接口IP上使用/31子网部署失败

下载选项

  • PDF     (374.4 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (77.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (60.9 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2026 年 3 月 18 日
文档 ID:225621

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

目录

问题

在端口通道上创建并为FTD高可用性备用IP地址分配了IP地址x.x.x/31的子接口。但是,从FMC部署策略时,部署始终失败,并出现配置错误。

ip address x.x.x.240 255.255.255.254 standby x.x.x.241

^

错误: %在“^”标记处检测到无效输入。

配置错误 — ip address x.x.x.240 255.255.255.254 standby x.x.x.241

环境

  • 在高可用性配置中运行FTD 7.2的Cisco Firepower FPR-4112设备
  • 由Firepower管理中心(FMC)管理
  • 软件版本:7.4.2
  • 在port-channel上配置子接口。
  • IP编址方案:x.x.x.240/31,带备用IP x.x.x.241

分辨率

对于需要FTD HA备用IP地址的任何路由接口,通过将子网掩码从/31更改为/30可以解决部署故障。

推荐方案

对于需要HA备用IP地址的任何路由接口,使用/30子网(255.255.255.252)而不是/31。/30子网提供四个地址(网络、两个可用主机IP和广播),允许活动IP和备用IP共存。

实施步骤

1:从当前的/31编址方案更改为/30子网,为活动和备用配置提供足够的IP地址。

2:更新Firepower管理中心中的接口配置以使用新的/30子网编址。

3:将更新的配置从FMC部署到HA对中的两个FTD设备。

4:确认策略部署成功完成,且没有配置错误。

预防建议

  • 对于需要HA备用IP地址的路由接口,请始终使用/30或更大的子网。
  • 在为HA部署设计IP编址方案之前,请查看《思科安全防火墙管理中心设备配置指南》。
  • 仅将/31子网用于无高可用性要求的点对点链路(例如单节点部署或非故障切换方案)。

原因

尝试使用/31子网掩码(255.255.255.254)在接口上配置备用IP地址会导致部署失败。

/31子网仅提供两个可用IP地址(无专用网络或广播地址),这不会为HA配置中的独立备用IP留出空间。根据Cisco文档,不能在带有/31子网的接口上配置备用IP地址。

思科安全防火墙管理中心设备配置指南明确指出:“对于点对点连接,您可以指定31位子网掩码(255.255.255.254或/31)。 在这种情况下,没有为网络或广播地址保留IP地址。在这种情况下,不能设置备用IP地址。”

相关内容

修订历史记录

版本 发布日期 备注
1.0
18-Mar-2026
初始版本
TAC Authored

由思科工程师提供

  • 伊科·基罗斯 — 加西亚
    技术咨询工程师

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品