在备用FTD接口IP上使用/31子网部署失败
问题
在端口通道上创建并为FTD高可用性备用IP地址分配了IP地址x.x.x/31的子接口。但是,从FMC部署策略时,部署始终失败,并出现配置错误。
ip address x.x.x.240 255.255.255.254 standby x.x.x.241
^
错误: %在“^”标记处检测到无效输入。
配置错误 — ip address x.x.x.240 255.255.255.254 standby x.x.x.241
环境
- 在高可用性配置中运行FTD 7.2的Cisco Firepower FPR-4112设备
- 由Firepower管理中心(FMC)管理
- 软件版本:7.4.2
- 在port-channel上配置子接口。
- IP编址方案:x.x.x.240/31,带备用IP x.x.x.241
分辨率
对于需要FTD HA备用IP地址的任何路由接口,通过将子网掩码从/31更改为/30可以解决部署故障。
推荐方案
对于需要HA备用IP地址的任何路由接口,使用/30子网(255.255.255.252)而不是/31。/30子网提供四个地址(网络、两个可用主机IP和广播),允许活动IP和备用IP共存。
实施步骤
1:从当前的/31编址方案更改为/30子网,为活动和备用配置提供足够的IP地址。
2:更新Firepower管理中心中的接口配置以使用新的/30子网编址。
3:将更新的配置从FMC部署到HA对中的两个FTD设备。
4:确认策略部署成功完成,且没有配置错误。
预防建议
- 对于需要HA备用IP地址的路由接口,请始终使用/30或更大的子网。
- 在为HA部署设计IP编址方案之前,请查看《思科安全防火墙管理中心设备配置指南》。
- 仅将/31子网用于无高可用性要求的点对点链路(例如单节点部署或非故障切换方案)。
原因
尝试使用/31子网掩码(255.255.255.254)在接口上配置备用IP地址会导致部署失败。
/31子网仅提供两个可用IP地址(无专用网络或广播地址),这不会为HA配置中的独立备用IP留出空间。根据Cisco文档,不能在带有/31子网的接口上配置备用IP地址。
思科安全防火墙管理中心设备配置指南明确指出:“对于点对点连接,您可以指定31位子网掩码(255.255.255.254或/31)。 在这种情况下,没有为网络或广播地址保留IP地址。在这种情况下,不能设置备用IP地址。”
相关内容
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
2.0 |
16-Apr-2026
|
初始版本,重新认证。 |
1.0 |
18-Mar-2026
|
初始版本 |
反馈