对软件升级后ASA/FTD故障切换设备之间的不一致LINA主机名同步进行故障排除

问题

在高可用性(HA)配置中的安全防火墙威胁防御(FTD)软件升级后，观察到以下症状：

1. Lina主机名与之前使用configure network hostname CLISH命令配置的专家模式主机名不匹配，在本文中，该命令称为system hostname。Lina主机名与对等体的系统主机名匹配。在本示例中，具有系统主机名FPR1100-2的设备将FPR1100-1作为Lina主机名：

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-2     <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1  <--- Lina hostname is different than the system hostname

对等单元：

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-1         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1     <--- Lina hostname 

2.根据上一个示例，根据设备的升级前状态，Lina主机名更改如下：

2.1 — 场景1

• 升级前状态：系统主机名为FPR1100-1的单元为主用/主用，FPR1100-2为辅助/备用。 

• 升级后状态：两台设备上的Lina主机名均为FPR1100-1。

2.2 — 场景2

• 升级前状态：系统主机名为FPR1100-1的单元为主用/备用，FPR1100-2为辅助/主用。 

• 升级后状态：两台设备上的Lina主机名均为FPR1100-2。

此外，使用简单网络监控协议(SNMP)对象标识符。1.3.6.1.2.1.1.5.0轮询每个HA对等体的主机名将返回相同。

例如：

# snmpget -On -v2c -c cisco 192.0.2.1 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

# snmpget -On -v2c -c cisco 192.0.2.2 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

环境

• 在HA中运行FTD的FMC管理的Firepower 4112。其他硬件平台也受到影响。

• 从版本7.6.2.1升级到7.6.4后首次出现。其它版本也可能受到影响。

• 使用CLISH configure network hostname命令为HA中的FTD对等体配置自定义和不同的系统主机名。

分辨率

这些症状在Cisco Bug ID CSCwt25171中复制和记录。

如果目的是使Lina主机名与show network命令输出中的主机名保持同步，则存在两个已知解决方法选项：

1.在受影响的对等设备上，使用configure network hostname命令重新配置所需的主机名。此命令配置系统主机名并更新Lina主机名。

2.重新启动受影响的设备。请注意，根据环境，配置和流量重新启动操作可能在工作时间产生风险和影响。建议用户自行决定。

原因

Cisco Bug ID CSCwt25171（仅限注册用户）中记录的症状。

相关内容

以下是在高可用性配置中使用安全防火墙ASA和FTD进行复制时获得的额外发现：

ASA

如果以下任何情况属实，则Lina主机名不会从主用设备同步到备用设备，除非出现以下ASA例外情况之一： 

1.如果在独立设备上（最初可能是独立设备或在中断HA之后）防火墙模式发生更改，则配置不同的主机名，并配置故障转移。如果启用了日志记录，备用设备将报告配置匹配，尽管主机名最初是不同的： 

ASA2# . 
Detected an Active mate Secondary: 
Switching to Ok for reason Detected an Active peer. 
Configuration on Active and Standby is matching. <----- 

 2.在Windows中更改后#1使用no failover命令暂停故障切换，并使用failover命令恢复故障切换。 

ASA例外

如果以下任一情况为true，则同步Lina主机名： 

1.在#1例中，设备配置之间的差异不是主机名。换句话说，如果与主机名存在任何其他差异，则会启动完全同步，从而导致主机名同步。 

2.备用ASA升级或重新启动。 

3.在备用设备上暂停故障转移（无故障转移），同步在活动设备上进行的某些更改，并在备用设备上恢复故障转移（故障转移）。由于更改，将进行完全配置同步。 

FTD

如果以下任一情况属实，主机名不会从主用设备同步到备用设备，但除非出现以下FTD异常之一： 

1. FTD处于故障切换配置中，在备用设备上，用户使用CLISH命令配置不同的主机名配置网络主机名。 

2.如果最初引导的独立设备使用CLISH命令配置了不同的主机名，请配置网络主机名。 

3.如果在独立设备上（最初可能是独立设备或在中断故障转移后）防火墙模式发生更改，则使用CLISH configure network hostname命令配置不同的主机名，并配置故障转移。 

4.在#1-3更改后，如果HA暂停并恢复，或者备用设备重新启动，或者备用设备升级到补丁或主版本（仅限虚拟FTD），则会进行同步。

FTD例外

如果以下任一情况为真，则主机名已同步： 

1.在#3例中，设备配置之间的差异不是主机名。换句话说，如果与主机名存在任何其他差异，则会启动完全同步，从而导致主机名同步。 

2.备用设备升级到主版本（虚拟FTD除外，即使虚拟FTD主机名上的主版本升级也不同步）。 

3. HA挂起，活动单元上的配置被更改（例如，通过策略部署），故障切换被恢复。在这种情况下，由于设备之间的配置差异，从活动单元到备用单元（包括主机名）的完全复制将发生并同步主机名。