安全防火墙FTD高可用性同步接口检查失败

下载选项

  • PDF     (329.8 KB)
    在各种设备上使用 Adobe Reader 查看
已更新: 2026 年 5 月 5 日
文档 ID:225852

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

目录

问题

高可用性(HA)对中的FTD始终以Failed状态显示。HA对等体之间的配置同步未完成,尽管设备之间成功建立了IP连接。部署是运行思科安全防火墙威胁防御软件的新实施,尚未投入生产。

问题出现在主设备移动到其最终位置并且其管理IP地址已更改而不首先中断HA对之后。HA进程检测到受监控数据接口上的接口检查失败,这触发了HA状态评估逻辑将主设备置于“失败”角色中。

环境

  • 安全防火墙FTD高可用性,由FMC管理

  • 迁移活动的新部署,尚未投入生产

分辨率

解决方案涉及从HA接口监控配置中删除选定的数据接口,以防止错误故障检测。

执行的故障排除步骤

1:故障排除数据确认受监控数据接口上的HA接口检查失败,而HA对等体连接(心跳和ping)仍可正常工作。

device# show failover
Failover On 
Failover unit Primary
Failover LAN Interface: FailOver Ethernet1/8 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 5 of 776 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.20(2)121, Mate 9.20(2)121
Serial Number: Ours SERIAL#, Mate SERIAL#
Last Failover at: 17:14:25 UTC Mar 16 2026
	This host: Primary - Failed 
		Active time: 0 (sec)
		slot 0: FPR-1120 hw/sw rev (2.0/9.20(2)121) status (Up Sys)
		  Interface To-DC1-ACC (0.0.0.0): No Link (Waiting)
		  Interface To-DC1-WAN (0.0.0.0): No Link (Waiting)
		  Interface management (203.0.113.131/fe80::a610:b6ff:fe3d:e101): Normal (Monitored)
		slot 1: snort rev (1.0)  status (up)
		slot 2: diskstatus rev (1.0)  status (up)
	Other host: Secondary - Active 
		Active time: 184688 (sec)
		  Interface To-DC1-ACC (0.0.0.0): No Link (Waiting)
		  Interface To-DC1-WAN (10.230.2.2): Normal (Waiting)
		  Interface management (203.0.113.130/fe80::6ae5:9eff:fee6:d681): Normal (Monitored)
		slot 1: snort rev (1.0)  status (up)
		slot 2: diskstatus rev (1.0)  status (up)

2:确认高可用性状态转换基于接口监控结果,而非管理平面连接问题。

device# show failover history
17:16:51 UTC Mar 16 2026
Standby Ready              Failed                     Interface check
                                                      This host:2
                                                      single_vf: To-DC1-ACC
                                                      single_vf: To-DC1-WAN
                                                      Other host:1
                                                      single_vf: To-DC1-ACC

配置更改

1:HA配置已更新为从接口运行状况监控中排除受影响的数据接口,从而防止错误故障检测。

2:配置更改后,主FTD成功转换为备用就绪状态,确认正确的HA同步和状态稳定性。

3:已成功完成HA故障转移测试,并获得了预期结果,从而在更改后验证HA配置的稳定性。

预期行为说明

根据设计,在故障排除期间观察到的以下行为是预期行为:

  • FTD对等体上的主机名重复:显示相同主机名的两个设备在FTD HA中是预期行为,因为活动设备主机名在系统范围内显示(在增强请求CSCwe31354下跟踪)

  • IP地址所有权:只有活动FTD在数据接口上显示活动IP地址,这是为防止大脑分裂而设计的预期行为。如果未配置任何接口备用IP地址,则Standby Ready FTD显示为未在其接口上配置IP地址。

原因

主FTD被标记为“由于高可用性接口运行状况检查失败导致受监控数据接口上的主FTD”,从而导致具有更多操作接口的对等体保持活动状态。此行为由FTD高可用性中的设计提供,并记录在思科安全防火墙HA指南中。HA进程检测到受监控数据接口上的接口检查失败,这触发了HA状态评估逻辑将主设备置于“失败”角色中。

相关内容

修订历史记录

版本 发布日期 备注
1.0
05-May-2026
初始版本
TAC Authored

由思科工程师提供

  • 伊科·基罗斯 — 加西亚
    技术咨询工程师

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品