在高可用性配置中，排除FMC GUI和辅助FTD CLI之间的接口状态不匹配问题

问题

在安全防火墙管理中心(FMC)用户界面(UI)中以高可用性（HA或故障切换）配置禁用安全防火墙威胁防御虚拟(FTDv)的数据接口并成功部署策略后，观察到以下症状：

1. FMC UI和辅助/备用FTD CLI之间的接口管理状态不匹配。在FMC UI接口上管理性禁用，而在FTD CLI上启用这些接口。

2.接口的管理状态在HA设备之间不同：主设备上的接口管理性关闭，而辅助/备用设备上的接口管理性关闭：

> show failover
 
Failover On
Failover unit Secondary
Failover LAN Interface: FailoverLink GigabitEthernet0/7 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 8 of 311 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.20(2)121, Mate 9.20(2)121
Serial Number: Ours ABC123, Mate DEF123
Last Failover at: 05:30:31 UTC Apr 7 2026
        This host: Secondary - Standby Ready
                Active time: 83 (sec)
                slot 0: ASAv hw/sw rev (/9.20(2)121) status (Up Sys)
                  Interface outside (192.168.1.1): Normal (Waiting) <-- No shutdown
                  Interface inside (192.168.2.1): Normal (Waiting)  <-- No shutdown
                  Interface DMZ (192.168.3.1): Normal (Waiting)     <-- No shutdown          
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
        Other host: Primary - Active
                Active time: 188332 (sec)
                  Interface outside (192.168.1.1): Link Down (Shutdown) <-- Shutdown
                  Interface inside (192.168.2.1): Link Down (Shutdown)  <-- Shutdown
                  Interface DMZ (192.168.3.1): Link Down (Shutdown)     <-- Shutdown             
                slot 1: snort rev (1.0)  status (up)
                slot 2: diskstatus rev (1.0)  status (up)
...

这种差异导致防火墙无法成功迁移。

环境

• FMC管理的FTDv版本7.4.2.4（高可用性）。其他软件版本也可能受到影响。

• 主设备处于活动状态，辅助设备处于备用状态。症状与主用/备用状态相关，与主用/辅助角色无关。

• 在FMC上关闭数据接口并部署策略。

分辨率

这些症状在Cisco Bug ID CSCwt99185中重现并记录，并附带记录的解决步骤。

原因

接口状态差异是由于Cisco Bug ID CSCwt99185。

相关内容

• 思科漏洞ID CSCwt99185。