問題
在埠通道上建立並為FTD HA備用IP地址分配了IP地址x.x.x/31的子介面。但是,從FMC部署策略時,部署始終失敗,並出現配置錯誤。
ip address x.x.x.240 255.255.255.254 standby x.x.x.241
^
錯誤: %在「^」標籤處檢測到無效輸入。
配置錯誤 — ip address x.x.x.240 255.255.255.254 standby x.x.x.241
環境
- 在高可用性配置中運行FTD 7.2的Cisco Firepower FPR-4112裝置
- 由Firepower管理中心(FMC)管理
- 軟體版本:7.4.2
- 在port-channel上配置子介面。
- IP編址方案:x.x.x.240/31,帶備用IP x.x.x.241
解析
對於任何需要FTD HA備用IP地址的路由介面,通過將子網掩碼從/31更改為/30可以解決部署故障。
推薦的解決方案
對於需要HA備用IP地址的任何路由介面,使用/30子網(255.255.255.252)而不是/31。/30子網提供四個地址(網路、兩個可用主機IP和廣播),允許活動IP和備用IP共存。
實施步驟
1:從當前的/31編址方案更改為/30子網,該子網為活動和備用配置提供足夠的IP地址。
2:更新Firepower管理中心中的介面配置以使用新的/30子網定址。
3:從FMC將更新的配置部署到HA對中的兩台FTD裝置。
4:確認策略部署成功完成,且沒有配置錯誤。
預防建議
- 對於需要HA備用IP地址的路由介面,請始終使用/30或更大的子網。
- 在為HA部署設計IP編址方案之前,請檢視Cisco Secure Firewall Management Center裝置配置指南。
- 僅對沒有HA要求的點對點鏈路使用/31子網(例如單節點部署或非故障切換方案)。
原因
部署失敗是由於嘗試使用/31子網掩碼(255.255.255.254)在介面上配置備用IP地址所致。
/31子網僅提供兩個可用IP地址(無專用網路或廣播地址),這不會為HA配置中的單獨備用IP留出空間。根據Cisco文檔,不能在具有/31子網的介面上配置備用IP地址。
思科安全防火牆管理中心裝置配置指南明確指出:「對於點對點連線,可以指定31位子網掩碼(255.255.255.254或/31)。 在這種情況下,沒有為網路或廣播地址保留IP地址。在這種情況下,您無法設定備用IP地址。」
相關內容
意見