在備用FTD介面IP上部署/31子網失敗

問題

在埠通道上建立並為FTD HA備用IP地址分配了IP地址x.x.x/31的子介面。但是，從FMC部署策略時，部署始終失敗，並出現配置錯誤。

ip address x.x.x.240 255.255.255.254 standby x.x.x.241

^

錯誤： %在「^」標籤處檢測到無效輸入。

配置錯誤 — ip address x.x.x.240 255.255.255.254 standby x.x.x.241

環境

• 在高可用性配置中運行FTD 7.2的Cisco Firepower FPR-4112裝置
• 由Firepower管理中心(FMC)管理
• 軟體版本：7.4.2
• 在port-channel上配置子介面。
• IP編址方案：x.x.x.240/31，帶備用IP x.x.x.241

解析

對於任何需要FTD HA備用IP地址的路由介面，通過將子網掩碼從/31更改為/30可以解決部署故障。

推薦的解決方案

對於需要HA備用IP地址的任何路由介面，使用/30子網(255.255.255.252)而不是/31。/30子網提供四個地址（網路、兩個可用主機IP和廣播），允許活動IP和備用IP共存。

實施步驟

1：從當前的/31編址方案更改為/30子網，該子網為活動和備用配置提供足夠的IP地址。

2：更新Firepower管理中心中的介面配置以使用新的/30子網定址。

3：從FMC將更新的配置部署到HA對中的兩台FTD裝置。

4：確認策略部署成功完成，且沒有配置錯誤。

預防建議

• 對於需要HA備用IP地址的路由介面，請始終使用/30或更大的子網。
• 在為HA部署設計IP編址方案之前，請檢視Cisco Secure Firewall Management Center裝置配置指南。
• 僅對沒有HA要求的點對點鏈路使用/31子網（例如單節點部署或非故障切換方案）。

原因

部署失敗是由於嘗試使用/31子網掩碼(255.255.255.254)在介面上配置備用IP地址所致。

/31子網僅提供兩個可用IP地址（無專用網路或廣播地址），這不會為HA配置中的單獨備用IP留出空間。根據Cisco文檔，不能在具有/31子網的介面上配置備用IP地址。

思科安全防火牆管理中心裝置配置指南明確指出：「對於點對點連線，可以指定31位子網掩碼（255.255.255.254或/31）。 在這種情況下，沒有為網路或廣播地址保留IP地址。在這種情況下，您無法設定備用IP地址。」

相關內容

• 思科安全防火牆管理中心裝置配置指南7.4
• 思科技術支援與下載