軟體升級後ASA/FTD故障切換裝置之間的LINA主機名同步不一致故障排除

問題

在高可用性(HA)配置中的安全防火牆威脅防禦(FTD)上進行軟體升級後，觀察到以下症狀：

1. Lina主機名與先前使用configure network hostname CLISH命令配置的專家模式主機名不匹配，在本文中將該命令稱為system hostname。Lina主機名與對等體的系統主機名匹配。在本示例中，系統主機名為FPR1100-2的單元將FPR1100-1作為Lina主機名：

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-2     <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1  <--- Lina hostname is different than the system hostname

對等裝置：

> show network 
===============[ System Information ]===============
Hostname                  : FPR1100-1         <----- system hostname
Domains                   : example.net
…
> show running-config hostname 
hostname FPR1100-1     <--- Lina hostname 

2.根據上一個示例，根據裝置的升級前狀態，Lina主機名更改如下：

2.1 — 場景1

• 預升級狀態：系統主機名為FPR1100-1的單元為主用/主用，FPR1100-2為輔助/備用。 

• 升級後狀態：兩台裝置上的Lina主機名均為FPR1100-1。

2.2 — 案例2

• 預升級狀態：系統主機名為FPR1100-1的單元為主用/備用，FPR1100-2為輔助/主用。 

• 升級後狀態：兩台裝置上的Lina主機名均為FPR1100-2。

此外，使用簡單網路監控協定(SNMP)對象識別符號.1.3.6.1.2.1.1.5.0輪詢每個HA對等項的主機名會返回相同的值。

舉例來說：

# snmpget -On -v2c -c cisco 192.0.2.1 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

# snmpget -On -v2c -c cisco 192.0.2.2 .1.3.6.1.2.1.1.5.0
.1.3.6.1.2.1.1.5.0 = STRING: FPR1100-1

環境

• 在HA中運行FTD的FMC管理的Firepower 4112。其他硬體平台也受到影響。

• 從版本7.6.2.1升級到版本7.6.4後首次出現。其他版本也可能會受到影響。

• 使用CLISH configure network hostname命令，在HA中為FTD對等體配置自定義主機名和不同的系統主機名。

解析

這些症狀在Cisco錯誤ID CSCwt25171中重現並記錄。

如果目的是在show network命令的輸出中使Lina主機名與主機名保持同步，則有兩個已知的解決方法選項：

1.在受影響的對等體上，使用configure network hostname命令重新配置所需的主機名。此命令配置系統主機名並更新Lina主機名。

2.重新啟動受影響的裝置。請注意，根據環境的不同，配置以及資料流重新啟動操作可能在工作時間有風險且有影響。建議使用者自行決定。

原因

思科錯誤ID CSCwt25171中記錄的症狀。

相關內容

以下是在高可用性配置中使用安全防火牆ASA和FTD進行複製時獲得的附加結果：

ASA

如果以下任一情況為真，則Lina主機名不會從主用裝置同步到備用裝置，除非發生以下ASA異常之一： 

1.如果在獨立裝置上（可能是初始獨立或在中斷HA之後）更改防火牆模式，則配置不同的主機名，並配置故障轉移。如果啟用日誌記錄，則備用裝置報告配置匹配，但主機名初始不同： 

ASA2# . 
Detected an Active mate Secondary: 
Switching to Ok for reason Detected an Active peer. 
Configuration on Active and Standby is matching. <----- 

 2.在Windows中發生更改後#1使用no failover命令暫停故障切換，並使用failover命令恢復故障切換。 

ASA例外

如果以下任一情況為true，則Lina主機名被同步： 

1.在#1例中，裝置配置之間的差異不是主機名。換句話說，如果與主機名一起存在任何其他差異，則啟動完全同步，從而實現主機名同步。 

2.待命ASA已升級或重新引導。 

3.在備用裝置上暫停故障轉移（無故障轉移），同步在活動裝置上進行的某些更改，並在備用裝置上恢復故障轉移（故障轉移）。由於更改，發生完全配置同步。 

FTD

如果以下任一情況為真，則主機名不會從主用裝置同步到備用裝置，除非發生以下FTD例外情況之一： 

1. FTD處於故障切換配置中，並且在備用裝置上，使用者使用CLISH命令configure network hostname配置其他主機名。 

2.如果初始引導的獨立裝置使用CLISH命令配置了不同的主機名，請配置網路主機名。 

3.如果在獨立裝置上（可能最初是獨立裝置或在中斷故障轉移後）防火牆模式發生更改，則使用CLISH configure network hostname命令配置不同的主機名，並配置故障轉移。 

4.在FTD發生變更後，如果HA暫停並繼續，或備用裝置重新啟動，或備用裝置升級為補丁或主要版#1-3（僅限虛擬FTD），則會發生同步。

FTD例外

如果以下任一情況為真，則主機名已同步： 

1.在#3例中，裝置配置之間的差異不是主機名。換句話說，如果與主機名一起存在任何其他差異，則啟動完全同步，從而導致主機名同步。 

2.備用裝置升級為主要版本（虛擬FTD除外，即使虛擬FTD主機名上的主要版本升級後也會不同步）。 

3. HA暫停，在活動裝置上更改配置（例如，通過策略部署），並恢復故障切換。在這種情況下，由於裝置之間的配置差異，從活動裝置到備用裝置（包括主機名）的完全複製將發生並同步主機名。