在高可用性配置中排除FMC GUI和輔助FTD CLI之間的介面狀態不匹配故障
目錄
問題
在安全防火牆管理中心(FMC)使用者介面(UI)中的高可用性(HA或故障轉移)配置中禁用安全防火牆威脅防禦虛擬(FTDv)的資料介面並成功部署策略後,出現以下症狀:
1. FMC UI和輔助/備用FTD CLI之間的介面管理狀態不匹配。在FMC UI介面上以管理方式停用,但在FTD CLI上啟用。
2.介面的管理狀態在HA裝置之間不同:介面在主裝置上管理性關閉,而在輔助/備用裝置上介面管理性關閉:
> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: FailoverLink GigabitEthernet0/7 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 8 of 311 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.20(2)121, Mate 9.20(2)121
Serial Number: Ours ABC123, Mate DEF123
Last Failover at: 05:30:31 UTC Apr 7 2026
This host: Secondary - Standby Ready
Active time: 83 (sec)
slot 0: ASAv hw/sw rev (/9.20(2)121) status (Up Sys)
Interface outside (192.168.1.1): Normal (Waiting) <-- No shutdown
Interface inside (192.168.2.1): Normal (Waiting) <-- No shutdown
Interface DMZ (192.168.3.1): Normal (Waiting) <-- No shutdown
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Primary - Active
Active time: 188332 (sec)
Interface outside (192.168.1.1): Link Down (Shutdown) <-- Shutdown
Interface inside (192.168.2.1): Link Down (Shutdown) <-- Shutdown
Interface DMZ (192.168.3.1): Link Down (Shutdown) <-- Shutdown
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
...
這種差異導致防火牆無法成功遷移。
環境
FMC管理的FTDv 7.4.2.4版本高可用性。其他軟體版本也可能受到影響。
主裝置處於活動狀態,輔助裝置處於備用狀態。症狀與主用/備用狀態相關,與主/輔助角色無關。
資料介面在FMC上關閉,並且部署策略。
解析
這些症狀在Cisco錯誤ID CSCwt99185中重現並記錄,並包含已記錄的解決步驟。
原因
介面狀態差異是由思科錯誤ID CSCwt99185所造成。
相關內容
思科錯誤ID CSCwt99185。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
06-May-2026
|
初始版本 |
意見