軟體升級後FTD群集資料節點加入群集故障排除

下載選項

  • PDF     (332.4 KB)
    在多種裝置上使用 Adobe Reader 檢視
已更新: 2026 年 5 月 14 日
文件 ID:225911

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

目錄

問題

軟體升級後,安全防火牆威脅防禦(FTD)叢集資料節點無法加入叢集。觀察到以下症狀:


1. show cluster history的輸出顯示裝置從DATA_NODE_CONFIG轉換到DISABLED狀態時的「配置複製失敗」錯誤消息: 

> show cluster history


09:52:55 UTC May 8 2026
DISABLED              ELECTION              Enabled from CLI

09:52:55 UTC May 8 2026
ELECTION              ONCALL                Event: Cluster unit unit-1-1 state
                                            is CONTROL_NODE

09:52:55 UTC May 8 2026
ONCALL                DATA_NODE_COLD        Received cluster control message

09:52:55 UTC May 8 2026
DATA_NODE_COLD        DATA_NODE_APP_SYNC    Client progression done

09:54:39 UTC May 8 2026
DATA_NODE_APP_SYNC    DATA_NODE_CONFIG      Data node application configuration sync done

09:54:53 UTC May 8 2026
DATA_NODE_CONFIG      DISABLED              Configuration replication failed


2.檔案/mnt/disk0/cluster_trace.log*包含與key命令的配置複製失敗和群集轉換為DISABLED狀態相關的消息:

May 08 09:54:50.538 [INFO]start to monitor Port-channel47
May 08 09:54:50.538 [DBUG]Send CCP message to all: CCP_MSG_HWIDB_STATE
May 08 09:54:50.568 [INFO]start to monitor Ethernet1/5
May 08 09:54:50.568 [DBUG]Send CCP message to all: CCP_MSG_HWIDB_STATE
May 08 09:54:50.738 [CRIT]Config syncing failure: context single_vf, line 1027, CLI " key >".
May 08 09:54:50.748 [DBUG]Send event (PROGRESSION_FAILURE, n/a, n/a, 94350991600520) to FSM. Current state DATA_NODE_CONFIG
May 08 09:54:50.748 [INFO]cluster_fsm_disable: The clustering re-enable timer is stopped.
May 08 09:54:50.748 [DBUG]Send CCP message to all: CCP_MSG_QUIT from unit-2-1 for reason CLUSTER_QUIT_REASON_RETIREMENT
May 08 09:54:50.748 [DBUG]Send event (CONTROL_NODE_GONE, n/a, n/a, 94350991600224) to FSM. Current state DISABLED


3.檔案/ngfw/var/log/ASAconsole.log*還包含與key命令的配置複製失敗和群集轉換為DISABLED狀態相關的消息:

2026-05-08 09:49:51 Detected Cluster Control Node.
2026-05-08 09:50:01 Beginning configuration replication from Control Node.

2026-05-08 09:50:02 livecore enabled
2026-05-08 09:50:02 ........................
2026-05-08 09:50:02  key 
2026-05-08 09:50:02      ^
2026-05-08 09:50:02 ERROR: % Input should be less than 64 characters at '^' marker.
2026-05-08 09:50:02 *** Output from config line 1027, " key ..."
2026-05-08 09:50:02
2026-05-08 09:50:02 Failed configuration replication from Control Node.
2026-05-08 09:50:02 Cluster disable is performing cleanup..done.
2026-05-08 09:50:04 Unit unit-2-1 is quitting due to system failure for 3 time(s) (last failure is Internal clustering error). Rejoin will be attempted after 20 minutes.

環境

  • 在多例項集群部署中採用FTD的Firepower 4145。在多例項或本機模式部署中在Firepower 4100/9300上運行的群集也會受到影響。

  • FTD叢集由FMC管理。

  • FTD軟體版本從7.6.2升級到7.6.4。其他來源或目標軟體版本也可能會受到影響。

解析

最初,群集金鑰配置為64個字元長度的字串。根據Secure FXOS for Firepower 4100/9300 CLI或機箱管理器(FCM)配置指南中的「邏輯裝置」部分,集群金鑰是長度為1到63個字元的ASCII字串。因此,使用FCM使用者介面邏輯裝置設定,群集金鑰長度減少到少於64個字元。

原因

雖然已記錄集群金鑰的最大長度限制,但在FXOS軟體級別(FXOS CLI或FCM)不會強制執行該限制。允許使用者配置超過字元數的集群金鑰。儘管字元數達到最大值,但裝置仍可以在7.6.2版中加入群集。但是,升級之後,軟體將強制驗證導致無法加入群集的金鑰長度。這是未記錄的行為更改。思科錯誤ID CSCwn53819會在內部複製並追蹤這些症狀。

此外,作為重現工作的一部分,已提交思科錯誤ID CSCwu3563和思科錯誤ID CSCwu3553,以分別跟蹤FCM和FXOS CLI上缺少群集金鑰長度驗證的情況。

相關內容

修訂記錄

修訂 發佈日期 意見
1.0
14-May-2026
初始版本
TAC Authored

由思科工程師貢獻

  • 伊爾金·加西莫夫
    Cisco TAC工程師
  • 米基斯·扎菲魯迪斯
    Cisco TAC工程師

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品