由於介面導致cdFMC的FTD部署失敗
目錄
問題
雲交付的Firepower管理中心(cdFMC)無法將配置更改部署到裝置。部署始終以約10%的進度失敗,並顯示以下錯誤消息:「由於生成裝置配置失敗,部署失敗。如果重試後問題仍然存在,請與Cisco TAC聯絡。
嘗試配置虛擬隧道介面(VTI)站點到站點VPN時,最初觸發了此問題。但是,回滾VPN配置不會解決部署失敗,並且只有特定裝置受到影響,而其他受管裝置繼續成功部署。
環境
運行FTD版本7.4.2的Cisco安全防火牆1140(FPR1140)裝置,由cdFMC 10.0.93管理
獨立cdFMC和FTD配置
觸發問題的VTI站點到站點VPN配置和刪除嘗試
解析
通過對cdFMC和受影響的FTD裝置之間的管理介面狀態進行虛擬編輯,解決了部署故障。此過程涉及從cdFMC使用者介面取消合併並重新合併FTD管理介面。
已執行的故障排除步驟
1:分析部署歷史記錄、預覽和部署記錄,確認配置生成階段出現的失敗進度約為10%。
===============FMC DEPLOY===============
DEVICE SNAPSHOT ERROR: "Deployment halted due to interface data inconsistency in Firewall Management Center" "Deployment halted due to interface data inconsistency in Firewall Management Center at /usr/local/sf/lib/perl/5.34.3/SF/UMPD/Plugins/NGFWPolicy/Manager.pm line 254.
SF::UMPD::Plugins::NGFWPolicy::Manager::populateDeviceSnapshot(<SF::UMPD::Snapshot>, <SF::UMPD::CSMData>, <SF::UMPD::Snapshot>, "UUID", undef) called at /usr/local/sf/lib/perl/5.34.3/SF/UMPD/Plugin.pm line 236
SF::UMPD::Plugin::execute("SF::UMPD::Plugins::NGFWPolicy::Manager", "populateDeviceSnapshot", <SF::UMPD::Snapshot>, <SF::UMPD::CSMData>, <SF::UMPD::Snapshot>, "UUID", undef) called at /usr/local/sf/lib/perl/5.34.3/SF/UMPD/Framework.pm line 819
SF::UMPD::Framework::populateDeviceSnapshot("/var/cisco/umpd/51539718357/DC_policy_deployment.db", "/var/cisco/umpd/51539718357/UUID"..., "UUID") called at -e line 1" at UMPD->Plugins->NGFWPolicy
===============TRANSACTION INFO===============
Transaction ID: 51539718357
Device UUID: UUID
Transaction ID: 51539718357
Selected policy group list: Prefilter Policy, Access Control Policy, NGFW Interface, NGFW Automatic Application Bypass, FlexConfig Policy, NGFW Inline-set, BGP Routing Policy, DDNS, SNMP Policy, Static Route Policy, Multicast Boundary Filter Policy, OSPFv3 Routing Policy, IGMP Multicast Routing Policy, OSPF Routing Policy, Virtual Router, ECMP Zone, DHCP Server, PIM Multicast Routing Policy, IPv6 Static Route Policy, DHCP Relay, EIGRP Routing Policy, Multicast Route Policy, RIP Routing Policy, Nat Policy, NGFW Settings, Remote Access VPN, Site to Site VPN, Site to Site VPN, Network Discovery, Intrusion Policy, NGFW Policy, Network Analysis Policy, DNS Policy
2:已收集cdFMC和受影響的FTD裝置的故障排除和尾部檔案,以確定部署失敗的根本原因。
Mar 25 17:26:14 CDFMC mojo_server.pl[20297]: DEVICE SNAPSHOT ERROR: "Deployment halted due to interface data inconsistency in Firewall Management Center" "
Mar 25 17:26:14 CDFMC mojo_server.pl[20297]: Deployment halted due to interface data inconsistency in Firewall Management Center at /usr/local/sf/lib/perl/5.34.3/SF/UMPD/Plugins/NGFWPolicy/Manager.pm line 254.
Mar 25 17:26:14 CDFMC mojo_server.pl[20297]: SF::UMPD::Plugins::NGFWPolicy::Manager::populateDeviceSnapshot(<SF::UMPD::Snapshot>, <SF::UMPD::CSMData>, <SF::UMPD::Snapshot>, "UUID", undef) called at /usr/local/sf/lib/perl/5.34.3/SF/UMPD/Plugin.pm line 236
Mar 25 17:26:14 CDFMC mojo_server.pl[20297]: SF::UMPD::Plugin::execute("SF::UMPD::Plugins::NGFWPolicy::Manager", "populateDeviceSnapshot", <SF::UMPD::Snapshot>, <SF::UMPD::CSMData>, <SF::UMPD::Snapshot>, "f0d39b4e-1a4a-11f0-a43d-a7dc4a47302f", undef) called at /usr/local/sf/lib/perl/5.34.3/SF/UMPD/Framework.pm line 819
Mar 25 17:26:14 CDFMC mojo_server.pl[20297]: SF::UMPD::Framework::populateDeviceSnapshot("/var/cisco/umpd/51539678480/DC_policy_deployment.db", "/var/cisco/umpd/51539678480/UUID"..., "UUID") called at -e line 1" at UMPD->Plugins->NGFWPolicy
3:內部分析根據軟體從7.2.4升級到7.4.2後產生的缺陷Cisco錯誤ID CSCwt46144,識別與FTD管理介面狀態相關的異常情況。
解決步驟
1:如果管理介面出現問題,請從FTD CLI或cdFMC UI確認FTD是否有融合介面。如果是這樣,管理介面需要取消合併並重新合併,因為在融合介面上無法進行虛擬編輯。
附註:對於可能導致此缺陷的任何其他介面,解決方法是為指定介面部署「虛擬編輯」。
> show management-interface convergence
management-interface convergence
>
2:訪問cdFMC UI Devices > Device Management,然後點選Firewall Threat Defense的編輯(編輯圖示),並取消合併受影響的FTD裝置管理介面以重置裝置管理狀態。對於管理介面,按一下取消合併管理介面(取消合併管理介面)。
介面恢復為Diagnostic0/0。
2:從cdFMC使用者介面重新合併FTD管理介面,以將裝置管理狀態與cdFMC重新同步。
3:重新合併操作完成後,對所有掛起的配置更改執行完整部署。
4:確認部署成功完成,且沒有錯誤,且所有配置更改均已正確應用於FTD裝置。
原因
此問題是由思科錯誤ID CSCwt46144引起的。從版本7.2.4升級到7.4.2後,受影響的FTD裝置上引入了陳舊且不一致的管理介面狀態。這種不一致使cdFMC無法成功構建和推送裝置特定的配置,導致在配置生成階段早期部署失敗。管理介面狀態異常會特別影響cdFMC和FTD裝置之間的通訊和同步,導致部署過程失敗,然後任何配置更改都可以應用到目標裝置。
該缺陷是cdFMC裝置特有的,並打算在下一版10.0.94中cdFMC解決。
相關內容
思科錯誤ID CSCwt46144 — 策略部署失敗率10%,出現錯誤 — 由於防火牆管理中心中的介面資料不一致,部署暫停
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
26-May-2026
|
初始版本 |
意見