Konfigurieren der Hochverfügbarkeit auf PAN-OS

Konfigurieren der Hochverfügbarkeit auf PAN-OS

316807
Created On 09/25/18 17:30 PM - Last Modified 01/18/23 20:47 PM


Symptom


Dieses Dokument beschreibt die Konfiguration von High Availability (HA) auf einem Paar identischer Palo Alto Networks Firewalls mit Screenshots.

 

Environment


  • Palo Alto Firewalls
  • Unterstützt PAN-OS.
  • Aktiv/Passiv Hochverfügbarkeit (HA)

Anmerkung: In diesem Dokument wird nicht auf die Konfiguration HA für PA-200 Geräte eingegangen.

Resolution


Der Artikel verwendet Datenschnittstellen als HA Ports, Wenn die Firewalls einen dedizierten HA Port haben, müssen sie für HA1/HA2-Konnektivität zwischen Firewalls.

Schritte:

Erste Gerät konfigurieren

  1. Gehen Sie zur Registerkarte "Netzwerk" > Schnittstellen.

    SS1.png

    Anmerkungen:

    Die HA Links sollten dem folgenden Screenshot ähneln.

    SS2.png

    1. Bestätigen Sie, dass die HA geplanten Links nach oben sind.
    2. Konfigurieren Sie beide Schnittstellen als Schnittstellentyp HA .
    • Überspringen Sie diesen Schritt, wenn Sie ein Paar von PA-3000 PA-4000 , oder PA-5000 Series-Geräten konfigurieren. Alle anderen Firewalls, einschließlich VM- der Serie, erfordern, dass bestimmte Ports als Typ konfiguriert HA werden.
  2. Wechseln Sie zur Registerkarte Gerät > Hochverfügbarkeits> Allgemein.

    SS3.png
     

    Anmerkungen:

    1. Suchen Sie den Abschnitt Setup.
    2. Klicken Sie auf das Zahnrad Zahnrad zum Anzeigen/Einstellungen bearbeiten.
    3. Aktivieren Sie HA.
    4. Geben Sie eine Gruppe ID ein, die mit beiden Mitgliedern übereinstimmt.
    5. Geben Sie eine IP Adresse für das Peer es Control LInk ein. Dies wird im nächsten Schritt verwendet werden.
    6. Config-Synchronisierung zu ermöglichen.
    • Der Cluster ID wird beim Erstellen des virtuellen für MAC L3-Instanzen verwendet. Wenn sich mehr als ein Cluster im selben L2-Netzwerk befindet, muss der ID in jedem Cluster unterschiedlich sein.
    • Die HA IP Peeradresse (Control Link) kann eine beliebige Adresse sein, IP die derzeit nicht im Netzwerk verwendet wird.
    • Es wird empfohlen, eine HA IP Sicherungspeeradresse hinzuzufügen, wenn genügend freie Ports vorhanden sind.
  3. Finden Sie von der Registerkarte "Allgemein" im Abschnitt Control Link und klicken Sie auf primär.

    SS4.png
     

    Anmerkungen:

    1. Wählen Sie die erste HA Schnittstelle aus, die für den Control Link des ersten Geräts verwendet werden soll.
    2. Ener eine IP Adresse, die sich im selben Subnetz wie die HA IP Peer-Adresse befindet, konfiguriert in Schritt 2.
    • Wenn die Steuerungsverknüpfung nicht direkt mit der anderen verbunden firewall ist, können Sie die Verschlüsselung ( AES-256 aktivieren).
    • Wenn Control Link IPs auf separaten broadcast-Domänen, nur das Tor muss konfiguriert werden, ist sonst es nicht notwendig.
  4. Finden Sie von der Registerkarte "Allgemein" im Abschnitt Datenlink und klicken Sie auf primäre:

    SS5.png
     

    Hinweise: Transportmethoden

    1. Wählen Sie die andere HA Schnittstelle aus, die für die Datenverknüpfung verwendet werden soll.
    2. Konfigurieren Sie die IP Informationen für die Datenverknüpfung.
    3. Stellen Sie sicher, dass das Kontrollkästchen aktiviert aktiviert ist.
    • Ethernet: Verwenden Sie wenn die Firewalls Rücken an Rücken verbunden sind oder über einen Switch (Ethertype 0x7261).
    • IP: Verwenden Sie diese Version, wenn ein Layer-3-Transport erforderlich ist IP (Protokollnummer 99).
    • UDP: Verwenden Sie diese Option, um die Tatsache zu nutzen, dass die Prüfsumme für das gesamte Paket und nicht nur für den Header berechnet wird, wie in der IP Option ( UDP Port 29281).
  5. Suchen Sie aus der Registerkarte "Allgemein" den Abschnitt Wahl Einstellungen, und klicken Sie auf das Zahnrad Zahnrad:

    SS6.png
     

    1. Eine der Firewalls als aktiv festlegen möchten, aktivieren Sie Preemptive auf beide Firewalls und legen Sie die Priorität des Geräts.

      Das Gerät mit der niedrigsten Priorität Gerät ist das aktive Gerät.

    2. Alle anderen Einstellungen hier zu erfahren, klicken Sie auf das? in der oberen rechten Ecke für ausführliche Erläuterungen.
    3. Wenn die Zustandssynchronisierung aktiviert ist; Die Sitzungstabelle, weiterleitungstabelle, ARP Tabelle und VPN Sicherheitszuordnungen (Security Associations, SAs) werden über HA2 vom aktiven Gerät auf das passive Gerät kopiert.Wenn das passive Gerät übernommen wird, werden vorhandene Sitzungen fortgesetzt.
    4. Wenn die Geräte IP über eine Verbindung zwischen den Verwaltungs-IPs verfügen, wird empfohlen, die Heartbeat-Sicherung zu aktivieren, die Pings über die Verwaltungsschnittstelle sendet.
  6. Übernehmen Sie die Konfiguration.

    An diesem Punkt erhält jede Layer3-Schnittstelle eine neue (gemeinsame) MAC Adresse, und mehrere unentgeltliche ARPs werden an jede layer3-Schnittstelle gesendet, die die angeschlossenen Schalter über die neue IP MAC /Kombination informiert.

    SS7.png
     

  7. Bestätigen Sie, dass die HA auf der lokalen aktiv firewall ist.

    Der firewall Status sollte aktiv angezeigt werden, und die anderen Werte sollten unbekannt sein, wie unten gezeigt:

    SS8.png
     

    1. Wechseln Sie zur Registerkarte Dashboard.
    2. Die hohe Verfügbarkeit-Widget hinzufügen.
    3. Widgets > System > hohe Verfügbarkeit.

  8. Konfigurieren Sie das Peer-Gerät.

  9. Lesen Sie in Schritt 1, stellen Sie sicher, dass das Peer-Gerät über zwei HA Links verfügt, die für die Kommunikation mit den Verbindungen des ersten Geräts konfiguriert HA sind.

    SS9.png
     

    1. Wechseln Sie zum Setup-Abschnitt des Peer-Geräts, und aktivieren HA Sie . Sie finden Sie unter Schritt 2.
    2. Weisen Sie denselben Cluster ID wie auf dem anderen Gerät zu.
    3. Geben Sie die Adresse ein, IP die dem firewall Kontrolllink von 's zugewiesen ist.
    4. Config-Synchronisierung zu ermöglichen.
  10. Finden Sie von der Registerkarte "Allgemein" im Abschnitt Control Link und klicken Sie auf primär.

    SS10.png
     

    Hinweis: Wenn die Verschlüsselung auf dem ersten Gerät aktiviert ist, aktivieren Sie diese auch hier.

    1. Wählen Sie die erste HA Schnittstelle aus, die für den Steuerlink des zweiten Geräts verwendet werden soll.
    2. Geben Sie eine IP Adresse ein, die sich im selben Subnetz wie die HA IP in Schritt 8 konfigurierte Peeradresse befindet.
  11. Finden Sie von der Registerkarte "Allgemein" im Abschnitt Datenlink und klicken Sie auf primäre:

    SS11.png
     

    1. Wählen Sie die andere HA Schnittstelle aus, die für die Datenverknüpfung verwendet werden soll.
    2. Konfigurieren Sie die IP Informationen für die Datenverknüpfung.
    3. Stellen Sie sicher, dass das Kontrollkästchen aktiviert aktiviert ist.
    4. Stellen Sie sicher, die Transport-Dropdown-Liste die erste Konfiguration des Geräts übereinstimmt.
  12. Replizieren Sie die Einstellungen auf dem ersten Gerät mit Ausnahme von aktivierten Preemptive auf dem ersten Gerät:

    SS12.png
     

    Bei dieser Konfiguration ist Preemptive aus.

    1. Preemptive aktivieren.
    2. Konfigurieren Sie das Feld "Priority". A höhere Zahl bedeutet niedrigere Priorität.
  13. Übernehmen Sie die Änderungen auf dem zweiten Gerät:

    SS13.png
     

  14. Gehen Sie zu dem ersten Gerät.

    SS14.png
     

    1. Es zeigt immer noch als aktiv und versteht das Peer-Gerät als passiv zu gewährleisten.
    2. Stellen Sie sicher, dass alle dynamischen Updates synchronisiert werden.
    3. In diesem Beispiel Antivirus und GlobalProtect werden nicht synchronisiert.
  15. Update nach Bedarf, damit alles passt, wie unten dargestellt:

    SS15.png
     

  16. Sobald alles auf beiden Geräten passt, gehen Sie zur Registerkarte "Dashboard" des aktiven Mitglieds und klicken Sie auf synchronisieren, um peer. Es sollte sagen, Synchronisation im Gange.

    SS16.png
     

  17. Wechseln Sie zum zweiten (passiven) CLI Gerät, und überprüfen Sie den HA Synchronisierungsprozess, indem Sie:

    > zeigen alle jobs

    Die ersten beiden Versuche schlugen fehl. Ermitteln und beheben der Ursache des Fehlers.

    SS17.png
     

  18. Um weitere Informationen über den fehlerhaften Auftrag zu erhalten, führen Sie Folgendes aus:

    > <id number of the HA- Jobs-id-Sync-Auftrag anzeigen>

    Der erste Synchronisierungsfehler ist ID 13.

    SS18.png
     

    Es gibt eine Sicherheitsregel auf dem passiven Gerät namens "Samir", die dazu führt, dass der HA- Synchronisierungsprozess fehlschlägt. Die Regel ist eine freigegebene Regel aus einer früheren Panorama Konfiguration.

    Löschen Sie die Regel und führen Sie die Synchronisierung wieder aus der Registerkarte "Übersicht" das aktive Gerät seinesgleichen. Der Auftrag wurde diesmal erfolgreich beendet:

    SS19.png

    Hoher Verfügbarkeit konfiguriert ist.
     

  19. Konfigurieren Sie Link Monitoring und Pfad (optional):

    SS20.png
     

    1. Registerkarte "Gerät" > Hochverfügbarkeit > Registerkarte Link und Wegüberwachung.
    2. In diesem Beispiel Überwachung alle Links. Das bedeutet, wenn Link-State auf das aktive Gerät ausfällt, wenn ein Failover auftritt.
    3. In diesem Beispiel ist die Wegüberwachung nicht konfiguriert.
    4. Klicken Sie auf das "?" Schaltfläche in der oberen rechten Ecke der Registerkarte Link und Wegüberwachung Link Monitoring und Wegüberwachung nachlesen.

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGNCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language