Cómo configurar la alta disponibilidad en PAN-OS

El artículo utiliza interfaces de datos como HA puertos, Si los firewalls tienen un puerto dedicado HA , deben hacerlo para la conectividad HA1 / HA2 entre firewalls.

Pasos:

Configurar el primer dispositivo

1. Ir a la pestaña Red > Interfaces.

   

   Notas:

   Los HA vínculos deben tener un aspecto similar a la siguiente captura de pantalla.

   

   1. Confirme que los HA enlaces planificados están actualizados.
   2. Configure ambas interfaces para que sean tipo de HA interfaz.
   • Omita este paso si configura un par de PA-3000 dispositivos o PA-4000 PA-5000 series. Todos los demás firewalls, incluida VM- la serie, requieren que se configuren puertos específicos como HA tipo.
2. Vaya a la pestaña Dispositivo > Alta disponibilidad > General.

   
    

   Notas:

   1. Busque la sección de configuración.
   2. Haga clic en el engranaje del engranaje para ver/editar la configuración.
   3. Habilite HA.
   4. Escriba un grupo ID que coincida con ambos miembros.
   5. Ingrese una IP dirección para el LInk del control del par. Esto se utilizará en el siguiente paso.
   6. Habilitar sincronización de configuración.
   • El clúster ID se utiliza al crear la instancia virtual para MAC L3. Cuando más de un clúster está en la misma red L2, el ID debe ser diferente en cada clúster.
   • La dirección del mismo nivel HA IP (vínculo de control) puede ser cualquier IP dirección que no se esté utilizando actualmente en la red.
   • Se recomienda agregar una dirección del mismo nivel de copia de HA IP seguridad si hay suficientes puertos libres.
3. En la ficha General, busque la sección de enlace de Control y haga clic en primaria.

   
    

   Notas:

   1. Elija la primera HA interfaz que se utilizará para el enlace de control del primer dispositivo.
   2. Ener una IP dirección que está en la misma subred que la dirección del mismo HA IP nivel, configurada en el paso 2.
   • Si el vínculo de control no está conectado directamente al otro , es posible que desee habilitar el firewall cifrado ( AES-256 ).
   • Si la IPs de enlace de Control están en dominios separados de broadcast, sólo la puerta de entrada necesita ser configurado, de lo contrario no es necesario.
4. En la ficha General, busque la sección de enlace de datos y haga clic en primaria:

   
    

   Notas: Métodos de transporte

   1. Elija la otra HA interfaz que se utilizará para el link de datos.
   2. Configure la IP información para el vínculo de datos.
   3. Asegúrese de que está marcada la casilla de habilitado.
   • Ethernet: Utilice los servidores de seguridad están conectados espalda con espalda o a través de un interruptor (Ethertype 0x7261).
   • IP: Utilice cuando se requiera transporte de capa 3 IP (número de protocolo 99).
   • UDP: Utilice para aprovechar el hecho de que la suma de comprobación se calcula en todo el paquete en lugar de sólo el encabezado, como en la IP opción ( UDP puerto 29281).
5. En la ficha General, busque la sección configuración de la elección y haga clic en la corona del engranaje:

   
    

   1. Para especificar uno de los servidores de seguridad activa, habilitar preferentes en ambos servidores de seguridad y establecer la prioridad de los dispositivos.

      El dispositivo con la más baja prioridad de dispositivo es el dispositivo activo.

   2. ¿Para conocer todas las opciones aquí, haga clic en el? en la esquina superior derecha para explicaciones detalladas.
   3. Cuando la sincronización de estado está habilitada; la tabla de sesiones, la tabla de reenvío, ARP la tabla y las VPN asociaciones de seguridad (AS) se copian del dispositivo activo al dispositivo pasivo a través de HA2.Cuando el dispositivo pasivo tome el control, las sesiones existentes continuarán.
   4. Si los dispositivos tienen IP conectividad entre los IP de administración, se recomienda habilitar el respaldo del latido del corazón, que envía los ping sobre la interfaz de administración.
6. Confirme la configuración.

   En este momento, cualquier interfaz Layer3 obtiene una nueva dirección (compartida), MAC y múltiples ARPs gratuitos se envían a cada interfaz layer3 informando a los switches conectados de la nueva IP / MAC combinación.

   
    

7. Confirme que HA está activo en el archivo local firewall .

   El firewall estado 's debe mostrarse activo y los otros valores deben ser desconocidos, como se muestra a continuación:

   
    

   1. Ir a la pestaña de panel de control.
   2. Añadir el widget de alta disponibilidad.
   3. Widgets > Sistema > alta disponibilidad.

8. Configurar el dispositivo par.

9. Refiera al paso 1, asegúrese de que el dispositivo del par tiene dos HA links configurados para comunicar a los links del primer HA dispositivo.

   
    

   1. Vaya a la sección de configuración del dispositivo del par y habilite HA . Consulte el paso 2.
   2. Asigne el mismo clúster ID que en el otro dispositivo.
   3. Introduzca la IP dirección asignada al otro enlace de firewall control.
   4. Habilitar sincronización de configuración.
10. En la ficha General, busque la sección de enlace de Control y haga clic en primaria.

    
     

    Nota: Si el cifrado está habilitado en el primer dispositivo, habilítelo aquí también.

    1. Elija la primera HA interfaz que se utilizará para el vínculo de control del segundo dispositivo.
    2. Ingrese una IP dirección que esté en la misma subred que la dirección del par HA IP configurada en el paso 8.
11. En la ficha General, busque la sección de enlace de datos y haga clic en primaria:

    
     

    1. Elija la otra HA interfaz que se utilizará para el link de datos.
    2. Configure la IP información para el vínculo de datos.
    3. Asegúrese de que está marcada la casilla de habilitado.
    4. Garantizar el transporte desplegable coincide con la configuración del dispositivo primera.
12. Replicar la configuración en el primer dispositivo a excepción de preferentes habilitado en el primer dispositivo:

    
     

    Para esta configuración, preferentes está apagado.

    1. Activar preventiva.
    2. Configurar el campo prioridad. A mayor número significa menor prioridad.
13. Confirmar los cambios en el segundo dispositivo:

    
     

14. Ir al primer dispositivo.

    
     

    1. Asegúrese de que sigue apareciendo como activa y ve el dispositivo par pasivo.
    2. Asegúrese de que todas las actualizaciones dinámicas se sincronizan.
    3. En este ejemplo antivirus y GlobalProtect no se sincronizan.
15. Actualización según sea necesario para que todo los partidos, como se muestra a continuación:

    
     

16. Una vez que todo coincide en ambos dispositivos, ir a la pestaña de panel de miembro activo y haga clic en Sync para mirar. Debería decir sincronización en progreso.

    
     

17. Vaya al segundo dispositivo (pasivo) y compruebe el proceso de CLI HA sincronización ejecutando:

    > Ver todos los empleos

    Los dos primeros intentos fracasaron. Determinar y corregir la causa de la falla.

    
     

18. Para obtener más detalles sobre el trabajo fallido, ejecute:

    > mostrar trabajos id <id number of the HA- Trabajo de sincronización>

    El primer error de sincronización es ID 13.

    
     

    Hay una regla de seguridad en el dispositivo pasivo denominada "Samir" que está causando un error en el HA- proceso de sincronización. La regla es una regla compartida de una Panorama configuración anterior.

    Eliminar la regla y ejecutar la sincronización para mirar otra vez de la pestaña de panel de control del dispositivo activo. El trabajo terminado con éxito esta vez:

    

    Alta disponibilidad está configurada.
     

19. Configurar control de enlace y camino de monitoreo (opcional):

    
     

    1. Pestaña dispositivo &gt; alta disponibilidad &gt; ficha de enlace y seguimiento de la ruta.
    2. En este ejemplo, vigilancia todos los enlaces. Esto significa que si cualquier estado de enlace se cae en el dispositivo activo, que se produce una conmutación por error.
    3. En este ejemplo, seguimiento de ruta de acceso no está configurado.
    4. Haga clic en el "?" botón en la esquina superior derecha de la ficha de enlace y seguimiento de la ruta, para leer sobre enlace de monitorización y seguimiento de la ruta.