Comment configurer la haute disponibilité sur PAN-OS

L’article utilise des interfaces de données comme HA ports, Si les pare-feu ont un port dédié HA , ils doivent pour la connectivité HA1 / HA2 entre les pare-feu.

Étapes:

Configurer le premier périphérique

1. Allez dans l’onglet réseau > Interfaces.

   

   Remarques :

   Les HA liens devraient ressembler à la capture d’écran suivante.

   

   1. Confirmez que les HA liens prévus sont en place.
   2. Configurez les deux interfaces pour être type d’interface HA .
   • Sautez cette étape si vous configurez une paire PA-3000 d’appareils PA-4000 ou de PA-5000 séries. Tous les autres pare-feu, y VM- compris les séries, nécessitent que des ports spécifiques soient configurés sous forme de type HA .
2. Accédez à l’onglet Appareil > Haute disponibilité > Général.

   
    

   Remarques :

   1. Recherchez la section de configuration.
   2. Cliquez sur le pignon d’engrenage pour afficher/modifier les paramètres.
   3. Activez HA.
   4. Entrez un groupe ID qui correspond aux deux membres.
   5. Entrez IP une adresse pour le Peer’s Control LInk. Cela sera utilisé à l’étape suivante.
   6. Activation de Config Sync.
   • Le cluster ID est utilisé lors de la création du virtuel pour les MAC instances L3. Lorsque plus d’un cluster est sur le même réseau L2, ID le doit être différent sur chaque cluster.
   • HA IPL’adresse par les pairs (lien de contrôle) peut être IP n’importe quelle adresse qui n’est pas utilisée actuellement dans le réseau.
   • Il est recommandé d’ajouter une adresse peer backup HA IP s’il y a suffisamment de ports libres.
3. Sous l’onglet général, recherchez la section de contrôle Link et cliquez sur primaire.

   
    

   Remarques :

   1. Choisissez la première HA interface à utiliser pour le lien de contrôle du premier appareil.
   2. Ener une IP adresse qui est sur le même sous-réseau que l’adresse HA IP Peer, configurée à l’étape 2.
   • Si le lien de contrôle n’est pas directement connecté à firewall l’autre, vous pouvez activer le cryptage ( AES-256 ).
   • Si le contrôle Link IPs sont sur des domaines de diffusion séparés, seulement la porte d’entrée doit être configuré, sinon ce n'est pas nécessaire.
4. Dans l’onglet général, recherchez la section de liaison de données et cliquez sur primaire :

   
    

   Notes : Modes de Transport

   1. Choisissez HA l’autre interface à utiliser pour le lien de données.
   2. Configurez les IP informations pour le lien de données.
   3. Assurez-vous que la case activé est cochée.
   • Ethernet : Utilisez les pare-feu sont reliés dos à dos ou via un commutateur (Ethertype 0x7261).
   • IP: Utilisation lorsque le transport de la couche 3 est nécessaire IP (protocole numéro 99).
   • UDP: Utiliser pour profiter du fait que le checksum est calculé sur l’ensemble du paquet plutôt que sur l’en-tête, comme dans IP l’option UDP (port 29281).
5. Sous l’onglet général, recherchez la section paramètres de l’élection et cliquez sur le pignon d’engrenage :

   
    

   1. Pour spécifier un des pare-feu comme actif, activez la préemption sur les deux pare-feux et définir la priorité de l’appareil.

      L’appareil avec la plus faible priorité de périphérique est le périphérique actif.

   2. Pour connaître tous les autres paramètres ici, cliquez sur le ? dans le coin supérieur droit pour des explications détaillées.
   3. Lorsque la synchronisation de l’état est activée; la table de session, la table de transport, ARP la table et les associations de sécurité VPN (SA) sont copiées de l’appareil actif vers l’appareil passif sur HA2.Lorsque l’appareil passif prend le relais, les sessions existantes se poursuivent.
   4. Si les IP périphériques ont une connectivité entre les adresses IP de gestion, il est recommandé d’activer la sauvegarde Heartbeat, qui envoie des pings sur l’interface de gestion.
6. Engagez la configuration.

   À ce stade, n’importe quelle interface Layer3 obtient une nouvelle adresse (partagée), et plusieurs ARPs gratuits sont envoyés à chaque interface layer3 informant les MAC commutateurs ci-joints de la IP nouvelle / MAC combinaison.

   
    

7. Confirmez HA l’est actif sur le local firewall .

   Le firewall statut du 'devrait montrer actif et les autres valeurs doivent être inconnues, comme indiqué ci-dessous:

   
    

   1. Allez dans l’onglet tableau de bord.
   2. Ajouter le widget de haute disponibilité.
   3. Widgets > système > haute disponibilité.

8. Configurez le périphérique pair.

9. Reportez-vous à l’étape 1, assurez-vous que HA l’appareil Peer dispose de deux liens configurés pour communiquer avec les liens du HA premier appareil.

   
    

   1. Allez à la section configuration de l’appareil peer et activer HA . Reportez-vous à l’étape 2.
   2. Assignez le même cluster ID que sur l’autre appareil.
   3. Entrez IP l’adresse assignée au lien firewall de contrôle de l’autre.
   4. Activation de Config Sync.
10. Sous l’onglet général, recherchez la section de contrôle Link et cliquez sur primaire.

    
     

    Note: Si le chiffrement est activé sur le premier appareil, activez-le ici aussi.

    1. Choisissez la première HA interface à utiliser pour le lien de contrôle du deuxième appareil.
    2. Entrez IP une adresse qui se trouve sur le même sous-réseau que l’adresse Peer HA IP configurée à l’étape 8.
11. Dans l’onglet général, recherchez la section de liaison de données et cliquez sur primaires :

    
     

    1. Choisissez HA l’autre interface à utiliser pour le lien de données.
    2. Configurez les IP informations pour le lien de données.
    3. Assurez-vous que la case activé est cochée.
    4. S’assurer que le menu déroulant de Transport correspond à la configuration de l’unité de la première.
12. Répliquer les paramètres sur le premier dispositif à l’exception de Preemptive activé sur le premier périphérique :

    
     

    Pour cette configuration, la préemption est éteint.

    1. Enable préemptif.
    2. Configurer le champ priorité. A nombre plus élevé signifie une priorité inférieure.
13. Valider les modifications sur le deuxième périphérique :

    
     

14. Aller au premier périphérique.

    
     

    1. Assurez-vous il affiche toujours aussi actif et il voit l’appareil par les pairs comme passif.
    2. S’assurer que toutes les mises à jour dynamiques sont synchronisés.
    3. Dans cet exemple Antivirus et GlobalProtect ne sont pas synchronisés.
15. Mise à jour selon les besoins si tout correspond, comme indiqué ci-dessous :

    
     

16. Une fois que tout correspond sur les deux appareils, allez dans l’onglet tableau de bord du membre actif et cliquez sur synchroniser pour les pairs. Il faut dire la synchronisation en cours.

    
     

17. Passez au deuxième appareil (passif) et vérifiez CLI le processus de synchronisation en exécutant HA :

    > Voir l’emplois tous

    Les deux premières tentatives ont échoué. Déterminer et corriger la cause de l’échec.

    
     

18. Pour obtenir plus de détails sur le travail ayant échoué, exécutez :

    > afficher les travaux id <id number of the HA- Sync travail>

    La première défaillance de synchronisation est ID de 13.

    
     

    Il existe une règle de sécurité sur l’appareil passif nommé « Samir » qui provoque l’échec HA- du processus Sync. La règle est une règle partagée à partir d’une Panorama configuration précédente.

    Supprimez la règle et exécuter la synchronisation à pair à nouveau de l’onglet tableau de bord de l’appareil actif. Le travail terminé avec succès cette fois :

    

    Haute disponibilité est configurée.
     

19. Configurer le lien surveillance et chemin d’accès (facultatif) :

    
     

    1. Onglet Device > haute disponibilité > onglet lien et le chemin suivi.
    2. Dans cet exemple, suivi tous les liens. Cela signifie, si n’importe quel état de lien tombe en panne sur le périphérique actif qu'un basculement se produit.
    3. Dans cet exemple, le chemin suivi n’est pas configuré.
    4. Cliquez sur le « ? » bouton, en haut à droite de l’onglet lien et le chemin suivi, en savoir plus sur la surveillance du lien et chemin d’accès.