如何配置高可用性 PAN-OS

文章使用数据接口作为HA端口，如果防火墙有专用的HA端口，它们必须用于防火墙之间的 HA1/HA2 连接。

脚步：

配置第一台设备

1. 转到网络选项卡 > 接口。

   

   笔记：

   这HA链接应类似于以下屏幕截图。

   

   1. 确认计划HA链接了。
   2. 将两个接口都配置为接口类型HA.
   • 如果配置一对，请跳过此步骤PA-3000,PA-4000或者PA-5000系列设备。 所有其他防火墙，包括VM-系列，需要特定端口配置为类型HA.
2. 转到设备选项卡 > 高可用性 > 常规。

   
    

   笔记：

   1. 找到设置部分。
   2. 单击齿轮以查看/编辑设置。
   3. 使能够HA.
   4. 进入群组ID匹配两个成员。
   5. 输入一个IP对等方控制链接的地址。 这将在下一步中使用。
   6. 启用配置同步。
   • 集群ID在创建虚拟时使用MAC对于 L3 实例。 当多个集群在同一个 L2 网络上时，ID每个集群上必须不同。
   • 同行HA IP地址（控制链接）可以是任何IP当前未在网络中使用的地址。
   • 建议添加一个 Backup PeerHA IP地址是否有足够的空闲端口。
3. 从“常规”选项卡中，找到“控制链接”部分并单击“主要”。

   
    

   笔记：

   1. 选择第一个HA用于第一个设备的控制链路的接口。
   2. 能量安IP与对等方位于同一子网上的地址HA IP地址，在步骤 2 中配置。
   • 如果控制链接没有直接连接到另一个firewall，您可能想要启用加密（AES-256 ).
   • 如果 Control Link IP 位于单独的广播域，则只需要配置网关，否则不需要。
4. 从 General 选项卡中，找到 Data Link 部分并单击 Primary：

   
    

   备注：运输方式

   1. 选择另一个HA用于数据链路的接口。
   2. 配置IP数据链路的信息。
   3. 确保选中启用框。
   • 以太网：当防火墙背靠背连接或通过交换机连接时使用 (Ethertype 0x7261)。
   • IP：需要三层传输时使用（IP协议号 99)。
   • UDP：用于利用校验和是在整个数据包上计算的事实，而不是像在IP选项 （UDP端口 29281）。
5. 在“常规”选项卡中，找到“选举设置”部分，然后单击齿轮：

   
    

   1. 要将其中一个防火墙指定为活动防火墙，请在两个防火墙上启用抢占式并设置设备优先级。

      设备优先级最低的设备是活动设备。

   2. 要了解此处的所有其他设置，请单击 ?在右上角的详细解释。
   3. 启用状态同步时；会话表，转发表，ARP表，和VPN安全关联 (SA) 通过 HA2 从主动设备复制到被动设备。当无源设备接管时，现有会话将继续。
   4. 如果设备有IP管理 IP 之间的连接，建议启用心跳备份，它通过管理接口发送 ping。
6. 提交配置。

   此时，任何第 3 层接口都会获得一个新的（共享的）MAC地址，并且多个无偿 ARP 被发送到每个第 3 层接口，通知连接的交换机新的IP/MAC组合。

   
    

7. 确认HA在当地活跃firewall.

   这firewall的状态应该显示为 active，其他值应该是未知的，如下所示：

   
    

   1. 转到仪表板选项卡。
   2. 添加高可用性小部件。
   3. 小部件 > 系统 > 高可用性。

8. 配置对端设备。

9. 参考步骤1，确保Peer设备有两个HA配置为与第一个设备通信的链接HA链接。

   
    

   1. 转到对等设备的设置部分并启用HA. 请参阅步骤 2。
   2. 分配相同的集群ID和其他设备一样。
   3. 输入IP地址分配给另一个firewall的控制链接。
   4. 启用配置同步。
10. 从“常规”选项卡中，找到“控制链接”部分并单击“主要”。

    
     

    笔记：如果在第一台设备上启用了加密，请在此处也启用它。

    1. 选择第一个HA用于第二个设备的控制链路的接口。
    2. 输入一个IP与对等方位于同一子网上的地址HA IP在步骤 8 中配置的地址。
11. 从“常规”选项卡中，找到“数据链接”部分并单击“主要”：

    
     

    1. 选择另一个HA用于数据链路的接口。
    2. 配置IP数据链路的信息。
    3. 确保选中启用框。
    4. 确保传输下拉菜单与第一个设备的配置相匹配。
12. 复制第一个设备上的设置，但第一个设备上启用的抢占除外：

    
     

    对于此配置，Preemptive 处于关闭状态。

    1. 启用抢先。
    2. 配置优先级字段。 A 较高的数字意味着较低的优先级。
13. 在第二台设备上提交更改：

    
     

14. 转到第一个设备。

    
     

    1. 确保它仍显示为活动状态，并将对等设备视为被动状态。
    2. 确保同步所有动态更新。
    3. 在此示例中，防病毒和GlobalProtect不同步。
15. 根据需要更新，使一切匹配，如下所示：

    
     

16. 一旦两台设备上的所有内容都匹配，请转到活动成员的仪表板选项卡并单击同步到对等。 它应该说正在进行同步。

    
     

17. 转到第二个（被动）设备的CLI并检查HA通过运行同步过程：

    > 全部显示职位

    前两次尝试都失败了。 确定并修复故障原因。

    
     

18. 要获取有关失败作业的更多详细信息，请运行：

    > show jobs id <id 号码的HA-同步作业>

    第一次同步失败是ID13.

    
     

    名为“Samir”的被动设备上有一条安全规则导致HA-同步过程失败。 该规则是以前的共享规则Panorama配置。

    删除规则并从活动设备的仪表板选项卡再次运行同步到对等体。 这次工作成功完成：

    

    高可用性已配置。
     

19. 配置链路监控和路径监控（可选）：

    
     

    1. 设备选项卡 > 高可用性 > 链接和路径监控选项卡。
    2. 在这个例子中，监控所有链接。 这意味着，如果活动设备上的任何链路状态下降，就会发生故障转移。
    3. 本例中没有配置路径监控。
    4. 点击 ”？”链接和路径监控选项卡右上角的按钮，阅读有关链接监控和路径监控的信息。