如何配置高可用性 PAN-OS
316743
Created On 09/25/18 17:30 PM - Last Modified 01/18/23 20:46 PM
Symptom
本文档描述了高可用性的配置(HA )在一对具有屏幕截图的相同帕洛阿尔托网络防火墙上。
Environment
- 帕洛阿尔托防火墙
- 支持的PAN-OS.
- 主动/被动高可用性 (HA )
笔记:本文档不涉及配置HA为了PA-200设备。
Resolution
文章使用数据接口作为HA端口,如果防火墙有专用的HA端口,它们必须用于防火墙之间的 HA1/HA2 连接。
脚步:
配置第一台设备
- 转到网络选项卡 > 接口。
笔记:
这HA链接应类似于以下屏幕截图。
- 确认计划HA链接了。
- 将两个接口都配置为接口类型HA.
- 如果配置一对,请跳过此步骤PA-3000,PA-4000或者PA-5000系列设备。 所有其他防火墙,包括VM-系列,需要特定端口配置为类型HA.
- 转到设备选项卡 > 高可用性 > 常规。
笔记:
- 找到设置部分。
- 单击齿轮以查看/编辑设置。
- 使能够HA.
- 进入群组ID匹配两个成员。
- 输入一个IP对等方控制链接的地址。 这将在下一步中使用。
- 启用配置同步。
- 集群ID在创建虚拟时使用MAC对于 L3 实例。 当多个集群在同一个 L2 网络上时,ID每个集群上必须不同。
- 同行HA IP地址(控制链接)可以是任何IP当前未在网络中使用的地址。
- 建议添加一个 Backup PeerHA IP地址是否有足够的空闲端口。
- 从“常规”选项卡中,找到“控制链接”部分并单击“主要”。
笔记:
- 选择第一个HA用于第一个设备的控制链路的接口。
- 能量安IP与对等方位于同一子网上的地址HA IP地址,在步骤 2 中配置。
- 如果控制链接没有直接连接到另一个firewall,您可能想要启用加密(AES-256 ).
- 如果 Control Link IP 位于单独的广播域,则只需要配置网关,否则不需要。
- 从 General 选项卡中,找到 Data Link 部分并单击 Primary:
备注:运输方式
- 选择另一个HA用于数据链路的接口。
- 配置IP数据链路的信息。
- 确保选中启用框。
- 以太网:当防火墙背靠背连接或通过交换机连接时使用 (Ethertype 0x7261)。
- IP:需要三层传输时使用(IP协议号 99)。
- UDP:用于利用校验和是在整个数据包上计算的事实,而不是像在IP选项 (UDP端口 29281)。
- 在“常规”选项卡中,找到“选举设置”部分,然后单击齿轮:
- 要将其中一个防火墙指定为活动防火墙,请在两个防火墙上启用抢占式并设置设备优先级。
设备优先级最低的设备是活动设备。
- 要了解此处的所有其他设置,请单击 ?在右上角的详细解释。
- 启用状态同步时;会话表,转发表,ARP表,和VPN安全关联 (SA) 通过 HA2 从主动设备复制到被动设备。当无源设备接管时,现有会话将继续。
- 如果设备有IP管理 IP 之间的连接,建议启用心跳备份,它通过管理接口发送 ping。
- 提交配置。
此时,任何第 3 层接口都会获得一个新的(共享的)MAC地址,并且多个无偿 ARP 被发送到每个第 3 层接口,通知连接的交换机新的IP/MAC组合。
- 确认HA在当地活跃firewall.
这firewall的状态应该显示为 active,其他值应该是未知的,如下所示:
- 转到仪表板选项卡。
- 添加高可用性小部件。
- 小部件 > 系统 > 高可用性。
配置对端设备。
- 参考步骤1,确保Peer设备有两个HA配置为与第一个设备通信的链接HA链接。
- 转到对等设备的设置部分并启用HA. 请参阅步骤 2。
- 分配相同的集群ID和其他设备一样。
- 输入IP地址分配给另一个firewall的控制链接。
- 启用配置同步。
- 从“常规”选项卡中,找到“控制链接”部分并单击“主要”。
笔记:如果在第一台设备上启用了加密,请在此处也启用它。
- 选择第一个HA用于第二个设备的控制链路的接口。
- 输入一个IP与对等方位于同一子网上的地址HA IP在步骤 8 中配置的地址。
- 从“常规”选项卡中,找到“数据链接”部分并单击“主要”:
- 选择另一个HA用于数据链路的接口。
- 配置IP数据链路的信息。
- 确保选中启用框。
- 确保传输下拉菜单与第一个设备的配置相匹配。
- 复制第一个设备上的设置,但第一个设备上启用的抢占除外:
对于此配置,Preemptive 处于关闭状态。
- 启用抢先。
- 配置优先级字段。 A 较高的数字意味着较低的优先级。
- 在第二台设备上提交更改:
- 转到第一个设备。
- 确保它仍显示为活动状态,并将对等设备视为被动状态。
- 确保同步所有动态更新。
- 在此示例中,防病毒和GlobalProtect不同步。
- 根据需要更新,使一切匹配,如下所示:
- 一旦两台设备上的所有内容都匹配,请转到活动成员的仪表板选项卡并单击同步到对等。 它应该说正在进行同步。
- 转到第二个(被动)设备的CLI并检查HA通过运行同步过程:
> 全部显示职位
前两次尝试都失败了。 确定并修复故障原因。
- 要获取有关失败作业的更多详细信息,请运行:
> show jobs id <id 号码的HA-同步作业>
第一次同步失败是ID13.
名为“Samir”的被动设备上有一条安全规则导致HA-同步过程失败。 该规则是以前的共享规则Panorama配置。
删除规则并从活动设备的仪表板选项卡再次运行同步到对等体。 这次工作成功完成:
高可用性已配置。
- 配置链路监控和路径监控(可选):
- 设备选项卡 > 高可用性 > 链接和路径监控选项卡。
- 在这个例子中,监控所有链接。 这意味着,如果活动设备上的任何链路状态下降,就会发生故障转移。
- 本例中没有配置路径监控。
- 点击 ”?”链接和路径监控选项卡右上角的按钮,阅读有关链接监控和路径监控的信息。