In einem aktiv/passiv HA paar sind bestehende Sitzungen Sync-Ed bei the passives Gerät hinzugefügt/Rebooted?

In einem aktiv/passiv HA paar sind bestehende Sitzungen Sync-Ed bei the passives Gerät hinzugefügt/Rebooted?

34794
Created On 09/25/18 19:22 PM - Last Modified 06/07/23 06:35 AM


Resolution


Übersicht

Die Umgebung hat eine einzelne Firewall in der Lage, hohe Verfügbarkeit (HA) konfiguriert werden. Wenn eine zweite Firewall hinzufügen und konfigurieren beide in der gleichen HA-Gruppe, zu der aktuellen Sitzungen auf der bestehenden Firewall werden auf das neue passive Gerät synchronisiert werden?

Details

Wenn die zweite Firewall konfiguriert für hohe Verfügbarkeit (HA) und in die Gruppe aufgenommen, es beginnen in den Anfangszustand. Sobald das Gerät, initialisieren beendet hat und HA Kontrolle Verbindungen hergestellt sind, wird die Firewall in der passiven Zustand übergehen. Sobald die Firewall in den passiven Zustand ist, beginnt es empfangen Synchronisation Sitzungsinformationen für * alle * Sitzungen (außer ICMP) auf das aktive Gerät. Beachten Sie, dass dies geschehen wird, nur wenn es keine Fehlerbedingung, die verhindert, dass die Firewall immer funktionsfähig. Das folgende Diagramm zeigt die möglichen Zustandsübergänge vom ersten für die zweite Firewall in dem oben beschriebenen Szenario.

Wenn die Firewall in den passiven Zustand übergeht, erhält es Session-Informationen für die aktuelle Session auf die aktive Firewall sowie alle neuen Sitzungen, die erstellt werden. Die folgende Ausgabe zeigt beispielsweise die Sitzung Tabellen der zwei Firewalls. Beachten Sie, dass zwar die Anzahl der Sitzungen gleich, die einzelnen Sitzungs-IDs für jede Firewall anders sein werden.

Vorhandene Firewall (aktiv)Zweite Firewall (passiv)

Admin@Firewall1(Active) > Sitzung alle anzeigen

--------------------------------------------------------------------------------

ID Anwendung State Art Flagge Src [Sport] / Zone/Proto (übersetzte IP[Port])

VSys Dst [Dport] / Zone (übersetzt von IP[Port])

--------------------------------------------------------------------------------

46743 Dns ACTIVE FLOW NS-192.168.83.250[64193]/L3-Trust/17 (10.30.6.83[11659])

vsys1 4.2.2.2[53]/L3-Untrust (4.2.2.2[53])

46744 Ntp ACTIVE FLOW 192.168.83.250[123]/V-Trust/17 (192.168.83.250[123])

vsys1 17.171.4.36[123]/V-Untrust (17.171.4.36[123])

45039 Surfen aktive FLOW NS 192.168.83.138[1536]/L3-Trust/6 (10.30.6.83[32177])

vsys1 74.125.239.136[80]/L3-Untrust (74.125.239.136[80])

46565 Ldap ACTIVE FLOW NS-192.168.83.138[1603]/L3-Trust/17 (10.30.6.83[27608])

vsys1 192.168.123.122[389]/L3-Untrust (192.168.123.122[389])

45904 Surfen ACTIVE FLOW 192.168.83.250[49587]/V-Trust/6 (192.168.83.250[49587])

vsys1 74.125.239.40[80]/V-Untrust (74.125.239.40[80])

46742 Dns ACTIVE FLOW 192.168.83.250[64193]/V-Trust/17 (192.168.83.250[64193])

vsys1 4.2.2.2[53]/V-Untrust (4.2.2.2[53])

46745 Ntp ACTIVE FLOW NS-192.168.83.250[123]/L3-Trust/17 (10.30.6.83[57714])

vsys1 17.171.4.36[123]/L3-Untrust (17.171.4.36[123])

45040 Surfen aktive FLOW NS 192.168.83.138[1537]/L3-Trust/6 (10.30.6.83[33599])

vsys1 74.125.239.136[80]/L3-Untrust (74.125.239.136[80])

45906 Surfen aktive FLOW NS 192.168.83.250[49587]/L3-Trust/6 (10.30.6.83[4051])

vsys1 74.125.239.40[80]/L3-Untrust (74.125.239.40[80])

46250 Ldap ACTIVE FLOW 192.168.122.59[4685]/V-Untrust/17 (192.168.122.59[4685])

vsys1 192.168.123.122[389]/V-Trust (192.168.123.122[389])

46555 ms-ds-Smb aktive FLOW 192.168.83.250[49745]/V-Trust/6 (192.168.83.250[49745])

vsys1 192.168.83.138[445]/V-Untrust (192.168.83.138[445])

Firewall2(passive) > Sitzung alle anzeigen

ID Anwendung State Art Flagge Src [Sport] / Zone/Proto (übersetzte IP[Port])

VSys Dst [Dport] / Zone (übersetzt von IP[Port])

--------------------------------------------------------------------------------

17 Dns ACTIVE FLOW NS-192.168.83.250[64193]/L3-Trust/17 (10.30.6.83[11659])

vsys1 4.2.2.2[53]/L3-Untrust (4.2.2.2[53])

18 Ntp ACTIVE FLOW 192.168.83.250[123]/V-Trust/17 (192.168.83.250[123])

vsys1 17.171.4.36[123]/V-Untrust (17.171.4.36[123])

1 Web-browsing ACTIVE FLOW NS 192.168.83.138[1536]/L3-Trust/6 (10.30.6.83[32177])

vsys1 74.125.239.136[80]/L3-Untrust (74.125.239.136[80])

LDAP-6 ACTIVE FLOW NS-192.168.83.138[1603]/L3-Trust/17 (10.30.6.83[27608])

vsys1 192.168.123.122[389]/L3-Untrust (192.168.123.122[389])

8 Web-browsing ACTIVE FLOW 192.168.83.250[49587]/V-Trust/6 (192.168.83.250[49587])

vsys1 74.125.239.40[80]/V-Untrust (74.125.239.40[80])

16 Dns ACTIVE FLOW 192.168.83.250[64193]/V-Trust/17 (192.168.83.250[64193])

vsys1 4.2.2.2[53]/V-Untrust (4.2.2.2[53])

19 Ntp ACTIVE FLOW NS-192.168.83.250[123]/L3-Trust/17 (10.30.6.83[57714])

vsys1 17.171.4.36[123]/L3-Untrust (17.171.4.36[123])

Web-browsing aktive FLOW NS 10 192.168.83.138[1537]/L3-Trust/6 (10.30.6.83[33599])

vsys1 74.125.239.136[80]/L3-Untrust (74.125.239.136[80])

11 Surfen aktive FLOW NS 192.168.83.250[49587]/L3-Trust/6 (10.30.6.83[4051])

vsys1 74.125.239.40[80]/L3-Untrust (74.125.239.40[80])

12 Ldap ACTIVE FLOW 192.168.122.59[4685]/V-Untrust/17 (192.168.122.59[4685])

vsys1 192.168.123.122[389]/V-Trust (192.168.123.122[389])

13 aktive ms-ds-Smb-FLOW 192.168.83.250[49745]/V-Trust/6 (192.168.83.250[49745])

vsys1 192.168.83.138[445]/V-Untrust (192.168.83.138[445])

Besitzer: Cstancill
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClWwCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language