Un actif/passif HA paire, sont que les Sessions existantes Sync-ed lorsque le dispositif passif est ajoutée/Rebooted ?

Un actif/passif HA paire, sont que les Sessions existantes Sync-ed lorsque le dispositif passif est ajoutée/Rebooted ?

34822
Created On 09/25/18 19:22 PM - Last Modified 06/07/23 06:35 AM


Resolution


Vue d’ensemble

L’environnement a un seul pare-feu pouvant être configurés dans High Availability (HA). Quand ajout un deuxième pare-feu et configuration pour être dans le même groupe HA, seront les sessions en cours sur le pare-feu existant se synchroniser à nouveau dispositif passif ?

Détails

Lorsque le deuxième pare-feu est configuré pour High Availability (HA) et ajouté au groupe, il commence à l’État INITIAL. Une fois que l’appareil a terminé l’initialisation et HA contrôle des liens sont établis, le pare-feu passera à l’état passif. Une fois que le pare-feu est dans l’état passif, il commence à recevoir des informations de synchronisation de session pour * tous * les séances (sauf ICMP) sur le périphérique actif. Notez que cela n’arrivera que si il n’est pas une condition d’échec qui empêche le pare-feu de devenir fonctionnels. Le diagramme ci-dessous montre les transitions d’état possible d’INITIAL pour le deuxième pare-feu dans le scénario ci-dessus.

Si le pare-feu passe à l’état passif, il reçoit les informations de session pour les sessions en cours sur le pare-feu actif, ainsi que les nouvelles sessions qui sont créées. Par exemple, la sortie suivante montre les tableaux de session des deux pare-feu. Notez que bien que le nombre de séances est le même, les ID de session individuelle de chaque pare-feu sera différents.

Pare-feu existant (actif)Deuxième pare-feu (passive)

admin@Firewall1(active) > illustrent toutes les session

--------------------------------------------------------------------------------

ID Application État Type drapeau Src [Sport] / Zone/Proto (traduit IP[Port])

VSys Dst [Dport] / Zone (traduit IP[Port])

--------------------------------------------------------------------------------

46743 dns NS ACTIVE FLOW 192.168.83.250[64193]/L3-Trust/17 (10.30.6.83[11659])

vsys1 4.2.2.2[53]/L3-Untrust (4.2.2.2[53])

46744 ntp ACTIVE FLOW 192.168.83.250[123]/V-Trust/17 (192.168.83.250[123])

vsys1 17.171.4.36[123]/V-Untrust (17.171.4.36[123])

45039 navigation web ACTIVE FLOW NS 192.168.83.138[1536]/L3-Trust/6 (10.30.6.83[32177])

vsys1 74.125.239.136[80]/L3-Untrust (74.125.239.136[80])

46565 ldap ACTIVE FLOW NS 192.168.83.138[1603]/L3-Trust/17 (10.30.6.83[27608])

vsys1 192.168.123.122[389]/L3-Untrust (192.168.123.122[389])

45904 navigation web ACTIVE FLOW 192.168.83.250[49587]/V-Trust/6 (192.168.83.250[49587])

vsys1 74.125.239.40[80]/V-Untrust (74.125.239.40[80])

46742 dns ACTIVE FLOW 192.168.83.250[64193]/V-Trust/17 (192.168.83.250[64193])

vsys1 4.2.2.2[53]/V-Untrust (4.2.2.2[53])

ntp 46745 ACTIVE FLOW NS 192.168.83.250[123]/L3-Trust/17 (10.30.6.83[57714])

vsys1 17.171.4.36[123]/L3-Untrust (17.171.4.36[123])

45040 navigation web ACTIVE FLOW NS 192.168.83.138[1537]/L3-Trust/6 (10.30.6.83[33599])

vsys1 74.125.239.136[80]/L3-Untrust (74.125.239.136[80])

45906 navigation web ACTIVE FLOW NS 192.168.83.250[49587]/L3-Trust/6 (10.30.6.83[4051])

vsys1 74.125.239.40[80]/L3-Untrust (74.125.239.40[80])

46250 le ldap ACTIVE FLOW 192.168.122.59[4685]/V-Untrust/17 (192.168.122.59[4685])

vsys1 192.168.123.122[389]/V-Trust (192.168.123.122[389])

192.168.83.250[49745]/V-Trust/6 46555 ms-ds-smb ACTIVE FLOW (192.168.83.250[49745])

vsys1 192.168.83.138[445]/V-Untrust (192.168.83.138[445])

Firewall2(passive) > illustrent toutes les session

ID Application État Type drapeau Src [Sport] / Zone/Proto (traduit IP[Port])

VSys Dst [Dport] / Zone (traduit IP[Port])

--------------------------------------------------------------------------------

17 dns NS ACTIVE FLOW 192.168.83.250[64193]/L3-Trust/17 (10.30.6.83[11659])

vsys1 4.2.2.2[53]/L3-Untrust (4.2.2.2[53])

18 ntp ACTIVE FLOW 192.168.83.250[123]/V-Trust/17 (192.168.83.250[123])

vsys1 17.171.4.36[123]/V-Untrust (17.171.4.36[123])

1 navigation web ACTIVE FLOW NS 192.168.83.138[1536]/L3-Trust/6 (10.30.6.83[32177])

vsys1 74.125.239.136[80]/L3-Untrust (74.125.239.136[80])

6 ldap ACTIVE FLOW NS 192.168.83.138[1603]/L3-Trust/17 (10.30.6.83[27608])

vsys1 192.168.123.122[389]/L3-Untrust (192.168.123.122[389])

8 navigation web ACTIVE FLOW 192.168.83.250[49587]/V-Trust/6 (192.168.83.250[49587])

vsys1 74.125.239.40[80]/V-Untrust (74.125.239.40[80])

16 dns ACTIVE FLOW 192.168.83.250[64193]/V-Trust/17 (192.168.83.250[64193])

vsys1 4.2.2.2[53]/V-Untrust (4.2.2.2[53])

192.168.83.250[123]/L3-Trust/17 19 ntp ACTIVE FLOW NS (10.30.6.83[57714])

vsys1 17.171.4.36[123]/L3-Untrust (17.171.4.36[123])

10 navigation web ACTIVE FLOW NS 192.168.83.138[1537]/L3-Trust/6 (10.30.6.83[33599])

vsys1 74.125.239.136[80]/L3-Untrust (74.125.239.136[80])

11 navigation sur le web ACTIVE FLOW NS 192.168.83.250[49587]/L3-Trust/6 (10.30.6.83[4051])

vsys1 74.125.239.40[80]/L3-Untrust (74.125.239.40[80])

12 ldap ACTIVE FLOW 192.168.122.59[4685]/V-Untrust/17 (192.168.122.59[4685])

vsys1 192.168.123.122[389]/V-Trust (192.168.123.122[389])

192.168.83.250[49745]/V-Trust/6 flux actif de 13 ms-ds-smb (192.168.83.250[49745])

vsys1 192.168.83.138[445]/V-Untrust (192.168.83.138[445])

propriétaire : cstancill
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClWwCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language