Problem
Zwei Geräte von Palo Alto Networks laufen in der gleichen PAN-OS-Version. Das aktive Gerät ist für PAN-DB konfiguriert und das passive Gerät ist auf BrightCloud eingestellt. Eine hohe VerfügBarkeit (HA) ist auf dem aktiven Gerät aktiviert. HA wird dann auf dem passiven Gerät aktiviert. Wenn die Commit-Operation auf dem passiven Gerät endet, geht das aktive Gerät in den nicht-funktionalen Zustand, und das passive Gerät wird aktiv.
Das Log auf dem ursprünglichen aktiven Gerät zeigt:
Gruppe 1:
Modus: aktiv-passiv
Lokale Informationen:
Version: 1
Modus: aktiv-passiv
Zustand: aktiv (letzte 21 Stunden)
Letzter nicht-funktionaler Zustands Grund: URL-Anbieter-Missverhältnis
Das passive Gerät (mit BrightCloud) zwang die aktive Einheit, in einen nicht-funktionalen Zustand mit der Nachricht zu gehen, setzen dev Peer State auf nicht-Funktions tüchtig. Das löst das passive Gerät aus, um zum aktiven zu werden.
Ursache
Der Failover ist auf das Missverhältnis von URL-Anbietern zwischen den HA-paar von Geräten zurückzuführen.
Wenn verschiedene URL-Anbieter auf dem HA-paar von Geräten verwendet werden, wird derjenige mit PAN-DB in den nicht-funktionalen Zustand gehen. Wenn das Szenario zum Beispiel das aktive Gerät mit BrightCloud und passivem Gerät mit PAN-DB hat, wird die passive Einheit mit PAN-DB in den nicht-funktionalen Zustand gehen.
Lösung
Stellen Sie sicher, dass beide HA-Geräte den gleichen URL-Anbieter (PAN-DB oder BrightCloud) verwenden.
Wenn Sie keine Lizenz für einen beliebigen URL-Datenbankanbieter haben, generieren Sie eine Testlizenz, um die passive Firewall zu laden, um der Datenbank zu entsprechen, die die aktive Firewall geladen hat.
- Wenn die aktive Firewall BrightCloud läuft und die passive Firewall PAN-DB läuft, generieren Sie eine Testlizenz für BrightCloud, um ihre passive Firewall zu laden.
- Die HA für die passive Firewall aussetzen.
- Laden Sie die BrightCloud-Testlizenz auf die passive Firewall.
- Aktivieren und downloaden Sie die BrightCloud-Datenbank auf der passiven Firewall.
- Restaurieren Sie den hochverfügbaren Zustand, um für die passive Firewall funktionsfähig zu sein.
Hinweis: Wenn ein neuer Konfigurations-Schnappschuss auf einem Palo Alto-Netzwerk-Gerät mit Pan-DB aktiviert wird, muss der admin nach der Last noch Pan-DB aktivieren. Wenn ein Gerät mit einer aktivierten PAN-DB keine DNS-Verbindung hat, bleibt es trotzdem aktiviert.
Besitzer: Shasnain