Incidencia
Dos dispositivos Palo Alto Networks están ejecutando la misma versión de pan-os. El dispositivo activo está configurado para PAN-DB y el dispositivo pasivo está configurado en BrightCloud. La alta disponibilidad (HA) está activada en el dispositivo activo. HA se activa entonces en el dispositivo pasivo. A medida que finaliza la operación de confirmación en el dispositivo pasivo, el dispositivo activo entra en el estado no funcional y el dispositivo pasivo se activa.
El registro en el dispositivo activo original muestra:
Grupo 1:
Modo: activo-pasivo
Información local:
Versión: 1
Modo: activo-pasivo
Estado: activo (últimas 21 horas)
Última razón de estado no funcional: coincidencia de proveedor de URL
El dispositivo pasivo (con BrightCloud) obligó a la unidad activa a entrar en un estado no funcional con el mensaje, configure el Estado de dev peer como no funcional. Esto desencadena el dispositivo pasivo para convertirse en el activo.
Causa
El failover se debe al desajuste del proveedor de URL entre el par de dispositivos HA.
Además, si se utilizan diferentes proveedores de URL en el par de dispositivos ha, el que tiene pan-dB entrará en el estado no funcional. Por ejemplo, si el escenario tiene el dispositivo activo utilizando BrightCloud y dispositivo pasivo con pan-dB, la unidad pasiva con pan-dB entrará en el estado no funcional.
Resolución
Asegúrese de que ambos dispositivos HA están utilizando el mismo proveedor de URL (PAN-DB o BrightCloud).
Si no tiene una licencia para un proveedor de bases de datos de URL, genere una licencia de prueba para cargar en el cortafuegos pasivo para que coincida con la base de datos que el cortafuegos activo ha cargado.
- Si el cortafuegos activo está ejecutando BrightCloud, y el cortafuegos pasivo está ejecutando pan-dB, genere una licencia de prueba para que BrightCloud se cargue en su cortafuegos pasivo.
- Suspender la ha para el cortafuegos pasivo.
- Cargue la licencia de prueba BrightCloud en el cortafuegos pasivo.
- Activa y descarga la base de datos BrightCloud en el Firewall pasivo.
- Restaure el estado de alta disponibilidad a funcional para el cortafuegos pasivo.
Nota: si se carga una nueva instantánea de configuración en un dispositivo de redes palo alto con pan-dB activado, el administrador todavía tendrá que activar pan-dB después de la carga. Si un dispositivo con un PAN-DB activado no tiene conexión DNS, seguirá estando activado.
Propietario: shasnain