高可用性ペアでの URL ベンダの不一致

問題

2つのパロアルトネットワークデバイスは、同じ PAN-OS のバージョンを実行している。アクティブなデバイスはパン DB 用に構成され、パッシブデバイスは BrightCloud に設定されます。アクティブなデバイスで高可用性 (HA) が有効になっている。その後、HA はパッシブデバイスで有効になります。コミット操作がパッシブデバイスで終了すると、アクティブなデバイスは非機能状態になり、パッシブデバイスがアクティブになります。

元のアクティブなデバイスのログが表示されます。

グループ 1:

モード: アクティブ-パッシブ

ローカル情報:

バージョン: 1

モード: アクティブ-パッシブ

状態: アクティブ (過去21時間)

最後の非機能状態の理由: URL ベンダの不一致

パッシブデバイス (BrightCloud を使用) では、アクティブなユニットがメッセージと共に機能しない状態になるように強制され、dev ピアの状態が非機能に設定されます。これにより、パッシブデバイスがアクティブになります。

原因

フェイルオーバーは、デバイスの HA ペア間の URL ベンダの不一致によるものです。

さらに、異なる URL ベンダがデバイスの HA ペアで使用されている場合、PAN DB を持つものは機能しない状態になります。たとえば、BrightCloud とパッシブデバイスを使用してアクティブなデバイスがあるシナリオでは、汎 db のパッシブユニットは非機能状態になります。

解決方法

両方の HA デバイスが同じ URL ベンダ (PAN DB または BrightCloud) を使用していることを確認します。

いずれかの URL データベースベンダのライセンスを持っていない場合は、パッシブファイアウォールにロードして、アクティブなファイアウォールが読み込まれたデータベースと一致するように試用ライセンスを生成します。

1. アクティブなファイアウォールが BrightCloud を実行していて、パッシブファイアウォールがパン DB を実行している場合は、パッシブファイアウォールにロードするために BrightCloud の試用ライセンスを生成します。
2. パッシブファイアウォールの HA を中断します。
3. パッシブファイアウォールで BrightCloud トライアルライセンスをロードします。
4. パッシブファイアウォールで BrightCloud データベースをアクティブ化してダウンロードします。
5. 高可用性状態をパッシブファイアウォールの機能に復元します。

注:新しい構成スナップショットが、パン db がアクティブ化されたパロアルトネットワークデバイスにロードされている場合、管理者はロード後もパン db をアクティブ化する必要があります。アクティブ化された PAN DB を持つデバイスに DNS 接続がない場合でも、アクティブなままになります。

所有者: shasnain