问题
两个帕洛阿尔托网络设备运行相同的 PAN OS 版本。活动设备配置为 PAN DB, 被动设备设置为 BrightCloud。在活动设备上启用高可用性 (HA)。然后在被动设备上启用 HA。当提交操作在无源设备上完成时, 活动设备进入非功能状态, 并且被动设备变为活动。
原始活动设备上的日志显示:
1组:
模式: 主动-被动
本地信息:
版本: 1
模式: 主动-被动
状态: 活动 (最近21小时)
上一个非功能状态原因: URL 供应商不匹配
被动设备 (带有 BrightCloud) 强制活动单元进入非功能状态, 并将其设置为 "非功能" . 这将触发被动设备成为活动。
原因
故障转移是由于在 HA 对设备之间的 URL 供应商不匹配。
此外, 如果在 HA 对设备上使用不同的 URL 供应商, 则具有 PAN DB 的接口将进入非功能状态。例如, 如果场景中的活动设备使用的是 BrightCloud 和无源设备, 则带有 pan db 的被动单元将进入非功能状态。
解决办法
确保两个 HA 设备都使用相同的 URL 供应商 (PAN DB 或 BrightCloud)。
如果您没有任何 URL 数据库供应商的许可证, 则生成一个试用许可证, 以便在被动防火墙上加载, 以匹配活动防火墙已加载的数据库。
- 如果活动防火墙正在运行 BrightCloud, 而被动防火墙正在运行 PAN DB, 则生成 BrightCloud 的试用许可证以加载到您的被动防火墙上。
- 为被动防火墙暂停 HA。
- 在被动防火墙上加载 BrightCloud 试用许可证。
- 激活并下载被动防火墙上的 BrightCloud 数据库。
- 将高可用性状态恢复为被动防火墙的功能。
注意:如果一个新的配置快照加载在帕洛阿尔托网络设备上, 并且已激活了 pan db, 则管理员在加载后仍必须激活 pan db. 如果具有激活的 PAN DB 的设备没有 DNS 连接, 它仍将保持激活状态。
所有者: shasnain