Nach der Aktivierung von Active/Passive ha geht die Netzwerkverbindung durch die Firewalls verloren

Nach der Aktivierung von Active/Passive ha geht die Netzwerkverbindung durch die Firewalls verloren

50304
Created On 09/26/18 13:54 PM - Last Modified 06/12/23 10:31 AM


Resolution


Problem

In einer Umgebung, in der die Firewall vorhanden ist und die Netzwerkverbindung über die Firewall funktioniert, wenn eine andere Firewall eingeführt wird, um ein hoch Verfügbarkeits Paar (ha) zu erstellen, kann die Konnektivität für alle angeschlossenen Geräte verloren gehen, wenn die ha aktiviert sind, auch wenn die die neue Firewall fungiert als passive Einheit und hat ihre nicht-ha-Schnittstellen deaktiviert oder ausgeschaltet.

Ursache

Nach der Aktivierung von ha wird erwartet, dass sich die Mac-Adressen beider Geräte auf nicht-ha-Schnittstellen auf eine völlig andere gängige Mac-Adresse umstellen. Wenn es irgendwelche ARP-Einträge mit den alten Mac-Adressen auf Routern oder Hosts gibt, die sich in den direkt angeschlossenen Netzen befinden, dann werden Sie an die falsche MAC-Adresse übertragen, bis der ARP-Eintrag auf diesen Geräten aktualisiert wird.  Ein Beispiel ist der nächste Hop-Router in Richtung Internet könnte die Mac-Adresse der primären Firewall-Schnittstelle haben, bevor das ha aktiviert wurde, was dazu führt, dass die Firewall diese Frames nicht empfängt oder ablehnt, da die Ziel-MAC-Adresse nicht die aktuell zugewiesene ist.

Das gleiche Problem könnte auch auftreten, wenn ha in einer Umgebung, in der ha aktiviert und funktioniert wurde, deaktiviert wurde.

Beispiel

Primär vor ha

admin @ PA-500-1 > Show Interface alle

Total konfigurierte Hardwareschnittstellen: 9

Name ID Speed/Duplex/Zustands Mac-Adresse

--------------------------------------------------------------------------------

Ethernet1/1 16 100/Full/up 00:1B: 17: AA: BB: 10

Ethernet1/2 17 100/Full/up 00:1B: 17: AA: BB: 11

Ethernet1/3 18 unbekannt/unbekannt/Down 00:1B: 17: AA: BB: 12

Ethernet1/4 19 100/Full/up 00:1B: 17: AA: BB: 13

Ethernet1/7 22 1000/Full/up 00:1B: 17: AA: BB: 16

Ethernet1/8 23 1000/Full/up 00:1B: 17: AA: BB: 17

VLAN 1 [n/a]/[n/a]/up 00:1B: 17: AA: BB: 01

Loopback 3 [n/a]/[n/a]/up 00:1B: 17: AA: BB: 03

Tunnel 4 [n/a]/[n/a]/up 00:1B: 17: AA: BB: 04

Primär nach ha

admin @ PA-500-1 (aktiv) > Interface alle anzeigen

Total konfigurierte Hardwareschnittstellen: 9

Name ID Speed/Duplex/Zustands Mac-Adresse

--------------------------------------------------------------------------------

Ethernet1/1 16 100/Full/up 00:1B: 17:00:11:10

Ethernet1/2 17 100/Full/up 00:1B: 17:00:11:11

Ethernet1/3 18 unbekannt/unbekannt/Down 00:1B: 17:00:11:12

Ethernet1/4 19 100/Full/up 00:1B: 17:00:11:13

Ethernet1/7 22 1000/Full/up 00:1B: 17: AA: BB: 16

Ethernet1/8 23 1000/Full/up 00:1B: 17: AA: BB: 17

VLAN 1 [n/a]/[n/a]/up 00:1B: 17:00:11:01

Loopback 3 [n/a]/[n/a]/up 00:1B: 17:00:11:03

Tunnel 4 [n/a]/[n/a]/up 00:1B: 17:00:11:04

Sekundär vor ha

admin @ PA-500-2 > anzeigen Schnittstelle alle

Total konfigurierte Hardwareschnittstellen: 9

Name ID Speed/Duplex/Zustands Mac-Adresse

--------------------------------------------------------------------------------

Ethernet1/1 16 unbekannt/unbekannt/Down 00:1B: 17: cc: DD: 10

Ethernet1/2 17 unbekannt/unbekannt/Down 00:1B: 17: cc: DD: 11

Ethernet1/3 18 unbekannt/unbekannt/Down 00:1B: 17: cc: DD: 12

Ethernet1/4 19 unbekannt/unbekannt/Down 00:1B: 17: cc: DD: 13

Ethernet1/7 22 1000/Full/up 00:1B: 17: cc: DD: 16

Ethernet1/8 23 1000/Full/up 00:1B: 17: cc: DD: 17

VLAN 1 [n/a]/[n/a]/up 00:1B: 17: cc: DD: 01

Loopback 3 [n/a]/[n/a]/up 00:1B: 17: cc: DD: 03

Tunnel 4 [n/a]/[n/a]/up 00:1B: 17: cc: DD: 04

Sekundär nach ha

admin @ PA-500-2 (passiv) > Interface alle anzeigen

Total konfigurierte Hardwareschnittstellen: 9

Name ID Speed/Duplex/Zustands Mac-Adresse

--------------------------------------------------------------------------------

Ethernet1/1 16 unbekannt/unbekannt/Down 00:1B: 17:00:11:10

Ethernet1/2 17 unbekannt/unbekannt/Down 00:1B: 17:00:11:11

Ethernet1/3 18 unbekannt/unbekannt/Down 00:1B: 17:00:11:12

Ethernet1/4 19 unbekannt/unbekannt/Down 00:1B: 17:00:11:13

Ethernet1/7 22 1000/Full/up 00:1B: 17: cc: DD: 16

Ethernet1/8 23 1000/Full/up 00:1B: 17: cc: DD: 17

VLAN 1 [n/a]/[n/a]/up 00:1B: 17:00:11:01

Loopback 3 [n/a]/[n/a]/up 00:1B: 17:00:11:03

Tunnel 4 [n/a]/[n/a]/up 00:1B: 17:00:11:04

Mac-Adressen wurden verschleiert, aber konsequent durchgeführt, so dass das Beispiel immer noch die Änderung zeigt.

Andere Geräte aus dem Ethernet1/1-Netzwerk können 00:1B: 17: AA: BB: 10 statt 00:1B: 17:00:11:10, nachdem das ha aktiviert wurde.  Bis der Router die richtige MAC-Adresse erhält, werden Pakete, die vom Router in Richtung Firewall gesendet werden, nicht mehr erzeugt.

Lösung

  • Löschen Sie die ARP-Einträge auf irgendwelchen Routern oder Hosts, die ARP-Einträge mit der falschen Mac-Adresse haben
  • Warten Sie, bis die alten ARP-Einträge eine Auszeit haben, wenn sich die ha nicht in einer Produktionsumgebung befinden
  • Deaktivieren Sie nicht oder aktivieren Sie ha als Fehler Behebungs Schritt, ohne zu erwarten, dass Sie die Änderung der Mac-Adressen berücksichtigen

Besitzer: Astanton
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClzmCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language