Après avoir activé l'AP active/passive, la connectivité réseau est perdue via les pare-feu

Après avoir activé l'AP active/passive, la connectivité réseau est perdue via les pare-feu

50302
Created On 09/26/18 13:54 PM - Last Modified 06/12/23 10:31 AM


Resolution


Demande client

Dans un environnement où le pare-feu est présent et que la connectivité réseau fonctionne à travers le pare-feu, si un autre pare-feu est introduit pour créer une paire haute disponibilité (ha), la connectivité peut être perdue pour tous les périphériques connectés lorsque l'AP est activée même si le le nouveau pare-feu agit en tant qu'unité passive et ses interfaces non-ha sont désactivées ou désactivées.

Cause

Après avoir activé l'AP, on s'attend à ce que les adresses Mac des deux périphériques sur les interfaces non-ha changent en une adresse Mac commune complètement différente. S'il existe des entrées ARP avec les anciennes adresses Mac sur les routeurs ou les hôtes qui sont dans les réseaux directement connectés, puis ils transmettront à la mauvaise adresse Mac jusqu'à ce que l'entrée ARP est mis à jour sur ces périphériques.  Un exemple est le prochain routeur hop vers l'Internet pourrait avoir l'adresse MAC de l'interface de pare-feu primaire avant que l'AP a été activé provoquant le pare-feu de ne pas recevoir ou de rejeter ces images puisque l'adresse MAC de destination n'est pas le courant assigné un.

Le même problème peut également se produire si ha a été désactivé dans un environnement où ha a été activé et de travail.

Exemple

Primaire avant ha

admin @ PA-500-1 > afficher l'interface tous

total des interfaces matérielles configurées: 9

nom ID vitesse/duplex/État MAC adresse

--------------------------------------------------------------------------------

ethernet1/1 16 100/Full/up 00:1b: 17: AA: BB: 10

ethernet1/2 17 100/Full/up 00:1b: 17: AA: BB: 11

ethernet1/3 18 inconnu/inconnu/Down 00:1b: 17: AA: BB: 12

ethernet1/4 19 100/Full/up 00:1b: 17: AA: BB: 13

ethernet1/7 22 1000/Full/up 00:1b: 17: AA: BB: 16

ethernet1/8 23 1000/Full/up 00:1b: 17: AA: BB: 17

VLAN 1 [n/a]/[n/a]/up 00:1b: 17: AA: BB: 01

bouclage 3 [n/a]/[n/a]/up 00:1b: 17: AA: BB: 03

tunnel 4 [n/a]/[n/a]/up 00:1b: 17: AA: BB: 04

Primaire après ha

admin @ PA-500-1 (active) > afficher l'interface tous

total des interfaces matérielles configurées: 9

nom ID vitesse/duplex/État MAC adresse

--------------------------------------------------------------------------------

ethernet1/1 16 100/Full/up 00:1b: 17:00:11:10

ethernet1/2 17 100/Full/up 00:1b: 17:00:11:11

ethernet1/3 18 inconnu/inconnu/Down 00:1b: 17:00:11:12

ethernet1/4 19 100/Full/up 00:1b: 17:00:11:13

ethernet1/7 22 1000/Full/up 00:1b: 17: AA: BB: 16

ethernet1/8 23 1000/Full/up 00:1b: 17: AA: BB: 17

VLAN 1 [n/a]/[n/a]/up 00:1b: 17:00:11:01

bouclage 3 [n/a]/[n/a]/up 00:1b: 17:00:11:03

tunnel 4 [n/a]/[n/a]/up 00:1b: 17:00:11:04

Secondaire avant ha

admin @ PA-500-2 > afficher l'interface tous

total des interfaces matérielles configurées: 9

nom ID vitesse/duplex/État MAC adresse

--------------------------------------------------------------------------------

ethernet1/1 16 inconnu/inconnu/Down 00:1b: 17: CC: DD: 10

ethernet1/2 17 inconnu/inconnu/Down 00:1b: 17: CC: DD: 11

ethernet1/3 18 inconnu/inconnu/Down 00:1b: 17: CC: DD: 12

ethernet1/4 19 inconnu/inconnu/Down 00:1b: 17: CC: DD: 13

ethernet1/7 22 1000/Full/up 00:1b: 17: CC: DD: 16

ethernet1/8 23 1000/Full/up 00:1b: 17: CC: DD: 17

VLAN 1 [n/a]/[n/a]/up 00:1b: 17: CC: DD: 01

bouclage 3 [n/a]/[n/a]/up 00:1b: 17: CC: DD: 03

tunnel 4 [n/a]/[n/a]/up 00:1b: 17: CC: DD: 04

Secondaire après ha

admin @ PA-500-2 (passif) > afficher l'interface tous les

total des interfaces matérielles configurées: 9

nom ID vitesse/duplex/État MAC adresse

--------------------------------------------------------------------------------

ethernet1/1 16 inconnu/inconnu/Down 00:1b: 17:00:11:10

ethernet1/2 17 inconnu/inconnu/Down 00:1b: 17:00:11:11

ethernet1/3 18 inconnu/inconnu/Down 00:1b: 17:00:11:12

ethernet1/4 19 inconnu/inconnu/Down 00:1b: 17:00:11:13

ethernet1/7 22 1000/Full/up 00:1b: 17: CC: DD: 16

ethernet1/8 23 1000/Full/up 00:1b: 17: CC: DD: 17

VLAN 1 [n/a]/[n/a]/up 00:1b: 17:00:11:01

bouclage 3 [n/a]/[n/a]/up 00:1b: 17:00:11:03

tunnel 4 [n/a]/[n/a]/up 00:1b: 17:00:11:04

Les adresses Mac ont été masquées, mais elles se font de façon cohérente, l'exemple montre toujours la modification.

D'autres périphériques hors du réseau ethernet1/1 peuvent avoir 00:1b: 17: AA: BB: 10 au lieu de 00:1b: 17:00:11:10 après l'AP a été activé.  Jusqu'à ce que le routeur obtient l'adresse Mac correcte, puis les paquets envoyés vers le pare-feu à partir du routeur ne sera pas le faire.

Résolution

  • Effacer les entrées ARP sur tous les routeurs ou les hôtes qui ont des entrées ARP avec l'adresse Mac incorrecte
  • Attendez que les anciennes entrées ARP soient dépassées si l'AP n'est pas dans un environnement de production
  • Ne pas désactiver ou activer ha comme une étape de dépannage sans s'attendre à tenir compte de la modification des adresses Mac

propriétaire : astanton
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClzmCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language