アクティブ/パッシブ HA を有効にした後、ファイアウォールを介してネットワーク接続が失われる
Resolution
問題
ファイアウォールが存在し、ネットワーク接続がファイアウォールを経由して動作している環境で、高可用性 (ha) ペアを作成するために別のファイアウォールが使用されている場合、ha が有効になっている場合でも接続されているデバイスの接続が失われる新しいファイアウォールはパッシブユニットとして機能し、非 HA インターフェイスが無効またはオフになっています。
原因
ha を有効にすると、非 ha インタフェース上の両方のデバイスの mac アドレスが、まったく異なる共通の mac アドレスに変更されることが予想されます。直接接続されたネットワーク内にあるルーターまたはホスト上の古い mac アドレスを持つ arp エントリがある場合、それらは arp エントリがそれらのデバイスで更新されるまで、間違った mac アドレスに送信されます。 例では、インターネットに向かって次のホップルータは、HA が受信しないようにファイアウォールを引き起こしたり、宛先の mac アドレスが現在割り当てられているものではないので、それらのフレームを拒否することが有効になる前に、プライマリファイアウォールのインターフェイスの MAC アドレスを持つこと
ha が有効で動作している環境で ha が無効になっている場合も、同じ問題が発生する可能性があります。
例
HA の前にプライマリ
管理者 @ PA-500-1 > すべてのインターフェイスを表示する
構成されたハードウェアインターフェイスの合計数: 9
名前 id 速度/デュプレックス/状態 mac アドレス
--------------------------------------------------------------------------------
ethernet1/1 16 100/フル/アップ 00: 1b:17: aa: bb:10
ethernet1/2 17 100/フル/アップ 00: 1b:17: aa: bb:11
ethernet1/3 18 不明/不明/ダウン 00: 1b:17: aa: bb:12
ethernet1/4 19 100/フル/アップ 00: 1b:17: aa: bb:13
ethernet1/7 22 1000/フル/アップ 00: 1b:17: aa: bb:16
ethernet1/8 23 1000/フル/アップ 00: 1b:17: aa: bb:17
vlan 1 [n/a]/[n/a]/up 00: 1b:17: aa: bb:01
ループバック 3 [n/a]/[n/a]/up 00: 1b:17: aa: bb:03
トンネル 4 [n/a]/[n/a]/up 00: 1b:17: aa: bb:04
HA の後の第一次
管理者 @ PA-500-1 (アクティブ) > すべてのインターフェイスを表示
構成されたハードウェアインターフェイスの合計数: 9
名前 id 速度/デュプレックス/状態 mac アドレス
--------------------------------------------------------------------------------
ethernet1/1 16 100/フル/アップ 00: 1b:17:00:11:10
ethernet1/2 17 100/フル/アップ 00: 1b:17:00:11:11
ethernet1/3 18 不明/不明/ダウン 00: 1b:17:00:11:12
ethernet1/4 19 100/フル/アップ 00: 1b:17:00:11:13
ethernet1/7 22 1000/フル/アップ 00: 1b:17: aa: bb:16
ethernet1/8 23 1000/フル/アップ 00: 1b:17: aa: bb:17
vlan 1 [n/a]/[n/a]/up 00: 1b:17:00:11:01
ループバック 3 [n/a]/[n/a]/up 00: 1b:17:00:11:03
トンネル 4 [n/a]/[n/a]/up 00: 1b:17:00:11:04
HA の前の二次
管理者 @ PA-500-2 > すべてのインターフェイスを表示する
構成されたハードウェアインターフェイスの合計数: 9
名前 id 速度/デュプレックス/状態 mac アドレス
--------------------------------------------------------------------------------
ethernet1/1 16 不明/不明/ダウン 00: 1b:17: cc: dd:10
ethernet1/2 17 不明/不明/ダウン 00: 1b:17: cc: dd:11
ethernet1/3 18 不明/不明/ダウン 00: 1b:17: cc: dd:12
ethernet1/4 19 不明/不明/ダウン 00: 1b:17: cc: dd:13
ethernet1/7 22 1000/フル/アップ 00: 1b:17: cc: dd:16
ethernet1/8 23 1000/フル/アップ 00: 1b:17: cc: dd:17
vlan 1 [n/a]/[n/a]/up 00: 1b:17: cc: dd:01
ループバック 3 [n/a]/[n/a]/up 00: 1b:17: cc: dd:03
トンネル 4 [n/a]/[n/a]/up 00: 1b:17: cc: dd:04
ハの後の二次
管理者 @ PA-500-2 (パッシブ) > すべてのインターフェイスを表示する
構成されたハードウェアインターフェイスの合計数: 9
名前 id 速度/デュプレックス/状態 mac アドレス
--------------------------------------------------------------------------------
ethernet1/1 16 不明/不明/ダウン 00: 1b:17:00:11:10
ethernet1/2 17 不明/不明/ダウン 00: 1b:17:00:11:11
ethernet1/3 18 不明/不明/ダウン 00: 1b:17:00:11:12
ethernet1/4 19 不明/不明/ダウン 00: 1b:17:00:11:13
ethernet1/7 22 1000/フル/アップ 00: 1b:17: cc: dd:16
ethernet1/8 23 1000/フル/アップ 00: 1b:17: cc: dd:17
vlan 1 [n/a]/[n/a]/up 00: 1b:17:00:11:01
ループバック 3 [n/a]/[n/a]/up 00: 1b:17:00:11:03
トンネル 4 [n/a]/[n/a]/up 00: 1b:17:00:11:04
MAC アドレスは難読化されていますが、一貫して行われているため、この例では変更が示されます。
HA が有効になった後、ethernet1/1 ネットワークの他のデバイスは 00: 1b:17: aa: bb:10 の代わりに 00: 1b:17:00:11:10 を持っている可能性があります。 ルータは、ルータからファイアウォールに向かって送信されたパケットが正しい MAC アドレスを取得するまでそれを作ることはありません。
解決方法
- 不正な MAC アドレスを持つ arp エントリを持つルーターまたはホスト上の arp エントリをクリアします。
- HA が実稼働環境にない場合、古い ARP エントリがタイムアウトするのを待つ
- MAC アドレスの変更を考慮せずに、トラブルシューティングの手順として HA を無効または有効にしない
所有者: astanton