启用主动/被动 HA 后, 网络连接将通过防火墙丢失

启用主动/被动 HA 后, 网络连接将通过防火墙丢失

50300
Created On 09/26/18 13:54 PM - Last Modified 06/12/23 10:31 AM


Resolution


问题

在存在防火墙且网络连接正在通过防火墙的环境中, 如果引入了另一个防火墙来创建高可用性 (ha) 对, 则当启用 ha 时, 任何已连接设备的连接可能会丢失, 即使新防火墙充当被动单元, 其非 HA 接口被禁用或关闭。

原因

启用 HA 后, 预计非 HA 接口上两个设备的 MAC 地址将变为完全不同的通用 MAC 地址。如果在直接连接的网络上有路由器或主机上的旧 MAC 地址的 arp 条目, 那么它们将传输到错误的 mac 地址, 直到在这些设备上更新 ARP 条目。  例如, 下一个跃点路由器在启用 HA 之前, 可能会有主防火墙接口的 MAC 地址, 导致防火墙不接收或拒绝这些帧, 因为目标 MAC 地址不是当前分配的。

如果 ha 在启用和工作的环境中被禁用, 也可能会出现同样的问题。

示例

主要在 HA 之前

admin@PA-500-1> 显示界面全部

配置的硬件接口总数: 9

名称 id 速度/双工/状态 mac 地址

--------------------------------------------------------------------------------

ethernet1/1 16 100/全/上 00:1b:17: aa: bb:10

ethernet1/2 17 100/全/上 00:1b:17: aa: bb:11

ethernet1/3 18 未知/未知/下 00:1b:17: aa: bb:12

ethernet1/4 19 100/全/上 00:1b:17: aa: bb:13

ethernet1/7 22 1000/全/上 00:1b:17: aa: bb:16

ethernet1/8 23 1000/全/上 00:1b:17: aa: bb:17

vlan 1 [n/个]/[n/个]/上 00:1b:17: aa: bb:01

环回 3 [n/个]/[n/个]/上 00:1b:17: aa: bb:03

隧道 4 [n/个]/[n/个]/上 00:1b:17: aa: bb:04

主要后 HA

admin@PA-500-1 (活动) > 显示界面全部

配置的硬件接口总数: 9

名称 id 速度/双工/状态 mac 地址

--------------------------------------------------------------------------------

ethernet1/1 16 100/全/上 00:1b: 17:00:11:10

ethernet1/2 17 100/全/上 00:1b: 17:00:11:11

ethernet1/3 18 未知/未知/下 00:1b: 17:00:11:12

ethernet1/4 19 100/全/上 00:1b: 17:00:11:13

ethernet1/7 22 1000/全/上 00:1b:17: aa: bb:16

ethernet1/8 23 1000/全/上 00:1b:17: aa: bb:17

vlan 1 [n/个]/[n/个]/上 00:1b: 17:00:11:01

环回 3 [n/个]/[n/个]/上 00:1b: 17:00:11:03

隧道 4 [n/个]/[n/个]/上 00:1b: 17:00:11:04

二级前 HA

admin@PA-500-2> 显示界面全部

配置的硬件接口总数: 9

名称 id 速度/双工/状态 mac 地址

--------------------------------------------------------------------------------

ethernet1/1 16 未知/未知/下 00:1b:17: cc: dd:10

ethernet1/2 17 未知/未知/下 00:1b:17: cc: dd:11

ethernet1/3 18 未知/未知/下 00:1b:17: cc: dd:12

ethernet1/4 19 未知/未知/下 00:1b:17: cc: dd:13

ethernet1/7 22 1000/全/上 00:1b:17: cc: dd:16

ethernet1/8 23 1000/全/上 00:1b:17: cc: dd:17

vlan 1 [n/个]/[n/个]/上 00:1b:17: cc: dd:01

环回 3 [n/个]/[n/个]/上 00:1b:17: cc: dd:03

隧道 4 [n/个]/[n/个]/上 00:1b:17: cc: dd:04

继医管局后

admin@PA-500-2 (被动) > 显示界面全部

配置的硬件接口总数: 9

名称 id 速度/双工/状态 mac 地址

--------------------------------------------------------------------------------

ethernet1/1 16 未知/未知/下 00:1b: 17:00:11:10

ethernet1/2 17 未知/未知/下 00:1b: 17:00:11:11

ethernet1/3 18 未知/未知/下 00:1b: 17:00:11:12

ethernet1/4 19 未知/未知/下 00:1b: 17:00:11:13

ethernet1/7 22 1000/全/上 00:1b:17: cc: dd:16

ethernet1/8 23 1000/全/上 00:1b:17: cc: dd:17

vlan 1 [n/个]/[n/个]/上 00:1b: 17:00:11:01

环回 3 [n/个]/[n/个]/上 00:1b: 17:00:11:03

隧道 4 [n/个]/[n/个]/上 00:1b: 17:00:11:04

MAC 地址已经被混淆了, 但一直在进行, 所以这个例子仍然显示了变化。

ethernet1/1 网络上的其他设备可能有 00:1b:17: aa: bb:10 而不是 00:1b: 17:00:11:10 在 HA 被启用之后。  直到路由器得到正确的 MAC 地址, 然后从路由器发送到防火墙的数据包无法实现。

解决办法

  • 清除任何路由器或主机上有不正确的 MAC 地址的 arp 条目的 arp 条目
  • 如果 HA 不在生产环境中, 请等待旧的 ARP 条目超时
  • 不要禁用或启用 HA 作为故障排除步骤, 而不必考虑 MAC 地址的更改

业主: astanton
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClzmCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language