Problem
Wenn zwei Firewalls der VM-Serie von Palo Alto Networks zusammen im Modus der hohen Verfügbarkeit (ha) konfiguriert sind, geht ein Peer aufgrund eines Lizenz Missstandes zwischen dem Paar in einen schwebenden Zustand. Die folgende Meldung erscheint auf dem Web-UI: "suspendiert (VM-Lizenz-Missstimmungen mit Peer)".
Die Protokolle der aktiven VM-Serie-Firewall zeigen Folgendes:
Oct 04 18:00:21 Staaten der Gruppe 1 geht von der Aussetzung zum ersten
Oct 04 18:00:21 Warnung: ha_event_log (src/ha_event. c: 47): ha Gruppe 1: Peer Device VM Lizenz nicht passend; Staat suspendiert
Oct 04 18:00:21 Gruppe 1: Benutzeranfrage, um Gruppe in den ursprünglichen Zustand zu bewegen, was zu keiner staatlichen Änderung führt, Verbleib in Staat ausgesetzt
Oct 04 18:00:21 ha_state_transition (src/ha_state. c: 1116): Gruppe 1: Übergang in den Staat ausgesetzt
Oct 04 18:00:21 ha_state_move (src/ha_state. c: 1202): Gruppe 1: Umzug vom Staat ausgesetzt zur Aussetzung
Oct 04 18:00:21 ha_peer_send_hello (src/ha_peer. c: 4629): Gruppe 1 (HA1-Main): Hallo Nachricht senden
Lösung
Ein ha-Paar kann nicht gebildet werden, wenn die VM-Lizenzen zwischen den Firewalls der Peer-VM-Serie unterschiedlich sind.
Auf beiden Firewalls, gehen Sie zu Device > Lizenz und klicken Sie auf "Lizenzschlüssel vom Lizenzserver abrufen":
Überprüfen Sie, ob die Lizenzen auf den beiden Firewalls der VM-Serie gleich sind.
Verwenden Sie folgenden Befehl auf der aufgehängten Firewall.
> fordern Sie hochverfügbare Zustand funktional
erfolgreich verändert ha Zustand auf funktionale
Die hohe Verfügbarkeits Konfiguration mit dem Paar Firewalls der VM-Serie sollte nun einwandfrei funktionieren.
Besitzer: Hshah