Firewall Stuck in Initial (Leaving Suspended State)
56260
Created On 04/13/19 04:54 AM - Last Modified 03/26/21 17:36 PM
Symptom
- Firewalls im aktiv/passiven HA Setup
- Zum Durchführen eines Failovertests wurde eine der Firewalls angehalten.
- Failover war erfolgreich, aber wenn das angehaltene firewall Wieder funktionsfähig gemacht wird, bleibt es im Initial (Verlassen des angehaltenen Zustands) stecken.
Firewall FW1: Aktiv
Firewall FW2: Initial (Leaving suspended state)
FirewallFW1:
Firewall FW2:
Firewall FW2 ha_agent.log wenn FW2 funktional ist:
2019-04-12 21:42:03.311 -0700 Group 9 State is going from Suspended to Initial 2019-04-12 21:42:03.311 -0700 Group 9: User request to move group to Initial state 2019-04-12 21:42:03.311 -0700 debug: ha_state_move(src/ha_state.c:1516): Group 9: moving from state Suspended to Initial 2019-04-12 21:42:03.311 -0700 HA Group 9: moved from state Suspended to state Initial (0) 2019-04-12 21:42:03.312 -0700 debug: ha_sysd_dev_state_update(src/ha_sysd.c:1431): Set dev state to Initial 2019-04-12 21:42:03.312 -0700 debug: ha_state_move_action(src/ha_state.c:1331): No state transition script available on current platform 2019-04-12 21:42:03.312 -0700 debug: ha_state_clear_monitor_log_history(src/ha_state.c:3893): Clearing all monitoring log history 2019-04-12 21:42:03.312 -0700 debug: ha_state_transition(src/ha_state.c:1420): Group 9: transition to state Passive 2019-04-12 21:42:03.312 -0700 debug: ha_state_start_rt_sync_hold(src/ha_state.c:2200): Group 9: starting runtime state sync hold (3600) 2019-04-12 21:42:03.316 -0700 debug: sysd_queue_wr_event_add(sysd_queue.c:915): QUEUE: queue write event already added 2019-04-12 21:42:03.354 -0700 debug: ha_rts_sysd_dp_state_notify_cb(src/ha_rts.c:1306): RTS slot 1 (dp0) Initial state 2019-04-12 21:42:03.354 -0700 debug: ha_rts_local_update(src/ha_rts.c:171): Group 9: called to set local status HA2-unavailable, new local status Unknown, force yes 2019-04-12 21:42:07.137 -0700 debug: ha_peer_recv_hello(src/ha_peer.c:5227): Group 9 (HA1-MAIN): Receiving hello message
Environment
- Firewall Aktiv/Passiv laufen HA
- HA1 und HA2 konfiguriert
- HA1-Backup und HA2-Backup sind nicht konfiguriert
Cause
Dies geschieht, wenn die Datenverbindung (z. B. HA2-Backup) nicht konfiguriert ist und HA2 ausfällt.
Resolution
Je nach Situation können Sie eine der folgenden Optionen wählen:
Lösung:
Beheben der HA2-Konnektivität und, sobald HA2 verfügbar ist, ändert sich der Zustand vom ursprünglichen firewall (Ausgehängten Zustand verlassen) in passiv.
Warten Sie außerdem, bis der Synchronisierungshaltezustand des Laufzeitstatus endet, und ändert seinen Status automatisch in passiv, auch wenn die Datenverknüpfung nicht mehr angezeigt wird.
Problemumgehung:Deaktivieren Sie vorübergehend die
Option Sitzungssynchronisierung aktivieren, und übertragen Sie die Änderungen auf FW2. Gleich danach sollte FW2 als passiv auffallen. Aktivieren Sie dann die Sitzungssynchronisierung zurück und arbeiten Sie an der Reparatur der HA2-Konnektivität.