Firewall Atascado en inicial (dejando el estado suspendido)

Firewall Atascado en inicial (dejando el estado suspendido)

56258
Created On 04/13/19 04:54 AM - Last Modified 03/26/21 17:37 PM


Symptom


  • Firewalls en configuración activa/pasiva HA
  • Para realizar la prueba de conmutación por error, uno de los firewalls se suspendió
  • La conmutación por error se realizó correctamente, pero al volver a hacer que la suspensión firewall vuelva a funcionar, se atasca en inicial (dejando el estado suspendido)

Firewall FW1:
Firewall FW2 activo: Inicial (dejando el estado suspendido)

Firewall FW1:
Imagen de usuario añadido

Firewall FW2:
Imagen de usuario añadido

Firewall FW2 ha_agent.log cuando hacer FW2 funcional:
2019-04-12 21:42:03.311 -0700 Group 9 State is going from Suspended to Initial
2019-04-12 21:42:03.311 -0700 Group 9: User request to move group to Initial state
2019-04-12 21:42:03.311 -0700 debug: ha_state_move(src/ha_state.c:1516): Group 9: moving from state Suspended to Initial
2019-04-12 21:42:03.311 -0700 HA Group 9: moved from state Suspended to state Initial (0)
2019-04-12 21:42:03.312 -0700 debug: ha_sysd_dev_state_update(src/ha_sysd.c:1431): Set dev state to Initial
2019-04-12 21:42:03.312 -0700 debug: ha_state_move_action(src/ha_state.c:1331): No state transition script available on current platform
2019-04-12 21:42:03.312 -0700 debug: ha_state_clear_monitor_log_history(src/ha_state.c:3893): Clearing all monitoring log history
2019-04-12 21:42:03.312 -0700 debug: ha_state_transition(src/ha_state.c:1420): Group 9: transition to state Passive
2019-04-12 21:42:03.312 -0700 debug: ha_state_start_rt_sync_hold(src/ha_state.c:2200): Group 9: starting runtime state sync hold (3600)
2019-04-12 21:42:03.316 -0700 debug: sysd_queue_wr_event_add(sysd_queue.c:915): QUEUE: queue write event already added
2019-04-12 21:42:03.354 -0700 debug: ha_rts_sysd_dp_state_notify_cb(src/ha_rts.c:1306): RTS slot 1 (dp0) Initial state
2019-04-12 21:42:03.354 -0700 debug: ha_rts_local_update(src/ha_rts.c:171): Group 9: called to set local status HA2-unavailable, new local status Unknown, force yes
2019-04-12 21:42:07.137 -0700 debug: ha_peer_recv_hello(src/ha_peer.c:5227): Group 9 (HA1-MAIN): Receiving hello message

 

Environment


  • Firewall corriendo en activo/ pasivo HA
  • HA1 y HA2 configurados
  • Ha1-backup y HA2-backup no están configurados

Cause


Esto sucede cuando el vínculo de datos (por ejemplo, HA2-backup) no está configurado y HA2 está abajo.

Resolution


Dependiendo de la situación, puede elegir cualquiera de las siguientes opciones:

Solución:
Corregir la conectividad HA2 y, tan pronto como HA2 esté activo, el firewall cambiará su estado de inicial (Salir del estado suspendido) a pasivo.
Además, espere a que finalice la retención de sincronización de estado en tiempo de ejecución y cambiará su estado a pasivo automáticamente, incluso cuando el vínculo de datos esté abajo.

Solución alternativa:
Desactive temporalmente Habilitar sincronización de sesiones y confirme los cambios en FW2. Justo después de eso, FW2 debería aparecer como pasivo. A continuación, siga adelante y habilite la sincronización de sesiones de nuevo y trabaje en la fijación de conectividad HA2.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLZeCAO&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language