Firewall Coincé dans l’état initial (laissant l’état suspendu)

Firewall Coincé dans l’état initial (laissant l’état suspendu)

56270
Created On 04/13/19 04:54 AM - Last Modified 03/26/21 17:36 PM


Symptom


  • Pare-feu dans la configuration HA active/passive
  • Pour effectuer le test d’échec, l’un des pare-feu a été suspendu
  • Failover a réussi, mais lors de la fabrication de la suspension firewall fonctionnelle à nouveau, il est coincé dans initial (Laissant l’état suspendu)

Firewall FW1: Active
Firewall FW2: Initial (Leaving suspended state)

Firewall FW1:
Image ajoutée par l'utilisateur

Firewall FW2:
Image ajoutée par l'utilisateur

Firewall FW2 ha_agent.log lorsque rendre FW2 fonctionnel:
2019-04-12 21:42:03.311 -0700 Group 9 State is going from Suspended to Initial
2019-04-12 21:42:03.311 -0700 Group 9: User request to move group to Initial state
2019-04-12 21:42:03.311 -0700 debug: ha_state_move(src/ha_state.c:1516): Group 9: moving from state Suspended to Initial
2019-04-12 21:42:03.311 -0700 HA Group 9: moved from state Suspended to state Initial (0)
2019-04-12 21:42:03.312 -0700 debug: ha_sysd_dev_state_update(src/ha_sysd.c:1431): Set dev state to Initial
2019-04-12 21:42:03.312 -0700 debug: ha_state_move_action(src/ha_state.c:1331): No state transition script available on current platform
2019-04-12 21:42:03.312 -0700 debug: ha_state_clear_monitor_log_history(src/ha_state.c:3893): Clearing all monitoring log history
2019-04-12 21:42:03.312 -0700 debug: ha_state_transition(src/ha_state.c:1420): Group 9: transition to state Passive
2019-04-12 21:42:03.312 -0700 debug: ha_state_start_rt_sync_hold(src/ha_state.c:2200): Group 9: starting runtime state sync hold (3600)
2019-04-12 21:42:03.316 -0700 debug: sysd_queue_wr_event_add(sysd_queue.c:915): QUEUE: queue write event already added
2019-04-12 21:42:03.354 -0700 debug: ha_rts_sysd_dp_state_notify_cb(src/ha_rts.c:1306): RTS slot 1 (dp0) Initial state
2019-04-12 21:42:03.354 -0700 debug: ha_rts_local_update(src/ha_rts.c:171): Group 9: called to set local status HA2-unavailable, new local status Unknown, force yes
2019-04-12 21:42:07.137 -0700 debug: ha_peer_recv_hello(src/ha_peer.c:5227): Group 9 (HA1-MAIN): Receiving hello message

 

Environment


  • Firewall en cours d’exécution dans active / passive HA
  • HA1 et HA2 configurés
  • Ha1-backup et HA2-backup ne sont pas configurés

Cause


Cela se produit lorsque le lien de données (par exemple, HA2-backup) n’est pas configuré et ha2 est en panne.

Resolution


Selon la situation, vous pouvez choisir l’un des éléments suivants:

Solution:
Corriger la connectivité HA2 et, dès que HA2 est en place, le firewall va changer son état de l’état initial (Laissant l’état suspendu) au passif.
En outre, attendez la synchronisation de l’état d’exécution pour terminer, et il va changer son état en passif automatiquement, même lorsque le lien de données est en panne.

Solution de contournement:
Décochez temporairement la synchronisation des sessions activer et valider les modifications sur FW2. Juste après cela, FW2 devrait venir comme passif. Ensuite, allez-y et permettre la synchronisation de session en arrière et de travailler sur la fixation de la connectivité HA2.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLZeCAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language