Firewall 初期状態でスタック (中断状態を残す)

Firewall 初期状態でスタック (中断状態を残す)

56274
Created On 04/13/19 04:54 AM - Last Modified 03/26/21 17:36 PM


Symptom


  • アクティブ/パッシブセットアップのファイアウォール HA
  • フェールオーバー テストを実行するために、ファイアウォールの 1 つが中断されました
  • フェールオーバーは成功しましたが、中断された機能を firewall 再び作成すると、初期状態(中断状態を残す)にスタックされます。

Firewall FW1: アクティブ
Firewall FW2: 初期 (中断状態を残す)

FirewallFW1:
ユーザー追加イメージ

Firewall FW2: FW2 は
ユーザー追加イメージ

FirewallFW2 を機能させるとha_agent.log。
2019-04-12 21:42:03.311 -0700 Group 9 State is going from Suspended to Initial
2019-04-12 21:42:03.311 -0700 Group 9: User request to move group to Initial state
2019-04-12 21:42:03.311 -0700 debug: ha_state_move(src/ha_state.c:1516): Group 9: moving from state Suspended to Initial
2019-04-12 21:42:03.311 -0700 HA Group 9: moved from state Suspended to state Initial (0)
2019-04-12 21:42:03.312 -0700 debug: ha_sysd_dev_state_update(src/ha_sysd.c:1431): Set dev state to Initial
2019-04-12 21:42:03.312 -0700 debug: ha_state_move_action(src/ha_state.c:1331): No state transition script available on current platform
2019-04-12 21:42:03.312 -0700 debug: ha_state_clear_monitor_log_history(src/ha_state.c:3893): Clearing all monitoring log history
2019-04-12 21:42:03.312 -0700 debug: ha_state_transition(src/ha_state.c:1420): Group 9: transition to state Passive
2019-04-12 21:42:03.312 -0700 debug: ha_state_start_rt_sync_hold(src/ha_state.c:2200): Group 9: starting runtime state sync hold (3600)
2019-04-12 21:42:03.316 -0700 debug: sysd_queue_wr_event_add(sysd_queue.c:915): QUEUE: queue write event already added
2019-04-12 21:42:03.354 -0700 debug: ha_rts_sysd_dp_state_notify_cb(src/ha_rts.c:1306): RTS slot 1 (dp0) Initial state
2019-04-12 21:42:03.354 -0700 debug: ha_rts_local_update(src/ha_rts.c:171): Group 9: called to set local status HA2-unavailable, new local status Unknown, force yes
2019-04-12 21:42:07.137 -0700 debug: ha_peer_recv_hello(src/ha_peer.c:5227): Group 9 (HA1-MAIN): Receiving hello message

 

Environment


  • Firewall アクティブ/パッシブで実行 HA
  • HA1 および HA2 の構成
  • HA1 バックアップおよび HA2 バックアップが構成されていない

Cause


これは、データ リンク(HA2 バックアップなど)が設定されておらず、HA2 がダウンしている場合に発生します。

Resolution


状況に応じて、次のいずれかを選択できます:

解決 :
HA2 接続を修正し、HA2 が起動するとすぐに、 firewall 状態が初期状態 (中断状態を残す) からパッシブに変更されます。
さらに、ランタイム状態の同期が終了するまで待機し、データ リンクがダウンしている場合でも、状態が自動的にパッシブに変更されます。

回避策:
[ セッション同期を有効にする]を一時的にオフにして、FW2 に変更をコミットします。 その直後、FW2はパッシブとして現れるはずです。 次に、セッションの同期を有効にして、HA2 接続の修正に取り組みます。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLZeCAO&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language