Firewall 卡在初始状态(离开暂停状态)

Firewall 卡在初始状态(离开暂停状态)

56252
Created On 04/13/19 04:54 AM - Last Modified 03/26/21 17:37 PM


Symptom


  • 主动/被动设置中的防火墙 HA
  • 为了执行故障转移测试,其中一个防火墙被暂停
  • 故障转移是成功的,但当再次使暂停 firewall 功能时,它停留在初始状态(离开暂停状态)

Firewall FW1:活动
Firewall FW2:初始(离开暂停状态
用户添加的图像

Firewall)FW1:FW2:FW2 ha_agent.log
用户添加的图像

Firewall当使FW2正常工作时

Firewall
2019-04-12 21:42:03.311 -0700 Group 9 State is going from Suspended to Initial
2019-04-12 21:42:03.311 -0700 Group 9: User request to move group to Initial state
2019-04-12 21:42:03.311 -0700 debug: ha_state_move(src/ha_state.c:1516): Group 9: moving from state Suspended to Initial
2019-04-12 21:42:03.311 -0700 HA Group 9: moved from state Suspended to state Initial (0)
2019-04-12 21:42:03.312 -0700 debug: ha_sysd_dev_state_update(src/ha_sysd.c:1431): Set dev state to Initial
2019-04-12 21:42:03.312 -0700 debug: ha_state_move_action(src/ha_state.c:1331): No state transition script available on current platform
2019-04-12 21:42:03.312 -0700 debug: ha_state_clear_monitor_log_history(src/ha_state.c:3893): Clearing all monitoring log history
2019-04-12 21:42:03.312 -0700 debug: ha_state_transition(src/ha_state.c:1420): Group 9: transition to state Passive
2019-04-12 21:42:03.312 -0700 debug: ha_state_start_rt_sync_hold(src/ha_state.c:2200): Group 9: starting runtime state sync hold (3600)
2019-04-12 21:42:03.316 -0700 debug: sysd_queue_wr_event_add(sysd_queue.c:915): QUEUE: queue write event already added
2019-04-12 21:42:03.354 -0700 debug: ha_rts_sysd_dp_state_notify_cb(src/ha_rts.c:1306): RTS slot 1 (dp0) Initial state
2019-04-12 21:42:03.354 -0700 debug: ha_rts_local_update(src/ha_rts.c:171): Group 9: called to set local status HA2-unavailable, new local status Unknown, force yes
2019-04-12 21:42:07.137 -0700 debug: ha_peer_recv_hello(src/ha_peer.c:5227): Group 9 (HA1-MAIN): Receiving hello message

 

Environment


  • Firewall 以主动/被动运行 HA
  • HA1 和 HA2 配置
  • HA1备份和 HA2 备份未配置

Cause


当数据链路(例如 HA2 备份)未配置并 HA2 关闭时,就会发生这种情况。

Resolution


根据情况,您可以选择以下任何一个:

解决方案
修复 HA2 连接,一旦 HA2 上升, firewall 将将其状态从初始状态(保持暂停状态)更改为被动状态。
此外,等待运行时间状态同步保持结束,它会自动将其状态更改为被动状态,即使数据链接已关闭。

解决方法
暂时取消选中 启用会话同步并提交 FW2 上的更改。 在那之后, Fw2 应该成为被动的。 然后继续启用会话同步,并致力于修复 HA2 连接。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLZeCAO&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language