Unterschiedliche MAC Adresse auf HA Aktiv/Passiv-Paar in VM- Serienschnittstellen

Unterschiedliche MAC Adresse auf HA Aktiv/Passiv-Paar in VM- Serienschnittstellen

46167
Created On 04/13/19 13:36 PM - Last Modified 03/26/21 17:36 PM


Symptom


In hardware -basierten PAN-OS Firewalls in aktiv/passiver Hochverfügbarkeit ( ) haben sowohl aktive als auch passive Firewalls HA die gleiche virtuelle MAC . Während in VM- PAN-OS Serienfirewalls die aktiv/passiven Knoten standardmäßig unterschiedliche MAC Adressen haben. Dies kann dazu führen, dass Endgeräte und/oder Layer-3-Geräte wie Router die MAC Gatewayadresse bei jedem HA Failover auflösen.

Weitere Informationen finden Sie im folgenden Artikel: Wie man eine virtuelle MAC Adresse berechnet.

Environment


VM-Serie firewall 

Cause


Dieses Verhalten ist auf einen Hypervisor zurückzuführen, dem MAC zugewiesen wurde.
Weitere Informationen hierzu finden Sie in diesem Artikel: Hypervisor Zugewiesene MAC Adressen

Um nach den Einstellungen zu suchen, navigieren Sie zur Registerkarte Gerät > Verwaltung > aktivieren Sie Hypervisor zugewiesene MAC Adressen verwenden.
Benutzeriertes Bild

Bitte beachten Sie das Bild unten, das zeigt, dass das Active- und das Passive-Gerät unterschiedliche MAC Adressen haben.

Aktiv Firewall :
Benutzeriertes Bild

Benutzeriertes Bild

Resolution


Um das Standardverhalten von HA aktiv/passiv mit unterschiedlichen Adressen zu MAC ändern, führen Sie die folgenden Schritte aus:

Bitte aktivierenSie "Hypervisor Zugewiesene MAC Adressen verwenden" und übertragen Sie die Änderungen.
Benutzeriertes Bild

HA- AktivFirewall
Benutzeriertes Bild

HA- Passiv Firewall
Benutzeriertes Bild

NOTE: Es gibt keine Möglichkeit, die Verwendung von Hypervisor zugewiesenen Adressen auf und Azure zu aktivieren oder zu MAC AWS deaktivieren. Sie ist standardmäßig für beide Plattformen aktiviert und kann nicht deaktiviert werden.

Vorbehalte: Möglicherweise müssen Sie auch den Promiscuous-Modus auf dem Hypervisor aktivieren.

Additional Information


Der zugewiesene Hypervisor kann zu Split-Brain führen, wenn die Datenebenenschnittstelle für HA1- und HA1-Backupverwendet wird. Es sollte kein Problem oder keine Aktion erforderlich sein, wenn die Verwaltungsschnittstelle für HA1- oder HA1-Sicherungen verwendet wird. Wie kann ich den

Promiscuous-Modus auf ESXi VMware aktivieren?
Siehe:https://pubs.vmware.com/vsphere-4-esx-vcenter/index.jsp?topic=/com.vmware.vsphere.server_configclassic.doc_41/esx_server_config/securing_an_esx_configuration/c_promiscuous_mode_operation.html

Standardporteinstellungen in vSwitch sind nur zulässig, wenn der von VMware initiierte Datenverkehr über eine zugewiesene MAC Adresse verfügt. Anderer Datenverkehr wird standardmäßig blockiert, sodass die HA1-Verbindung heruntergebracht wird. Es wird zu Split-Brain-Zustand im HA Paar führen.
Benutzeriertes Bild

HA1-Link nach unten – HA in Split-Brain-Bedingung
HA 1 Link nach unten. Split Barin Zustand

Um dieses Problem zu beheben, müssen wir die vSwitch-Einstellungen von Standard-zu-Akzeptieren-Zustand ändern. Dann sollte es wie erwartet funktionieren. Der HA Link wird auftauchen.
Benutzeriertes Bild

HA Paar wiederhergestellt
HA paar
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLZyCAO&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language