Unterschiedliche MAC Adresse auf HA Aktiv/Passiv-Paar in VM- Serienschnittstellen
46167
Created On 04/13/19 13:36 PM - Last Modified 03/26/21 17:36 PM
Symptom
In hardware -basierten PAN-OS Firewalls in aktiv/passiver Hochverfügbarkeit ( ) haben sowohl aktive als auch passive Firewalls HA die gleiche virtuelle MAC . Während in VM- PAN-OS Serienfirewalls die aktiv/passiven Knoten standardmäßig unterschiedliche MAC Adressen haben. Dies kann dazu führen, dass Endgeräte und/oder Layer-3-Geräte wie Router die MAC Gatewayadresse bei jedem HA Failover auflösen.
Weitere Informationen finden Sie im folgenden Artikel: Wie man eine virtuelle MAC Adresse berechnet.
Environment
VM-Serie firewall
Cause
Dieses Verhalten ist auf einen Hypervisor zurückzuführen, dem MAC zugewiesen wurde.
Weitere Informationen hierzu finden Sie in diesem Artikel: Hypervisor Zugewiesene MAC Adressen
Um nach den Einstellungen zu suchen, navigieren Sie zur Registerkarte Gerät > Verwaltung > aktivieren Sie Hypervisor zugewiesene MAC Adressen verwenden.
Bitte beachten Sie das Bild unten, das zeigt, dass das Active- und das Passive-Gerät unterschiedliche MAC Adressen haben.
Aktiv Firewall :
Resolution
Um das Standardverhalten von HA aktiv/passiv mit unterschiedlichen Adressen zu MAC ändern, führen Sie die folgenden Schritte aus:
Bitte aktivierenSie "Hypervisor Zugewiesene MAC Adressen verwenden" und übertragen Sie die Änderungen.
HA- AktivFirewall
HA- Passiv Firewall
NOTE: Es gibt keine Möglichkeit, die Verwendung von Hypervisor zugewiesenen Adressen auf und Azure zu aktivieren oder zu MAC AWS deaktivieren. Sie ist standardmäßig für beide Plattformen aktiviert und kann nicht deaktiviert werden.
Vorbehalte: Möglicherweise müssen Sie auch den Promiscuous-Modus auf dem Hypervisor aktivieren.
Additional Information
Der zugewiesene Hypervisor kann zu Split-Brain führen, wenn die Datenebenenschnittstelle für HA1- und HA1-Backupverwendet wird. Es sollte kein Problem oder keine Aktion erforderlich sein, wenn die Verwaltungsschnittstelle für HA1- oder HA1-Sicherungen verwendet wird. Wie kann ich den
Promiscuous-Modus auf ESXi VMware aktivieren?
Siehe:https://pubs.vmware.com/vsphere-4-esx-vcenter/index.jsp?topic=/com.vmware.vsphere.server_configclassic.doc_41/esx_server_config/securing_an_esx_configuration/c_promiscuous_mode_operation.html
Standardporteinstellungen in vSwitch sind nur zulässig, wenn der von VMware initiierte Datenverkehr über eine zugewiesene MAC Adresse verfügt. Anderer Datenverkehr wird standardmäßig blockiert, sodass die HA1-Verbindung heruntergebracht wird. Es wird zu Split-Brain-Zustand im HA Paar führen.
HA1-Link nach unten – HA in Split-Brain-Bedingung
Um dieses Problem zu beheben, müssen wir die vSwitch-Einstellungen von Standard-zu-Akzeptieren-Zustand ändern. Dann sollte es wie erwartet funktionieren. Der HA Link wird auftauchen.
HA Paar wiederhergestellt