Dirección diferente MAC en el HA par activo/pasivo en VM- las interfaces de serie

Dirección diferente MAC en el HA par activo/pasivo en VM- las interfaces de serie

46181
Created On 04/13/19 13:36 PM - Last Modified 03/26/21 17:37 PM


Symptom


En hardware firewalls basados PAN-OS en firewalls basados en alta disponibilidad activa/pasiva ( HA ), tanto active como pasivo tienen el mismo virtual MAC . Mientras que en VM- PAN-OS los firewalls de serie, los nodos activos/pasivos tienen direcciones diferentes MAC de forma predeterminada. Esto puede hacer que los dispositivos del punto final y/o los dispositivos de la capa 3 como el Routers resuelvan la dirección de la puerta de enlace MAC cada vez que ocurre la conmutación por HA error.

Consulte el siguiente artículo para obtener más información: Cómo calcular una MAC dirección virtual.

Environment


VM-Serie firewall 

Cause


Este comportamiento se debe a un hipervisor MAC asignado.
Para obtener más información al respecto, consulte este artículo: Direcciones MAC asignadas por hipervisor

Para comprobar la configuración, vaya a la pestaña Dispositivo > Administración > verifique Usar direcciones MAC asignadas de hipervisor
Imagen de usuario añadido

Esto está habilitado de forma predeterminada. Consulte la imagen siguiente, que muestra que el dispositivo activo y pasivo tienen MAC direcciones diferentes.

Activo Firewall :
Imagen de usuario añadido

Imagen de usuario añadido

Resolution


Para cambiar el comportamiento predeterminado de HA las direcciones activas/pasivas, MAC siga los pasos que se indican a continuación:

Marque "Usar direcciones asignadas por hipervisor" y MAC confirme los cambios.
Imagen de usuario añadido

HA- ActivoFirewall
Imagen de usuario añadido

HA- Pasivo: Firewall
Imagen de usuario añadido

NOTE No hay ninguna opción para habilitar o deshabilitar el uso de direcciones asignadas por hipervisores en MAC y AWS Azure. Está habilitado de forma predeterminada para ambas plataformas y no se puede deshabilitar.

Advertencia: También es posible que deba habilitar el modo promiscuo en el hipervisor.

Additional Information


Cambiar el hipervisor asignado puede provocar la división cerebral si se utiliza la interfaz de plano de datos para la copia de seguridad HA1 y HA1. No debe ser necesario ningún problema o acción si la interfaz de administración se utiliza para la copia de seguridad HA1 o HA1.

¿Cómo habilitar el modo promiscuo en ESXi VMware?
Consulte:https://pubs.vmware.com/vsphere-4-esx-vcenter/index.jsp?topic=/com.vmware.vsphere.server_configclassic.doc_41/esx_server_config/securing_an_esx_configuration/c_promiscuous_mode_operation.html

La configuración de puerto predeterminada en vSwitch solo está permitida si el tráfico iniciado por VMware tiene una MAC dirección asignada. Otro tráfico se bloqueará de forma predeterminada, por lo que derribará el link HA1. Conducirá hacia la condición de cerebro dividido en la HA pareja.
Imagen de usuario añadido

Ha1 enlace hacia abajo – HA en condición de cerebro dividido
HA 1 enlace hacia abajo. Condición de barín dividido

Para resolver este problema, necesitamos cambiar la configuración de vSwitch de predeterminado para aceptar el estado. Entonces debería funcionar como se esperaba. El HA enlace aparecerá.
Imagen de usuario añadido

HA Pareja restaurada
HA par
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLZyCAO&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language