Adresse MAC différente sur paire HA active/passive dans les VM- interfaces de série
46183
Created On 04/13/19 13:36 PM - Last Modified 03/26/21 17:36 PM
Symptom
Dans hardware les pare-feu PAN-OS basés dans active / passive Haute Disponibilité ( ), à la fois HA l’actif et passif ont le même virtuel MAC . Alors que dans VM- les PAN-OS pare-feu de série, les nœuds actifs/passifs ont des MAC adresses différentes par défaut. Cela peut amener les périphériques de point de terminaison et/ou les périphériques Layer-3 comme les routeurs à résoudre l’adresse de MAC la passerelle chaque fois que HA l’échec se produit.
S’il vous plaît se référer à l’article suivant pour plus d’informations: Comment calculer une MAC adresse virtuelle.
Environment
VM-Série firewall
Cause
Ce comportement est dû à un hyperviseur assigné MAC .
Pour plus d’informations à ce sujet, veuillez vous référer à cet article : Adresses assignées hypervisor MAC
Pour vérifier les paramètres, accédez à l’onglet périphérique > Management > vérifiez l’utilisation des adresses assignées par hyperviseur MAC
Cela est activé par défaut. S’il vous plaît se référer à l’image ci-dessous, qui montre l’appareil actif et passif ont des MAC adresses différentes.
Actif Firewall :
Resolution
Pour modifier le comportement par défaut de HA la tenue active/passive de différentes MAC adresses, suivez les étapes ci-dessous :
Veuillez uncheck « Utilisez les adresses assignées à Hypervisor » MAC et commettez les modifications.
HA- ActifFirewall
HA- Passif : Il Firewall
NOTEn’y a pas d’option pour activer ou désactiver l’utilisation des adresses assignées par hyperviseur MAC et AWS Azure. Il est activé par défaut pour les deux plates-formes et ne peut pas être désactivé.
Mise en garde: Vous devrez peut-être également activer le mode promiscuité sur l’hyperviseur.
Additional Information
La modification de l’hyperviseur assigné peut conduire à un cerveau divisé si vous utilisez l’interface dataplane pour la sauvegarde HA1 et HA1. Il ne devrait pas y avoir de problème ou d’action requis si l’interface de gestion est utilisée pour la sauvegarde HA1 ou HA1.
Comment activer le mode promiscuité sur ESXi VMware ?
Référez-https://pubs.vmware.com/vsphere-4-esx-vcenter/index.jsp?topic=/com.vmware.vsphere.server_configclassic.doc_41/esx_server_config/securing_an_esx_configuration/c_promiscuous_mode_operation.htmlles
paramètres de port par défaut dans vSwitch ne sont autorisés que si le trafic initié par VMware a une adresse MAC assignée. D’autres trafics seront bloqués par défaut, de sorte qu’il fera baisser le lien HA1. Il conduira à l’état split-cerveau dans la HA paire.
Lien HA1 vers le bas – HA en état split-brain
Pour résoudre ce problème, nous devons changer les paramètres vSwitch de par défaut pour accepter l’état. Ensuite, il devrait fonctionner comme prévu. Le HA lien sera mis en place.
HA Paire restaurée