MAC HA シリーズ インターフェイスのアクティブ/パッシブ ペアの異なるアドレス VM-
46163
Created On 04/13/19 13:36 PM - Last Modified 03/26/21 17:37 PM
Symptom
hardware PAN-OS アクティブ/パッシブ高可用性 ( ) のベースのファイアウォール HA では、アクティブとパッシブの両方が同じ仮想を持っています MAC 。 VM-シリーズ PAN-OS ファイアウォールでは、アクティブ/パッシブノードはデフォルトで異なる MAC アドレスを持っています。 これにより、フェールオーバーが発生するたびにエンドポイント デバイスやルータなどのレイヤ 3 デバイスがゲートウェイ アドレスを解決する可能性があります MAC HA 。
詳細については、次の記事を参照してください:仮想 MAC アドレスを計算する方法。
Environment
VM-シリーズ firewall
Cause
この動作は、ハイパーバイザーが割り当てられたためです MAC 。
詳細については、「ハイパーバイザー割り当て MAC アドレス
」設定を確認するには、[ デバイス] タブ > 管理 ] > [ ハイパーバイザーの割り当て MAC 済みアドレスを使用
する] をオンにするを参照してください。 アクティブデバイスとパッシブデバイスのアドレスが異なっていることを示す以下の画像を参照してください MAC 。
アクティブ Firewall :
Resolution
HA異なるアドレスを保持するアクティブ/パッシブのデフォルトの動作を変更するには MAC 、次の手順に従います
MAC 。
HA- アクティブFirewall
HA- パッシブFirewall
NOTE:ハイパーバイザーに割り当てられたアドレスの使用を有効または無効 MAC にするオプションはありません AWS 。 これは、両方のプラットフォームで既定で有効になっており、無効にすることはできません。
注意: ハイパーバイザーで無差別モードを有効にする必要がある場合もあります。
Additional Information
割り当てられたハイパーバイザーを変更すると、HA1およびHA1バックアップにデータプレーン・インタフェースを使用する場合、スプリットブレインにつながる可能性があります。 HA1 または HA1 のバックアップに管理インターフェースを使用する場合は、問題やアクションは必要ありません。
ESXi VMwareで無差別モードを有効にする方法は?
参照:https://pubs.vmware.com/vsphere-4-esx-vcenter/index.jsp?topic=/com.vmware.vsphere.server_configclassic.doc_41/esx_server_config/securing_an_esx_configuration/c_promiscuous_mode_operation.html vSwitch のデフォルトポート設定は、VMware
によって開始されたトラフィックにアドレスが割り当てられている場合にのみ許可されます MAC 。 他のトラフィックはデフォルトでブロックされるため、HA1 リンクがダウンします。 それはペアのスプリット脳の状態に向かって導 HA くでしょう。
HA1 リンクダウン – HA スプリットブレイン状態では
、この問題を解決するには、vSwitch の設定をデフォルトから受け入れ状態に変更する必要があります。 その後、期待どおりに動作するはずです。 HAリンクが表示されます。
HA ペアが復元されました