MAC HA VM- 系列接口中主动/被动对的不同地址
46169
Created On 04/13/19 13:36 PM - Last Modified 03/26/21 17:37 PM
Symptom
基于 hardware PAN-OS 主动/被动高可用性的防火墙 HA (),主动和被动具有相同的虚拟 MAC 。 而在 VM- 系列 PAN-OS 防火墙中,主动/被动节点 MAC 默认有不同的地址。 这可能会导致端点设备和/或第 3 层设备(如路由器) MAC 每次 HA 发生故障转移时都会解析网关地址。
有关更多信息,请参阅以下文章:如何计算虚拟 MAC 地址。
Environment
VM-系列 firewall
Cause
此行为是由于分配了超遮阳板 MAC 。
有关此的更多信息,请参阅本文:超级遮阳者分配 MAC 地址
以检查设置、导航到 设备选项卡 > 管理 >检查 "使用使用超级遮阳器分配 MAC 地址
"这是默认启用的。 请参阅下面的图像,其中显示主动设备和被动设备有不同的 MAC 地址。
活动 Firewall :
Resolution
要更改 HA 主动/被动持有不同地址的默认行为 MAC ,请按照以下步骤操作:
请uncheck"使用超遮阳器分配 MAC 地址"并提交更改。
HA- 主动Firewall
HA- 被动Firewall
NOTE:无法启用或禁用在 MAC Azure 上分配的超遮阳板地址 AWS 。 默认情况下,这两个平台都启用了该功能,并且无法禁用。
警告: 您可能需要在超遮阳板上启用乱交模式。
Additional Information
如果使用用于 HA1 和 HA1 备份的数据平面接口,则更换分配的超遮阳板可能导致大脑分裂。 如果管理界面用于 HA1 或 HA1 备份,则不应有任何问题或操作。
如何在ESXi VMware 上启用乱交模式?
请参阅:仅
当 VMware 启动的流量具有指定地址时,才允许在 vSwitch 中设置默认端口 MAC https://pubs.vmware.com/vsphere-4-esx-vcenter/index.jsp?topic=/com.vmware.vsphere.server_configclassic.doc_41/esx_server_config/securing_an_esx_configuration/c_promiscuous_mode_operation.html。 默认情况下,其他流量将被阻止,因此它将降低HA1链接。 它将导致对分裂的大脑状况 HA 。
HA1链接向下- HA 在分脑状态
中要解决此问题,我们需要将vSwitch设置从默认状态更改为接受状态。 然后,它应该像预期的那样工作。 HA链接将出现。
HA 已恢复对