デバイス状態を使用して、デバイス状態を使用して、アクティブ/パッシブの別のピアからピア(アクティブまたはパッシブ)を回復する HA
32509
Created On 07/13/19 00:38 AM - Last Modified 03/26/21 17:43 PM
Symptom
- ピアを同期できません firewall 。
- Firewall は「準備ができていません」状態です。
- の構成 firewall が壊れており、 firewall 回復不可能な状態です。
- RMA HAのピアが完了しましたが、構成のバックアップは使用できません。
- からの構成プッシュ panorama は、エラーの膨大な数を引き起こし、迅速なリカバリが必要です。 プッシュがピアの 1 つに対してのみ実行され、もう一方のピアに有効な構成が残っており、動作状態にある場合。
Environment
Firewall は、アクティブ/パッシブセットアップの一部 HA です。
ファイアウォールの 1 つは有効な構成で起動し、もう 1 つは firewall 回復する必要があります。
RMA交換シナリオについても説明します。
Cause
- 構成が見つからない
- 構成が壊れています
Resolution
以下の手順では、パッシブが firewall 非稼働であることを前提としています firewall 。 逆でも可能です。
メモ:
非稼働が firewall 再起動された場合は、以下の手順が完了する前に、自動コミットが成功するか失敗するまで待ってください。
また、からプッシュされる設定 Panorama もデバイス状態の一部です。
1) 最初に、アクティブとパッシブファイアウォールの両方のデバイス状態のバックアップを取ります。
2) パッシブ デバイスのスクリーンショットを取る高可用性の一般設定.
3) パッシブデバイス管理インターフェイス設定のスクリーンショットを撮ります.
4) パッシブデバイスのホスト名のスクリーンショットを撮ります.
5) アクティブまたは作業から取ったデバイスの状態をインポート firewall し、パッシブまたは非作業にインポート firewall します。
デバイス>セットアップ>操作。 [デバイスの状態をインポート] をクリックします。 DO NOT CLICK COMMIT
6) デバイスの状態をインポートした後、右上隅にあるヘルプアイコンの横にある更新アイコンをクリックします。
7) パッシブ IP HA または非稼働の管理アドレス、設定、および名前が表示されます firewall DO NOT COMMIT 。
8) HA 設定、管理 IP アドレス、および名前をパッシブまたは非稼働の設定に変更 firewall します。 これがステップ2でスクリーンショットを撮った理由です。
9)パッシブのプリエンプションと同様に「構成同期を有効にする」を無効に firewall します。
10) プロセス firewall 全体が完了するまでパッシブなままになるように、現在のパッシブのデバイスの優先順位が高いことを確認します。 優先順位が低いほど優先順位が高くなります。
11)パッシブまたは非作業のcliに移動 firewall します。 コンフィギュレーション モードに入り、コミット フォースを実行します。
>>#commit力
12を設定する)自動コミットが完了し、完了した後に[構成同期を有効にする]を有効にし、アクティブに行くことによってデバイスを同期してください firewall 。
Additional Information
デバイス状態のバックアップを実行するには、次の手順に従ってください:
0) 両方のファイアウォールのバックアップを HA 取るペアの場合.
デバイス >セットアップ>操作:
1) 名前付き構成スナップショットを保存し、名前を付けてから[構成スナップショットのエクスポート] をクリックし、保存されたファイルを見つけます。
2) 名前付き構成スナップショットをエクスポートし、実行中の構成も選択します。
3) デバイス状態 <---------- If you have trouble exporting this please use Internet Explorer
---------------------------
HA 一般設定:
デバイス>高可用性
------------------------------
ホスト名
デバイス>セットアップ>インタフェース。 [管理] タブの [全般設定] の下に、ホスト名が表示されます。
-----------------------------------------------
名:
デバイス>設定>管理。