Passiv firewall zeigt Null Sitzungsanzahl an
14553
Created On 10/11/19 23:00 PM - Last Modified 03/26/21 17:49 PM
Symptom
Wenn Sie den Befehl Sitzungszähler anzeigen verwenden, zeigt der Passive firewall eine Sitzungsanzahl von Null an.
5260(passive)> show session meter
VSYS Maximum Current Throttled
--------------------------------------------------------------------------------
1 0 0 0
Environment
- Alle PAN-OS .
- Alle Palo Alto Firewalls, die hohe Verfügbarkeit unterstützen.
- Aktiv-Passiv oder Aktiv-Aktiv konfiguriert.
Cause
Verbindungsprobleme am HA2-Port oder auf der hohen Datenebene CPU können dieses Problem verursachen.
Resolution
- Überprüfen Sie, ob die Sitzungsanzahl für den Aktiven firewall angezeigt wird und passiv eine Anzahl von 0 anzeigt, indem Sie den Befehl firewall Sitzungszähler anzeigen verwenden.
5260(active)> show session meter
VSYS Maximum Current Throttled
--------------------------------------------------------------------------------
1 0 146557 0
5260(passive)> show session meter
VSYS Maximum Current Throttled
--------------------------------------------------------------------------------
1 0 0 0
- Wenn die CPU Datenebene hoch ist, beheben Sie die Fehlerbehebung, um High Dataplane CPUaufzulösen.
- HA2 link ist für die Synchronisierung von Sitzungen von aktiven zu passiven Firewalls verantwortlich.Beheben Sie Linkprobleme des HA2-Ports.
- Überprüfen Sie auf Probleme mit physikalischen Ebenen, z. B. fehlerhaftes Kabel oder fehlerhaften HA2-Port, und beheben Sie dasselbe.
- Starten Sie die passive firewall .
- Wenn die oben genannten Schritte fehlschlagen, versuchen Sie, die Konfigurationssynchronisierung zwischen Firewalls zu deaktivieren und zu aktivieren.
- Deaktivieren Sie die Konfigurationssynchronisierung auf beiden Firewalls.
GUI: Gerät > Hochverfügbarkeit > General > Setup.
Option "Config Sync aktivieren" auf beiden Geräten deaktivieren.
Commit für beide Firewalls.
- Nur Passiv firewall anhalten.
GUI: Gerät > Hochverfügbarkeit > Betriebsbefehle
Klicken Sie auf "Lokales Gerät anhalten".
- Aktivieren Sie die Konfigurationssynchronisierung auf beiden Geräten.
GUI: Device > High Availability > General > Setup-Option
"Config Sync aktivieren" auf beiden Geräten.
Commit für beide Firewalls.
- Machen Sie das Passive firewall als funktional.
GUI: Gerät > Hochverfügbarkeit > Betriebsbefehle
Klicken Sie auf "Lokales Gerät funktionsfähig machen" .
Commit.
- Überprüfen Sie die Sitzungsanzahl auf dem Passiven firewall mithilfe des Befehlsshow-Sitzungsmessers.
- Wenn die obigen Schritte fehlschlagen und die Sitzungszählung auf dem Passiven firewall immer noch 0 ist, rufen Sie Unterstützung TAC für weitere Unterstützung an.