被动 firewall 显示零会话计数
14571
Created On 10/11/19 23:00 PM - Last Modified 03/26/21 17:49 PM
Symptom
使用 显示会话仪表 命令时,被动 firewall 显示会话计数为零。
5260(passive)> show session meter
VSYS Maximum Current Throttled
--------------------------------------------------------------------------------
1 0 0 0Environment
- 全部 PAN-OS .
- 支持高可用性的所有帕洛阿尔托防火墙。
- 主动-被动或主动-主动配置。
Cause
HA2 端口或高数据平面上的链接问题 CPU 可能导致此问题。
Resolution
- firewall通过使用显示会话表命令检查活动是否有会话计数,并且被动 firewall 显示计数为0。
5260(active)> show session meter
VSYS Maximum Current Throttled
--------------------------------------------------------------------------------
1 0 146557 0
5260(passive)> show session meter
VSYS Maximum Current Throttled
--------------------------------------------------------------------------------
1 0 0 0 - 如果 CPU 在数据飞机上是高,故障排除,以解决 高数据飞机 CPU。
- HA2 链路负责从主动防火墙到被动防火墙的会话同步。故障处理 HA2 端口的链接问题。
- 检查物理层问题(如电缆损坏或 HA2 端口故障)并解决相同问题。
- 重新启动被动 firewall 。
- 如果上述步骤失败,请尝试禁用并启用防火墙之间的配置同步。
- 禁用两个防火墙上的配置同步。
GUI: 设备>通用>设置>高可用性。
取消检查两台设备上的 "启用配置同步" 选项。
提交两个防火墙。
- 仅暂停被动 firewall 。
GUI:设备>高可用性>操作命令
单击"暂停本地设备"。
- 在两台设备上启用配置同步。
GUI: 设备>高可用性>通用>设置
检查两个设备上的 "启用配置同步" 选项。
提交两个防火墙。
- 使被动 firewall 功能。
GUI:设备>高可用性>操作命令
单击"使本地设备正常工作"。
提交。
- firewall使用命令显示会话表对被动会话进行计数。
- 如果上述步骤失败且会话依赖的被动 firewall 值仍为 0,请致电 TAC 支持以获得进一步帮助。