So ändern Sie die Gruppe ID in einer HA Umgebung

So ändern Sie die Gruppe ID in einer HA Umgebung

24137
Created On 10/17/19 15:46 PM - Last Modified 03/26/21 17:50 PM


Objective


  • Erläutert den Prozess des Änderns der Gruppe ID für ein Paar Palo Alto Networks-Geräte, die in High Availability ( konfiguriert HA sind).
  • Durch das Ändern der HA Gruppe wird die virtuelle ID Adresse der Firewalls geändert, MAC und das Originalgerät hat möglicherweise die alte Adresse zwischengespeichert. MAC

Environment


  • PAN NGFW
  • Hochverfügbarkeit ( HA ) Aktive/Passive Konfiguration
  • FW1 ist aktiv.
  • FW2 ist passiv

Procedure


NOTE: HA Gruppen-ID ist ein wichtiger Konfigurationsteil. Um die Auswirkungen auf Netzwerkbenutzer zu minimieren, wird immer empfohlen, diese Änderung während eines Wartungsfensters durchzuführen.
 
  1. Beginnen Sie mit der Registerkarte Passiv firewall (FW2), gehen Sie zur Registerkarte "Geräte > Hochverfügbarkeit > Allgemein", um die Gruppe zu ändern und die Änderung zu ID übernehmen.
  • Nach dem Commit wird FW2 in einen nicht funktionsfähigen Zustand übergehen. Dies wird jedoch keinen Einfluss auf den Verkehr, da FW1 immer noch das funktionierende Active-Gerät ist.
 
  1. Wechseln Sie vom funktionierenden Active Device (FW1) zu Device > High Availability > Operational Commands und suspend the current active firewall (FW1), das ein Failover auslöst HA und das nicht funktionsfähige Gerät (FW2) aktiviert.
  • Traffic wird nun von neuem aktiven (FW2) aus arbeiten. So gibt es sehr geringe Ausfallchancen, wenn die angeschlossenen Schalter mac Adressen schnell und genau konvergieren.
 
  1. Wechseln Sie vom angehaltenen Gerät (FW1) zur Registerkarte Allgemein unter Gerät > Hochverfügbarkeit, und ändern Sie die ID Gruppennummer so, dass sie der neuen Gruppe auf dem ID Peer-Device (FW2) entspricht, und übernehmen Sie die Änderung auf der firewall .

Additional Information


  • HA Gruppen-ID wird beim Berechnen virtueller Mac-Adressen im HA Einrichten verwendet. Für einen Zeitraum, in dem beide Geräte unterschiedliche HA Gruppen ID haben, haben sie unterschiedliche virtuelle Mac-Adressen.
  • Die Konvergenz von Mac-Adressänderungen auf verbundenen Switches wirkt sich auch auf die Ausfallzeit aus.
  • Für detailliertere Informationen zur Berechnung virtueller MAC Adressen klicken Sie bitte hier.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PN3kCAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language