環境内のグループを変更 ID する HA 方法
24143
Created On 10/17/19 15:46 PM - Last Modified 03/26/21 17:50 PM
Objective
- ID高可用性 ( ) で構成されたパロアルトネットワークスデバイスのペアのグループを変更するプロセスについて詳 HA しく説明します。
- グループを HA 変更 ID すると、ファイアウォールの仮想 MAC アドレスが変更され、アップストリームデバイスが古いアドレスをキャッシュしている可能性があります MAC 。
Environment
- PAN NGFW
- 高可用性 ( HA ) アクティブ/パッシブ構成
- FW1 はアクティブです。
- FW2 はパッシブです
Procedure
NOTE: HA グループ ID は重要な構成部分です。 ネットワーク ユーザーへの影響を最小限に抑えるには、メンテナンス期間中にこの変更を実行することをお勧めします。
- パッシブ firewall (FW2)から開始し、[ デバイス>高可用性>全般]タブ に移動して グループを変更 ID し、変更をコミットします。
- コミット後、FW2 は機能しない状態になります。 しかし、これはFW1がまだ動作しているアクティブなデバイスであるため、トラフィックに影響を与えないだろう。
- 動作中のアクティブ デバイス(FW1)から 、[デバイス>高可用性>操作コマンド]タブ に移動し firewall 、現在アクティブな(FW1)を使用すると HA 、フェールオーバーがトリガーされ、機能していないデバイス(FW2)がアクティブになります。
- Traffic は新しいアクティブ (FW2) から作業を開始します。 そのため、接続されたスイッチが高速かつ正確に MAC アドレスを収束する場合、停止の可能性は非常に低くなります。
- 中断されたデバイス(FW1)から、[デバイス>高可用性]の下の[全般]タブに移動し、 ID グループ番号をピア ID デバイス(FW2)の新しいグループに一致するように変更し、変更をコミット firewall します。
Additional Information
- HA グループ ID は、セットアップ時の仮想 MAC アドレスの計算に使用 HA されます。 したがって、両方のデバイスが異なるグループを持つ期間、 HA ID 彼らは異なる仮想MACアドレスを持つことになります。
- 接続されているスイッチの Mac アドレス変更の収束は、停止時間があれば影響します。
- 仮想アドレスの計算方法の詳細については MAC 、こちらをクリックしてください 。