如何 ID 在环境中改变组 HA
24135
Created On 10/17/19 15:46 PM - Last Modified 03/26/21 17:50 PM
Objective
- 详细说明了 ID 为配置在高可用性 () 中的一对 Palo Alto 网络设备更改组的过程 HA 。
- 更改 HA 组 ID 将更改防火墙的虚拟 MAC 地址,上游设备可能已缓存旧 MAC 地址。
Environment
- PAN NGFW
- 高可用性 ( HA ) 主动/被动配置
- FW1 处于活动状态。
- Fw2 是被动的
Procedure
NOTE: HA 组ID是关键的配置部分。 因此,为了尽量减少对网络用户的影响,建议在维护窗口期间执行此更改。
- 从被动 firewall (FW2) 开始,转到 设备>高可用性>通用选项卡 以 更改组 ID 并提交更改。
- 提交后,FW2 将进入非功能状态。 但这不会影响流量,因为FW1仍然是工作的活动设备。
- 从工作活动设备 (FW1),转到 设备>高可用性>操作命令选项卡 ,并使用当前活动 firewall (FW1),这将触发 HA 故障转移并使非功能设备 (FW2) 处于活动状态。
- T拉夫菲克现在将开始从新的活动(FW2)工作。 因此,如果连接的交换机快速准确地收敛 mac 地址,中断的可能性非常小。
- 从悬挂设备 (FW1), 转到设备>高可用性下的一般选项卡,并更改组 ID 号以匹配 ID 对等设备 (FW2) 上的新组,并在 firewall 。
Additional Information
- HA 组 ID 用于在设置中计算虚拟 mac 地址 HA 。 因此,在这两台设备都不同 HA 组的一段时间内 ID ,它们将具有不同的虚拟 mac 地址。
- 连接交换机上的 Mac 地址更改收敛也会影响中断时间(如果有)。
- 有关虚拟地址计算方式的更多详细信息 MAC ,请单击 此处。