HA VLAN Path-Monitoring initiiert Failover, sobald es aktiviert ist

HA VLAN Path-Monitoring initiiert Failover, sobald es aktiviert ist

11584
Created On 01/21/20 15:17 PM - Last Modified 04/20/24 02:29 AM


Symptom


  • Pfadüberwachung zeigt, dass Erfolg 0/1 ist.
  • Der manuelle Ping an das überwachte Ziel ist erfolgreich.

Environment


  • PAN-OS
  • Palo Alto Firewalls in HA Aktiv/Passiv konfiguriert
HA Einrichtung der Geräteschnittstelle:
ethernet1/2(layer2) > trust-vlan , vlan Schnittstelle: vlan.1 (192.168.80.160/24)
ethernet1/3(layer3) > untrust-vlan, vlan Schnittstelle: vlan.2(10.193.82.160/23)
VLAN-PATH-MONITORING aktiviert VLAN-PATH-GROUP mit: nicht vertrauenswürdiger VLAN Überwachungspfad zum öffentlichen DNS Server:8.8.8.8 von der Quelle- IP :10.193.82.160
Überwacht IP ist erreichbar, wenn Ping von Source IP von 192.168.80.160 verwendet wird.
admin@LAB-FIREWALL-NEW(active)> ping source 192.168.80.160 host 8.8.8.8
PING 8.8.8.8 (8.8.8.8) from 192.168.80.160 : 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=57 time=2.66 ms                  
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 2.532/2.664/2.796/0.115 ms
Während "Hochverfügbarkeits-Pfadüberwachunganzeigen " Befehl stonieren Erfolgsrate von 0.
admin@HER-FIREWALL-NEW(active)> show high-availability path-monitoring
--------------------------------------------------------------------------------
total paths monitored :                         1
hold time to send probe packets :               1000 ms
  (after device becomes active)
--------------------------------------------------------------------------------
name/type                 destination     suc/total rtt min/max/avg (ms) probe cnt/interval(ms)
--------------------------------------------------------------------------------
untrust-vlan/vlan         8.8.8.8          0/10     0.00/0.00/0.00      10/200
--------------------------------------------------------------------------------

 

Cause



Überwacht: IP 8.8.8.8 befindet sich in einem anderen Subnetz als die VLAN Schnittstelle bei vlan.2 (10.193.82.160/23). 
pan_dha sendet eine arp-Anfrage für IP überwachte: 8.8.8.8 und schließlich eine Zeitauszeit, die dazu führt, dass das Ziel nicht erreichbar ist und als down markiert HA-PATH MONITORING wird.
Der Grund, warum Ping an die gleiche überwachte IP : 8.8.8.8 funktioniert, CLI ist, dass die ARP Anforderung für die Next-Hop-Adresse IP der vlan.2-Schnittstelle und nicht für 8.8.8.8 gesendet wird.
 

Resolution


Mit den folgenden Schritten wird das Problem behoben:
  1. Ändern Sie path-Monitoring in Virtual-Router anstelle von VLAN- Monitoring.
  2. Ändern Sie die überwachte IP Adresse in ein IP Subnetz im selben Subnetz wie die VLAN Schnittstelle, die als Quelle für die Pfadüberwachung konfiguriert ist.

Additional Information



 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000POJFCA4&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language