HA VLAN La supervisión de rutas inicia la conmutación por error una vez habilitada

HA VLAN La supervisión de rutas inicia la conmutación por error una vez habilitada

11584
Created On 01/21/20 15:17 PM - Last Modified 04/20/24 02:29 AM


Symptom


  • La supervisión de ruta muestra que el éxito es 0/1.
  • El ping manual al destino supervisado es acertado.

Environment


  • PAN-OS
  • Firewalls de Palo Alto configurados HA en Activo/Pasivo
HA configuración de la interfaz de la unidad:
ethernet1/2(layer2) > trust-vlan , vlan Interfaz: vlan.1 (192.168.80.160/24)
ethernet1/3(layer3) > untrust-vlan, vlan Interfaz: vlan.2(10.193.82.160/23)
VLAN-PATH-MONITORING enabled with VLAN-PATH-GROUP : untrust- VLAN monitoring path to the Public DNS server:8.8.8.8 from source- IP :10.193.82.160
Monitoreado IP es accesible cuando se utiliza ping de la fuente de IP 192.168.80.160.
admin@LAB-FIREWALL-NEW(active)> ping source 192.168.80.160 host 8.8.8.8
PING 8.8.8.8 (8.8.8.8) from 192.168.80.160 : 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=57 time=2.66 ms                  
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 2.532/2.664/2.796/0.115 ms
Mientras que "mostrar la alta disponibilidad path-monitoring" el comando visualiza la tasa de éxito de 0.
admin@HER-FIREWALL-NEW(active)> show high-availability path-monitoring
--------------------------------------------------------------------------------
total paths monitored :                         1
hold time to send probe packets :               1000 ms
  (after device becomes active)
--------------------------------------------------------------------------------
name/type                 destination     suc/total rtt min/max/avg (ms) probe cnt/interval(ms)
--------------------------------------------------------------------------------
untrust-vlan/vlan         8.8.8.8          0/10     0.00/0.00/0.00      10/200
--------------------------------------------------------------------------------

 

Cause



Monitoreado IP : 8.8.8.8 está en una subred diferente como la de la VLAN interfaz en vlan.2 (10.193.82.160/23). 
pan_dha envía la petición arp para monitored- IP : 8.8.8.8 y eventualmente los tiempos hacia fuera que llevan al destino inalcanzable y marca HA-PATH MONITORING como abajo.
La razón por la que ping al mismo monitoreado IP : 8.8.8.8 trabajos de CLI es porque la petición se envía para el ARP next-hop IP address de vlan.2 interfaz y no para 8.8.8.8.
 

Resolution


Los pasos siguientes resolverán el problema:
  1. Cambie la supervisión de trayectos a Virtual-Router en lugar de VLAN- la supervisión.
  2. Cambie la dirección supervisada IP a una en la misma subred que la de la interfaz que está IP VLAN configurada como origen para la supervisión de rutas de acceso.

Additional Information



 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000POJFCA4&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language