HA VLAN Path-Monitoring lance failover une fois activé

HA VLAN Path-Monitoring lance failover une fois activé

12405
Created On 01/21/20 15:17 PM - Last Modified 04/20/24 02:29 AM


Symptom


  • La surveillance du chemin montre que le succès est de 0/1.
  • Le ping manuel vers la destination surveillée réussit.

Environment


  • PAN-OS
  • Pare-feu Palo Alto configurés en HA actif/passif
HA configuration de l’interface de l’unité :
ethernet1/2(layer2) > trust-vlan, interface vlan : vlan.1 (192.168.80.160/24)
Ethernet1/3(layer3) > untrust-vlan, interface vlan : vlan.2(10.193.82.160/23)
VLAN-PATH-MONITORING activé avec VLAN-PATH-GROUP : untrust- VLAN chemin de surveillance vers le serveur public DNS :8.8.8.8 à partir de la source- IP :10.193.82.160
Surveillé IP est accessible lors de l’utilisation de Ping à partir de la source de IP 192.168.80.160.
admin@LAB-FIREWALL-NEW(active)> ping source 192.168.80.160 host 8.8.8.8
PING 8.8.8.8 (8.8.8.8) from 192.168.80.160 : 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=57 time=2.66 ms                  
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 2.532/2.664/2.796/0.115 ms
Considérant que "afficher la haute disponibilité de suivi des trajectoires" taux de réussite de l’affichage de commande de 0.
admin@HER-FIREWALL-NEW(active)> show high-availability path-monitoring
--------------------------------------------------------------------------------
total paths monitored :                         1
hold time to send probe packets :               1000 ms
  (after device becomes active)
--------------------------------------------------------------------------------
name/type                 destination     suc/total rtt min/max/avg (ms) probe cnt/interval(ms)
--------------------------------------------------------------------------------
untrust-vlan/vlan         8.8.8.8          0/10     0.00/0.00/0.00      10/200
--------------------------------------------------------------------------------

 

Cause



Surveillé IP : 8.8.8.8 est dans un sous-réseau différent comme celui de VLAN l’interface à vlan.2 (10.193.82.160/23). 
pan_dha envoie une demande arp pour surveillé- IP : 8.8.8.8 et finit par expirer menant à la destination inaccessible et marque HA-PATH MONITORING comme vers le bas.
La raison pour laquelle le ping au même surveillé IP : 8.8.8.8 fonctionne de CLI est parce que la demande est envoyée pour ARP l’adresse de prochain-saut IP de l’interface vlan.2 et pas pour 8.8.8.8.
 

Resolution


Les étapes suivantes résoudront le problème :
  1. Modifiez la surveillance des trajectoires en Routeur virtuel au lieu de VLAN- la surveillance.
  2. Modifier IP l’adresse surveillée IP d’un sous-réseau dans le même sous-réseau que celle de VLAN l’interface qui est configurée comme source de suivi des trajectoires.

Additional Information



 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000POJFCA4&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language