HA VLAN パス監視は、有効にした後、フェールオーバーを開始します。
11568
Created On 01/21/20 15:17 PM - Last Modified 04/20/24 02:29 AM
Symptom
- パスの監視は、成功が 0/1 であることを示しています。
- 監視対象の宛先への手動 ping は成功です。
Environment
- PAN-OS
- アクティブ/パッシブで構成されたパロアルトファイアウォール HA
HA ユニットインターフェイスのセットアップ:
イーサネット 1/2(レイヤ2) >トラスト VLAN、vlan インターフェイス: vlan.1 (192.168.80.160/24)
イーサネット 1/3(レイヤー 3) >信頼できない vlan、vlan インターフェイス: vlan.2(10.193.82.160/23)
VLAN-PATH-MONITORING で有効 VLAN-PATH-GROUP に : 不信 - VLAN パブリックサーバーへの監視パス DNS :8.8.8.8 ソースから- IP :10.193.82.160
IP IP 192.168.80.160のソースからPingを使用すると監視は到達可能です。
admin@LAB-FIREWALL-NEW(active)> ping source 192.168.80.160 host 8.8.8.8 PING 8.8.8.8 (8.8.8.8) from 192.168.80.160 : 56(84) bytes of data. 64 bytes from 8.8.8.8: icmp_seq=1 ttl=57 time=2.66 ms 3 packets transmitted, 3 received, 0% packet loss, time 2003ms rtt min/avg/max/mdev = 2.532/2.664/2.796/0.115 ms
一方、"高可用性パス監視"コマンドは成功率 0 を表示します。
admin@HER-FIREWALL-NEW(active)> show high-availability path-monitoring -------------------------------------------------------------------------------- total paths monitored : 1 hold time to send probe packets : 1000 ms (after device becomes active) -------------------------------------------------------------------------------- name/type destination suc/total rtt min/max/avg (ms) probe cnt/interval(ms) -------------------------------------------------------------------------------- untrust-vlan/vlan 8.8.8.8 0/10 0.00/0.00/0.00 10/200 --------------------------------------------------------------------------------
Cause
監視 IP 対象 : 8.8.8.8 は VLAN vlan.2(10.193.82.160/23)のインターフェイスとは異なるサブネットにあります。
pan_dhaは、監視のためのarp要求を送信します: IP 8.8.8.8と最終的に宛先に到達不能にして HA-PATH MONITORING ダウンマークにつながるタイムアウト。
同じ監視に ping が動作する理由 IP : 8.8.8.8 CLI からは、 ARP 要求が IP 8.8.8.8 ではなく、vlan.2 インターフェイスの次ホップ アドレスに送信されるためです。
Resolution
次の手順で問題を解決します。
- [モニタリング] ではなく仮想ルータにパスモニタリングを変更 VLAN- します。
- [監視対象 IP アドレス] を IP VLAN 、パス監視のソースとして構成されているインターフェイスのサブネットと同じサブネットに変更します。