HA VLAN 路径监控启用后启动故障转移
11574
Created On 01/21/20 15:17 PM - Last Modified 04/20/24 02:29 AM
Symptom
- 路径监控显示成功率为 0/1。
- 手动 ping 到监控的目的地是成功的。
Environment
- PAN-OS
- 帕洛阿尔托防火墙配置在 HA 主动/被动
HA 单位界面设置:
以太网1/2(第2层)>信任-vlan,vlan接口:vlan.1 (192.168.80.160/24)
以太网1/3(第3层)>不信任vlan,vlan接口:vlan.2(10.193.82.160/23)
VLAN-PATH-MONITORING 启用 VLAN-PATH-GROUP : 不信任 VLAN 监控路径到公共 DNS 服务器: 8.8.8.8 从源 - IP :10.193.82.160
使用 IP Ping 从 IP 源 192.168.80.160 可到达监控。
admin@LAB-FIREWALL-NEW(active)> ping source 192.168.80.160 host 8.8.8.8 PING 8.8.8.8 (8.8.8.8) from 192.168.80.160 : 56(84) bytes of data. 64 bytes from 8.8.8.8: icmp_seq=1 ttl=57 time=2.66 ms 3 packets transmitted, 3 received, 0% packet loss, time 2003ms rtt min/avg/max/mdev = 2.532/2.664/2.796/0.115 ms
而"显示高可用性路径监视"命令显示成功率为0。
admin@HER-FIREWALL-NEW(active)> show high-availability path-monitoring -------------------------------------------------------------------------------- total paths monitored : 1 hold time to send probe packets : 1000 ms (after device becomes active) -------------------------------------------------------------------------------- name/type destination suc/total rtt min/max/avg (ms) probe cnt/interval(ms) -------------------------------------------------------------------------------- untrust-vlan/vlan 8.8.8.8 0/10 0.00/0.00/0.00 10/200 --------------------------------------------------------------------------------
Cause
监控 IP : 8.8.8.8 与 VLAN vlan.2 (10.193.82.160/23) 的接口处于不同的子网中。
pan_dha发出 arp 请求进行监控 - IP : 8.8.8.8, 并最终超时导致目的地无法到达, 标记 HA-PATH MONITORING 为下降。
ping 到同一监控 IP 的原因: 8.8.8.8 作品来自 CLI 是因为 ARP 请求被发送到 IP vlan.2 接口的下一跳地址, 而不是 8.8.8.8 。
Resolution
以下步骤将解决问题:
- 将路径监控更改为虚拟路由器,而不是 VLAN- 监控。
- 将监视 IP 地址更改为 IP 与界面相同的子网中的地址, VLAN 该子网被配置为路径监控源。