Das Upgrade eines HA Paar von 9.1 auf 10.0 verursacht ein Split-Brain-Szenario, wenn die HA1-Link-Verschlüsselung aktiviert ist
Symptom
- Das Upgrade eines HA Paar von PAN-OS 9.1.x auf PAN-OS 10.0.x führt dazu, dass die Einheiten in den Split-Brain-Modus wechseln.
- HA_agent logs show the SSH tunnel is reset
HA Group 38: Staying in Active state after split-brain recovery (split-brain duration: 1s) Error: ha_peer_disconnect(src/ha_peer.c:1860): Group 38 (HA1-MAIN): peer connection error msg set: SSH Tunnel reset Error: ha_peer_disconnect(src/ha_peer.c:1860): Group 38 (HA1-BKUP): peer connection error msg set: SSH Tunnel reset
Environment
- Palo Alto Networks Firewall
PAN-OS 9.1.x - PAN-OS 10.0.x
- HA1-Link-Verschlüsselung ist aktiviert
Cause
In PAN-OS 9.1 ist die HA Kommunikation so konfiguriert, dass sie aes128-cbc verwendet, während PAN-OS 10.0 aes128-ctr verwendet.
Dies liegt daran, dass in PAN-OS 10.0 die OpenSSH-Version von 6.4 auf 7.7 aktualisiert wurde und in 7.7 die aes128-cbc-Chiffre nicht Teil der Standard(-) der Chiffren ist.
Resolution
Um ein Split-Brain-Szenario während des Upgrades zu verhindern, deaktivieren Sie die HA1-Verschlüsselung vor dem Upgrade-Vorgang und aktivieren Sie die HA1-Verschlüsselung erneut, nachdem beide Firewalls die gleiche Version haben.
Die Einstellung finden Sie unter Gerät > Hohe Verfügbarkeit > Allgemein > Control Link (HA1) > Verschlüsselung aktiviert
Additional Information
Wenn ein PAN-OS 9.1 Gerät versucht, eine Verbindung zu einem PAN-OS 10.0- Gerät herzustellen oder umgekehrt, wird die Verbindung aufgrund einer Verschlüsselungsfehlanpassung getrennt.
So aktivieren Sie die Verschlüsselung auf HA1
Überlegungen zum Upgrade/Downgrade von PAN-OS 10.0