La mise à niveau d'une paire HA de 9.1 à 10.0 provoque un scénario de split-brain lorsque le cryptage de liaison HA1 est activé
Symptom
- La mise à niveau d'une paire HA de PAN-OS 9.1.x vers PAN-OS 10.0.x entraîne le passage des unités en mode split-brain
- HA_agent logs show the SSH tunnel is reset
HA Group 38: Staying in Active state after split-brain recovery (split-brain duration: 1s) Error: ha_peer_disconnect(src/ha_peer.c:1860): Group 38 (HA1-MAIN): peer connection error msg set: SSH Tunnel reset Error: ha_peer_disconnect(src/ha_peer.c:1860): Group 38 (HA1-BKUP): peer connection error msg set: SSH Tunnel reset
Environment
- Pare-feu Palo Alto Networks
PAN-OS 9.1.x - PAN-OS 10.0.x
- Le cryptage du lien HA1 est activé
Cause
Dans PAN-OS 9.1, la communication HA est configurée pour utiliser aes128-cbc, tandis que PAN-OS 10.0 utilise aes128-ctr
Cela est dû au fait que dans PAN-OS 10.0, la version OpenSSH a été mise à niveau de 6.4 à 7.7 et que dans 7.7, le chiffrement aes128-cbc ne fait pas partie de la liste des chiffrements par défaut.
Resolution
Pour éviter un scénario de split-brain pendant la mise à niveau, désactivez le chiffrement HA1 avant la procédure de mise à niveau et réactivez le chiffrement HA1 une fois que les deux pare-feu sont dans la même version
Le paramètre se trouve sous Appareil > Haute disponibilité > Général > liaison de contrôle (HA1) > Chiffrement activé
Additional Information
Si un appareil PAN-OS 9.1 tente de se connecter à un appareil PAN-OS 10.0, ou vice-versa, la connexion sera interrompue en raison d'une incompatibilité de chiffrement
Comment activer le cryptage sur HA1
Considérations relatives à la mise à niveau/rétrogradation de PAN-OS 10.0