HAペアを9.1から10.0にアップグレードすると、HA1リンク暗号化が有効になっている場合にスプリットブレインシナリオが発生します。

HAペアを9.1から10.0にアップグレードすると、HA1リンク暗号化が有効になっている場合にスプリットブレインシナリオが発生します。

7310
Created On 06/04/21 16:37 PM - Last Modified 07/07/25 14:35 PM


Symptom


  • HAペアをPAN-OS 9.1.xからPAN-OS 10.0.xにアップグレードすると、ユニットがスプリットブレイン状態になります。
  • HA_agent logs show the SSH tunnel is reset 
    HA Group 38: Staying in Active state after split-brain recovery (split-brain duration: 1s)
Error: ha_peer_disconnect(src/ha_peer.c:1860): Group 38 (HA1-MAIN): peer connection error msg set: SSH Tunnel reset
Error: ha_peer_disconnect(src/ha_peer.c:1860): Group 38 (HA1-BKUP): peer connection error msg set: SSH Tunnel reset

Environment


  • Palo Alto Networksスファイアウォール
    PAN-OS 9.1.x
  • PAN-OS 10.0.x
  • HA1リンク暗号化が有効になっています

Cause


PAN-OS 9.1では、 HA通信はaes128-cbcを使用するように構成されていますが、PAN-OS 10.0ではaes128-ctrを使用します。
これは、PAN-OS 10.0 で OpenSSH バージョンが6.4から7.7にアップグレードされ、7.7 では aes128-cbc 暗号がデフォルトの暗号リストに含まれていないためです。

Resolution


アップグレード中にスプリットブレインシナリオが発生しないようにするには、アップグレード手順の前に HA1 暗号化を無効にし、両方のファイアウォールが同じバージョンになった後に HA1 暗号化を再度有効にします。

設定は、デバイス > 高可用性 > 全般 >コントロール リンク(HA1) > 暗号化の有効化にあります。

Additional Information


PAN-OS 9.1デバイスがPAN-OS 10.0デバイスに接続しようとしている場合、またはその逆の場合、暗号の不一致により接続が切断されます。

HA1で暗号化を有効にする方法
PAN-OS 10.0 のアップグレード/ダウングレードに関する考慮事項
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VYtCAM&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language