HA1 링크 암호화가 활성화된 경우 HA Pair 9.1에서 10.0으로 업그레이드하면 분할 브레인 시나리오가 발생합니다.

HA1 링크 암호화가 활성화된 경우 HA Pair 9.1에서 10.0으로 업그레이드하면 분할 브레인 시나리오가 발생합니다.

7294
Created On 06/04/21 16:37 PM - Last Modified 07/07/25 14:35 PM


Symptom


  • PAN-OS 9.1.x에서 PAN-OS 10.0.x로 HA Pair 업그레이드하면 장치가 분할 브레인으로 전환됩니다.
  • HA_agent logs show the SSH tunnel is reset 
    HA Group 38: Staying in Active state after split-brain recovery (split-brain duration: 1s)
Error: ha_peer_disconnect(src/ha_peer.c:1860): Group 38 (HA1-MAIN): peer connection error msg set: SSH Tunnel reset
Error: ha_peer_disconnect(src/ha_peer.c:1860): Group 38 (HA1-BKUP): peer connection error msg set: SSH Tunnel reset

Environment


  • Palo Alto Networks 방화벽
    PAN-OS 9.1.x
  • PAN-OS 10.0.x
  • HA1 링크 암호화가 활성화되었습니다.

Cause


PAN-OS 9.1에서는 HA 통신이 aes128-cbc를 사용하도록 구성되어 있는 반면 PAN-OS 10.0에서는 aes128-ctr을 사용합니다.
이는 PAN-OS 10.0에서 OpenSSH 버전이 6.4 에서 7.7 로 업그레이드되었고 7.7에서는 aes128-cbc 암호가 디폴트 암호 목록에 포함되지 않았기 때문입니다.

Resolution


업그레이드 중에 분할 브레인 시나리오를 방지하려면 업그레이드 절차 전에 HA1 암호화를 비활성화하고 두 방화벽이 모두 동일한 버전이 되면 HA1 암호화를 다시 활성화하십시오.

설정은 장치 > 고가용성 > 일반 > Control Link (HA1) > 암호화 활성화 에서 찾을 수 있습니다.

Additional Information


PAN-OS 9.1 디바이스 PAN-OS 10.0 디바이스 에 연결을 시도하거나 그 반대의 경우 암호 불일치로 인해 연결이 끊어집니다.

HA1에서 암호화를 활성화하는 방법
PAN-OS 10.0 업그레이드/다운그레이드 고려 사항
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VYtCAM&lang=ko&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language