将HA 对对从 9.1 升级到 10.0 会导致在启用 HA1 链路加密时出现裂脑情况

将HA 对对从 9.1 升级到 10.0 会导致在启用 HA1 链路加密时出现裂脑情况

7270
Created On 06/04/21 16:37 PM - Last Modified 07/07/25 14:35 PM


Symptom


  • 将HA 对对从 PAN-OS 9.1.x 升级到 PAN-OS 10.0.x 会导致设备进入裂脑状态
  • HA_agent logs show the SSH tunnel is reset 
    HA Group 38: Staying in Active state after split-brain recovery (split-brain duration: 1s)
Error: ha_peer_disconnect(src/ha_peer.c:1860): Group 38 (HA1-MAIN): peer connection error msg set: SSH Tunnel reset
Error: ha_peer_disconnect(src/ha_peer.c:1860): Group 38 (HA1-BKUP): peer connection error msg set: SSH Tunnel reset

Environment


  • Palo Alto Networks防火墙
    PAN OS 9.1.x
  • PAN OS 10.0.x
  • HA1 链接加密已启用

Cause


在 PAN OS 9.1 中, HA通信配置为使用 aes128-cbc,而 PAN OS 10.0 使用 aes128-ctr
这是因为在 PAN-OS 10.0 中,OpenSSH 版本从6.4升级到7.7 ,而在 7.7 中,aes128-cbc 密码不是默认密码列表的一部分

Resolution


为了防止升级过程中出现裂脑情况,请在升级过程之前禁用 HA1 加密,并在两个防火墙都处于同一版本后重新启用 HA1 加密

该设置位于设备 > 高可用性 > 常规 >控制链路(HA1) > 已启用加密

Additional Information


如果 PAN-OS 9.1设备尝试连接到 PAN-OS 10.0设备,或反之亦然,则由于密码不匹配,连接将断开

如何在 HA1 上启用加密
PAN-OS 10.0 升级/降级注意事项
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VYtCAM&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language