Alta disponibilidad - Pares no sincronizados - Configuración
170361
Created On 04/25/22 15:52 PM - Last Modified 10/23/23 15:59 PM
Symptom
Alerta sobre "Pares no sincronizados - Configuración"
Environment
- PAN-OS
- Alta disponibilidad
Cause
La configuración en ejecución de uno de los dispositivos no se sincroniza con su HA par.
Resolution
Para solucionar este problema:
- Sincronizar con el mismo nivel en el widget de alta disponibilidad:
- Inicie sesión en el de "activo" para / configuración ("activo primario" Firewall Firewall para AA/AP configuración) y en la pestaña Panel de control verifique el UI widget de alta disponibilidad.
- Marque la línea "Running Config" y pase el mouse sobre el ícono de la lupa y haga clic para ver la diferencia de configuración local y de ejecución del mismo nivel. Lo mismo se puede verificar en Device > Config Audit estableciendo la comparación entre la configuración local en ejecución y la configuración en ejecución del mismo nivel y haciendo clic en el botón Ir.
- Verifique que la diferencia de configuración sea válida y deba insertarse y sincronizarse con el mismo nivel, luego vuelva al panel > widget de alta disponibilidad y haga clic en azul subrayado Sincronizar con hipervínculo del mismo nivel.
- Haga clic en sí cuando aparezca el mensaje "Sobrescribir configuración del mismo nivel".
- Si el paso 1 no soluciona el problema, compruebe el paso 2.
- Sincronizar la configuración a través de la línea de comandos:
- Después de verificar y validar la diferencia de configuración entre local y peer como se menciona en iniciar sesión en A el para el "activo" para / configuración ("primario activo" Firewall Firewall para AA/PA configuración) y emitir el CLI siguiente comando:
> request high-availability sync-to-remote running-config
- Si el paso 2 no soluciona el problema, compruebe el paso 3.
- Sincronice manualmente la configuración entre pares:
- Inicie sesión en el "pasivo" para / configuración ("secundario activo" para AA/AP configuración) Verifique debajo de la barra del Administrador de tareas el trabajo de "Sincronizar HA par" Firewall Firewall haga clic en este hipervínculo y verifique el motivo de la falla.
- Basado en la razón vista para la falla encontrada en 3-a y config diff marcado en 1-b ajustar la configuración de la pasiva (secundaria firewallactiva) y confirmar el cambio.
- Si el paso 3 no soluciona el problema, compruebe el paso 4.
- Como último recurso se programa una ventana de mantenimiento para exportar la configuración desde el "activo" para / configuración ("primario activo" Firewall Firewall para /AP configuración) para AAimportar al mismo nivel. Este paso debe realizarse con mucha cautela y solo si los pasos 1, 2 y 3 no solucionan el problema y si el administrador de firewalls conoce la parte de la configuración que debe permanecer diferente entre los pares y comprende el diseño y la configuración de los firewalls de alta disponibilidad. Este paso se puede utilizar en una configuración simple como A/P donde la diferencia en la configuración es mínima y en su mayoría incluye nombre de host, interfaz de administración y configuración de alta disponibilidad.
- Deshabilite la sincronización de configuración habilitada en ambos y la preferencia en ambos y confirme el cambio en ambos firewall firewall firewalls.
- Exporte el estado del dispositivo y la configuración en ejecución del "pasivo" firewall y tome notas de su nombre de host, su IP de interfaz de administración y la lista de permitidos en Device>Setup>Interfaces; también tiene en cuenta la configuración de alta disponibilidad para HA1, prioridad HA2, etc.
- Exportar el estado del dispositivo desde el archivo "activo". firewall
- Importe el estado del dispositivo del "activo" al "pasivo" firewall firewall y luego edite el nombre de host, la interfaz de administración y la configuración de alta disponibilidad, incluida la prioridad del firewall basado en las notas tomadas en el paso b.
- Confirme la configuración en el archivo "pasivo". firewall
- Compruebe si el paso 4 solucionó el problema si lo hace, asegúrese de volver a habilitar la sincronización de configuración activada y, si es necesario, la configuración preventiva en para ambos pares y confirme el cambio en HA ambos pares.
- Si el paso 4 no soluciona el problema y si necesita volver al estado original, importe el estado del dispositivo del "pasivo" al "pasivo" y confirme la configuración en el " firewall firewall pasivo". firewall
- Para el paso 4 también se puede utilizar en /A configuración, pero teniendo en Acuenta toda la diferencia de configuración entre "primario activo" y "secundario activo" y asegurándose de editar esas diferencias de configuración antes de confirmar el estado del dispositivo importado al "secundario activo". firewall
- Este documento asume que el administrador desea una firewall configuración sincronizada entre los pares y HA ha comprobado "Habilitar sincronización de configuración" en Device>High-availability>General>Setup , pero por alguna razón los pares han dejado de sincronizar la configuración.
- "Fuera de sincronización de pares - Configuración" solo tiene en cuenta la configuración local; Para Panorama los firewalls administrados y para asegurarse de que ambos firewalls también han sincronizado configuraciones combinadas, asegúrese de que ambos firewalls tengan la misma configuración insertada y Panorama Panorama la configuración insertada esté sincronizada con ellos.
Additional Information
Para más información acerca de