Haute disponibilité - Homologues non synchronisés - Configuration
170299
Created On 04/25/22 15:52 PM - Last Modified 10/23/23 15:59 PM
Symptom
Alerte concernant « Homologues désynchronisés - Configuration »
Environment
- PAN-OS
- Haute disponibilité
Cause
La configuration en cours d’exécution de l’un des périphériques n’est pas synchronisée avec son HA homologue.
Resolution
Pour résoudre ce problème :
- Synchronisez avec l’homologue sous le widget haute disponibilité :
- Connectez-vous à l’onglet « actif » pour / setup (« actif principal » Firewall Firewall pour AA/AP setup) et sous l’onglet UI Tableau de bord, vérifiez le widget haute disponibilité.
- Vérifiez la ligne « Running Config » et passez votre souris sur l’icône de la loupe et cliquez pour voir le diff de configuration local et peer. La même chose peut être vérifiée sous Device > Config Audit en définissant la comparaison entre la configuration locale Running et la configuration Running de Peer et en cliquant sur le bouton Go.
- Vérifiez que la différence de configuration est valide et doit être poussée et synchronisée avec l’homologue, puis revenez au tableau de bord > widget haute disponibilité et cliquez sur le lien hypertexte Synchroniser avec l’homologue en bleu souligné.
- Cliquez sur Oui lorsque le message « Remplacer la configuration de l’homologue » s’affiche.
- Si l’étape 1 ne parvient pas à résoudre le problème, vérifiez l’étape 2.
- Synchronisez la configuration via la ligne de commande :
- Après avoir vérifié et validé la différence de configuration entre local et peer comme mentionné dans A la connexion à la pour le « actif » pour / setup (« active primary » Firewall Firewall pour AA/AP setup) et émettre la CLI commande suivante:
> request high-availability sync-to-remote running-config
- Si l’étape 2 ne parvient pas à résoudre le problème, vérifiez l’étape 3.
- Synchronisez manuellement la configuration entre homologues :
- Connectez-vous à la « passive » pour / setup (« active secondaire » pour AA/AP setup) Vérifiez sous la barre du Gestionnaire de tâches le travail de « Synchroniser HA l’homologue » Firewall Firewall cliquez sur ce lien hypertexte et vérifiez la raison de l’échec.
- Basé sur la raison vue de l’échec trouvé dans 3-a et config diff coché dans 1-b ajuster la configuration du passif (secondaire firewallactif) et valider le changement.
- Si l’étape 3 ne parvient pas à résoudre le problème, vérifiez l’étape 4.
- En dernier recours, une fenêtre de maintenance est planifiée pour exporter la configuration de la configuration « active » pour A/ setup (« active primary » Firewall Firewall for A/PA setup) à importer vers l’homologue. Cette étape doit être effectuée avec beaucoup de prudence et uniquement si les étapes 1, 2 et 3 ne parviennent pas à résoudre le problème et si l’administrateur des pare-feu est conscient de la partie de la configuration qui doit rester différente entre les pairs et comprend la conception et la configuration des pare-feu haute disponibilité. Cette étape peut être utilisée dans une configuration simple comme A/P où la différence dans la configuration est minime et comprend principalement le nom d’hôte, l’interface de gestion et la configuration haute disponibilité.
- Désactivez l’activation de la synchronisation de configuration sur les deux et la préemptive sur les deux et validez la modification sur les deux firewall firewall pare-feu.
- Exportez l’état de l’appareil et la configuration en cours d’exécution du « passif » firewall et prenez des notes sur son nom d’hôte, son adresse IP d’interface de gestion et sa liste d’autorisation sous Device>Setup>Interfaces; note également la configuration haute disponibilité pour HA1, priorité HA2 etc ...
- Exporter l’état de l’appareil à partir de l’option « active ». firewall
- Importez l’état de l’appareil « actif » vers le « passif » firewall firewall puis modifiez le nom d’hôte, l’interface de gestion et la configuration haute disponibilité y compris la priorité du en fonction des firewall notes prises à l’étape b.
- Validez la configuration sur le fichier « passif ». firewall
- Vérifiez si l’étape 4 a résolu le problème si c’est le cas, assurez-vous de réactiver la synchronisation de configuration et, si nécessaire, le paramètre de préemption sous HA pour les deux homologues et de valider la modification pour les deux homologues.
- Si l'étape 4 ne résout pas le problème et si vous devez revenir à l'état d'origine, importez l'état de périphérique du « passif » au « passif » firewall firewall et validez la configuration sur le « passif ». firewall
- Pour l’étape 4 peut également être utilisé dans /A setup mais en tenant compte de toute la différence de configuration entre « actif principal » et « actif secondaire » et en veillant à modifier ces différences de configuration avant de valider l’état du périphérique importé dans Ale « secondaire actif » firewall.
- Ce document suppose que firewall l’administrateur souhaite une configuration synchronisée entre les homologues et HA a coché la case « Activer la synchronisation de la configuration » sous Device>High-availability>General>Setup , mais pour une raison quelconque, les homologues ont cessé de se synchroniser.
- « Out of Sync Peers - Configuration » ne prend en compte que la configuration locale; Pour Panorama les pare-feu gérés et pour vous assurer que les deux pare-feu ont également synchronisé les configurations fusionnées, assurez-vous que les deux pare-feu ont la même configuration poussée à partir de Panorama et Panorama que la configuration poussée est synchronisée avec eux.
Additional Information
Pour plus d’informations sur