高可用性 - 不同步对等点 - 配置
170299
Created On 04/25/22 15:52 PM - Last Modified 10/23/23 15:59 PM
Symptom
关于“Out of Sync Peers - Configuration”的警报
Environment
- PAN-OS
- 高可用性
Cause
其中一台设备的运行配置不与其同步HA同行。
Resolution
要解决此问题:
- 在高可用性小部件下同步到对等体:
- 登入UI的“活跃”Firewall为了A/P设置(“活动主”Firewall为了A/A设置)并在仪表板选项卡下检查高可用性小部件。
- 检查“运行配置”行并将鼠标悬停在放大镜图标上并单击以查看本地和对等运行配置差异。 同样可以在下面检查设备 > 配置审核通过设置本地运行配置和 Peer 的运行配置之间的比较并单击 Go 按钮。
- 验证配置差异有效,需要推送同步给peer再返回仪表板 > 高可用性小部件并单击带下划线的蓝色同步到对等超链接。
- 当提示“Overwrite Peer Configuration”信息时点击是。
- 如果第 1 步无法解决问题,请检查第 2 步。
- 通过命令行同步配置:
- 如中所述,在验证和验证本地和对等方之间的配置差异之后A登录到CLI对于“活跃”Firewall为了A/P设置(“活动主”Firewall为了A/A设置)并发出以下命令:
> request high-availability sync-to-remote running-config
- 如果第 2 步无法解决问题,请检查第 3 步。
- 手动同步peer之间的配置:
- 登录到“被动”Firewall为了A/P设置(“主动辅助”Firewall为了A/A设置)在任务管理器栏下检查“同步”的作业HAPeer”点击该超链接查看失败原因。
- 根据 3-a 中发现的失败原因和 1-b 中检查的配置差异调整被动(主动辅助)的配置firewall) 并提交更改。
- 如果第 3 步无法解决问题,请检查第 4 步。
- 作为最后的手段,安排一个维护窗口从“活动”中导出配置Firewall为了A/P设置(“活动主”Firewall为了A/A设置)导入到对等体。 这一步要非常谨慎地完成,只有当步骤 1、2 和 3 无法解决问题并且防火墙管理员知道配置部分应该在对等点之间保持不同并且理解防火墙的设计和配置时。高可用性防火墙。 此步骤可用于简单设置,例如A/P配置中的差异很小,主要包括主机名、管理接口和高可用性配置。
- 在两者上禁用启用配置同步firewall以及两者的先发制人firewall并在两个防火墙上提交更改。
- 导出“被动”的设备状态和运行配置firewall并记下它的主机名、管理接口 ip 和允许列表设备>设置>接口;还需要注意的是 HA1、HA2 优先级等的高可用性配置...
- 从“活动”导出设备状态firewall.
- 导入“活动”的设备状态firewall对“被动”firewall然后编辑主机名、管理接口和高可用性配置,包括优先级firewall基于在步骤 b 中所做的笔记。
- 在“被动”上提交配置firewall.
- 检查第 4 步是否解决了问题,如果解决了,请确保重新启用配置同步,如果需要,请在下面的抢先设置HA对于两个对等点,并将更改提交给两个对等点。
- 如果第 4 步没有解决问题并且需要回退到原始状态,请导入“被动”的设备状态firewall对“被动”firewall并在“被动”上提交配置firewall.
- 为了步骤4也可以用在A/A设置,但同时考虑“活动主”和“活动辅助”之间的所有配置差异,同时确保在将导入的设备状态提交给“活动辅助”之前编辑这些配置差异firewall.
- 本文档假设firewall管理员想要在对等点之间同步配置HA并检查了下的“启用配置同步”设备>高可用性>常规>设置但由于某种原因,对等方已不在配置同步范围内。
- “Out of Sync Peers - Configuration”仅考虑本地配置;为了Panorama托管防火墙并确保两个防火墙也同步合并配置,确保两个防火墙具有相同的配置推送Panorama和Panorama推送的配置与他们同步。
Additional Information
有关更多信息