高可用性 - 对等点不同步 - 动态内容
20986
Created On 04/25/22 17:58 PM - Last Modified 08/23/23 22:42 PM
Symptom
关于“不同步对等点 - 动态内容”的警报
Environment
- PAN-OS
- 高可用性
Cause
高可用性设置中一个设备的动态内容版本与另一个对等设备的动态内容版本不同。
Resolution
- 登入UI的“活跃”Firewall为了A/P设置(“活动主”Firewall为了A/A设置)并在仪表板选项卡下检查高可用性小部件。
- 检查以下一项或多项动态更新的红色圆圈:App版本、威胁版本、防病毒版本和GlobalProtect查看哪个动态更新没有在两个对等方上安装相同版本的版本。
- 将鼠标悬停在上面提到的红色圆圈上,可以查看本地安装的是哪个版本firewall与同行相比。
- 在防火墙之间匹配动态更新版本HA设置:
- 为了本地管理的防火墙, 通过在 Device> Dynamic Updates 下下载并安装动态更新:
- 为了A/P设置建议通过在“被动”上安装来将“被动”动态更新版本与“主动”相匹配firewall与安装在“活动”上的版本相同的内容版本。
- 为了A/A由于两个防火墙都在传递流量,因此最好安排办公时间以外的时间来匹配防火墙之间的内容版本,方法是更新版本最低的防火墙以匹配版本较高的防火墙。
- 为了Panorama托管防火墙动态更新计划由Panorama,如果需要,通过下载动态更新PanoramaUI>Panorama > 设备部署> 动态更新然后单击安装并选择firewall需要匹配其对等方的相同版本的内容更新。
- 为了A/P设置建议将“被动”动态更新版本与“主动”相匹配。
- 为了A/A由于两个防火墙都在传递流量,因此最好安排办公时间以外的时间来匹配防火墙之间的内容版本,方法是更新版本最低的防火墙以匹配版本较高的防火墙。
- 为了避免这种动态内容不匹配的问题再次发生。
- 为了本地管理的防火墙确保只有主要的firewall有一个动态更新的时间表,并且在时间表 Device>Dynamic Updates 下选择了对等同步。 或者,如果需要,还可以安排次要的动态更新firewall然后确保时间表不同,最小间隔为 30 分钟,并检查对等同步,请参阅KB文章计划的动态更新HA环境。
- 为了Panorama托管防火墙以及从哪里推送动态更新Panorama确保对两个防火墙应用相同的时间表HA.
Additional Information
有关以下内容的更多信息:
Panorama安排动态内容更新访问安排动态内容更新和安排内容更新使用Panorama.
动态内容更新访问动态内容更新.
本地计划动态内容更新访问部署应用程序和威胁内容更新