Hochverfügbarkeit - HA Status der Verknüpfungen

Hochverfügbarkeit - HA Status der Verknüpfungen

55824
Created On 04/26/22 16:46 PM - Last Modified 08/23/23 22:28 PM


Symptom


  • Erkennung eines Verbindungsfehlers einer der HA Verbindungen zwischen den Firewalls im HA Setup.
  • Anzeige des HA Link-Status über das Dashboard oder über das firewall AIOps-Links-Statusdiagramm für Firewalls HA mit AIOps for NGFW subscription.

Environment


  • PAN-OS
  • AIOps

Cause


Wenn eine der HA Verbindungen: HA1-Link, HA2-Link, Backup-Links oder HA3-Link (im Falle von Aktiv-Aktiv) ausgefallen ist, HA wird eine firewall Systemprotokollmeldung generiert und die HA AIOps-Link-Statuswarnung ausgelöst.

Resolution


  1. Verwenden Sie die Informationen im firewall Dashboard > Widgets – Hochverfügbarkeit oder im Statusdiagramm für HA AIOps-Warnungslinks, um zu erkennen, welcher HA Link ggf. ausgefallen ist.
  2. Wenn die HA1-Verbindung ausgefallen ist und keine konfigurierte HA1-Backup-Verbindung vorhanden ist oder wenn die HA1-Verbindung ausgefallen ist und die HA1-Backup-Verbindung konfiguriert ist, aber auch ausfällt, stabilisieren Sie Ihr HA Setup, indem Sie das "passive" in / setup und das "active secondary" in AA/PA setup anhalten, um das Problem des "geteilten Gehirns" zu vermeiden, dies kann unter Device > High Availability > Operational Commands erfolgen, indem Sie auf "firewallSuspend local device for Hochverfügbarkeit" und fahren Sie dann mit der Fehlerbehebung bei HA1-Link fort.
  3. Lesen Sie das Dokument Ports HA on Palo Alto Networks Firewalls , um die Empfehlung zu überprüfen, welche Ports basierend auf den einzelnen Gerätemodulen verwendet HA werden sollen, und stellen Sie sicher, dass diese Empfehlung befolgt wurde. Für A/ setup siehe den KB Artikel HA ACTIVE/PASSIVE BEST PRACTICESP.
  4. Wenn eine HA Verbindung ausgefallen ist, verfolgen Sie das physische Kabel und beheben Sie Fehler auf Layer 1 mit KB article HOW TO TROUBLESHOOT PHYSICAL PORT FLAP OR LINK DOWN ISSUE.
  5. Wenn ein Dataplane-Port für eine HA Verbindung verwendet wird und ein Transceiver eingesetzt wird, stellen Sie sicher, dass der Transceiver einer der derzeit von Palo Alto Networks unterstützten Transceiver ist, wie im KB Artikel HOW TO CONFIRM IF YOUR SFP TRANSCEIVER IS SUPPORTED BY PALO ALTO NETWORKS FIREWALLerläutert.
  6. Wenn die physikalische Schicht aktiviert ist, beheben Sie Fehler in der Layer-2- und Switch-Konfiguration, wenn ein Switch die HA Verbindungen verbindet.
  7. Wenn die Datenebenenebene aktiviert ist, beheben Sie Fehler bei der Konfiguration von Layer 3 und dem Router, wenn ein Router die HA Verbindungen verbindet.
  8. Wenn Layer 1, 2 und 3 aktiviert sind, stellen Sie sicher, dass die richtigen UDP- oder TCP-Ports zwischen HA Links zulässig sind, basierend auf den Informationen im Dokument Links und HA Backup-Links und überprüfen Sie KB den Artikel WHICH PORTS NEED TO BE OPENED FOR PAN-OS IN HA TO SYNC AND COMMUNICATE?
  9. Wenn alle oben genannten Punkte aktiviert sind und die Verschlüsselung für den HA Link aktiviert ist, überprüfen Sie, ob das Deaktivieren der Verschlüsselung für beide firewall für HA diesen Link das Problem behebt. Wenn Sie Probleme mit den Verschlüsselungsschlüsseln haben oder sie einfach erneuern möchten, verwenden Sie die Empfehlung im KB Artikel HOW TO ENABLE ENCRYPTION ON HA1 IN HIGH AVAILABILITY CONFIGURATIONS.
Hinweis: Verbinden Sie HA die Ports nach Möglichkeit direkt zwischen den beiden Firewalls in einem Paar (nicht über einen Switch oder Router), um Verbindungs- und Kommunikationsprobleme zu vermeidenHA, die bei einem HA Netzwerkproblem auftreten können.

Additional Information


Weitere Informationen zu HA Timern HA finden Sie im Timer-Dokument.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004OKTCA2&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language