Alta disponibilidad: HA estado de los vínculos

Alta disponibilidad: HA estado de los vínculos

55888
Created On 04/26/22 16:46 PM - Last Modified 08/23/23 22:28 PM


Symptom


  • Detección de un fallo de enlace de uno de los enlaces entre los HA firewalls en HA la configuración.
  • Visualización del estado de los vínculos mediante el panel o mediante el firewall gráfico de HA estado de vínculos de HA AIOps para firewalls con AIOps para NGFW suscripción.

Environment


  • PAN-OS
  • AIOps

Cause


Si uno de los HA enlaces: enlace HA1, enlace HA2, enlaces de respaldo o enlace HA3 (en caso de activo-activo) está inactivo, HA se genera un firewall mensaje de registro del sistema y se activa la alerta de HA estado de enlaces AIOps.

Resolution


  1. Utilice la información del panel > widgets - Alta disponibilidad o del firewall gráfico de HA estado de vínculos de alerta de AIOps para detectar qué HA enlace está inactivo, si lo hay.
  2. Si el enlace HA1 está inactivo y no hay un enlace de copia de seguridad HA1 configurado o si el enlace HA1 está inactivo y el enlace de copia de seguridad HA1 está configurado, pero también hacia abajo, estabilice su HA configuración suspendiendo el "pasivo" en / configuración y el "secundario activo" en /PA configuración para evitar el problema del "cerebro dividido", esto se puede hacer en Dispositivos > comandos operativos de alta disponibilidad > haciendo clic en AA"firewallSuspender dispositivo local para alta disponibilidad" y luego continúe con la solución de problemas del enlace HA1 hacia abajo.
  3. Revise el documento HA Ports on Palo Alto Networks Firewalls para comprobar la recomendación de qué puertos usar en HA función de cada módulo de dispositivo y verificar que se ha seguido la recomendación. Para A/ configuración marque el KB artículo HA ACTIVE/PASSIVE BEST PRACTICESP.
  4. Si un HA enlace está caído, rastree el cable físico y solucione los problemas de la capa 1 mediante KB el artículo HOW TO TROUBLESHOOT PHYSICAL PORT FLAP OR LINK DOWN ISSUE.
  5. Si se utiliza un puerto de plano de datos para un enlace y se inserta un HA transceptor, asegúrese de que el transceptor es uno de los transceptores soportados actualmente por Palo Alto Networks como se explica en KB el artículo HOW TO CONFIRM IF YOUR SFP TRANSCEIVER IS SUPPORTED BY PALO ALTO NETWORKS FIREWALL.
  6. Si se comprueba la capa física, solucione los problemas de la capa 2 y la configuración del conmutador si un conmutador está conectando los HA enlaces.
  7. Si la capa de plano de datos está marcada, solucione los problemas de configuración de la capa 3 y del enrutador si un enrutador está conectando los HA enlaces.
  8. Si se verifican las capas 1, 2 y 3, asegúrese de que se permitan los puertos udp o tcp correctos entre HA los enlaces según la información del documento Enlaces y HA enlaces de respaldo y verifique KB el artículo WHICH PORTS NEED TO BE OPENED FOR PAN-OS IN HA TO SYNC AND COMMUNICATE?
  9. Si se comprueba todo lo anterior y el cifrado está habilitado en el enlace, compruebe si deshabilitar el cifrado en ambos firewall para HA ese enlace soluciona el HA problema. Si tiene problemas con las claves de cifrado o simplemente desea renovarlas, use la recomendación en KB el artículo HOW TO ENABLE ENCRYPTION ON HA1 IN HIGH AVAILABILITY CONFIGURATIONS.
Nota: Siempre que sea posible, conecte HA los puertos directamente entre los dos firewalls de un par (no a través de un conmutador o enrutador) para evitar HA problemas de enlaces y comunicaciones que podrían ocurrir si hay un HA problema de red.

Additional Information


Para obtener más información acerca de los temporizadores, consulte el documento de HA HA temporizadores .
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004OKTCA2&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language