Haute disponibilité - HA état des liens

Haute disponibilité - HA état des liens

55832
Created On 04/26/22 16:46 PM - Last Modified 08/23/23 22:28 PM


Symptom


  • Détection d’une défaillance de liaison d’un des HA liens entre les pare-feu en HA cours d’installation.
  • Affichage de l’état des liens par le tableau de bord ou par le graphique HA d’état des liens AIOps pour les pare-feu avec AIOps pour NGFW l’abonnement HA firewall.

Environment


  • PAN-OS
  • AIOps

Cause


Si l’un HA des liens : liaison HA1, liaison HA2, liens de sauvegarde ou liaison HA3 (en cas d’actif-actif) est en panne, HA un firewall message de journal système est généré et HA l’alerte d’état des liaisons AIOps est déclenchée.

Resolution


  1. Utilisez les informations contenues dans le tableau de bord > widgets - Haute disponibilité ou dans le firewall graphique d’état des HA liens d’alerte AIOps pour détecter quel HA lien est en panne, le cas échéant.
  2. Si la liaison HA1 est en panne et qu’il n’y a pas de liaison de sauvegarde HA1 configurée ou si la liaison HA1 est en panne et que la liaison de sauvegarde HA1 est configurée mais aussi en panne, stabilisez votre HA configuration en suspendant le « passif » dans / setup et le « secondaire actif » firewall dans AA/PA setup pour éviter le problème de « split brain », cela peut être fait sous Device > High Availability > Operational Commands en cliquant sur « Suspendre le périphérique local pour haute disponibilité », puis procédez au dépannage de la liaison HA1.
  3. Consultez le document HA Ports on Palo Alto Networks Firewalls pour vérifier la recommandation des ports à utiliser en HA fonction de chaque module de périphérique et vérifier que la recommandation a été suivie. Pour A/ configuration vérifier l’article KB HA ACTIVE/PASSIVE BEST PRACTICESP.
  4. Si une HA liaison est descendante, tracez le câble physique et dépannez la couche 1 à l’aide de l’article KB HOW TO TROUBLESHOOT PHYSICAL PORT FLAP OR LINK DOWN ISSUE.
  5. Si un port de plan de données est utilisé pour une HA liaison et qu’un émetteur-récepteur est inséré, assurez-vous que l’émetteur-récepteur est l’un des émetteurs-récepteurs actuellement pris en charge par Palo Alto Networks, comme expliqué dans KB l’article HOW TO CONFIRM IF YOUR SFP TRANSCEIVER IS SUPPORTED BY PALO ALTO NETWORKS FIREWALL.
  6. Si la couche physique est cochée, dépannez la couche 2 et la configuration du commutateur si un commutateur connecte les HA liaisons.
  7. Si la couche du plan de données est cochée, dépannez la couche 3 et la configuration du routeur si un routeur connecte les HA liens.
  8. Si les couches 1, 2 et 3 sont cochées, assurez-vous que les bons ports udp ou tcp sont autorisés entre HA les liens en fonction des informations contenues dans le document HA Liens et liens de sauvegarde et vérifiez KB l’article WHICH PORTS NEED TO BE OPENED FOR PAN-OS IN HA TO SYNC AND COMMUNICATE?
  9. Si tout ce qui précède est coché et que le cryptage est activé sur le lien, vérifiez si la désactivation du cryptage sur les deux firewall pour HA ce lien résout le HA problème. Si vous rencontrez des problèmes avec les clés de chiffrement ou si vous souhaitez simplement les renouveler, utilisez la recommandation de KB l’article HOW TO ENABLE ENCRYPTION ON HA1 IN HIGH AVAILABILITY CONFIGURATIONS.
Remarque: Dans la HA mesure du possible, connectez HA les ports directement entre les deux pare-feu par paire (pas via un commutateur ou un routeur) pour éviter HA les problèmes de liens et de communication qui pourraient survenir en cas de problème de réseau.

Additional Information


Pour plus d’informations sur HA les minuteurs, consultez HA le document des minuteries .
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004OKTCA2&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language