高可用性 -HA链接状态

高可用性 -HA链接状态

55914
Created On 04/26/22 16:46 PM - Last Modified 08/23/23 22:28 PM


Symptom


  • 检测到其中一个链路故障HA防火墙之间的链接HA设置。
  • 显示HA链接状态由firewall仪表板或由 AIOpsHA链接状态具有 AIOps 的防火墙图NGFW订阅。

Environment


  • PAN-OS
  • AIOps

Cause


如果其中之一HA链接:HA1链接,HA2链接,HA备份链接或 HA3 链接(在主动-主动的情况下)关闭,然后firewall生成系统日志消息和 AIOpsHA链接状态警报被触发。

Resolution


  1. 使用中的信息firewall仪表板 > 小部件 - 高可用性或在AIOps警报HA链接状态图来检测哪个HA链接已关闭(如果有)。
  2. 如果 HA1 链接关闭并且没有配置的 HA1 备份链接,或者如果 HA1 链接关闭并且 HA1 备份链接已配置但也关闭然后稳定您的HA通过暂停“被动”设置firewall在A/P设置和“主动辅助”在A/A设置以避免“脑裂”问题,这可以在设备 > 高可用性 > 操作命令通过点击“挂起本地设备以实现高可用性" 然后继续对 HA1 链接进行故障排除。
  3. 查看文件HA帕洛阿尔托网络防火墙上的端口检查使用哪些端口的建议HA基于每个设备模块并验证是否遵循了建议。 为了A/P设置检查KB文章HAACTIVE/PASSIVE BEST PRACTICES .
  4. 如果HA链路已关闭 跟踪物理电缆并使用以下方法对第 1 层进行故障排除KB文章HOW TO TROUBLESHOOT PHYSICAL PORT FLAP OR LINK DOWN ISSUE.
  5. 如果数据平面端口用于HA链路和收发器被插入确保收发器是帕洛阿尔托网络当前支持的收发器之一,如中所述KB文章HOW TO CONFIRM IF YOUR SFP TRANSCEIVER IS SUPPORTED BYPALO ALTO NETWORKS FIREWALL.
  6. 如果选中物理层,则对第 2 层和交换机配置进行故障排除(如果交换机正在连接HA链接。
  7. 如果检查了数据平面层,则排除第 3 层和路由器配置故障(如果路由器连接到HA链接。
  8. 如果检查了第 1、2 和 3 层,则确保在它们之间允许正确的 udp 或 tcp 端口HA基于文档中信息的链接HA链接和备份链接并检查KB文章WHICH PORTS NEED TO BE OPENED FOR PAN-OS IN HATO SYNC AND COMMUNICATE?
  9. 如果检查了以上所有内容并启用了加密HA链接,然后检查是否在两者上都禁用了加密firewall在HA该链接解决了这个问题。 如果加密密钥有问题或只是想更新它们,请使用中的建议KB文章HOW TO ENABLE ENCRYPTION ONHA1IN HIGH AVAILABILITY CONFIGURATIONS .
注意:只要有可能,连接HA直接在两个防火墙之间的端口HA对(不通过交换机或路由器)以避免HA如果存在网络问题,可能会出现链接和通信问题。

Additional Information


有关更多信息HA计时器检查HA定时器文档。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004OKTCA2&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language