Hochverfügbarkeit - Split Brain

• Erkennung von Split Brain zwischen den Firewalls im HA Setup:
  • Für A/P Setup haben beide Firewalls den Status Aktiv.
  • Für A/A setup haben beide Firewalls den Status active-primär.

• PAN-OS

• Die HA1-Verbindung ist ausgefallen und es ist keine HA1-Sicherungsverbindung konfiguriert.
• Sowohl HA1-Link als auch HA1-Backup-Links sind nicht verfügbar.
• Der Switch/Router, der die HA1-Verbindung (HA1-Sicherung) verbindet, ist ausgefallen oder leitet die Heartbeat-Nachricht nicht zwischen den Firewalls im HA Setup weiter.
• Die HA1-Verbindung ist aktiv, aber die aktiven (aktiv-primären) firewall Verwaltungsressourcen sind sehr ausgelastet oder funktionieren nicht ordnungsgemäß, so dass sie die Heartbeat-Nachrichten über die HA1-Verbindung nicht senden und/oder firewall verarbeiten können.
• Die HA1-Verbindung ist aktiv, aber die passiven (aktiv-sekundären) firewall Verwaltungsressourcen sind sehr ausgelastet oder funktionieren nicht ordnungsgemäß, so dass sie die vom Peer firewall über die HA1-Verbindung gesendeten Heartbeat-Nachrichten nicht verarbeiten oder firewall darauf reagieren können.
• Wenn die Verschlüsselung auf dem HA1-Link (HA1-Backup-Link) nicht ordnungsgemäß eingerichtet ist oder seine Konfiguration validiert oder aktualisiert werden muss.

1. Login zum passiven firewall im A/ setup (aktiv sekundär in A/PA setup)
2. Halten Sie Ihre an, um Ihr Produktionsnetzwerk zu stabilisieren, bevor Sie firewall mit der Fehlerbehebung fortfahren.
   1. Gerät > Hochverfügbarkeit > Betriebsbefehle und klicken Sie auf "Lokales Gerät für hohe Verfügbarkeit anhalten".
3. Melden Sie sich bei beiden Geräten an und HA überprüfen Sie das Widget "Hohe Verfügbarkeit " unter Device > Dashboard, um zu überprüfen, welcher HA Link nicht verfügbar ist.
4. Wenn die HA1-Verbindung ausgefallen ist und keine HA1-Sicherungsverbindung konfiguriert ist, siehe unten. (Andernfalls springen Sie zu #5.)
   1. Fehlerbehebung mithilfe der Schritte, die in KBAIOps-Warnung "High-availability-Services Connectivity" aufgeführt sind.  
   2. Hinweis: Erwägen Sie die Konfiguration eines HA1-Sicherungslinks. Weitere Informationen finden Sie unter HA Ports on Palo Alto Networks Firewalls, Links and HA Backup Links and HA General Settings .
5. Wenn sowohl die HA1-Verbindung als auch die HA1-Sicherungsverbindung ausgefallen sind, führen HA Sie eine Fehlerbehebung für Verbindungen mithilfe der im Artikel AIOps-Warnung "High-availability-Services Connectivity" genannten KB Schritte durch.
6. Hinweis: Wenn Sie keinen dedizierten Hilfsport () haben, sollten Sie firewall den Management-Port (MGTAUX) HA für HA1- oder HA1-Backup-Link verwenden, da er für einen HA1-Link ausgewählt werden kann, aber nicht für beide, da sich die IP Adressen des primären und Backup-HA1-Links nicht überlappen dürfen unter Device > Communications dann Control Links > HA1 oder Control Links > HA HA1 Backup und wählen Sie Management( falls nicht bereits ausgewählt) für den relativen Port Dies könnte eine temporäre oder dauerhafte Lösung sein, um die Steuerkommunikation zwischen den Peers wiederherzustellen, wenn der Switch / Router, der die HA1-Verbindung (HA1-Backup) verbindet, ausgefallen ist oder die Heartbeat-Nachricht zwischen den Firewalls HA im HA Setup nicht weiterleitet. Wenn Sie keinen dedizierten (auch bekannt als HilfsHA-) Port haben, sollten Sie firewall die Verwaltung für HA1- oder HA1-Backup-Link verwenden (kann für einen HA1-Link ausgewählt werden, aber nicht für beide, da sich die IP Adressen des primären und Backup-HA1-Links nicht überlappen dürfen) unter Device > Communications dann Control Links > HA1 oder Control Links > HA HA1 Backup und wählen Sie Management( falls nicht bereits ausgewählt) für den relativen Port Dies könnte eine temporäre oder dauerhafte Lösung sein, um die Steuerkommunikation zwischen den Peers in HAwiederherzustellen.
7. Wenn die HA1-Verbindung aktiv ist, aber die aktiven (aktiv-primären) firewall Verwaltungsressourcen sehr ausgelastet sind oder nicht ordnungsgemäß funktionieren, dass sie die Heartbeat-Nachrichten über die HA1-Verbindung nicht senden und/oder firewall verarbeiten können; Oder wenn die HA1-Verbindung aktiv ist, aber die passiven (aktiv-sekundären) firewall Verwaltungsressourcen sehr ausgelastet sind oder nicht ordnungsgemäß funktionieren, so dass sie die vom Peer firewall über den HA1-Link gesendeten Heartbeat-Nachrichten nicht verarbeiten oder firewall darauf reagieren können, dann überprüfen Sie die Artikel zur Verwendung KB von firewallRessourcen Tipps & Tricks: Reduzieren der Last der Verwaltungsebene und Tipps & Tricks: Reduzieren der Last auf Verwaltungsebene - Teil 2 Um den Grund für die hohe Auslastung der Verwaltungsressourcen zu identifizieren und die Last auf der Verwaltungsebene zu reduzieren.
8. Wenn die Verschlüsselung auf dem HA1-Link aktiviert ist und die oben genannten anderen Gründe, aus denen die HA1-Verbindung angezeigt wird, überprüft wurden, sollten Sie die Verschlüsselung für die HA1-Verbindung deaktivieren.
9. Wenn Sie Probleme mit den Verschlüsselungsschlüsseln haben oder sie einfach erneuern möchten, verwenden Sie die Empfehlung in KB Artikel HOW TO ENABLE ENCRYPTION ON HA1 IN HIGH AVAILABILITY.

Weitere Informationen finden Sie in KB den Artikeln:

DotW: Was ist Peer-Split-Brain?
So richten Sie es ein AUX Port als Hochverfügbarkeitsport.
Commit fehlgeschlagen mit Fehler: Für die Konfiguration der hochverfügbaren ha1-backup-Schnittstelle muss eine Peer-IP-Backup-Adresse konfiguriert werden(Modul: ha_agent).