Alta disponibilidad - Split Brain

• Detección de cerebro dividido entre los firewalls en HA la configuración:
  • Para A/P configuración ambos firewalls tienen el estado activo.
  • Para A/A configuración, ambos firewalls tienen el estado activo-primario.

• PAN-OS

• El vínculo HA1 está inactivo y no hay ningún enlace de copia de seguridad HA1 configurado.
• Tanto el enlace HA1 como el enlace de copia de seguridad HA1 están inactivos.
• El enlace del conmutador/enrutador que conecta HA1 (copia de seguridad HA1) está inactivo o no pasa el mensaje de latido entre los firewalls en HA la configuración.
• El enlace HA1 está activo, pero los recursos de administración activos (activo-primario) firewall están muy ocupados o no funcionan correctamente y no pueden enviar y/o firewall procesar los mensajes de latido a través del enlace HA1.
• El enlace HA1 está activo, pero los recursos de administración pasivos (activo-secundario) firewall están muy ocupados o no funcionan correctamente y no pueden procesar o firewall responder a los mensajes de latido enviados por el par firewall a través del enlace HA1.
• Si el cifrado en el enlace HA1 (enlace de copia de seguridad HA1) no se configura correctamente o su configuración debe validarse o actualizarse.

1. Inicie sesión en el pasivo firewall en la A/ configuración (secundario activo en A/AP configuración)
2. Suspenda su para estabilizar su firewall red de producción antes de proceder a solucionar problemas
   1. Dispositivos > alta disponibilidad > comandos operativos y haciendo clic en "Suspender dispositivo local para alta disponibilidad".
3. Inicie sesión en ambos HA dispositivos y verifique el widget de alta disponibilidad en Device > Dashboard para validar qué HA enlace está inactivo.
4. Si el enlace HA1 está inactivo y no hay ningún enlace de copia de seguridad HA1 configurado, consulte a continuación. (De lo contrario, vaya al #5.)
   1. Solucionar problemas mediante los pasos enumerados en KB AIOps Alert "High-availability-Services Connectivity" 
   2. Nota: Considere la posibilidad de configurar un enlace de copia de seguridad HA1. consulte HA Puertos en Palo Alto Networks Firewalls, Links HA and Backup Links y HA Configuración general .
5. Si tanto el vínculo HA1 como el vínculo de copia de seguridad HA1 están inactivos, solucione HA los problemas de los vínculos inactivos siguiendo los pasos mencionados en el KB artículo AIOps Alert "High-availability-Services Connectivity".
6. Nota: Si firewall no tiene un puerto auxiliar (AUX) dedicado, considere usar el puerto de administración (MGT) HA para el enlace de copia de seguridad HA1 o HA1, ya que se puede seleccionar para un enlace HA1 pero no para ambos, ya que las IP direcciones del enlace HA1 principal y de respaldo no deben superponerse entre sí en Comunicaciones de > HA de dispositivo, luego Enlaces de control > HA1 o Enlaces de control > Copia de seguridad HA1 y seleccione management (si aún no está seleccionado) para el puerto relativo Esta podría ser una solución temporal o permanente para recuperar la comunicación de control entre los pares si HA el enlace de conmutador / enrutador que conecta HA1 (copia de seguridad HA1) está inactivo o no pasa el mensaje de latido entre los firewalls en HA la configuración. firewall Si no tiene un puerto dedicado (también conocido como auxiliar), HA considere usar la administración para el enlace de copia de seguridad HA1 o HA1 (se puede seleccionar para un enlace HA1 pero no para ambos, ya que las IP direcciones del enlace HA1 principal y de respaldo no deben superponerse entre sí) en Comunicaciones > dispositivo, luego Enlaces de control > HA1 o Enlaces de control > HA Copia de seguridad HA1 y seleccione management( si aún no está seleccionado) para el puerto relativo Esto podría ser una solución temporal o permanente para recuperar la comunicación de control entre los pares en HA.
7. Si el enlace HA1 está activo pero los recursos de administración activos (activo-primario) firewall están muy ocupados o no funcionan correctamente, no pueden enviar y/o firewall procesar los mensajes de latido a través del enlace HA1; O si el enlace HA1 está activo pero los recursos de administración pasivos (activo-secundario) están muy ocupados o no funcionan correctamente y no pueden procesar o firewall responder a los mensajes de latido enviados por el par firewall a través del enlace HA1, verifique los artículos de uso de recursos (s) firewall Consejos y trucos: Reducción de la carga del plano de administración y Consejos y trucos: Reducción de la carga del plano de firewallKB administración: Parte 2 para identificar la razón de la alta utilización de recursos de administración y reducir la carga en el plano de administración.
8. Si el cifrado en el enlace HA1 está habilitado y se han verificado las otras razones anteriores por las que se muestra el enlace HA1, considere deshabilitar el cifrado en el enlace HA1.
9. Si tiene problemas con las claves de cifrado o simplemente desea renovarlas, utilice la recomendación del KB artículo HOW TO ENABLE ENCRYPTION ON HA1 IN HIGH AVAILABILITY.

Para obtener más información, consulte KB los artículos:

DotW: ¿Qué es Peer-Split-Brain?
Cómo configurar AUX Puerto como puerto de alta disponibilidad.
Error de confirmación con error: La configuración de la interfaz ha1-backup de alta disponibilidad requiere que se configure una dirección peer-ip-backup (Módulo: ha_agent).