Haute disponibilité - Split Brain

• Détection du cerveau divisé entre les pare-feu lors HA de la configuration:
  • Pour A/P configuration, les deux pare-feu ont l’état actif.
  • Pour A/A setup, les deux pare-feu ont l’état actif-principal.

• PAN-OS

• La liaison HA1 est en panne et aucune liaison de sauvegarde HA1 n’est configurée.
• Les liaisons de sauvegarde HA1 et HA1 sont en panne.
• Le commutateur/routeur connectant la liaison HA1 (sauvegarde HA1) est en panne ou ne transmet pas le message de pulsation entre les pare-feu lors HA de la configuration.
• La liaison HA1 est activée, mais les ressources de gestion actives (actives-principales) firewall sont très occupées ou ne fonctionnent pas correctement et ne parviennent pas à envoyer et/ou firewall traiter les messages de pulsation via la liaison HA1.
• La liaison HA1 est activée, mais les ressources de gestion passive (active-secondaire) firewall sont très occupées ou ne fonctionnent pas correctement et ne parviennent pas à traiter ou firewall à répondre aux messages de pulsation envoyés par l’homologue firewall via la liaison HA1.
• Si le chiffrement sur la liaison HA1 (liaison de sauvegarde HA1) n’est pas configuré correctement ou si sa configuration doit être validée ou mise à jour.

1. Connectez-vous au passif firewall dans le A/ setup (actif secondaire dans A/AP setup)
2. Suspendre votre pour stabiliser votre firewall réseau de production avant de procéder au dépannage
   1. Device > High Availability > Operational Commands et en cliquant sur « Suspendre l’appareil local pour la haute disponibilité ».
3. Connectez-vous aux deux HA appareils et vérifiez le widget Haute disponibilité sous Device > Dashboard pour valider quel HA lien est en panne.
4. Si la liaison HA1 est en panne et qu’aucune liaison de sauvegarde HA1 n’est configurée, voir ci-dessous. (Sinon, passez à #5.)
   1. Dépannage à l’aide des étapes répertoriées dans KB l’alerte AIOps « High-availability-Services Connectivity » 
   2. Remarque : Envisagez la configuration d’un lien de sauvegarde HA1. reportez-vous à Ports on Palo Alto Networks Firewalls, Links and Backup Links and General Settings (Ports sur Palo Alto Networks Firewalls, Links and Backup Links) et General Settings (Ports HA on Palo Alto Networks Firewalls, Links HA and Backup Links) et HA General Settings (Ports
5. Si les liaisons de sauvegarde HA1 et HA1 sont en panne, dépannez HA les liaisons en suivant les étapes mentionnées dans KB l’article Alerte AIOps « Connectivité des services de haute disponibilité ».
6. Remarque : Si vous firewall n'avez pas de port auxiliaire (AUX) dédié, envisagez d'utiliser le port de gestion (MGT) HA pour la liaison de sauvegarde HA1 ou HA1, car il peut être sélectionné pour une liaison HA1 mais pas pour les deux, car les IP adresses de la liaison HA1 principale et de la liaison HA1 de secours ne doivent pas se chevaucher sous Communications > périphériques, puis Liaisons de contrôle > HA1 ou Liaisons de contrôle > HA sauvegarde HA1 et sélectionnez la gestion (si elle n’est pas déjà sélectionnée) pour le port relatif, cela pourrait être une solution temporaire ou permanente pour rétablir la communication de contrôle entre les homologues si HA le commutateur / routeur reliant la liaison HA1 (sauvegarde HA1) est en panne ou ne transmet pas le message de pulsation entre les pare-feu dans HA la configuration. Si vous firewall n'avez pas de port dédié (c'est-à-dire auxiliaire), HA envisagez d'utiliser la gestion pour la liaison de sauvegarde HA1 ou HA1 (peut être sélectionnée pour une liaison HA1 mais pas pour les deux car les adresses de la liaison HA1 principale et de la liaison HA1 de sauvegarde ne doivent pas se chevaucher) sous Communications > périphériques, puis Contrôler les liens > HA1 ou Contrôler les IP liens > HA la sauvegarde HA1 et sélectionnez gestion( si ce n’est pas déjà fait) pour le port relatif, cela pourrait être une solution temporaire ou permanente pour rétablir la communication de contrôle entre les homologues dans HA.
7. Si la liaison HA1 est activée mais que les ressources de gestion actives (actives-principales) firewall sont très occupées ou ne fonctionnent pas correctement, qu’il ne parvient pas à envoyer et/ou firewall à traiter les messages de pulsation via la liaison HA1 ; Ou si la liaison HA1 est activée mais que les ressources de gestion passives (actives-secondaires) firewall sont très occupées ou ne fonctionnent pas correctement qu’elles ne parviennent pas à traiter ou firewall à répondre aux messages de pulsation envoyés par l’homologue firewall via le lien HA1, vérifiez les articles d’utilisation KB des ressources Trucs et astuces : Réduire la charge du plan de gestion et Trucs et astuces : Réduire la firewallcharge du plan de gestion — Partie 2 pour identifier la raison de l’utilisation élevée des ressources de gestion et réduire la charge sur le plan de gestion.
8. Si le chiffrement sur la liaison HA1 est activé et que les autres raisons ci-dessus pour lesquelles le lien HA1 apparaît ont été vérifiées, envisagez de désactiver le chiffrement sur la liaison HA1.
9. Si vous rencontrez des problèmes avec les clés de chiffrement ou si vous souhaitez simplement les renouveler, utilisez la recommandation de KB l’article HOW TO ENABLE ENCRYPTION ON HA1 IN HIGH AVAILABILITY.

Pour plus d’informations, consultez KB les articles :

DotW : Qu’est-ce que Peer-Split-Brain ?
Comment configurer AUX Port en tant que port haute disponibilité.
Échec de la validation avec erreur : La configuration de l’interface ha1-backup haute disponibilité nécessite la configuration d’une adresse peer-ip-backup (Module : ha_agent).