高可用性 - スプリット ブレイン
45777
Created On 04/28/22 17:26 PM - Last Modified 08/23/23 22:35 PM
Symptom
- ファイアウォール間のスプリット ブレインの検出HA設定:
- ためにA/P両方のファイアウォールにアクティブスターテス。
- ためにA/A両方のファイアウォールにアクティブ プライマリスターテス。
Environment
- PAN-OS
Cause
次のいずれかになります。
- HA1 リンクがダウンしており、HA1 バックアップ リンクが構成されていません。
- HA1 リンクと HA1 バックアップ リンクの両方がダウンしています。
- HA1 (HA1 バックアップ) リンクを接続しているスイッチ/ルーターがダウンしているか、ファイアウォール間でハートビート メッセージを渡していません。HA設定。
- HA1 リンクはアップしていますが、アクティブ(アクティブ プライマリ)firewall管理リソースが非常にビジーであるか、firewall HA1 リンクを介したハートビート メッセージの送信および/または処理に失敗するため、正常に機能していません。
- HA1 リンクはアップしていますが、受け身(アクティブ セカンダリ)firewall管理リソースが非常にビジーであるか、firewallピアによって送信されたハートビート メッセージの処理または応答に失敗したため、正しく機能していないfirewallHA1リンク経由。
- HA1 リンク (HA1 バックアップ リンク) の暗号化が正しく設定されていないか、その構成を検証または更新する必要がある場合。
Resolution
- にログイン受け身firewallの中にA/P設定 (アクティブ セカンダリのA/A設定)
- あなたのfirewallトラブルシューティングに進む前に本番ネットワークを安定させる
- デバイス > 高可用性 > 操作コマンド「高可用性のためにローカル デバイスを一時停止する"。
- 両方にログインHAデバイスとチェック高可用性下のウィジェットデバイス > ダッシュボード検証するHAリンクがダウンしています。
- HA1 リンクがダウンしていて、HA1 バックアップ リンクが構成されていない場合は、以下を参照してください。 (それ以外の場合は #5 に進みます。)
- に記載されている手順を使用してトラブルシューティングを行います。KB AIOps アラート「高可用性サービス接続」
- ノート: HA1 バックアップ リンクの構成を検討してください。参照するHAPalo Alto Networks ファイアウォールのポート、HAリンクとバックアップ リンクとHA一般設定.
- HA1 リンクとHA1 バックアップ リンクがダウンしており、トラブルシューティングを行うHAに記載されている手順を使用してリンクをダウンKB記事AIOps アラート「高可用性サービス接続」 .
- ノート: もしあなたのfirewall専用の補助機能はありません (AUX )HA port を使用することを検討してください (MGT ) HA1 または HA1 バックアップ リンク用のポート。IPプライマリ HA1 リンクとバックアップ HA1 リンクのアドレスが互いに重複してはなりません。デバイス >HAコミュニケーションそれからコントロール リンク > HA1またコントロール リンク > HA1バックアップ相対ポートの管理 (まだ選択されていない場合) を選択します。これは、ピア間の制御通信を元に戻すための一時的または永続的な解決策になる可能性があります。HA HA1 (HA1 バックアップ) リンクを接続しているスイッチ/ルーターがダウンしているか、ファイアウォール間でハートビート メッセージを渡していない場合HA設定。 もしあなたのfirewall専用(別名補助)はありませんHAポートは、HA1 または HA1 バックアップ リンクの管理を使用することを検討します (1 つの HA1 リンクに対して選択できますが、両方に対して選択することはできません。IPプライマリおよびバックアップ HA1 リンクのアドレスが互いに重複してはなりません)デバイス >HAコミュニケーションそれからコントロール リンク > HA1またコントロール リンク > HA1バックアップ相対ポートの管理 (まだ選択されていない場合) を選択します。これは、ピア間の制御通信を元に戻すための一時的または永続的な解決策になる可能性があります。HA .
- HA1 リンクの場合アップですが、アクティブ(アクティブ プライマリ)firewall管理リソースが非常にビジーである、またはfirewallHA1 リンクを介したハートビート メッセージの送信および/または処理に失敗し、正常に機能していません。または、HA1 リンクがアップしているが、受け身(アクティブ セカンダリ)firewall管理リソースが非常にビジーであるか、firewallピアから送信されたハートビート メッセージの処理または応答に失敗したため、正常に機能していないfirewallHA1 リンク経由で、firewall (s) リソースの使用KB記事ヒントとコツ: 管理プレーンの負荷を軽減するとヒントとコツ: 管理プレーンの負荷を軽減する — パート 2管理リソースの使用率が高い理由を特定し、管理プレーンの負荷を軽減します。
- の暗号化HA1 リンクが有効であり、HA1 リンクがダウンしていると表示される上記のその他の理由が確認されている場合は、HA1 リンクの暗号化を無効にすることを検討してください。 .
- 暗号化キーに問題がある場合、または単に更新したい場合は、次の推奨事項を使用してくださいKB記事HOW TO ENABLE ENCRYPTION ONHA1IN HIGH AVAILABILITY .
ノート: 高可用性 HA1IPアドレスは、専用または補助を持つファイアウォールのデバイス管理ポートと同じサブネットにあることはできませんHAリンク。
Additional Information
詳細については、チェックしてくださいKB記事:
DotW: Peer-Split-Brain とは何ですか?
設定方法AUX高可用性ポートとしてのポート.
コミットはエラーで失敗しました: 高可用性 ha1-backup インターフェース構成には、peer-ip-backup アドレスを構成する必要があります (モジュール: ha_agent) .