高可用性 - 裂脑

• 检测防火墙之间的裂脑HA设置：
  • 为了A/P设置两个防火墙都有积极的地位。
  • 为了A/A设置两个防火墙都有主动主地位。

• PAN-OS

• HA1 链接已关闭，并且没有配置 HA1 备份链接。
• HA1 链接和 HA1 备份链接都已关闭。
• 连接 HA1（HA1 备份）的交换机/路由器链路断开或未在防火墙之间传递心跳消息HA设置。
• HA1 链接已启动，但积极的(主动主)firewall管理资源非常繁忙或firewall无法正常运行，无法通过 HA1 链接发送和/或处理心跳消息。
• HA1 链接已启动，但被动的(主动中学)firewall管理资源非常繁忙或firewall无法正常工作，无法处理或响应对端发送的心跳消息firewall通过 HA1 链接。
• 如果 HA1 链路（HA1 备份链路）上的加密设置不正确，或者需要验证或更新其配置。

1. 登入被动的firewall在里面A/P设置 （主动中学在A/A设置）
2. 暂停你的firewall在进行故障排除之前稳定您的生产网络
   1. 设备 > 高可用性 > 操作命令并点击“挂起本地设备以实现高可用性”。
3. 登录两者HA设备并检查高可用性下的小部件设备 > 仪表板验证哪个HA链接已关闭。
4. 如果 HA1 链接已关闭并且没有配置 HA1 备份链接，请参见下文。 （否则跳到#5。）
   1. 使用中列出的步骤进行故障排除KBAIOps 警报“高可用性服务连接”
   2. 笔记：考虑配置一个HA1备份链路。参考HA帕洛阿尔托网络防火墙上的端口,HA链接和备份链接和HA常规设置.
5. 如果 HA1 链接和HA1备份链接挂了，那就排查HA使用中提到的步骤向下链接KB文章AIOps 警报“高可用性服务连接” .
6. 笔记： 如果你的firewall没有专门的辅助（AUX )HA端口然后考虑使用管理（MGT ) HA1 或 HA1 备份链路的端口，因为它可以为一个 HA1 链路选择，但不能为两者选择，因为IP主要和备用 HA1 链接的地址不得相互重叠设备 >HA通讯然后控制链接 > HA1或者控制链接 > HA1备份并为相关端口选择管理（如果尚未选择），这可能是一个临时或永久的解决方案，以恢复对等点之间的控制通信HA如果连接 HA1（HA1 备份）的交换机/路由器断开或未在防火墙之间传递心跳消息HA设置。 如果你的firewall没有专用的（又名辅助）HA端口然后考虑使用 HA1 或 HA1 备份链接的管理（可以为一个 HA1 链接选择但不能为两者选择，因为IP主 HA1 链接和备用 HA1 链接的地址不得相互重叠）设备 >HA通讯然后控制链接 > HA1或者控制链接 > HA1备份并为相关端口选择管理（如果尚未选择），这可能是一个临时或永久的解决方案，以恢复对等点之间的控制通信HA.
7. 如果HA1链接是了，但是积极的(主动主)firewall管理资源很忙，或者firewall运行不正常，无法通过 HA1 链接发送和/或处理心跳消息；或者，如果 HA1 链接已启动，但被动的(主动中学)firewall管理资源非常繁忙或firewall无法正常工作，无法处理或响应对端发送的心跳消息firewall通过 HA1 链接，然后检查firewall(s) 资源使用KB文章提示与技巧：减少管理平面负载和提示与技巧：减少管理平面负载 - 第 2 部分找出管理资源利用率高的原因，减轻管理面的负担。
8. 如果在加密HA1 链接已启用，并且已检查 HA1 链接显示为关闭的上述其他原因 考虑禁用 HA1 链接上的加密.
9. 如果加密密钥有问题或只是想更新它们，请使用中的建议KB文章HOW TO ENABLE ENCRYPTION ONHA1IN HIGH AVAILABILITY .

欲了解更多信息检查KB文章：

DotW：什么是对等裂脑？
如何设置AUX端口作为高可用端口.
提交失败，出现错误：高可用性 ha1-backup 接口配置需要配置 peer-ip-backup 地址（模块：ha_agent） .