Was passiert mit der Kandidatenkonfiguration auf dem Firewall Passiven, wenn eine Konfigurationssynchronisierung von Firewall "Aktiv" in "Passiv" Firewall fehlschlägt?

Was passiert mit der Kandidatenkonfiguration auf dem Firewall Passiven, wenn eine Konfigurationssynchronisierung von Firewall "Aktiv" in "Passiv" Firewall fehlschlägt?

10074
Created On 07/06/20 02:07 AM - Last Modified 03/26/21 18:27 PM


Question


Was passiert mit der Kandidatenkonfiguration auf dem Firewall Passiven, wenn eine Konfigurationssynchronisierung von Firewall "Aktiv" in "Passiv" Firewall fehlschlägt?

 


Environment


  • Active Firewall löst eine Synchronisierung mit dem HA Passiven Firewall aus, entweder nach einem Commit oder manuell mit "Sync to Peer".
  • Der Commit wird vom Passiven Firewall als HA Synchronisierungsauftrag empfangen.
  • Der HA Synchronisierungsauftrag auf dem Passiv Firewall schlägt aufgrund eines fehlgeschlagenen Commits fehl.


Answer


NOTE:
Dies könnte auf inkonsistente Verwaltungseinstellungen zurückzuführen sein:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClpuCAC

In einem solchen Szenario, obwohl der HA Sync-Auftragscommit auf dem Passiv fehlgeschlagen Firewall ist, hat der Passive Firewall immer noch die synchronisierte Konfiguration von der Active in seiner Kandidatenkonfiguration.

Dies kann mit den folgenden Angaben angezeigt werden:
> show config candidate


Die Ausgabe enthält die nicht festgeschriebenen Änderungen, die vom Peer als Ergebnis der Synchronisierung synchronisiert Firewall HA wurden.


Additional Information


  • Im Folgenden wird auch die Kandidatenkonfiguration auf der FW :-
> configure

# show


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008UfxCAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language