Was passiert mit der Kandidatenkonfiguration auf dem Firewall Passiven, wenn eine Konfigurationssynchronisierung von Firewall "Aktiv" in "Passiv" Firewall fehlschlägt?
10074
Created On 07/06/20 02:07 AM - Last Modified 03/26/21 18:27 PM
Question
Was passiert mit der Kandidatenkonfiguration auf dem Firewall Passiven, wenn eine Konfigurationssynchronisierung von Firewall "Aktiv" in "Passiv" Firewall fehlschlägt?
Environment
- Active Firewall löst eine Synchronisierung mit dem HA Passiven Firewall aus, entweder nach einem Commit oder manuell mit "Sync to Peer".
- Der Commit wird vom Passiven Firewall als HA Synchronisierungsauftrag empfangen.
- Der HA Synchronisierungsauftrag auf dem Passiv Firewall schlägt aufgrund eines fehlgeschlagenen Commits fehl.
Answer
NOTE:
Dies könnte auf inkonsistente Verwaltungseinstellungen zurückzuführen sein:
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClpuCAC
In einem solchen Szenario, obwohl der HA Sync-Auftragscommit auf dem Passiv fehlgeschlagen Firewall ist, hat der Passive Firewall immer noch die synchronisierte Konfiguration von der Active in seiner Kandidatenkonfiguration.
Dies kann mit den folgenden Angaben angezeigt werden:
> show config candidate
Die Ausgabe enthält die nicht festgeschriebenen Änderungen, die vom Peer als Ergebnis der Synchronisierung synchronisiert Firewall HA wurden.
Additional Information
- Im Folgenden wird auch die Kandidatenkonfiguration auf der FW :-
> configure # show