Während des HA Failovers auf Serien-Firewalls dauert die Schnittstellenverbindung auf PA-400 dem neuen aktiven Gerät einige Zeit
2909
Created On 07/12/22 06:09 AM - Last Modified 03/28/25 23:29 PM
Symptom
- Palo Alto 400-Serie firewall , konfiguriert im Hochverfügbarkeitsmodus.
- Während des HA Failovers von passiv auf aktiv dauert die Schnittstellenverbindung sehr lange.
- Dies kann zu einem Verkehrsausfall führen.
2022/07/08 10:32:56 high ha state-c 0 HA Group 1: Moved from state Passive to state Active
2022/07/08 10:32:59 info port ethern link-ch 0 Port ethernet1/1: Up auto duplex
2022/07/08 10:33:00 info port ethern link-ch 0 Port ethernet1/1: Up 1Gb/s-full duplex
2022/07/08 10:33:00 info port ethern link-ch 0 Port ethernet1/1: MAC Up
2022/07/08 10:33:02 info port ethern link-ch 0 Port ethernet1/2: Up auto duplex
2022/07/08 10:33:04 info port ethern link-ch 0 Port ethernet1/2: Up 1Gb/s-full duplex
2022/07/08 10:33:05 info port ethern link-ch 0 Port ethernet1/2: MAC Up
2022/07/08 10:33:08 info port ethern link-ch 0 Port ethernet1/3: Up auto duplex
2022/07/08 10:33:09 info port ethern link-ch 0 Port ethernet1/3: Up 1Gb/s-full duplex
2022/07/08 10:33:09 info port ethern link-ch 0 Port ethernet1/3: MAC UpEnvironment
- PA-400 Nur Serien-Firewalls
- Aktiv/Passive Hochverfügbarkeitsumgebung
- Problem beim HA Failover
- PAN-OS 10.1.x und 10.2.x
Cause
Die Schnittstellenverbindung dauert unerwartet lange auf dem internen Netzwerkchip in PA-400 Serien-Firewalls.
Resolution
- Das Problem wurde unter PAN-181968 10.1.9 und 10.2.4 behoben.
- Das Problem sollte durch ein Upgrade behoben werden.
- PAN-181968- (PA-400 Serien-Firewalls nur in aktiven/passiven Konfigurationen HA ) Es wurde ein Problem behoben, bei dem bei HA einem Failover die Verbindung an allen Ports länger als erwartet dauerte, was zu Datenverkehrsausfällen führte.