期间HA故障转移PA-400系列防火墙,接口链接将需要时间在新的活动设备上
2899
Created On 07/12/22 06:09 AM - Last Modified 03/28/25 23:29 PM
Symptom
- 帕洛阿尔托 400 系列firewall配置为高可用性模式。
- 期间HAfailover from passive to Active,接口link up耗时长。
- 这可能会导致流量中断。
2022/07/08 10:32:56 high ha state-c 0 HA Group 1: Moved from state Passive to state Active
2022/07/08 10:32:59 info port ethern link-ch 0 Port ethernet1/1: Up auto duplex
2022/07/08 10:33:00 info port ethern link-ch 0 Port ethernet1/1: Up 1Gb/s-full duplex
2022/07/08 10:33:00 info port ethern link-ch 0 Port ethernet1/1: MAC Up
2022/07/08 10:33:02 info port ethern link-ch 0 Port ethernet1/2: Up auto duplex
2022/07/08 10:33:04 info port ethern link-ch 0 Port ethernet1/2: Up 1Gb/s-full duplex
2022/07/08 10:33:05 info port ethern link-ch 0 Port ethernet1/2: MAC Up
2022/07/08 10:33:08 info port ethern link-ch 0 Port ethernet1/3: Up auto duplex
2022/07/08 10:33:09 info port ethern link-ch 0 Port ethernet1/3: Up 1Gb/s-full duplex
2022/07/08 10:33:09 info port ethern link-ch 0 Port ethernet1/3: MAC UpEnvironment
- PA-400 仅限系列防火墙
- 主动/被动高可用性环境
- 期间看到的问题HA故障转移
- PAN-OS 10.1.x 和 10.2.x
Cause
内部网络芯片上的接口链接意外需要很长时间PA-400系列防火墙。
Resolution
- PAN-181968- (PA-400主动/被动系列防火墙HA仅配置)修复了一个问题,当HA发生故障转移,所有端口上的链接花费的时间比预期的要长,这导致了流量中断。