HA1-Steuerverbindung mit aktivierter Verschlüsselung, flattert nach Upgrade von 9.1 auf 10.0
15168
Created On 07/29/22 17:16 PM - Last Modified 09/25/24 13:47 PM
Symptom
- In einem Aktiv/Passiv- oder Aktiv/Aktiv-Setup HA flattert der HA1-Link nach einem Upgrade von 9.1 auf 10.0 weiter:
2022/05/21 13:48:57 critical ha connect 0 HA Group 4: Control link running on HA1-Backup connection 2022/05/21 13:48:56 critical ha connect 0 HA Group 4: All HA1 connections down 2022/05/21 13:48:56 critical ha connect 0 HA Group 4: HA1 connection down 2022/05/21 13:48:54 info ha connect 0 HA Group 4: HA1 connection up 2022/05/21 13:48:54 info ha ha1-lin 0 HA1-Backup peer link up 2022/05/21 13:48:54 info ha ha1-lin 0 HA1 peer link up 2022/05/21 13:48:54 info ha connect 0 HA Group 4: Control link running on HA1 connection 2022/05/21 13:48:53 critical ha connect 0 HA Group 4: All HA1 connections down 2022/05/21 13:48:53 high ha connect 0 HA Group 4: HA1-Backup connection down 2022/05/21 13:48:51 info ha connect 0 HA Group 4: HA1-Backup connection up 2022/05/21 13:48:51 info ha ha1-lin 0 HA1-Backup peer link up 2022/05/21 13:48:51 info ha ha1-lin 0 HA1 peer link up 2022/05/21 13:48:51 critical ha connect 0 HA Group 4: Control link running on HA1-Backup connection 2022/05/21 13:48:50 critical ha connect 0 HA Group 4: All HA1 connections down 2022/05/21 13:48:50 critical ha connect 0 HA Group 4: HA1 connection down 2022/05/21 13:48:48 info ha connect 0 HA Group 4: HA1 connection up 2022/05/21 13:48:48 info ha ha1-lin 0 HA1-Backup peer link up 2022/05/21 13:48:48 info ha ha1-lin 0 HA1 peer link up
- Fehlermeldung in den ha_agent Protokollen:
mp ha_agent.log 2022-05-21 13:40:56 2022-05-21 13:40:56.170 +1000 debug: ha_peer_send_error(src/ha_peer.c:1725): Group 4 (HA1-MAIN): Sending errro message mp ha_agent.log 2022-05-21 13:40:56 mp ha_agent.log 2022-05-21 13:40:56 Error Msg mp ha_agent.log 2022-05-21 13:40:56 --------- mp ha_agent.log 2022-05-21 13:40:56 flags : 0x2 (close:) mp ha_agent.log 2022-05-21 13:40:56 err code : SSH Tunnel reset (17) mp ha_agent.log 2022-05-21 13:40:56 num tlvs : 1 mp ha_agent.log 2022-05-21 13:40:56 Printing out 1 tlvs mp ha_agent.log 2022-05-21 13:40:56 TLV[1]: type 5 (ERR_STRING); len 17; value: mp ha_agent.log 2022-05-21 13:40:56 53534820 54756e6e 656c2072 65736574 00 mp ha_agent.log 2022-05-21 13:40:56 mp ha_agent.log 2022-05-21 13:40:56 2022-05-21 13:40:56.170 +1000 Error: ha_peer_disconnect(src/ha_peer.c:1860): Group 4 (HA1-MAIN): peer connection error msg set: SSH Tunnel reset
- Die Verschlüsselung ist auf HA1 aktiviert:
> show high-availability all <snip> Jumbo-Frames disabled; MTU 1500 HA1 Control Links Joint Configuration: Link Monitor Interval: 3000 ms Encryption Enabled: yes. <<<<<<<<
Environment
HA Upgrade von 9.1 auf 10.0
Cause
Dies ist ein erwartetes Verhalten, bis das HA Upgrade abgeschlossen
ist Mit 10.0 verwenden wir aes128-ctr, während wir in 9.1 aes128-cbc SSH verwenden. Aufgrund dieses Unterschieds im Algorithmus SSH wird Tunnel immer wieder zurückgesetzt und daher klappt HA1
Resolution
Aufgrund der oben genannten Ursache wird empfohlen, die HA1-Verschlüsselung
zu deaktivieren Schritt 6: https://docs.paloaltonetworks.com/pan-os/10-0/-new-features/upgrade-/pan-osupgrade-the--/upgrade-an-ha--pair#id062f1ad5-adb3-4d25-b4a4-529bde5dc96a
pan-osfirewallpan-osfirewall 1. Wählen Sie DeviceHigh AvailabilityGeneral und bearbeiten Sie den Abschnitt
Control Link (HA1). 2. Deaktivieren Sie Verschlüsselung aktiviert, um sie zu deaktivieren.
3. Übernehmen Sie die Änderung auf beiden HA Peers.
Additional Information
- Referenzen:
10.0 Upgrade-Referenz für HA
Upgrade an Pair
https://docs.paloaltonetworks.com/pan-os/10-0/-new-features/upgrade-/upgrade-the--/pan-osupgrade-an-haHA Firewallpan-ospan-os--pair#id062f1ad5-adb3-4d25-b4a4-529bde5dc96afirewallfirewall