Enlace de control HA1 con cifrado habilitado, sigue aleteando después de la actualización de 9.1 a 10.0
15170
Created On 07/29/22 17:16 PM - Last Modified 09/25/24 13:47 PM
Symptom
- En una configuración Activo/Pasivo o Activo/Activo HA , después de una actualización de 9.1 a 10.0, el enlace HA1 sigue aleteando:
2022/05/21 13:48:57 critical ha connect 0 HA Group 4: Control link running on HA1-Backup connection 2022/05/21 13:48:56 critical ha connect 0 HA Group 4: All HA1 connections down 2022/05/21 13:48:56 critical ha connect 0 HA Group 4: HA1 connection down 2022/05/21 13:48:54 info ha connect 0 HA Group 4: HA1 connection up 2022/05/21 13:48:54 info ha ha1-lin 0 HA1-Backup peer link up 2022/05/21 13:48:54 info ha ha1-lin 0 HA1 peer link up 2022/05/21 13:48:54 info ha connect 0 HA Group 4: Control link running on HA1 connection 2022/05/21 13:48:53 critical ha connect 0 HA Group 4: All HA1 connections down 2022/05/21 13:48:53 high ha connect 0 HA Group 4: HA1-Backup connection down 2022/05/21 13:48:51 info ha connect 0 HA Group 4: HA1-Backup connection up 2022/05/21 13:48:51 info ha ha1-lin 0 HA1-Backup peer link up 2022/05/21 13:48:51 info ha ha1-lin 0 HA1 peer link up 2022/05/21 13:48:51 critical ha connect 0 HA Group 4: Control link running on HA1-Backup connection 2022/05/21 13:48:50 critical ha connect 0 HA Group 4: All HA1 connections down 2022/05/21 13:48:50 critical ha connect 0 HA Group 4: HA1 connection down 2022/05/21 13:48:48 info ha connect 0 HA Group 4: HA1 connection up 2022/05/21 13:48:48 info ha ha1-lin 0 HA1-Backup peer link up 2022/05/21 13:48:48 info ha ha1-lin 0 HA1 peer link up
- Mensaje de error visto en los registros de ha_agent:
mp ha_agent.log 2022-05-21 13:40:56 2022-05-21 13:40:56.170 +1000 debug: ha_peer_send_error(src/ha_peer.c:1725): Group 4 (HA1-MAIN): Sending errro message mp ha_agent.log 2022-05-21 13:40:56 mp ha_agent.log 2022-05-21 13:40:56 Error Msg mp ha_agent.log 2022-05-21 13:40:56 --------- mp ha_agent.log 2022-05-21 13:40:56 flags : 0x2 (close:) mp ha_agent.log 2022-05-21 13:40:56 err code : SSH Tunnel reset (17) mp ha_agent.log 2022-05-21 13:40:56 num tlvs : 1 mp ha_agent.log 2022-05-21 13:40:56 Printing out 1 tlvs mp ha_agent.log 2022-05-21 13:40:56 TLV[1]: type 5 (ERR_STRING); len 17; value: mp ha_agent.log 2022-05-21 13:40:56 53534820 54756e6e 656c2072 65736574 00 mp ha_agent.log 2022-05-21 13:40:56 mp ha_agent.log 2022-05-21 13:40:56 2022-05-21 13:40:56.170 +1000 Error: ha_peer_disconnect(src/ha_peer.c:1860): Group 4 (HA1-MAIN): peer connection error msg set: SSH Tunnel reset
- El cifrado está habilitado en HA1 :
> show high-availability all <snip> Jumbo-Frames disabled; MTU 1500 HA1 Control Links Joint Configuration: Link Monitor Interval: 3000 ms Encryption Enabled: yes. <<<<<<<<
Environment
HA Actualizar de 9.1 a 10.0
Cause
Este es el comportamiento esperado hasta que se complete
la HA actualización Con 10.0, usamos aes128-ctr para SSH mientras que en 9.1, usamos aes128-cbc. Debido a esta diferencia en el algoritmo, Tunnel sigue restableciendo y, por lo tanto, SSH las aletas HA1
Resolution
Debido a la causa raíz mencionada anteriormente, se recomienda deshabilitar el cifrado
HA1 Paso 6: https://docs.paloaltonetworks.com/pan-os/10-0/-new-features/upgrade-/upgrade-the--/pan-osupgrade-an-ha--pair#id062f1ad5-adb3-4d25-b4a4-529bde5dc96a
pan-osfirewallpan-osfirewall 1. Seleccione DeviceHigh AvailabilityGeneral y edite la sección Vínculo de control (HA1).
2. Desmarque Cifrado habilitado para que esté deshabilitado.
3. Confirme el cambio en ambos HA pares.
Additional Information
- Referencias:
referencia de actualización 10.0 para HA
actualizar un HA Firewall par
https://docs.paloaltonetworks.com/pan-os/10-0/-new-features/upgrade-/pan-osupgrade-the--/upgrade-an-ha--pair#id062f1ad5-adb3-4d25-b4a4-529bde5dc96apan-osfirewallpan-osfirewall