Liaison de contrôle HA1 avec cryptage activé, continue de battre après la mise à niveau de 9.1 à 10.0
15065
Created On 07/29/22 17:16 PM - Last Modified 09/25/24 13:47 PM
Symptom
- Dans une configuration Actif/Passif ou Actif/Actif HA , après une mise à niveau de la version 9.1 vers la version 10.0, la liaison HA1 ne cesse de battre :
2022/05/21 13:48:57 critical ha connect 0 HA Group 4: Control link running on HA1-Backup connection 2022/05/21 13:48:56 critical ha connect 0 HA Group 4: All HA1 connections down 2022/05/21 13:48:56 critical ha connect 0 HA Group 4: HA1 connection down 2022/05/21 13:48:54 info ha connect 0 HA Group 4: HA1 connection up 2022/05/21 13:48:54 info ha ha1-lin 0 HA1-Backup peer link up 2022/05/21 13:48:54 info ha ha1-lin 0 HA1 peer link up 2022/05/21 13:48:54 info ha connect 0 HA Group 4: Control link running on HA1 connection 2022/05/21 13:48:53 critical ha connect 0 HA Group 4: All HA1 connections down 2022/05/21 13:48:53 high ha connect 0 HA Group 4: HA1-Backup connection down 2022/05/21 13:48:51 info ha connect 0 HA Group 4: HA1-Backup connection up 2022/05/21 13:48:51 info ha ha1-lin 0 HA1-Backup peer link up 2022/05/21 13:48:51 info ha ha1-lin 0 HA1 peer link up 2022/05/21 13:48:51 critical ha connect 0 HA Group 4: Control link running on HA1-Backup connection 2022/05/21 13:48:50 critical ha connect 0 HA Group 4: All HA1 connections down 2022/05/21 13:48:50 critical ha connect 0 HA Group 4: HA1 connection down 2022/05/21 13:48:48 info ha connect 0 HA Group 4: HA1 connection up 2022/05/21 13:48:48 info ha ha1-lin 0 HA1-Backup peer link up 2022/05/21 13:48:48 info ha ha1-lin 0 HA1 peer link up
- Message d’erreur affiché dans les journaux ha_agent :
mp ha_agent.log 2022-05-21 13:40:56 2022-05-21 13:40:56.170 +1000 debug: ha_peer_send_error(src/ha_peer.c:1725): Group 4 (HA1-MAIN): Sending errro message mp ha_agent.log 2022-05-21 13:40:56 mp ha_agent.log 2022-05-21 13:40:56 Error Msg mp ha_agent.log 2022-05-21 13:40:56 --------- mp ha_agent.log 2022-05-21 13:40:56 flags : 0x2 (close:) mp ha_agent.log 2022-05-21 13:40:56 err code : SSH Tunnel reset (17) mp ha_agent.log 2022-05-21 13:40:56 num tlvs : 1 mp ha_agent.log 2022-05-21 13:40:56 Printing out 1 tlvs mp ha_agent.log 2022-05-21 13:40:56 TLV[1]: type 5 (ERR_STRING); len 17; value: mp ha_agent.log 2022-05-21 13:40:56 53534820 54756e6e 656c2072 65736574 00 mp ha_agent.log 2022-05-21 13:40:56 mp ha_agent.log 2022-05-21 13:40:56 2022-05-21 13:40:56.170 +1000 Error: ha_peer_disconnect(src/ha_peer.c:1860): Group 4 (HA1-MAIN): peer connection error msg set: SSH Tunnel reset
- Le chiffrement est activé sur HA1 :
> show high-availability all <snip> Jumbo-Frames disabled; MTU 1500 HA1 Control Links Joint Configuration: Link Monitor Interval: 3000 ms Encryption Enabled: yes. <<<<<<<<
Environment
HA Mise à niveau de la version 9.1 vers la version 10.0
Cause
C’est un comportement attendu jusqu’à ce que la mise à niveau soit terminée
Avec la version 10.0, nous utilisons aes128-ctr alors SSH que dans la HA version 9.1, nous utilisons aes128-cbc. En raison de cette différence d’algorithme, SSH Tunnel continue de réinitialiser et donc HA1 volets
Resolution
En raison de la cause première mentionnée ci-dessus, il est recommandé de désactiver le cryptage
HA1 Étape 6 : https://docs.paloaltonetworks.com/pan-os/10-0/-new-features/pan-osupgrade-/upgrade-the--/upgrade-an-ha--pair#id062f1ad5-adb3-4d25-b4a4-529bde5dc96a
pan-osfirewallpan-osfirewall 1. Sélectionnez DeviceHigh AvailabilityGeneral et modifiez la section Control Link (HA1).
2. Décochez Chiffrement activé afin qu’il soit désactivé.
3. Validez la modification sur les HA deux pairs.
Additional Information
- Références :
Référence de mise à niveau 10.0 pour HA
Upgrade an HA Firewall Pair
https://docs.paloaltonetworks.com/pan-os/10-0/-new-features/pan-osupgrade-/upgrade-the--/upgrade-an-ha--pair#id062f1ad5-adb3-4d25-b4a4-529bde5dc96apan-osfirewallpan-osfirewall