暗号化が有効になっている HA1 コントロールリンクが、9.1 から 10.0 へのアップグレード後もフラッピングし続ける

15113

Created On 07/29/22 17:16 PM - Last Modified 09/25/24 13:47 PM

Symptom

アクティブ/パッシブまたはアクティブ/アクティブHAセットアップ、9.1 から 10.0 へのアップグレード後、HA1 リンクがフラッピングし続ける:

2022/05/21 13:48:57 critical ha             connect 0  HA Group 4: Control link running on HA1-Backup connection
2022/05/21 13:48:56 critical ha             connect 0  HA Group 4: All HA1 connections down
2022/05/21 13:48:56 critical ha             connect 0  HA Group 4: HA1 connection down
2022/05/21 13:48:54 info     ha             connect 0  HA Group 4: HA1 connection up
2022/05/21 13:48:54 info     ha             ha1-lin 0  HA1-Backup peer link up
2022/05/21 13:48:54 info     ha             ha1-lin 0  HA1 peer link up
2022/05/21 13:48:54 info     ha             connect 0  HA Group 4: Control link running on HA1 connection
2022/05/21 13:48:53 critical ha             connect 0  HA Group 4: All HA1 connections down
2022/05/21 13:48:53 high     ha             connect 0  HA Group 4: HA1-Backup connection down
2022/05/21 13:48:51 info     ha             connect 0  HA Group 4: HA1-Backup connection up
2022/05/21 13:48:51 info     ha             ha1-lin 0  HA1-Backup peer link up
2022/05/21 13:48:51 info     ha             ha1-lin 0  HA1 peer link up
2022/05/21 13:48:51 critical ha             connect 0  HA Group 4: Control link running on HA1-Backup connection
2022/05/21 13:48:50 critical ha             connect 0  HA Group 4: All HA1 connections down
2022/05/21 13:48:50 critical ha             connect 0  HA Group 4: HA1 connection down
2022/05/21 13:48:48 info     ha             connect 0  HA Group 4: HA1 connection up
2022/05/21 13:48:48 info     ha             ha1-lin 0  HA1-Backup peer link up
2022/05/21 13:48:48 info     ha             ha1-lin 0  HA1 peer link up

ha_agent ログに表示されるエラーメッセージ:

mp        ha_agent.log                       2022-05-21 13:40:56   2022-05-21 13:40:56.170 +1000 debug: ha_peer_send_error(src/ha_peer.c:1725): Group 4 (HA1-MAIN): Sending errro message
mp        ha_agent.log                       2022-05-21 13:40:56   
mp        ha_agent.log                       2022-05-21 13:40:56   Error Msg
mp        ha_agent.log                       2022-05-21 13:40:56   ---------
mp        ha_agent.log                       2022-05-21 13:40:56   flags    : 0x2 (close:)
mp        ha_agent.log                       2022-05-21 13:40:56   err code : SSH Tunnel reset (17)
mp        ha_agent.log                       2022-05-21 13:40:56   num tlvs : 1
mp        ha_agent.log                       2022-05-21 13:40:56     Printing out 1 tlvs
mp        ha_agent.log                       2022-05-21 13:40:56     TLV[1]: type 5 (ERR_STRING); len 17; value:
mp        ha_agent.log                       2022-05-21 13:40:56       53534820 54756e6e 656c2072 65736574 00
mp        ha_agent.log                       2022-05-21 13:40:56   
mp        ha_agent.log                       2022-05-21 13:40:56   2022-05-21 13:40:56.170 +1000 Error:  ha_peer_disconnect(src/ha_peer.c:1860): Group 4 (HA1-MAIN): peer connection error msg set: SSH Tunnel reset

HA1 で暗号化が有効になっています。

> show high-availability all 

<snip>

Jumbo-Frames disabled; MTU 1500
HA1 Control Links Joint Configuration:
Link Monitor Interval: 3000 ms
Encryption Enabled: yes.  <<<<<<<<

Environment

HA 9.1 から 10.0 へのアップグレード

Cause

これは、HAアップグレードが完了しました
10.0 では、aes128-ctr を使用します。SSH 9.1 では aes128-cbc を使用します。このアルゴリズムの違いにより、SSHトンネルがリセットし続けるため、HA1 がフラップする

Resolution

上記の根本的な原因により、HA1 暗号化を無効にすることをお勧めします

ステップ 6 : https://docs.paloaltonetworks.com/pan-os /10-0/pan-os -新機能/アップグレード-pan-os /アップグレード-ザ-firewall -pan-os /upgrade-an-ha-firewall -pair#id062f1ad5-adb3-4d25-b4a4-529bde5dc96a

1. DeviceHigh AvailabilityGeneral を選択し、Control Link (HA1) セクションを編集します。
2. [Encryption Enabled] のチェックを外して無効にします。
3. で変更をコミットしますHA両方のピア。

Additional Information

- 参考文献 :

10.0 アップグレードリファレンスHA

アップグレードHA Firewallペア
https://docs.paloaltonetworks.com/pan-os /10-0/pan-os -新機能/アップグレード-pan-os /アップグレード-ザ-firewall -pan-os /upgrade-an-ha-firewall -pair#id062f1ad5-adb3-4d25-b4a4-529bde5dc96a