由于虚拟机许可证与对等体不匹配,即使两个防火墙具有相同的许可证,HA 也会变为无法正常工作
3056
Created On 08/09/22 02:47 AM - Last Modified 02/02/24 06:03 AM
Symptom
PAN-OS 升级后,HA 变为“非功能性”(Vm 许可证与对等方不匹配)。
检查时,两个 VM 系列防火墙具有相同的许可证,显示在 CLI 和 GUI 上安装。
PA-VM-FW1(active)> show system info hostname: PA-VM-FW1 family: vm model: PA-VM serial: 007251000199563 vm-uuid: 42138903-7CFC-E468-7584-138F74B8AB0C vm-cpuid: ESX:F0060300FFFB8B1F vm-license: VM-300 <===== vm-mode: VMware ESXi cloud-mode: non-cloud sw-version: 9.1.12
PA-VM-FW2(non-functional)> show system info hostname: PA-VM-FW2 family: vm model: PA-VM serial: 007251000199564 vm-uuid: 42138903-7CFC-E468-7584-138F74B8AB0D vm-cpuid: ESX:F0060300FFFB8B1F vm-license: VM-300 <===== vm-mode: VMware ESXi cloud-mode: non-cloud sw-version: 9.1.12
如果在 CLI 上运行“请求许可证信息”并转到“设备>许可证”>转到“WebUI”,则会看到两个 VM 系列防火墙列出的许可证完全相同。
Environment
VM 系列防火墙
Cause
在 PAN-OS 升级期间,sdb 文件中的 VM 许可证类型已更改为其他 VM 容量。
PA-VM-FW1(active)> show system state filter-pretty cfg.vm-license-type cfg.vm-license-type: vm50 <=====
PA-VM-FW02(non-functional)> show system state filter-pretty cfg.vm-license-type cfg.vm-license-type: vm300
Resolution
登录到根目录并更新 sdb:
[root@PA-VM-FW01 ~]# sdb cfg.vm-license-type cfg.vm-license-type: vm50 [root@PA-VM-FW01 ~]# sdb "cfg.vm-license-type=vm300" cfg.vm-license-type: vm300