Fehlerbehebung bei HA2- oder HA2-Backup-Keep-Alive
10908
Created On 07/09/24 15:50 PM - Last Modified 03/26/25 18:32 PM
Objective
- Überprüfen Sie die physische und Netzwerkkonnektivität.
- Überprüfen Sie die Konfigurationseinstellungen.
- Überprüfen Sie die Firewall-Ressourcen.
Environment
- NGFW
- HA2 Keep-Alive
- HA2-Backup Keep-Alive
Procedure
- Lesen Sie die ha_agent.log, um den Zeitstempel des Problems nachzuverfolgen und die HA-Ereignisse zu überprüfen, die ihm vorausgegangen sind.
less mp-log ha_agent.log
- Überprüfen Sie die physische Konnektivität der HA2-Verbindung (HA2-Backup-Verbindung), indem Sie sicherstellen, dass die physischen Kabel ordnungsgemäß angeschlossen sind. Überprüfen Sie die brdagent.log und system.log:
less mp-log brdagent.log show log system direction equal backward show log system subtype equal port eventid equal link-change direction equal backward
- Stellen Sie sicher, dass die HA2-Konfiguration (HA2-backup) und dass die HA2-Keep-Alive-Schwellenwerte auf beiden Firewalls im HA-Setup ordnungsgemäß konfiguriert sind. Navigieren Sie in der Benutzeroberfläche zu DEVICE > High Availability > HA-Kommunikation > HA2 (HA2-Backup).
- Stellen Sie sicher, dass die richtigen Schnittstellen für die HA2-Verbindung (HA2 Backup) verwendet werden.
- Überprüfen Sie den HA2-Keep-Alive-Schwellenwert: DEVICE > Hochverfügbarkeit > HA-Kommunikation > HA2 > HA2 Keep-Alive->-Schwellenwert (ms).
- Überprüfen Sie die Netzwerkkonnektivität zwischen den HA2-Schnittstellen (HA2-Backup-Schnittstellen). Verwenden Sie ping oder traceroute:
- Für HA2:
ping source <HA2's IP address of the FW> host <HA2's IP address of the peer FW> traceroute source <HA2's IP address of the FW> host <HA2's IP address of the peer FW>
- Für HA2-Sicherung:
ping source <HA2 backup's IP address of the FW> host <HA2 backup's IP address of the peer FW> traceroute source <HA2 backup's IP address of the FW> host <HA2 backup's IP address of the peer FW>
- Für HA2:
- Überprüfen Sie die Firewall-Ressourcen, indem Sie die CPU-, Paketdeskriptor- und Pufferauslastung überprüfen, um sicherzustellen, dass zum Zeitpunkt des Problems keine Ressourcenprobleme auftreten.
show running resource-monitor
- Stellen Sie sicher, dass die Firewall die bevorzugte PAN-OS-Softwareversion ausführt und kein bekanntes SW-Problem auftritt:
- PAN-231507 : Nur bei Firewalls der PA-1400-Serie, wenn eine HSCI-Schnittstelle als HA2-Schnittstelle verwendet wird, werden HA2-Pakete zeitweise auf dem passiven Gerät verworfen, was dazu führen kann, dass die HA2-Verbindung aufgrund fehlender HA2-Keepalive-Nachrichten durchbrennt. Problemumgehung: Verwenden Sie Datenports, die als HA2-Schnittstelle konfiguriert sind.
Additional Information
HA2 Keep-Alive: Wenn HA2-Keep-Alive aktiviert ist, überwacht die Firewall die Verbindungsstabilität zwischen sich selbst und dem HA-Peer auf der HA2-Verbindung.
Es kann ein Schwellenwert (in Millisekunden) festgelegt werden, sodass die HA2-Verbindung als ausgefallen gilt, wenn die Keep-Alive-Pakete den verbundenen Peer bis zu diesem Zeitpunkt nicht erreichen.
HA2: Der HA2-Link synchronisiert Sitzungen, Weiterleitungstabellen, IPSec-Sicherheitszuordnungen und ARP-Tabellen zwischen Firewalls in einem HA-Paar. Der Datenfluss auf der HA2-Verbindung ist immer unidirektional (mit Ausnahme des HA2-Keep-Alives); Sie fließt von der aktiven oder aktiv-primären Firewall zur passiven oder aktiv-sekundären Firewall. Die HA2-Verbindung ist eine Layer-2-Verbindung und verwendet standardmäßig den Ether-Typ 0x7261.
Für HA2 verwendete Ports: Die HA-Datenverbindung kann so konfiguriert werden, dass IP (Protokollnummer 99) oder UDP (Port 29281) als Transport verwendet wird, sodass die HA-Datenverbindung Subnetze umfassen kann.
Siehe HA-Links und Backup-Links.