Cómo solucionar problemas de HA2 o HA2-backup keep-alive down
10890
Created On 07/09/24 15:50 PM - Last Modified 03/26/25 18:32 PM
Objective
- Verifique la conectividad física y de red.
- Verifique los ajustes de configuración.
- Compruebe los recursos del firewall.
Environment
- NGFW
- Mantenimiento de HA2
- Mantenimiento de conexión a bordo de copia de seguridad HA2
Procedure
- Lea el ha_agent.log para realizar un seguimiento de la marca de tiempo de la emisión y comprobar los eventos de alta disponibilidad que la precedieron.
less mp-log ha_agent.log
- Compruebe la conectividad física del enlace HA2 (enlace de respaldo HA2) asegurándose de que los cables físicos estén conectados correctamente. Revisa los brdagent.log y system.log:
less mp-log brdagent.log show log system direction equal backward show log system subtype equal port eventid equal link-change direction equal backward
- Verifique la configuración de HA2 (copia de seguridad de HA2) y que los umbrales de mantenimiento de HA2 estén configurados correctamente en ambos firewalls en la configuración de alta disponibilidad. Vaya a DEVICE > comunicación de alta disponibilidad > alta disponibilidad > HA2 (copia de seguridad de HA2) en la interfaz de usuario.
- Compruebe que se utilizan las interfaces correctas para la conexión HA2 (HA2 Backup).
- Verifique el umbral de mantenimiento de HA2: DISPOSITIVO > alta disponibilidad > > de comunicación de alta disponibilidad HA2 > HA2 Umbral de > de mantenimiento de conexión (ms).
- Compruebe la conectividad de red entre las interfaces HA2 (interfaces de copia de seguridad HA2). Utilice ping o traceroute:
- Para HA2:
ping source <HA2's IP address of the FW> host <HA2's IP address of the peer FW> traceroute source <HA2's IP address of the FW> host <HA2's IP address of the peer FW>
- Para la copia de seguridad de HA2:
ping source <HA2 backup's IP address of the FW> host <HA2 backup's IP address of the peer FW> traceroute source <HA2 backup's IP address of the FW> host <HA2 backup's IP address of the peer FW>
- Para HA2:
- Compruebe los recursos del firewall verificando la CPU, el descriptor de paquetes y la utilización del búfer para asegurarse de que no haya problemas de recursos en el momento del problema.
show running resource-monitor
- Asegúrese de que el firewall esté ejecutando la versión de software PAN-OS preferida y no tenga ningún problema de software conocido:
- PAN-231507 : Solo en los firewalls de la serie PA-1400, cuando se utiliza una interfaz HSCI como interfaz HA2, los paquetes HA2 se descartan intermitentemente en el dispositivo pasivo, lo que puede hacer que la conexión HA2 se inestable debido a la falta de mensajes de mantenimiento HA2. Solución alternativa: utilice los puertos de datos configurados como interfaz HA2.
Additional Information
Mantenimiento de HA2: Cuando se habilita el mantenimiento de conexión HA2, el firewall supervisa la estabilidad de la conexión entre él y el par de alta disponibilidad en la conexión HA2.
Se puede establecer un umbral (en milisegundos) de modo que si los paquetes keep-alive no alcanzan el par conectado en ese momento, la conexión HA2 se considera inactiva.
HA2: El enlace HA2 sincroniza las sesiones, las tablas de reenvío, las asociaciones de seguridad IPSec y las tablas ARP entre firewalls en un par de alta disponibilidad. El flujo de datos en el enlace HA2 es siempre unidireccional (excepto para el mantenimiento HA2); Fluye desde el cortafuegos activo o activo-primario hasta el cortafuegos pasivo o activo-secundario. El enlace HA2 es un enlace de capa 2 y utiliza el tipo 0x7261 ether de forma predeterminada.
Puertos utilizados para HA2: el enlace de datos de alta disponibilidad se puede configurar para utilizar IP (número de protocolo 99) o UDP (puerto 29281) como transporte, lo que permite que el enlace de datos de alta disponibilidad abarque subredes.
Consulte Enlaces de alta disponibilidad y Enlaces de copia de seguridad.