Comment dépanner HA2 ou HA2-backup keep-alive down
10910
Created On 07/09/24 15:50 PM - Last Modified 03/26/25 18:32 PM
Objective
- Vérifiez la connectivité physique et réseau.
- Vérifiez les paramètres de configuration.
- Vérifiez les ressources du pare-feu.
Environment
- NGFW
- HA2 keep-alive
- HA2-sauvegarde keep-alive
Procedure
- Lisez le ha_agent.log pour suivre l’horodatage du problème et vérifier les événements HA qui l’ont précédé.
less mp-log ha_agent.log
- Vérifiez la connectivité physique de la liaison HA2 (liaison de secours HA2) en vous assurant que les câbles physiques sont correctement connectés. Vérifiez les brdagent.log et system.log :
less mp-log brdagent.log show log system direction equal backward show log system subtype equal port eventid equal link-change direction equal backward
- Vérifiez la configuration HA2 (HA2-backup) et que les seuils de persistance HA2 sont correctement configurés sur les deux pare-feu dans la configuration HA. Accédez à DEVICE > High Availability > > de communication HA2 (sauvegarde HA2) dans l’interface utilisateur.
- Vérifiez que les interfaces appropriées sont utilisées pour la connexion HA2 (HA2 Backup).
- Vérifiez le seuil de maintien de la connexion HA2 : DEVICE > la communication haute disponibilité > HA > le seuil de > de > de connexion HA2 (ms).
- Vérifiez la connectivité réseau entre les interfaces HA2 (interfaces de sauvegarde HA2). Utilisez ping ou traceroute :
- Pour HA2 :
ping source <HA2's IP address of the FW> host <HA2's IP address of the peer FW> traceroute source <HA2's IP address of the FW> host <HA2's IP address of the peer FW>
- Pour la sauvegarde HA2 :
ping source <HA2 backup's IP address of the FW> host <HA2 backup's IP address of the peer FW> traceroute source <HA2 backup's IP address of the FW> host <HA2 backup's IP address of the peer FW>
- Pour HA2 :
- Vérifiez les ressources du pare-feu en vérifiant l’utilisation du processeur, du descripteur de paquets et de la mémoire tampon pour vous assurer qu’il n’y a pas de problèmes de ressources au moment du problème.
show running resource-monitor
- Assurez-vous que le pare-feu exécute la version logicielle PAN-OS préférée et qu’il ne rencontre aucun problème logiciel connu :
- PAN-231507 : Sur les pare-feu de la gamme PA-1400 uniquement, lorsqu’une interface HSCI est utilisée comme interface HA2, les paquets HA2 sont déposés par intermittence sur le périphérique passif, ce qui peut provoquer le battement de la connexion HA2 en raison de messages de maintien persistants HA2 manquants. Solution : utilisez les ports de données configurés en tant qu’interface HA2.
Additional Information
HA2 keep-alive : Lorsque HA2 keep-alive est activé, le pare-feu surveille la stabilité de la connexion entre lui-même et l’homologue HA sur la connexion HA2.
Un seuil peut être défini (en millisecondes) de sorte que si les paquets persistants n’atteignent pas l’homologue connecté à ce moment-là, la connexion HA2 est considérée comme arrêtée.
HA2 : La liaison HA2 synchronise les sessions, les tables de transfert, les associations de sécurité IPSec et les tables ARP entre les pare-feu d’une paire HA. Le flux de données sur la liaison HA2 est toujours unidirectionnel (à l’exception du keep-alive HA2) ; Il passe du pare-feu actif ou actif-principal au pare-feu passif ou actif-secondaire. La liaison HA2 est une liaison de couche 2 et utilise le type ether 0x7261 par défaut.
Ports utilisés pour HA2 : la liaison de données HA peut être configurée pour utiliser IP (numéro de protocole 99) ou UDP (port 29281) comme transport, ce qui permet à la liaison de données HA de s’étendre sur plusieurs sous-réseaux.
Reportez-vous à la section Liens haute disponibilité et liens de sauvegarde.