Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
HA2 または HA2 バックアップ キープアライブ ダウンのトラブルシューティング方法 - Knowledge Base - Palo Alto Networks

HA2 または HA2 バックアップ キープアライブ ダウンのトラブルシューティング方法

10906
Created On 07/09/24 15:50 PM - Last Modified 03/26/25 18:32 PM


Objective


  • 物理接続とネットワーク接続を確認します。
  • 構成設定を確認します。
  • ファイアウォールのリソースを確認します。

Environment


  • NGFW
  • HA2 キープアライブ
  • HA2 バックアップ キープアライブ

Procedure


  1. ha_agent.logを読んで問題のタイムスタンプを追跡し、その前の HA イベントを確認します。 
    less mp-log ha_agent.log
  2. 物理ケーブルが正しく接続されていることを確認して、HA2 リンク (HA2 バックアップ リンク) の物理接続を確認します。 brdagent.logを確認し、system.logします。 
    less mp-log brdagent.log
show log system direction equal backward
show log system subtype equal port eventid equal link-change direction equal backward
  3. HA2(HA2-backup)設定と、HA2 キープアライブしきい値が HA セットアップの両方のファイアウォールで適切に設定されていることを確認します。 UI で [DEVICE > High Availability > HA communication > HA2 (HA2 Backup)] に移動します。
    1. HA2 (HA2 バックアップ) 接続に 正しいインターフェイスが使用されていることを確認します。
    2. HA2 キープアライブしきい値を確認します: DEVICE > 高可用性 > HA 通信 > HA2 > HA2 キープアライブ アベイラビリティ > しきい値 (ミリ秒)。
  4. HA2 インターフェイス (HA2 バックアップ インターフェイス) 間のネットワーク接続を確認します。 ping または traceroute を使用します。
    1. HA2 の場合: 
      ping source <HA2's IP address of the FW> host <HA2's IP address of the peer FW>
traceroute source <HA2's IP address of the FW> host <HA2's IP address of the peer FW>
    2. HA2バックアップの場合: 
      ping source <HA2 backup's IP address of the FW> host <HA2 backup's IP address of the peer FW>
traceroute source <HA2 backup's IP address of the FW> host <HA2 backup's IP address of the peer FW>
  5. CPU、パケット記述子、およびバッファの使用率を確認してファイアウォールのリソースを確認し、問題発生時にリソースの問題がないことを確認します。 
    show running resource-monitor
  6. ファイアウォールが優先 PAN-OS ソフトウェアバージョンを実行しており、既知の SW 問題に遭遇していないことを確認します。
    1. PAN-231507 : PA-1400 シリーズ ファイアウォールでのみ、HSCI インターフェイスを HA2 インターフェイスとして使用すると、パッシブ デバイスで HA2 パケットが断続的にドロップされ、HA2 キープアライブ メッセージが欠落しているため、HA2 接続がフラップする可能性があります。 回避策: HA2 インターフェイスとして設定されたデータ ポートを使用します。

Additional Information


HA2 キープアライブ: HA2 キープアライブが有効になっている場合、ファイアウォールは自身と HA2 接続上の HA ピアとの間の接続の安定性を監視します
しきい値をミリ秒単位で設定して、その時間までにキープアライブ パケットが接続されたピアに到達しない場合、HA2 接続がダウンしていると見なすことができます。
HA2: HA2 リンクは、HA ペアのファイアウォール間でセッション、転送テーブル、IPSec セキュリティ アソシエーション、および ARP テーブルを同期します。 HA2 リンク上のデータ フローは常に単方向です (HA2 キープアライブを除く)。これは、アクティブ ファイアウォールまたはアクティブ プライマリ ファイアウォールからパッシブ ファイアウォールまたはアクティブ セカンダリ ファイアウォールに流れます。 HA2 リンクはレイヤー 2 リンクであり、デフォルトでは Ether タイプ 0x7261 を使用し
ます。</HA2 に使用されるポート:HA データ リンクは、トランスポートとして IP(プロトコル番号 99)または UDP(ポート 29281)を使用するように設定でき、HA データ リンクをサブネット間で実行できます。</H
A リンクとバックアップリンクを参照してください。




 
Other users also viewed:
How to download GlobalProtect from the Customer Support Portal
Download and Install the GlobalProtect App for Windows
Resource List: GlobalProtect Configuring and Troubleshooting
PAN-OS Software Updates
Where to find the current preferred software versions? (PAN-OS, GlobalProtect, User-ID Agent, Plugins)
Results 1-5 of 239,439
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDXECA4&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language