如何对 HA2 或 HA2 备份保持活动状态进行故障排除
10892
Created On 07/09/24 15:50 PM - Last Modified 03/26/25 18:32 PM
Objective
- 验证物理和网络连接。
- 验证配置设置。
- 检查防火墙资源。
Environment
- NGFW
- HA2 保活
- HA2-备份保持活动状态
Procedure
- 阅读ha_agent.log以跟踪问题的时间戳,并检查问题之前的 HA 事件。
less mp-log ha_agent.log
- 通过确保物理电缆正确连接,检查 HA2 链路(HA2 备份链路)的物理连通性。 检查brdagent.log并system.log:
less mp-log brdagent.log show log system direction equal backward show log system subtype equal port eventid equal link-change direction equal backward
- 验证 HA2 (HA2-backup) 配置,以及 HA 设置中的两个防火墙上是否正确配置了 HA2 保持连接阈值。 在 UI 中导航到 DEVICE > 高可用性> HA2 通信(HA2 备份)>。
- 验证 HA2(HA2 备份)连接是否使用了 正确的接口。
- 验证 HA2 保持活动阈值:DEVICE > HA2 > HA2 保持活动>阈值(毫秒)>高可用性> HA 通信。
- 检查HA2接口(HA2备份接口)之间的网络连通性。 使用 ping 或 traceroute:
- 对于 HA2:
ping source <HA2's IP address of the FW> host <HA2's IP address of the peer FW> traceroute source <HA2's IP address of the FW> host <HA2's IP address of the peer FW>
- 对于 HA2 备份:
ping source <HA2 backup's IP address of the FW> host <HA2 backup's IP address of the peer FW> traceroute source <HA2 backup's IP address of the FW> host <HA2 backup's IP address of the peer FW>
- 对于 HA2:
- 通过验证 CPU、数据包描述符和缓冲区利用率来检查防火墙资源,以确保在问题发生时没有资源问题。
show running resource-monitor
- 确保防火墙正在运行首选的 PAN-OS 软件版本,并且未遇到任何已知的软件问题:
- PAN-231507:仅在 PA-1400 系列 防火墙上, 当 HSCI 接口用作 HA2 接口时,HA2 数据包会在无源设备上间歇性丢弃,这可能导致 HA2 连接因丢失 HA2 keepalive 消息而抖动。 解决办法:使用配置为 HA2 接口的数据端口。
Additional Information
HA2 保活: 启用 HA2 保持连接状态后,防火墙会监控自身与 HA2 连接上的 HA 对等体之间的连接稳定性。
可以设置一个阈值(以毫秒为单位),以便如果保持活动数据包在该时间之前未到达连接的对等体,则认为 HA2 连接已关闭。
HA2: HA2链路用于同步HA对中防火墙之间的会话、转发表、IPSec安全关联和ARP表。 HA2 链路上的数据流始终是单向的(HA2 保持活动状态除外);它从“主动”或“主动-主防火墙”流向被动或“主动-辅助”防火墙。 HA2 链路是 Layer 2 链路,默认使用 ether 类型的 0x7261。
用于 HA2 的端口 — 可以将 HA 数据链路配置为使用 IP(协议编号 99)或 UDP(端口 29281)作为传输,从而允许 HA 数据链路跨越子网。
请参阅 HA 链路和备份链路。