HAファイアウォールの非機能状態とフェイルオーバーの根本原因を特定する方法

• HAファイアウォールが機能しない状態の根本原因を特定します。
• HAファイアウォールを正常な冗長状態に復元します。

• パロアルトファイアウォール
• サポートされているPAN-OS
• 高可用性 (HA)アクティブ/パッシブまたはアクティブ/アクティブ

1. HAのファイアウォールが機能しない状態になっている理由を、そのピアにアクセスして調べます。
   1. UI: 高可用性ダッシュボードを確認します。ダッシュボード > 高可用性ウィジェットに移動します。

1. 2. Check the output of the CLI command:

      > show high-availability all

      1. Look under the "Peer Information" for the State Reason.

          Peer Information:
             Connection status: up
             Version: 1
             Mode: Active-Passive
             State: non-functional (last 28 minutes)  
             State Reason: State synchronization mismatch   <<<<<
         

      2. HAのファイアウォールが機能しない状態になるさまざまな理由を以下に示します。
         • データプレーンがダウン:データプレーンの終了に失敗しました
         • データプレーンがダウン: brdagent が終了
         • スロット x: スロットダウン: brdagent 終了
         • データプレーンがダウン: パス監視するの障害
         • リンクダウン
         • 下り道
         • データプレーンへのポリシーのプッシュに失敗しました
         • ピア間のモードの不一致
         • 状態同期の不一致
         • A/A モードのデバイス ID 重複
         • A/A モードのパケット転送の不一致
         • A/A モードセッションロード分散の不一致
         • A/A モード QOS 構成同期の不一致
         • A/A モード ルーターの設定同期が一致しません
         • ピアバージョンは互換性がありません。Panoramaでのみ確認されています。
         • URLベンダーの不一致
         • HA3リンクがダウンしています
         • HA2 IPv4/ IPv6がピアと一致
         • HA2 バックアップIPv4/ IPv6がピアと一致
         • HA2 ポートがピアと一致しない
         • HA2 バックアップ ポートがピアと一致しない
         • ローカルとピアの HA1 IP の不一致
         • ピア間のグループIDの不一致
         • システム監視するの障害
         • 暫定保留時間を待機中
         • データプレーンへのポリシーのプッシュを待機中
         • 状態同期の完了を待機中
         • VMライセンスがピアと一致しない
         • VMS のピアとのバージョン不一致
         • GTP の有効化とピアの不一致
         • SCTP ピアとの不一致を有効にする
         • NATオーバーサブスクリプションの不一致
         • ドライブエラーが検出されました
      3. The remediation steps for each of these causes are listed below:
         • データプレーンがダウンしました:データプレーンの終了に失敗しました:この問題の調査を開始するには、サポート ケースを開いてください。
         • データプレーンがダウンしています: brdagent が終了しています: この問題の調査を開始するには、サポート ケースを開いてください。
         • スロット x: スロットダウン: brdagent 終了: この問題の調査を開始するには、サポート ケースを開いてください。
         • データプレーンダウン: パス監視する障害:この問題の調査を開始するには、サポート ケースを開いてください。
         • リンクダウン:
           

           リンク グループの「リンク検出」障害により、ファイアウォールが機能しなくなりました。 ビデオ チュートリアル「 HAでのリンク グループ監視とは何ですか?」を参照してください。
           物理ポートのフラップやリンクダウンの問題をトラブルシューティングする方法

         • 下りパス:
           パスがダウンしたためファイアウォールが機能しなくなりました。HAHA監視設定を確認し、問題をトラブルシューティングしてください。
           

           show high-availability path-monitoring

           Refer to リンク監視とパス監視の動作 and HAリンクとパス モニタリング.
           
           
         • データプレーンへのポリシーのプッシュに失敗しました:この問題の調査を開始するには、サポート ケースを開いてください。
         • ピア間のモードの不一致:
           

           HAの両方のファイアウォールが一致HAモードで構成されていることを確認します。
           1- HAが A/P の場合、両方のファイアウォールのHAモードを [デバイス] >> [高可用性] >> [全般] >> [セットアップ] で [アクティブ/パッシブ] に設定する必要があります。

           2- HAが A/A の場合、両方のファイアウォールのHAモードを [デバイス] >> [高可用性] >> [全般] >> [セットアップ] で [アクティブ/アクティブ] に設定する必要があります。
           構成の変更後は、必ずファイアウォール設定をコミットするください。

         • 状態同期の不一致:
           HAアクティブ/パッシブファイアウォールが機能しない理由「状態同期の不一致」を参照してください。
         • A/A モードのデバイス ID 重複
           各ピアでデバイス ID が異なる値 (0 または 1) に設定されていることを確認します。
           ステップ 1: デバイス > 高可用性 > 全般で、セットアップを編集します。
           ステップ 2: 次のようにデバイス ID を選択します。
           最初のピアを構成するときは、デバイス ID を 0 に設定します。
           2 番目のピアを構成するときは、デバイス ID を 1 に設定します。
           
         • A/A モード パケット転送不一致:
         • A/A モードセッションロード分散の不一致:
           A/A モードのパケット転送とセッションロード分散の不一致の両方を修正するには:
           

           ステップ 1: セッション所有者とセッション設定を構成します。
           デバイス > 高可用性 > HA通信で、パケット転送を編集します。
           1- セッション所有者の選択では、次のいずれかを選択します。
           最初のパケット- 新しいセッションの最初のパケットを受信するファイアウォールがセッション所有者になります (推奨設定)。この設定により、HA3 全体のトラフィックが最小限に抑えられ、ピア間でトラフィックのロードが分散されます。
           プライマリ デバイス- アクティブ-プライマリ状態にあるファイアウォールがセッション所有者です。
           2- セッション設定では、次のいずれかを選択します。
           IP モジュロ?ファイアウォールは、パケットの送信元 IP アドレスと宛先IP アドレスに対して XOR 演算を実行し、その結果に基づいて、どのHAピアがセッションをセットアップするかを選択します。
           プライマリ デバイス- アクティブ-プライマリファイアウォールがすべてのセッションを設定します。
           最初のパケット- 新しいセッションの最初のパケットを受信したファイアウォールがセッションのセットアップを実行します (推奨設定)。
           セッション所有者とセッションセットアップの最初のパケットから開始し、ロード分散に基づいて他のオプションのいずれかに変更できます。
           IP ハッシュ-ファイアウォールは、送信元IPアドレスまたは送信元と宛先IP アドレスの組み合わせのハッシュを使用して、セッションセットアップの責任を分散します。
           [Ok]をクリックします。
           https://docs.paloaltonetworks.com/pan-os/11-1/pan-os-admin/high-availability/set-up-activeactive-ha/configure-activeactive-ha

         • A/A モード QOS 構成同期の不一致:
           

           両方のHAピアで異なるQoS同期設定を行うと、1 つのデバイスで機能しなくなります (A/A モードのQoS構成同期の不一致が原因)。以下の手順に従うことをお勧めします。

           ステップ 1. アクティブセカンダリデバイスでサスペンドします。
           デバイス > 高可用性 > 操作コマンドに移動し、「ローカルデバイスの一時停止」をクリックします。
           ステップ 2. 両方のHAピアでQoS同期設定を有効にします。
           デバイス > 高可用性 > アクティブ/アクティブ構成 > パケット転送 > 「QoS同期」をクリックしてコミットする
           ステップ3. アクティブプライマリから手動で「ピアへの同期」を実行する
           ダッシュボードに移動 > 高可用性ウィジェットの下にある「ピアに同期」をクリック
           ステップ 4. アクティブ セカンダリデバイスで機能させます。
           デバイス > 高可用性 > 操作コマンドに移動し、「ローカルデバイスを機能させる」をクリックします。
           ステップ 5: Active-Primary ボックスで変更をコミットすると、エラーは解消されます。

         • A/A モード ルーター構成の同期不一致: HAアクティブ/アクティブの両方のファイアウォール上のルーターのモードが同じであること、また、たとえば、一方に高度なルーティングモードを設定し、もう一方に設定していないことがないようにしてください。
         • URLベンダーの不一致:
           高可用性ペアの不一致URLベンダーを参照
         • HA3 リンクがダウンしています:
           

           注: HA3 リンクに障害が発生すると、 HA A/A 内のファイアウォールの 1 つが機能しない状態に移行します。この状態を回避するには、2 つ以上の物理インターフェイスを持つリンク アグリゲーション グループ (LAG)インターフェイスをHA3 リンクとしてコンフィグ。ファイアウォールはHA3 バックアップ リンクをサポートしていません。複数のインターフェイスを持つ集約インターフェイスは、 HAピア間のパケット転送をサポートするための追加の容量とリンク冗長性を提供します。
           HA3リンク障害のトラブルシューティング方法の詳細については、 「高可用性 - HAリンクステータス」を参照してください。

           追加情報: HA3 リンクは、 MAC-in- MACカプセル化を使用するレイヤー2リンクです。レイヤー3 のアドレス指定や暗号化はサポートされていません。PA-7000 シリーズ ファイアウォールは、NPC 間でセッションを 1 対 1 で同期します。PA-800 シリーズ、PA-3200 シリーズ、および PA-5200 シリーズ ファイアウォールでは、集約インターフェイスを HA3 リンクとしてコンフィグできます。集約インターフェイスは、HA3 リンクに冗長性を提供することもできます。HA3 リンクのバックアップ リンクをコンフィグことはできません。PA-3200 シリーズ、PA-5200 シリーズ、および PA-7000 シリーズ ファイアウォールでは、専用のHSCIポートが HA3 リンクをサポートします。ファイアウォールは、 HA3 リンクを通過するパケットに独自のパケット ヘッダーを追加するため、このリンク上の MTU は、転送される最大パケット長よりも大きくする必要があります。"

         • HA2 IPv4/ IPv6がピアと一致しません: HAの両方のファイアウォールの HA2設定の設定が一致し、 IPアドレスのバージョンが同じで、割り当てられた IP アドレスのみが異なることを確認します。HA2 設定を参照してください。
         • HA2 バックアップIPv4/ IPv6がピアと一致しません: HAの両方のファイアウォールの HA2 バックアップ設定の設定が一致し、 IPアドレスのバージョンが同じで、割り当てられた IP アドレスのみが異なることを確認します。HA2 バックアップ設定を参照してください。
         • HA2 ポートがピアと一致しません: HAの両方のファイアウォールの HA2設定が一致ており、割り当てられた IP アドレスのみが異なることを確認します。HA2 設定を参照してください。
         • HA2 バックアップ ポートがピアと一致しません。HAの両方のファイアウォールの HA2 バックアップ設定の設定が一致しており、割り当てられた IP アドレスのみが異なることを確認します。HA2 バックアップ設定を参照してください。
         • ローカルおよびピア HA1 IP の不一致:
           HA1 IPアドレスが適切に設定されており、 HAの両方のファイアウォールで同じではないことを確認しますHAのファイアウォールの設定が Panorama からプッシュされている場合は、Panorama からプッシュされたテンプレートによって、 HAの両方のファイアウォールで HA1 のIPアドレスが同じにコンフィグないようにします。必要に応じてローカルHA設定を選択するか、テンプレート変数を使用します。
           参照：
           高可用性アクティブ/パッシブのテンプレート変数をコンフィグ方法
           ファイアウォールHAペアを Panorama Management に移行し、既存の構成を再利用するアクティブ/パッシブHAを構成する
           アクティブ/アクティブHAを構成する
         • ピア間のグループ ID が一致しません:
           HAの両方のファイアウォールのグループ ID が同じであることを確認します。
           HA環境でグループIDを変更する方法については、以下を参照してください。HA環境でグループ ID を変更する方法.
         • システム監視する障害:非常にまれな状態。
         • 暫定的な保留時間を待機中：遷移状態。
         • データプレーンへのポリシーのプッシュを待機しています:遷移状態。
         • 状態同期の完了を待機中:遷移状態。
         • VMライセンスがピアと一致しません:
           両方のファイアウォールのライセンスが同一であっても、ピアとの VM ライセンスの不一致によりHA が機能しなくなる場合を参照してください。
         • VMS のピアとのバージョン不一致:
           

           両方のファイアウォールのライセンスが同一であっても、ピアとの VM ライセンスの不一致によりHA が機能しなくなる場合を参照してください。

           このソリューションでは、ルート アクセスのためにアップグレードまたは TAC からの介入が必要になる場合もあります。PAN -244673のためです。

         • GTP の有効化がピアと一致しません:
           HAの両方のファイアウォールで GTP が有効または無効になっていることを確認します。
           GTP ステートフル インスペクションを有効または無効にするには、コミットすると再起動が必要です。
         • SCTP の有効化とピアの不一致:
           HAの両方のファイアウォールで SCTP が有効または無効になっていることを確認します。
           SCTP セキュリティを有効または無効にするには、コミットするが必要です。
         • NATオーバーサブスクリプションの不一致:
           アップグレード後にエラー メッセージ「Natオーバーサブスクリプションの不一致」が発生し、 HA が機能しなくなる現象を参照してください。
         • ドライブエラーが検出されました:
           ログ ドライブを取り付け直してください。ドライブがまだダウンしている場合は、交換する必要がある可能性があります。詳細については、 サポート ケースを開き、内部 KB strata Cloud Manager「ログ ドライブ障害」アラートを参照してください。

追加のヘルプが必要な場合、または修復のための適切な手順が見つからない場合は、サポート ケースを開いてください。

機能しない状態の一部でサポート ケースを開く必要があるのは、問題がソフトウェアの問題またはハードウェアの問題に関連している可能性があるためです。これらのタイプのケースではトラブルシューティングが必要であり、ほとんどの場合、エンジニアリング チームが問題をさらにデバッグする必要があります。
サポート チームが確認する必要があるログと表示コマンドの一部: masterd.log (md.log)、mprelay-def-hb-fail.log、masterd_detail.log/DP、controlplane-down.log、mpreplay.log、brdagent.log、ha_agent.log、path_monitor_hb_fail_s .log、メッセージなど...

show system packet-path-test status
show system files

したがって、問題が発生したらすぐにHAの両方のファイアウォールのテクニカルサポート ファイルを収集し、サポート ケースに添付することをお勧めします。