HA 방화벽 비작동 상태 및 장애 조치의 근본 원인을 식별하는 방법
Objective
- HA 방화벽 작동하지 않는 근본 원인을 파악합니다.
- HA 방화벽을 정상적이고 중복된 상태 로 복원합니다.
Environment
- 팔로 알토 방화벽
- 지원되는 PAN-OS
- 고가용성(HA) active/passive 또는 active/active
Procedure
- HA 에서 방화벽 이 상태 하지 않는 이유를 찾으려면 피어에 액세스하세요.
- UI 확인: 고가용성 대시보드. DASHBOARD > 고가용성 위젯으로 이동합니다.
-
- Check the output of the CLI command:
> show high-availability all- Look under the "Peer Information" for the State Reason.
Peer Information: Connection status: up Version: 1 Mode: Active-Passive State: non-functional (last 28 minutes) State Reason: State synchronization mismatch <<<<< - HA 에서 방화벽 이 작동하지 않는 상태로 전환되는 다양한 이유는 다음과 같습니다.
- 데이터플레인 다운: 데이터플레인 종료 실패
- Dataplane 다운: brdagent 종료
- 슬롯 x: 슬롯 다운: brdagent 종료
- 데이터플레인 다운: 경로 모니터 오류
- 링크 다운
- 아래로 경로
- 데이터플레인 에 대한 정책 푸시가 실패했습니다.
- 피어 간 모드 불일치
- 상태 동기화 불일치
- A/A 모드 장치 ID 중복
- A/A 모드 패킷 전달 불일치
- A/A 모드 세션 로드 공유 불일치
- A/A 모드 QOS 구성 동기화 불일치
- A/A 모드 라우터 구성 동기화 불일치
- 피어 버전은 호환되지 않으며 Panorama에서만 볼 수 있습니다.
- URL 공급업체 불일치
- HA3 링크가 다운되었습니다
- HA2 IPv4/ IPv6 이 피어와 일치하지 않습니다.
- HA2-백업 IPv4/ IPv6 이 피어와 일치하지 않습니다.
- HA2 포트가 피어와 일치하지 않습니다.
- HA2-백업 포트가 피어와 일치하지 않습니다.
- 로컬 및 피어 HA1 IP 불일치
- 피어 간 그룹 ID 불일치
- 시스템 모니터 오류
- 임시 보류 시간을 기다리며
- 데이터플레인 에 대한 정책 푸시를 기다리는 중
- 상태 동기화 완료를 기다리는 중
- VM 라이센스가 피어와 일치하지 않습니다.
- VMS의 피어와 버전이 일치하지 않습니다.
- GTP는 피어와의 불일치를 가능하게 합니다.
- SCTP는 피어와의 불일치를 가능하게 합니다.
- NAT 오버서브스크립션(oversubscription ) 불일치
- 드라이브 오류가 감지되었습니다
- The remediation steps for each of these causes are listed below:
- 데이터플레인 다운: 데이터플레인 종료 실패:이 문제에 대한 조사를 시작하려면 지원 사례를 개설하세요.
- 데이터플레인 다운: brdagent 종료: 이 문제에 대한 조사를 시작하려면 지원 사례를 개설하세요.
- 슬롯 x: 슬롯 다운: brdagent 종료: 이 문제에 대한 조사를 시작하려면 지원 사례를 개설하세요.
- 데이터플레인 다운: 경로 모니터 오류:이 문제에 대한 조사를 시작하려면 지원 사례를 개설하세요.
- 링크 다운 :
링크 그룹 '링크 감지' 실패로 인해 방화벽이 작동하지 않게 되었습니다. 비디오 튜토리얼: HA 에서 링크 그룹 모니터링이란 무엇인가? 를 참조하세요.
물리적 포트 플랩 또는 링크 다운 문제를 해결하는 방법 - 아래로 경로 :
경로가 다운되어 방화벽이 작동하지 않게 되었습니다. HA 경로 모니터링 구성 확인하고 문제를 해결하세요.
Refer to 링크 모니터링 및 경로 모니터링 동작 and HA 링크 및 경로 모니터링.show high-availability path-monitoring - 데이터플레인 에 대한 정책 푸시가 실패했습니다:이 문제에 대한 조사를 시작하려면 지원 사례를 개설하세요.
- 피어 간 모드 불일치 :
두 HA 방화벽 모두 매칭 HA 모드로 구성되어 있는지 확인하세요.
1. HA 가 A/P인 경우 두 방화벽 모두 '장치>>고가용성>>일반>>설정'에서 HA 모드를 "활성/수동"으로 설정해야 합니다.2. HA 가 A/A인 경우 두 방화벽 모두 장치 >> 고가용성 >> 일반 >> 설정에서 HA 모드를 "활성 활성"으로 설정해야 합니다.
구성 변경 후 방화벽 구성 반드시 commit 하세요. - 상태 동기화 불일치 :
HA 활성/수동 방화벽 비작동 이유 "상태 동기화 불일치"를 참조하세요. - A/A 모드 장치 ID 중복
각 피어에서 장치 ID를 다른 값(0 또는 1)으로 설정했는지 확인하세요.
1단계: 장치>고가용성>일반에서 설정을 편집합니다.
2단계: 다음과 같이 장치 ID를 선택하세요.
첫 번째 피어를 구성할 때 장치 ID를 0으로 설정합니다.
두 번째 피어를 구성할 때 장치 ID를 1로 설정합니다. - A/A 모드 패킷 전달 불일치 :
- A/A 모드 세션 로드 공유 불일치 :
A/A 모드 패킷 전달 및 세션 로드 공유 불일치를 해결하려면 다음을 수행하십시오.1단계: 세션 소유자 및 세션 설정 구성
장치>고가용성> HA 통신 에서 패킷 전달을 편집합니다.
1- 세션 소유자 선택을 위해 다음 중 하나를 선택하세요:
첫 번째 패킷 ?새로운 세션 의 첫 번째 패킷을 수신하는 방화벽 은 세션 소유자입니다(권장 설정). 이 설정은 HA3의 트래픽을 최소화하고 피어 간의 트래픽을 로드 공유합니다.
기본 장치 ? active-primary 상태 의 방화벽 은 세션 소유자입니다.
2- 세션 설정을 위해 다음 중 하나를 선택하세요.
IP 모듈로 ? 방화벽 패킷의 소스 및 데스티네이션 IP 주소에 대해 XOR 연산을 수행하고 결과에 따라 방화벽 세션 셋업하다 HA Peer 를 선택합니다.
기본 장치 ? active-primary 방화벽 모든 세션을 설정합니다.
첫 번째 패킷 ?새로운 세션 의 첫 번째 패킷을 수신하는 방화벽 이 세션 셋업 수행합니다(권장 설정).
세션 소유자 및 세션 설정을 위한 첫 번째 패킷으로 시작한 다음, 로드 분산에 따라 다른 옵션 중 하나로 변경할 수 있습니다.
IP 해시 ? 방화벽 소스 IP 주소 또는 소스 및 데스티네이션 IP 주소의 조합의 해시를 사용하여 세션 셋업 책임을 분산시킵니다.
OK 클릭하세요.
https://docs.paloaltonetworks.com/pan-os/11-1/pan-os-admin/high-availability/set-up-activeactive-ha/configure-activeactive-ha - A/A 모드 QOS 구성 동기화 불일치 :
두 HA Peer 에서 QoS 동기화 설정이 다르면 한 디바이스 에서 작동하지 않습니다(A/A 모드 QoS 구성 동기화 불일치로 인해). 아래 단계를 따르는 것이 좋습니다.
1단계. 활성-보조 디바이스 에서 일시 중단합니다.
장치로 이동 > 고가용성 > 운영 명령 > "로컬 디바이스 일시 중단"을 클릭합니다.
2단계. 두 HA Peer 모두에서 QoS 동기화 설정을 활성화합니다.
장치 > 고가용성 > 활성/활성 구성 > 패킷 전달 > "QoS 동기화"를 클릭한 다음 commit .
3단계. Active-primary에서 "피어와 동기화"를 수동으로 수행합니다.
대시보드 로 이동 > 고가용성 위젯 아래에서 "피어와 동기화"를 클릭합니다.
4단계. 활성-보조 디바이스 에서 작동하도록 만듭니다.
장치 > 고가용성 > 운영 명령으로 이동 > "로컬 디바이스 작동"을 클릭합니다.
5단계: Active-Primary 상자에서 변경 사항을 커밋하면 오류가 사라집니다. - A/A 모드 라우터 구성 동기화 불일치: HA Active/Active의 두 방화벽에 있는 라우터가 동일한 모드를 가지고 있는지 확인하고, 예를 들어 한 쪽에는 고급 라우팅 모드를 설정하고 다른 쪽에는 설정하지 않은 경우가 있는지 확인하세요.
- URL 공급업체 불일치 :
고가용성 쌍의 URL 공급업체가 일치하지 않음 을 참조하세요. - HA3 링크가 끊어졌습니다:
참고: HA3 링크가 실패하면 HA A/A의 방화벽 중 하나가 비작동 상태 로 전환됩니다. 이 조건을 방지하려면 두 개 이상의 물리적 인터페이스가 있는 LAG(Link Aggregation Group) 인터페이스 HA3 링크로 구성 . 방화벽 HA3 백업 링크를 지원하지 않습니다. 여러 인터페이스가 있는 집계 인터페이스 HA 피어 간 패킷 전달을 지원하기 위해 추가 용량과 링크 중복성을 제공합니다.
HA3 링크 장애 문제 해결 방법에 대한 자세한 내용은 고가용성 - HA 링크 상태 참조하세요.추가 정보: HA3 링크는 MAC-in- MAC 캡슐화를 사용하는 레이어 2 링크입니다. 레이어 3 주소 지정 또는 암호화를 지원하지 않습니다. PA-7000 시리즈 방화벽은 NPC 간에 세션을 일대일로 동기화합니다. PA-800 시리즈, PA-3200 시리즈 및 PA-5200 시리즈 방화벽에서 집계 인터페이스를 HA3 링크로 구성 할 수 있습니다. 집계 인터페이스는 HA3 링크에 대한 중복성을 제공할 수도 있습니다. HA3 링크에 대한 백업 링크를 구성 할 수 없습니다. PA-3200 시리즈, PA-5200 시리즈 및 PA-7000 시리즈 방화벽에서 전용 HSCI 포트는 HA3 링크를 지원합니다. 방화벽 HA3 링크를 통과하는 패킷에 독점 패킷 헤더를 추가하므로 이 링크의 MTU는 전달되는 최대 패킷 길이보다 커야 합니다.
- HA2 IPv4/ IPv6 이 피어와 일치하지 않음: HA 의 두 방화벽 모두에서 HA2 구성 매칭 설정과 동일한 IP 주소 버전을 갖고 할당된 IP 주소만 다른지 확인하십시오. HA2 구성 을 참조하십시오.
- HA2-backup IPv4/ IPv6 이 피어와 일치하지 않음: HA 의 두 방화벽 모두에서 HA2-backup 구성 매칭 설정과 동일한 IP 주소 버전을 갖고 할당된 IP 주소만 다른지 확인하십시오. HA2-backup 구성 참조하십시오.
- HA2 포트가 피어와 일치하지 않음: HA 의 두 방화벽 모두에서 HA2 구성 매칭 설정을 가지고 있고 할당된 IP 주소만 다른지 확인하십시오. HA2 구성 을 참조하십시오.
- HA2-backup 포트가 피어와 일치하지 않음: HA 의 두 방화벽 모두에서 HA2-backup 구성 매칭 설정을 가지고 있고 할당된 IP 주소만 다른지 확인하십시오. HA2-backup 구성 참조하십시오.
- 로컬 및 피어 HA1 IP 불일치:
HA1 IP 주소 제대로 구성되었고 HA 의 두 방화벽에서 동일하지 않은지 확인하십시오. HA 의 방화벽 Panorama에서 푸시된 구성 가지고 있는 경우 Panorama에서 푸시된 템플릿 이 HA 의 두 방화벽에서 동일한 IP 주소 로 HA1을 구성 하지 않도록 하십시오. 필요한 경우 로컬 HA 설정 구성 선택하거나 템플릿 변수를 사용할 수 있습니다.
참조:
고가용성 액티브/패시브를 위한 템플릿 변수를 구성 방법
방화벽 HA 쌍을 Panorama Management로 마이그레이션하고 기존 구성을 재사용합니다.액티브/패시브 HA 구성
Active/Active HA 구성 - 피어 간 그룹 ID 불일치 :
HA 에서 두 방화벽의 그룹 ID가 동일한지 확인하세요.
HA 환경에서 그룹 ID를 변경하는 방법에 대한 정보는 다음을 참조하십시오.HA 환경에서 그룹 ID를 변경하는 방법. - 시스템 모니터 오류: 매우 드문 상태.
- 임시 보류 시간을 기다리는 중 : 전환 상태.
- 데이터플레인 에 정책 푸시를 기다리는 중: 전환 상태.
- 상태 동기화 완료를 기다리는 중 : 전환 상태.
- VM 라이센스가 피어와 일치하지 않습니다.
두 방화벽이 동일한 라이선스를 가지고 있더라도 피어와 VM 라이선스가 일치하지 않아 HA 작동하지 않는 상태로 전환되는 것을 참조하세요. - VMS에 대한 피어와 버전이 일치하지 않습니다.
두 방화벽이 동일한 라이선스를 가지고 있더라도 피어와 VM 라이선스가 일치하지 않아 HA 작동하지 않는 상태로 전환되는 것을 참조하세요.
솔루션 루트 액세스를 위해 TAC에서 업그레이드 또는 개입이 필요할 수도 있습니다. PAN-244673 때문에.
- GTP는 피어와의 불일치를 활성화합니다:
HA 에서 두 방화벽 모두에서 GTP가 활성화되어 있거나 비활성화되어 있는지 확인하세요.
GTP 상태 검사를 활성화하거나 비활성화하려면 commit 과 재부팅이 필요합니다. - SCTP는 피어와의 불일치를 활성화합니다:
HA 에서 두 방화벽 모두에서 SCTP가 활성화되어 있거나 비활성화되어 있는지 확인하세요.
SCTP 보안을 활성화하거나 비활성화하려면 commit 필요합니다. - NAT 오버서브스크립션(oversubscription ) 불일치 :
업그레이드 후 "Nat 오버서브스크립션(oversubscription ) 불일치" 오류 메시지와 함께 HA 작동하지 않는 문제를 참조하세요. - 드라이브 오류가 감지되었습니다:
드라이브가 여전히 다운된 경우 로깅 드라이브를 다시 장착하세요. 교체해야 할 수도 있습니다. 지원 사례를 열고 자세한 내용은 내부 KB strata Cloud Manager "로깅 드라이브 오류" 경고로 지원을 참조하세요.
- Look under the "Peer Information" for the State Reason.
- Check the output of the CLI command:
Additional Information
추가 도움이 필요하거나 적절한 수정 단계를 찾을 수 없는 경우 지원 사례를 개설하세요.
일부 비기능 상태에서 지원 사례를 열어야 하는 이유는 문제가 SW 문제 또는 HW 문제와 관련이 있을 수 있기 때문입니다. 이러한 유형의 사례는 문제 해결이 필요하며 대부분의 경우 엔지니어링 팀이 문제를 더 디버깅하는 데 관여할 수 있습니다.
지원팀에서 확인해야 하는 일부 로그 및 표시 명령은 다음과 같습니다. masterd.log(md.log), mprelay-def-hb-fail.log, masterd_detail.log/DP, controlplane-down.log, mpreplay.log, brdagent.log, ha_agent.log, path_monitor_hb_fail_s .log, messages 등...
show system packet-path-test statusshow system files
따라서 문제가 발생하자마자 HA 의 두 방화벽에 대한 기술 지원 파일을 수집하여 지원 사례에 첨부하는 것이 좋습니다.