Wann wechselt ein HA Knoten aufgrund einer vorläufigen Schleife in den angehaltenen Status ?

Wann wechselt ein HA Knoten aufgrund einer vorläufigen Schleife in den angehaltenen Status ?

9930
Created On 10/02/23 17:07 PM - Last Modified 01/03/25 06:42 AM


Symptom


One of the firewalls in a High Availability pair (HA) A/A moves into the "suspended" state due to Tentative loop. This can be detected in the system logs: 
critical ha non-fun 0 HA Group 1: Going to Suspended state due to detection of a Tentative loop after 3 loops allowed

und der endgültige Status in der Ausgabe des CLI-Befehl „show high-availability all“ wird Folgendes anzeigen:

State Reason: Non-functional loop detected


Environment


  • Palo Alto-Firewalls
  • Unterstützte PAN-OS
  • Hohe Verfügbarkeit (HA)
  • Aktiv - Aktive Konfiguration
  • Link Überwachung ODER Pfadüberwachung wird auf einzelnen Knoten konfiguriert

Cause


Eine Firewall in HA A/A wechselt aus einem der folgenden Gründe in den vorläufigen Status :

  • Ausfall einer Firewall. (Ausnahmefehler im Zusammenhang mit dem Status aufgrund eines Datenebene oder einer Konfiguration , z. B. wenn nur eine Firewall für die Paketweiterleitung, VR synchronisieren oder QoS synchronisieren konfiguriert ist.)
  • Ausfall eines überwachten Objekts (einer Verbindung oder eines Pfades).
  • Die Firewall verlässt den Status„angehalten“ oder „nicht funktionsfähig“.

Resolution


  1. Beheben Sie den Grund dafür, dass die Firewall ihren aktiven Status verlässt, ordnungsgemäß.
  2. Wenn die Firewall in einem fehlerfreien Status ist und der Grund mit der HA -Verbindungs- und Pfadüberwachung zusammenhängt, überprüfen Sie diese Konfiguration unter Gerät > Hohe Verfügbarkeit > Verbindungs- und Pfadüberwachung.
  3. Befolgen Sie die Schritte zum Wiederherstellen eines HA Paar-Mitglieds aus dem angehaltenen Zustand .

Additional Information


For more information about Tentative State refer to the HA Firewall Zustände document.
Check Wann wechselt ein HA Knoten aufgrund einer nicht funktionierenden Schleife in den angehaltenen Status ? and note that in active/passive mode, all the causes listed for the Tentative state result in a non-functional state. It's important to clarify that the Tentative state is specific to active/active firewall setups only.

Flap-Max-Timer-Einstellung
Der Flap-Max-Wert gibt an, wie oft ein Gerät in einen nicht funktionsfähigen oder vorläufigen Status wechseln darf, bevor es in einen Suspended Status wechselt, um ein Flattern der Geräte zu verhindern. Der Flap-Max-Wert ist standardmäßig auf 3 eingestellt und wird je nach Art der erkannten Schleife nach 10 bis 20 Minuten auf dem System gelöscht. Bei einem nicht funktionsfähigen Fehler wird ein „Flap“ oder eine Schleife gezählt, wenn ein Gerät in einen nicht funktionsfähigen Status wechselt. Eine Preemption-Schleife wird jedes Mal gezählt, wenn ein Gerät das andere Gerät verdrängt, und bei jedem Fehler wird diese Anzahl mit dem Flap-Max-Wert verglichen.

Hinweis: Wenn die HA Firewall in einem Paar zwischen den HA Zuständen „vorläufig“ und „HA aktiv“ wechselt, werden Sie einen Anstieg um 1 im Flap-Zähler „Nicht funktionsfähige Zustände“ beobachten.

admin@PA3250-2(tentative)> show high-availability flap-statistics

Group 11:
Mode: Active-Active
Flap Statistics:
Preemptions since flap counter reset : 0
Non-functional states since flap counter reset : 1
Maximum flaps allowed before suspending device : 3


Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XgjgCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language