¿Cuándo un nodo HA pasa al estado suspendido debido a un bucle tentativo?
Symptom
One of the firewalls in a High Availability pair (HA) A/A moves into the "suspended" state due to Tentative loop. This can be detected in the system logs:
critical ha non-fun 0 HA Group 1: Going to Suspended state due to detection of a Tentative loop after 3 loops allowed
y la razón del estado final en la salida del comando de CLI "show high-availability all" mostrará:
State Reason: Non-functional loop detected
Environment
- Cortafuegos de Palo Alto
- Sistema operativo PAN compatible
- Alta disponibilidad (HA)
- Activo - configuración activa
- La supervisión de enlaces o la monitorización de rutas se configuran en nodos individuales
Cause
Un cortafuegos en HA A/A pasa a un estado tentativo debido a una de las siguientes razones:
- Falla de un cortafuegos. (Falla de excepción relacionada con un estado de error debido a una falla del plano de datos o una falta de coincidencia en la configuración , como solo un cortafuegos configurado para reenvío de paquetes, sincronizar VR o sincronizar QoS ).
- Fallo de un objeto monitoreado (un enlace o ruta).
- El cortafuegos queda en estado suspendido o no funcional.
Resolution
- Abordar adecuadamente el motivo por el cual el cortafuegos deja su estado activo.
- Si el cortafuegos está en un estado saludable y el motivo está relacionado con el monitoreo de rutas y enlaces de HA , verifique esa configuración en Dispositivo > Alta disponibilidad > Monitoreo de rutas y enlaces
- Siga los pasos de Cómo recuperar un miembro del par HA del estado suspendido .
Additional Information
For more information about Tentative State refer to the Estados del cortafuegos de HA document.
Check ¿Cuándo un nodo HA pasa al estado suspendido debido a un bucle no funcional? and note that in active/passive mode, all the causes listed for the Tentative state result in a non-functional state. It's important to clarify that the Tentative state is specific to active/active firewall setups only.
Ajuste del temporizador Flap-Max
El flap-max es la cantidad de veces que se le permite a un dispositivo pasar a un estado No funcional o Tentativo antes de pasar a un estado Suspendido para evitar que los dispositivos se agiten. El flap-max está predeterminado en 3 y se borra en el sistema después de 10 a 20 minutos, según el tipo de bucle que se detecte. Una falla No funcional cuenta como un "flap" o bucle cada vez que un dispositivo pasa a un estado No funcional. Un bucle de preempción se cuenta cada vez que un dispositivo preempta al otro dispositivo y en cada falla, este conteo se compara con el flap-max.
Nota: Si el cortafuegos de HA en un par pasa del estado HA tentativo al estado HA activo, observará un aumento de 1 en el contador de oscilaciones de "Estados no funcionales".
admin@PA3250-2(tentative)> show high-availability flap-statistics Group 11: Mode: Active-Active Flap Statistics: Preemptions since flap counter reset : 0 Non-functional states since flap counter reset : 1 Maximum flaps allowed before suspending device : 3