Quand un nœud HA passe-t-il à état suspendu en raison d'une boucle provisoire ?
Symptom
One of the firewalls in a High Availability pair (HA) A/A moves into the "suspended" state due to Tentative loop. This can be detected in the system logs:
critical ha non-fun 0 HA Group 1: Going to Suspended state due to detection of a Tentative loop after 3 loops allowed
et la raison de état final dans la sortie de la commande CLI « show high-availability all » affichera :
State Reason: Non-functional loop detected
Environment
- Pare-feu Palo Alto
- Système d'exploitation PAN pris en charge
- Haute disponibilité (HA)
- Actif - configuration active
- La surveillance des liens OU la surveillance des chemins est configurée sur des nœuds individuels
Cause
Un pare-feu dans HA A/A passe à un état provisoire pour l’une des raisons ci-dessous :
- Échec d'un pare-feu. (Échec d'exception lié à un état d'erreur en raison d'une défaillance du plan de données ou d'une incompatibilité de configuration , comme un seul pare-feu configuré pour la transmission de paquets, la synchroniser VR ou la synchroniser QoS .)
- Défaillance d'un objet surveillé (un lien ou un chemin).
- Le pare-feu quitte état suspendu ou non fonctionnel.
Resolution
- Traitez correctement la raison pour laquelle le pare-feu quitte son état actif.
- Si le pare-feu est en bon état et que la raison est liée à la surveillance des liens et des chemins HA , vérifiez cette configuration sous Périphérique > Haute disponibilité > Surveillance des liens et des chemins
- Suivez les étapes de Comment récupérer un membre de paire HA à partir de l'état suspendu .
Additional Information
For more information about Tentative State refer to the États du pare-feu HA document.
Check Quand un nœud HA passe-t-il à état suspendu en raison d’une boucle non fonctionnelle ? and note that in active/passive mode, all the causes listed for the Tentative state result in a non-functional state. It's important to clarify that the Tentative state is specific to active/active firewall setups only.
Réglage de la minuterie Flap-Max
Le flap-max est le nombre de fois qu'un appareil est autorisé à passer dans un état non fonctionnel ou provisoire avant de passer dans un état suspendu pour empêcher les périphériques de basculer. Le flap-max est défini par défaut sur 3 et est effacé sur le système après 10 à 20 minutes selon le type de boucle détectée. Une défaillance non fonctionnelle compte un « flap » ou une boucle chaque fois qu'un appareil passe dans un état non fonctionnel. Une boucle de préemption est comptée chaque fois qu'un appareil préempte l'autre appareil et à chaque défaillance, ce nombre est vérifié par rapport au flap-max.
Remarque : si le pare-feu HA d'une paire passe de l'état provisoire HA à l'état actif HA , vous observerez une augmentation de 1 dans le compteur de battements « États non fonctionnels ».
admin@PA3250-2(tentative)> show high-availability flap-statistics Group 11: Mode: Active-Active Flap Statistics: Preemptions since flap counter reset : 0 Non-functional states since flap counter reset : 1 Maximum flaps allowed before suspending device : 3