Tentative 루프로 인해 HA 노드가 Suspended 상태 로 전환되는 경우는 언제인가요?
9830
Created On 10/02/23 17:07 PM - Last Modified 01/03/25 06:48 AM
Symptom
One of the firewalls in a High Availability pair (HA) A/A moves into the "suspended" state due to Tentative loop. This can be detected in the system logs:
critical ha non-fun 0 HA Group 1: Going to Suspended state due to detection of a Tentative loop after 3 loops allowed
그리고 CLI 커맨드 "show high-availability all"의 출력에서 최종 상태 이유는 다음과 같습니다.
State Reason: Non-functional loop detected
Environment
- 팔로 알토 방화벽
- 지원되는 PAN-OS
- 고가용성(HA)
- 활성 - 활성 구성
- 링크 모니터링 또는 경로 모니터링 개별 노드에서 구성됩니다.
Cause
HA A/A의 방화벽 아래 이유 중 하나로 인해 임시 상태 로 전환됩니다.
- 방화벽 오류. ( 데이터플레인 오류나 구성 불일치로 인한 오류 상태 와 관련된 예외 오류, 예를 들어 패킷 전달, VR 동기화 또는 QoS 동기화 위해 구성된 방화벽 하나만 있는 경우)
- 모니터링 대상(링크 또는 경로)의 실패.
- 방화벽 일시 중단되거나 작동하지 않는 상태 됩니다.
Resolution
- 방화벽 이 활성 상태 를 벗어나는 이유를 적절히 해결하세요.
- 방화벽 이 정상 상태 이고 그 이유가 HA 링크 및 경로 모니터링과 관련된 경우 장치 > 고가용성 > 링크 및 경로 모니터링 에서 해당 구성 확인하십시오.
- 일시 중단된 상태에서 HA 쌍 멤버를 복구하는 방법 의 단계를 따르세요.
Additional Information
For more information about Tentative State refer to the HA 방화벽 상태 document.
Check 비기능 루프로 인해 HA 노드가 일시 중단 상태 로 전환되는 경우는 언제인가요? and note that in active/passive mode, all the causes listed for the Tentative state result in a non-functional state. It's important to clarify that the Tentative state is specific to active/active firewall setups only.
플랩 맥스 타이머 설정
플랩 맥스는 디바이스 가 플래핑을 방지하기 위해 Suspended 상태 로 이동하기 전에 Non-Functional 또는 Tentative 상태 로 전환될 수 있는 횟수입니다. 플랩 맥스는 기본적으로 3으로 설정되며 감지되는 루프의 종류에 따라 10~20분 후에 시스템에서 지워집니다. Non-Functional 실패는 디바이스 Non-Functional 상태 로 전환될 때마다 "플랩" 또는 루프를 계산합니다. Preemption 루프는 디바이스 다른 디바이스 선점할 때마다 계산되고 모든 실패에서 이 카운트가 flap-max와 비교됩니다.
참고: 한 쌍의 HA 방화벽 이 HA 임시 상태와 HA 활성 상태 사이를 전환하는 경우 "비작동 상태" 플랩 카운터가 1 증가하는 것을 볼 수 있습니다.
admin@PA3250-2(tentative)> show high-availability flap-statistics Group 11: Mode: Active-Active Flap Statistics: Preemptions since flap counter reset : 0 Non-functional states since flap counter reset : 1 Maximum flaps allowed before suspending device : 3