何时HA节点会由于暂定循环而进入挂起状态?
9862
Created On 10/02/23 17:07 PM - Last Modified 01/03/25 06:46 AM
Symptom
One of the firewalls in a High Availability pair (HA) A/A moves into the "suspended" state due to Tentative loop. This can be detected in the system logs:
critical ha non-fun 0 HA Group 1: Going to Suspended state due to detection of a Tentative loop after 3 loops allowed
CLI 命令“show high-availability all”的输出中将显示最终状态原因:
State Reason: Non-functional loop detected
Environment
- Palo Alto 防火墙
- 支持的 PAN OS
- 高可用性(HA)
- 主动-主动配置
- 在各个节点上配置链路监视或路径监视
Cause
由于以下原因之一, HA A/A 中的防火墙将进入暂定状态:
- 防火墙故障。(由于数据平面故障或配置不匹配导致的与错误状态相关的异常故障,例如仅为数据包转发、 VR同步或QoS同步配置了一个防火墙。)
- 监控对象(链路或路径)发生故障。
- 防火墙处于暂停或不起作用的状态。
Resolution
- 正确解决防火墙退出活动状态的原因。
- 如果防火墙处于健康状态,且原因与HA链接和路径监控有关,则验证设备 > 高可用性 > 链接和路径监控下的配置
- 按照如何从挂起状态恢复HA对成员的步骤进行操作。
Additional Information
For more information about Tentative State refer to the HA防火墙状态 document.
Check 何时HA节点会由于无功能环路而进入挂起状态? and note that in active/passive mode, all the causes listed for the Tentative state result in a non-functional state. It's important to clarify that the Tentative state is specific to active/active firewall setups only.
襟翼最大计时器设置
最大抖动次数是设备在进入挂起状态之前允许进入非功能性或暂定状态的次数,以防止设备抖动。最大抖动次数默认为 3,根据检测到的循环类型,系统会在 10 到 20 分钟后清除该次数。每当设备进入非功能性状态时,非功能性故障都会计入一次“抖动”或循环。每次一个设备抢占另一个设备时都会计入一次抢占循环,每次故障时都会根据最大抖动次数检查该次数。
注意:如果一对HA防火墙在HA暂定状态和HA活动状态之间转换,您将观察到“非功能状态”翻转计数器增加 1。
admin@PA3250-2(tentative)> show high-availability flap-statistics Group 11: Mode: Active-Active Flap Statistics: Preemptions since flap counter reset : 0 Non-functional states since flap counter reset : 1 Maximum flaps allowed before suspending device : 3