通过CLI配置组 ID 后,防火墙在HA环境中停留在初始阶段。

通过CLI配置组 ID 后,防火墙在HA环境中停留在初始阶段。

3855
Created On 01/05/24 14:42 PM - Last Modified 01/03/25 11:53 AM


Symptom


  • 使用CLI 命令配置组 ID 的防火墙。
    • 设置设备配置高可用性组组 ID 09
  • 一旦设备配置为 0x,我们就将 x 设为 9。设备将转入非功能状态。
  • GUI 显示组 ID 为 9。

  • 但是当你从CLI检查时,你会注意到 group-id 为 09
show deviceconfig high-availability 

    group-id 09;
    description "active-passive";
  .............
  • 如果您检查该设备的系统状态,您会发现它被设置为 0。
admin@sj(non-functional)> show system state | match group-id
ha.app.local.info: { 'cfgsync-reason': Peer disconnected with commit, 'group-id': 0,

Environment


  • Palo Alto 防火墙
  • 支持的 PAN OS
  • 高可用性设置

Cause


软件解析 xml 配置时出现问题。此问题在以下两种情况下发生。

  • 当用户从CLI配置组 ID 时类似于 0x。
  • 或者当用户从 XML 修改配置并将文件上传到防火墙时。

Resolution


  1. 该问题已在 PAN-OS 11.0.4、11.1.3、10.2.11 或更高版本中得到解决。
  2. 升级应该可以解决这个问题。
  3. 作为一种解决方法,通过 cli 重新配置组 ID,而不使用 0x 格式。示例如下:
    • 设置设备配置高可用性组组 ID 9

Additional Information
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhQfCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language