Datenverkehr wird in der Aktiv/Aktiv-HA-Implementierung im Hintergrund verworfen/verworfen

Datenverkehr wird in der Aktiv/Aktiv-HA-Implementierung im Hintergrund verworfen/verworfen

7854
Created On 06/14/23 13:50 PM - Last Modified 10/28/24 16:49 PM


Symptom


Bild.png
  • FW1 empfängt ein erstes Paket für eine neue Sitzung und wird zum Sitzungsbesitzer.
  • FW1 findet heraus, dass FW2 das Session-Setup ist, und leitet das Paket über HA3 an FW2 weiter.
  • Sobald das Paket von FW2 empfangen wurde, führt es den Slowpath durch und bestimmt während der Sitzungseinrichtung die Eingangs- und Ausgangsschnittstellen.  
  • FW2 sendet das Paket dann zurück an FW1, wobei gegebenenfalls die HA3-Verbindung für die Layer-7-Verarbeitung verwendet wird.
  • FW1 versucht, das Paket über die Ausgangsschnittstelle an das Ziel weiterzuleiten, basierend auf den von FW2 empfangenen Sitzungsinformationen.
  • Wenn sich die Nummer der Ausgangsschnittstelle oder -unterschnittstelle in der von FW2 empfangenen Sitzung von der Ausgangsschnittstelle oder -unterschnittstelle unterscheidet, die auf FW1 konfiguriert ist, wird das Paket verworfen.
  • Infolgedessen können die globalen Indikatoren ha_aa_session_setup_too_many_retry, flow_no_interface und flow_arp_rcv_err inkrementiert werden, wenn das Problem auftritt.
Bild.pngBild.png
  • Die Paketerfassung über die Firewall zeigt verworfene SYN-Neuübertragungen an
Bild.png
  • Durch das Anhalten eines Firewall-Knotens wird das Problem behoben.
 

Environment


  • PAN-OS: Alle
  • Hohe Verfügbarkeit: Aktiv/Aktiv

Cause



Die Anzahl der Subschnittstellen oder Schnittstellen, die für denselben eingehenden/ausgehenden Datenverkehr verwendet werden, unterscheidet sich auf Active Primary und Active Secondary Firewall-Knoten.

Beispiel:
  • Aktiv Primär: ethernet1/7. 40 VLAN-Kennung 40
  • Aktive Sekundärseite: ethernet1/7. 30 VLAN-Kennung 30
Oder:
  • Aktiv Primär: Ethernet1/1
  • Aktive Sekundärseite: ethernet1/2

Resolution


Ändern Sie die Nummern der Subschnittstellen oder Schnittstellen, um sie auf beiden Firewall-Knoten identisch zu machen. Die VLAN-IDs können unverändert bleiben.

Beispiel:

  • Aktiv Primär: ethernet1/7. 40 VLAN-Kennung 40
  • Aktive Sekundärseite: ethernet1/7. 40 VLAN-Kennung 30
Oder:
  • Aktiv Primär: Ethernet1/1
  • Aktive Sekundärseite: Ethernet1/1

Additional Information


In der Aktiv/Aktiv-HA-Implementierung können die Rollen "Sitzungsbesitzer" und "Sitzungseinrichtung" verschiedenen FW-Knoten zugewiesen werden. Weitere Informationen finden Sie im PAN-OS-Administratorhandbuch unter folgendem Link:

https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/high-availability/ha-concepts/session-setup
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000bq3bCAA&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language