El tráfico se descarta o descarta de forma silenciosa en la implementación de alta disponibilidad activa/activa

7854

Created On 06/14/23 13:50 PM - Last Modified 10/28/24 16:49 PM

Symptom

FW1 recibe un paquete inicial para una nueva sesión y se convierte en el propietario de la sesión.
FW1 descubre que FW2 es la configuración de sesión, por lo que reenvía el paquete a través de HA3 a FW2.
Una vez que FW2 recibe el paquete, realiza la ruta lenta y determina las interfaces de entrada y salida durante la configuración de la sesión.
A continuación, FW2 envía el paquete de vuelta a FW1, utilizando el enlace HA3 para el procesamiento de capa 7, si lo hay.
FW1 intenta reenviar el paquete fuera de la interfaz de salida al destino en función de la información de sesión recibida de FW2.
Si la interfaz de salida o el número de subinterfaz en la sesión recibida de FW2 difiere de la interfaz de salida o subinterfaz configurada en FW1, el paquete se descarta.
Como resultado, los contadores globales ha_aa_session_setup_too_many_retry, flow_no_interface y flow_arp_rcv_err pueden incrementarse cuando se produce el problema.

La captura de paquetes realizada en el firewall mostrará las retransmisiones SYN descartadas

La suspensión de cualquiera de los nodos del firewall resuelve el problema.

Environment

PAN-OS: Todos
Alta disponibilidad: Activo/Activo

Cause

Los números de subinterfaces o interfaces utilizados para el mismo tráfico de entrada/salida son diferentes en los nodos de firewall primario activo y secundario activo.

Ejemplo:

Primario activo: ethernet1/7. 40 ID de VLAN 40
Secundario activo: ethernet1/7. 30 ID de VLAN 30

O BIEN:

Primario activo: ethernet1/1
Secundario activo: ethernet1/2

Resolution

Cambie los números de subinterfaz o interfaces para que sean idénticos en ambos nodos de firewall. Es posible que los ID de VLAN permanezcan sin cambios.

Ejemplo:

Primario activo: ethernet1/7. 40 ID de VLAN 40
Secundario activo: ethernet1/7. 40 ID de VLAN 30