Le trafic est ignoré/supprimé en mode silencieux dans l’implémentation de la haute disponibilité active/active

Le trafic est ignoré/supprimé en mode silencieux dans l’implémentation de la haute disponibilité active/active

7838
Created On 06/14/23 13:50 PM - Last Modified 10/28/24 16:49 PM


Symptom


image.png
  • FW1 reçoit un paquet initial pour une nouvelle session et devient le propriétaire de la session.
  • FW1 découvre que FW2 est la configuration de session, il transmet donc le paquet via HA3 à FW2.
  • Une fois que le paquet est reçu par FW2, il effectue le chemin lent et détermine les interfaces d’entrée et de sortie lors de la configuration de la session.  
  • FW2 renvoie ensuite le paquet à FW1, en utilisant la liaison HA3 pour le traitement de la couche 7, le cas échéant.
  • FW1 tente de transférer le paquet sortant de l’interface de sortie vers la destination en fonction des informations de session reçues de FW2.
  • Si le numéro de l’interface de sortie ou de la sous-interface de la session reçue de FW2 diffère de l’interface de sortie ou de la sous-interface configurée sur FW1, le paquet est ignoré.
  • Par conséquent, les compteurs globaux ha_aa_session_setup_too_many_retry, flow_no_interface et flow_arp_rcv_err peuvent augmenter lorsque le problème se produit.
image.pngimage.png
  • La capture de paquets effectuée sur le pare-feu montrera les retransmissions SYN abandonnées
image.png
  • La suspension de l’un des nœuds de pare-feu résout le problème.
 

Environment


  • PAN-OS : Tous
  • Haute disponibilité : Actif/Actif

Cause



Les numéros de sous-interfaces ou les interfaces utilisés pour le même trafic d’entrée/sortie sont différents sur les nœuds de pare-feu primaires et secondaires actifs.

Exemple:
  • Actif Principal : ethernet1/7. 40 ID de VLAN 40
  • Secondaire actif : ethernet1/7. 30 ID de VLAN 30
Ou:
  • Actif Principal : ethernet1/1
  • Secondaire actif : ethernet1/2

Resolution


Modifiez les numéros de sous-interface ou les interfaces pour les rendre identiques sur les deux nœuds de pare-feu. Les ID de VLAN peuvent rester inchangés.

Exemple:

  • Actif Principal : ethernet1/7. 40 ID de VLAN 40
  • Secondaire actif : ethernet1/7. 40 ID de VLAN 30
Ou:
  • Actif Principal : ethernet1/1
  • Secondaire actif : ethernet1/1

Additional Information


Dans l’implémentation Active/Active HA, les rôles de propriétaire de session et de configuration de session peuvent être attribués à différents nœuds FW. Pour plus d’informations, veuillez consulter le Guide de l’administrateur PAN-OS via le lien suivant :

https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/high-availability/ha-concepts/session-setup
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000bq3bCAA&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language