在主动/主动 HA 实施中以静默方式丢弃/丢弃流量

• FW1 收到新会话的初始数据包并成为会话所有者。
• FW1 发现 FW2 是会话设置，因此它通过 HA3 将数据包转发到 FW2。
• FW2 收到数据包后，它会执行慢速路径，并在会话设置期间确定入口和出口接口。  
• 然后，FW2 将数据包发送回 FW1，使用 HA3 链路进行第 7 层处理（如果有）。
• FW1 尝试根据从 FW2 接收的会话信息，将数据包从出口接口转发到目的地。
• 如果从 FW2 接收的会话中的出口接口或子接口编号与 FW1 上配置的出口接口或子接口不同，则数据包将被丢弃。
• 因此，全局计数器 ha_aa_session_setup_too_many_retry、 flow_no_interface 和 flow_arp_rcv_err 在问题发生时可能会递增。

• 在防火墙上捕获的数据包将显示丢弃的 SYN 重新传输

• PAN-OS：全部
• 高可用性：主动/主动

• 主用：ethernet1/7。40 个 VLAN ID 40
• 活动辅助：ethernet1/7。30 个 VLAN ID 30

• 主用：ethernet1/1
• 活动辅助：ethernet1/2

更改子接口编号或接口，使其在两个防火墙节点上相同。 VLAN ID 可能保持不变。

例：

• 主用：ethernet1/7。40 个 VLAN ID 40
• 活动辅助：ethernet1/7。40 个 VLAN ID 30

• 主用：以太网1/1
• 有源辅助设备：以太网1/1

在主动/主动 HA 实施中，可以将会话所有者和会话设置角色分配给不同的固件节点。 有关更多信息，请通过以下链接查阅 PAN-OS 管理员指南 https://docs.paloaltonetworks.com/pan-os/9-1/pan-os-admin/high-availability/ha-concepts/session-setup