HA split-brain nach dem Upgrade von PAN-OS 10.2.2 auf 10.2.3 oder höher

• In PAN-OS 10.2.2 und früher gab es ein Problem, bei dem die HA1- und HA1-PortsAB umgekehrt zu sein schienen, so dass
• Wenn Sie das HA1-Kabel abgezogen haben, wird der HA1-PortAB als heruntergefahren angezeigt:

> show high-availability all

Interface: ha1-b        
      Link State: Down; Setting: 1Gb/s-full  <<<<<<<<<<<< Down

• Wenn Sie das HA1-Kabel abgezogen haben, wird der HA1-PortBA als heruntergefahren angezeigt:

> show high-availability all

Interface: ha1-a       
      Link State: Down; Setting: 1Gb/s-full   <<<<<<<<<<<<  Down

>-->2023-01-25 12:45:39  System   System restart requested by admin
>-->2023-01-26 10:54:22  SWM      Installed panos 10.2.3-h2
>   2023-01-26 11:06:37  HA       state transit to Non-Functional
>   2023-01-26 11:06:42  HA       state transit to Active <=== split brain

• PAN-OS 10.2.3
• PA-5410, PA-5420, PA-5430
• Hochverfügbarkeit konfiguriert zwischen Next Gen Firewall

• Der in PanOS 10.2.3 eingeführte Fix zur Behebung der HA1-Port-Nichtübereinstimmung kann dazu führen, dass das HA Split-Brain-Szenario aufgrund der HA1-Verbindung unterbrochen wird, wenn die firewall auf PanOS 10.2.3 aktualisiert wird

ha_agent.log 2023-02-09 22:08:57 2023-02-09 22:08:57.052 -0800 Group 1 (HA1-MAIN): peer is closing connection
ha_agent.log 2023-02-09 22:08:57 2023-02-09 22:08:57.052 -0800 Error: ha_peer_callback(src/ha_peer.c:3003): Group 1 (HA1-MAIN): Connection lost to peer
ha_agent.log 2023-02-09 22:08:57 2023-02-09 22:08:57.053 -0800 debug: ha_peer_recv_error(src/ha_peer.c:5781): Group 1 (HA1-BKUP): Receiving error message

1. Halten Sie das passive Element HA an, um Probleme zu vermeiden HA , während Sie Änderungen an der HA Konfiguration vornehmen. Wechseln Sie zu Gerät > Hochverfügbarkeit > Betriebsbefehle > Lokales Gerät anhalten
2. Konfigurieren Sie einen Datenport als "HA" sowohl für aktiv als auch für passiv FW

3. Gehen Sie zur Einstellung, um eine IP-Adresse für HA die HA Kommunikation einzurichten. Stellen Sie sicher, dass die IP-Adresse mit einer Route erreichbar ist.

4. Übernehmen Sie die Konfigurationsänderung und überprüfen Sie auf dem Dashboard, ob die HA1-Verbindung besteht.
5. Überprüfen Sie über das Systemprotokoll, ob die HA1-Verbindung stabil ist
6. Machen Sie das passive firewall Funktionieren funktionsfähig, indem Sie zu Geräte- > Hochverfügbarkeits- > Betriebsbefehle gehen > Lokales Gerät funktionsfähig machen
7. Schließen Sie das Upgrade auf PanOS 10.2.3 gemäß Upgrade eines HA firewall Paares ab
8. Setzen Sie nach dem Upgrade beider Firewalls die passive firewall Firewall erneut aus, indem Sie zu Geräte- > Hochverfügbarkeitsbefehle > Betriebsbefehle > Lokales Gerät anhalten
9. Konfigurieren Sie die dedizierten HA1-Links auf beiden Firewalls als Einstellungen konfigurieren HA neu.
10. Übernehmen Sie die Änderungen und überprüfen Sie, ob die HA Links wieder stabil sind.
11. Machen Sie das passive Gerät wieder aktiv, indem Sie zu Geräte- > Hochverfügbarkeits- > Betriebsbefehle > Lokales Gerät funktionsfähig machen
12. Beide FWs sollten auf PanOS10.2.3 und wieder auf den dedizierten HA Links sein.