HA Cerebro dividido después de actualizar de PAN-OS 10.2.2 a 10.2.3 o superior

• En PAN-OS 10.2.2 y anteriores hubo un problema en el que los puertos HA1 y HA1A parecían invertirse,B de modo que
• Si desconectó el cable HA1,A el puerto HA1B se muestra como inactivo:

> show high-availability all

Interface: ha1-b        
      Link State: Down; Setting: 1Gb/s-full  <<<<<<<<<<<< Down

• Si desconectó el cable HA1,B el puerto HA1A se muestra como inactivo:

> show high-availability all

Interface: ha1-a       
      Link State: Down; Setting: 1Gb/s-full   <<<<<<<<<<<<  Down

>-->2023-01-25 12:45:39  System   System restart requested by admin
>-->2023-01-26 10:54:22  SWM      Installed panos 10.2.3-h2
>   2023-01-26 11:06:37  HA       state transit to Non-Functional
>   2023-01-26 11:06:42  HA       state transit to Active <=== split brain

• PAN-OS 10.2.3
• PA-5410, PA-5420, PA-5430
• Alta disponibilidad configurada entre Next Gen Firewall

• La corrección introducida en PanOS 10.2.3 para corregir la falta de coincidencia del puerto HA1 puede causar el HA escenario de cerebro dividido debido a que la conexión HA1 se cae cuando se firewall actualiza a PanOS 10.2.3

ha_agent.log 2023-02-09 22:08:57 2023-02-09 22:08:57.052 -0800 Group 1 (HA1-MAIN): peer is closing connection
ha_agent.log 2023-02-09 22:08:57 2023-02-09 22:08:57.052 -0800 Error: ha_peer_callback(src/ha_peer.c:3003): Group 1 (HA1-MAIN): Connection lost to peer
ha_agent.log 2023-02-09 22:08:57 2023-02-09 22:08:57.053 -0800 debug: ha_peer_recv_error(src/ha_peer.c:5781): Group 1 (HA1-BKUP): Receiving error message

1. Suspenda el HA pasivo para evitar cualquier HA problema al realizar cambios en la HA configuración. Vaya a Comandos operativos > > de alta disponibilidad del dispositivo > Suspender dispositivo local
2. Configurar un puerto de datos como ""HA tanto en activo como en pasivo FW

3. Vaya a la configuración para configurar una dirección IP para HA la HA comunicación. Asegúrese de que la dirección IP con una ruta sea accesible entre sí.

4. Confirme el cambio de configuración y verifique en el panel que la conexión HA1 está activa.
5. Verifique a través del registro del sistema que la conexión HA1 es estable
6. Haga que el pasivo firewall sea funcional yendo a Dispositivos > Alta disponibilidad > Comandos operativos > Hacer funcional el dispositivo local
7. Complete la actualización a PanOS 10.2.3 según Actualizar un HA firewall par
8. Después de actualizar ambos firewalls, suspenda el pasivo firewall nuevamente yendo a Dispositivos > Alta disponibilidad > Comandos operativos > Suspender dispositivo local
9. Vuelva a configurar los vínculos dedicados HA1 en ambos firewalls como Configurar HA ajustes
10. Confirme los cambios y verifique que los HA enlaces vuelvan a ser estables.
11. Vuelva a activar el dispositivo pasivo yendo a Comandos operativos > de alta disponibilidad del dispositivo > > Hacer que el dispositivo local funcione
12. Ambos FW deben estar en PanOS10.2.3 y volver a los enlaces dedicados HA .