HA split-brain après la mise à niveau de PAN-OS la version 10.2.2 à la version 10.2.3 ou supérieure

• Dans PAN-OS la version 10.2.2 et plus tôt, il y avait un problème où les ports HA1 et HA1A semblaientB être inversés de sorte que
• Si vous avez déconnecté le câble HA1-, le port HA1-AB indique qu’il est en panne :

> show high-availability all

Interface: ha1-b        
      Link State: Down; Setting: 1Gb/s-full  <<<<<<<<<<<< Down

• Si vous avez déconnecté le câble HA1-, le port HA1-BA indique qu’il est en panne :

> show high-availability all

Interface: ha1-a       
      Link State: Down; Setting: 1Gb/s-full   <<<<<<<<<<<<  Down

>-->2023-01-25 12:45:39  System   System restart requested by admin
>-->2023-01-26 10:54:22  SWM      Installed panos 10.2.3-h2
>   2023-01-26 11:06:37  HA       state transit to Non-Functional
>   2023-01-26 11:06:42  HA       state transit to Active <=== split brain

• PAN-OS 10.2.3
• PA-5410, PA-5420, PA-5430
• Haute disponibilité configurée entre Next Gen Firewall

• Le correctif introduit dans PanOS 10.2.3 pour corriger l’incompatibilité de port HA1 peut provoquer le HA scénario de cerveau divisé en raison de la panne de la connexion HA1 lors de la firewall mise à niveau vers PanOS 10.2.3

ha_agent.log 2023-02-09 22:08:57 2023-02-09 22:08:57.052 -0800 Group 1 (HA1-MAIN): peer is closing connection
ha_agent.log 2023-02-09 22:08:57 2023-02-09 22:08:57.052 -0800 Error: ha_peer_callback(src/ha_peer.c:3003): Group 1 (HA1-MAIN): Connection lost to peer
ha_agent.log 2023-02-09 22:08:57 2023-02-09 22:08:57.053 -0800 debug: ha_peer_recv_error(src/ha_peer.c:5781): Group 1 (HA1-BKUP): Receiving error message

1. Suspendez le HA passif pour éviter tout HA problème lors des modifications apportées à la HA configuration. Accédez à Device > High Availability > Operational Commands > Suspendre l’appareil local
2. Configurer un port de données comme « HA » sur actif et passif FW

3. Accédez au paramètre pour configurer une HA adresse IP pour HA la communication. Assurez-vous que l’adresse IP avec un itinéraire accessible les uns aux autres.

4. Validez la modification de configuration et vérifiez sur le tableau de bord que la connexion HA1 est en place.
5. Vérifiez via le journal système que la connexion HA1 est stable
6. Rendre le passif firewall fonctionnel en accédant à la fonctionnalité de l’appareil > Haute disponibilité > Commandes opérationnelles > Rendre l’appareil local fonctionnel
7. Terminer la mise à niveau vers PanOS 10.2.3 selon Mettre à niveau une HA firewall paire
8. Après la mise à niveau des deux pare-feu, suspendez à nouveau le passif firewall en accédant à Device > High Availability > Operational Commands > Suspendre le périphérique local
9. Reconfigurez les liens dédiés HA1 sur les deux pare-feu en tant que Configurer HA les paramètres
10. Validez les modifications et vérifiez que les HA liens sont à nouveau stables.
11. Rendez l’appareil passif à nouveau actif en accédant à Périphérique > Haute disponibilité > Commandes opérationnelles > Rendre l’appareil local fonctionnel
12. Les deux FW devraient être sur PanOS10.2.3 et revenir sur les liens dédiés HA .