HA からのアップグレード後のスプリットブレインPAN-OS10.2.2 から 10.2.3 以降

• のPAN-OS10.2.2 以前では、HA1-Aと HA1-Bポートが逆になっているように見えたので、
• HA1-を切断した場合Aケーブル、次に HA1-Bポートがダウンしていると表示されます。

> show high-availability all

Interface: ha1-b        
      Link State: Down; Setting: 1Gb/s-full  <<<<<<<<<<<< Down

• HA1-を切断した場合Bケーブル、次に HA1-Aポートがダウンしていると表示されます。

> show high-availability all

Interface: ha1-a       
      Link State: Down; Setting: 1Gb/s-full   <<<<<<<<<<<<  Down

>-->2023-01-25 12:45:39  System   System restart requested by admin
>-->2023-01-26 10:54:22  SWM      Installed panos 10.2.3-h2
>   2023-01-26 11:06:37  HA       state transit to Non-Functional
>   2023-01-26 11:06:42  HA       state transit to Active <=== split brain

• PAN-OS 10.2.3
• PA-5410、PA-5420 、 PA-5430
• Next Gen 間で構成された高可用性 Firewall

• HA1 ポートの不一致を修正するために PanOS 10.2.3 で導入された修正により、HA HA1 接続がダウンすることによるスプリット ブレイン シナリオ。firewall PanOS 10.2.3 にアップグレードされます

ha_agent.log 2023-02-09 22:08:57 2023-02-09 22:08:57.052 -0800 Group 1 (HA1-MAIN): peer is closing connection
ha_agent.log 2023-02-09 22:08:57 2023-02-09 22:08:57.052 -0800 Error: ha_peer_callback(src/ha_peer.c:3003): Group 1 (HA1-MAIN): Connection lost to peer
ha_agent.log 2023-02-09 22:08:57 2023-02-09 22:08:57.053 -0800 debug: ha_peer_recv_error(src/ha_peer.c:5781): Group 1 (HA1-BKUP): Receiving error message

1. サスペンドHA受動的に回避するHAに変更を加える際の問題HA構成。 に行くデバイス > 高可用性 > 操作コマンド > ローカル デバイスの一時停止
2. 1 つのデータ ポートを「HA 」アクティブとパッシブの両方で FW

3. に行くHAIP アドレスを設定するための設定HAコミュニケーション。 お互いに到達可能なルートを持つIPアドレスを確認してください。

4. 構成の変更をコミットし、ダッシュボードで HA1 接続が稼働していることを確認します。
5. HA1 接続が安定していることをシステム ログで確認する
6. パッシブにするfirewallに行くことによって機能的デバイス > 高可用性 > 操作コマンド > ローカル デバイスを機能させる
7. に従って、PanOS 10.2.3 へのアップグレードを完了します。アップグレードHA firewallペア
8. 両方のファイアウォールをアップグレードした後、パッシブを一時停止しますfirewallに行くことによって再びデバイス > 高可用性 > 操作コマンド > ローカル デバイスの一時停止
9. 両方のファイアウォールで HA1 専用リンクを次のように再構成します。構成、設定HA設定
10. 変更をコミットし、HAリンクは再び安定しています。
11. に移動して、パッシブ デバイスを再びアクティブにします。デバイス > 高可用性 > 操作コマンド > ローカル デバイスを機能させる
12. 両方の FW が PanOS10.2.3 上にあり、専用に戻る必要があります。HAリンク。