HA 升级后脑裂PAN-OS10.2.2 至 10.2.3 或以上

• 在PAN-OS10.2.2 及更早版本存在一个问题，其中 HA1-A和HA1-B端口似乎被颠倒了
• 如果您断开 HA1-A电缆，然后是HA1-B端口显示为关闭：

> show high-availability all

Interface: ha1-b        
      Link State: Down; Setting: 1Gb/s-full  <<<<<<<<<<<< Down

• 如果您断开 HA1-B电缆，然后是HA1-A端口显示为关闭：

> show high-availability all

Interface: ha1-a       
      Link State: Down; Setting: 1Gb/s-full   <<<<<<<<<<<<  Down

>-->2023-01-25 12:45:39  System   System restart requested by admin
>-->2023-01-26 10:54:22  SWM      Installed panos 10.2.3-h2
>   2023-01-26 11:06:37  HA       state transit to Non-Functional
>   2023-01-26 11:06:42  HA       state transit to Active <=== split brain

• PAN-OS 10.2.3
• PA-5410,PA-5420 , PA-5430
• 下一代之间配置的高可用性 Firewall

• PanOS 10.2.3 中引入的修复 HA1 端口不匹配的修复程序可能会导致HA由于 HA1 连接断开而导致的裂脑场景firewall升级到PanOS 10.2.3

ha_agent.log 2023-02-09 22:08:57 2023-02-09 22:08:57.052 -0800 Group 1 (HA1-MAIN): peer is closing connection
ha_agent.log 2023-02-09 22:08:57 2023-02-09 22:08:57.052 -0800 Error: ha_peer_callback(src/ha_peer.c:3003): Group 1 (HA1-MAIN): Connection lost to peer
ha_agent.log 2023-02-09 22:08:57 2023-02-09 22:08:57.053 -0800 debug: ha_peer_recv_error(src/ha_peer.c:5781): Group 1 (HA1-BKUP): Receiving error message

1. 暂停HA被动避免任何HA更改时出现的问题HA配置。 去设备 > 高可用性 > 操作命令 > 挂起本地设备
2. 配置一个数据端口为“HA ” 主动和被动 FW

3. 前往HAsetting 设置一个IP地址HA沟通。 确保具有路由可达的IP地址。

4. 提交配置更改并在仪表板上验证 HA1 连接是否已启动。
5. 通过系统日志验证 HA1 连接是否稳定
6. 使被动firewall通过去功能Device > High Availability > Operational Commands > Make Local Device Functional 功能
7. 按照 PanOS 10.2.3 完成升级升级一个HA firewall一对
8. 升级两个防火墙后，暂停被动firewall再次去设备 > 高可用性 > 操作命令 > 挂起本地设备
9. 将两个防火墙上的 HA1 专用链接重新配置为配置HA设置
10. 提交更改并验证HA链接再次稳定。
11. 通过转到使无源设备再次激活Device > High Availability > Operational Commands > Make Local Device Functional 功能
12. 两个固件都应该在 PanOS10.2.3 上，然后回到专用的HA链接。