Actif/Actif HA supprime le trafic dans le réseau avec un routage asymétrique.

Actif/Actif HA supprime le trafic dans le réseau avec un routage asymétrique.

23024
Created On 07/05/21 03:28 AM - Last Modified 04/22/24 20:40 PM


Symptom


Dans les réseaux avec un routage asymétrique, les paquets correspondant à une session appartenant à actif-primaire firewall peuvent arriver sur actif-secondaire ou vice-versa.

Par exemple, un paquet correspondant à une session appartenant à active-primaire arrive sur actif-secondaire et est envoyé à actif-primaire via la liaison HA3.
Lorsque le paquet arrive sur actif-primaire, il est déposé avec le compteur global ci-dessous:flow_fwd_notopology 90 1 drop flow forward Paquets abandonnés : pas de transfert configuré sur l’interface Lors de la collecte du flux de base sur actif-primaire, la raison de largage est vue comme ci-dessous:

"Paquet abandonné, aucune topologie de transfert configurée sur l’interface 134"
Où 134 est l’interface comme on le voit dans « show interface

ID all ».

Environment


Le comportement mentionné ci-dessus peut être vu dans Actif/Actif où VR l’option de synchronisation n’est pas cochée :
Image ajoutée par l'utilisateur

En raison de l’option de synchronisation décochéeVR, les paramètres, y compris les paramètres de l’interface, ne sont pas synchronisés entre les VR pare-feu ActifHA/ActifHA.
 

Cause


Dans le cas où l’interface active-secondaire qui reçoit le paquet n’est configurée dans aucun VR sur actif-primaire, alors le paquet reçu est abandonné par actif-primaire.
Dans cet exemple, l’interface ethernet1/23.842 sur actif-secondaire reçoit le paquet, la même interface sur actif-primaire n’est ajoutée à aucun VR.

active-secondaire:
ID de nom Adresse de transfert de zone vsys ethernet1/23.842 134 1 untrust vr:Routeur 842 x.x.x.x/x

active-primary:TU-
ID de nom Adresse

de transfert tag tag de zone vsys ethernet1/23.842 134 1 N/ 842 /A NA               
 

Resolution


Pour empêcher l’actif-primaire de laisser tomber le paquet, ajoutez l’interface ethernet1/23.842 correspondante à un VRfichier . Dans les environnements réseau asymétriques, l’activation de VR la synchronisation dans Actif/Actif HApeut ne pas être une option souhaitable.
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMGpCAM&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language